| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ukash 100€ Trojaner Windows XP SP3 PC infiziertWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.05.2012, 14:44
| #31 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Ukash 100€ Trojaner Windows XP SP3 PC infiziert Da musst du genau scharf nachsehen bei welcher Zeile das passiert  Ich kann ja nun schlecht für dich auf deinen Monitor nachsehen
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
30.05.2012, 15:03
| #32 |
 | Ukash 100€ Trojaner Windows XP SP3 PC infiziert irgendwie scheinst du ein Verständnis Problem zu haben^^
__________________Ich erkläre es aber jetzt noch einmal ganz langsam.... 1. Ich kopiere dein Script 2. füge es unten in OTL ein 3. klicke den "Fix" Button 4. .... und jetzt......... *trommelwirbel*........ passiert, außer dass sich das System soweit aufhängt dass ich nur noch den Mauszeiger bewegen kann, nichts.... auch rattern da unten keine Zeilen durch das Fenster an denen ich sehen könnte wo was passiert. da ich das aber jetzt schon einige male geschrieben habe gebe ich es nun auch hier auf. Ich habe keine Zeit hier stundenlang immer wieder das gleiche zu schreiben... Falls du jetzt also Lust und Muße hast nochmal von vorne zu beginnen und auch mal meine Postings richtig zu lesen dann lasse ich mir auch gerne weiterhin helfen. Ansonsten bitte ich dich hier zu closen. LG |
|
30.05.2012, 15:20
| #33 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Ukash 100€ Trojaner Windows XP SP3 PC infiziert Wenn du meinst ich habe ein Verständnisproblem, dann poste es doch einfach mal so, dass es meine Frage direkt beantwortet!
__________________ Nun muss ich schon wieder raten - ich rate mal einfach, OTL hängt sich schon bei der ersten Zeile auf. Hab ich richtig geraten Zitat:
__________________ |
|
30.05.2012, 15:40
| #34 | |||
| | Ukash 100€ Trojaner Windows XP SP3 PC infiziertZitat:
Zitat:
Zitat:
|
|
30.05.2012, 15:47
| #35 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Ukash 100€ Trojaner Windows XP SP3 PC infiziert Ein ganz einfaches "das OTL hängt sich schon bei der ersten Zeile auf" hätte mir doch schon gereicht  Nimm einfach mal die erste Zeile nach :OTL aus dem Skript heraus und mach es nochmal
__________________ Logfiles bitte immer in CODE-Tags posten |
|
30.05.2012, 16:12
| #36 | |
| | Ukash 100€ Trojaner Windows XP SP3 PC infiziert leider auch ohne Erfolg. habe folgendes rein kopiert: Zitat:
Andere Programme oder Dateien lassen sich nicht mehr öffnen. Der Taskmanager reagiert nicht. Nach deiner Definition bleibt er somit wieder bei der ersten Zeile hängen... also es tut sich wie vorher nichts da unten in dem Scriptfeld LG |
|
30.05.2012, 16:14
| #37 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Ukash 100€ Trojaner Windows XP SP3 PC infiziert Probiers hiermit Code:
ATTFilter :OTL
O4 - HKLM..\Run: [] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-3691042001-4048374942-2046563990-1120\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\EEE35B2B800FE49F195B.exe) - File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.04.16 14:16:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
:Files
C:\Programme\Gemeinsame Dateien\Spigot
C:\Programme\Application Updater
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Yyffcyyyf
C:\WINDOWS\System32\winsh32?
