ErROr9312

hi ich hab auf mein oma ihren laptop 3 trojaner gefunden also anti vir 10 hats gefunden. und ich woll jetz mal hier fragen wie ich die jetzt wegkrieg wenn ich den ordner öffne wo die trojaner sind kommt ne meldung
"befehl verweigert"

die 3 meldungen

Trojanisches Pferd TR/Meredrop.A.5646
Quelle: C:\System Volume Information\_restore(ne lange reihe an nummern)\RP34\A0006834.exe

Trojanisches Pferd TR\PSW.Cimuz.480256A.1
Quelle: C:\System Volume Information\_restore(ne lange reihe an nummern)\RP27\006282.dll

Trojanisches Pferd TR/Meredrop.A.5646
Quelle: C:\WINDOWS\system32\userinit.exe

so hoffe das is nix schlimmes

Larusso

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


schritt 1

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


schritt 2

Bereinigung mit Malwarebytes' Anti-Malware (Quick-Scan)

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
• Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
• Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
• Aktiviere "Quick-Scan durchführen" => Scan.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Bei Funden in C:\System Volume Information den Haken entfernen.
  Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
  Er könnte jedoch trotz Malware noch gebraucht werden.
  
• Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Entferne Auswahl".
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
• Berichte, wie der Rechner nun läuft.

Hier findest Du eine ausführliche und bebilderte Anleitung.


schritt 3

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
Log von Malwarebytes
OTL.txt
Extras.txt

ErROr9312

so malewaebytes hat 2 gefunden. hat aber nix mit dem troj. pferd zu tun wie ichs glaub.

hier mal von malewarbytes

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3916
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
26.03.2010 15:39:23
mbam-log-2010-03-26 (15-39-23).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 113744
Laufzeit: 5 minute(s), 55 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ErROr9312

die texte passen hier nicht weil die zu lange sind

die texte von OTL sind im anhang zum downloaden

Angehängte Dateien

	Extras.Txt (29,1 KB, 3x aufgerufen)
	OTL.Txt (43,2 KB, 2x aufgerufen)

Larusso

Macht der Rechner Probleme ?

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  :filefind
  C:\WINDOWS\system32\userinit.exe /md5

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

ErROr9312

ne der laptop macht keine probleme. is au nicht oft an vllt mal 2-3 mal in der woche maximal.
da wird nur im internet gesurft und bilder gespeicher texte geschriben nichts wichtiges wird da gemacht wie online banking das macht meine oma nicht

hier der text von systemlook

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 16:08 on 26/03/2010 by Mina (Administrator - Elevation successful)
========== filefind ==========
Searching for "C:\WINDOWS\system32\userinit.exe /md5"
No files found.
-=End Of File=-

Larusso

Ups
Hab mich vertan

Bitte starte Systemlook erneut

ErROr9312

hier der neue

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 16:15 on 26/03/2010 by Mina (Administrator - Elevation successful)
========== filefind ==========
Searching for "userinit.exe /md5"
No files found.
-=End Of File=-

Larusso

Das macht mir etwas sorgen. Userinit ist ne Systemdatei und MUSS vorhanden sein.

