Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   GVU Trojaner auf 10 Jahre altem XP-Rechner (Service Pack 3) (https://www.trojaner-board.de/129098-gvu-trojaner-10-jahre-altem-xp-rechner-service-pack-3-a.html)

mw1972 06.01.2013 11:40

GVU Trojaner auf 10 Jahre altem XP-Rechner (Service Pack 3)
 
Hallo, ich habe mir auf einem gut 10 Jahre alten Notebook mit Win XP Sp3 Ende Dezember einen GVU-Trojaner eingefangen. Ich konnte nach Lesen der Anleitungen http://www.trojaner-board.de/128668-gvu-trojaner.html und http://www.trojaner-board.de/128498-...ter-modus.html den Rechner wieder zum Laufen bringen.

Dabei habe ich in folgende Reihenfolge diese Maßnahmen durchgeführt:
  1. Mehrmaliges Herunterfahren und wieder starten bis sich plötzlich das IE-Fenster mit der Zahlungsaufforderung nach dem Start schließen ließ
  2. Installation von Antimalware, Aktualisieren der Datenbank, Vollständiger Scan, dabei 4 Funde (Liste unten)
  3. Installation adwcleaner.exe und Scan (Liste unten)
  4. Installation von OTL.exe und Scan (Liste unten)

In den Postings hieß es, dass man nach Veröffentlichen der Scanlisten eine Hilfe zum vollständigen Beseitigen des Trojaners bekommt. Augenscheinlich ist er weg (die Kiste läuft wieder). Muss ich noch was tun?
Danke schon vorab für die Hilfe!

ryder 06.01.2013 11:56

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
  • Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
  • Nur Scanns durchführen zu denen Du aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
  • Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
  • Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
  • Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
  • Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
  • Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.


Gelesen und verstanden?


Schritt 1:
Lass MBAM laufen und alle Funde entfernen.


Schritt 2:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 3:
Scan mit Combofix
WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!


Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es eine Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

mw1972 06.01.2013 12:01

alternativ Win neu installieren?
 
Danke für die schnelle Antwort.

Ich werde es probieren. Frage: Der Rechner hat ohnehin so ein paar Macken. Da habe ich mir überlegt Windows neu zu installieren. Des Rechners Festplatte hat 2 Partitionen. D für Daten und C für die Programm. Wenn ich die eine formatiere (C), wird dann auch die Registry gelöscht?

Wie muss ich Windows neu installieren? Mit der Ursprungs-CD und dann schrittweise alle Service-Packs drauf oder geht das auch schneller (mit einer Installation)?

ryder 06.01.2013 12:05

Die Registrierung ist auf dem Systemlaufwerk und die wird platt gemacht beim formatieren von C:

Wenn du jetzt formatieren willst (was ich nicht für sinnvoll halte aber deine Entscheidung ist), dann brauchst du den Originaldatenträger oder du besorgst dir einen neuen in dem das letzte Servicepack schon integriert ist.

Dir muss aber klar sein, dass XP ohnehin deutlich angegraut ist und der Support durch Microsoft sehr bald (2014) ausläuft. Wenn du neu installieren willst, dann rate ich dir gleich auf Windows 7 umzusteigen, wenn das deine Hardware hergibt.

mw1972 06.01.2013 12:08

Win 7 geht nicht
 
Danke für die schnelle Antwort. Win 7 geht nicht. Ich werde die Scans durchführen und die Logs posten. Sollte die Kiste dann wieder einwandfrei laufen, überleg ich mir Neuinstallieren. Danke erstmal.

ryder 06.01.2013 12:14

Gut, dann die Logfiles.

mw1972 06.01.2013 22:25

Autoscan geht nicht weiter
 
Ich habe alles so gemacht, wie von dir beschrieben.

Vor dem Start meldet das Programm, dass Avira Antivir aktiv ist. Das Programm wurde aber seit langem deinstalliert und läuft garnicht mehr.

Ich habe trotzdem auf WEITER geklickt. (Scan auf eigenes Risiko)

Das DOS-Fenster des Programms geht nicht weiter.

Was soll ich tun? So kann ich kann keine Logfiles posten.

ryder 06.01.2013 22:28

Du kannst die Combofix.exe in NoMBR.exe umbenennen und es nochmal zu probieren.

mw1972 06.01.2013 22:40

meldet weiterhin installiertes Virenprogramm
 
Auch nach Umbenennen gibt es weiterhin piep-piep und die Warnung, dass Avira aktiv ist (auch nicht sichtbar in den aktiven Prozessen).

