Hi,
ich habe auf einem System den AKM Trojaner erwischt.
Der Scanner von OTLPE ist schon gelaufen - im Anhang findet ihr das OTL.Txt File (ich musste es in OTL.Txt und OTL2.Txt aufsplitten).
Was muss ich nun tun, um den Trojaner wieder loszuwerden?

Vielen Dank fuer Eure Hilfe.

lg
da dogda

Hi,

wow...

Uno Momento please...

chris

Hi,

hmm ziemlich zu die Kiste...

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Klapa\Anwendungsdaten\TarArchiver.exe) - C:\Dokumente und Einstellungen\Klapa\Anwendungsdaten\TarArchiver.exe (SEIKO EPSON CORP.)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Klapa\Anwendungsdaten\TarArchiver.exe) - C:\Dokumente und Einstellungen\Klapa\Anwendungsdaten\TarArchiver.exe (SEIKO EPSON CORP.)
O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TarArchiver.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TarArchiver.exe (SEIKO EPSON CORP.)
O20 - HKU\Administrator_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TarArchiver.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TarArchiver.exe (SEIKO EPSON CORP.)
O20 - HKU\Klapa_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Klapa\Anwendungsdaten\TarArchiver.exe) - C:\Dokumente und Einstellungen\Klapa\Anwendungsdaten\TarArchiver.exe (SEIKO EPSON CORP.)
O20 - HKU\Klapa_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Klapa\Anwendungsdaten\TarArchiver.exe) - C:\Dokumente und Einstellungen\Klapa\Anwendungsdaten\TarArchiver.exe (SEIKO EPSON CORP.)
O7 - HKU\Klapa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Klapa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Klapa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O4 - HKU\Administrator_ON_C..\Run: [C0mDiXEtF1yrWmk] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TarArchiver.exe (SEIKO EPSON CORP.)
O4 - HKU\Klapa_ON_C..\Run: [C0mDiXEtF1yrWmk] C:\Dokumente und Einstellungen\Klapa\Anwendungsdaten\TarArchiver.exe (SEIKO EPSON CORP.)
O4 - HKU\Klapa_ON_C..\Run: [MsnMsgr]  File not found
O4 - HKLM..\Run: [sdfsdfsdf]  File not found
O4 - HKU\.DEFAULT..\Run: [Microsoft Update]  File not found
O4 - HKLM..\Run: [msbb]  File not found
O4 - HKLM..\Run: [C0mDiXEtF1yrWmk] C:\Dokumente und Einstellungen\Klapa\Anwendungsdaten\TarArchiver.exe (SEIKO EPSON CORP.)
O4 - HKLM..\Run: [Drag'n Drop CD+DVD]  File not found
O4 - HKLM..\Run: [DRdABv]  File not found
O4 - HKLM..\Run: [DRdABvàëõš/‚²“ÆßXÏFC:\Programme\ISTsvc\istsvc.exe]  File not found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\Administrator_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\Klapa_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\Klapa_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O2 - BHO: (BAHelper Class) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} -  File not found
O2 - BHO: (BHObj Class) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} -  File not found
[2012/06/04 10:11:18 | 000,244,736 | ---- | C] (SEIKO EPSON CORP.) -- C:\Dokumente und Einstellungen\Klapa\Anwendungsdaten\TarArchiver.exe
[2012/06/05 13:44:27 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache
[2012/06/05 13:44:25 | 000,244,736 | ---- | C] (SEIKO EPSON CORP.) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TarArchiver.exe

:Commands
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Der Rechner sollte jetzt wieder normal booten können...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Hallo,
anbei findet Ihr die Datei aus c:\_OTL\Moved_Files ....

Das System bootet jetzt wieder ganz normal. Ich habe jetzt mal den sowieso installierten Avira auf den neuesten Stand gebracht und lasse jetzt eine vollständige Prüfung laufen.

Danke für die rasche Hilfe

da dogda

Hallo,
hier nun das mbam logfile.
der PC lässt sich nun wieder normal verwenden.
lg
da dogda

Hi,

poste noch ein neues OTL-Log File inkl. den Extras...

chris

Hallo,
das ist nun das Ergebnis von jetzt eben.
Heisst das, das wir immer noch nicht ganz vom Übel befreit sind?

Avira hat in der Zwischenzeit ein paar Varianten des Trojaners in einem Wiederherstellungspunkt gefunden - ich hab die einträge mit avira gelöscht.

Was meinst Du im Detail mit "Extras"?
lg
da dogda

Hi,

OTL erstellt eine "EXTRA.TXT", die bitte ebenfalls posten...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\CddbCdda.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Rest sind bei einem User ebenfalls noch da:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKU\S-1-5-21-976721149-1105973918-1219662431-1005 Winlogon: Shell - (c:\dokumente und einstellungen\klapa\anwendungsdaten\tararchiver.exe) -  File not found

:Commands
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

chris