Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HTML/FakeAlert.AP Virus - brauche Hilfe ihn wieder los zu werden (https://www.trojaner-board.de/112278-html-fakealert-ap-virus-brauche-hilfe-ihn-los.html)

abaer23 25.03.2012 14:45
HTML/FakeAlert.AP Virus - brauche Hilfe ihn wieder los zu werden
 
Hallo zusammen,
leider habe ich mir den HTML/FakeAlert.AP Virus eingefangen, sagt zumindestens mein Avira Scanner. Ich brauche also Hilfe den wieder los zu werden. Ich hoffe der hat nicht mein System schon hingerichtet.

Ich habe die Logfiles mit DDS gemacht. Ich habe Vista 64bit also habe ich den GMER nicht gemacht, hoffe das war richtig?

Kann mir wer helfen das Ding wieder los zuwerden, vielen Dank schonmal im vorraus.

abaer23

markusg 25.03.2012 18:35
hi
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

abaer23 25.03.2012 19:54
Hallo und vielen Dank schonmal fuer die Reaktion. Anbei die Files aus dem Scan> Waren ein bisschen gross deshalb der Zip File. Hoffe das geht auch

markusg 26.03.2012 10:25
hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
[2012/03/24 00:15:42 | 000,000,866 | ---- | M] () -- C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wpbt0.dll.lnk
[2012/03/24 00:15:42 | 000,220,712 | ---- | M] (afdasfd Corporation) -- C:\Users\Anna\Local Settings\Temp\wpbt0.dll
 :Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

abaer23 26.03.2012 17:35
Hi nochmal,

also anbei der Textfile der nach dem Reboot aufkam.

Den MovedFiles Folder habe ich gezippt und im UpLoadChannel hochgeladen.

Vielen Dank fuer die Hilfe.


Textfile:


ll processes killed
========== OTL ==========
File C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wpbt0.dll.lnk not found.
File C:\Users\Anna\Local Settings\Temp\wpbt0.dll not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Anna
->Flash cache emptied: 3261333 bytes

User: Default

User: Default User

User: Public

Total Flash Files Cleaned = 3.00 mb


[EMPTYTEMP]

User: All Users

User: Anna
->Temp folder emptied: 811897118 bytes
->Temporary Internet Files folder emptied: 3169809758 bytes
->Java cache emptied: 34530701 bytes
->FireFox cache emptied: 152790232 bytes
->Google Chrome cache emptied: 6395358 bytes
->Apple Safari cache emptied: 14336 bytes
->Flash cache emptied: 0 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2228282023 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33237 bytes
RecycleBin emptied: 9679133551 bytes

Total Files Cleaned = 15,338.00 mb


OTL by OldTimer - Version 3.2.39.2 log created on 03262012_181344

Files\Folders moved on Reboot...
C:\Users\Anna\AppData\Local\Temp\wpbt0.dll moved successfully.

Registry entries deleted on Reboot...

markusg 26.03.2012 18:41
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

abaer23 28.03.2012 21:28
Hi,
sorry war gestern gar nicht an meinem Computer. Habe heute Combofix laufen lassen und folgender Log ist dabei rausgekommen

markusg 29.03.2012 09:51
hi
nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

abaer23 29.03.2012 09:52
Hin und wieder ja - sowohl für privat als auch für berufliches

markusg 29.03.2012 09:59
ich sehe hier einen trojan.banker.
wenn du onlinebanking machst, lasse es also sperren
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

abaer23 29.03.2012 10:09
Oh je.

Ich habe noch nie formatiert. Ich habe meinen PC machen lassen bei DELL
Muss ich wohl daheim schauen ob ich da eine CD habe, ich glaube aber schon.

markusg 29.03.2012 10:40
ok meld dich dann einfach.


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19