Trojaner 2.07 OTL files

[RalphOne]

Hallo,

ich habe mir gestern Nacht den Trojaner 2.07 eingefangen. Zur Info: Ich kann meinen Computer noch benutzen, mit folgendem "Trick": Wenn sich er GVU-Bildschirm öffnet, fahre ich den Computer mit Strg+Alt+Entf herunter. Da andere Programme noch laufen, fragt mich der Computer nach "force shutdown" oder "cancel". Bei "cancel" kann ich den Cpmputer weiterbenutzen, ohne daß der Bildschirm wieder auftaucht. Dies nur als Anmerkung eines kompletten Computerdilettanten.

Anbei die beiden files.

Vielen lieben Dank vorab für die Hilfe!

Ralph

[TB]

Hallo RalphOne,

Willkommen im Botfrei - Forum,

ein System zu bereinigen ist unter Umständen aufwändig und mit einiger Arbeit für Dich verbunden.
Bevor wir anfangen, hier noch ein paar lästige, aber wichtige und grundsätzliche Punkte, die von Dir zu beachten sind:

• Es gibt grundsätzlich keinen Support per PN oder Mail.
• Wir bereinigen keine Rechner, die geschäftlich genutzt werden,
• und/oder Rechner, die Cracks oder sonstige Hacks enthalten, die es ermöglichen, Bezahlsoftware ohne Bezahlung zu nutzen.
• Es ist wichtig, dass Du solange mitarbeitest, bis alle Punkte abgearbeitet sind und das Signal kommt, dass die Bereinigung beendet ist, auch wenn die Symptome vielleicht schon nach den ersten Aktionen verschwunden sein sollten.
• Evtl. vorhandene persönliche Daten und Realnamen ggfs. anonymisieren.
• Entfernungs-Programme (Removal-Tools) ausschließlich von den in unserer Anleitung angegebenen Links herunterladen!

Wichtig:

• Während unserer Reinigungsphase nur Programme installieren und Scans durchführen, die wir anordnen.
• Während der Bereinigung alle externen Medien, wie USB-Sticks, externe Festplatten und Flash-Karten an den Rechner anschließen!
• Wenn Du dazu bereit bist, arbeite die folgenden Punkte unbedingt in der vorgegebenen Reihenfolge ab.
• Das ist deshalb so wichtig, weil häufig der eine Punkt den anderen voraussetzt!
• Wenn bei einem Punkt etwas unklar ist oder etwas nicht (wie geplant) funktioniert, bitte nachfragen, bevor Du weitermachst.
• Berichte mir zu jedem Punkt, ob Du ihn erledigt hast.

1. Fixen mit OTL

1.) Software deinstallieren
Deinstalliere DVDVideoSoft und Alle ToolBars unter Systemsteuerung- Software

2.) Hiermit fixen wir unnötige oder schädliche Einträge.
Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:Services
(mfeavfk02)
(mfeavfk01)

:OTL
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:A42A9F39
IE - HKLM\..\SearchScopes,DefaultScope = {AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{15F0B551-5095-425A-B9C3-B7FF24D2AEF1}: "URL" = http://go.web.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{16F01008-BB17-43EE-A05E-75947351FEFE}: "URL" = http://go.1und1.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{17CC3755-5B7C-4380-91D1-BF231C9E0286}: "URL" = http://de.search.yahoo.com/search?fr=mcafee&p={SearchTerms}
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{1F5D395E-05A3-4060-A777-A1572F1C0652}: "URL" = http://suche.t-online.de/fast-cgi/tsc?sr=tweb&q={searchTerms}&dia=tie8
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{2D3C34E3-8FB4-4A0F-8754-BC867EB0AF64}: "URL" = http://dict.leo.org/ende?lp=ende&search={searchTerms}
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{2E8327E1-91FF-49CD-8B11-012F281B2E6B}: "URL" = http://dict.leo.org/frde?lp=frde&search={searchTerms}
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{3E893E07-179C-409A-B1F7-D75679BFDC1B}: "URL" = http://www.amazon.de/gp/search?ie=UTF8&keywords={searchTerms}&tag=tonline-browser_toolbar3_search-21&index=blended&linkCode=ur2
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{55922304-EE3D-41A7-9BBD-A2B950FDD6C1}: "URL" = http://search.gmx.com/web?q={searchTerms}&origin=tb_splugin_ie
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN_enFR360
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{697E1F52-100D-4986-9841-BFA509BC503C}: "URL" = http://dict.leo.org/esde?lp=esde&search={searchTerms}
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{6A7EA0F2-E717-49C2-B31C-87CDD8618A22}: "URL" = http://suche.t-online.de/fast-cgi/tsc?sr=tportal&q={searchTerms}&dia=tie8
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{94F8B9A5-2DC9-4FF1-8ECE-38C725514239}: "URL" = http://rover.ebay.com/rover/1/707-1403-9414-51/4?satitle={searchTerms}
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{97CE3170-675A-4847-8CE4-17D2CB18E941}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_DE&apn_ptnrs=U3&apn_dtid=OSJ000YYDE&apn_uid=4B1835F5-1D57-4EC2-8514-9AE98D2DEC63&apn_sauid=43E3A59A-F24F-4179-A36E-ED64B511BB3B&
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{B7EA6367-2F5C-47DB-A566-5AAC9C8BCF7C}: "URL" = http://suche.t-online.de/fast-cgi/tsc?sr=twiki&q={searchTerms}&dia=tie8
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{C63EFE64-228B-450A-B16B-BE2C545DF591}: "URL" = http://go.gmx.net/tb/ie_searchplugin/?su={searchTerms}
IE - HKU\S-1-5-21-771618654-3341757510-301361698-1000\..\SearchScopes\{F29658EA-3243-4233-AFDA-0105E1A52E9F}: "URL" = http://preisvergleich.t-online.de/angebote/{searchTerms}?soid=42534758
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{128e2d95-509e-11e1-b5d3-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{128e2d95-509e-11e1-b5d3-806e6f6e6963}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{ba7c7b99-50e3-11e1-b212-002454229126}\Shell - "" = AutoRun
O33 - MountPoints2\{ba7c7b99-50e3-11e1-b212-002454229126}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{f1549f0c-5180-11e1-b25e-002454229126}\Shell - "" = AutoRun
O33 - MountPoints2\{f1549f0c-5180-11e1-b25e-002454229126}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{ffbff20d-5084-11e1-aeb9-002454229126}\Shell - "" = AutoRun
O33 - MountPoints2\{ffbff20d-5084-11e1-aeb9-002454229126}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\AutoRun.exe
[2012.08.16 09:40:33 | 004,503,728 | ---- | M] () -- C:\ProgramData\ism_0_llatsni.pad
[2012.08.15 23:35:25 | 000,001,891 | ---- | M] () -- C:\Users\Ralph\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk


