BKA-Trojaner

[Spacy]

Hallo,

mich hat der Trojaner auch erwischt. Anbei der Screenshot und die OTL-Dateien. Ich hoffe, Ihr könnte mir helfen und eine Anleitung geben. Ich weiß gar nicht, was bei sowas tun ist.

Verzweifelte Grüße,
Spacy

[Petra]

Hallo Spacy,

zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
Berichte mir, wenn etwas nicht funktioniert, damit ich die Anleitung ggfs. ändern kann!


===== Punkt 1 =====

Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {49606DC7-976D-4030-A74E-9FB5C842FA68}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{49606DC7-976D-4030-A74E-9FB5C842FA68}: "URL" = http://www.bing.com/search?q={searchTerms}&form=DLRDF8&pc=MDDR&src=IE-SearchBox
IE - HKU\S-1-5-21-3443649618-2231496289-3783572041-1000\..\URLSearchHook: {3d206148-6081-42e4-be5f-614ff2c73ce0} - No CLSID value found
IE - HKU\S-1-5-21-3443649618-2231496289-3783572041-1000\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKU\S-1-5-21-3443649618-2231496289-3783572041-1000\..\SearchScopes\{88A0288D-A1D5-4013-A445-4675780C23CE}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10395&src=kw&q={searchTerms}&locale=de_DE&apn_ptnrs=^ABT&apn_dtid=^YYYYYY^YY^DE&apn_uid=3d0601c4-4715-4d8a-8db9-39a2067cee2a&apn_sauid=347735A1-88AF-4273-B28A-17E03D9AF205
IE - HKU\S-1-5-21-3443649618-2231496289-3783572041-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={46A54732-85BA-4EB1-9617-9D8FDFC01F4A}&mid=9a2411cad5d447d1b63011827e4e2bbc-c1196f0fce28c86f07f361e3a6f91f169f075ad0&lang=en&ds=tg028&pr=sa&d=2011-09-20 23:13:04&v=8.0.0.34&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-3443649618-2231496289-3783572041-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-3&o=APN10395&locale=de_DE&apn_uid=3d0601c4-4715-4d8a-8db9-39a2067cee2a&apn_ptnrs=%5EABT&apn_sauid=347735A1-88AF-4273-B28A-17E03D9AF205&apn_dtid=%5EYYYYYY%5EYY%5EDE&&q="
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Content Upload Plugin,version=1.0.0: C:\Program Files (x86)\DivX\DivX Content Uploader\npUpload.dll File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files (x86)\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@oberon-media.com/ONCAdapter: C:\Program Files (x86)\Common Files\Oberon Media\NCAdapter\1.0.0.8\npapicomadapter.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3443649618-2231496289-3783572041-1000\..\Toolbar\WebBrowser: (no name) - {3D206148-6081-42E4-BE5F-614FF2C73CE0} - No CLSID value found.
O3 - HKU\S-1-5-21-3443649618-2231496289-3783572041-1000\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [uoskwprydsvlixt] C:\ProgramData\uoskwpry.exe ()
O4 - HKU\S-1-5-21-3443649618-2231496289-3783572041-1000..\Run: [AdobeBridge]  File not found
O4 - HKU\S-1-5-21-3443649618-2231496289-3783572041-1000..\Run: [uoskwprydsvlixt] C:\ProgramData\uoskwpry.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O20 - HKLM Winlogon: UserInit - (userinit.exeC:\Users\Indra\AppData\Roaming\appconf32.exe) -  File not found
O33 - MountPoints2\{2dfaf5b0-c49a-11e0-86b6-c0cb38aac24f}\Shell - "" = AutoRun
O33 - MountPoints2\{2dfaf5b0-c49a-11e0-86b6-c0cb38aac24f}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\Start.hta
@Alternate Data Stream - 151 bytes -> C:\ProgramData\Temp:1604D047
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:2ADC9FB3
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:38788EA7
@Alternate Data Stream - 137 bytes -> C:\ProgramData\Temp:8917A3FD
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:81B52FA6
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:90C320E1
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:D4E0D1F1
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:FC9C8B77
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:EB333CFC

