Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: GVU / Polizeivirus - neue Infektion

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 02.06.2013, 19:07   #1
fibsi
 
GVU / Polizeivirus - neue Infektion - Standard

GVU / Polizeivirus - neue Infektion



Hello @all,

jetzt ist es soweit, ich muss doch einmal ein forum zum entfernen eines virus verwenden,

ich bin mir zwar schon fast sicher, wie ich den virus entfernen muss, aber möchte sicher gehen.

Ich habe von einem Bekannten einen PC bekommen - der erste Virus, den ich nicht selber löschen kann

Daher bitte ich um Eure Mithilfe.

Anbei die Log-Files, welche durch OTL erstellt wurden.

(Natürlich müssen dann die Virus..... mit dem Usernamen getauscht werden)

Vielen Dank
fibsi

Alt 02.06.2013, 19:10   #2
markusg
/// Malware-holic
 
GVU / Polizeivirus - neue Infektion - Standard

GVU / Polizeivirus - neue Infektion



Hi
kommst du an nen pc mit brenner?
download:
ISO Burner - Download - Filepony
isoburner anleitung:
http://www.trojaner-board.de/83208-b...ei-cd-dvd.html
• Wenn der Download fertig ist mache ein doppel Klick auf die OTLPENet.exe, was ISOBurner öffnet um es auf die CD zu brennen.
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
http://www.trojaner-board.de/81857-c...cd-booten.html

• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
Kopiere nun den Inhalt in die
Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
         
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs
__________________

__________________

Alt 02.06.2013, 19:10   #3
fibsi
 
GVU / Polizeivirus - neue Infektion - Standard

GVU / Polizeivirus - neue Infektion



ups, das ging aber rasch, habe schon die logfiles - sorry, war grad am editieren, bin grad am upload

reatagor xp funktioniert nicht, bluescreen
__________________

Alt 02.06.2013, 19:19   #4
fibsi
 
GVU / Polizeivirus - neue Infektion - Standard

GVU / Polizeivirus - neue Infektion



Anbei die Logs - ich hoffe das passt so, lg fibsi

Alt 02.06.2013, 19:20   #5
markusg
/// Malware-holic
 
GVU / Polizeivirus - neue Infektion - Standard

GVU / Polizeivirus - neue Infektion



dann machs beim nächsten Mal bitte so, dass du erst alle Infos sammelst und dann postest, danke
warte dann mal auf die Logs

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 02.06.2013, 19:21   #6
fibsi
 
GVU / Polizeivirus - neue Infektion - Standard

GVU / Polizeivirus - neue Infektion



sorry, habe mich beim Upload verklickt

Der Upload war schon ein Eintrag vor dir oberhalb

wie analysierst du die textfiles? Ich gehe mal von diesen zeilen aus:

FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_202.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)

Geändert von fibsi (02.06.2013 um 19:55 Uhr)

Alt 02.06.2013, 21:24   #7
markusg
/// Malware-holic
 
GVU / Polizeivirus - neue Infektion - Standard

GVU / Polizeivirus - neue Infektion



Hi,


otl fix

Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:
ATTFilter
:OTL
O20 - HKU\S-1-5-21-3137141778-65262293-2770879185-1000 Winlogon: Shell - (C:\Users\sichervirus\AppData\Roaming\skype.dat) - C:\Users\sichervirus\AppData\Roaming\skype.dat ()
[2013/06/02 19:14:10 | 000,000,004 | ---- | M] () -- C:\Users\sichervirus\AppData\Roaming\skype.ini
:files
:Commands
[emptytemp]
         
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 02.06.2013, 21:58   #8
fibsi
 
GVU / Polizeivirus - neue Infektion - Standard

GVU / Polizeivirus - neue Infektion



Hat super funktioniert, Danke

Upload der Datei erfolgt - jedoch wurde im Pfad und in der Textdatei der "User" auf USERNAME umbenannt.

lg
fibsi

ps: war aber auf einem USB - Stick und nicht am Desktop - hatte die Variante mit dem Stick und Reparaturkonsole durchgespielt.


7468782061206c6f74
01100110 01101001 01100010 01110011 01101001

Alt 02.06.2013, 23:45   #9
markusg
/// Malware-holic
 
GVU / Polizeivirus - neue Infektion - Standard

GVU / Polizeivirus - neue Infektion



Danke fürs hochladen
Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 04.06.2013, 08:02   #10
fibsi
 
GVU / Polizeivirus - neue Infektion - Standard

GVU / Polizeivirus - neue Infektion



Ich habe den PC schon zurückgebracht, werde aber noch versuchen, heute das Logfile von meinem Bekannten ausführen zu lassen, bzw. Remote dann ausführen.

