Trojaner-Board - GVU Trojaner auf meinem Netbook- Windows XP

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU Trojaner auf meinem Netbook- Windows XP (https://www.trojaner-board.de/130190-gvu-trojaner-meinem-netbook-windows-xp.html)

GVU Trojaner auf meinem Netbook- Windows XP

Hallo zusammen,

folgendes Problem:

Wenn ich mein Netbook mit Windows XP starte kommt die den ganzen Bildschirm umfassende Meldung "Die Funktionen Ihres Computers wurden aus Gründen unbefugter Netzaktivitäten ausgesetz" und ich bin "verpflichtet eine Strafe in Höhe von 100 euros zu begleichen".

Wie ich in diversen anderen Threads gelesen habe, ist ein benutzerangepasstes Skript notwendig. Ich hoffe daher, dass ihr mir helfen könnt.

Habe schon versucht den PC im abgesicherte Modus mit Netzwerktreibern zu starten, aber egal ob ich Ja oder Nein anklicke, es kommt trotzdem die oben beschriebene Meldung.

Jetzt weiß ich nicht weiter. Über eure Hilfe freue ich mich sehr! Vielen Dank.

EDIT: habe schon mal vorab einen USB Stick mit HitmanPro.Kickstart betankt, wie in der Anleitung in den anderen Threads beschrieben. Mehr habe ich noch nicht gemacht. Und ich habe an meinem Netbook KEIN CD/DVD-Rom-Laufwerk

:hallo:

OTLpe auf USB-Stick installieren

Vorbereitung unter Windows:

Benötigt wird ein USB-Stick (2 GB oder größer). Sichere ggfs. wichtige Dateien von dem USB Stick, da diese nach den folgenden Schritten nicht mehr vorhanden sind.

Lade die OTLPEStd.exe von einem der folgenden Links herunter und speichere die Datei auf Deinem Desktop:
Downloadspiegel 1 oder Downloadspiegel 2
Lade eeepcfr.zip und speichere das Archiv ebenfalls auf Deinem Desktop.

Bei manchen Systemen funktioniert die in dem eeepcfr-Archiv enthaltene PeToUSB.exe Version 3.07 nicht.
Ersetze die PeToUSB.exe (im Ordner usbprep8) in dem eeepcfr-Archiv mit Version 3.08, die Du hierherunterladen kannst:

PeToUSB.exe Version 3.08
Alternativer Downloadlink: PeToUSB.exe Version 3.08 bei PC-Welt
Solltest Du kein Entpackprogramm haben, lade 7-Zip herunter und installiere es.

USB-Stick erstellen:

Entpacke die OTLPEStd.exe auf den Desktop (per Rechtsklick auf die Datei und wähle z. B. bei Z-Zip Entpacken nach "OTLPEstd\").
Bitte unbedingt die OTLPEStd.exe in einen eigenen Ordner namens OTLPEstd entpacken.

http://i643.photobucket.com/albums/u...stdsmaller.jpg
Öffne den Ordner OTLPEStd und mache einen Rechtsklick auf OTLPE_New_Std.iso.
Bei 7-Zip wähle aus dem Kontext-Menü Extract files... und entpacke die Dateien auf den Desktop in einen eigenen Ordner namens OTLPE:

http://i643.photobucket.com/albums/u...estdsmall2.jpg
Entpacke eeepcfr.zip nach Systemroot (ist meistens C:\).
Leere den USB-Stick, auf dem Du OTLPE installieren möchtest.
Gehe nach C:\eeecpfr und doppelklicke die usb_prep8.cmd.
Es öffnet sich eine Eingabeaufforderung.
Wenn Du dazu aufgefordert wirst, drücke eine beliebige Taste.
Vergewissere Dich, dass Du den richtigen Pfad zum USB-Stick ausgewählt hast.
Dort, wo im Bild unten steht "Select the flash drive you want to format" muss der Laufwerkbuchstabe des USB-Sticks stehen.

Bei Drive Label trage ein: OTLPE.
Unter Source Path to built BartPE/WinPE Files klicke auf den Button ... und navigiere zu dem Ordner OTLPE, den Du auf dem Desktop erstellt hast.
Mache einen Haken bei: Enable File Copy.

http://i643.photobucket.com/albums/u...g?t=1271259623
Klicke Start und akzeptiere die Nutzungsbestimmungen.

