Trojaner-Board - Gema ukash_Systemwiederherrstellung funktioniert nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Gema ukash_Systemwiederherrstellung funktioniert nicht (https://www.trojaner-board.de/105480-gema-ukash_systemwiederherrstellung-funktioniert.html)

Gema ukash_Systemwiederherrstellung funktioniert nicht

Jetzt hat es mich oder besser gesagt mein notebook hat ein Malware erwischt. "Der Grund für die Sperrung ist illegales Musik download"; das Problem dürfte aber der alte sein. Ich habe 2 Stunden gegoogelt und habe auch zwei mal versucht das System wiederherrzustellen. Leider vergeblich.
Was soll ich tun?

Ich benutze Windows XP. Im Anhang ist der "Screenshot" mit der Trojaner mesagge. Ich hoffe, ich habe nichts vergessen. Danke für den Support im voraus.

starte mal in den abgesicherten modus mit netzwerk, sollte bei pc start mit f8 gehen.
dann sollte das folgende funktionieren.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo markusg,
danke für die schnelle Antwort.
Ich habe über nicht infiziertes pc OTL auf USB runtergeladen und habe mein infiziertes notebook im angesichertem Modus mit Netzwerkbetreiber gestartet aber wie soll ich OTL auf mein Desktop speichern wenn jedesmal diese GEMA Desktopbild erscheint?? Gibt es ein Trick?

hi,
ok, ich dachte es erscheint dort evtl. nicht.
dann machen wirs anders.
lade auf dem sauberen pc combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

kopiere es auf den stick, stick in den infizierten pc
jetzt starte den pc neu, in den abgesicherten modus mit eingabeaufforderung
tippe:
d:\combofix.exe
enter
falls es nicht das richtige laufwerk ist, dann mit e: f: usw. versuchen
falls der pc nach dcombofix nicht neustartet mach das mal selber und poste das log wenn alles läuft

ich habe richtige laufwerk gefunden und combofix "gestartet". Es kam aber die Meldung:" Combofix hat festgestellt das folgende Real-Time-Scanner aktiv sind: antivirus: AntiVir Desktop---und das bekannt ist dass solche Programme Arbeit von combofix behindern was evtl. zu pc Schäden führen kann und das man diese Scanner deaktivieren soll bevor man auf OK klickt".
Kann ich AntiVir im abgesichertem Modus deaktivieren? Auf Desktop komme ich nicht. Darf ich trotzdem auf OK klicken? Danke...

überspringe das mit klick auf ok

ok. geschafft. hier ist C:\Combofix.txt:
Combofix Logfile:

Code:

ComboFix 11-11-27.02 - Administrator 27.11.2011  18:50:25.1.1 - x86 MINIMAL

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.495.346 [GMT 1:00]

ausgeführt von:: h:\ComboFix.exe

AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\sx5u7frt55.exe

c:\dokumente und einstellungen\Administrator\Anwendungsdaten\u5hr46sirtijyrt5.exe

c:\dokumente und einstellungen\Lenni\WINDOWS

c:\windows\IsUn0407.exe

c:\windows\tsoc.log

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-10-27 bis 2011-11-27  ))))))))))))))))))))))))))))))

.

.

2011-11-25 18:03 . 2011-11-27 17:26        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2011-11-11 18:46 . 2011-11-11 18:46        --------        d-----w-        c:\programme\Application Updater

2011-11-11 18:46 . 2011-11-11 18:46        --------        d-----w-        c:\programme\pdfforge Toolbar

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-10-14 07:15 . 2011-05-20 17:02        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-10-10 14:22 . 2010-10-05 22:14        692736        ----a-w-        c:\windows\system32\inetcomm.dll

2011-09-28 07:06 . 2010-10-05 22:14        604160        ----a-w-        c:\windows\system32\crypt32.dll

2011-09-26 09:41 . 2008-07-29 17:59        614912        ----a-w-        c:\windows\system32\uiautomationcore.dll

2011-09-26 09:41 . 2001-08-23 12:00        23040        ----a-w-        c:\windows\system32\oleaccrc.dll

2011-09-26 09:41 . 2001-08-23 12:00        220160        ----a-w-        c:\windows\system32\oleacc.dll

2011-09-06 14:10 . 2001-08-23 12:00        1859072        ----a-w-        c:\windows\system32\win32k.sys

2011-11-21 20:13 . 2011-09-19 17:50        134104        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-01-26 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-01-26 118784]

"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2003-10-30 192512]

"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2003-01-02 172032]

"AGRSMMSG"="AGRSMMSG.exe" [2003-04-18 88363]

"00THotkey"="c:\windows\system32\00THotkey.exe" [2004-03-29 253952]

"000StTHK"="000StTHK.exe" [2001-06-23 24576]

"TouchED"="c:\programme\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 122880]

"TFncKy"="TFncKy.exe" [BU]

"TPSMain"="TPSMain.exe" [2004-04-01 266240]

"SigmaTel StacMon"="c:\programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe" [2003-08-03 86073]

