Bundespolizei Virus

#1 Hallo meine Lieben :-)

ich bräuchte eure Hilfe...
Folgendes, ein guter Freund hat gestern totale Anfälle bekommen da sein Laptop von Samsung nicht mehr geht. Wenn er ihn hoch fährt geht am ende die explorer website auf und somit kann man nichts mehr klicken an dem laptop.
Nun hab ich mal gegoogelt und er hatte ja mir gesagt das da was mit Bundespolizei war und 100 euro UKash. Ja wie ich nun weiß ein Virus.
Nun hab ich den Laptop bei mir und würde das gerne mit eurer Hilfe machen damit wir den wieder Virusfrei bekommen. Die eine oder andere lösungen hatt ich im Internet schon gefunden aber mir ist es lieber ich mache das Schritt für Schritt mit euch!!
Er geht mit dem Laptop über O2 USB Stick online. Wenn ich nun Zuhause bin könnte ich um alles zu machen ihn an mein Modem anschließen. Ich hoffe ich bekomme dann dadurch nicht selbst den Virus ab???!!
Also von mir aus kanns losgehen... ich danke euch jetzt schon mal im Voraus :-)
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#2 schade bis jetzt noch keine Hilfe!! Kann mir jemand beantworten ob es sinnvoll ist eine Systemwiederherstellung zu machen?? Hab zu diesem Virus etliche Beiträge gefunden wo die alle das machen und wohl helfen soll???!!
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#3 Ich bin weiss gott kein fachmann auf diesem gebiet aber sogesehen müsste man sone systemwiederherstellung ja hinterher auch noch machen können...wenn nix hilft...
Natürlich ist das einfacher und wahrscheinlich auch sicherer aber es geht wahrscheinlich auch anders
Was bei mir bei so einem virus schon mal geholfen hat war der de-cleaner von avira...allerdings solltest du trotzdem auf einen moderator warten

#4

Zitat

schade bis jetzt noch keine Hilfe!!

Wenn Du sehr schnelle Hilfe willst dann gehe zum Fachmann um die Ecke. Dieser macht es dann für 300Euro!

Herzlich Willkommen auf dem Protecus Forum

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Unbootbares System mit OTLPE Network scannen

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.

Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

• Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.
Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hier.
• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.



• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in diesen Thread.

Falls Du kein Brennprogramm hast:

ISOBurner
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Instructions.

#5

Zitat

Wenn Du sehr schnelle Hilfe willst dann gehe zum Fachmann um die Ecke. Dieser macht es dann für 300Euro!

man muss sich ja nicht gleich angegriffen fühlen... ^^



soo nun zu deiner Hilfe :-) Hab das so gemacht allerdings wenn ich nun auf das OTLPE Icon drücke ploppt ein Fenster auf wo steht

"BROWSE For Folder"

Choose Windows Directory

kann dann auswählen zwischen:

- My Computer (<<-- versuch war das zu klicken und OK dann kam :
No windows installations found

RAM DISK (B)
System (C)
Local Disk (D)
Local Disk (E)
ReatogoPE (X)
Shared Documents


danke schon mal für weitere Hilfe
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#6 Bei System (C) wähle C:\windows >> klicke ok

#7 Guten Morgen

alsoo unter dem Pfad wie du sagtest war leider kein Windows.. oO.. irgendwie ist das hier sehr seltsam an dem Laptop.. nuja gefunden hab Ichs nun unter Local Disk (D) und raus kam dabei das hier :
Ich hoffe das stimmt




OTL logfile created on: 5/20/2012 11:12:07 AM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Windows 7 Home Premium Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000409 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 91.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = D: | %SystemRoot% = D:\windows | %ProgramFiles% = D:\Program Files
Drive C: | 100.00 Mb Total Space | 74.22 Mb Free Space | 74.23% Space Free | Partition Type: NTFS
Drive D: | 127.87 Gb Total Space | 84.95 Gb Free Space | 66.43% Space Free | Partition Type: NTFS
Drive E: | 150.12 Gb Total Space | 53.46 Gb Free Space | 35.61% Space Free | Partition Type: NTFS
Drive F: | 3.78 Gb Total Space | 3.50 Gb Free Space | 92.64% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001