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}"=-
[HKEY_USERS\S-1-5-21-3443649618-2231496289-3783572041-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{79A765E1-C399-405B-85AF-466F52E918B0}"=-

:Files
ipconfig /flushdns /c
C:\ProgramData\frowgtadynsssyt
C:\Users\Indra\AppData\Roaming\xmldm
C:\Users\Indra\AppData\Roaming\kock
C:\ProgramData\hhoddtxugbexeih
C:\ProgramData\uoskwpry.exe
C:\ProgramData\odtoilqd.exe
C:\ProgramData\jjdkphwj.exe
C:\Users\Indra\0.5082469169867512.exe

:Commands
[purity]
[emptytemp]

• Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


===== Punkt 2 =====

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast (Avira und TrendMicro). Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Software.

Speedy hat letztens eine einleuchtende Erklärung dazu geliefert: "Man stelle sich einen Torwart vor, der das Tor hüten soll (Anti-Virus-Programm), der Ball kommt angeflogen (Virus), der Torhüter konzentriert sich auf den Ball und fängt ihn. Jetzt stelle Dir zwei Torhüter im Tor vor ...., die knallen aneinander und der Ball kann ungehindert ins Tor wandern."

Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast.


===== Punkt 3 =====

Benutzerkontensteuerung aktivieren (Windows 7)

Die Benutzerkontensteuerung unter Windows 7 ist simpel ausgedrückt Deine Versicherung, dass Programme nicht irgendetwas installieren oder am System verändern können, ohne dass Du Deine Zustimmung dazu gibst. Manche User mögen die Requester als lästig empfinden, aber unter Windows 7 kann man sie sehr flexibel einstellen. Sie ganz abzuschalten, ist eine sehr große Sicherheitslücke - und genau das ist bei Dir der Fall.

Benutzerkontensteuerung unter Windows 7 aktivieren

Start => ins Suchfeld reinschreiben => msconfig
Es öffnet sich das das Fenster der Systemkonfiguration
Wähle den Reiter Tools => UAC-Einstellungen ändern => Starten

Ziehe den Schieberegler mindestens auf die Stufe 2 (von unten gesehen) => ok.
Damit hast Du relativ wenig "Rückfragen", bist aber nicht völlig ungeschützt.


===== Punkt 4 =====

Bereinigung mit Malwarebytes' Anti-Malware (Komplett-Scan)

Mache bitte mit Malwarebytes' Anti-Malware einen Komplett-Scan (Auswahl Vollständiger Suchlauf unter Suchlauf wählen) nach dieser Anleitung und poste das vollständige Logfile hier in den Thread.

(Vista/Win7-User: mit Rechtsklick als Administrator starten)



===== Punkt 5 =====

Welche Java-Version ist installiert?

Kontrolliere über Systemsteuerung => Programme, welche Java-Version installiert ist.
Falls es nicht Java Version 7 Update 5 ist:
Systemsteuerung => Java => Aktualisierung => Jetzt aktualisieren.

Unter Systemsteuerung => Java => Aktualisierung einstellen:
Benachrichtigung ausgeben => Vor der Installation
Haken bei Automatisch nach Aktualisierung suchen machen und unter Erweitert auf "Wöchentlich" einstellen.

Eventuell vorhandene ältere Versionen von Java über Systemsteuerung => Programme deinstallieren und ggfs. auch im Firefox unter Addons => Erweiterungen die alten Java-Versionen entfernen.

Die Offline-Version von Java Version 7 Update 5 von Oracle findest Du hier. Achte bei der Installation darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

User mit 64Bit-System sollten die 32Bit-Version installieren. Es hat sich mehrfach gezeigt, dass die 64Bit-Version Probleme bereitet.