Der Scan im DOS-Fenster meldet keinen Fortschritt.

Moment - es geht doch weiter.

Es ging weiter, bis Stufe 6, dann ist PC wegen eines gealterten Lüfters zu heiß geworden und abgestürzt. Wie gesagt eine sehr alte Kiste.

Ich mag jetzt nimmer und starte morgen Abend einen neuen Versuch.

Hoffe, das kann man öfter machen, ohne dass die Kiste Schaden nimmt.

So, es ist vollbracht. Combofix ist fertig und folgende Textdatei produziert:

Code:

Combofix Logfile:

       
Code:

       
ComboFix 13-01-05.01 - Besitzer 07.01.2013  19:21:03.2.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.750.489 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\NoMBR.exe
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00FC-0D24-347CA8A3377C}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\0tbpw.pad
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\AdobeDLM.log
C:\Thumbs.db
c:\windows\_detmp.2
c:\windows\IsUn0407.exe
c:\windows\My.ini
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\WindowsUpdate.log . . . . Nicht in der Lage zu löschen
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-07 bis 2013-01-07  ))))))))))))))))))))))))))))))
.
.
2013-01-07 18:13 . 2013-01-07 18:13        --------        d-----w-        C:\FOUND.013
2013-01-05 15:14 . 2013-01-05 15:14        --------        d-----w-        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2013-01-05 15:14 . 2013-01-05 15:14        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-01-05 15:14 . 2013-01-05 15:14        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2013-01-05 15:14 . 2012-12-14 15:49        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys
2013-01-02 14:39 . 2013-01-02 14:40        --------        d-----w-        c:\dokumente und einstellungen\Administrator
2013-01-02 13:48 . 2013-01-02 13:48        --------        d-----w-        C:\FOUND.012
2013-01-02 13:37 . 2013-01-04 11:28        3178        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\0tbpw.js
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-12 06:10 . 2012-07-04 09:24        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-12 06:10 . 2012-07-04 09:24        697272        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2010-09-08 18:28 . 2013-01-02 08:41        119808        ----a-w-        c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
2013-01-02 08:42 . 2013-01-02 08:41        262112        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-09 68856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="LaunApp" [X]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-04-06 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-04-06 114688]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-04-24 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-04-24 610304]
"LaunchAp"="c:\progra~1\Launch Manager\LaunchAp.exe" [2003-05-12 32768]
"PowerKey"="c:\progra~1\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\progra~1\Launch Manager\HotkeyApp.exe" [2003-05-19 45056]
"CtrlVol"="c:\progra~1\Launch Manager\CtrlVol.exe" [2003-05-12 167936]
"Wbutton"="c:\progra~1\Launch Manager\Wbutton.exe" [2003-05-28 53248]
"AcerNotebookManager"="c:\programme\Acer\Notebook Manager\almxptray.exe" [2003-05-16 509952]
"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 88107]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2002-11-25 172032]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2005-10-18 278528]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-12-22 155648]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-13 185896]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2010-09-08 30192]
"starter4g"="c:\windows\starter4g.exe" [2009-09-17 157968]
"ISW"="c:\programme\CheckPoint\ZAForceField\ForceField.exe" [2011-11-03 738944]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-9-27 110592]
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2003-9-27 49254]
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-9-27 110592]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\3.0.285\SSScheduler.exe [2012-9-5 271808]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Image Transfer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Image Transfer.lnk
backup=c:\windows\pss\Image Transfer.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^OpenOffice.org 1.1.0.lnk]
path=c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\OpenOffice.org 1.1.0.lnk
backup=c:\windows\pss\OpenOffice.org 1.1.0.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2003-11-19 16:48        32881        ----a-w-        c:\programme\Java\j2re1.4.2_03\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2006-12-13 13:11        185896        ----a-w-        c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"mnmsrvc"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\System32\\fxsclnt.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R1 SSHDRV85;SSHDRV85;c:\windows\system32\drivers\SSHDRV85.sys [03.03.2005 17:15 78848]
R2 acernbm;acernbm;c:\windows\system32\drivers\acernbm.sys [19.06.2003 04:44 6570]
R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programme\CheckPoint\ZAForceField\ISWKL.sys [03.11.2011 15:44 27016]
R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programme\CheckPoint\ZAForceField\ISWSVC.exe [03.11.2011 15:44 497280]
R2 WTGService;WTGService;c:\programme\XSManager\WTGService.exe [20.02.2012 08:56 312784]
R2 XS Stick Service;XS Stick Service;c:\windows\service4g.exe [20.02.2012 08:56 125200]
R3 POWERKEY;POWERKEY;c:\progra~1\Launch Manager\POWERKEY.sys [19.06.2003 04:38 2343]
S1 mailKmd;mailKmd; [x]
S3 cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s;c:\windows\system32\drivers\cmnsusbser.sys [20.02.2012 08:56 103424]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.09.2007 15:06 264704]
S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [20.11.2008 20:31 30192]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\3.0.285\McCHSvc.exe [05.09.2012 16:56 234776]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?]
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-30 11:00]
.
2013-01-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-30 11:00]
.
2013-01-05 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-04 06:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\tt1an21g.default\
FF - ExtSQL: 2012-12-03 17:18; {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}; c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\tt1an21g.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}
FF - ExtSQL: 2012-12-03 17:19; {FFB96CC1-7EB3-449D-B827-DB661701C6BB}; c:\programme\CheckPoint\ZAForceField\TrustChecker
FF - ExtSQL: !HIDDEN! 2009-09-02 15:31; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-ZoneAlarm - c:\programme\CheckPoint\ZoneAlarm\zatray.exe
MSConfigStartUp-Mozilla Quick Launch - c:\programme\Netscape\Netscape\Netscp.exe
AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0407.EXE
AddRemove-Adobe Illustrator 9.0 - c:\windows\ISUN0407.EXE
AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9c.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-07 19:41
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(376)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
- - - - - - - > 'lsass.exe'(432)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
- - - - - - - > 'explorer.exe'(2068)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\AGRSMMSG.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-07  19:46:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-01-07 18:46
.
Vor Suchlauf: 16 Verzeichnis(se), 14*015*873*024 Bytes frei
Nach Suchlauf: 31 Verzeichnis(se), 13*972*553*728 Bytes frei
.
- - End Of File - - 209AB27D3C7FC08DD47EA5D218805852