Nun kannst Du mit dem USB-Stick Dein System starten!

Hallo und vielen Dank für die Anwtwort :-)

Ich bin jetzt an diesem Punkt:
Gehe nach C:\eeecpfr und doppelklicke die usb_prep8.cmd.
Es öffnet sich eine Eingabeaufforderung.
Wenn Du dazu aufgefordert wirst, drücke eine beliebige Taste.
Vergewissere Dich, dass Du den richtigen Pfad zum USB-Stick ausgewählt hast.
Dort, wo im Bild unten steht "Select the flash drive you want to format" muss der Laufwerkbuchstabe des USB-Sticks stehen.

.. und komme nicht weiter.

Ich kann keinen USB-Stick auswählen, obwohl formatiert und am USB angeschlossen. Ich habe auch schon einen anderen Stick probiert. Aber das Programm erkennt überhaupt keine USB-Sticks. Woran könnte das liegen?

Kannst du mit dem Hitman-Stick booten?

Ja, das hat geklappt, beim 2ten Mal. Nachdem ich beim ersten Mal "im abgesicherten Modus mit Netzwerktreibern" noch einen Bluescreen hatte. Konnte auch die Logfile auf dem Desktop speichern. Aber wenn ich auf "weiter" klicke, geht es nicht mehr weiter. Trotz Auswahl der Einmalaktivierung. Wollte versuchen die Logfile dann auf den USB-Stick zu packen, aber bei Anwählen des Arbeitsplatzes hat sich mein EeePC aufgehängt.

Kannst du mit Hitman einen Scan machen?

Jep.
Ergebnis: Identifiz. Bedrohungen: 2 (Spuren: 183)

wgsdgsdgdsgsd.exe SERVICE (C:\Dokumente und Einstellungen\xx\)
SAPlatform.exe RUN (C:\Programme\sina\SAP\)

Entfernen und PC normal neustarten!

Nicht möglich, ich soll einen Lizenzschlüssel kaufen oder eingeben. Die Demo- oder Einmalfunktion (30 Tage) habe ich angeklickt, aber die Software sagt, dass Programm ist nicht aktiviert. Womit nur noch die Option bleibt Lizenzschlüssel kaufen oder eingeben.

Zitat:

aber die Software sagt, dass Programm ist nicht aktiviert

Das ist auch OK!

Mit OK weitermachen!

es gibt nur die Schaltflächen "jetzt kaufen", "Aktivieren", "Weiter"(ist aber ausgegraut!) und "Abbrechen"

Wenn ich auf den Link "Ich habe keine Produktschlüssel" klicke erscheint der folgende Hinweis: "Sie können auf diesem Computer keine Lizenz kaufen während der Kickstart-Modus. Bitte kaufen Sie eine Lizenz auf einem anderen Computer bei www.hitmanpro.com" Dann bestätige ich m it "ok" aber es ist alles beim alten..

Das ist ja kaum zu glauben (was HitmanPro da abzieht).

Kannst du mir ein Foto davon machen und hier einstellen?

Loesche die Hitman Version mit der du den Stick erstellt hast, lade es neu runter und erstelle den Stick nochmal.

Kann es sein, dass es ein geschaeftlich genutzter Rechner ist?

Nein, der Rechner wird ausschließlich privat genutzt. Ich werde nun einmal versuchen Hitman erneut runterzuladen, bin dazu nur leider die letzten Tage nicht gekommen.

Kann sein, dass dein Rechner an einer Domaene angemeldet is?

Zitat:

Was ist der Unterschied zwischen einer Domäne, einer Arbeitsgruppe und einer Heimnetzgruppe?

Domänen, Arbeitsgruppen und Heimnetzgruppen stellen unterschiedliche Methoden zum Organisieren von Computern in Netzwerken dar. Der Hauptunterschied besteht in der Verwaltung der Computer und Ressourcen in den Netzwerken.

