Hallo Leute,

hoffe es sitzt noch gerade jmd am PC und kann mir bei meinem kleinem großem Problem helfen. Ich hab mir nen Trojaner eingefangen und komm nicht mehr ins System.
nun bin ich genau im Klausurenblock und brauch so schnell wie möglich meine Daten wieder....

ich hab das selbe Problem schon bei euch gefunden: http://www.trojaner-board.de/106759-...blockiert.html

kann damit aber reichlich wenig anfangen.
Folgendes hab ich schon gemacht:

hab mir die OTL.EXE auf nen stick gepackt. hab den pc mit eingabeaufforderung gestartet hab "copy E:\OTL.EXE" eingegeben (1 Datei(en) kopiert.) und nun ja, jetzt steh ich absolut auf dem schlauch wie ich die datei starten soll....

mfg Peter

EDIT: habs nun starten können, und nach der Anleitung Gescant. Alles Schön und gut, nur sind die dateien die ich bekommen LEER :/

Hi,

einfach starten durch Eingabe von otl in dem Fenster... Er sollte sie dahin kopiert haben, wo die Eingabekonsole steht (im selben Verzeichnis)...

Du kannst Otl auch durch die Eingabe von E:\otl direkt starten...
Das Log sollte dann auf dem Stick landen...

chris

Hey guten morgen,

danke für die Antwort. Scheinen ja einige sich mit dem Trojaner rumzuschlagen....
okay hab die OTL.EXE gestartet bekommen (danke ). Nun hab ich alles so eingestellt wie es in dem anderen Thread beschrieben war. Nur leider sind die 2 txt dateien ohne inhalt :/

Hi,

wo hat er sie abgelegt?
Wie hast Du otl eingestellt?

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

nunja da ich ja kein klassisches windows menu hab sondern nur die eingabeaufforderung hab ich keine ahnung wo er das ablegt....
ich habe alle auf "Benutze Safelist" stehen dann die LOP Prüfung und Purity Prüfung an. dann Scan und es öffnen sich 2 leere txt dokumente im bildschirm :/

Hi,

probieren wir es nochmal, Du hst Windowsin den abgesicherten Modus mit Eingabeaufforderung gestartet, E-ist Dein USB-Stick

mit copy E:\OTL.exe . (beachte den Punkt) wir die Exe auf die Festplattekopiert (gib mal cd in dei Eingabeaufforderung ein, dann zeigt er dir Laufwerk und Verzeichns, mit dir kannst Du dir den Inhalt anzeigen lassen, da sollte dann auch die otl.exe angezeigt werden.

Jetzt die OTL.exe starten und so einstellen wie angegeben...

chris

Zitat:

Zitat von Chris4You

Hi,

probieren wir es nochmal, Du hst Windowsin den abgesicherten Modus mit Eingabeaufforderung gestartet, E-ist Dein USB-Stick

das ist richtig

Zitat:

Zitat von Chris4You

mit copy E:\OTL.exe . (beachte den Punkt) wir die Exe auf die Festplattekopiert

hab ich gemacht, dann steht da ersetzen? ja nein vielleicht
ich hab ja eingegeben, er hats ersetzt.

Zitat:

Zitat von Chris4You

(gib mal cd in dei Eingabeaufforderung ein, dann zeigt er dir Laufwerk und Verzeichns

C:\windows\system32

Zitat:

Zitat von Chris4You

, mit dir kannst Du dir den Inhalt anzeigen lassen, da sollte dann auch die otl.exe angezeigt werden.

nunja da ekomm ich ne suuuuuper lange Liste welche alphabetisch geordnet ist (leider kann ich nur bis "X" hoch scrollen und somit OTL nicht finden)

Zitat:

Zitat von Chris4You

Jetzt die OTL.exe starten und so einstellen wie angegeben...