Alt 04.06.2013, 10:13   #11
markusg
/// Malware-holic
 
GVU / Polizeivirus - neue Infektion - Standard

GVU / Polizeivirus - neue Infektion



wieso arbeitet man nur halb bis zum ende, is ja nich mal halb, evtl. erst n viertel. nicht mal sicherheitslücken sind geschlossen, womit ne Neuinfektion leicht möglich ist, und wir dann die doppelte Arbeit haben...
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 26.06.2013, 15:23   #12
fibsi
 
GVU / Polizeivirus - neue Infektion - Standard

GVU / Polizeivirus - neue Infektion



Jetzt hat mein Bekannter das Programm nicht mehr ausführen können und hat schon wieder den Virus drauf - seit Freitag beim surfen wieder PopUp Fenster mit Casions und seit Montag startet er nicht mehr - soll ich das gleiche Skript wieder ausführen, oder vorher wieder eine Analyse starten?

hab jetzt erst deine Signatur bzgl. Urlaub gelesen

Habs mit FRST entfernen können, alle Windows, Java usw. Updates eingespielt.
Anschließend Kontrolle mit tdsskiller = OK, Kontrolle mit OTL = OK.

Danke nochmals

Antwort

Themen zu GVU / Polizeivirus - neue Infektion
bekannte, entferne, entfernen, forum, hello, infektion, löschen, neue, polizeivirus, verwenden, virus, virus entfernen




Ähnliche Themen: GVU / Polizeivirus - neue Infektion


  1. Firefox lädt ständig - ununterbrochen neu/Werbung/neue Tabs/neue Fenster
    Log-Analyse und Auswertung - 28.10.2015 (11)
  2. Windows 7: Ständig neue Werbeanzeigen sowie neue Fenster öffnen sich in Chrome
    Plagegeister aller Art und deren Bekämpfung - 12.03.2015 (15)
  3. Windows 7: Ständig neue Werbeanzeigen sowie neue Fenster öffnen sich in Chrome.
    Plagegeister aller Art und deren Bekämpfung - 13.01.2015 (10)
  4. Avast: Infektion blockiert , Infektion: URL:Mal (bei Ebay.de)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (3)
  5. Windows 7 Ultimate: Google Chrome öffnet von alleine neue Fenster mit Werbung oder neue Tabs
    Plagegeister aller Art und deren Bekämpfung - 28.04.2014 (19)
  6. Polizeivirus
    Log-Analyse und Auswertung - 29.01.2014 (11)
  7. Polizeivirus
    Plagegeister aller Art und deren Bekämpfung - 20.11.2013 (52)
  8. Polizeivirus in Ö
    Plagegeister aller Art und deren Bekämpfung - 25.08.2013 (3)
  9. Neue Art von Polizeivirus - Neustarten im Abgesicherten Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 22.07.2013 (17)
  10. Polizeivirus .LPD BM.I
    Log-Analyse und Auswertung - 16.05.2013 (13)
  11. Polizeivirus
    Plagegeister aller Art und deren Bekämpfung - 24.04.2013 (2)
  12. Polizeivirus
    Log-Analyse und Auswertung - 15.11.2012 (17)
  13. PolizeiVirus
    Plagegeister aller Art und deren Bekämpfung - 07.09.2012 (31)
  14. Polizeivirus !
    Log-Analyse und Auswertung - 14.08.2012 (1)
  15. neue INfektion: Trojan.Banker, Backdoor.Agent
    Log-Analyse und Auswertung - 12.08.2012 (3)
  16. Polizeivirus
    Log-Analyse und Auswertung - 24.07.2012 (9)
  17. Remote angriff / neue user erscheinen , neue files , bluescreens
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (1)

Zum Thema GVU / Polizeivirus - neue Infektion - Hello @all, jetzt ist es soweit, ich muss doch einmal ein forum zum entfernen eines virus verwenden, ich bin mir zwar schon fast sicher, wie ich den virus entfernen muss, - GVU / Polizeivirus - neue Infektion...
Archiv
Du betrachtest: GVU / Polizeivirus - neue Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.