[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - [2012/05/10 16:01:03 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- D:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012/05/10 16:01:03 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- D:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/02/29 04:16:46 | 000,158,856 | R--- | M] (Skype Technologies) [Auto] -- D:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2011/10/01 03:30:42 | 000,219,496 | ---- | M] (Microsoft Corporation) [On_Demand] -- D:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa)
SRV - [2011/10/01 03:30:36 | 000,508,776 | ---- | M] (Microsoft Corporation) [Auto] -- D:\Program Files\Microsoft Application Virtualization Client\sftlist.exe -- (sftlist)
SRV - [2010/08/02 06:40:56 | 000,199,600 | ---- | M] (Telefónica I+D) [Auto] -- D:\Program Files\o2\Mobile Connection Manager\ImpWiFiSvc.exe -- (TGCM_ImportWiFiSvc)
SRV - [2009/07/13 21:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand] -- D:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009/07/13 21:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [On_Demand] -- D:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - [2012/05/10 16:01:03 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System] -- D:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/05/10 16:01:03 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto] -- D:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/12/12 22:32:24 | 002,228,224 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2011/10/11 09:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- D:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011/10/01 03:30:42 | 000,019,304 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\Sftvollh.sys -- (Sftvol)
DRV - [2011/10/01 03:30:40 | 000,021,864 | ---- | M] (Microsoft Corporation) [File_System | On_Demand] -- D:\Windows\System32\drivers\Sftredirlh.sys -- (Sftredir)
DRV - [2011/10/01 03:30:38 | 000,194,408 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\Sftplaylh.sys -- (Sftplay)
DRV - [2011/10/01 03:30:36 | 000,579,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\Sftfslh.sys -- (Sftfs)
DRV - [2010/11/20 06:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010/10/29 12:43:16 | 000,015,656 | ---- | M] (Windows (R) 2003 DDK 3790 provider) [Kernel | On_Demand] -- D:\Windows\System32\drivers\rtport.sys -- (rtport)
DRV - [2010/06/17 09:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- D:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/04/09 03:24:12 | 000,063,616 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\ew_jubusenum.sys -- (huawei_enumerator)
DRV - [2010/04/07 05:05:00 | 000,204,800 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\ewusbnet.sys -- (ewusbnet)
DRV - [2010/03/24 22:08:38 | 000,105,984 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2010/03/19 23:56:04 | 000,101,504 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\ew_hwusbdev.sys -- (ew_hwusbdev)
DRV - [2009/09/28 05:22:00 | 000,315,392 | ---- | M] () [Kernel | On_Demand] -- D:\Windows\System32\drivers\yk62x86.sys -- (yukonw7)
DRV - [2009/07/10 09:44:52 | 000,122,880 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\IntcHdmi.sys -- (IntcHdmiAddService) Intel(R)
DRV - [2008/07/30 01:51:30 | 000,277,736 | ---- | M] (Protect Software GmbH) [Kernel | Auto] -- D:\Windows\System32\drivers\acedrv11.sys -- (acedrv11)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=drive&s={searchTerms}&f=4


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


IE - HKU\MT_ON_D\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn
IE - HKU\MT_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
IE - HKU\MT_ON_D\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: D:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: D:\Program Files\Microsoft Office\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: D:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: D:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: D:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)


[2011/09/23 13:00:04 | 000,002,048 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\fcmdSrchdrive.xml

