Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen

BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen


Log-Analyse und Auswertung: BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 12.08.2012, 11:55   #1
d3rchris
 
BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen - Standard

BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen


Guten Tag Trojaner-Board,
schonmal im voraus möchte ich mich bei euch bedanken. Ohne Anmeldung habe ich hier schon viel über mein Problem lesen können. Aber um es laut Boardregeln richtig zu machen eröffne ich jetzt diesen Thread.

Nun zu meinem Problem:
Mein Problem wurde hier schonmal besprochen... hier der Thread.( http://www.trojaner-board.de/120701-...-bockiert.html )

Ich habe den selben Trojaner... das angezeigte Bild, sieht folgendermaßen aus (siehe Anhang).

Besonderheit bei meinem Problem... ich habe für Benutzerkonten(unter winxp sp3), 2 davon Admins, 2 davon normale nutzer. Es sind nur die admins betroffen, jedoch nicht die normalen nutzer.

Habe den PC im Abgesicherten Modus gestartet und unter Administrator einen weiteren admin-nutzer hinzugefügt um programminstallationen durchführen zu können. Hat soweit funktioniert.

defogger habe ich ausgeführt und ist so durchgelaufen, wie ihr es beschrieben habt. die datei hänge ich trotzdem an.

otl habe ich scannen lassen und die dateien zusätzlich angehängt.

Gmer habe ich auch durchgeführt und auch diese datei befindet sich im Anhang.



Dann habe ich den Malware-Scanner durchlaufen lassen... soweit lief alles gut, doch dann kam dieser Bildschirm auch bei meinem neu erstellten Administrators... sodass ich diesen Bericht nicht posten kann.

Habe gerade einen weiteren Admin erstellt und probiere es erneut.

Ich habe in Mara_1205s Thread gelesen, wie sie den wegbekommen hat, doch durch diese Benuterdefinierte Scans/Fixes steige ich nicht ganz durch.. da dort Maras Pfade angegeben sind, habe ich dies natürlich noch nicht ausprobiert, da ich davon ausgehe, dass ich wahrscheinlich mehr kaputt machen wuerde als wieder heile.

Ich hoffe, dass ich soweit alles richtig gemacht habe, falls etwas fehlt bitte melden. Falles ich etwas unklar erklärt habe, versuche ich es gerne nochmal anders zu erklären.

Schonmal vielen Dank im voraus für jede erdenkliche Hilfe.
Bis dahin verlbeibe ich
mit den allerbesten grüßen
d3rchris
Miniaturansicht angehängter Grafiken
BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen-imag0305.jpg  

Alt 14.08.2012, 05:26   #2
t'john
/// Helfer-Team
 
BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen - Standard

BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen




Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
ATTFilter
:OTL
DRV - (WDICA) -- File not found 
DRV - (PDRFRAME) -- File not found 
DRV - (PDRELI) -- File not found 
DRV - (PDFRAME) -- File not found 
DRV - (PDCOMP) -- File not found 
DRV - (PCIDump) -- File not found 
DRV - (lbrtfdc) -- File not found 
DRV - (i2omgmt) -- File not found 
DRV - (Changer) -- File not found 
IE - HKLM\..\SearchScopes,DefaultScope = {5663AE3B-7C8A-4921-9386-5170A890BDB1} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} 
IE - HKLM\..\SearchScopes\{5663AE3B-7C8A-4921-9386-5170A890BDB1}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 
IE - HKCU\..\SearchScopes,DefaultScope = {4F9B428B-5A06-40B6-9609-D77D933D6E5E} 
IE - HKCU\..\SearchScopes\{25594AAF-11E6-4922-986A-3A36BE1228A9}: "URL" = http://suche.t-online.de/fast-cgi/tsc?sr=twiki&q={searchTerms}&dia=tie8 
IE - HKCU\..\SearchScopes\{304FD1C3-57BE-494D-B843-1C86F186EAB3}: "URL" = http://suche.t-online.de/fast-cgi/tsc?sr=tportal&q={searchTerms}&dia=tie8 
IE - HKCU\..\SearchScopes\{4F9B428B-5A06-40B6-9609-D77D933D6E5E}: "URL" = http://suche.t-online.de/fast-cgi/tsc?sr=tweb&q={searchTerms}&dia=tie8 
IE - HKCU\..\SearchScopes\{7ACFE0ED-9387-4750-B046-2F6F74514686}: "URL" = http://www.amazon.de/gp/search?ie=UTF8&keywords={searchTerms}&tag=tonline_internetexplorer-browser-suche-21&index=blended&linkCode=ur2&camp=1638&creative=6742 
IE - HKCU\..\SearchScopes\{FB02B4F8-80CB-43D8-9D99-0625A9D3B933}: "URL" = http://rover.ebay.com/rover/1/707-1403-27640-2/4?mpre=http://search.ebay.de/search/search.dll?shortcut=4&query={searchTerms} 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
O4 - HKLM..\Run: [sxstrace] C:\Dokumente und Einstellungen\Test-Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\4872\sxstrace.exe () 
O4 - HKLM..\Run: [WcnEapAuthProxy] C:\Dokumente und Einstellungen\Dominik.KLAUS-G1V1QPBPR.000\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\739\WcnEapAuthProxy.exe File not found 
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) 
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2009.02.17 13:34:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 
[2012.08.12 12:01:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{3807157D-FE5E-45F3-80B1-BCC40119E323}.job 
[2012.08.12 11:59:00 | 000,000,420 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{866913BA-AC63-4E48-B820-9ED372F637BB}.job 
[2012.08.12 11:47:11 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job 
[2012.08.12 11:43:28 | 000,186,097 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml 
[2012.08.12 11:43:25 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job 
[2012.08.12 11:23:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job 
:Files


ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

3. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.



4. Schritt
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.
__________________

__________________
Alt 15.08.2012, 16:53   #3
d3rchris
 
BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen - Standard

BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen


Sry, für die verspätete Rückantwort. Also hier die angeforderten Daten. Schonmal vielen lieben dank für die hilfe.

Zur Information. Der malwarebytes Anti-Malware scan konnte noch durchgeführt werden. Habe darüberhinaus über tuneup die temps und cache löschen lassen. Hoffe das verfälscht das ergebnis nichts. Das ganze war noch vor der antwort. Hoffe das macht jetzt nichts kaputt.

Aber nun...

in chronologischer Reihenfolge

1.Schritt
Code:
ATTFilter
All processes killed
========== OTL ==========
Service WDICA stopped successfully!
Service WDICA deleted successfully!
File  File not found not found.
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
File  File not found not found.
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
File  File not found not found.
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
File  File not found not found.
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
File  File not found not found.
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
File  File not found not found.
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
File  File not found not found.
Service i2omgmt stopped successfully!
Service i2omgmt deleted successfully!
File  File not found not found.
Service Changer stopped successfully!
Service Changer deleted successfully!
File  File not found not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5663AE3B-7C8A-4921-9386-5170A890BDB1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5663AE3B-7C8A-4921-9386-5170A890BDB1}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{25594AAF-11E6-4922-986A-3A36BE1228A9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25594AAF-11E6-4922-986A-3A36BE1228A9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{304FD1C3-57BE-494D-B843-1C86F186EAB3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{304FD1C3-57BE-494D-B843-1C86F186EAB3}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{4F9B428B-5A06-40B6-9609-D77D933D6E5E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F9B428B-5A06-40B6-9609-D77D933D6E5E}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{7ACFE0ED-9387-4750-B046-2F6F74514686}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7ACFE0ED-9387-4750-B046-2F6F74514686}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{FB02B4F8-80CB-43D8-9D99-0625A9D3B933}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB02B4F8-80CB-43D8-9D99-0625A9D3B933}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\sxstrace not found.
File C:\Dokumente und Einstellungen\Test-Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\4872\sxstrace.exe not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WcnEapAuthProxy not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
File Animation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab not found.
Starting removal of ActiveX control DirectAnimation Java Classes
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\DownloadInformation\\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\DirectAnimation Java Classes\ not found.
File oft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab not found.
Starting removal of ActiveX control Microsoft XML Parser for Java
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\DownloadInformation\\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
C:\WINDOWS\tasks\User_Feed_Synchronization-{3807157D-FE5E-45F3-80B1-BCC40119E323}.job moved successfully.
C:\WINDOWS\tasks\User_Feed_Synchronization-{866913BA-AC63-4E48-B820-9ED372F637BB}.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\WINDOWS\system32\nvapps.xml moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\WINDOWS\tasks\Adobe Flash Player Updater.job moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\Test-Admin\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Test-Admin\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 2547712 bytes
->Temporary Internet Files folder emptied: 151307 bytes
 
