|
Log-Analyse und Auswertung: BKA Virus jashla.exe - Benoetige OTL fixWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.08.2011, 22:11 | #1 |
| BKA Virus jashla.exe - Benoetige OTL fix Hallo Wurde auch von diesem Virus heimgesucht. Hab wie beschrieben einen OTL Scan gemacht. Hier das Log, gezippt, da sonst zu gross. Vielen Dank fuer die Hilfe. |
10.08.2011, 14:00 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | BKA Virus jashla.exe - Benoetige OTL fix Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
__________________Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL DRV - File not found [Kernel | Auto] -- -- (6077757b) IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 46.17.96.77:80 FF - prefs.js..network.proxy.backup.ftp: "80.83.194.49" FF - prefs.js..network.proxy.backup.ftp_port: 8080 FF - prefs.js..network.proxy.backup.gopher: "206.207.248.35" FF - prefs.js..network.proxy.backup.gopher_port: 3128 FF - prefs.js..network.proxy.backup.socks: "80.83.194.49" FF - prefs.js..network.proxy.backup.socks_port: 8080 FF - prefs.js..network.proxy.backup.ssl: "80.83.194.49" FF - prefs.js..network.proxy.backup.ssl_port: 8080 FF - prefs.js..network.proxy.ftp: "80.83.194.49" FF - prefs.js..network.proxy.ftp_port: 8080 FF - prefs.js..network.proxy.gopher: "87.111.199.136" FF - prefs.js..network.proxy.gopher_port: 8080 FF - prefs.js..network.proxy.http: "80.83.194.49" FF - prefs.js..network.proxy.http_port: 8080 FF - prefs.js..network.proxy.share_proxy_settings: true FF - prefs.js..network.proxy.socks: "80.83.194.49" FF - prefs.js..network.proxy.socks_port: 8080 FF - prefs.js..network.proxy.ssl: "80.83.194.49" FF - prefs.js..network.proxy.ssl_port: 8080 FF - prefs.js..network.proxy.type: 0 O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\jashla.exe () O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007/01/17 21:10:55 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2010/11/08 17:53:43 | 000,000,322 | ---- | M] () - E:\auto.network -- [ NTFS ] O32 - AutoRun File - [2000/01/01 07:00:00 | 000,000,272 | ---- | M] () - E:\automounts.xml -- [ NTFS ] [2011/07/19 15:08:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Hyvi [2011/03/01 20:18:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Viwy @Alternate Data Stream - 319 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF @Alternate Data Stream - 147 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 @Alternate Data Stream - 136 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5A868D37 @Alternate Data Stream - 114 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8 :Commands [purity] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen! 2.) Ordner movedfiles in C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ |
10.08.2011, 17:50 | #3 |
| BKA Virus jashla.exe - Benoetige OTL fix Erledigt. Hier das Log. Sollte noch dazu sagen, dass ich mich, um wieder ins System zu kommen, der jashla.exe bereits "manuell" entledigt habe. Daher kann ich mit der Datei leider nicht mehr dienen, alles andere habe ich gepackt und hochgeladen.
__________________Code:
ATTFilter ========== OTL ========== Service 6077757b stopped successfully! Service 6077757b deleted successfully! Unable to set value : HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E! Prefs.js: "80.83.194.49" removed from network.proxy.backup.ftp Prefs.js: 8080 removed from network.proxy.backup.ftp_port Prefs.js: "206.207.248.35" removed from network.proxy.backup.gopher Prefs.js: 3128 removed from network.proxy.backup.gopher_port Prefs.js: "80.83.194.49" removed from network.proxy.backup.socks Prefs.js: 8080 removed from network.proxy.backup.socks_port Prefs.js: "80.83.194.49" removed from network.proxy.backup.ssl Prefs.js: 8080 removed from network.proxy.backup.ssl_port Prefs.js: "80.83.194.49" removed from network.proxy.ftp Prefs.js: 8080 removed from network.proxy.ftp_port Prefs.js: "87.111.199.136" removed from network.proxy.gopher Prefs.js: 8080 removed from network.proxy.gopher_port Prefs.js: "80.83.194.49" removed from network.proxy.http Prefs.js: 8080 removed from network.proxy.http_port Prefs.js: true removed from network.proxy.share_proxy_settings Prefs.js: "80.83.194.49" removed from network.proxy.socks Prefs.js: 8080 removed from network.proxy.socks_port Prefs.js: "80.83.194.49" removed from network.proxy.ssl Prefs.js: 8080 removed from network.proxy.ssl_port Prefs.js: 0 removed from network.proxy.type C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk moved successfully. C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\jashla.exe deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\jashla.exe not found. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. File E:\auto.network not found. File E:\automounts.xml not found. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Hyvi folder moved successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Viwy folder moved successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF deleted successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 deleted successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5A868D37 deleted successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8 deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.26.1 log created on 08102011_183555 |
10.08.2011, 19:38 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | BKA Virus jashla.exe - Benoetige OTL fix Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL-Custom: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
10.08.2011, 21:23 | #5 |
| BKA Virus jashla.exe - Benoetige OTL fix Erledigt. Logs im Anhang. |
11.08.2011, 08:42 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | BKA Virus jashla.exe - Benoetige OTL fix Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________ --> BKA Virus jashla.exe - Benoetige OTL fix |
11.08.2011, 16:54 | #7 |
| BKA Virus jashla.exe - Benoetige OTL fix Nein. Steht nur dieses Logfile drin. |
11.08.2011, 20:39 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | BKA Virus jashla.exe - Benoetige OTL fix Führ bitte auch ESET aus, danach sehen wir weiter: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
11.08.2011, 22:57 | #9 |
| BKA Virus jashla.exe - Benoetige OTL fix Der hat was gefunden. Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=392f338b1f3f6841ac330cde282a3823 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-08-11 09:46:30 # local_time=2011-08-11 11:46:30 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 2 # compatibility_mode=512 16777215 100 0 0 0 0 0 # compatibility_mode=1797 16775141 100 100 100225 87994036 93007 0 # compatibility_mode=8192 67108863 100 0 415 415 0 0 # scanned=131557 # found=4 # cleaned=0 # scan_time=5336 D:\Downloads\HSS-1.15-install-anchorfree-76-conduit.zip a variant of Win32/HotSpotShield application (unable to clean) 00000000000000000000000000000000 I D:\Downloads\Nero-6.6.1.15.exe Win32/Toolbar.AskSBar application (unable to clean) 00000000000000000000000000000000 I D:\Eigene Dateien\Downloads\trojankiller2094-setup.exe a variant of Win32/1AntiVirus application (unable to clean) 00000000000000000000000000000000 I D:\Programme\GridinSoft Trojan Killer\trojankiller.exe a variant of Win32/1AntiVirus application (unable to clean) 00000000000000000000000000000000 I |
12.08.2011, 08:50 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | BKA Virus jashla.exe - Benoetige OTL fix Nur Fehlalarme. Rechner soweit wieder ok oder sollen wir weiter buddeln?
__________________ Logfiles bitte immer in CODE-Tags posten |
12.08.2011, 17:56 | #11 |
| BKA Virus jashla.exe - Benoetige OTL fix Nur wenn ihr du es für nötig erachtet. Ansonsten danke ich herzlich für deine Hilfe und hoffe, dass sowas nicht nochmal passiert. |
Themen zu BKA Virus jashla.exe - Benoetige OTL fix |
bka virus, fix, jashla.exe, log, otl fix, otl scan, scan, virus |