Computer unter Windows in einem Netzwerk müssen Bestandteil einer Arbeitsgruppe oder einer Domäne sein. Computer unter Windows in Heimnetzwerken können auch Bestandteil einer Heimnetzgruppe sein. Dies ist jedoch nicht unbedingt erforderlich.

Die Computer in Heimnetzwerken sind normalerweise Bestandteil einer Arbeitsgruppe und möglicherweise einer Heimnetzgruppe, und die Computer in Arbeitsplatznetzwerken sind normalerweise Bestandteil einer Domäne.

Nicht, dass ich wüsste. Aber ich nutze im Haushalt insgesamt 3 Rechner. Also vielleicht doch möglich?

Das erneute runterladen von Hitman, formatieren des USB-Sticks und erneutes installieren auf dem formatierten Stick mit anschließendem booten auf dem infizierten Rechner zeigt das exakt identische Bild wie vorher, mit einer Ausnahme. Er zeigt nun noch eine 3. verseuchte Datei an.

Erstellen einer UBCD4Win-CD und Scan mit FRST (Windows XP) Die folgenden Schritte sind sehr komplex, daher druckst du dir die Anleitung besser aus. Außerdem brauchst du:

Einen funktionierenden Computer mit DVD/CD-Brenner
Einen CD-Rohling.
Einen USB-Stick.

Falls du bei den folgenden Schritten eine Fehlermeldung bekommst, gib mir bitte Bescheid und gib an, an welcher Stelle das genau passiert ist. A) Lade dir bitte die Ultimate Boot CD für Windows

Speichere es auf deinen Desktop und doppelklicke die UBCD4Win.EXE.
Folge den Anweisungen auf dem Bildschirm.
Wichtig:
- Installiere es nicht in einen Ordner mit Leerzeichen!
- Dein Virusscanner könnte anschlagen, wenn die Dateien entpackt werden. Dies sind aber Fehlalarme.

B) Lege deine Windows XP CD mit SP1/SP2/SP3 (Servicepacks) in dein CD-Laufwerk

Doppelklicke die UBCD4WinBuilder.exe im Ordner c:\ubcd4win, falls du nicht gleich vom Setup dorthin gesprungen bist.
Unter Windows Vista / 7 / 8 musst du den Builder mit Rechtsklick > Als Administrator starten.
Klicke Ich stimme zu, bei der nächsten Frage: Nein
Im folgenden Menü mache folgende Einstellungen:
- Quelle: Klicke "..." und wähle das Laufwerk aus.
- Zusätzliches: Lass das hier leer.
- Zielordner: Hier steht "BartPE", lass das so.
- Bootmedium: "ISO-Image erstellen" sollte angewählt sein - belasse dies so.
Hinweis: Falls deine XP-CD das Service Pack 1 enthält (nur dann), mache bitte folgendes:
- Klicke auf Plugins.
- Deaktiviere !Critical: DComLaunch Service
- Aktiviere !Critical: LargeIDE Fix
- Klicke: Schliessen
Hinweis: Falls du eine Installations-CD von Dell hast, dann folge bitte diesem Link für weitere Hinweise.

C) Klicke jetzt auf den Start-Button

Klicke zum Erstellen des Verzeichnisses auf Ja.
Klicke auf "Ich stimme zu", warte einige Minuten während das Image erstellt wird und dann auf schliessen > Beenden.

D) Brenne das ISO-Image auf den CD-Rohling: Anleitung E) Lade Farbar's Recovery Scan Tool auf den sauberen Rechner und speichere es auf den USB-Stick. F) Schließe den USB-Stick an den infizierten Rechner an, lege die UBCD4Win-CD ein und starte ihn.

Sorge dafür, dass der Computer von CD startet. (Anleitung)
Es erscheint ein Fenster in dem du die Ultimate Boot CD für Windows auswählst und Enter drücken sollst. Dies kann eine Weile dauern, sei einfach geduldig.
Wenn der Desktop erscheint, wird eine Nachricht erscheinen: Do you want to start Network support? Antworte mit Ja, wenn du sofort online gehen willst, um dein Logfile zu posten.
Es erscheint ein blauer Desktop mit grüner Schrift und einigen Icons auf der linken Seite.

