Ebenfalls den 50€ Virus eingefangen!

paumetzka · 13.02.2012, 17:08

Hallo Liebe Helfer, ich habe mir ebenfalls den 50€ Virus eingefangen!
Die Textdateien habe ich schon! Braucht ihr noch was?
Vielen Dank,
Paule

markusg · 13.02.2012, 17:12

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

ATTFilter

:OTL
O4 - HKCU..\Run: [Linkmod] C:\Users\paule\AppData\Roaming\Kbtxt\libkb.exe ()
O4 - HKCU..\Run: [ffdwnd] C:\Users\paule\AppData\Local\Mozilla\Firefox\firefox.exe (Tomasz Pawlak)
 :Files
C:\Users\paule\AppData\Roaming\Kbtxt
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Drücke bitte die

+ E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

paumetzka · 13.02.2012, 18:39

Vielen dank Markus,
das ging ja wirklich schnell!
Ich habe die Movedfiles.zip hochgeladen! Das txt-Dokument kopiere ich nach unten!
Wie geht es weiter?
Danke Paule

PHP-Code:

   
All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Linkmod deleted successfully.

C:\Users\paule\AppData\Roaming\Kbtxt\libkb.exe moved successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ffdwnd deleted successfully.

C:\Users\paule\AppData\Local\Mozilla\Firefox\firefox.exe moved successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: All Users

 

User: Default

 

User: Default User

 

User: paule

->Flash cache emptied: 1975805 bytes

 

User: Public

 

Total Flash Files Cleaned = 2,00 mb

 

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: paule

->Temp folder emptied: 609232568 bytes

->Temporary Internet Files folder emptied: 12765171 bytes

->FireFox cache emptied: 50493372 bytes

->Google Chrome cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 17168 bytes

RecycleBin emptied: 56936492 bytes

 

Total Files Cleaned = 696,00 mb

 

 

OTL by OldTimer - Version 3.2.31.0 log created on 02132012_182307

 
Files\Folders moved on Reboot...

 
Registry entries deleted on Reboot...

markusg · 13.02.2012, 19:30

hi,
bitte nicht in php code posten, danke, und ebenfalls danke für den upload

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

paumetzka · 13.02.2012, 21:41

Voila, die neue Datei!
nochmal Danke für die Hilfe!
Und jetzt?

markusg · 14.02.2012, 12:21

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

paumetzka · 14.02.2012, 15:42

Und hier ist die Logfile!!

markusg · 14.02.2012, 15:44

nutzt du den pc für onlinebanking, einkäufe,sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

paumetzka · 14.02.2012, 16:04

Ja! Warum?

markusg · 14.02.2012, 16:40

du hast den sogenannten spyeye trojaner und vermutlich nen backdoor.
rufe die bank an, lasse das onlinebanking sperren, falls die bank zu hat, notfall nummer:
116 116
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf einen externen Datenträger (USB-Platte): http://www.trojaner-board.de/82533-d...ted-magic.html
Bider, Dokumente, Musik, Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neuinstallieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
Recovery CD oder Recovery Partition?
falls dies ein Fertig-PC ist, nenne Hersteller + Typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

paumetzka · 14.02.2012, 16:52

ok, onlinebanking ist gesperrt, jetzt kümmere ich mich um die Datenrettung!
Dann melde ich mich noch einmal!
Vielen Dank!!!!!!!!!!!!!!!!!!

paumetzka · 14.02.2012, 17:17

Ich habe einen Packard Bell Laptop
Betriebssystem Windows Vista Home Premium...
Wo finde ich raus, welcher "Typ" das ist?
Eine CD zum Windows neu installieren habe ich leider nicht...

markusg · 14.02.2012, 17:51

müsste drauf stehen oder im kauf vertrag.
hattest du cds zu dem gerät?

Ebenfalls den 50€ Virus eingefangen!

Plagegeister aller Art und deren Bekämpfung: Ebenfalls den 50€ Virus eingefangen!