Trojaner-Board - Windows Fix Disk und einige Dateien nicht sichtbar

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows Fix Disk und einige Dateien nicht sichtbar (https://www.trojaner-board.de/99551-windows-fix-disk-einige-dateien-sichtbar.html)

Windows Fix Disk und einige Dateien nicht sichtbar

Hi alle zusammen,

ich habe mir ebenfalls den Windows Fix Disk Virus eingefangen und kann nur teilweise auf meine Programme und Dateien zugreifen.

Habe versucht die Anweisungen nach folgendem Link zu befolgen. http://www.trojaner-board.de/97618-w...ntergrund.html

...hatte dabei nur teilsweise Erfolg...

Den Virenscan habe ich schon durchlaufen und die entsprechenden Dateien gelöscht. Ich habe auch schon den OTL Systemscan und versucht das unhide Programm zu verwenden. Dabei wurde ein Teil der Dateien auf dem Desktop sichtbar, jedoch kann ich bspw. nicht die Programme unten in der Startleiste ausführen.
Im Anhang befinden sich die Extra- und OTL-Texte.

Kann mir Bitte jemand helfen, da ich computertechnisch gerade mal weiß wie der Rechner angeht!

Zitat:

Den Virenscan habe ich schon durchlaufen und die entsprechenden Dateien gelöscht.

Welchen? Logs dazu?

Habe dafür Anti-Malware verwendet. Die Logs waren die Gleichen, wie unter dem Link angegeben.

Welcher Eingabetext würde bei mir für den OTL-Fix zutreffen? Kann ich den selber erstellen?

Gruß Matze

Was heißt die gleichen? Du willst mir doch nicht erzählen, dass die Logs in dem Strang 1:1 dieselben sind wie deine? :balla:

Poste bitte alle Logs von deinem Rechner!

Oh sorry, dachte ich würde nicht mehr an sie herankommen...wie gesagt, bin nicht so der Computercrack!

Log 1:
Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6671

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

25.05.2011 11:08:05
mbam-log-2011-05-25 (11-08-05).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 0
Laufzeit: 8 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Log 2:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6671

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

25.05.2011 11:49:46
mbam-log-2011-05-25 (11-49-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 345424
Laufzeit: 40 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pcotATwPWkOrt (Trojan.FakeAlert) -> Value: pcotATwPWkOrt -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\pcotatwpwkort.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\program files (x86)\image-line\toxic biohazard\toxic biohazard.dll (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\Users\ASUS\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\XQVFVJYA\files_load1[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programdata\45734588.exe (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.

Log 3:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6672

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

25.05.2011 13:27:27
mbam-log-2011-05-25 (13-27-27).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 166326
Laufzeit: 3 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

c:\program files (x86)\image-line\toxic biohazard\toxic biohazard.dll (Trojan.Backdoor)

Wasndas? Stammt aus welcher Quelle?

Malwarebytes Anti-Malware

Habe das Programm gerade gefunden, ist ein Zusatzprogramm für eine Musiksoftware. Habs Sie jetzt deinstalliert und gelöscht!

Und aus welcher Quelle?

Ehrlich gesagt kenne ich die quelle nicht mehr, war auf irgendeiner Amiseite.
Komischerweise hab ichs installiert und dann nie benutzt!

Welchen Virenscan würdest Du mir empfehlen? Ich benutze momentan Antivir, TrendMicro und neuerdings, Du ahnst es Malwarebytes. TrendMicro wurde mir von ASUS vor 1,5 Jahren draufgehauen, nachdem mir die Festplatte nach einer Woche nach dem Kauf kaputt gegangen ist.

Viele Grüße

Matze

Zitat:

O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files (x86)\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\tbDVD0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Program Files (x86)\softonic-de3\tbsoft.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)

Hm, was willst du mit diesen komischen Toolbars auf dem Rechner? Am besten alles entfernen wo Toolbar steht, was in der Systemsteuerung unter Software bzw. Programme und Funktionen zu sehen ist und bei zukünftigen Programminstallation immer die benutzerdefinierte Methode anklicken, damit man bei der Installation mögliche Toolbars abwählen kann.
Deinstalliere bei der Gelegenheit auch alle anderen unnötigen Programme über die Systemsteuerung.

Vielen Dank bis dahin!

WEiß auch nicht warum ich immer diese Toolbars heruntergeladen habe. Dachte sowas bräuchte man, damit das Programm läuft!
Aber habe sie jetzt gelöscht und auch einige andere Programme, die ich nicht brauche.
Nimmt eigentlich der Arbeitsspeicher bzw. die Rechengeschwindigkeit des Computers ab, obwohl die Programme garnicht ausgeführt werden?

Viele Grüße
Matze

Zitat:

Dachte sowas bräuchte man, damit das Programm läuft!

Nein, die Dinger werden einfach mitinstalliert bei vielen Programmsetups, deswegen solltest du immer die benutzerdefinierte Methode beim Installieren von Software wählen, damit man möglichbars gleich schon beim Setup rausschmeißen kann und diese garnicht erst installiert werden!