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\.#
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\pdfforge
C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Search Settings
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
__________________ Logfiles bitte immer in CODE-Tags posten |
|
30.05.2012, 16:25
| #38 |
| | Ukash 100€ Trojaner Windows XP SP3 PC infiziert immer noch nix. Genau das gleiche wie in meinem letzten Post... Eieruhr... keine Rückmeldung usw.... Du kannst auch gerne mal per Teamviewer bei mir drauf  Danke für deine Ausdauer! LG |
|
30.05.2012, 20:35
| #39 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Ukash 100€ Trojaner Windows XP SP3 PC infiziert Dann überspringen wir den Fix mit OTL erstmal Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C nach, da speichert der TDSS-Killer seine Logs.Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
31.05.2012, 08:57
| #40 |
| | Ukash 100€ Trojaner Windows XP SP3 PC infiziert hier kann ich erst morgen weiter machen. Danke für deine Hilfe und sorry für meine überhitzte Art und Weise gestern  LG |
|
31.05.2012, 10:14
| #41 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Ukash 100€ Trojaner Windows XP SP3 PC infiziert Naja, ich hab mich auch nicht gerade mit Ruhm bekleckert  Aber sowas kommt leider vor wenn ein Tool sich verhält wie es sich nicht verhalten soll. OTL zickt beim Fixen manchmal rum, aber so sehr hatte ich das noch nicht 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.06.2012, 12:35
| #42 | |
| | Ukash 100€ Trojaner Windows XP SP3 PC infiziert so, hier geht es nun weiter TDSS Log: Zitat:
|
|
01.06.2012, 14:26
| #43 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Ukash 100€ Trojaner Windows XP SP3 PC infiziert Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.06.2012, 15:59
| #44 |
| | Ukash 100€ Trojaner Windows XP SP3 PC infiziert das sah ja wild aus hier die Log Datei: Combofix Logfile: Code:
ATTFilter ComboFix 12-06-01.02 - Daniela 01.06.2012 16:53:26.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2022.1407 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Daniela\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Daniela\Anwendungsdaten\.#
c:\windows\IsUn0407.exe
c:\windows\ST6UNST.000
c:\windows\system32\winsh320
c:\windows\system32\winsh321
c:\windows\system32\winsh322
c:\windows\system32\winsh323
c:\windows\system32\winsh324
c:\windows\system32\winsh325
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-05-01 bis 2012-06-01 ))))))))))))))))))))))))))))))
.
.
2012-05-29 11:14 . 2012-05-29 11:14 -------- d-----w- c:\dokumente und einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\Sun
2012-05-29 07:20 . 2012-05-29 07:20 -------- d-----w- c:\programme\ESET
2012-05-26 09:14 . 2012-05-26 09:14 -------- d-----w- c:\dokumente und einstellungen\Daniela\Anwendungsdaten\Search Settings
2012-05-26 09:14 . 2012-05-26 09:14 -------- d-----w- c:\programme\Application Updater
2012-05-26 09:14 . 2012-05-26 09:14 -------- d-----w- c:\programme\pdfforge Toolbar
2012-05-26 09:14 . 2012-05-26 09:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Spigot
2012-05-24 09:48 . 2012-05-24 09:48 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2012-05-24 09:47 . 2012-05-24 09:47 -------- d-----w- c:\programme\Oracle
2012-05-24 09:47 . 2012-05-24 09:47 -------- d-----w- c:\dokumente und einstellungen\Daniela\Anwendungsdaten\Oracle
2012-05-24 09:47 . 2012-04-04 16:47 143872 ----a-w- c:\windows\system32\javacpl.cpl
2012-05-24 09:47 . 2012-04-04 16:47 772504 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-05-24 09:42 . 2012-05-24 09:42 -------- d-----w- c:\programme\SystemRequirementsLab
2012-05-24 09:40 . 2012-05-24 09:40 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-24 09:40 . 2012-05-24 09:40 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-05-24 09:21 . 2012-05-24 09:21 -------- d-----w- c:\programme\TeamViewer
2012-05-24 09:03 . 2012-05-24 09:03 -------- d-----w- c:\dokumente und einstellungen\Daniela\Anwendungsdaten\Malwarebytes
