Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Metzes Neues Problem: Bitte warten sie während die Verbindung hergestellt wird (https://www.trojaner-board.de/112839-metzes-neues-problem-bitte-warten-waehrend-verbindung-hergestellt.html)

Metz 01.04.2012 12:57

Metzes Neues Problem: Bitte warten sie während die Verbindung hergestellt wird
 
Servus,

nachdem Ihr mir hier schon erfolgreich geholfen habt:

http://www.trojaner-board.de/106792-...-gesperrt.html


hätte ich eure Hilfe erneut nötig.

Diesmal gehts um das Notebook der Eltern,
das den bekannten Weissen Screnn mit Meldung
"Bitte warten sie während die Verbindung hergestellt wird"
zeigt.

Abgesicherter Modus geht nicht.
Hab die OTLPENET.exe von euch gezogen und ausgeführt / gebrannt.

OTL PE wurde ausgeführt.
Im Anhang die .txt Dateien.

Wäre klasse wenn Ihr mir erneut helfen könnt.
Gruss und Dank,
Michael.


PS: Spielt es ne Rolle das es hier wieder zwei Benutzer gibt?
Hab für den OTL lauf den Administrator genommen und alles auf Use Safe List / Minimal Output gestellt.

markusg 01.04.2012 13:46

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:

:OTL
 
[2012.03.30 20:09:11 | 000,000,000 | ---D | C] -- C:\Users\Dave\AppData\Roaming\11005
[2012.03.28 12:45:57 | 000,000,000 | ---D | C] -- C:\Users\Dave\AppData\Roaming\11004
[2012.03.27 17:26:23 | 000,000,000 | ---D | C] -- C:\Users\Dave\AppData\Roaming\UAs
 :Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]



• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Metz 01.04.2012 14:12

Servus Markus,


werkelt nicht.

Der Screen is Leider immer noch da.
Habs jetzt 2x wie beschrieben durchgeführt.
Was mir auffällt ist, das ich gestern noch zwischen Admin und User Benutzerkonto wählen konnte, jetzt der Screen aber gleich ohne Benutzerauswahl kommt.

markusg 01.04.2012 16:09

ab wann genau gehts nicht?

Metz 01.04.2012 16:16

Ich starte den PC von Boot CD,
dann starte ich OTL, kopiere dort

Code:

:OTL
 
[2012.03.30 20:09:11 | 000,000,000 | ---D | C] -- C:\Users\Dave\AppData\Roaming\11005
[2012.03.28 12:45:57 | 000,000,000 | ---D | C] -- C:\Users\Dave\AppData\Roaming\11004
[2012.03.27 17:26:23 | 000,000,000 | ---D | C] -- C:\Users\Dave\AppData\Roaming\UAs
 :Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

rein und warte bis OTL die Meldung mit m Reboot bringt.
Das bestätige ich und warte.
Neustarten tut er von selbst ned, also geh ich hin, und starte den PC übers Menü von mir aus neu. (In der untersten Leiste von OTL steht das er Fertig ist, gehe daher von aus das der Scan und die Veränderung stattgefunden hat.)

Wenn ich den PC dann normal hochfahren lasse, also von HDD, hab ich immer noch den weißen Screen. :wtf:


Und wie geschrieben hab ich auch die Benutzerkontenauswahl nicht mehr.


Ich verstehe die Eingabe in OTL sowieso nicht. Ich habe keinen User mit Namen "Dave" angelegt / angelegt gehabt.
Dort sollte es nur den "Administrator" und "User" geben.

Metz 01.04.2012 16:50

Ich hab glaub nen Fehler gemacht als ich OTL das erste mal hab laufen lassen.

Und zwar habe ich mich im Forum vorab etwas umgesehn und dabei dieses Posting entdeckt und ging von aus das es sich dabei um ne Voraussetzung handelt diese Dateinamen in die OTL Textbox einzufügen bevor der Scan gestartet wird:


http://www.trojaner-board.de/112654-...rgestellt.html

Codebox / Posting 2

:stirn:


Daher hier nochmal eine OTL.txt und Extra.txt ohne vorherige Eingabe in die Textbox.
Wenn das vorher n Fehler war, bitte ich um Nachsicht. Wollts nur richtig machen und habs missverstanden.

markusg 01.04.2012 19:39

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:

:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\User\Anwendungsdaten\hw56suzj11.exe) - C:\Dokumente und Einstellungen\User\Anwendungsdaten\hw56suzj11.exe (lyqU)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\User\Anwendungsdaten\hw56suzj11.exe) - C:\Dokumente und Einstellungen\User\Anwendungsdaten\hw56suzj11.exe (lyqU)
O20 - HKU\Administrator.EXTENSA-F95D766.000_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator.EXTENSA-F95D766.000\Anwendungsdaten\hw56suzj11.exe) -  File not found
O20 - HKU\Administrator.EXTENSA-F95D766.000_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator.EXTENSA-F95D766.000\Anwendungsdaten\hw56suzj11.exe) -  File not found
O20 - HKU\User_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\User\Anwendungsdaten\hw56suzj11.exe) - C:\Dokumente und Einstellungen\User\Anwendungsdaten\hw56suzj11.exe (lyqU)
O20 - HKU\User_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\User\Anwendungsdaten\hw56suzj11.exe) - C:\Dokumente und Einstellungen\User\Anwendungsdaten\hw56suzj11.exe (lyqU)
O4 - HKLM..\Run: [ZPseiK15zRSy1wG] C:\Dokumente und Einstellungen\User\Anwendungsdaten\hw56suzj11.exe (lyqU)
O4 - HKU\Administrator.EXTENSA-F95D766.000_ON_C..\Run: [ZPseiK15zRSy1wG]  File not found
O4 - HKU\User_ON_C..\Run: [Userreal] C:\Dokumente und Einstellungen\User\Anwendungsdaten\Cscpnp\mscom.exe ()
O4 - HKU\User_ON_C..\Run: [ZPseiK15zRSy1wG] C:\Dokumente und Einstellungen\User\Anwendungsdaten\hw56suzj11.exe (lyqU)
O4 - Startup: C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\0.11669115237371042.exe.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\0.803914074607707767f76.exe.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft
O4 - Startup: C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\0.9653307210107116.exe.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\0.9689950527462681.exe.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\wpbt0.dll.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\User_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
:Files
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Cscpnp
:Commands
[Reboot]



dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Metz 01.04.2012 19:59

Bist Grossartig :applaus:

