Trojaner-Board - Systemsicherung

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - Systemsicherung (https://www.trojaner-board.de/64251-systemsicherung.html)

Hi Leute,da ich meinen Pc warscheinlich Neu installieren muss hab ich noch eine Frage:

Ich hab den Virus CRYPT.FKM.gen drauf und hab keine Ahnung wie das Ding tickt...

So jetzt will ich noch einige Sachen (Bilder,Musik,usw.)auf der externen Festplatte sichern.

Besteht jetzt da nicht die Gefahr,dass ich den Virus mit auf die Festplatte zieh und später nach der Neuinstallation beim zurückkopieren von der externen gleich wieder zurückkopiere und die gleiche SCH.... wieder von vor beginnt???

Vielen Dank für Posts
Lg Jo

Hallo,

allgemein gilt, dass man bei möglicherweise infizierten Systemen nur reine Daten-Dateien sichert, aber keine ausführbaren Dateien.

Manche befallene Systeme sind aber etwas hinterhältig, von daher wäre ich für eine Bereinigung (falls nötig) damit Du rel. gefahrlos die Daten zumindest sichern kannst.

Acker daher mal diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Zitat:

Zitat von Silent sharK (Beitrag 391517)

http://www.trojaner-board.de/64240-d...t-fkm-gen.html :rolleyes:

Ahja, danke!
Aber isses sicher, dass hier ein silentbanker Befall ist??
Würd mir gern mal die Logs anschaun. :kloppen:

99% Sicher.
Das doofe ist, nur BlackLight erkennt den Banker..

So hab das ganze mal in hijack reingestellt und ansehen lassen,dann die ? und X gelöscht neugestartet und zack iweder das gleiche Problem...wie soll ich jetzt fortfahren...mit diesem Black teil???

Sorry das ganze hier ist für mich echt neuland:(

Ja acker einfach die Liste ab!

Und bitte nicht einfach voreilig was mit Hijackthis fixen, ich möchte das Urspungslogfile sehen!

okay moment ich stells mal rein,DANKE

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:25:45, on 12.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\hijack\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 7169 bytes

Was ist mit den anderen Logfiles?

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

BLACKLIGHT HAT WAS GEFUNDEN!!!!(siehe 20:41:00)
Und jetzt??? was soll ich machen???

11/13/08 20:33:15 [Info]: BlackLight Engine 2.2.1092 initialized
11/13/08 20:33:15 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/13/08 20:33:15 [Note]: 7019 4
11/13/08 20:33:15 [Note]: 7005 0
11/13/08 20:33:28 [Note]: 7006 0
11/13/08 20:33:28 [Note]: 7011 1844
11/13/08 20:33:28 [Note]: 7035 0
11/13/08 20:33:28 [Note]: 7026 0
11/13/08 20:33:28 [Note]: 7026 0
11/13/08 20:33:31 [Note]: FSRAW library version 1.7.1024
11/13/08 20:41:00 [Info]: Hidden file: c:\WINDOWS\system32\c_194221.nls
11/13/08 20:41:00 [Note]: 10002 2
11/13/08 20:42:38 [Note]: 2000 1012
11/13/08 20:42:38 [Note]: 2000 1012
11/13/08 20:44:05 [Note]: 7007 0

11/13/08 20:41:00 [Info]: Hidden file: c:\WINDOWS\system32\c_194221.nls

Das sieht schon mal übel aus!
Die nächsten Logfiles bitte mit Codetags umschlossen! :twak:

Code:

 Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1395

Windows 5.1.2600 Service Pack 3
 

13.11.2008 21:29:51

mbam-log-2008-11-13 (21-29-51).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 44892

Laufzeit: 4 minute(s), 41 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> Quarantined and deleted successfully.

hier ma der malwarebytes quick-scan oder sollte ich den vollständigen machen?Der dauert halt paar Stunden!

Na Jo-drums,

wenn ich mich mal einmischen darf, versuch den Banker so zu löschen:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

files to delete:

C:\WINDOWS\system32\c_194221.nls

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach ist Silentbanker nämlich zu Analysenzwecken, sprich bsp. Virustotal verfügbar.

Hi,

ein FileListing mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Es fehlt auch das Combofixlog.

lg myrtille

So hier der Bericht von Avenger "listing8.cmd"öffnet nur immer so einen komischen Text im Editor ...tut sich dabei auch was?

Code:

 ogfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "C:\WINDOWS\system32\c_194221.nls" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

So sieht schonmal gut aus, das wärs fürs erste von mir..,
kannst du mir bitte die C:\Avenger\backup.zip an silent_shark@gmx.de senden?

Kleine Anmerkung noch,beim Neustart (nach den Avengercheck) hat mir Antivir wieder 10 Fenster mit dem SCHEISS Crypt.fkm.gen aufgemacht

Ich hasse Virus!!!!!!!