Eingestellt hab ich:
Inklusive 64 bit scans
Prozesse, Module, Dienste, Treiber, Standart-Regestrierung, Extra-Registrierung auf "Benutze SafeList"
Datei Scans:
Alter 30Tage
Use No-Company-Name Ehitelist
Dateien Erstellt innerhalb "Datei Alter"
Dateien verändert innehalt "Datei-Alter"

LOP Prüfung an
Purity Prüfung an.

und minimal Ausgabe

Peter

PS Version von OTL: 3.2.31.0

TXT Datei nach wie vor Leer :/

PSS: liegt es daran dass die OTL exe nicht auf dem desktop ist und somit die TXT dateien im system32 ordner gespeichert werden? wenn ja wüsst ich auch nicht wie ich den speicherpfad vom stick auf den desktop mache (also wegen der eingabeaufforderungssache)

Okay lag daran dass es nicht auf dem Desktop war. hab etwas rumprobiert und geschafft es vom Desktop zu starten (etwas stolz )
ich lade die 2 dateien gleich mal hoch

Geht doch ;o)

OTL und Extras im Anhang

Hi,

Fix für OTL (Ucash)
Script auf CD oder USB-Stick kopieren, OTL starten und wie folgt vorgehen...
(abgesicherter Modus mit Eingabeaufforderung OTL starten dann notepad aufrufen, Script laden und Inhalt der Codebox wie u. beschrieben in OTL kopieren)

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [WBhXTAWuFpmNyON] C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe (sYhiglWP)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe) -C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe (sYhiglWP)
O20 - HKCU Winlogon: Shell - (C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe) -C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe (sYhiglWP)
O33 - MountPoints2\{27e4f9cd-1f00-11e1-a9de-0090f592c03d}\Shell - "" = AutoRun
O33 - MountPoints2\{27e4f9cd-1f00-11e1-a9de-0090f592c03d}\Shell\AutoRun\command - "" = "F:\WD SmartWare.exe" autoplay=true
O33 - MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\Shell - "" = AutoRun
O33 - MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\Shell\AutoRun\command - "" = E:\SETUP.EXE
O33 - MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\Shell\configure\command - "" = E:\SETUP.EXE
O33 - MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\Shell\install\command - "" = E:\SETUP.EXE
[2011.12.28 21:13:11 | 000,381,100 | ---- | C] (sYhiglWP) -- C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe
[2011.12.10 00:30:19 | 000,000,000 | ---D | C] -- C:\Users\DevilTech\AppData\Roaming\LolClient
[2011.10.31 11:22:42 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe


:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Erstmal der OTL-Fix-Log

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WBhXTAWuFpmNyON deleted successfully.
C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe deleted successfully.
File \Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe) -C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe deleted successfully.
File \Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe) -C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{27e4f9cd-1f00-11e1-a9de-0090f592c03d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{27e4f9cd-1f00-11e1-a9de-0090f592c03d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{27e4f9cd-1f00-11e1-a9de-0090f592c03d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{27e4f9cd-1f00-11e1-a9de-0090f592c03d}\ not found.
File "F:\WD SmartWare.exe" autoplay=true not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
File E:\SETUP.EXE not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
File E:\SETUP.EXE not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
File E:\SETUP.EXE not found.
File C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe not found.
C:\Users\DevilTech\AppData\Roaming\LolClient\Local Store\#SharedObjects\mod_man.dat folder moved successfully.
C:\Users\DevilTech\AppData\Roaming\LolClient\Local Store\#SharedObjects folder moved successfully.
C:\Users\DevilTech\AppData\Roaming\LolClient\Local Store folder moved successfully.
C:\Users\DevilTech\AppData\Roaming\LolClient folder moved successfully.
C:\Windows\MusiccityDownload.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: DevilTech
->Temp folder emptied: 75519068 bytes
->Temporary Internet Files folder emptied: 105332683 bytes
->Java cache emptied: 76233095 bytes
->FireFox cache emptied: 1084961121 bytes
->Flash cache emptied: 3095807 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1533399 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1098279 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67966 bytes
RecycleBin emptied: 326600905 bytes
 
Total Files Cleaned = 1.597,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 12292011_113140

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Hi,

ok, bitte noch MAM und Killer-Log oposten...

chris

MAM

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2011.12.29.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
DevilTech :: DEVILTECH-PC [Administrator]

Schutz: Aktiviert

29.12.2011 11:58:09
mbam-log-2011-12-29 (11-58-09).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 372632
Laufzeit: 1 Stunde(n), 5 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{6ScJzIf0-kevt-RkjF-pr7R-UIAZ3ihJ5KXN} (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iTunes.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WBhXTAWuFpmNyON (Trojan.Agent) -> Daten: C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|HideIcons (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Public\winbrd.jpg (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

an dem anderen setz ich mich jetzt dran =D

Hi,

ok...

chris