User: All Users
 
User: All Users.WINDOWS
 
User: Daniel
->Temp folder emptied: 12371790003 bytes
->Temporary Internet Files folder emptied: 615129387 bytes
->Google Chrome cache emptied: 113042469 bytes
->Flash cache emptied: 210174 bytes
 
User: Daniel.KLAUS-G1V1QPBPR
->Temp folder emptied: 26744313 bytes
->Temporary Internet Files folder emptied: 73627353 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 1256412654 bytes
->Flash cache emptied: 2003 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Dominik
 
User: Dominik.KLAUS-G1V1QPBPR
->Temp folder emptied: 1149808 bytes
->Temporary Internet Files folder emptied: 125236480 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 1216520854 bytes
->Flash cache emptied: 8978 bytes
 
User: Dominik.KLAUS-G1V1QPBPR.000
->Temp folder emptied: 2061730 bytes
->Temporary Internet Files folder emptied: 730165403 bytes
->Java cache emptied: 13671 bytes
->Flash cache emptied: 8783924 bytes
 
User: Klaus
->Temp folder emptied: 322414048 bytes
->Temporary Internet Files folder emptied: 241040805 bytes
->Flash cache emptied: 24099 bytes
 
User: KLAUS.KLAUS-G1V1QPBPR
->Temp folder emptied: 172500783 bytes
->Temporary Internet Files folder emptied: 23002853 bytes
->Java cache emptied: 348104 bytes
->FireFox cache emptied: 288632040 bytes
->Flash cache emptied: 87964 bytes
 
User: LocalService
->Temp folder emptied: 82513 bytes
->Temporary Internet Files folder emptied: 17330429 bytes
 
User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 66094 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Maria
->Temp folder emptied: 70218112 bytes
->Temporary Internet Files folder emptied: 1018354172 bytes
->Flash cache emptied: 27773 bytes
 
User: Maria.KLAUS-G1V1QPBPR
->Temp folder emptied: 6447028 bytes
->Temporary Internet Files folder emptied: 66499804 bytes
->Java cache emptied: 112831 bytes
->FireFox cache emptied: 1115459410 bytes
->Flash cache emptied: 829 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
User: Test-Acc2
->Temp folder emptied: 710903 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Test-Admin
->Temp folder emptied: 37504111 bytes
->Temporary Internet Files folder emptied: 1107195 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1119649 bytes
%systemroot%\System32 .tmp files removed: 1903499 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3331620 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 19.009,00 mb
 
 
OTL by OldTimer - Version 3.2.55.0 log created on 08142012_074045

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\PU240WVS\Type=click%26FlightID%3D76732%26AdID%3D120150%26TargetID%3D25557%26ASeg%3D6967%26AMod%3D1%26Targets%3D25232%2C25732%2C25739%2C25740%2C25754%2C25818%2C25856%2C25857%2C23773[1] not found!
File\Folder C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\41YNS5IB\place=postroll1&Site=myvideode&tcountry=DE&subsite=watch&tcluster=erotik&tword=bommelberg&tword=maedels&tword=girl&tword=sexy&tword=hot&tword=boxershort&tword=sport&tword=[1].xml not found!
File\Folder C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\41YNS5IB\Type=click%26FlightID%3D76732%26AdID%3D120150%26TargetID%3D25557%26ASeg%3D6967%26AMod%3D1%26Targets%3D25232%2C25732%2C25739%2C25740%2C25754%2C25818%2C25856%2C25857%2C23773[1] not found!

PendingFileRenameOperations files...
File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\PU240WVS\Type=click%26FlightID%3D76732%26AdID%3D120150%26TargetID%3D25557%26ASeg%3D6967%26AMod%3D1%26Targets%3D25232%2C25732%2C25739%2C25740%2C25754%2C25818%2C25856%2C25857%2C23773[1] not found!
File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\41YNS5IB\place=postroll1&Site=myvideode&tcountry=DE&subsite=watch&tcluster=erotik&tword=bommelberg&tword=maedels&tword=girl&tword=sexy&tword=hot&tword=boxershort&tword=sport&tword=[1].xml not found!
File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\41YNS5IB\Type=click%26FlightID%3D76732%26AdID%3D120150%26TargetID%3D25557%26ASeg%3D6967%26AMod%3D1%26Targets%3D25232%2C25732%2C25739%2C25740%2C25754%2C25818%2C25856%2C25857%2C23773[1] not found!

