| |
| |||||||
Log-Analyse und Auswertung: Weisser Bildschirm Trojaner WIN XP: OTL.txt dabeiWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
02.09.2012, 15:37
| #1 |
 |  Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei Hi, habe mich hier schon belesen und vermute,dass ich mir einen Trojaner eingefangen habe. Habe mir eine OTL-Bootdisc erstellt und den Scan durchgeführt. Im Anhang befindet sich die OTL.txt als 7zip gepackt. So wie ich das verstanden habe,müsste mir jetzt jemand eine passende fix.txt erstellen ? Gruss & Danke |
|
03.09.2012, 13:14
| #2 | |
| /// Selecta Jahrusso   | Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen. Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Versuchen wir es mal einfacher. Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.
Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.
__________________ |
|
06.09.2012, 14:05
| #3 |
| | Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei Hallo Daniel, erstmal danke, ich hoffe das ich nicht zu spät dran bin...war paar Tage nicht in der Nähe des Pcs.
__________________Habe alles so gemacht wie von dir bechrieben (PC startet - weisser Bildschirm ist weg - dafür jetzt blau) WIN_XP X86 Service Pack 3 Running from F:\ HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ] . . . HKCU\..\Winlogon; Shell not found . [System Process] System smss.exe csrss.exe winlogon.exe services.exe lsass.exe svchost.exe svchost.exe svchost.exe svchost.exe cmd.exe srep.exe HKLM\..\Run [SoundMAXPnP] = C:\Programme\Analog Devices\Core\smax4pnp.exe HKLM\..\Run [Malwarebytes' Anti-Malware] = "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray HKLM\..\Run [openvpn-gui] = C:\Programme\Astaro\Astaro SSL VPN Client\bin\openvpn-gui.exe HKLM\..\Run [] = HKLM\..\Run [SunJavaUpdateSched] = "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" HKLM\..\Run [NvCplDaemon] = RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup HKLM\..\Run [NvMediaCenter] = RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit HKLM\..\Run [nwiz] = C:\Programme\NVIDIA Corporation\nview\nwiz.exe /installquiet HKCU\..\Run [CTFMON.EXE] = C:\WINXP\system32\ctfmon.exe HKCU\..\Run [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" HKCU\..\Run [DAEMON Tools Lite] = "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun HKCU\..\Run [] = HKCU\..\Run [SpybotSD TeaTimer] = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe HKCU\..\Run [MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background HKU\.DEFAULT\..\Winlogon; Shell = HKU\S-1-5-20\..\Winlogon; Shell = HKU\S-1-5-20_Classes\..\Winlogon; Shell = HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Winlogon; Shell = explorer.exe,C:\Dokumente und Einstellungen\111\Anwendungsdaten\msconfig.dat HKU\S-1-5-21-1708537768-179605362-1606980848-1003_Classes\..\Winlogon; Shell = HKU\S-1-5-18\..\Winlogon; Shell = HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINXP\system32\CTFMON.EXE HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINXP\system32\CTFMON.EXE HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [CTFMON.EXE] = C:\WINXP\system32\ctfmon.exe HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [DAEMON Tools Lite] = "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [] = HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [SpybotSD TeaTimer] = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINXP\system32\CTFMON.EXE ==== FINISH 05.01-01.16 ==== Gruss Henry |
|
06.09.2012, 14:25
| #4 |
| /// Selecta Jahrusso | Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei Drücke bitte die  + R Taste und schreibe notepad in das Ausführen Fenster.Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter C:\Dokumente und Einstellungen\111\Anwendungsdaten\msconfig.dat
Starte deinen Rechner bitte erneut in den Abgesicherten Modus mit Eingabeaufforderung. Schließe deinen USB Stick erneut an den Infizierten Rechner. Bitte nutze den selben USB Steckplatz wie beim Scan
Berichte bitte, ob Du nun wieder auf den Infizierten Rechner zugreifen kannst.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
06.09.2012, 16:13
| #5 |
| | Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei Bildschirm ist immer noch weiss. Um den Text aus der Codebox zu kopieren habe ich "Alles Kopieren" angeklickt und dann die fix.txt auf dem Stick abgespeichert (jetzt in keinen speziellen Ordner - srp.exe ist auch in keinem) Gruss Henry |
|
06.09.2012, 16:32
| #6 |
| /// Selecta Jahrusso | Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei Wenn es jetzt klappt, muss ich srep updaten.