EDIT

Ich liebe änderungen ohne das uns jemand bescheid sagt -.-

ErROr9312

ehmm ja hier mal der log von dem programm da combofix falls du es doch bruachst

ComboFix 10-03-25.09 - Mina 26.03.2010 16:33:56.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.502.200 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mina\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\recycler\S-1-5-21-516377846-1246839800-3876651072-1003
c:\recycler\S-1-5-21-725345543-1004336348-2146997909-1003
c:\recycler\S-1-5-21-913101008-1543685813-2128169664-1003
.
((((((((((((((((((((((( Dateien erstellt von 2010-02-26 bis 2010-03-26 ))))))))))))))))))))))))))))))
.
2010-03-26 15:24 . 2010-03-26 15:24 -------- d-----w- c:\programme\EA SPORTS
2010-03-26 14:31 . 2010-03-26 14:31 -------- d-----w- c:\dokumente und einstellungen\Mina\Anwendungsdaten\Malwarebytes
2010-03-26 14:31 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-26 14:30 . 2010-03-26 14:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-03-26 14:30 . 2010-03-26 14:31 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-03-26 14:30 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-26 12:01 . 2010-03-26 12:01 61440 ----a-w- c:\dokumente und einstellungen\Mina\Anwendungsdaten\Sun\Java\Deploy ment\SystemCache\6.0\17\6d0ad391-17f6f285-n\decora-sse.dll
2010-03-26 12:01 . 2010-03-26 12:01 503808 ----a-w- c:\dokumente und einstellungen\Mina\Anwendungsdaten\Sun\Java\Deploy ment\SystemCache\6.0\54\1a209876-6ca89a04-n\msvcp71.dll
2010-03-26 12:01 . 2010-03-26 12:01 348160 ----a-w- c:\dokumente und einstellungen\Mina\Anwendungsdaten\Sun\Java\Deploy ment\SystemCache\6.0\54\1a209876-6ca89a04-n\msvcr71.dll
2010-03-26 12:01 . 2010-03-26 12:01 499712 ----a-w- c:\dokumente und einstellungen\Mina\Anwendungsdaten\Sun\Java\Deploy ment\SystemCache\6.0\54\1a209876-6ca89a04-n\jmc.dll
2010-03-26 12:01 . 2010-03-26 12:01 12800 ----a-w- c:\dokumente und einstellungen\Mina\Anwendungsdaten\Sun\Java\Deploy ment\SystemCache\6.0\17\6d0ad391-17f6f285-n\decora-d3d.dll
2010-03-26 12:01 . 2010-03-26 12:00 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-26 11:37 . 2010-03-26 11:37 -------- d-----w- c:\dokumente und einstellungen\Mina\Anwendungsdaten\Avira
2010-03-26 11:30 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-03-09 18:02 . 2009-10-23 15:28 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2010-03-26 12:01 . 2005-09-12 11:39 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-03-26 12:00 . 2005-09-12 11:39 -------- d-----w- c:\programme\Java
2010-03-01 08:05 . 2009-08-14 10:07 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-16 12:24 . 2009-08-14 10:07 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-09 17:15 . 2005-09-14 09:36 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-02-08 16:44 . 2010-02-08 16:44 -------- d-----w- c:\dokumente und einstellungen\Mina\Anwendungsdaten\InterVideo
2009-12-31 16:50 . 2005-09-12 09:36 353792 ----a-w- c:\windows\system32\drivers\srv.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd .exe" [2005-04-12 65536]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 88358]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"CeEKEY"="c:\programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744]
"HWSetup"="c:\programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"SVPWUTIL"="c:\programme\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 65536]
"Zooming"="ZoomingHook.exe" [2005-06-06 24576]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 28672]
"TPSMain"="TPSMain.exe" [2005-08-12 266240]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"TFncKy"="TFncKy.exe" [BU]
"Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"NDSTray.exe"="NDSTray.exe" [BU]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Mina^Startmenü^Programme^Autostart^M icrosoft Office OneNote 2003 Schnellstart.lnk]
path=c:\dokumente und einstellungen\Mina\Startmenü\Programme\Autostart\M icrosoft Office OneNote 2003 Schnellstart.lnk
backup=c:\windows\pss\Microsoft Office OneNote 2003 Schnellstart.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus D68 Series]
2005-01-25 04:00 98304 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIA AE.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 05:52 1695232 ----a-w- c:\programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PadTouch]
2005-08-30 10:34 1077328 ----a-w- c:\programme\Toshiba\Touch and Launch\PadExe.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPNF]
2005-08-25 17:11 53248 ----a-w- c:\programme\Toshiba\TouchPad\TPTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\THQ\\Hot Wheels Stunt Track Challenge\\hwstc.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.08.2009 11:07 135336]
.
Inhalt des "geplante Tasks" Ordners
2009-08-12 c:\windows\Tasks\Registrierungserinnerung 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-12 05:52]
2010-03-26 c:\windows\Tasks\User_Feed_Synchronization-{D954BA92-8648-4E66-989E-2FF7E1BD91C4}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
AddRemove-UnityWebPlayer - c:\dokumente und einstellungen\Mina\Lokale Einstellungen\Anwendungsdaten\Unity\WebPlayer\Unin stall.exe

************************************************** ************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-03-26 16:40
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
************************************************** ************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3272)
c:\windows\system32\webcheck.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
.
Zeit der Fertigstellung: 2010-03-26 16:41:53
ComboFix-quarantined-files.txt 2010-03-26 15:41
Vor Suchlauf: 8 Verzeichnis(se), 61.229.232.128 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 61.220.503.552 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 2F960D3B17C9459DAE246AFCA58B8B22