Liebe Trojaner-Board Gemeinde,



ich versuche den o.g. Bundespolizei - BKA - UKASH Trojaner auf einem WinXP Rechner zu entfernen.

Ich habe eine bootable CD gemacht mit OTLPEStd und dann mit OTL gesucht. Bei den Einstellung habe ich immer "alle" ausgewählt.

Anbei die OTL.txt (erstellt mit OTLPEStd) und die Extras.txt


Eine Frage habe ich noch: ich habe vorher versucht, eine bootable USB Drive zu machen.
Folgende Anleitung habe ich benutzt (da Unetbootin den USB Stick nicht erkannt hat):

DISKPART:
"list disk"
"select disk <USB-Stick Nummer>"
"clean"
"create partition primary"
"select partition=1"
"active"
"format fs=ntfs" <- FAT32 hat gar nicht funktioniert
"assign"

Dann habe ich mit xcopy *.* /e /f /s kopiert
Ich habe einmal versucht, die entpackte ISO zu kopieren, und jetzt im Nachhinein sogar die LIVE CD einmal kopiert. Trotzdem meldet der Rechner beim Start, der BOOTMGR würde fehlen (= Bootmanager?!)

Gruß und vielen Dank,
0hmeg4

edit: Rechtschreibfehler

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EDYNAJGL\info[1].exe) - C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EDYNAJGL\info[1].exe (BitDefender)
:Files
C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EDYNAJGL\info[1].exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Ich finde - ehrlich gesagt - deine Anleitung für OLTPE nicht.

Ich habe geooglet, die Forumsuche benutzt und den Thread mit Anleitungen durchgeklickt.

Wo finde ich den? Sorry und vielen Dank schon einmal!

So, anbei der Log. Die Dateien habe ich hochgeladen im Upload-Channel.




Ich musste den Logfile zippen - weil er einige kb zu groß war.



Danke und Gruß,
0hmeg4

danke.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Anbei der Log der Combofix-Datei.

warum ist Malwarebytes instaliert?
poste alle logs, zu finden unter malwarebytes, logdateien

Malwarebytes habe ich installiert, damit der Notebook Besitzer in Zukunft mal selbst nach Malware suchen kann.
Ich habe auch einmal mit CCleaner Portable Müll entsorgt, das gehörte für mich mit dazu einen PC etwas aufzuräumen.

War das falsch?

Anbei der Log einer Malwarebytes Suche - (vollständige) es findet sich nun nurnoch die unter _OTL abgelegen Files.
Ich habe die nicht gelöscht, sondern ignoriert.

Danke und Gruß.

warum ist dieses auf dem pc?
c:\dokumente und einstellungen\User1\lokale einstellungen\Temp\temporäres verzeichnis 2 für keyfinder.v1.51.zip\keyfinder.exe (Application.FindKey) -> Quarantined and deleted successfully.

Ich habe ehrlich gesagt keine Ahnung was das ist oder wofür. Der PC ist nicht meiner, sondern ich tue einer technisch extrem unbedarften Person einen Gefallen. Falls es wirklich relevant ist, werde ich mich erkundigen.

Wie sehen die Logs aus? Noch etwas Böses da? Ich habe inzwischen auch Windows geupdated und den IE auch. Mit CCleaner etwas aufgeräumt, und die Updateeinstellungen geändert. Malwarebytes sagt jetzt nichts mehr. Antivir ist ebenfalls auf dem neuesten Stand und beschwert sich auch nicht (mehr).


Gruß,
0hmeg4

hi, avira kommt sowieso runter vom pc und wird ausgewechselt.
1. gibts wesendlich bessere alternativen.
2. kommt avira jetzt mit der ask toolbar und macht auch sonst merkwürdige werbepartnerschaften mit nutzlosen reg cleanern.
weder toolbars noch reg cleaner sollten auf pcs instaliert werden, da erstere ein sicherheitsrisiko und zweitere nutzlos sind. und natürlich ebenfalls nen risiko, da sie schäden verursachen können
lade den CCleaner standard:
CCleaner - Standard
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hi,

das habe ich schon gemacht. Der PC hat nur noch ein Minimum an Programm, die ich alle als nötig erachte.
Ich würde den Real Player kicken, aber da es nicht mein PC ist steht mir das leider nicht zu.
Antivir werde ich austauschen - danke für den Hinweis.