G) Klicke auf das Computersymbol oben links, finde Farbar's Recovery Scan Tool (FRST.exe) auf deinem USB-Stick.

Starte FRST mit einem Doppelklick.
Bestätige die Abfrage.
Klicke auf Scan
Ein Logfile namens FRST.txt wird erstellt. Poste es hier in deinem Thema, möglichst in CODE-Tags (#-Symbol im Editor).

Leider habe ich kein CD-Laufwerk an meinem Eee-PC. Gibt es vielleicht nicht noch eine andere Alternative, die ohne CD auskommt? Oder muss ich anstelle der CD einfach einen zweiten USB-Stick nehmen?

Ich empfehle dir ein externes CD/DVD Laufwerk zu besorgen. Das kostet nichtmal 30 euro.

Alles andere ist zu aufaendig es ueber die Ferne zu machen.

Code:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 13-03-2013 (ATTENTION: FRST version is 26 days old)

Ran by SYSTEM at 08-04-2013 20:00:21

Running from D:\

Microsoft Windows XP  Service Pack 2 (X86) OS Language: Georgian 

The current controlset is ControlSet001
 

==================== Registry (Whitelisted) ===================
 

HKLM\...\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe [98304 2008-06-03] (ASUSTeK Computer Inc.)

HKLM\...\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe [479232 2008-06-03] (ASUSTeK Computer Inc.)

HKLM\...\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe [94208 2008-05-20] (ASUSTeK Computer Inc.)

HKLM\...\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe [335872 2008-07-23] (ELANTECH Devices Corp.)

HKLM\...\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [x]

HKLM\...\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-08-08] (Avira Operations GmbH & Co. KG)

Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
 

==================== Services (Whitelisted) ===================
 

2 AntiVirSchedulerService; "C:\Programme\Avira\AntiVir Desktop\sched.exe" [86224 2012-05-01] (Avira Operations GmbH & Co. KG)

2 AntiVirService; "C:\Programme\Avira\AntiVir Desktop\avguard.exe" [110032 2012-05-01] (Avira Operations GmbH & Co. KG)

2 Eventlog; C:\Windows\System32\services.exe [111104 2009-02-09] (Microsoft Corporation)

3 FLEXnet Licensing Service; "C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe" [651720 2009-06-04] (Macrovision Europe Ltd.)

2 gupdate1c98aadeae8deb8; "C:\Programme\Google\Update\GoogleUpdate.exe" /svc [133104 2009-02-09] (Google Inc.)

3 gupdatem; "C:\Programme\Google\Update\GoogleUpdate.exe" /medsvc [133104 2009-02-09] (Google Inc.)

4 gusvc; "C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe" [194104 2011-09-26] (Google)

4 InCDsrv; C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe [1554728 2007-11-26] (Nero AG)

4 IviRegMgr; C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe [112152 2007-01-04] (InterVideo)

4 LightScribeService; "C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe" [79136 2007-12-05] (Hewlett-Packard Company)

3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [115760 2013-01-05] (Mozilla Foundation)

3 NBService; C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe [800040 2007-09-17] (Nero AG)

3 NMIndexingService; "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe" [279848 2007-06-27] (Nero AG)

3 nosGetPlusHelper; C:\Programme\NOS\bin\getPlus_Helper_3004.dll [66112 2010-08-13] (NOS Microsystems Ltd.)

2 ReMService; C:\Programme\Honeywell\HHIDMAgent\ReMService.exe [284032 2011-07-08] (Honeywell International Inc)

2 RichVideo; "C:\Programme\CyberLink\Shared Files\RichVideo.exe" [272024 2007-05-14] ()

3 ServiceLayer; "C:\Programme\PC Connectivity Solution\ServiceLayer.exe" [637952 2009-06-02] (Nokia.)

2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [160944 2012-07-13] (Skype Technologies)

3 usnjsvc; "C:\Programme\Windows Live\Messenger\usnsvc.exe" [98328 2007-10-18] (Microsoft Corporation)

2 VMCService; "C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe" [14336 2008-07-04] (Vodafone)

2 winmgmt; C:\DOKUME~1\j-B\wgsdgsdgdsgsd.exe [161792 2013-01-25] (Microsoft Corporation)