Java-Cache leeren

Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => Haken bei "Anwendungen und Applets" sowie bei "Verfolgungs- und Protokolldateien" setzen => OK

[Spacy]

Hallo Petra,

vielen, vielen Dank schon mal für Deine Hilfe.
Ich habe die Anweisungen befolgt, der Trojaner scheint weg zu sein, der Rechner läuft soweit wieder.
Punkt 2: ich habe das eine Viren-Programm deinstalliert, AVIRA ist geblieben.
Punkt 3 und 5 sind erledigt.
Hier nun die beiden Codes von Punkt 1 und 5:

Code:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{49606DC7-976D-4030-A74E-9FB5C842FA68}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49606DC7-976D-4030-A74E-9FB5C842FA68}\ not found.
Registry value HKEY_USERS\S-1-5-21-3443649618-2231496289-3783572041-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{3d206148-6081-42e4-be5f-614ff2c73ce0} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3d206148-6081-42e4-be5f-614ff2c73ce0}\ not found.
HKEY_USERS\S-1-5-21-3443649618-2231496289-3783572041-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-3443649618-2231496289-3783572041-1000\Software\Microsoft\Internet Explorer\SearchScopes\{88A0288D-A1D5-4013-A445-4675780C23CE}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88A0288D-A1D5-4013-A445-4675780C23CE}\ not found.
Registry key HKEY_USERS\S-1-5-21-3443649618-2231496289-3783572041-1000\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}\ not found.
HKU\S-1-5-21-3443649618-2231496289-3783572041-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "Ask.com" removed from browser.search.defaultenginename
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: "Ask.com" removed from browser.search.selectedEngine
Prefs.js: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-3&o=APN10395&locale=de_DE&apn_uid=3d0601c4-4715-4d8a-8db9-39a2067cee2a&apn_ptnrs=%5EABT&apn_sauid=347735A1-88AF-4273-B28A-17E03D9AF205&apn_dtid=%5EYYYYYY%5EYY%5EDE&&q=" removed from keyword.URL
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@divx.com/DivX Content Upload Plugin,version=1.0.0\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@oberon-media.com/ONCAdapter\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3443649618-2231496289-3783572041-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3D206148-6081-42E4-BE5F-614FF2C73CE0} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D206148-6081-42E4-BE5F-614FF2C73CE0}\ not found.
Registry value HKEY_USERS\S-1-5-21-3443649618-2231496289-3783572041-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeCS5.5ServiceManager deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater deleted successfully.
C:\Program Files (x86)\Ask.com\Updater\Updater.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\uoskwprydsvlixt deleted successfully.
C:\ProgramData\uoskwpry.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-3443649618-2231496289-3783572041-1000\Software\Microsoft\Windows\CurrentVersion\Run\\AdobeBridge deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3443649618-2231496289-3783572041-1000\Software\Microsoft\Windows\CurrentVersion\Run\\uoskwprydsvlixt deleted successfully.
File C:\ProgramData\uoskwpry.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
C:\Windows\Downloaded Program Files\gp.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:userinit.exeC:\Users\Indra\AppData\Roaming\appconf32.exe deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2dfaf5b0-c49a-11e0-86b6-c0cb38aac24f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2dfaf5b0-c49a-11e0-86b6-c0cb38aac24f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2dfaf5b0-c49a-11e0-86b6-c0cb38aac24f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2dfaf5b0-c49a-11e0-86b6-c0cb38aac24f}\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\Start.hta not found.
ADS C:\ProgramData\Temp:1604D047 deleted successfully.
ADS C:\ProgramData\Temp:2ADC9FB3 deleted successfully.
ADS C:\ProgramData\Temp:38788EA7 deleted successfully.
ADS C:\ProgramData\Temp:8917A3FD deleted successfully.
ADS C:\ProgramData\Temp:81B52FA6 deleted successfully.
ADS C:\ProgramData\Temp:90C320E1 deleted successfully.
ADS C:\ProgramData\Temp:D4E0D1F1 deleted successfully.
ADS C:\ProgramData\Temp:FC9C8B77 deleted successfully.
ADS C:\ProgramData\Temp:EB333CFC deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"C:\\WINDOWS\\system32\\userinit.exe," /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\{86D4B82A-ABED-442A-BE86-96357B70F4FE} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{86D4B82A-ABED-442A-BE86-96357B70F4FE}\ not found.
Registry value HKEY_USERS\S-1-5-21-3443649618-2231496289-3783572041-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\{79A765E1-C399-405B-85AF-466F52E918B0} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{79A765E1-C399-405B-85AF-466F52E918B0}\ not found.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache konnte nicht geleert werden: Beim Ausf�hren der Funktion ist ein Fehler aufgetreten.
C:\Users\Indra\Desktop\cmd.bat deleted successfully.
C:\Users\Indra\Desktop\cmd.txt deleted successfully.
C:\ProgramData\frowgtadynsssyt folder moved successfully.
C:\Users\Indra\AppData\Roaming\xmldm folder moved successfully.
C:\Users\Indra\AppData\Roaming\kock folder moved successfully.
C:\ProgramData\hhoddtxugbexeih moved successfully.
File\Folder C:\ProgramData\uoskwpry.exe not found.
C:\ProgramData\odtoilqd.exe moved successfully.
C:\ProgramData\jjdkphwj.exe moved successfully.
C:\Users\Indra\0.5082469169867512.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 400707 bytes
->Flash cache emptied: 56466 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Indra
->Temp folder emptied: 18820668864 bytes
->Temporary Internet Files folder emptied: 2696015759 bytes
->Java cache emptied: 21409 bytes
->FireFox cache emptied: 499484448 bytes
->Apple Safari cache emptied: 16112640 bytes
->Flash cache emptied: 389771 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 413966478 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
RecycleBin emptied: 232633969 bytes
 