O1 HOSTS File: ([2009/06/10 17:39:37 | 000,000,824 | ---- | M]) - D:\Windows\System32\drivers\etc\hosts
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - D:\Program Files\facemoods.com\facemoods\1.4.17.8\bh\facemoods.dll (facemoods.com BHO)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - D:\Program Files\facemoods.com\facemoods\1.4.17.8\facemoodsTlbr.dll (facemoods.com)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [avgnt] D:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CLMLServer] D:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (CyberLink)
O4 - HKLM..\Run: [facemoods] D:\Program Files\facemoods.com\facemoods\1.4.17.8\facemoodssrv.exe (facemoods.com)
O4 - HKLM..\Run: [PDVD8LanguageShortcut] D:\Program Files\CyberLink\PowerDVD8\Language\Language.exe (CyberLink Corp.)
O4 - HKLM..\Run: [RemoteControl8] D:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdateLBPShortCut] D:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdateP2GoShortCut] D:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdatePDRShortCut] D:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdatePPShortCut] D:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdatePSTShortCut] D:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKU\MT_ON_D..\Run: [SkypePM] File not found
O4 - HKU\LocalService_ON_D..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_D..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - Startup: Error locating startup folders.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - D:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - D:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - D:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2012/05/18 15:08:55 | 000,000,000 | ---D | C] -- D:\windows\Minidump
[2012/05/17 19:14:07 | 000,214,024 | ---- | C] (McAfee, Inc.) -- D:\windows\System32\drivers\mfehidk.sys
[2012/05/17 19:14:07 | 000,130,424 | ---- | C] (McAfee, Inc.) -- D:\windows\System32\drivers\Mpfp.sys
[2012/05/17 19:14:07 | 000,079,816 | ---- | C] (McAfee, Inc.) -- D:\windows\System32\drivers\mfeavfk.sys
[2012/05/17 19:14:07 | 000,040,552 | ---- | C] (McAfee, Inc.) -- D:\windows\System32\drivers\mfesmfk.sys
[2012/05/17 19:14:07 | 000,035,272 | ---- | C] (McAfee, Inc.) -- D:\windows\System32\drivers\mfebopk.sys
[2012/05/17 19:14:07 | 000,034,248 | ---- | C] (McAfee, Inc.) -- D:\windows\System32\drivers\mferkdk.sys
[2012/05/17 19:14:01 | 000,606,208 | ---- | C] (Microsoft Corporation) -- D:\windows\System32\mstime.dll
[2012/05/17 19:13:57 | 000,018,432 | ---- | C] (Microsoft Corporation) -- D:\windows\System32\corpol.dll
[2012/05/14 13:36:09 | 000,000,000 | ---D | C] -- D:\Users\MT\AppData\Roaming\Help
[2012/05/14 13:15:57 | 000,000,000 | ---D | C] -- D:\Users\MT\AppData\Roaming\Windows Search
[2012/05/14 13:15:57 | 000,000,000 | ---D | C] -- D:\Users\MT\AppData\Roaming\TeamViewer
[2012/05/12 15:35:36 | 000,000,000 | ---D | C] -- D:\Program Files\Common Files\Sandlot Shared
[2012/05/12 15:35:33 | 000,000,000 | ---D | C] -- D:\ProgramData\Sandlot Games
[2012/05/12 15:21:50 | 000,000,000 | ---D | C] -- D:\Users\MT\AppData\Roaming\temp
[2012/05/12 15:21:27 | 000,000,000 | RH-D | C] -- D:\Users\MT\AppData\Roaming\SecuROM
[2012/05/12 15:21:26 | 000,107,888 | ---- | C] (Sony DADC Austria AG.) -- D:\windows\System32\CmdLineExt.dll
[2012/05/12 11:18:30 | 003,968,368 | ---- | C] (Microsoft Corporation) -- D:\windows\System32\ntkrnlpa.exe
[2012/05/12 11:18:29 | 003,913,072 | ---- | C] (Microsoft Corporation) -- D:\windows\System32\ntoskrnl.exe
[2012/05/12 11:18:28 | 002,343,424 | ---- | C] (Microsoft Corporation) -- D:\windows\System32\win32k.sys
[2012/05/12 11:17:40 | 001,077,248 | ---- | C] (Microsoft Corporation) -- D:\windows\System32\DWrite.dll
[2011/02/11 13:40:40 | 000,004,096 | ---- | C] ( ) -- D:\windows\System32\IGFXDEVLib.dll