Zitat:

Nimmt eigentlich der Arbeitsspeicher bzw. die Rechengeschwindigkeit des Computers ab, obwohl die Programme garnicht ausgeführt werden?

Jedes zusätzliche Programm stellt im Grunde eine Belastung da. Toolbars sind einfach nur unsinniger Müll.

Mach bitte nun ein frisches OTL-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hier ist das Logfile.
Es ist bemerkenswert wie Du aus dieser Sprache schlau werden kannst! Ich sehe darin nur einzelne Wörter mit Hieroglyphen und Zahlen.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"

FF - prefs.js..browser.search.defaultthis.engineName: "Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.selectedEngine: "ICQ Search"

FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590

FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q="

FF - prefs.js..network.proxy.backup.ftp: "82.199.137.20"

FF - prefs.js..network.proxy.backup.ftp_port: 3128

FF - prefs.js..network.proxy.backup.gopher: "82.199.137.20"

FF - prefs.js..network.proxy.backup.gopher_port: 3128

FF - prefs.js..network.proxy.backup.socks: "82.199.137.20"

FF - prefs.js..network.proxy.backup.socks_port: 3128

FF - prefs.js..network.proxy.backup.ssl: "82.199.137.20"

FF - prefs.js..network.proxy.backup.ssl_port: 3128

FF - prefs.js..network.proxy.ftp: "129.242.19.196"

FF - prefs.js..network.proxy.ftp_port: 3127

FF - prefs.js..network.proxy.gopher: "129.242.19.196"

FF - prefs.js..network.proxy.gopher_port: 3127

FF - prefs.js..network.proxy.http_port: 3127

FF - prefs.js..network.proxy.share_proxy_settings: true

FF - prefs.js..network.proxy.socks: "129.242.19.196"

FF - prefs.js..network.proxy.socks_port: 3127

FF - prefs.js..network.proxy.ssl: "129.242.19.196"

FF - prefs.js..network.proxy.ssl_port: 3127

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O4 - HKLM..\Run: [Setwallpaper]  File not found

O4 - HKCU..\Run: []  File not found

O4 - HKCU..\Run: [ICQ]  File not found

[2011/05/25 09:59:50 | 000,000,000 | ---D | C] -- C:\Users\ASUS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows 7 Recovery

[2011/05/25 12:55:22 | 000,000,003 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\tmvsthfud.bin

[2011/05/25 12:55:05 | 000,000,003 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\tmvsthfss.bin

:Files

C:\ProgramData\~*

C:\ProgramData\4*

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

SChicke Dir mal den Log so. Kann die Datei nicht hochladen!

Achja, weißt Du vllt wo sich mein Papierkorb versteckt?

========== OTL ==========
Prefs.js: "ICQ Search" removed from browser.search.defaultenginename
Prefs.js: "Search" removed from browser.search.defaultthis.engineName
Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
Prefs.js: "ICQ Search" removed from browser.search.selectedEngine
Prefs.js: toolbar@ask.com:3.11.3.15590 removed from extensions.enabledItems
Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=" removed from keyword.URL
Prefs.js: "82.199.137.20" removed from network.proxy.backup.ftp
Prefs.js: 3128 removed from network.proxy.backup.ftp_port
Prefs.js: "82.199.137.20" removed from network.proxy.backup.gopher
Prefs.js: 3128 removed from network.proxy.backup.gopher_port
Prefs.js: "82.199.137.20" removed from network.proxy.backup.socks
Prefs.js: 3128 removed from network.proxy.backup.socks_port
Prefs.js: "82.199.137.20" removed from network.proxy.backup.ssl
Prefs.js: 3128 removed from network.proxy.backup.ssl_port
Prefs.js: "129.242.19.196" removed from network.proxy.ftp
Prefs.js: 3127 removed from network.proxy.ftp_port
Prefs.js: "129.242.19.196" removed from network.proxy.gopher
Prefs.js: 3127 removed from network.proxy.gopher_port
Prefs.js: 3127 removed from network.proxy.http_port
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "129.242.19.196" removed from network.proxy.socks
Prefs.js: 3127 removed from network.proxy.socks_port
Prefs.js: "129.242.19.196" removed from network.proxy.ssl
Prefs.js: 3127 removed from network.proxy.ssl_port
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{872B5B88-9DB5-4310-BDD0-AC189557E5F5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Setwallpaper deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ICQ deleted successfully.
C:\Users\ASUS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows 7 Recovery folder moved successfully.
C:\Windows\SysNative\drivers\etc\tmvsthfud.bin moved successfully.
C:\Windows\SysNative\drivers\etc\tmvsthfss.bin moved successfully.
========== FILES ==========
C:\ProgramData\~45734588 moved successfully.
C:\ProgramData\~45734588r moved successfully.
C:\ProgramData\45734588 moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.23.0 log created on 05262011_123151