Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BKA Trojaner und jashla.exe.... (https://www.trojaner-board.de/102299-bka-trojaner-jashla-exe.html)

nursum 09.08.2011 20:06

BKA Trojaner und jashla.exe....
 
Hallo,
ich habe auch den BKA Trojaner und habe die "jashla.exe" Datei umbenannt, jetzt fährt das System nicht mals mehr zu der BKA Seite hoch, Windows bricht vorher mit blauen sceen ab...
Ich habe mit OTLPE die scans gemacht und angehängt.
Ich hätte noch eine Frage: wenn ich Daten mit der OTLPE CD auf eine externe Festplatte rüberschiebe, ist dann die Festplatte auch infiziert?

Vielen Dank für die Hilfe

Ingo

cosinus 10.08.2011 14:56

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004/08/13 08:54:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009/08/02 11:38:30 | 000,000,100 | ---- | M] () - D:\AUTORUN.INF -- [ NTFS ]
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Messmaschine Thome\Anwendungsdaten\jashla.exe) -  File not found
[2010/06/09 08:56:41 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\Autocal_Creator.exe
[2010/06/09 07:14:59 | 000,000,150 | ---- | C] () -- C:\WINDOWS\ygaiuotc64.bin
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

nursum 10.08.2011 21:55

Hallo, danke für die Hilfe! Ich komme jetzt kurzzeitig rein, dann stürtzt das System ab mit den Fehlercodes: stop 0x0000008E (0xC000005, 0x80637F4D, 0xB922196C, 0x00000000), ich konnte aber im abgesicherten Modus booten, und hier habe ich das zip-file erstellt. Im abgesicherten Modus müsste ja der Virenscanner inaktiv gewesen sein, ich konnte ihn auf jeden Fall nicht ausschalten... Die zwei Dateien (log und zip) habe ich angefügt.

Ingo

cosinus 11.08.2011 09:16

Musstest du für OTLPE von AHCI auf IDE/Compatible umändern?

nursum 11.08.2011 10:28

nein musste ich nicht! Das Phenomen des blue sceens ist auch erst aufgetreten, nachdem ich die jashla.exe Datei umbenannt hatte (noch vor dem OTLPE-scan) davor war der übliche Bundeskriminalamtbildschirm zu sehen... bevor die Kiste jetzt abschmiert komme ich auch noch für ca. 30 Sekunden in die Hauptumgebung rein... vielleicht spinnt ja der Virenscanner oder durch die viele Abschalterei hat die Grafikkarte nen Schuß bekommen..

nursum 11.08.2011 11:34

Hallo, jetzt habe ich wahrscheinlich "Mist" gebaut, denn nach der Anmeldung kam gleich der bluescreen, daraufhin habe ich die "letzte funktionierende Windows Version" im Bootmenü angewählt, jetzt komme ich nicht mehr im abgesicherten Modus rein => Fehler: lsass.exe wird nicht gefunden!
Ich habe einen neuen OTLPE scan gemacht und angehängt!

Ingo

cosinus 11.08.2011 13:39

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\Dell\BAE\BAE.dll (Dell Inc.)
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O3 - HKU\Messmaschine_Thome_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\Messmaschine_Thome_ON_C\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [ME532]  File not found
O4 - HKLM..\Run: [PMX Daemon] C:\WINDOWS\System32\ico.exe (Primax Electronics Ltd.)
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Teste dann mal ob Windows wieder normal startet. Wenn nicht, ist wohl Datensicherung plus Neuinstallation fällig.

nursum 11.08.2011 17:45

Hallo Arne, danke für die Hilfe, aber es klappt immer noch nicht! Daher werde ich wohl aber übel Neuinstallieren... ist extrem ärgerlich da es sich um einen Steuerungsrechner handelt...

lg Ingo

cosinus 11.08.2011 22:20

Wieso macht man von solchen wichtigen Rechnern nicht für den Fall der Fälle vorher ein Image? Sowas wie Acronis TrueImage gibts doch schon lange


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131