|
Plagegeister aller Art und deren Bekämpfung: BKA Trojaner - Kein abgesicherter ModusWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.11.2012, 00:00 | #1 |
| BKA Trojaner - Kein abgesicherter Modus Hallo nochmals zusammen, irgendwie scheinen meine Bekannten und Verwandten zur Zeit alle etwas neben der Spur zu sein, denn ich habe hier schon wieder einen defekten Laptop vor mir stehen: Nichts geht mehr, selbst der abgesicherte Modus nicht, daher bin ich aufgrund der selben Problembeschreibung nach folgendem Muster vorgegangen. http://www.trojaner-board.de/126898-...tml#post954901 Die Log-Files hänge ich euch hier an. Würde mich freuen, nochmals eure Hilfe in Anspruch nehmen zu dürfen. Danke und Gruß Jens. P.S.: Habe nur ein Log-File erhalten... |
13.11.2012, 03:39 | #2 |
/// Helfer-Team | BKA Trojaner - Kein abgesicherter ModusFixen mit OTLpe
Code:
ATTFilter :OTL O4 - HKLM..\Run: [] File not found O4 - HKU\LocalService_ON_D..\RunOnce: [mctadmin] File not found O4 - HKU\NetworkService_ON_D..\RunOnce: [mctadmin] File not found O4 - HKU\UpdatusUser_ON_D..\RunOnce: [mctadmin] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O20 - HKU\User_ON_D Winlogon: Shell - (C:\Users\User\AppData\Roaming\msconfig.dat) - D:\Users\User\AppData\Roaming\msconfig.dat () [2012/11/12 14:32:57 | 000,000,253 | ---- | M] () -- D:\ProgramData\hpqp.ini [2012/08/31 03:59:26 | 000,007,424 | ---- | C] () -- D:\Users\User\AppData\Roaming\BAcroIEHelpe205.dll [2012/08/31 03:59:25 | 000,198,200 | ---- | C] () -- D:\Users\User\AppData\Roaming\AcroIEHelpe205.dll [2012/08/29 22:39:40 | 000,065,536 | ---- | C] () -- D:\Users\User\AppData\Roaming\1um77fg3.default.dat [2012/08/25 10:05:12 | 000,006,400 | ---- | C] () -- D:\Users\User\AppData\Roaming\BAcroIEHelpe200.dll [2012/08/02 05:24:08 | 000,000,016 | ---- | C] () -- D:\Users\User\AppData\Roaming\blckdom.res [2012/02/06 09:32:10 | 000,074,599 | ---- | C] () -- D:\Users\User\AppData\Roaming\msconfig.dat :Files C:\ProgramData\*.exe C:\ProgramData\TEMP C:\Users\User\*.tmp C:\Users\User\AppData\Local\{*} C:\Users\User\AppData\Local\Temp\*.exe C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk ipconfig /flushdns /c :Commands [emptytemp]
__________________ |
13.11.2012, 08:13 | #3 |
| BKA Trojaner - Kein abgesicherter Modus Hallo t'john,
__________________vielen Dank für deine späte (frühe) Antwort heute Nacht. Hier der Log: Code:
ATTFilter ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. Registry key HKEY_USERS\LocalService_ON_D\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found. Registry key HKEY_USERS\NetworkService_ON_D\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found. Registry key HKEY_USERS\UpdatusUser_ON_D\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully. Registry value HKEY_USERS\User_ON_D\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\User\AppData\Roaming\msconfig.dat deleted successfully. D:\Users\User\AppData\Roaming\msconfig.dat moved successfully. D:\ProgramData\hpqp.ini moved successfully. D:\Users\User\AppData\Roaming\BAcroIEHelpe205.dll moved successfully. D:\Users\User\AppData\Roaming\AcroIEHelpe205.dll moved successfully. D:\Users\User\AppData\Roaming\1um77fg3.default.dat moved successfully. D:\Users\User\AppData\Roaming\BAcroIEHelpe200.dll moved successfully. D:\Users\User\AppData\Roaming\blckdom.res moved successfully. File D:\Users\User\AppData\Roaming\msconfig.dat not found. ========== FILES ========== File\Folder C:\ProgramData\*.exe not found. File\Folder C:\ProgramData\TEMP not found. File\Folder C:\Users\User\*.tmp not found. File\Folder C:\Users\User\AppData\Local\{*} not found. File\Folder C:\Users\User\AppData\Local\Temp\*.exe not found. File\Folder C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache not found. < ipconfig /flushdns /c > Windows IP Configuration An internal error occurred: The system cannot find the file specified. Please contact Microsoft Product Support Services for further help. Additional information: Unable to open registry key for tcpip. D:\cmd.bat deleted successfully. D:\cmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users -> No Temporary Internet Files cache folder defined! User: Default -> No Temporary Internet Files cache folder defined! User: Default User -> No Temporary Internet Files cache folder defined! User: Public -> No Temporary Internet Files cache folder defined! User: UpdatusUser -> No Temporary Internet Files cache folder defined! User: User -> No Temporary Internet Files cache folder defined! %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 218695252 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50300 bytes Total Files Cleaned = 209.00 mb OTLPE by OldTimer - Version 3.1.48.0 log created on 11132012_080716 Danke und Gruß, Jens. P.S.: Bin erst ab 14:00 Uhr wieder online... |
13.11.2012, 10:27 | #4 |
/// Helfer-Team | BKA Trojaner - Kein abgesicherter Modus Sehr gut! Wie laeuft der Rechner? 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.danach: 2. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