Registry entries deleted on Reboot...
2ter Schritt
es wurde nichts gefunden. Habe trotzdem den log im Anhang angefügt.

3ter Schritt

R1 befindet sich im Anhang

4ter Schritt

S1 befindet sich im Anhang

Vielen vielen Dank.

Was darf ich weiteres tun.

lg
d3rchris
__________________
Alt 15.08.2012, 21:32   #4
t'john
/// Helfer-Team
 
BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen - Standard

BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________
Mfg, t'john
Das TB unterstützen

Alt 27.09.2012, 20:17   #5
t'john
/// Helfer-Team
 
BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen - Standard

BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen


Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.

__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen
abgesicherten, administrator, angezeigte, anhang, anmeldung, benutzerkonten, bericht, bild, bildschirm, datei, dateien, folge, gesperrt, gestartet, guten, kaputt, meldung, modus, natürlich, neu, problem, scan, scannen, sp3, trojaner-board, winxp


« BKA-Trojaner 1.13 bei Win XP | Habe den GVU-Trojaner und brauche Hilfe! »


Ähnliche Themen: BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen


  1. Bin ich vom BKA - Trojaner betroffen?
    Plagegeister aller Art und deren Bekämpfung - 05.09.2015 (1)
  2. Windows 7 Malware oder Trojaner Befall-insbesondere Keyboard betroffen
    Plagegeister aller Art und deren Bekämpfung - 26.10.2014 (37)
  3. Trojaner File is encrypted Word, Excel, PDF, AVI, betroffen
    Log-Analyse und Auswertung - 29.09.2013 (17)
  4. Zeus/ZBot Trojaner eingefangen! Welcher Computer ist betroffen?
    Log-Analyse und Auswertung - 18.04.2013 (8)
  5. GVU Trojaner, welche HDD-Partition betroffen
    Plagegeister aller Art und deren Bekämpfung - 24.02.2013 (4)
  6. Verdacht auf GVU-Trojaner. Ist mein System betroffen?
    Plagegeister aller Art und deren Bekämpfung - 09.01.2013 (13)
  7. More for you... auch ich bin betroffen
    Log-Analyse und Auswertung - 22.10.2012 (5)
  8. GVU Trojaner (mit Cam), nur ein Benutzerkonto betroffen?
    Log-Analyse und Auswertung - 05.10.2012 (14)
  9. GVU Trojaner (mit Cam), ebenfalls nur ein Benutzerkonto betroffen (ein nicht Adminkonto)
    Log-Analyse und Auswertung - 17.08.2012 (19)
  10. GVU Trojaner bin leider auch betroffen
    Log-Analyse und Auswertung - 14.08.2012 (13)
  11. GVU Trojaner - was ist alles betroffen?
    Plagegeister aller Art und deren Bekämpfung - 01.08.2012 (1)
  12. Auch ich bin/war betroffen: 50 Euro-Trojaner auf windows xp
    Plagegeister aller Art und deren Bekämpfung - 16.02.2012 (23)
  13. 50 € Trojaner Schwarzer Bilfschirm Rote Schrift Bildschirm gesperrt Taskmanager gesperrt
    Log-Analyse und Auswertung - 05.02.2012 (11)
  14. 50€ Trojaner - auch betroffen
    Plagegeister aller Art und deren Bekämpfung - 27.12.2011 (6)
  15. Sparkasse Allgäu - Trojaner, bin leider auch betroffen
    Log-Analyse und Auswertung - 18.12.2011 (25)
  16. MSN Wurm/Trojaner => "is that u?" => Sehr viele Personen betroffen =>Experten gesucht
    Log-Analyse und Auswertung - 01.12.2006 (13)
  17. Trojaner/Virus betroffen?
    Log-Analyse und Auswertung - 01.10.2006 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen - Guten Tag Trojaner-Board, schonmal im voraus möchte ich mich bei euch bedanken. Ohne Anmeldung habe ich hier schon viel über mein Problem lesen können. Aber um es laut Boardregeln richtig - BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen...
Archiv
Du betrachtest: BRD-Trojaner - PC gesperrt - nur Adminaccs betroffen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130