Ich komme an Sophos dran - was hältst du davon?
Wenn ja, Firewall und Antivir? Oder nur Antivir von Sophos?

Zu meinem ersten Post: weißt du, warum das nicht geklappt hat mit dem Booten vom USB Stick?

ich bin persönlich kein freund von firewalls, sie bringen zu 99,99 irrelevante meldungen die den user verunsichern.
der usb stick muss mit einer software erst bootbar gemacht werden, ich kann dir, bei interesse die richtige anleitung zukommen lassen.
also, erst mal avira runter, sophos drauf und scannen.
ich würd gern dann weitere maßnamen mit dir durch gehen falls erwünscht.
der real player sollte runter, und gegen vlc ausgetauscht werden, ist wesendlich besser.

Okay, wird gemacht.

Den Realplayer lasse ich drauf, aber ein neuer VLC Player ist drauf und der ist auch mit allen Dateiendungen verknüpft und auch geupdatet. Ich will nicht einfach auf einem fremden PC etwas deinstallieren. Wer weiß wofür der benutzt wird.

Sophos ist installiert+geupdated und der Suchlauf läuft in diesem Moment. Scheint extrem lange zu dauern (~10h geschätzt).

Für weitere Maßnahmen bin ich auf jeden Fall zu haben! Danke!

Wie macht man einen USB Stick bootfähig? Eine Anleitung wäre super!

Code: Alles auswählenAufklappen

ATTFilter

****************** Sophos Anti-Virus Protokoll - 01.07.2011 22:12:45 **************

20110701 205504	Die Erkennungsdatenversion 4.49G (Detection Engine 3.3.1) wird verwendet. Diese Version kann 1290485 Objekte erkennen.
20110701 205505	Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20110701 210021	Die Erkennungsdatenversion 4.49G (Detection Engine 3.3.1) wird verwendet. Diese Version kann 1290485 Objekte erkennen.
20110701 210022	Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20110701 210345	Benutzer (NT-AUTORITÄT\SYSTEM) hat den On-Access-Scan auf diesem Computer abgebrochen.
20110701 210630	Die Erkennungsdatenversion 4.67G (Detection Engine 3.21.0) wird verwendet. Diese Version kann 2702627 Objekte erkennen.
20110701 210631	Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20110701 210643	Die Erkennungsdatenversion 4.67G (Detection Engine 3.21.0) wird verwendet. Diese Version kann 2702627 Objekte erkennen.
20110701 210913	Die Erkennungsdatenversion 4.67G (Detection Engine 3.21.0) wird verwendet. Diese Version kann 2702627 Objekte erkennen.
20110701 210914	Benutzer (NT-AUTORITÄT\LOKALER DIENST) hat den On-Access-Scan auf diesem Computer gestartet.
20110701 211143	Scan 'Computer scannen' gestartet.
20110701 214530	Datei "C:\WINDOWS\NIRCMD.exe" gehört zu Adware/PUA 'NirCmd' (Typ Andere).
20110701 215159	Datei "C:\System Volume Information\_restore{72C6AE9A-B99D-4CAB-8A88-13167F6BC584}\RP373\A0075828.exe" gehört zu Adware/PUA 'NirCmd' (Typ Andere).
20110701 215159	Datei "C:\System Volume Information\_restore{72C6AE9A-B99D-4CAB-8A88-13167F6BC584}\RP373\A0075835.exe" gehört zu Adware/PUA 'NirCmd' (Typ Andere).
20110701 221035	Datei "C:\_OTL\MovedFiles\06302011_160354\C_Dokumente und Einstellungen\User1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EDYNAJGL\info[1].exe" gehört zu Virus/Spyware 'Mal/FakeAV-LX'.
20110701 221035	Registrierungseintrag "HKCR\exefile\default" gehört zu Virus/Spyware 'Mal/FakeAV-LX'.
20110701 221042	Adware/PUA 'NirCmd' wurde erkannt.
20110701 221042	Virus/Spyware 'Mal/FakeAV-LX' erkannt.
20110701 221042	Scan 'Computer scannen' abgeschlossen.
20110701 221042	Ergebniszusammenfassung für Scan 'Computer scannen':
		Gescannte Objekte: 72800
		Fehler: 0
		Objekte in Quarantäne: 2
		Behandelte Objekte: 0
      (24 Objekte)