Hallo,
ich habe wg. eines Virus sshnas21.dll auf dem Rechner meiner Freundin mal OTM runtergeladen und gestartet.
Aus Neugier habe ich mal auf 'CleanUp' geklickt, worauf mir dieses OTM wohl etwas gelöscht hat:

Zitat:

File/Folder avenger.* not found.
File/Folder Avenger not found.
File/Folder bfu.zip not found.
File/Folder BFU not found.
File/Folder combofix.* not found.
File/Folder combo-fix.* not found.
File/Folder ComboFix*.txt not found.
File/Folder ComboFix not found.
C:\WINDOWS\subs folder deleted successfully.
C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-KeyMapperStarup.reg.dat deleted successfully.
C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-MSMSGS.reg.dat deleted successfully.
C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-Kleptomania.reg.dat deleted successfully.
C:\Qoobox\Quarantine\Registry_backups\Notify-AtiExtEvent.reg.dat deleted successfully.
C:\Qoobox\Quarantine\Registry_backups\tcpip.reg deleted successfully.
C:\Qoobox\Quarantine\Registry_backups folder deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\mdm.exe.vir deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\n.exe.vir deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32 folder deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\IE4 Error Log.txt.vir deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS folder deleted successfully.
C:\Qoobox\Quarantine\C\Programme\MakeInst9\test\_Install.exe.vir deleted successfully.
C:\Qoobox\Quarantine\C\Programme\MakeInst9\test folder deleted successfully.
C:\Qoobox\Quarantine\C\Programme\MakeInst9\InstData\_Install.exe.vir deleted successfully.
C:\Qoobox\Quarantine\C\Programme\MakeInst9\InstData folder deleted successfully.
C:\Qoobox\Quarantine\C\Programme\MakeInst9 folder deleted successfully.
C:\Qoobox\Quarantine\C\Programme\INSTALL.LOG.vir deleted successfully.
C:\Qoobox\Quarantine\C\Programme folder deleted successfully.
C:\Qoobox\Quarantine\C\test.txt.vir deleted successfully.
C:\Qoobox\Quarantine\C folder deleted successfully.
C:\Qoobox\Quarantine\catchme.log deleted successfully.
C:\Qoobox\Quarantine folder deleted successfully.
C:\Qoobox\BackEnv\appdata.folder.dat deleted successfully.
C:\Qoobox\BackEnv\cache.folder.dat deleted successfully.
C:\Qoobox\BackEnv\Cookies.folder.dat deleted successfully.
C:\Qoobox\BackEnv\desktop.folder.dat deleted successfully.
C:\Qoobox\BackEnv\favorites.folder.dat deleted successfully.
C:\Qoobox\BackEnv\localappdata.folder.dat deleted successfully.
C:\Qoobox\BackEnv\localsettings.folder.dat deleted successfully.
C:\Qoobox\BackEnv\mypictures.folder.dat deleted successfully.
C:\Qoobox\BackEnv\personal.folder.dat deleted successfully.
C:\Qoobox\BackEnv\Profiles.Folder.dat deleted successfully.
C:\Qoobox\BackEnv\programs.folder.dat deleted successfully.
C:\Qoobox\BackEnv\SetPath.bat deleted successfully.
C:\Qoobox\BackEnv\startmenu.folder.dat deleted successfully.
C:\Qoobox\BackEnv\startup.folder.dat deleted successfully.
C:\Qoobox\BackEnv\SysPath.dat deleted successfully.
C:\Qoobox\BackEnv\templates.folder.dat deleted successfully.
C:\Qoobox\BackEnv folder deleted successfully.
C:\Qoobox\Add-Remove Programs.txt deleted successfully.
C:\Qoobox\ComboFix-quarantined-files.txt deleted successfully.
C:\Qoobox\SnapShot@2009-02-18_11.53.27.79.dat deleted successfully.
C:\Qoobox\SnapShot@2009-02-18_11.53.27.79_B.dat deleted successfully.
C:\Qoobox folder deleted successfully.
Error: No service named catchme was found to stop!
Service\Driver key catchme not found.
C:\WINDOWS\fdsv.exe deleted successfully.
C:\WINDOWS\grep.exe deleted successfully.
C:\WINDOWS\NIRCMD.exe deleted successfully.
D:\MAIL_USW\totalcmd\totalcmd\nircmd.exe deleted successfully.
C:\WINDOWS\sed.exe deleted successfully.
C:\WINDOWS\SWREG.exe deleted successfully.
C:\WINDOWS\SWSC.exe deleted successfully.
C:\WINDOWS\SWXCACLS.exe deleted successfully.
C:\WINDOWS\VFIND.exe deleted successfully.
C:\WINDOWS\zip.exe deleted successfully.
Error: No service named GMER was found to stop!
Service\Driver key GMER not found.
C:\Dokumente und Einstellungen\xxx\Desktop\OTM.exe deleted successfully.
File delete failed. D:\BACKUP\totalcmd\totalcmd\OTM.exe scheduled to be deleted on reboot.
File delete failed. D:\BACKUP\totalcmd\totalcmd\OTM.exe scheduled to be deleted on reboot.