--- --- ---


ryder 07.01.2013 21:50

Gut gemacht, man muss eben auch leider geduldig sein :)

Dann


Schritt 1:
Deinstallation von Programmen
  • Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
  • Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
  • ggf. Neustart zulassen
Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält.

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy

Taucht noch Openoffice 1 oder 2 auf? Dann auch weg damit du hast schon eine Version 3.


Schritt 2:
Nochmal mit Combofix scannen.

mw1972 07.01.2013 23:17

Nochmals erledigt. Hier der 2te Scan:

Code:

ComboFix 13-01-05.01 - Besitzer 07.01.2013  22:51:46.3.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.750.399 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\NoMBR.exe
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00FC-0D24-347CA8A3377C}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\WindowsUpdate.log . . . . Nicht in der Lage zu löschen
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-12-07 bis 2013-01-07  ))))))))))))))))))))))))))))))
.
.
2013-01-07 18:13 . 2013-01-07 18:13        --------        d-----w-        C:\FOUND.013
2013-01-05 15:14 . 2013-01-05 15:14        --------        d-----w-        c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2013-01-05 15:14 . 2013-01-05 15:14        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-01-05 15:14 . 2013-01-05 15:14        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2013-01-05 15:14 . 2012-12-14 15:49        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys
2013-01-02 14:39 . 2013-01-02 14:40        --------        d-----w-        c:\dokumente und einstellungen\Administrator
2013-01-02 13:48 . 2013-01-02 13:48        --------        d-----w-        C:\FOUND.012
2013-01-02 13:37 . 2013-01-04 11:28        3178        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\0tbpw.js
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-12 06:10 . 2012-07-04 09:24        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-12 06:10 . 2012-07-04 09:24        697272        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2013-01-02 08:42 . 2013-01-02 08:41        262112        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="LaunApp" [X]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-04-06 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-04-06 114688]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-04-24 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-04-24 610304]
"LaunchAp"="c:\progra~1\Launch Manager\LaunchAp.exe" [2003-05-12 32768]
"PowerKey"="c:\progra~1\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\progra~1\Launch Manager\HotkeyApp.exe" [2003-05-19 45056]
"CtrlVol"="c:\progra~1\Launch Manager\CtrlVol.exe" [2003-05-12 167936]
"Wbutton"="c:\progra~1\Launch Manager\Wbutton.exe" [2003-05-28 53248]
"AcerNotebookManager"="c:\programme\Acer\Notebook Manager\almxptray.exe" [2003-05-16 509952]
"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 88107]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2002-11-25 172032]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2005-10-18 278528]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-12-22 155648]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-13 185896]
"starter4g"="c:\windows\starter4g.exe" [2009-09-17 157968]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-9-27 110592]
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2003-9-27 49254]
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-9-27 110592]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Image Transfer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Image Transfer.lnk
backup=c:\windows\pss\Image Transfer.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^OpenOffice.org 1.1.0.lnk]
path=c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\OpenOffice.org 1.1.0.lnk