Total Files Cleaned = 21.629,00 mb
 
 
OTL by OldTimer - Version 3.2.48.0 log created on 06182012_144137

Files\Folders moved on Reboot...
C:\Users\Indra\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Bin mir jetzt unsicher, ob Du noch ein Logfile sehen möchtest von der Anti-Malware. Nachdem Entfernen der Schädlinge (es waren nur die Dateien in den OTL-Ordnern), wollte das System neustarten und ich habe nicht auf "Logfile speichern" gedrückt. Soll ich das Malware-Programm sonst noch mal durchlaufen lassen?

Herzliche Grüße,

Indra

[Petra]

Hallo Indra,

Nachdem Entfernen der Schädlinge (es waren nur die Dateien in den OTL-Ordnern), wollte das System neustarten und ich habe nicht auf "Logfile speichern" gedrückt. Soll ich das Malware-Programm sonst noch mal durchlaufen lassen?

nicht nötig, Du findest das Logfile, wenn Du Malwarebytes' startest und auf den Reiter "Logdateien" gehst und dort das Logfile doppelklickst. Dann kannst Du den Inhalt kopieren und hier einfügen.

[Spacy]

Ach so. ;) Das sieht dann so aus:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.18.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Indra :: PIXYLON [Administrator]

18.06.2012 21:16:38
mbam-log-2012-06-18 (21-16-38).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 445544
Laufzeit: 1 Stunde(n), 41 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\_OTL\MovedFiles\06182012_144137\C_ProgramData\jjdkphwj.exe (Trojan.Winlock.G) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\06182012_144137\C_ProgramData\odtoilqd.exe (Trojan.Winlock.G) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\06182012_144137\C_ProgramData\uoskwpry.exe (Trojan.Winlock.G) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\06182012_144137\C_Users\Indra\0.5082469169867512.exe (Trojan.Winlock.G) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Indra\AppData\Roaming\appconf32.exe (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

[Petra]

Hallo Indra,

berichte mir, wie der Computer jetzt läuft und welche Probleme noch vorhanden sind.