Ist das OK so, oder hat mir dieses OTM jetzt was kaputt gemacht?
Wofür ist das überhaupt?

Danke, Gruß, franc

Du meinst wohl OTL. Aus dem Log sehe ich, dass du combofix ausgeführt hast, wer hat dir das angewiesen?
Poste das Log davon.

Zitat:

Zitat von cosinus

Du meinst wohl OTL...

Nein, OTM (siehe Anhang).

Combofix hab ich glaub ich vor einem Jahr mal ausgeführt, wg. eines Virus'.

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Ich habe mich in meinem ersten Post völlig unklar ausgedrückt, nämlich hab ich vergessen, dass ich mit meinem XP-Rechner, der ist clean, aus Neugier mal dieses "OTM" gestartet habe und dort den Button 'CleanUp' gedrückt.
Auf meinem uninfizierten XP-Rechner.
Und da hat mir dieses OTM paar Sachen gelöscht, da wollt ich wissen, was das ist.
Ich hatte da früher mal Combofix ausgeführt, daher kommt wohl noch dieses OOBox...

Ich glaube aber es ist wohl so, dass das OTM nach einem Combofix dessen Müll wegräumt, ist das einfach so?

Dann wäre ja alles ok.

OTM selbst nutzt ich selten bis garnicht, aber es sieht tatsächlich danach aus, als hätte er alle Spuren von CF beseitigt

Ah, OK, dann ist klar. Wusste ich nicht, dass man nach CF erst noch aufräumen muss.
Hat mir aber damals gut geholfen
Danke nun.

CF muss man auch nicht aufräumen. Nur um "Spuren zu verwischen" aber performancemäßig bringt das rein garnichts.

Zitat:

Zitat von cosinus

OTM selbst nutzt ich selten bis garnicht,...

warum eigentlich nicht ?

Zitat:

Zitat von cosinus

Nur um "Spuren zu verwischen"

Zu was ?

Zitat:

warum eigentlich nicht ?

Nenn mir einen Grund, ich brauchte das Tool bisher nicht.

Zitat:

Zu was ?

"Spuren verwischen" steht in Anführungszeichen da

Zitat:

Zitat von cosinus

Nenn mir einen Grund, ich brauchte das Tool bisher nicht.

Ich kann dir doch keinen Grund nennen warum Du das Tool nicht nutzt ?
Das ist der Grund meiner Frage gewesen !

*schulterzuck*

Wenn ich mich mit dem Tool näher befasse kann ich was dazu sagen

Sooo...
Anscheinend wurde das Tool in der Vergangenheit öfter benutzt, jetzt aktuell hier im TB hab ich so keinen mehr gesehen der das anwendet.
Man kann damit den Rechner zB von CF- oder Avenger-Resten befreien. Und wer will über das Script Dateien verschieben. Einen zwingenden Grund OTM einzusetzen seh ich so bisher aber nicht, meine Strategie ging bisher immer gut auf, ohne OTM

Hallo Cosinus,
das ist jetzt für mich eine brauchbare und informative Antwort.
Sprich ist ein älteres Tool wenn es keiner mehr anwendet.

OTM`s CleanUp-Funktion war und ist auf jeden Fall eine gute und praktische Kombination mit RSIT