2012-05-24 09:03 . 2012-05-24 09:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-05-24 09:03 . 2012-05-24 09:03 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-05-24 09:03 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-05-18 14:42 . 2012-05-23 12:16 -------- d-----w- c:\dokumente und einstellungen\Daniela\Anwendungsdaten\Yyffcyyyf
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-11 13:51 . 2004-08-04 00:50 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2007-10-29 12:00 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-11 13:51 . 2007-10-29 12:00 1862400 ----a-w- c:\windows\system32\win32k.sys
2012-04-04 16:47 . 2011-10-10 14:36 687504 ----a-w- c:\windows\system32\deployJava1.dll
2012-05-24 09:09 . 2012-05-24 09:09 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StarMoneyRunEntry"="c:\programme\StarMoney Business 4.0 Deutsche Bank Edition\app\oflagent.exe" [2011-09-22 57864]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-01-17 09:07 252296 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"STacSV"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 36880]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [25.05.2012 15:12 785344]
R2 LiveUpdateInstaller;LiveUpdateInstaller;c:\programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe [19.04.2006 11:47 659456]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [24.05.2012 11:03 654408]
R2 SageDeploymentService;Sage Verteilungsdienst;c:\programme\Gemeinsame Dateien\Sage Software Shared\Deploymentservice.exe [26.05.2008 17:04 424088]
R2 StarMoney Business 4.0 OnlineUpdate;StarMoney Business 4.0 OnlineUpdate;c:\programme\StarMoney Business 4.0 Deutsche Bank Edition\ouservice\StarMoneyOnlineUpdate.exe [11.11.2011 10:20 554160]
R2 TeamViewer7;TeamViewer 7;c:\programme\TeamViewer\Version7\TeamViewer_Service.exe [24.05.2012 11:21 2666880]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [16.04.2008 15:36 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [16.04.2008 15:31 444416]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [04.04.2007 14:58 32272]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [24.05.2012 11:03 22344]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [25.05.2011 12:26 136176]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [24.05.2012 11:40 257696]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [02.06.2011 11:08 11336]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [25.05.2011 12:26 136176]
S3 PAC207;ReadingPen;c:\windows\system32\drivers\PFC027.SYS [14.05.2007 11:26 508288]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 19432611
*Deregistered* - 19432611
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
TCP: DhcpNameServer = 192.168.115.100 192.168.115.11
FF - ProfilePath - c:\dokumente und einstellungen\Daniela\Anwendungsdaten\Mozilla\Firefox\Profiles\jo4vijh3.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - Ext: Kaspersky URL Advisor: linkfilter@kaspersky.ru - c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-01 16:56
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-01 16:58:52
ComboFix-quarantined-files.txt 2012-06-01 14:58
.
Vor Suchlauf: 22 Verzeichnis(se), 206.671.921.152 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 207.077.666.816 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 10738020630F4A43AE52C7B9C39EF431
|
|
02.06.2012, 11:10
| #45 | |
| /// Malwareteam   | Ukash 100€ Trojaner Windows XP SP3 PC infiziert Hilfe in mehreren Foren gleichzeitig suchen? Es gibt immer wieder Fälle, wo wir darauf stoßen, dass User in mehreren Foren gleichzeitig nach Hilfe suchen. Es ist verständlich, dass Du Dein Problem so schnell wie möglich aus der Welt schaffen möchtest, dennoch ist es kontraproduktiv gleich mehrere Foren mit Deinem Problem zu beschäftigen. Zitat:
Nur als Hinweis, ich werde den Support aufgrund des fortgeschrittenen Stadiums hier auf protecus einstellen. |
|
| Themen zu Ukash 100€ Trojaner Windows XP SP3 PC infiziert |
| abgesicherten, anderen, anti-malware, befallen, bereich, bild, folge, frage, infiziert, infizierte, komplett, kunde, links, malwarebytes, modus, netzwerk, nicht mehr, nichts, pc infiziert, rechner, sp3, starten, trojaner, ukash 100€, variante, wichtig, windows, windows xp |
Linear-Darstellung