backup=c:\windows\pss\OpenOffice.org 1.1.0.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2003-11-19 16:48        32881        ----a-w-        c:\programme\Java\j2re1.4.2_03\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2006-12-13 13:11        185896        ----a-w-        c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"mnmsrvc"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\System32\\fxsclnt.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R1 SSHDRV85;SSHDRV85;c:\windows\system32\drivers\SSHDRV85.sys [03.03.2005 17:15 78848]
R2 acernbm;acernbm;c:\windows\system32\drivers\acernbm.sys [19.06.2003 04:44 6570]
R2 WTGService;WTGService;c:\programme\XSManager\WTGService.exe [20.02.2012 08:56 312784]
R2 XS Stick Service;XS Stick Service;c:\windows\service4g.exe [20.02.2012 08:56 125200]
R3 POWERKEY;POWERKEY;c:\progra~1\Launch Manager\POWERKEY.sys [19.06.2003 04:38 2343]
S1 mailKmd;mailKmd; [x]
S3 cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s;c:\windows\system32\drivers\cmnsusbser.sys [20.02.2012 08:56 103424]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.09.2007 15:06 264704]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?]
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-30 11:00]
.
2013-01-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-30 11:00]
.
2013-01-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-04 06:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\tt1an21g.default\
FF - ExtSQL: 2012-12-03 17:18; {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}; c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\tt1an21g.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}
FF - ExtSQL: 2012-12-03 17:19; {FFB96CC1-7EB3-449D-B827-DB661701C6BB}; c:\programme\CheckPoint\ZAForceField\TrustChecker
FF - ExtSQL: !HIDDEN! 2009-09-02 15:31; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-07 23:08
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\AGRSMMSG.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-07  23:12:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-01-07 22:12
ComboFix2.txt  2013-01-07 18:46
.
Vor Suchlauf: 30 Verzeichnis(se), 13*968*424*960 Bytes frei
Nach Suchlauf: 31 Verzeichnis(se), 13*973*848*064 Bytes frei
.
- - End Of File - - 669DBE4AA59F9E28779F88C64D7C00AB

Ist noch was zu tun?

Vor allem, wie kann ich die Avira-Meldung wegbekommen, wo doch nicht mehr installiert?

ryder 08.01.2013 14:00

D.h. du hast derzeit gar keinen Virenschutz installiert?

mw1972 08.01.2013 20:13

Das ist nicht nötig. Rechner vom Netz. Werde erst wieder versuchen, was zu installieren, wenn er sauber ist.

Ist das jetzt der Fall?

ryder 08.01.2013 20:22

Nein wir entfernen erst die Überreste:


Schritt 1:
OpenOffice 2 entfernen


Schritt 2:
Combofix-Skript
WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

  • Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
  • Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
  • Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
  • Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
    Code:


    File::
    c:\dokumente und einstellungen\All Users\Anwendungsdaten\0tbpw.js

    SecCenter::
    AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
    AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
    AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
    AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00FC-0D24-347CA8A3377C}

    ClearJavaCache::

  • Speichere dies als CFScript.txt auf deinem Desktop.
  • Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
  • Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  • Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
    Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:

Hinweis:
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Schritt 3:
Installiere Avast.

Lade dir den Scanner und installiere ihn nach dieser Anleitung.

mw1972 08.01.2013 23:44

Liste der Anhänge anzeigen (Anzahl: 1)
Ich kann Openoffice nicht entfernen, da der Installer beschädigt zu sein scheint (siehe Screenshot).

Was tun?


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131