[Windows XP-32 bit] Google warnt vor Malware

[kleene50]

hallo Leo, der ESET hat alles abgearbeitet.. und 14 gefunden ..
hier die log
File-Upload.net - log.txt

[Der Leo]

Hallo,

ich frag mich voher du die Patches hast.

Zitat:

Big Fish games Patch.rar Variante von Win32/HackTool.Patcher.A

Du solltest Patches immer von der Hersteller Seite herunter laden! Und niemals von unbekannten Seiten.

Ein Teil der Malware hat Combofix bereits gelöscht und ein Teil ist in der Systemwiederherstellung.

Kannst du mir sagen voher diese Datei kommt?
D:\_install\neue programme\Neue\Setup.msi

Ich möchte nochmal ein neues OTL Log.
Dazu lösche die Alte OTL.exe und gehe wie folgt vor.

OTL
Download: http://oldtimer.geekstogo.com/OTL.exe


1. Doppelklick auf die OTL.exe
2. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
3. Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimal-Ausgabe
4. Setze einen Haken Oben bei Scanne alle Benutzer.
5. Unter "Extra Registrierung wähle "Benutze SafeList"
6. Rechts unten Haken setzen bei "LOP Prüfung" und "Purity Prüfung "
7. Kopiere in die Textbox (ohen das Wort Code: )

Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles

8. Klicke "Scan"
9. Es werden 2 Reporte erstellt:
10. OTL.Txt sowie Extras.Txt
Lade bitte die Logfiles bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Waren zum Zeitpunkt der Infektion USB Sticks oder Externe Medien angeschlossen? - Bitte erstmal keine anschließen.

[kleene50]

die Patches sind alle mal von den Tauschgruppen ...
woher die Setup.msi kommt, weiß ich nicht .. als ich 2009 diesen rechner hier bekommen habe, hat man mir nur alles das was auf der vorherigen Festplatte drauf war, auf diese wieder aufgespielt hier .. daher ist wahrscheinlich auch der ganze Müll drauf ..und das vielleicht in doppelter und 3 facher Ausführung ..

nein, es war nichts weiter angeschlossen

hier die OTL-dateien

File-Upload.net - OTL.Txt

File-Upload.net - Extras.Txt

[Der Leo]

Wie schon gesagt, auch immer was das für eine Tauschgruppe ist für mich sieht sie nicht vertraunswürdig aus! Also lass lieber die Finger von dieser "Tauschgruppe". Die meisten Datein sind mit Malware verseucht.
So nun weiter

Schritt 1
• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox (ohne das Wort Code: ).

Code:

:OTL
FF - prefs.js..browser.search.defaultenginename: "foxsearch"
FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "foxsearch"
FF - prefs.js..browser.search.selectedEngine: "Winload Customized Web Search"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2319825&SearchSource=13"
FF - user.js..browser.search.selectedEngine: "foxsearch"
FF - user.js..browser.search.order.1: "foxsearch"
FF - user.js..browser.search.defaultenginename: "foxsearch"
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.05.18 17:54:05 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2000.10.03 19:59:28 | 000,061,440 | ---- | M] () - E:\autoenh.dll -- [ NTFS ]
O32 - AutoRun File - [2008.09.02 07:13:10 | 000,000,000 | R--D | M] - F:\Autos -- [ CDFS ]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen Inhalt in deiner nächsten antwort hier reinkopieren.

Schritt 2

Hast du USB Sticks und Externe Festplatten? So wie es aussieht hatest du einen Wurm auf dem PC

Zitat:

C\WINDOWS\system32\autorun.i.vir Win32/Tifaut.C Wurm

Ich möchte sicher gehen das deine USB Sticks ect. Wurm frei sind.
Weiter Anweisungen bekommst du nach dem Script.

