Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)
-   -   OTM by Oldtimer - was ist das? (https://www.trojaner-board.de/93262-otm-by-oldtimer.html)

franc 27.11.2010 16:52
OTM by Oldtimer - was ist das?
 
Hallo,
ich habe wg. eines Virus sshnas21.dll auf dem Rechner meiner Freundin mal OTM runtergeladen und gestartet.
Aus Neugier habe ich mal auf 'CleanUp' geklickt, worauf mir dieses OTM wohl etwas gelöscht hat:

Zitat:
File/Folder avenger.* not found.
File/Folder Avenger not found.
File/Folder bfu.zip not found.
File/Folder BFU not found.
File/Folder combofix.* not found.
File/Folder combo-fix.* not found.
File/Folder ComboFix*.txt not found.
File/Folder ComboFix not found.
C:\WINDOWS\subs folder deleted successfully.
C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-KeyMapperStarup.reg.dat deleted successfully.
C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-MSMSGS.reg.dat deleted successfully.
C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-Kleptomania.reg.dat deleted successfully.
C:\Qoobox\Quarantine\Registry_backups\Notify-AtiExtEvent.reg.dat deleted successfully.
C:\Qoobox\Quarantine\Registry_backups\tcpip.reg deleted successfully.
C:\Qoobox\Quarantine\Registry_backups folder deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\mdm.exe.vir deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\n.exe.vir deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32 folder deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\IE4 Error Log.txt.vir deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS folder deleted successfully.
C:\Qoobox\Quarantine\C\Programme\MakeInst9\test\_Install.exe.vir deleted successfully.
C:\Qoobox\Quarantine\C\Programme\MakeInst9\test folder deleted successfully.
C:\Qoobox\Quarantine\C\Programme\MakeInst9\InstData\_Install.exe.vir deleted successfully.
C:\Qoobox\Quarantine\C\Programme\MakeInst9\InstData folder deleted successfully.
C:\Qoobox\Quarantine\C\Programme\MakeInst9 folder deleted successfully.
C:\Qoobox\Quarantine\C\Programme\INSTALL.LOG.vir deleted successfully.
C:\Qoobox\Quarantine\C\Programme folder deleted successfully.
C:\Qoobox\Quarantine\C\test.txt.vir deleted successfully.
C:\Qoobox\Quarantine\C folder deleted successfully.
C:\Qoobox\Quarantine\catchme.log deleted successfully.
C:\Qoobox\Quarantine folder deleted successfully.
C:\Qoobox\BackEnv\appdata.folder.dat deleted successfully.
C:\Qoobox\BackEnv\cache.folder.dat deleted successfully.
C:\Qoobox\BackEnv\Cookies.folder.dat deleted successfully.
C:\Qoobox\BackEnv\desktop.folder.dat deleted successfully.
C:\Qoobox\BackEnv\favorites.folder.dat deleted successfully.
C:\Qoobox\BackEnv\localappdata.folder.dat deleted successfully.
C:\Qoobox\BackEnv\localsettings.folder.dat deleted successfully.
C:\Qoobox\BackEnv\mypictures.folder.dat deleted successfully.
C:\Qoobox\BackEnv\personal.folder.dat deleted successfully.
C:\Qoobox\BackEnv\Profiles.Folder.dat deleted successfully.
C:\Qoobox\BackEnv\programs.folder.dat deleted successfully.
C:\Qoobox\BackEnv\SetPath.bat deleted successfully.
C:\Qoobox\BackEnv\startmenu.folder.dat deleted successfully.
C:\Qoobox\BackEnv\startup.folder.dat deleted successfully.
C:\Qoobox\BackEnv\SysPath.dat deleted successfully.
C:\Qoobox\BackEnv\templates.folder.dat deleted successfully.
C:\Qoobox\BackEnv folder deleted successfully.
C:\Qoobox\Add-Remove Programs.txt deleted successfully.
C:\Qoobox\ComboFix-quarantined-files.txt deleted successfully.
C:\Qoobox\SnapShot@2009-02-18_11.53.27.79.dat deleted successfully.
C:\Qoobox\SnapShot@2009-02-18_11.53.27.79_B.dat deleted successfully.
C:\Qoobox folder deleted successfully.
Error: No service named catchme was found to stop!
Service\Driver key catchme not found.
C:\WINDOWS\fdsv.exe deleted successfully.
C:\WINDOWS\grep.exe deleted successfully.
C:\WINDOWS\NIRCMD.exe deleted successfully.
D:\MAIL_USW\totalcmd\totalcmd\nircmd.exe deleted successfully.
C:\WINDOWS\sed.exe deleted successfully.
C:\WINDOWS\SWREG.exe deleted successfully.
C:\WINDOWS\SWSC.exe deleted successfully.
C:\WINDOWS\SWXCACLS.exe deleted successfully.
C:\WINDOWS\VFIND.exe deleted successfully.
C:\WINDOWS\zip.exe deleted successfully.
Error: No service named gmer was found to stop!
Service\Driver key gmer not found.
C:\Dokumente und Einstellungen\xxx\Desktop\OTM.exe deleted successfully.
File delete failed. D:\BACKUP\totalcmd\totalcmd\OTM.exe scheduled to be deleted on reboot.
File delete failed. D:\BACKUP\totalcmd\totalcmd\OTM.exe scheduled to be deleted on reboot.
Ist das OK so, oder hat mir dieses OTM jetzt was kaputt gemacht?
Wofür ist das überhaupt?