Code:
ATTFilter :otl
O20 - HKU\111_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\111\Anwendungsdaten\msconfig.dat) - C:\Dokumente und Einstellungen\111\Anwendungsdaten\msconfig.dat ()
:commands
[reboot]
__________________ --> Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei |
|
06.09.2012, 17:02
| #7 |
| | Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei Error: Unable to interpret <WIN_XP X86 Service Pack 3> in the current context! Error: Unable to interpret <Running from F:\> in the current context! Error: Unable to interpret <HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ]> in the current context! Error: Unable to interpret <.> in the current context! Error: Unable to interpret <.> in the current context! Error: Unable to interpret <.> in the current context! Error: Unable to interpret <HKCU\..\Winlogon; Shell not found> in the current context! Error: Unable to interpret <.> in the current context! Error: Unable to interpret <[System Process]> in the current context! Error: Unable to interpret <System> in the current context! Error: Unable to interpret <smss.exe> in the current context! Error: Unable to interpret <csrss.exe> in the current context! Error: Unable to interpret <winlogon.exe> in the current context! Error: Unable to interpret <services.exe> in the current context! Error: Unable to interpret <lsass.exe> in the current context! Error: Unable to interpret <svchost.exe> in the current context! Error: Unable to interpret <svchost.exe> in the current context! Error: Unable to interpret <svchost.exe> in the current context! Error: Unable to interpret <svchost.exe> in the current context! Error: Unable to interpret <cmd.exe> in the current context! Error: Unable to interpret <srep.exe> in the current context! Error: Unable to interpret <HKLM\..\Run [SoundMAXPnP] = C:\Programme\Analog Devices\Core\smax4pnp.exe> in the current context! Error: Unable to interpret <HKLM\..\Run [Malwarebytes' Anti-Malware] = "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray> in the current context! Error: Unable to interpret <HKLM\..\Run [openvpn-gui] = C:\Programme\Astaro\Astaro SSL VPN Client\bin\openvpn-gui.exe> in the current context! Error: Unable to interpret <HKLM\..\Run [] = > in the current context! Error: Unable to interpret <HKLM\..\Run [SunJavaUpdateSched] = "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"> in the current context! Error: Unable to interpret <HKLM\..\Run [NvCplDaemon] = RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup> in the current context! Error: Unable to interpret <HKLM\..\Run [NvMediaCenter] = RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit> in the current context! Error: Unable to interpret <HKLM\..\Run [nwiz] = C:\Programme\NVIDIA Corporation\nview\nwiz.exe /installquiet> in the current context! Error: Unable to interpret <HKCU\..\Run [CTFMON.EXE] = C:\WINXP\system32\ctfmon.exe> in the current context! Error: Unable to interpret <HKCU\..\Run [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"> in the current context! Error: Unable to interpret <HKCU\..\Run [DAEMON Tools Lite] = "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun> in the current context! Error: Unable to interpret <HKCU\..\Run [] = > in the current context! Error: Unable to interpret <HKCU\..\Run [SpybotSD TeaTimer] = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe> in the current context! Error: Unable to interpret <HKCU\..\Run [MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background> in the current context! Error: Unable to interpret <HKU\.DEFAULT\..\Winlogon; Shell = > in the current context! Error: Unable to interpret <HKU\S-1-5-20\..\Winlogon; Shell = > in the current context! Error: Unable to interpret <HKU\S-1-5-20_Classes\..\Winlogon; Shell = > in the current context! Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Winlogon; Shell = explorer.exe,C:\Dokumente und Einstellungen\111\Anwendungsdaten\msconfig.dat> in the current context! Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003_Classes\..\Winlogon; Shell = > in the current context! Error: Unable to interpret <HKU\S-1-5-18\..\Winlogon; Shell = > in the current context! Error: Unable to interpret <HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINXP\system32\CTFMON.EXE> in the current context! Error: Unable to interpret <HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINXP\system32\CTFMON.EXE> in the current context! Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [CTFMON.EXE] = C:\WINXP\system32\ctfmon.exe> in the current context! Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"> in the current context! Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [DAEMON Tools Lite] = "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun> in the current context! Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [] = > in the current context! Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [SpybotSD TeaTimer] = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe> in the current context! Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background> in the current context! Error: Unable to interpret <HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINXP\system32\CTFMON.EXE> in the current context! Error: Unable to interpret <==== FINISH 05.01-01.16 ====> in the current context! OTLPE by OldTimer - Version 3.1.48.0 log created on 01052002_041927 |
|
06.09.2012, 18:10
| #8 |
| /// Selecta Jahrusso | Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei Darf ich fragen, was du da gemacht hast ?
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
07.09.2012, 07:36
| #9 |
| | Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei Naja, ich habe den infizierten PC mit der OTL-Boot-CD gestartet und dann OTL gestartet. Vorher habe ich den Text hier aus der Codebox auf einen Stick gespeichert und dann auf dem infizierten PC in OTL eingefügt und dann gefixt. |
|
07.09.2012, 13:06
| #10 |
| /// Selecta Jahrusso | Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei Du hast die shell.txt eingefügt 
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
07.09.2012, 19:59
| #11 |
| | Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei Hi Daniel, also ich dachte, dass ich den Text aus der Code-Box vom Posting Nr. #6 in OTL einfügen soll ? Wenn nicht den, welchen dann ? ;-) Hallo Daniel, bin jetzt erst mal bis nächsten Samstag abend auf Dienstreise und würde mich dann wieder melden um den richtigen Text einzufügen. Gruss Henry |
|
08.09.2012, 17:22
| #12 |
| /// Selecta Jahrusso | Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
13.09.2012, 14:33
| #13 |
| /// Selecta Jahrusso | Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei Fehlende Rückmeldung Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten. PM an mich falls Du denoch weiter machen willst. Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist. Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
| Themen zu Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei |
| anhang, befindet, bildschirm, eingefangen, erstell, erstelle, erstellen, erstellt, gefangen, gen, otl.txt, scan, troja, trojaner, trojaner eingefangen, vermute, weisser, weisser bildschirm, win, win xp |
Textbox.
Linear-Darstellung