TROTZDEM SEI MAL EIN GROSSES DANKE GESAGT AN ALLE DIE MICH HIER BEI MEINEM KAMPF UNTERSTÜTZEN!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

listing8.cmd per rechtsklick mittels "speichern unter" abspeichern.

@SilentShark: Ja ich schicks dir gleich ...

@myrtille

Ich gehe auf rechtsklick-dann Ziel speichern unter-Desktop-dann auf dem Desktop doppelklick auf die Datei: Es erscheint

Code:

 del /f "%temp%"\listing.txt

echo LISTING FILE von root24; 28.01.2008  > %temp%\listing.txt
 

echo "------ SYSTEMROOT ---" >> %temp%\listing.txt

%systemdrive%

cd\

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ SYSTEM32 ---" >> %temp%\listing.txt

cd %windir%

cd system32

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt

cd %windir%

cd "Downloaded Installations"

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt

cd %windir%

cd "Downloaded Program Files"

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt

cd %windir%

cd system32

cd drivers

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ PREFETCH ---" >> %temp%\listing.txt

cd %windir%

cd prefetch

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ TASKS ---" >> %temp%\listing.txt

cd %windir%

cd tasks

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ WINDIR ---" >> %temp%\listing.txt

cd %windir%

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt

cd system

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt

cd %windir%

cd temp

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ USER\TEMP ---" >> %temp%\listing.txt

cd %temp%

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ PROGRAMS ---" >> %temp%\listing.txt

cd %programfiles%

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 
 

echo "------ ALLUSERS ---" >> %temp%\listing.txt

cd %allusersprofile%

cd anwendungsdaten

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ USERS ---" >> %temp%\listing.txt

cd %userprofile%

cd anwendungsdaten

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

echo "------ DOU ---" >> %temp%\listing.txt

cd %userprofile%

cd..

dir /a:-d /o:-d >> %temp%\listing.txt

dir /a:d /o:-d >> %temp%\listing.txt
 

cd %temp%

copy /y listing.txt "%userprofile%"\desktop\listing.txt

Wenn Du diese listing.cmd ausführst ist es ganz normal, dass das kleine schwarze Konsolenfenster erscheint. Danach sollte eine listing.txt auch auf dem Desktop sein, davon den Inhalt posten also bei file-upload.net hochladen und hier verlinken!

Hast du die Dateiendungen eingeblendet?
Versuch mal die Datei in listing.bat umzubenennen?

lg myrtille

Bei Filelisting-Problemen:

Versuch es so: Geh in Arbeitsplatz / Extras / Ordneroptionen / Ansicht - dort den Haken rausnehmen bei "Erweiterungen bei bekannten Dateitypen ausblenden", fortan werden Dir bei (fast) allen Dateien auch die Endungen angezeigt.

Stell dann sicher, dass mein CMD-Scrript auch tatsächlich dann die Endung .CMD hat und kein .TXT oder so. Sie sollte dann dieses Symbol haben

http://mitglied.lycos.de/efunction/tb/img/cmdsymbol.PNG

Danach sollte durch ein Doppelklick das Script auch ausgeführt werden.

Ne du wieder öffnet sich nur der Editor ohne schwarzem fenster.....
ich hatte schonmal von einem Forummitglied den Tipp erhalten,ich solle cmd bei Ausführen einzugeben und dort irgendwas ins dosfenster zu schreiben..weiß nicht mehr genau was das war

So, danke für die Mail.

Zitat:

C:\WINDOWS\system32\c_194221.nls

Die ist clean, das heißt, der eigentliche Banker blieb bis jetzt UD gegen alle Tools, die du bisher verwendet hast.

@root24 es hatte die Endung txt.....wo kann ich deine cmd bekommen?

@Silentshark

Ja hm da weiss ich jetzt nicht so genau ob ich mich freuen soll....?!? ;)

Hi,
öffne die Datei mit dem Editor gehe auf Datei->Speichern Unter-> Gib als Namen listing.cmd ein und wähle bei Dateityp "alle dateien" aus.

Speichere die Datei dann ab und führe sie mit nem doppelklick aus.

lg myrtille

So jetzt gehts ..schwarzes dos fenster hat sich geöffnet und ich glaube es läuft was im Hintergrund und die txt datei is auch son da!

Okay txt datei ist feritg speicher sie jetzt und stell euch den Link rein!!

Kleinen Moment....

Lg Jo

http://www.file-upload.net/download-...sting.txt.html

Kannst du bitte auch noch das Combofix log nachreichen?

lg myrtille

Das werd ich dann auf morgen verschieben...ich brauch ne Pause.......wer die ComboFix morgen,sobald ich sie habe posten!

Danke und gute Nacht

Bitte benutze auch mal die Editierfunktion => http://www.trojaner-board.de/images/buttons/edit.gif. Innerhalb von ein paar Minuten drei Beiträge direkt hintereinander muss nicht unbedingt sein.
Danke