Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Akm/bmi

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 03.05.2012, 17:52   #1
psino
 
Akm/bmi - Standard

Akm/bmi



Hallo zusammen

Kann seit Gestern nicht mehr auf die Startseite meines Pc´s zugreifen in den Taskmanager komm ich auch nicht rein.
Abgesichertermodus funktioniert auch nicht mehr und als Startseite bekomme ich diese AKM Seite vom Bundesministerium für Inneres wegen Raubkopien?

Wie ich gelesen habe muss ich mir das Otl prog. runterladen und mit iso kopieren und dann in den betroffenen Pc geben und Booten.
Ist schon erledigt.

Betriebssystem ist Win XP

Könntet ihr mir bitte helfen, welche Scripts ich einfügen muss in Custom Scan/Fixes und noch weiter, Vielen Danke.

MfG

Psino

Alt 03.05.2012, 18:03   #2
markusg
/// Malware-holic
 
Akm/bmi - Standard

Akm/bmi



hi
• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
Kopiere nun den Inhalt in die
Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
         
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs
__________________

__________________

Alt 03.05.2012, 20:06   #3
psino
 
Akm/bmi - Standard

Akm/bmi



Hallo Markus

Danke für die schnelle Antwort, hier ist das File.

MfG

Psino
__________________

Alt 04.05.2012, 12:55   #4
markusg
/// Malware-holic
 
Akm/bmi - Standard

Akm/bmi



hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
ATTFilter
:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\LAPTOP NINA\Anwendungsdaten\itunes_service01.exe) - C:\Dokumente und Einstellungen\LAPTOP NINA\Anwendungsdaten\itunes_service01.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\LAPTOP NINA\Anwendungsdaten\itunes_service01.exe) - C:\Dokumente und Einstellungen\LAPTOP NINA\Anwendungsdaten\itunes_service01.exe ()
:Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 05.05.2012, 13:19   #5
psino
 
Akm/bmi - Standard

Akm/bmi



Hallo Markus

Habe gerade alles so gemacht wie du geschrieben hast:

1. PC fragte ob er neu restarten soll, ja danach hat er sich aufgehängt keine Eingabe mehr möglich
2. Manueller Neustart
3. Wieder gebootet von CD
4. Nochmal gefixt und neu gestartet, hat jetzt funktioniert
5. OTL.txt ist nicht angezeigt worden habe sie manuell kopiert, ist aber die alte vom 3.5 sowie es ausschaut?

Der Upload hat super funktioniert

Danke nochmals für eure Hilfe ihr seid echt ein super Team

MfG

Psino


Alt 05.05.2012, 16:23   #6
markusg
/// Malware-holic
 
Akm/bmi - Standard

Akm/bmi



hi, danke.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
--> Akm/bmi

Alt 07.05.2012, 13:10   #7
psino
 
Akm/bmi - Standard

Akm/bmi



Hallo Markus

Ich habe mir die ComboFix geladen und auf den USB-Stick kopiert, nur nimmt der Laptop am Desktop keinen Rechtsklick an?
In allen anderen Ordnern und Dateien funktioniert es, habe so dann in Dokumente und Einstellungen/Admin/Desktop rein kopiert kann man das so lassen?
Ich warte noch auf deine Antwort ab, bevor ich die .exe drücke.

Mir ist auch aufgefallen das keine Papierkorb Symbol da ist also der Desktop ist komplett leer?

Rechtsklick->Ansicht->Desktop Symbole einblenden/geht nicht und im Ordner Desktop gibt es kein Symbole einblenden

MfG

Psino

Alt 07.05.2012, 17:19   #8
markusg
/// Malware-holic
 
Akm/bmi - Standard

Akm/bmi



kannst du nicht mit der tastatur auf das combofix symbol navigieren und enter drücken?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 07.05.2012, 19:07   #9
psino
 
Akm/bmi - Standard

Akm/bmi



Hallo Markus

Habe die ComboFix ausgeführt hat geklappt, Rechtsklick am Desktop und Symbole einblenden funkt jetzt.

Dann hätte ich noch Fragen und zwar wie das Teil auf den Laptop gekommen ist, und von was für einen Prog oder Datei er operiert(hat), Danke

MfG

Psino

Alt 08.05.2012, 18:04   #10
markusg
/// Malware-holic
 
Akm/bmi - Standard

Akm/bmi



illegale streamin seiten wie kinox.to
evtl. porno oder gehackte seiten.

malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.05.2012, 23:04   #11
psino
 
Akm/bmi - Standard

Akm/bmi



Hallo Markus

Hier ist das LogFile.

MfG

Psino
Code:
ATTFilter
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.08.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
LAPTOP NINA :: NINA [Administrator]

08.05.2012 23:25:22
mbam-log-2012-05-08 (23-25-22).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 280090
Laufzeit: 29 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Dokumente und Einstellungen\LAPTOP NINA\Eigene Dateien\PDFConverterSetup.exe (Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{F7B2F0A0-85C6-48A9-951F-EC5D14DFB296}\RP301\A0065784.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{F7B2F0A0-85C6-48A9-951F-EC5D14DFB296}\RP302\A0067245.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{F7B2F0A0-85C6-48A9-951F-EC5D14DFB296}\RP320\A0070829.dll (PUP.Adware.RelevantKnowledge) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{F7B2F0A0-85C6-48A9-951F-EC5D14DFB296}\RP320\A0070827.dll (PUP.Adware.RelevantKnowledge) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{F7B2F0A0-85C6-48A9-951F-EC5D14DFB296}\RP320\A0070830.exe (PUP.Adware.RelevantKnowledge) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{F7B2F0A0-85C6-48A9-951F-EC5D14DFB296}\RP320\A0070831.exe (PUP.Adware.RelevantKnowledge) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{F7B2F0A0-85C6-48A9-951F-EC5D14DFB296}\RP320\A0070832.exe (PUP.Adware.RelevantKnowledge) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Alt 11.05.2012, 11:14   #12
markusg
/// Malware-holic
 
Akm/bmi - Standard

Akm/bmi



hallo,
lade den CCleaner standard:
CCleaner Download - CCleaner 3.18.1707
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Akm/bmi
als startseite, bundesministerium, einfügen, funktionier, funktioniert, gestern, kopieren, nicht mehr, raubkopie, raubkopien, runterladen, scripts, seite, startseite, taskma, taskmanager, win, zugreife, zugreifen




Zum Thema Akm/bmi - Hallo zusammen Kann seit Gestern nicht mehr auf die Startseite meines Pc´s zugreifen in den Taskmanager komm ich auch nicht rein. Abgesichertermodus funktioniert auch nicht mehr und als Startseite bekomme - Akm/bmi...
Archiv
Du betrachtest: Akm/bmi auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.