Trojaner-Board
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verschlüsselungstrojaner (https://www.trojaner-board.de/115446-verschluesselungstrojaner.html)

cosinus 01.07.2012 16:02
Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

paule11 03.07.2012 13:58
Hallo Arne,
habe im abgesicherten Modus,mit Netzwerktreibern,Win7 neu gestartet.Doch das Fixen von OTL funktioniert nicht. Erhalte immer wieder den Blue Screen.
PC geblockt.
Danke
Paule11

cosinus 03.07.2012 14:55
Probier das hier mal als Fixscript

Code:
:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://www.web.de/"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=109986&tt=171011_prot&babsrc=KW_ss&mntrId=422cd4650000000000000015835015af&q="
FF - user.js - File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ocr@babylon.com: C:\Program Files\Babylon\Babylon-Pro\Plugins\ocr@babylon.com [2012.04.01 13:18:15 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\adapter@babylontc.com: C:\Program Files\Babylon\Babylon-Pro\TC\adapter@babylontc.com [2012.04.01 13:18:15 | 000,000,000 | ---D | M]
[2012.04.29 12:11:29 | 000,000,000 | ---D | M] (Click&Clean) -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\pj1hyd81.tarnfox\extensions\clickclean@hotcleaner.com
[2012.05.19 14:27:14 | 000,000,000 | ---D | M] ("I Want This") -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\pj1hyd81.tarnfox\extensions\crossriderapp2258@crossrider.com
[2012.06.02 18:15:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions
[2012.05.19 14:27:13 | 000,000,000 | ---D | M] ("I Want This") -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions\crossriderapp2258@crossrider.com
[2011.12.25 15:57:32 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions\ffxtlbr@babylon.com
[2012.05.12 15:36:38 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions\toolbar@ask.com
[2009.10.20 10:47:24 | 000,002,256 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\djxnfNsQTODXNsuaO
[2011.11.03 19:57:54 | 000,002,419 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\DvXrsUAxnfyqtoUAGLVqt
[2011.11.07 13:37:58 | 000,000,923 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\glVytoUjLVqtEUvXN
[2011.11.03 19:57:54 | 000,000,933 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\JJLJJLjlljllxUD
[2011.11.03 19:57:54 | 000,010,525 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\odGLfqtETglJpruaglvp
[2010.10.20 20:57:28 | 000,005,550 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\oDvXNsuODJXNesodAxnf
[2011.11.03 19:57:54 | 000,002,457 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\qtodAGLVytoUAGLfytE
[2012.05.19 14:27:02 | 000,002,354 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)
O2 - BHO: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\Toolbar\WebBrowser: (MyAshampoo Toolbar) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 181
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 67108251
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 247
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 0
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2005.11.17 16:06:10 | 000,000,069 | -H-- | M] () - E:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2009.03.30 12:32:46 | 000,000,288 | ---- | M] () - G:\Autorun.inf -- [ NTFS ]
O33 - MountPoints2\{0006390b-06b4-11e1-9fb1-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{00063912-06b4-11e1-9fb1-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{0a7c0dbc-4c9e-11e1-b80e-8cf2f02cb628}\Shell - "" = AutoRun
O33 - MountPoints2\{0c1c2393-2252-11e0-8228-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{100d4ecf-23d1-11e1-b0fc-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{100d4ed2-23d1-11e1-b0fc-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{3249c581-aa19-11e1-abaa-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{3249c581-aa19-11e1-abaa-00a0d1a41db2}\Shell\AutoRun\command - "" = E:\SealOne.exe
O33 - MountPoints2\{6f93e73c-2427-11e1-bcbf-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{6f93e73f-2427-11e1-bcbf-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{84d0b483-74e5-11e1-95f6-c1709df6c37e}\Shell - "" = AutoRun
O33 - MountPoints2\{96cda11e-1135-11e0-9042-9e7ea5844deb}\Shell\AutoRun\command - "" = H:\fscommand\LS_Start_Launch.cmd
O33 - MountPoints2\{96cda11e-1135-11e0-9042-9e7ea5844deb}\Shell\Launcher\command - "" = H:\fscommand\LS_Start_Launch.cmd
O33 - MountPoints2\{9e286fc6-27ea-11e1-b944-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{fd3b5308-27ec-11e1-9ad3-00a0d1a41db2}\Shell - "" = AutoRun
[2011.12.07 18:08:25 | 000,000,000 | ---- | C] () -- C:\Users\Brockhoff\AppData\Local\gAxvXjlJnVNssX
[2011.11.27 19:41:09 | 000,000,201 | ---- | C] () -- C:\Program Files\0LK6D98M.bat
[2011.11.23 20:42:15 | 000,000,000 | ---- | C] () -- C:\Users\Brockhoff\AppData\Local\sEOGyQUlnNsavfsoOG
[2012.05.19 15:38:41 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Babylon
[2012.05.16 19:09:53 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Wjngc
[2012.05.19 15:38:23 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Wvixyps
@Alternate Data Stream - 185 bytes -> C:\ProgramData\TEMP:CAEDBDA6
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:DBC416F8
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