13.11.2012, 16:49 | #5 |
| BKA Trojaner - Kein abgesicherter Modus Soweit schon mal danke: Hier die Log-Files der beiden Scans: MBAM: Code:
ATTFilter Malwarebytes Anti-Malware 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.11.13.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 User :: USER-PC [Administrator] 13.11.2012 14:56:22 mbam-log-2012-11-13 (14-56-22).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 421026 Laufzeit: 59 Minute(n), 58 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 5 HKCR\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\_OTL\MovedFiles\11132012_080716\D_Users\User\AppData\Roaming\BAcroIEHelpe205.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter # AdwCleaner v2.007 - Datei am 13/11/2012 um 16:47:31 erstellt # Aktualisiert am 06/11/2012 von Xplode # Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits) # Benutzer : User - USER-PC # Bootmodus : Normal # Ausgeführt unter : C:\Users\User\Desktop\adwcleaner.exe # Option [Suche] **** [Dienste] **** ***** [Dateien / Ordner] ***** Datei Gefunden : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml Datei Gefunden : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk Datei Gefunden : C:\user.js Datei Gefunden : C:\Users\Public\Desktop\eBay.lnk Ordner Gefunden : C:\Program Files (x86)\ICQ6Toolbar Ordner Gefunden : C:\ProgramData\Babylon Ordner Gefunden : C:\ProgramData\ICQ\ICQToolbar ***** [Registrierungsdatenbank] ***** Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9} Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19} Schlüssel Gefunden : HKLM\Software\Babylon Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\escort.DLL Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Prod.cap Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B} Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F} Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{97D69524-BB57-4185-9C7F-5F05593B771A} Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1} Schlüssel Gefunden : HKU\S-1-5-21-2227273166-4172461094-2258141586-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9} Schlüssel Gefunden : HKU\S-1-5-21-2227273166-4172461094-2258141586-1000\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19} ***** [Internet Browser] ***** -\\ Internet Explorer v9.0.8112.16421 [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd -\\ Mozilla Firefox v13.0.1 (de) -\\ Google Chrome v [Version kann nicht ermittelt werden] ************************* AdwCleaner[R1].txt - [2432 octets] - [13/11/2012 16:47:31] ########## EOF - C:\AdwCleaner[R1].txt - [2492 octets] ########## Danke und Gruß... |
13.11.2012, 19:41 | #6 | |
/// Helfer-Team | BKA Trojaner - Kein abgesicherter ModusZitat:
__________________ --> BKA Trojaner - Kein abgesicherter Modus |
13.11.2012, 22:21 | #7 |
| BKA Trojaner - Kein abgesicherter Modus Hallo t'john, da das wie berichtet nicht mein Rechner ist, kann ich das nicht mit Genauigkeit sagen, vermutlich aber schon Soll ich meinem Bekannten raten, alle sensiblen PW zu ändern? Wie sieht es mit dem Rechner jetzt aus? Ist er wieder "sauber" ? Danke und Gruß, Jens. |
17.11.2012, 15:31 | #8 |
| BKA Trojaner - Kein abgesicherter Modus Hallo, wollte nochmals nachgefragt haben, ob der Rechner wieder sauber ist? Alle sensiblen PW sind geändert worden. Danke und Gruß Jens. |
17.11.2012, 16:45 | #9 |
/// Helfer-Team | BKA Trojaner - Kein abgesicherter Modus Der Rechner ist so nicht sauber. Die PWs hoffentlich von einem sauberen PC aus geaendert? Wir brauchen eine Entscheidung: Bereinigen oder Neuaufsetzen? |
18.11.2012, 16:57 | #10 |
| BKA Trojaner - Kein abgesicherter Modus Am Liebsten bereinigen, wenn das ein nicht allzu aufwendiger Schritt ist... Ich habe Bescheid gesagt, dass alle PW, sauber geändert werden sollen. Danke und Gruß, Jens. |
18.11.2012, 21:29 | #11 |
/// Helfer-Team | BKA Trojaner - Kein abgesicherter Modus 1. Scan mit Malwarebytes' Anti-Rootkit Download: Download - Malwarebytes Anti-Rootkit BETA Anleitung: Anleitung: Malwarebytes Anti-Rootkit 2. TDSSKiller von Kaspersky - Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.Hier findest Du eine ausführlichere TDSSKiller Anleitung. |
19.12.2012, 11:24 | #12 |
/// Helfer-Team | BKA Trojaner - Kein abgesicherter Modus Fehlende Rückmeldung Gibt es Probleme beim Abarbeiten obiger Anleitung? Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen. Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema. http://www.trojaner-board.de/69886-a...-beachten.html Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist. |
Themen zu BKA Trojaner - Kein abgesicherter Modus |
abgesicherte, abgesicherter, abgesicherter modus, aufgrund, bekannte, bka trojaner, defekte, folge, freue, hänge, kein abgesicherter modus, laptop, log-files, modus, muster, nochmals, schei, stehe, troja, trojan.agent, trojan.banker, trojaner, zusammen |