Hallo,

hab hier von einer Bekannten ein Netbook bekommen, das ab und zu Mal sehr langsam läuft und angeblich öfter mal den Geist auf gibt. Neuinstallation ist leider sehr ungünstig, da die gute Frau Erasmus-Studentin ist und natürlich keine CDs dabei hat.

Hab einmal den Virenscanner (Kapersky) laufen lassen, hat nix gefunen.
Dann Malwarbytes, hat was gefunden (siehe log). Dann nochmal laufen lassen, nix mehr gefunden (log).
Und schließlich hab ich noch das OTR laufen lassen. Die logs sind ebenfalls in der .zip Datei.

Wär cool, wenn ihr checken könntet, was da noch so drauf is

Danke schonmal für eueren Einsatz

Grüße

hallo,
das ist doch nen netbook, hat das denn überhaupt nen laufwerk (dvd oder cd)?


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [cacaoweb] C:\Users\Virginie\AppData\Roaming\cacaoweb\cacaoweb.exe ()

:Files
C:\Users\Virginie\AppData\Roaming\cacaoweb
:Commands
[purity]
[EMPTYFLASH]
[resethosts]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.


öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Hi,

Danke für die Antwort

jo ist ein Netbook - hab das mit den CDs eher metaphorisch gemeint . Auf jeden Fall hab ich halt nix zum neu Installieren hier. Auch nicht die Programme wie Office etc.

# Die Moved Files ist im Upload drin
# OTL Log

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb deleted successfully.
C:\Users\Virginie\AppData\Roaming\cacaoweb\cacaoweb.exe moved successfully.
========== FILES ==========
C:\Users\Virginie\AppData\Roaming\cacaoweb folder moved successfully.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
 
User: Default User
 
User: Public
 
User: Virginie
->Flash cache emptied: 2862887 bytes
 
Total Flash Files Cleaned = 3,00 mb
 
C:\windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: Virginie
->Temp folder emptied: 1845018227 bytes
->Temporary Internet Files folder emptied: 122682413 bytes
->Java cache emptied: 271772 bytes
->FireFox cache emptied: 49409664 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 12575650 bytes
RecycleBin emptied: 779541504 bytes
 
Total Files Cleaned = 2*679,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 05142011_124728

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

wird von diesem gerät onlinebanking oder einkäufe oder sonst was wichtiges gemacht?
und danke für den upload.

Ich fürchte schon, ja - wie gefährlich is die Sache ?

sehr.
dies ist ein zbot trojaner.
1. sofort das onlinebanking sperren lassen:
notfall nummer:
116 116
2. sollten wir neu aufsetzen.
ich weis, du hast keine cds, da dies aber ein netbook ist, hat das ne recovery funktion.
schreibe mir den geräte typ auf.
hatt sie ne office vollversion? dann müssten wir den key auslesen, das ist kein problem.

Hm damnit
na gut, was platt gemacht werden muss muss platt werden

Ist ein Samsung NP-N210. Seh grad der Windows Key steht ja hinten drauf.
Office sollte Vollversion sein - wie mach ich das mit dem Auslesen? Muss ich was beim Datei-Backup beachten, nicht, dass ich auch den Bot da bekomme?

Grüße

1. keys auslesen und speichern:
Magical Jelly Bean Keyfinder Download - NETZWELT
2. autorun aus:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de

und dann daten sichern erst mal.

Okai - cooles Tool Daten sind am Sichern - wie gehts weiter?

Vielen Dank schonmal für die Klasse Hilfe!

gibts kein handbuch zu dem gerät? hab jetzt auf die schnelle nicht gefunden wie man zurück setzt, muss aber gehen da ein netbook.

Jo habs gefunden - das Recovery hat die C: Partition neu aufgesetzt und die Daten-Partition D unberührt gelassen.

Kann ich so weiter arbeiten oder muss ich die auch formatieren?

Soll ich dann erstmal nochmal OTL laufen lassen?

ich würde mit dir noch das gerät absichern wollen, damit du in zukunft ruhe hast, bzw das mädel dem das netbook gehört.

ja ok cool machen wir auf jeden Fall.

Was ist zu tun?

http://www.trojaner-board.de/96344-a...-rechners.html
setze hier alle tipps für vista /windows 7 um, das sp2 für vista natürlich nicht.
als antivirus programm avast: hier ne anleitung:
Bremer Treff - Downloads - Anleitungen - Installation und Einstellung von avast 6 Free Edition
als browser würde ich zu opera raten, ist einer der sichersten.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
eine sandbox ist eine vom system isoliert arbeitene umgebung, wenn hier ein schadprogramm reingelangt, läuft es im besten falle nicht, da wir die sandbox eingeschrenkt haben, oder es läuft, kommt aber nicht raus.
es ist sehr wichtig, alle tipps einzuhalten um maximale sicherheit zu erreichen.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
bei fragen melde dich, bzw bei erfolg.

noch was. setze die tipps unter:
Maßnahmen für ALLE Windows-Versionen
um.