3 WLSetupSvc; "C:\Programme\Windows Live\installer\WLSetupSvc.exe" [266240 2007-10-25] (Microsoft Corporation)

3 AppMgmt; C:\Windows\System32\appmgmts.dll [x]

2 FirebirdGuardianDefaultInstance; C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe -s DefaultInstance [x]

3 FirebirdServerDefaultInstance; C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance [x]

3 FontCache3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [x]

3 idsvc; "c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe" [x]

2 JavaQuickStarterService; "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf" [x]

4 NetTcpPortSharing; "c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe" [x]
 

==================== Drivers (Whitelisted) ====================
 

3 AsusACPI; C:\Windows\System32\DRIVERS\ASUSACPI.sys [11264 2007-07-26] (ASUSTeK Computer Inc.)

2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-04-24] (Avira GmbH)

1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-04-27] (Avira GmbH)

1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36000 2012-04-16] (Avira GmbH)

3 CCDECODE; C:\Windows\System32\DRIVERS\CCDECODE.sys [17024 2008-04-13] (Microsoft Corporation)

3 dciiodrv; \??\C:\WINDOWS\system32\drivers\dciiodrv.sys [2944 2008-10-17] ()

3 HDAudBus; C:\Windows\System32\DRIVERS\HDAudBus.sys [144384 2008-04-14] (Windows (R) Server 2003 DDK provider)

3 hitmanpro37; \??\C:\WINDOWS\system32\drivers\hitmanpro37.sys [30616 2013-02-05] ()

4 InCDfs; C:\Windows\System32\drivers\InCDFs.sys [118952 2007-11-26] (Nero AG)

1 InCDPass; C:\Windows\System32\drivers\InCDPass.sys [36776 2007-11-26] (Nero AG)

1 InCDrec; C:\Windows\System32\Drivers\InCDrec.sys [16040 2007-11-26] (Nero AG)

1 incdrm; C:\Windows\System32\drivers\InCDRm.sys [38440 2007-11-26] (Nero AG)

3 Ktp; C:\Windows\System32\DRIVERS\ETD.sys [25088 2008-07-14] (ELANTECH Devices Corp.)

3 L1e; C:\Windows\System32\DRIVERS\l1e51x86.sys [36864 2008-03-11] (Atheros Communications, Inc.)

2 MarxDev1; C:\Windows\System32\Drivers\MarxDev1.sys [14848 2005-08-31] (MARX Data Security GmbH)

2 MarxDev2; C:\Windows\System32\Drivers\MarxDev2.sys [14848 2005-08-31] (MARX Data Security GmbH)

2 MarxDev3; C:\Windows\System32\Drivers\MarxDev3.sys [14848 2005-08-31] (MARX Data Security GmbH)

3 MPE; C:\Windows\System32\DRIVERS\MPE.sys [15232 2008-04-13] (Microsoft Corporation)

3 NABTSFEC; C:\Windows\System32\DRIVERS\NABTSFEC.sys [85248 2008-04-13] (Microsoft Corporation)

3 NdisIP; C:\Windows\System32\DRIVERS\NdisIP.sys [10880 2008-04-13] (Microsoft Corporation)

3 RT80x86; C:\Windows\System32\DRIVERS\RT2860.sys [625024 2008-03-28] (Ralink Technology, Corp.)

3 SLIP; C:\Windows\System32\DRIVERS\SLIP.sys [11136 2008-04-13] (Microsoft Corporation)

0 sptd; C:\Windows\System32\Drivers\sptd.sys [717296 2009-02-09] (Duplex Secure Ltd.)

