Hello @all,

jetzt ist es soweit, ich muss doch einmal ein forum zum entfernen eines virus verwenden,

ich bin mir zwar schon fast sicher, wie ich den virus entfernen muss, aber möchte sicher gehen.

Ich habe von einem Bekannten einen PC bekommen - der erste Virus, den ich nicht selber löschen kann

Daher bitte ich um Eure Mithilfe.

Anbei die Log-Files, welche durch OTL erstellt wurden.

(Natürlich müssen dann die Virus..... mit dem Usernamen getauscht werden)

Vielen Dank
fibsi

Hi
kommst du an nen pc mit brenner?
download:
ISO Burner - Download - Filepony
isoburner anleitung:
http://www.trojaner-board.de/83208-b...ei-cd-dvd.html
• Wenn der Download fertig ist mache ein doppel Klick auf die OTLPENet.exe, was ISOBurner öffnet um es auf die CD zu brennen.
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
http://www.trojaner-board.de/81857-c...cd-booten.html

• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
Kopiere nun den Inhalt in die
Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
         

• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

ups, das ging aber rasch, habe schon die logfiles - sorry, war grad am editieren, bin grad am upload

reatagor xp funktioniert nicht, bluescreen

Anbei die Logs - ich hoffe das passt so, lg fibsi

dann machs beim nächsten Mal bitte so, dass du erst alle Infos sammelst und dann postest, danke
warte dann mal auf die Logs

sorry, habe mich beim Upload verklickt

Der Upload war schon ein Eintrag vor dir oberhalb

wie analysierst du die textfiles? Ich gehe mal von diesen zeilen aus:

FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_202.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)

Hi,


otl fix

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKU\S-1-5-21-3137141778-65262293-2770879185-1000 Winlogon: Shell - (C:\Users\sichervirus\AppData\Roaming\skype.dat) - C:\Users\sichervirus\AppData\Roaming\skype.dat ()
[2013/06/02 19:14:10 | 000,000,004 | ---- | M] () -- C:\Users\sichervirus\AppData\Roaming\skype.ini
:files
:Commands
[emptytemp]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hat super funktioniert, Danke

Upload der Datei erfolgt - jedoch wurde im Pfad und in der Textdatei der "User" auf USERNAME umbenannt.

lg
fibsi

ps: war aber auf einem USB - Stick und nicht am Desktop - hatte die Variante mit dem Stick und Reparaturkonsole durchgespielt.


7468782061206c6f74
01100110 01101001 01100010 01110011 01101001

Danke fürs hochladen
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Ich habe den PC schon zurückgebracht, werde aber noch versuchen, heute das Logfile von meinem Bekannten ausführen zu lassen, bzw. Remote dann ausführen.

wieso arbeitet man nur halb bis zum ende, is ja nich mal halb, evtl. erst n viertel. nicht mal sicherheitslücken sind geschlossen, womit ne Neuinfektion leicht möglich ist, und wir dann die doppelte Arbeit haben...

Jetzt hat mein Bekannter das Programm nicht mehr ausführen können und hat schon wieder den Virus drauf - seit Freitag beim surfen wieder PopUp Fenster mit Casions und seit Montag startet er nicht mehr - soll ich das gleiche Skript wieder ausführen, oder vorher wieder eine Analyse starten?

hab jetzt erst deine Signatur bzgl. Urlaub gelesen

Habs mit FRST entfernen können, alle Windows, Java usw. Updates eingespielt.
Anschließend Kontrolle mit tdsskiller = OK, Kontrolle mit OTL = OK.

Danke nochmals