"QuickPassword"="c:\programme\ActivCard\ActivCard Gold\agquickp.exe" [2003-03-12 221184]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2011-09-27 894304]

"XStzV0FikIADbMr"="c:\dokumente und einstellungen\Lenni\Anwendungsdaten\u5hr46sirtijyrt5.exe" [2011-11-25 319488]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"*Restore"="c:\windows\system32\restore\rstrui.exe" [2008-04-14 385536]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2010-11-6 110592]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Thunderbird]

c:\programme\Mozilla Thunderbird\thunderbird -turbo [X]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 05:52        15360        ----a-w-        c:\windows\system32\ctfmon.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Dokumente und Einstellungen\\Lenni\\Lokale Einstellungen\\Anwendungsdaten\\Akamai\\netsession_win.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1041:TCP"= 1041:TCP:Akamai NetSession Interface

"5000:UDP"= 5000:UDP:Akamai NetSession Interface

.

S2 Accoca;ActivCard Gold service;c:\programme\Gemeinsame Dateien\ActivCard\accoca.exe [19.02.2003 14:33 159744]

S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [23.08.2001 13:00 14336]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.11.2010 21:01 136360]

S2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [27.09.2011 20:08 745880]

S3 SCMUSB;SCR301 USB Smart Card Reader;c:\windows\system32\drivers\stcusb.sys [08.10.2010 07:08 18912]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Akamai        REG_MULTI_SZ           Akamai

.

.

------- Zusätzlicher Suchlauf -------

.

mStart Page = hxxp://startsear.ch/?aff=1

TCP: DhcpNameServer = 192.168.0.1

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - 

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE

AddRemove-Power Saver - c:\windows\IsUn0407.exe

AddRemove-TouchED - c:\windows\IsUn0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-11-27 18:56

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Akamai]

"ServiceDll"="c:\programme\gemeinsame dateien\akamai/netsession_win_d768ebc.dll"

.

Zeit der Fertigstellung: 2011-11-27  18:58:35

ComboFix-quarantined-files.txt  2011-11-27 17:58

.

Vor Suchlauf: 6 Verzeichnis(se), 38.719.352.832 Bytes frei

Nach Suchlauf: 8 Verzeichnis(se), 40.528.482.304 Bytes frei

.

- - End Of File - - F9B211C8AB169E9EA7ADFED94D3CE01F

--- --- ---
Jetzt sehe ich im abgesichertem modus schwarzes desktop und kann auf software z.B. AntiVir zugreifen.
Danke für den Support bis jetzt. Ich warte auf weitere Anweisungen...

öffne bitte den arbeitsplatz, c: rechtsklick qoobox, mit winrar zip oder anderem packer ein archiv erstellen und nach anleitung hochladen
http://www.trojaner-board.de/54791-a...ner-board.html

Puuuuh, jetzt wird es spannend. Ich habe alles nach der Anleitung gemacht und beim hochladen im Trojaner-Board Upload Channel kam eine Meldung vom AntiVir, dass sich in der komprimierte Datei: Qoobox ein Malware befindet (APP2/Winlock.A'). Ich habe wohl vergessen AntiVir auszuschalten aber ich habe gerade Angst dass ich meinem "gesundem" pc ein Malware verpasse!
Was soll ich machen? AntiVir trotzdem ausschalten und Qoobox.zip auf Trojaner-Board Upload Channel hochladen? Überlebt mein pc das? Soll ich Ordneroptionen/Asicht danach wieder rückgängig machen?
Ich habe absolutes Vertrauen...

einfach nen rechtsklick auf den avira schirm, guard deaktivieren dann gehts. danach guard einschalten.

Ich habe die Datei erfolgreich hochgeladen. PC hat es "überlebt" Danke. Wie läuft es weiter?

hi

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Leider komme ich mit dem Malwarebytes nicht weiter. Es zeigt nach der Installatin ein Fehlercode: Programm_Error_Updating (11004,0,no adress found). Das gleich kommt auch nach Aktualisierung --> Suche nach Aktualisierung.

Ich habe jetzt trotzdem vollständiger Scan gestartet...

ok, schaun wir mal was raus kommt

ok. Suchlauf ist beendet. 16 infizierte Objekte gefunden: hier ist das log file

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7622

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

27.11.2011 21:47:16
mbam-log-2011-11-27 (21-47-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 209217
Laufzeit: 41 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.5 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.6 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.7 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.8 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\IE\4.7\pdfforgetoolbarie.dll (PUP.Dealio.TB) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP103\A0040274.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP110\A0041279.rbf (PUP.Dealio.TB) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP110\A0042505.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP111\A0049695.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP112\A0052916.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP96\A0038581.rbf (PUP.Dealio.TB) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP96\A0038597.old (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP98\A0038836.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Lenni\lokale einstellungen\Temp\0.47770973382446935.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Lenni\lokale einstellungen\Temp\0.7152930481308014.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.

Hallo markusg, muss morgen um 5Uhr aufstehen und daher Schluß machen für heute. Ich warte auf weitere Anweisungen. Danke für Support heute und ich hoffe dass man morgen vorankommen werden. Gute Nacht