paule11 10.07.2012 21:06
Hallo Trojaner Board,
habe ,nach meinem wissen, die Vorgaben von Euch, so wie vorgegeben,durchgeführt.
Mit OTL und den vorgegebenen Scan angaben, dann FIX angeklickt, erhalte ich immer den Blue Screen.
Momentan habe ich Ruhe mit einem Störenfried. Normal oder trügerische Ruhe.
Öffne nicht, bzw lösche alle mit unbekannten Mails, mit u. ohne Anhang.Mit dem Programm : Stellar Phoenix Windows Data Recovery-Hom, konnte ich einen erheblichen teil meiner Daten wieder benutzbar herstellen.
Bin ich da auf einer richtigen Schiene.
Danke
Paule11

cosinus 11.07.2012 08:10
Dann kürzen wir das Script noch weiter
Stell auch sicher, dass du die OTL.exe neu heruntergeladen hast, damit du ja die aktuelle Version von OTL auch verwendest!

Code:
:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 181
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 67108251
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 247
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 0
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2005.11.17 16:06:10 | 000,000,069 | -H-- | M] () - E:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2009.03.30 12:32:46 | 000,000,288 | ---- | M] () - G:\Autorun.inf -- [ NTFS ]
O33 - MountPoints2\{0006390b-06b4-11e1-9fb1-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{00063912-06b4-11e1-9fb1-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{0a7c0dbc-4c9e-11e1-b80e-8cf2f02cb628}\Shell - "" = AutoRun
O33 - MountPoints2\{0c1c2393-2252-11e0-8228-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{100d4ecf-23d1-11e1-b0fc-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{100d4ed2-23d1-11e1-b0fc-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{3249c581-aa19-11e1-abaa-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{3249c581-aa19-11e1-abaa-00a0d1a41db2}\Shell\AutoRun\command - "" = E:\SealOne.exe
O33 - MountPoints2\{6f93e73c-2427-11e1-bcbf-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{6f93e73f-2427-11e1-bcbf-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{84d0b483-74e5-11e1-95f6-c1709df6c37e}\Shell - "" = AutoRun
O33 - MountPoints2\{96cda11e-1135-11e0-9042-9e7ea5844deb}\Shell\AutoRun\command - "" = H:\fscommand\LS_Start_Launch.cmd
O33 - MountPoints2\{96cda11e-1135-11e0-9042-9e7ea5844deb}\Shell\Launcher\command - "" = H:\fscommand\LS_Start_Launch.cmd
O33 - MountPoints2\{9e286fc6-27ea-11e1-b944-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{fd3b5308-27ec-11e1-9ad3-00a0d1a41db2}\Shell - "" = AutoRun
[2011.12.07 18:08:25 | 000,000,000 | ---- | C] () -- C:\Users\Brockhoff\AppData\Local\gAxvXjlJnVNssX
[2011.11.27 19:41:09 | 000,000,201 | ---- | C] () -- C:\Program Files\0LK6D98M.bat
[2011.11.23 20:42:15 | 000,000,000 | ---- | C] () -- C:\Users\Brockhoff\AppData\Local\sEOGyQUlnNsavfsoOG
[2012.05.19 15:38:41 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Babylon
[2012.05.16 19:09:53 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Wjngc
[2012.05.19 15:38:23 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Wvixyps
@Alternate Data Stream - 185 bytes -> C:\ProgramData\TEMP:CAEDBDA6
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:DBC416F8
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

paule11 12.07.2012 18:35
Hallo Trojaner-Board Team,
nu hat s funktioniert.
Habe OTL.exe neu geladen und die Scandaten im abgesicherten Modus mit dem reduzierten Inhalt der Scanbox kopiert dann gescannt.
Den Scan füge ich bei.
Danke
Paule11

cosinus 12.07.2012 19:39
Die Logs bitte NICHT als Anhang posten! Nur dann wenn sie zu groß sind!
Grundsätzlich direkt in den Beitrag mit CODE-Tags umschlossen!

paule11 18.07.2012 17:53
Hallo Trojaner-Board,
habe verzweifelt versucht das Log im Beitrag mit CODE-Tags umschlossen zu versenden.
Hat nicht geklappt,bin doch nicht zu Bl..
Gruß
Paule11

cosinus 19.07.2012 10:15
Es steht doch da wie du das machen sollst!!


[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

paule11 19.07.2012 17:28
Hier kommt die Antwort

Entschuldigung habe versehentlich Datenfreigabe gedrückt.
Paule11

paule11 27.07.2012 17:07
Hallo Trojaner-Board,
habe den Scan der OTL.text vom 12.07.2012 nicht in das vorgeschriebene Format gepackt.
Hoffe aber , das ich trotzallem eine Antwort erhalten werde.
Danke
Paule 11

cosinus 27.07.2012 20:55
Ich dachte eigentlich du postest es nochmal richtig :wtf:


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:45 Uhr.
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131