:Files
C:\windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Users\Ralph\AppData\Roaming\.#

:Commands
[PURITY]
[EMPTYTEMP]

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


3.) Der Rechner startet neu, Internetverbindung herstellen, Windows "normal" starten und berichten, ob der Sperrbildschirm noch erscheint.

[RalphOne]

Vielen herzlichen Dank für die schnelle Hilfe. Habe ich es richtig verstanden, daß dies ehrenamtlich passiert? Dies ist dann natürlich um so mehr zu honorieren.

Anbei das neue OTL file

Ist die Sache für mich damit erledigt? Der GVU Bildschirm scheint nichtmehr aufzutreten.

Nochmals besten Dank

Ralph

[TB]

Hallo RalphOne,

ja, ist doch schon schön....

Mach mal bitte weiter mit...

1.) MBAM

• Malwarebytes Anleitung und Download>>

2.) Online Scanner ESET

• ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
• Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button "ESET Online Scanner" drücken.
• Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
• Das Firefox-Addon auf dem Desktop speichern und dann installieren.
• IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Einen Haken bei "Remove found threads" und "Scan archives" machen.
• Start drücken.
• Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Poste mir die Logfiles hier in den Thread.

[RalphOne]

ok, anbei das File von Malwarebytes. Der Scan mit ESET im Anschluss hat dann nichts mehr ergeben.

Vielen Dank

Ralph

[TB]

Hallo RalphOne,

1.)
Welche Java-Version ist installiert?

Kontrolliere über Systemsteuerung => Programme, welche Java-Version installiert ist.
Falls es nicht Java Version 7 Update 5 ist:
Systemsteuerung => Java => Aktualisierung => Jetzt aktualisieren.

Unter Systemsteuerung => Java => Aktualisierung einstellen:
Benachrichtigung ausgeben => Vor der Installation
Haken bei Automatisch nach Aktualisierung suchen machen und unter Erweitert auf "Wöchentlich" einstellen.

Eventuell vorhandene ältere Versionen von Java über Systemsteuerung => Programme deinstallieren und ggfs. auch im Firefox unter Addons => Erweiterungen die alten Java-Versionen entfernen.

Die Offline-Version von Java Version 7 Update 5 von Oracle findest Du hier. Achte bei der Installation darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.

User mit 64Bit-System sollten die 32Bit-Version installieren. Es hat sich mehrfach gezeigt, dass die 64Bit-Version Probleme bereitet.


Java-Cache leeren

Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => Haken bei "Anwendungen und Applets" sowie bei "Verfolgungs- und Protokolldateien" setzen => OK

2.)
Update veralteter Software?
Wenn Java erledigt ist, bitte auf secunia.com einen Check deiner Programme machen, evtl. sind veraltet dabei!!

[TB]

Thread geschlossen

Thread wird mangels Rückmeldung erst mal geschlossen, damit wir ihn nicht weiter unter Beobachtung halten müssen. Wenn Du wieder Zeit zum Weitermachen hast, schicke uns eine PN, wir werden den Thread dann wieder öffnen.

Gruß ABBZ