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2012/05/18 16:42:47 | 000,067,584 | --S- | M] () -- D:\windows\bootstat.dat
[2012/05/18 16:42:44 | 000,196,608 | ---- | M] () -- D:\windows\System32\Ikeext.etl
[2012/05/18 15:54:10 | 000,001,098 | ---- | M] () -- D:\windows\tasks\GoogleUpdateTaskMachineUA.job
[2012/05/18 15:39:25 | 000,014,512 | -H-- | M] () -- D:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012/05/18 15:39:25 | 000,014,512 | -H-- | M] () -- D:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/05/18 15:31:56 | 000,001,094 | ---- | M] () -- D:\windows\tasks\GoogleUpdateTaskMachineCore.job
[2012/05/18 15:31:37 | 3150,561,280 | -HS- | M] () -- D:\hiberfil.sys
[2012/05/18 15:08:45 | 205,414,705 | ---- | M] () -- D:\windows\MEMORY.DMP
[2012/05/17 12:11:23 | 000,014,374 | ---- | M] () -- D:\Users\MT\Documents\cc_20120517_181115.reg
[2012/05/17 11:34:04 | 000,699,040 | ---- | M] () -- D:\windows\System32\perfh007.dat
[2012/05/17 11:34:04 | 000,144,454 | ---- | M] () -- D:\windows\System32\perfc007.dat
[2012/05/17 11:34:04 | 000,119,438 | ---- | M] () -- D:\windows\System32\perfc009.dat
[2012/05/17 11:34:04 | 000,000,000 | ---- | M] () -- D:\windows\System32\perfh009.dat
[2012/05/17 06:00:52 | 000,001,013 | ---- | M] () -- D:\Users\MT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\k8h00.exe.lnk
[2012/05/16 09:57:18 | 000,512,187 | ---- | M] () -- D:\Users\MT\Documents\Foto0082.jpg
[2012/05/16 09:57:16 | 000,548,756 | ---- | M] () -- D:\Users\MT\Documents\Foto0083.jpg
[2012/05/16 09:57:16 | 000,531,817 | ---- | M] () -- D:\Users\MT\Documents\Foto0085.jpg
[2012/05/12 15:21:26 | 000,107,888 | ---- | M] (Sony DADC Austria AG.) -- D:\windows\System32\CmdLineExt.dll
[2012/05/12 15:17:11 | 000,000,000 | R--D | M] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
[2012/05/12 14:50:56 | 000,277,656 | ---- | M] () -- D:\windows\System32\FNTCACHE.DAT
[2012/05/12 14:06:02 | 000,000,000 | ---D | M] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight
[2012/05/10 16:01:03 | 000,137,928 | ---- | M] (Avira GmbH) -- D:\windows\System32\drivers\avipbb.sys
[2012/05/10 16:01:03 | 000,083,392 | ---- | M] (Avira GmbH) -- D:\windows\System32\drivers\avgntflt.sys
[2012/04/29 12:04:06 | 000,537,114 | ---- | M] () -- D:\Users\MT\Documents\Foto0056.jpg

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2012/05/18 15:08:45 | 205,414,705 | ---- | C] () -- D:\windows\MEMORY.DMP
[2012/05/17 12:11:19 | 000,014,374 | ---- | C] () -- D:\Users\MT\Documents\cc_20120517_181115.reg
[2012/05/17 06:00:52 | 000,001,013 | ---- | C] () -- D:\Users\MT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\k8h00.exe.lnk
[2012/05/16 09:59:26 | 000,531,817 | ---- | C] () -- D:\Users\MT\Documents\Foto0085.jpg
[2012/05/16 09:59:16 | 000,548,756 | ---- | C] () -- D:\Users\MT\Documents\Foto0083.jpg
[2012/05/16 09:59:08 | 000,512,187 | ---- | C] () -- D:\Users\MT\Documents\Foto0082.jpg
[2012/04/29 12:05:48 | 000,537,114 | ---- | C] () -- D:\Users\MT\Documents\Foto0056.jpg
[2011/09/28 16:52:18 | 000,021,265 | ---- | C] () -- D:\Users\MT\AppData\Roaming\UserTile.png
[2011/06/24 05:49:42 | 000,252,928 | ---- | C] () -- D:\windows\System32\DShowRdpFilter.dll
[2011/04/15 09:04:21 | 000,131,368 | ---- | C] () -- D:\ProgramData\FullRemove.exe
[2011/02/11 14:10:52 | 000,439,308 | ---- | C] () -- D:\windows\System32\igcompkrng500.bin
[2011/02/11 14:10:50 | 000,982,240 | ---- | C] () -- D:\windows\System32\igkrng500.bin
[2011/02/11 14:10:50 | 000,092,356 | ---- | C] () -- D:\windows\System32\igfcg500m.bin
[2011/02/11 13:38:44 | 000,000,151 | ---- | C] () -- D:\windows\System32\GfxUI.exe.config
[2010/06/13 19:33:19 | 000,307,200 | ---- | C] () -- D:\windows\SetDisplayResolution.exe
[2010/06/13 19:10:58 | 000,001,470 | ---- | C] () -- D:\windows\HotFixList.ini
[2010/06/12 21:47:23 | 000,699,040 | ---- | C] () -- D:\windows\System32\perfh007.dat
[2010/06/12 21:47:23 | 000,295,922 | ---- | C] () -- D:\windows\System32\perfi007.dat
[2010/06/12 21:47:23 | 000,144,454 | ---- | C] () -- D:\windows\System32\perfc007.dat
[2010/06/12 21:47:23 | 000,038,104 | ---- | C] () -- D:\windows\System32\perfd007.dat
[2010/06/12 21:26:14 | 000,004,608 | ---- | C] () -- D:\windows\System32\HdmiCoin.dll
[2010/06/12 21:26:13 | 000,134,592 | ---- | C] () -- D:\windows\System32\igfcg500.bin
[2009/07/14 00:57:37 | 000,067,584 | --S- | C] () -- D:\windows\bootstat.dat
[2009/07/14 00:33:53 | 000,277,656 | ---- | C] () -- D:\windows\System32\FNTCACHE.DAT
[2009/07/13 22:05:48 | 000,291,294 | ---- | C] () -- D:\windows\System32\perfi009.dat
[2009/07/13 22:05:48 | 000,119,438 | ---- | C] () -- D:\windows\System32\perfc009.dat
[2009/07/13 22:05:48 | 000,031,548 | ---- | C] () -- D:\windows\System32\perfd009.dat
[2009/07/13 22:05:48 | 000,000,000 | ---- | C] () -- D:\windows\System32\perfh009.dat
[2009/07/13 22:05:05 | 000,000,741 | ---- | C] () -- D:\windows\System32\NOISE.DAT
[2009/07/13 22:04:11 | 000,215,943 | ---- | C] () -- D:\windows\System32\dssec.dat
[2009/07/13 19:55:01 | 000,043,131 | ---- | C] () -- D:\windows\mib.bin
[2009/07/13 19:51:43 | 000,073,728 | ---- | C] () -- D:\windows\System32\BthpanContextHandler.dll
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- D:\windows\System32\BWContextHandler.dll
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- D:\windows\System32\mlang.dat