===== Punkt 1 =====

Kaspersky Virus Removal Tool

Bitte lade das Kaspersky Virus Removal Tool herunter, wähle Deine Sprache und speichere es auf dem Desktop.
Eine ausführliche Anleitung zu dem Tool findest Du hier und hier (Installation).

Kaspersky Virus Removal Tool 2011 ist ein Programm für die Untersuchung und Desinfektion von infizierten Computern. Kaspersky Virus Removal Tool 2011 verwendet dabei die effektiven Erkennungs-Technologien von Kaspersky Anti-Virus and AVZ. Kaspersky Virus Removal Tool 2011 kann jedoch nicht ein fest installiertes Schutzprogramm auf Ihrem Computer ersetzen. Nach einer Desinfektion kann das Programm problemlos entfernt und eine Vollversion einer Schutzsoftware installiert werden.

• Starte die Installation durch Doppelklick auf setup_<build>_<date>_<time>.exe.
  Vista- und Windows 7 User starten durch Rechtsklick auf das Icon und wählen "Als Administrator ausführen".
• Wähle unten links "Deutsch".
• Akzeptiere die Lizenzbestimmungen indem Du "Ich akzeptiere die Lizenzvereinbarung" anhakst und auf "Weiter" klickst.
• Wähle in den Einstellungen (Rad) unter "Untersuchungsbereich" zusätzlich "Computer" bzw. "Arbeitsplatz".
• Wähle unter "Aktionen": Aktion ausführen und setze Haken bei Desinfizieren und Löschen, wenn Desinfektion nicht möglich ist.
• Starte unter "Automatische Virensuche" den Suchlauf über den Button "Untersuchung starten".
• Wenn der Scan beendet, drücke den Text-Button rechts oben, stelle um auf "Erkannte Bedrohungen", markiere den Bericht drücke auf den Button Speichern und speichere den Bericht als "kaspersky.txt" auf dem Desktop.
• Poste den Bericht hier in den Thread.

Alternativer Downloadlink: http://www.kaspersky.com/antivirus-removal-tool?form=1

[Spacy]

Hallo Petra,

mein Computer läuft wieder super, ich merke zumindest keine Veränderung zu vorher dem Trojaner.

Das hier hat das Kaspersky-Tool allerdings gefunden...

Status: Desinfiziert (Ereignisse: 2)
22.06.2012 18:33:13 Desinfiziert Trojanisches Programm Exploit.Java.CVE-2012-0507.kv C:\Documents and Settings\Indra\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\12a7fa15-725b181b Hoch
22.06.2012 18:33:13 Desinfiziert Trojanisches Programm Exploit.Java.CVE-2012-0507.kv C:\Documents and Settings\Indra\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\12a7fa15-725b181b/in_a/in_b.class Hoch


Viele Grüße,

Indra

[Petra]

Hallo Indra,

dann kannst Du Kaspersky wieder deinstallieren.


===== Punkt 1 =====

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.



Absicherung des Rechners

Dann mache zur Sicherheit noch einen Komplettscan mit aktualisierten Virendefinitionen mit Deinem Antivirus-Programm. Falls noch Funde gemacht werden, sage mir Bescheid, welche und wo. Ansonsten können wir hier mit einigen Tipps zur Absicherung schließen und ich mache den Thread in ein paar Tagen zu

Lesenswerte Blogeinträge zum Thema Absicherung

Malware entfernt? Was nun?
Wie mache ich mein Windows sicher?
Wie kann ich mein System in Zukunft von Malware frei halten?
Wie kann ich prüfen, ob meine Software aktuell ist?
Mozilla Plugins aktuell? Hier prüfen!
DNS manipuliert?