Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.12.2013, 20:16   #1
olumsat
 
Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd - Standard

Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd



Guten Abend, kaempfe schon lange mit diesem wurm herum, konnte auch nicht mehr abgesichert starten. habe jetzt die 2 dateien hier parat. Ich hoffe Ihr koent mit irgendwie helfen.

Gruese

Markus

Alt 01.12.2013, 21:34   #2
M-K-D-B
/// TB-Ausbilder
 
Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd - Standard

Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd






Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:
  • Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
  • Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Solltest du mir nicht innerhalb von 4 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
    Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
  • Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
  • Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
    Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
    Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.




Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten!
Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.

  • Starte den infizierten Rechner mit der OTLpe-CD und starte OTLpe.
  • Falls du keine Internetverbindung hast:
    1. Drücke Windows-Taste + R > notepad (reinschreiben) > OK
    2. Kopiere das Fixskript in den Editor und speichere die Datei als Fix.txt
    3. Kopiere dir die Fix.txt auf einen USB-Stick.
    4. Schließe den Stick an den infizierten Rechner an und kopiere dir die Datei auf den Desktop.
  • Füge das Skript in das Feld Custom Scans / Fixes ein:
Code:
ATTFilter
:OTL
[2013/10/15 16:30:08 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\q7ezjol.ctrl
[2013/10/15 16:30:05 | 095,025,368 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\q7ezjol.pff
[2013/10/15 16:30:04 | 000,130,048 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lojze7q.plz
[2012/06/21 10:30:16 | 004,503,728 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\loc_pyt_0_kroj.pad

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Windows Management Instrumentation"
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,03,00,03,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
"Description"="Provides a common interface and object model to access management information about operating system, devices, applications and services. If this service is stopped, most Windows-based software will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
  00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\Enum]
"0"="Root\\LEGACY_WINMGMT\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

:commands
[resethosts]
[emptytemp]
         
  • Schließe bitte nun alle anderen Programme.
  • Klicke nun bitte auf den Fix Button.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. (Auch zu finden unter C:\OTLpe\MovedFiles\<datum_nummer.log>)
  • Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.
Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTLpe scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein!


Fragen:
  • Kannst du jetzt wieder in den normalen Modus booten?
__________________


Alt 01.12.2013, 21:55   #3
olumsat
 
Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd - Standard

Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd



Hallo, ersteinmal vielen Dank für die schnelle Hilfe. Kann jetzt wieder im normalen Modus booten.

Wäre es trotzdem ratsam, seine Daten zu sichern und das System neu aufzusetzen ?



Code:
ATTFilter
========== OTL ==========
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\q7ezjol.ctrl moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\q7ezjol.pff moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lojze7q.plz moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\loc_pyt_0_kroj.pad moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\\"Type"|dword:00000020 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\\"Start"|dword:00000002 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\\"ErrorControl"|dword:00000000 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\\"ImagePath"|hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\\"DisplayName"|"Windows Management Instrumentation" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\\"DependOnService"|hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\\"DependOnGroup"|hex(7):00,00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\\"ObjectName"|"LocalSystem" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\\"FailureActions"|hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,03,00,03,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\\"Description"|"Provides a common interface and object model to access management information about operating system, devices, applications and services. If this service is stopped, most Windows-based software will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start." /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\Parameters\\"ServiceDll"|hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\Parameters\\"ServiceMain"|"ServiceMain" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\Security\\"Security"|hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\Enum\\"0"|"Root\\LEGACY_WINMGMT\\0000" /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\Enum\\"Count"|dword:00000001 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt\Enum\\"NextInstance"|dword:00000001 /E : value set successfully!
========== COMMANDS ==========
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: Administrator
 
User: All Users
 
User: Default User
 
User: Kaiser
 
User: LocalService
 
User: NetworkService
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 3063 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1399756 bytes
 
Total Files Cleaned = 4.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 12012013_213623
         
__________________

Alt 02.12.2013, 14:18   #4
M-K-D-B
/// TB-Ausbilder
 
Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd - Standard

Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd



Servus,


neu aufsetzen ist nicht notwendig, aber wir sind auch noch nicht fertig.


So geht es weiter:



Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


Alt 06.12.2013, 19:44   #5
M-K-D-B
/// TB-Ausbilder
 
Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd - Standard

Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd



Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!


Antwort

Themen zu Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd
abend, abgesichert, befallen, boot, boot cd, dateien, guten, hoffe, interpol, konnte, lange, nicht mehr, starte, starten., wurm




Ähnliche Themen: Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd


  1. Interpol Virus auch in abgesichertem Modus + logfile
    Log-Analyse und Auswertung - 19.07.2014 (9)
  2. Windows Vista Rechner mit Interpol Trojaner befallen
    Log-Analyse und Auswertung - 20.03.2014 (3)
  3. Interpol Trojaner - auch abgesicherter Modus nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 10.03.2014 (11)
  4. Interpol Trojaner, jetzt hat es mich auch erwischt
    Log-Analyse und Auswertung - 05.02.2014 (5)
  5. Pc wurde von Interpol Virus gesperrt
    Plagegeister aller Art und deren Bekämpfung - 12.01.2014 (9)
  6. Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd
    Mülltonne - 01.12.2013 (1)
  7. Ein Konto vom Rechner wurde vom Interpol Virus befallen
    Plagegeister aller Art und deren Bekämpfung - 22.11.2013 (7)
  8. Interpol Trojaner - nun hats mich auch erwischt
    Log-Analyse und Auswertung - 03.10.2013 (3)
  9. Boot Kernel Treiber massig befallen!
    Log-Analyse und Auswertung - 07.01.2012 (5)
  10. Commerzbank Trojaner - Warten Sie bis Ihrer Computer identifiziert wurde-hat mich auch befallen
    Plagegeister aller Art und deren Bekämpfung - 15.12.2011 (4)
  11. System mit altem Wurm befallen? Externe Platte?
    Log-Analyse und Auswertung - 07.08.2008 (3)
  12. guten abend kann mal bitte jemand diese logfile prüfen?
    Log-Analyse und Auswertung - 13.05.2008 (1)
  13. Mein Computer arbeitet im Hintergrund mein internet ist auch nicht gerade schnell
    Log-Analyse und Auswertung - 21.03.2008 (0)
  14. Auch gerade Probleme mit dem Antiviren-Programm gehabt?
    Mülltonne - 28.12.2007 (2)
  15. TR/Inject.AU.5 auch auf diesem Spielplatz
    Log-Analyse und Auswertung - 17.01.2007 (7)
  16. Guten Abend! Schaut mal den an..
    Log-Analyse und Auswertung - 10.03.2005 (6)
  17. Guten Abend zusammen
    Log-Analyse und Auswertung - 06.09.2004 (1)

Zum Thema Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd - Guten Abend, kaempfe schon lange mit diesem wurm herum, konnte auch nicht mehr abgesichert starten. habe jetzt die 2 dateien hier parat. Ich hoffe Ihr koent mit irgendwie helfen. Gruese - Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd...
Archiv
Du betrachtest: Guten Abend, wurde auch von diesem Interpol wurm befallen benutze gerade die boot cd auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.