Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Weißer Bildschirm: Bitte Warten sie während die Verbindung mit dem Internet hergestellt wird (https://www.trojaner-board.de/110306-weisser-bildschirm-bitte-warten-waehrend-verbindung-internet-hergestellt.html)

Baustelle 22.02.2012 18:32
Weißer Bildschirm: Bitte Warten sie während die Verbindung mit dem Internet hergestellt wird
 
Hallo zusammen,

wie der Titel dieses Thema schon sagt habe ich mir wie schon andere in diesem Forum den Trojaner eingefangen, bei dem nach dem Betriebssystemstart (in meinem Fall Windwos 7) ein weißer Bildschirm erscheint mit dem Text "Bitte Warten sie während die Verbindung mit dem Interent hergestellt wird". Wie lautet denn der Name des Trojaners? Auch ich kann nichts mehr machen, außer den Computer mit dem Ein/Aus-Schalter ausschalten.

Da es sich um einen Laptop handelt, habe ich die Festplatte ausgebaut und über einen zweiten Rechner angeschlossen und mit Norton 360 prüfen lassen. Er hatte mehrere Funde und konnte alle erfolgreich beheben.
Auch das scannen durch Malwarebytes sah vielversprechend aus (siehe Logfile) allerdings waren beide Versuche ohne Erfolg. Ich vermute weil das Betriebssystem auf der Festplatte die ich ausgebaut hatte nicht lief!? Oder hätte ich das über ein anderes Programm machen müssen?

Nun habe ich über OTLPEnet.exe eine Logfile erstellen können. Könnt ihr mir nun weiterhelfen?

Ausgangspunkt war der von euch erstelle Scan:
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
Herausgekommen ist folgendes:
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
Noch zur Info die Log-File von Malwarebytes:
Code:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.22.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Alex :: ALEX-PC [Administrator]

Schutz: Aktiviert

22.02.2012 15:19:53
mbam-log-2012-02-22 (15-19-53).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 423810
Laufzeit: 1 Stunde(n), 58 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\cleansweep.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 9
L:\Dokumente und Einstellungen\Salva\Lokale Einstellungen\Temp\ir_ext_temp_0\AutoPlay\Docs\ProduKey.exe (PUP.PSWTool.ProductKey) -> Erfolgreich gelöscht und in Quarantäne gestellt.
L:\Dokumente und Einstellungen\Salva\Lokale Einstellungen\Temp\ir_ext_temp_1\AutoPlay\Docs\ProduKey.exe (PUP.PSWTool.ProductKey) -> Erfolgreich gelöscht und in Quarantäne gestellt.
L:\Dokumente und Einstellungen\Salva\Lokale Einstellungen\Temp\Windows_Legal\Windows_Legal\Windows_Legal\keyfinder.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
L:\Dokumente und Einstellungen\Salva\Lokale Einstellungen\Temp\Windows_Legal\Windows_Legal\Windows_Legal\KeyGen.exe (Malware.Tool) -> Erfolgreich gelöscht und in Quarantäne gestellt.
L:\Dokumente und Einstellungen\Salva\Lokale Einstellungen\Temp\Windows_Legal\Windows_Legal\Windows_Legal\wga-fix.exe (Hacktool.WGAFix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\Users\SALVA\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\4e4076ce-1aae3e55 (Trojan.Inject.bh) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\Users\SALVA\Desktop\BringMeSports.exe (Adware.FunWeb) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\Program Files\BringMeSports_1cEI\Installr\1.bin\1cEZSETP.dll (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\Program Files\LP\B0E2\DA57.exe (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Das mal von mir.

Vielen Dank für eure Mühe(n) im Vorraus!

Grüßle Alex

markusg 22.02.2012 18:37
hi,
da du keygens nutzt, und dies illegal ist, wirst du hier nur hilfe beim formatieren, neu aufsetzen und absichern des pcs bekommen.

Baustelle 22.02.2012 18:42
Äh ok, wenn du mich jetzt über keygens aufklärst kann ich vielleicht nachvollziehen warum ich so eine Aussage bekomme?!

Grüßle Alex

Nachtrag: Dieses keygens wurde doch von Malwarebytes gefunden und gelöscht!?

markusg 22.02.2012 19:05
L:\Dokumente und Einstellungen\Salva\Lokale Einstellungen\Temp\Windows_Legal\Windows_Legal\Windows_Legal\KeyGen.exe (Malware.Tool) -> Erfolgreich gelöscht

und hier das tool um die gültigkeitsprüfung von windows zu umgehen:
L:\Dokumente und Einstellungen\Salva\Lokale Einstellungen\Temp\Windows_Legal\Windows_Legal\Windows_Legal\wga-fix.exe (Hacktool.WGAFix) -> Erfolgreich gelöscht
und in Quarantäne gestellt.

Baustelle 22.02.2012 19:23
Jetzt bitte nochmal zuhören. Auf diesem Laptop sind (wenn ich das richtig weiß) mal 3 Betriebssysteme installiert gewesen. Vista, XP und Win7. Ich nutze nur Win 7, alles andere geht nicht mehr. Mehr kann ich nicht sagen.

markusg 22.02.2012 19:25
hi, und wie du in den regeln die hier im diesem unterforum lesen konntest unterstützen wir keine keygens.
http://www.trojaner-board.de/95393-c...-software.html
du hattest also die möglichkeit dementsprechende maßnamen zu treffen.

Baustelle 22.02.2012 19:29
Ich habe nichts dergleichen benutzt.

Danke trotzdem

Grüßle Alex


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131