|
Log-Analyse und Auswertung: GVU / Polizeivirus - neue InfektionWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
02.06.2013, 19:07 | #1 |
| GVU / Polizeivirus - neue Infektion Hello @all, jetzt ist es soweit, ich muss doch einmal ein forum zum entfernen eines virus verwenden, ich bin mir zwar schon fast sicher, wie ich den virus entfernen muss, aber möchte sicher gehen. Ich habe von einem Bekannten einen PC bekommen - der erste Virus, den ich nicht selber löschen kann Daher bitte ich um Eure Mithilfe. Anbei die Log-Files, welche durch OTL erstellt wurden. (Natürlich müssen dann die Virus..... mit dem Usernamen getauscht werden) Vielen Dank fibsi |
02.06.2013, 19:10 | #2 |
/// Malware-holic | GVU / Polizeivirus - neue Infektion Hi
__________________kommst du an nen pc mit brenner? download: ISO Burner - Download - Filepony isoburner anleitung: http://www.trojaner-board.de/83208-b...ei-cd-dvd.html • Wenn der Download fertig ist mache ein doppel Klick auf die OTLPENet.exe, was ISOBurner öffnet um es auf die CD zu brennen. Starte dein System neu und boote von der CD die du gerade erstellt hast. Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten, http://www.trojaner-board.de/81857-c...cd-booten.html • Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen. • Mache einen doppel Klick auf das OTLPE Icon. • Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes. • Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes. • entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist. • OTL sollte nun starten. Kopiere nun den Inhalt in die Textbox. Code:
ATTFilter activex netsvcs msconfig %SYSTEMDRIVE%\*. %PROGRAMFILES%\*.exe %LOCALAPPDATA%\*.exe %systemroot%\*. /mp /s /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\*.dll /lockedfiles %USERPROFILE%\*.* %USERPROFILE%\Local Settings\Temp\*.exe %USERPROFILE%\Local Settings\Temp\*.dll %USERPROFILE%\Application Data\*.exe • Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert • Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast. poste beide logs
__________________ |
02.06.2013, 19:10 | #3 |
| GVU / Polizeivirus - neue Infektion ups, das ging aber rasch, habe schon die logfiles - sorry, war grad am editieren, bin grad am upload
__________________reatagor xp funktioniert nicht, bluescreen |
02.06.2013, 19:19 | #4 |
| GVU / Polizeivirus - neue Infektion Anbei die Logs - ich hoffe das passt so, lg fibsi |
02.06.2013, 19:20 | #5 |
/// Malware-holic | GVU / Polizeivirus - neue Infektion dann machs beim nächsten Mal bitte so, dass du erst alle Infos sammelst und dann postest, danke warte dann mal auf die Logs
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
02.06.2013, 19:21 | #6 |
| GVU / Polizeivirus - neue Infektion sorry, habe mich beim Upload verklickt Der Upload war schon ein Eintrag vor dir oberhalb wie analysierst du die textfiles? Ich gehe mal von diesen zeilen aus: FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_202.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation) FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation) Geändert von fibsi (02.06.2013 um 19:55 Uhr) |
02.06.2013, 21:24 | #7 |
/// Malware-holic | GVU / Polizeivirus - neue Infektion Hi, otl fix Fixen mit OTL
Code:
ATTFilter :OTL O20 - HKU\S-1-5-21-3137141778-65262293-2770879185-1000 Winlogon: Shell - (C:\Users\sichervirus\AppData\Roaming\skype.dat) - C:\Users\sichervirus\AppData\Roaming\skype.dat () [2013/06/02 19:14:10 | 000,000,004 | ---- | M] () -- C:\Users\sichervirus\AppData\Roaming\skype.ini :files :Commands [emptytemp]
starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die + E Taste.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
02.06.2013, 21:58 | #8 |
| GVU / Polizeivirus - neue Infektion Hat super funktioniert, Danke Upload der Datei erfolgt - jedoch wurde im Pfad und in der Textdatei der "User" auf USERNAME umbenannt. lg fibsi ps: war aber auf einem USB - Stick und nicht am Desktop - hatte die Variante mit dem Stick und Reparaturkonsole durchgespielt. 7468782061206c6f74 01100110 01101001 01100010 01110011 01101001 |
02.06.2013, 23:45 | #9 |
/// Malware-holic | GVU / Polizeivirus - neue Infektion Danke fürs hochladen Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
04.06.2013, 08:02 | #10 |
| GVU / Polizeivirus - neue Infektion Ich habe den PC schon zurückgebracht, werde aber noch versuchen, heute das Logfile von meinem Bekannten ausführen zu lassen, bzw. Remote dann ausführen. |
04.06.2013, 10:13 | #11 |
/// Malware-holic | GVU / Polizeivirus - neue Infektion wieso arbeitet man nur halb bis zum ende, is ja nich mal halb, evtl. erst n viertel. nicht mal sicherheitslücken sind geschlossen, womit ne Neuinfektion leicht möglich ist, und wir dann die doppelte Arbeit haben...
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
26.06.2013, 15:23 | #12 |
| GVU / Polizeivirus - neue Infektion Jetzt hat mein Bekannter das Programm nicht mehr ausführen können und hat schon wieder den Virus drauf - seit Freitag beim surfen wieder PopUp Fenster mit Casions und seit Montag startet er nicht mehr - soll ich das gleiche Skript wieder ausführen, oder vorher wieder eine Analyse starten? hab jetzt erst deine Signatur bzgl. Urlaub gelesen Habs mit FRST entfernen können, alle Windows, Java usw. Updates eingespielt. Anschließend Kontrolle mit tdsskiller = OK, Kontrolle mit OTL = OK. Danke nochmals |
Themen zu GVU / Polizeivirus - neue Infektion |
bekannte, entferne, entfernen, forum, hello, infektion, löschen, neue, polizeivirus, verwenden, virus, virus entfernen |