1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)

3 streamip; C:\Windows\System32\DRIVERS\StreamIP.sys [15232 2008-04-13] (Microsoft Corporation)

3 UDTT2BDA; C:\Windows\System32\Drivers\UDTT2BDA.sys [108928 2006-03-09] (DTV-DVB)

3 UDTT2HID; C:\Windows\System32\drivers\UDTT2HID.sys [15872 2006-03-03] (DTV-DVB)

3 WSTCODEC; C:\Windows\System32\DRIVERS\WSTCODEC.SYS [19200 2008-04-13] (Microsoft Corporation)

4 Abiosdsk;  [x]

4 abp480n5;  [x]

4 adpu160m;  [x]

4 Aha154x;  [x]

4 aic78u2;  [x]

4 aic78xx;  [x]

4 AliIde;  [x]

4 amsint;  [x]

4 asc;  [x]

4 asc3350p;  [x]

4 asc3550;  [x]

4 Atdisk;  [x]

3 btaudio; C:\Windows\System32\drivers\btaudio.sys [x]

3 BTDriver; C:\Windows\System32\DRIVERS\btport.sys [x]

3 BTWDNDIS; C:\Windows\System32\DRIVERS\btwdndis.sys [x]

3 btwhid; C:\Windows\System32\DRIVERS\btwhid.sys [x]

3 btwmodem; C:\Windows\System32\DRIVERS\btwmodem.sys [x]

3 BTWUSB; C:\Windows\System32\Drivers\btwusb.sys [x]

4 cd20xrnt;  [x]

1 Changer;  [x]

4 CmdIde;  [x]

4 Cpqarray;  [x]

4 dac2w2k;  [x]

4 dac960nt;  [x]

4 dpti2o;  [x]

4 hpn;  [x]

1 i2omgmt;  [x]

4 i2omp;  [x]

4 ini910u;  [x]

4 IntelIde;  [x]

1 lbrtfdc;  [x]

4 mraid35x;  [x]

1 PCIDump;  [x]

3 PDCOMP;  [x]

3 PDFRAME;  [x]

3 PDRELI;  [x]

3 PDRFRAME;  [x]

4 perc2;  [x]

4 perc2hib;  [x]

4 ql1080;  [x]

4 Ql10wnt;  [x]

4 ql12160;  [x]

4 ql1240;  [x]

4 ql1280;  [x]

4 Simbad;  [x]

4 Sparrow;  [x]

4 symc810;  [x]

4 symc8xx;  [x]

4 sym_hi;  [x]

4 sym_u3;  [x]

4 TosIde;  [x]

4 ultra;  [x]

4 ViaIde;  [x]

3 WDICA;  [x]
 

==================== NetSvcs (Whitelisted) ===================
 
 

==================== One Month Created Files and Folders ========
 
 
 

==================== One Month Modified Files and Folders ========
 

2013-04-08 20:00 - 2013-04-08 20:00 - 00000000 ____D C:\FRST
 

==================== Known DLLs (Whitelisted) =================
 
 

==================== Bamital & volsnap Check =================
 

C:\Windows\explorer.exe

[2008-07-08 13:58] - [2008-04-14 12:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e 
 

C:\Windows\System32\winlogon.exe

[2008-07-08 13:59] - [2008-04-14 12:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a 
 

C:\Windows\System32\svchost.exe

[2008-07-08 13:59] - [2008-04-14 12:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 
 

C:\Windows\System32\services.exe

[2008-07-08 13:59] - [2009-02-09 11:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc 
 

C:\Windows\System32\User32.dll

[2008-07-08 13:59] - [2008-04-14 12:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd 
 

C:\Windows\System32\userinit.exe

[2008-07-08 13:59] - [2008-04-14 12:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 
 

C:\Windows\System32\Drivers\volsnap.sys

[2008-07-08 13:59] - [2008-04-14 12:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d 
 
 

==================== EXE ASSOCIATION =====================
 

HKLM\...\.exe: exefile => OK

HKLM\...\exefile\DefaultIcon: %1 => OK

HKLM\...\exefile\open\command: "%1" %* => OK
 

==================== Restore Points (XP) =====================
 

RP: -> 2013-01-18 16:30 - 024576 _restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP235 
 

RP: -> 2013-01-09 15:05 - 024576 _restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP234 
 

RP: -> 2013-01-09 13:19 - 024576 _restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP233 
 

RP: -> 2012-12-20 16:16 - 024576 _restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP232 
 

RP: -> 2012-12-20 15:02 - 024576 _restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP231 
 

RP: -> 2012-12-14 17:03 - 024576 _restore{9916987E-F762-4514-907A-40B8F4E905A6}\RP230 
 
 