[color=#E56717]========== LOP Check ==========[/color]

[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Application Data
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Desktop
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Documents
[2011/05/14 15:08:25 | 000,000,000 | ---D | M] -- D:\ProgramData\EA Core
[2011/05/14 15:08:25 | 000,000,000 | ---D | M] -- D:\ProgramData\Electronic Arts
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Favorites
[2011/04/15 09:09:14 | 000,000,000 | ---D | M] -- D:\ProgramData\OberonGameConsole
[2011/05/09 15:59:35 | 000,000,000 | ---D | M] -- D:\ProgramData\Partner
[2010/06/13 19:34:18 | 000,000,000 | ---D | M] -- D:\ProgramData\SAMSUNG
[2012/05/12 15:35:33 | 000,000,000 | ---D | M] -- D:\ProgramData\Sandlot Games
[2011/10/22 12:38:18 | 000,000,000 | ---D | M] -- D:\ProgramData\Solidshield
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Start Menu
[2012/05/12 16:27:50 | 000,000,000 | ---D | M] -- D:\ProgramData\Temp
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Templates
[2011/05/15 23:22:50 | 000,000,000 | ---D | M] -- D:\ProgramData\VirtualizedApplications
[2011/11/19 20:48:49 | 000,000,000 | ---D | M] -- D:\ProgramData\WinClon
[2012/05/17 08:56:51 | 000,032,640 | ---- | M] () -- D:\windows\Tasks\SCHEDLGU.TXT

[color=#E56717]========== Purity Check ==========[/color]



[color=#E56717]========== Alternate Data Streams ==========[/color]

@Alternate Data Stream - 131 bytes -> D:\ProgramData\Temp:E36F5B57
@Alternate Data Stream - 116 bytes -> D:\ProgramData\Temp:2430E4FC
< End of report >
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#8 Schritt 1

Fixen mit OTLpe


• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.
• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:

Code

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - D:\Program Files\facemoods.com\facemoods\1.4.17.8\bh\facemoods.dll (facemoods.com BHO)
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - D:\Program Files\facemoods.com\facemoods\1.4.17.8\facemoodsTlbr.dll (facemoods.com)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [facemoods] D:\Program Files\facemoods.com\facemoods\1.4.17.8\facemoodssrv.exe (facemoods.com)
O4 - HKU\MT_ON_D..\Run: [SkypePM] File not found
[2012/05/14 13:36:09 | 000,000,000 | ---D | C] -- D:\Users\MT\AppData\Roaming\Help
[2012/05/14 13:15:57 | 000,000,000 | ---D | C] -- D:\Users\MT\AppData\Roaming\Windows Search
[2012/05/14 13:15:57 | 000,000,000 | ---D | C] -- D:\Users\MT\AppData\Roaming\TeamViewer
[2012/05/17 06:00:52 | 000,001,013 | ---- | M] () -- D:\Users\MT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\k8h00.exe.lnk
@Alternate Data Stream - 131 bytes -> D:\ProgramData\Temp:E36F5B57
@Alternate Data Stream - 116 bytes -> D:\ProgramData\Temp:2430E4FC
:Commands
[purity]
[emptytemp]

• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
• Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.


Schritt 2

Abgesicherter Modus zur Bereinigung


• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:




Schritt 3

Downloade Dir bitte Malwarebytes
• Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

#9 alsoo guten Abend :-)

Schritt 1 erledigt : Ich kann nun auch Windows hochfahren und die browser seite ploppt nimmer auf und somit hab ich mehr spielraum wieder. Allerdings geht internet noch immer nicht egal wie ichs mache.. ständig fehler .. explorer reagiert nicht! Ich gehe nun zu schritt 2 über! Poste es gleich.. mom..



========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64182481-4F71-486b-A045-B233BD0DA8FC}\ deleted successfully.
D:\Program Files\facemoods.com\facemoods\1.4.17.8\bh\facemoods.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}\ deleted successfully.
D:\Program Files\facemoods.com\facemoods\1.4.17.8\facemoodsTlbr.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\facemoods deleted successfully.
D:\Program Files\facemoods.com\facemoods\1.4.17.8\facemoodssrv.exe moved successfully.
Registry value HKEY_USERS\MT_ON_D\Software\Microsoft\Windows\CurrentVersion\Run\\SkypePM deleted successfully.
D:\Users\MT\AppData\Roaming\Help\coredb folder moved successfully.
D:\Users\MT\AppData\Roaming\Help folder moved successfully.
D:\Users\MT\AppData\Roaming\Windows Search\{249262EF-D46F-48F4-93A9-2328E5EB8EA1} folder moved successfully.
D:\Users\MT\AppData\Roaming\Windows Search folder moved successfully.
D:\Users\MT\AppData\Roaming\TeamViewer\{52D859C3-7C4E-474A-B382-44B2BD46A23B} folder moved successfully.
D:\Users\MT\AppData\Roaming\TeamViewer folder moved successfully.
D:\Users\MT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\k8h00.exe.lnk moved successfully.
ADS D:\ProgramData\Temp:E36F5B57 deleted successfully.
ADS D:\ProgramData\Temp:2430E4FC deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users
-> No Temporary Internet Files cache folder defined!

User: Default
-> No Temporary Internet Files cache folder defined!

User: Default User
-> No Temporary Internet Files cache folder defined!

User: MT
-> No Temporary Internet Files cache folder defined!

User: Public
-> No Temporary Internet Files cache folder defined!

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 122566 bytes

Total Files Cleaned = 0.00 mb


OTLPE by OldTimer - Version 3.1.48.0 log created on 05212012_022908
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#10 hmpf.. nun hab ich folgendes Problem.. der nimmt das Malwarebytes nicht!

Habs über USB stick drauf gemacht.. als Administrator ausgeführt.. aaaaaaaber dann kommt nix.. es geht was auf und hab nur nen langgezogenen strich in der Mitte und nix passiert!
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#11 Gehts im abgesicherten und im Normalmodus nicht?

#12 hab ich beides probiert.. geht beides nicht...

ist auch so das von vielen sachen wo ich klicke auch keine schrift sehe.. zum beispiel anti vire ist nur der kasten da und keine schrift... vieleicht hängt das auch damit zusammen..
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#13 Versuche einmal ob Combofix funktioniert:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

#14 ich verzweifel jetzt dann... geht auch nicht.. combofix öffnet sich aber sehe nur den leeren kasten.. keine schrift ... nix.. alles leer..

hab es im abgesicherten modus getestet sowie im normalen
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#15 Melde mich dann am Abend wieder mit den weiteren Schritten