Ich weiss deine Zeit ist Kostbar. Hab da aber ne kurze Frage.
Bei dem Trojaner oder was immer das auch ist, wie kommt der auf n PC wenn man keine Porns, P2p oder BT und Warez oder Schmarn wie Facebook ect verwendet?

Beim NB meiner Eltern hät ich damit am wenigsten gerechnet?
Hätte Emisoft das auch verhindert?

Im Anhang die txt Datei die OTL nach Neustart rausgehaun hat.
(Musste die von .log zu .txt umbenennen, da der Uploadvorgang nicht klappte - EVTL lags auch nur am langen Namen...)

Macht Ihr das alles Ehrenamtlich?
Find dazu keine Stellungnahme auf m Board.
Du bist ja den ganzen Tag nur am Rödeln um sorglosen Geistern wie mir zu helfen. Find ich schon anstrengend. :dankeschoen:

Spende folgt wie beim letztenmal, nur wirds desmal paar Tage dauern. Aber die kommt. Sicher. Ehrensache. (Hast DU auch was davon?)

markusg 02.04.2012 13:59

hi,
1. der upload fehlt.
2. emsisoft hätte es sehr warscheinlich verhindert.
3. kann man sich ja zb auf normalen seiten infizieren die gehakt wurden. deswegen müssen ja auch alle pcs sicher konfiguriert werden
ja, wir machen das in unserer freizeit, und finanzieren das forum durch spenden :-)
bitte auch nicht vergessen, alle im bekannten kreise, arbeitsstelle, etc vor diesem abzock trojaner zu warnen.
bei problemen können sie sich hier melden.

Metz 24.04.2012 11:37

Servus Jungs,

ich hab mit dem Laptop meiner Eltern wieder n Problem.

Vorweg.
Sry das des damals nemme mit dem Upload geklappt hat.
Es ging damals drunter und drüber. Die Zeit hat gefehlt, das NB hab ich wieder weitergegeben.

Es wurd daher auch kein Emisoft AMW mehr installiert.

Ich würd gern den Thread für das weiterführen da es sich wieder um so nem BKA Tronjaner handelt, desmal nicht in weiss, sondern Schick mit Deutschlandfarbenem banner und UCASH Aufforderung.

Ich hab euch hier die OTL und Extra TXT.
Selbes Spiel wie früher, kein abgesicherter Modus geht, daher mit Reatogo und OTLPEnet.exe ausgelesen.


Danke euch,

Michael.

markusg 24.04.2012 13:04

falls du deinen nutzernamen geendert hast, passe ihn im script an
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:

:OTL
O4 - HKLM..\Run: [klojtwwxoqkciwq] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mxlxqkjppcqlfkhzyofm.exe ()
O4 - HKU\User_ON_C..\Run: [alego.exe] C:\Dokumente und Einstellungen\User\Anwendungsdaten\Nuyqd\alego.exe ()
O4 - HKU\User_ON_C..\Run: [klojtwwxoqkciwq] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mxlxqkjppcqlfkhzyofm.exe ()
O20 - HKLM Winlogon: Shell - (explorer_new.exe) - C:\WINDOWS\explorer_new.exe ()
O20 - HKU\Administrator.EXTENSA-F95D766.000_ON_C Winlogon: Shell - (c:\dokumente und einstellungen\administrator.extensa-f95d766.000\anwendungsdaten\hw56suzj11.exe) -  File not found
O20 - HKU\User_ON_C Winlogon: Shell - (c:\dokumente und einstellungen\user\anwendungsdaten\hw56suzj11.exe) -  File not found
[2012/04/24 13:14:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gsfskgffzuxzigb
:Files
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun\Java\Deployment\cache
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mxlxqkjppcqlfkhzyofm.exe
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Nuyqd
C:\WINDOWS\explorer_new.exe
:Commands
[Reboot]



dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.



falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Metz 24.04.2012 14:09

Er werkelt wieder.

Hab euch die Moved_Files hochgeladen.
Hoffe des passt so.

markusg 24.04.2012 14:49

danke
nutzt ihr den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem?

Metz 24.04.2012 15:43

Ab und an mal Paypal.
Onlinebanking selbst nicht.
S Übliche wie Ebay und Otto.
Beruflich nur für die Umsatzsteuer-Voranmeldung.

S Problem ist die Mutter.
Die meint jetzt der Arbeit wegen mit m Notebook umgehn zu müssen und schrottet Tag für Tag was neues.

Werd des NB am WE Platt machen und der ne VMWare aufsetzen die se na schrotten kann. Ich bins langsam leid.
Hätte denen nie n NB schenken dürfen...

markusg 24.04.2012 15:55

ja, das gerät muss neu aufgesetzt werden.
außerdem onlinebanking sperren und alle passwörter endern.
mach ihr doch emsisoft auf den pc und setze alles komplett um, was ich dir im andern thread gesagt hab, dann ist nen backup etc dabei und dann ist so was hier nur ne arbeit von 15-30 minuten


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131