Danke, Gruß, franc

cosinus 27.11.2010 20:57
Du meinst wohl OTL. Aus dem Log sehe ich, dass du combofix ausgeführt hast, wer hat dir das angewiesen?
Poste das Log davon.

franc 28.11.2010 01:22
Liste der Anhänge anzeigen (Anzahl: 1)
Zitat:
Zitat von cosinus (Beitrag 593542)
Du meinst wohl OTL...
Nein, OTM (siehe Anhang).

Combofix hab ich glaub ich vor einem Jahr mal ausgeführt, wg. eines Virus'.

cosinus 28.11.2010 13:15
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

franc 28.11.2010 13:58
Ich habe mich in meinem ersten Post völlig unklar ausgedrückt, nämlich hab ich vergessen, dass ich mit meinem XP-Rechner, der ist clean, aus Neugier mal dieses "OTM" gestartet habe und dort den Button 'CleanUp' gedrückt.
Auf meinem uninfizierten XP-Rechner.
Und da hat mir dieses OTM paar Sachen gelöscht, da wollt ich wissen, was das ist.
Ich hatte da früher mal Combofix ausgeführt, daher kommt wohl noch dieses OOBox...

Ich glaube aber es ist wohl so, dass das OTM nach einem Combofix dessen Müll wegräumt, ist das einfach so?

Dann wäre ja alles ok.

cosinus 28.11.2010 14:07
OTM selbst nutzt ich selten bis garnicht, aber es sieht tatsächlich danach aus, als hätte er alle Spuren von CF beseitigt ;)

franc 28.11.2010 14:26
Ah, OK, dann ist klar. Wusste ich nicht, dass man nach CF erst noch aufräumen muss.
Hat mir aber damals gut geholfen :)
Danke nun.

cosinus 28.11.2010 17:41
CF muss man auch nicht aufräumen. Nur um "Spuren zu verwischen" aber performancemäßig bringt das rein garnichts.

Lauser71 03.12.2010 07:39
Zitat:
Zitat von cosinus (Beitrag 593745)
OTM selbst nutzt ich selten bis garnicht,...
warum eigentlich nicht ?

Zitat:
Zitat von cosinus (Beitrag 593824)
Nur um "Spuren zu verwischen"
Zu was ? :confused:

cosinus 03.12.2010 11:31
Zitat:
warum eigentlich nicht ?
Nenn mir einen Grund, ich brauchte das Tool bisher nicht.

Zitat:
Zu was ?
"Spuren verwischen" steht in Anführungszeichen da :D

Lauser71 03.12.2010 14:34
Zitat:
Zitat von cosinus (Beitrag 595222)
Nenn mir einen Grund, ich brauchte das Tool bisher nicht.
Ich kann dir doch keinen Grund nennen warum Du das Tool nicht nutzt ?
Das ist der Grund meiner Frage gewesen !

cosinus 03.12.2010 14:43
*schulterzuck*

Wenn ich mich mit dem Tool näher befasse kann ich was dazu sagen :o

cosinus 03.12.2010 14:54
Sooo...
Anscheinend wurde das Tool in der Vergangenheit öfter benutzt, jetzt aktuell hier im TB hab ich so keinen mehr gesehen der das anwendet.
Man kann damit den Rechner zB von CF- oder Avenger-Resten befreien. Und wer will über das Script Dateien verschieben. Einen zwingenden Grund OTM einzusetzen seh ich so bisher aber nicht, meine Strategie ging bisher immer gut auf, ohne OTM :D

Lauser71 03.12.2010 16:19
Hallo Cosinus,
das ist jetzt für mich eine brauchbare und informative Antwort.
Sprich ist ein älteres Tool wenn es keiner mehr anwendet.

rea 05.12.2010 10:15
OTM`s CleanUp-Funktion war und ist auf jeden Fall eine gute und praktische Kombination mit RSIT :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:55 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131