[AHT]

Einmal das hier tun, das deaktiviert den Autostart von USB-Sticks und externen Festplatten:

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

REM->Scanordner erstellen!
CREATE_FOLDER->C:\PPFS_Scan3
CREATE_FOLDER->C:\PPFS_Sicherung
REM->Autostarteinstellungen auslesen!
REGISTRY_READ->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
->NoDriveTypeAutoRun
 
REM->Einstellungen sichern!
REGISTRY_SAVE->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer>C:\PPFS_Sicherung\Autostart.reg
 
REM->Autostart deaktivieren!
SET_REGISTRY_DWORD_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
->NoDriveTypeAutoRun
->189
 
REM->Scanfiles in den Scannerordner kopieren
COPY_SCANFILES->C:\PPFS_Scan3
OPEN->C:\PPFS_Scan3
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPFS_Scan3 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

[kleene50]

ich habe schone eine ganze ewigkeit nichts mehr geladen von der tauschgruppe .. ich lasse da die Finger von VERSPROCHEN

mir fällt grade eben ein, das auf der Speicherkarte von meiner Linux-Camera irgendetwas drauf ist, da schlägt der Avira immer an, wenn ich die Camera verbinde mit dem PC .. und zwar hab ich die Speicherkarte mal in einer Maßnahme vom Arbeitsamt mit gehabt und dort in der Schule mit dem PC verbunden und seither hab ich das ,.. und das war im Oktober vorigen Jahres .. ich bekomme die speicherkarte aber nicht formatiert wegen diesem mist.....

sooo, hier nun das ergebnis der OTL

========== OTL ==========
Prefs.js: "foxsearch" removed from browser.search.defaultenginename
Prefs.js: "Winload Customized Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "{searchTerms - Suchen}" removed from browser.search.defaulturl
Prefs.js: "foxsearch" removed from browser.search.order.1
Prefs.js: "Winload Customized Web Search" removed from browser.search.selectedEngine
Prefs.js: "Search" removed from browser.startup.homepage
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\FireFox\Profiles\yxvdsc43.default \user.js moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
E:\autoenh.dll moved successfully.
File not found.

OTL by OldTimer - Version 3.2.26.1 log created on 08092011_180754

[kleene50]

hier sind beide txt

File-Upload.net - ppRegistry.txt

File-Upload.net - Scripting.txt

[AHT]

Jetzt kann Leo weitermachen.

[Der Leo]

Danke aht für die Anleitung

Dann hast du dir den Wurm in der Schule geholt...
So nun ist die Autorun Fuktion deaktiviert. Du solltest nun ein Update bei Avira durchführen und danach die Speicherkarte anschließen. Anschließend klickst du mit der Rechten Maustaste auf die Speicherkarte. Wähle dort Scane mit Avira aus und lösche alle Funde.

Es kann sein das Avira sofort bei anschließen des Sticks Malware findet. Du solltest sie dann entfernen können. Und dein PC geschieht weiter nichts.

[kleene50]

vielen Dank Leo und AHT
die speicherkarte ist nun sauber .. zumindest hat Avira ihn gefunden und hat auch neustart gemachen

[Der Leo]

Prüf lieber mal auch andere Externe Medien wie Externe Festplatten, USB Stickt usw.

Aber das klingt schonmal sehr gut Ich würde dir raten Autorun deaktiviert zu lassen.

[kleene50]

den stick habe ich auch schon vorsichtshalber überprüft, gleich nach der speicherkarte, weil ich den ja auch in der schule brauchte, aber der war sauber ..

ja, die Autorun lasse ich deaktiviert .. wüßte jetzt auf den Punkt sowieso nicht, wie ich das machen müsste ...

ich möchte mich ganz ganz herzlich für eure Hilfe bedanken ...
liebe grüße kleene50

[Der Leo]

Ok gut, dann kannst du die eingesetzten Tools löschen.

Eset OS kannst du so Deinstallieren.
(siehe unten)
ESET Online Scanner

TDSSkiller einfach löschen.

Combofix und OTL löscht du wie folgt.

• Öffne die OTL.exe
• Klicke oben auf Bereinigung
• OTL verlangt einen neustart

Ich würde dir raten das du folgenden 10 Punkt umsetzt:
Paules 10 Empfehlungen zum sicheren Surfen im Internet!

Ganz wichtig ist es deine Programme aktuell zu halten. Das geht am besten mit Secunia ( siehe Punkt 7)

Wenn es sonst keine fragen/ probleme gibt sind wir durch

[kleene50]

hab die Tools alle runter ... und den 10 punkte-plan schaue ich mir morgen an .. für heute bin ich kapuut ... lieben Dank nochmal für die wundervolle Hilfe ... und gute nacht
lg kleene50