==================== Memory info =========================== 
 

Percentage of memory in use: 35%

Total physical RAM: 2039.17 MB

Available physical RAM: 1322.38 MB

Total Pagefile: 1869.83 MB

Available Pagefile: 1344.43 MB

Total Virtual: 2047.88 MB

Available Virtual: 2001.25 MB
 

==================== Partitions =============================
 

1 Drive b: (RAMDisk) (Fixed) (Total:0.5 GB) (Free:0.49 GB) FAT

2 Drive c: (System) (Fixed) (Total:80.01 GB) (Free:13.6 GB) NTFS ==>[Drive with boot components (Windows XP)]

3 Drive d: () (Removable) (Total:7.38 GB) (Free:7.38 GB) FAT32

4 Drive e: (Daten) (Fixed) (Total:69 GB) (Free:2.09 GB) NTFS

5 Drive x: (UBCD4Windows) (CDROM) (Total:0.63 GB) (Free:0 GB) CDFS
 

Auf Computer: MININT-JVC

  Datentr.  Status      Gr”áe    Frei     Dyn  GPT

  --------  ----------  -------  -------  ---  ---

       0    Online       149 GB      0 B         
 

============================== MBR Partition Table ==================
 

==================== End Of Log ============================

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

2 winmgmt; C:\DOKUME~1\j-B\wgsdgsdgdsgsd.exe [161792 2013-01-25] (Microsoft Corporation)

C:\DOKUME~1\j-B\wgsdgsdgdsgsd.exe

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 13-03-2013

Ran by SYSTEM at 2013-04-08 20:46:41 Run:1

Running from D:\
 

==============================================
 

winmgmt service deleted successfully.

C:\DOKUME~1\j-B\wgsdgsdgdsgsd.exe moved successfully.
 

==== End of Fixlog ====

Gut!

Normal booten:

Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

dann:

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Code:

Malwarebytes Anti-Malware (Test) 1.70.0.1100

www.malwarebytes.org
 

Datenbank Version: v2013.04.09.08
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

j-B :: JBLAPTOP [Administrator]
 

Schutz: Aktiviert
 

09.04.2013 19:30:35

mbam-log-2013-04-09 (19-30-35).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 310219

Laufzeit: 2 Stunde(n), 20 Minute(n), 33 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 5

C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\61975cab-174b5605 (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\j-B\Lokale Einstellungen\Temp\install.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\FRST\Quarantine\wgsdgsdgdsgsd.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\j-B\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Code:

# AdwCleaner v2.200 - Datei am 09/04/2013 um 22:51:44 erstellt

# Aktualisiert am 02/04/2013 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : j-B - JBLAPTOP

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\j-B\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Ordner Gelöscht : C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\dvdvideosoftiehelpers
 

***** [Registrierungsdatenbank] *****
 
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v18.0 (de)
 

Datei : C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\Mozilla\Firefox\Profiles\sss8qz9g.default\prefs.js
 

C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\Mozilla\Firefox\Profiles\sss8qz9g.default\user.js ... Gelöscht !
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[S1].txt - [970 octets] - [09/04/2013 22:51:44]
 

########## EOF - C:\AdwCleaner[S1].txt - [1029 octets] ##########

OK, da sintzt noch einer:

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Code:

Malwarebytes Anti-Rootkit BETA 1.05.0.1001

www.malwarebytes.org
 

Database version: v2013.04.13.04
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

j-B :: JBLAPTOP [administrator]
 

13.04.2013 19:34:18

mbar-log-2013-04-13 (19-34-18).txt
 

Scan type: Quick scan

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P

Scan options disabled: 

Objects scanned: 26723

Time elapsed: 53 minute(s), 38 second(s)
 

Memory Processes Detected: 0

(No malicious items detected)
 

Memory Modules Detected: 0

(No malicious items detected)
 

Registry Keys Detected: 0

(No malicious items detected)
 

Registry Values Detected: 0

(No malicious items detected)
 

Registry Data Items Detected: 0

(No malicious items detected)
 

Folders Detected: 0

(No malicious items detected)
 

Files Detected: 0

(No malicious items detected)
 

(end)

Sehr gut! :daumenhoc

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Code:

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software

Run date: 2013-04-17 16:05:59

-----------------------------

16:05:59.156    OS Version: Windows 5.1.2600 Service Pack 3

16:05:59.156    Number of processors: 2 586 0x1C02

16:05:59.171    ComputerName: JBLAPTOP  UserName: j-B

16:06:00.234    Initialize success

16:06:00.828    AVAST engine defs: 13041301

16:06:07.765    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

16:06:07.781    Disk 0 Vendor: ST9160827AS 3.AAA Size: 152627MB BusType: 3

16:06:08.000    Disk 0 MBR read successfully

16:06:08.015    Disk 0 MBR scan

16:06:08.046    Disk 0 Windows XP default MBR code

16:06:08.078    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        81933 MB offset 63

16:06:08.125    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        70653 MB offset 167798925

16:06:08.171    Disk 0 Partition 3 00     EF      EFI FAT       B       39 MB offset 312496380

16:06:08.312    Disk 0 scanning sectors +312576705

16:06:08.578    Disk 0 scanning C:\WINDOWS\system32\drivers

16:06:29.828    Service scanning

16:07:02.625    Service sptd C:\WINDOWS\System32\Drivers\sptd.sys **LOCKED** 32

16:07:11.187    Modules scanning

16:07:27.906    Disk 0 trace - called modules:

16:07:27.968    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spyn.sys >>UNKNOWN [0x8a636938]<<

16:07:28.000    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a5a3ab8]

16:07:28.031    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\0000006c[0x8a5e03b8]

16:07:28.046    5 ACPI.sys[b9e66620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8a5d4940]

16:07:30.562    AVAST engine scan C:\WINDOWS

16:08:16.453    AVAST engine scan C:\WINDOWS\system32

16:12:48.140    AVAST engine scan C:\WINDOWS\system32\drivers

16:13:10.796    AVAST engine scan C:\Dokumente und Einstellungen\j-B

16:32:38.687    AVAST engine scan C:\Dokumente und Einstellungen\All Users

16:34:21.078    Scan finished successfully

16:45:26.500    Disk 0 MBR has been saved successfully to "F:\MBR.dat"

16:45:26.578    The log file has been saved successfully to "F:\aswMBR.txt"

Code:

ESETSmartInstaller@High as downloader log:

Can not open internetESETSmartInstaller@High as downloader log:

Can not open internetCan not open internetESETSmartInstaller@High as downloader log:

Can not open internet# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=18fd798d125e9e46828267bf79bbb5df

# engine=13639

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-04-17 05:52:00

# local_time=2013-04-17 07:52:00 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=774 16777213 85 91 291187 142934592 0 0

# scanned=112571

# found=6

# cleaned=0

# scan_time=10414

sh=0AA2660C8C35DFCABF2C2DC5219D2110A049753F ft=0 fh=0000000000000000 vn="Win32/Reveton.N trojan" ac=I fn="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js"

sh=86831BF8E409A7020730B24B443698BF12DC6165 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\5032e2-57c7963c"

sh=2E1671E7E9A6F95B1EC1A481736FF33D8B3DCD98 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\6fe77b2b-3616e366"

sh=2E1671E7E9A6F95B1EC1A481736FF33D8B3DCD98 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\j-B\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\6fe77b2b-3c8efc49"

sh=D9C85109DCF36A26A7C3E3EC04FE12E011840BA0 ft=0 fh=0000000000000000 vn="JS/Exploit.Pdfka.QCP trojan" ac=I fn="C:\Dokumente und Einstellungen\j-B\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QESDMUNV\Convert-Banner1[1].pdf"

sh=5CBB97EA60BFA2CF33A1AEC776E0C2AA444BC4E9 ft=0 fh=0000000000000000 vn="JS/Exploit.Agent.NEJ trojan" ac=I fn="C:\Dokumente und Einstellungen\j-B\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VRJALE0P\fact[1].htm"

Nach Starten des Security Check und Anzeige von "Preparing" im DOS-Fenster kommt folgender Fehler:

Autolt Error

Line -1;

Error: Variable must be of type "Object".

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:OTL

:Files

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die .exe-Datei
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 21 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.