Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Computer gesperrt Bundespolizei 100 Euro Trojaner (https://www.trojaner-board.de/126191-computer-gesperrt-bundespolizei-100-euro-trojaner.html)

Maggy257 27.10.2012 15:38
Computer gesperrt Bundespolizei 100 Euro Trojaner
 
Hallo...
ich habe mir gestern Abend anscheinend einen Trojaner eingefangen. :heulen:
Hier im Forum habe ich einen Beitrag vom 29.07.2012 zu dem gleichen Thema gefunden und folgende Schritte bereits durchgeführt:

1. OTL.exe runtergeladen
2. Scan gem. Angaben durchgeführt

Die beiden Logfiles Extras- und OTL-Editor habe ich angehängt.

Kann mir jemand weiterhelfen?

Vielen lieben Dank im Voraus! :dankeschoen:
LG

cosinus 27.10.2012 21:41
Schon irgendwelche Scans gemacht? Wenn ja => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Maggy257 28.10.2012 15:07
Hallo Cosinus,

erstmal vielen Dank für die schnelle Antwort.

Ich habe bereits einen Scan mit Avira Free Antivirus gemacht. Dort wurde aber nichts gefunden. Das Problem ist, dass der Rechner jetzt 33 Tage nicht im Netz war und somit die Antivir-Version nicht mehr aktuell ist. Der Rechner wird nur von meinen Freund genutzt und er achtet auch nicht immer darauf, sein Antivir zu aktualisieren. :stirn:

Ich hab Gott sei Dank noch meinen Laptop, über den ich jetzt versuche das Problem zu lösen bzw. Hilfe zu finden. Ich habe ein Programm von Kaspersky gefunden, dass angeblichen helfen soll und es auf CD gebrannt. Um das zu starten muss ich aber mit F8 im abgesicherten Modus starten. Jetzt habe ich aber noch das Problem, dass die Tastatur erst Strom hat wenn der Computer hochgefahren ist und vorher gar nicht reagiert!? Das ist doch nicht normal, oder? Kann das vielleicht auch mit dem Trojaner zusammen hängen?


Viele Grüsse

cosinus 28.10.2012 15:32
Beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
IE - HKU\S-1-5-21-220523388-1644491937-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:63273
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 63273
FF - prefs.js..network.proxy.type: 4
O4 - Startup: E:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\ctfmon.lnk = E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsass.exe (Microsoft Corporation)
:Files
E:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\ctfmon.lnk
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsass.exe
E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.pad
E:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\E5DE.772
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Berichte mir bitte ob nach dem Fix ob der Rechner immer noch gesperrt ist.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Maggy257 28.10.2012 16:23
Hallo Cosinus...

vielen, vielen, vielen lieben Dank!!! :applaus: :daumenhoc

Es hat funktioniert, wir können wieder ganz normal ins Internet ohne das dieser blöde Trojaner erscheint und alles blockiert!!! :singsing:

Das was zum Schluss rausgekommen ist, hab ich angehängt.

Ist der Trojaner denn jetzt komplett weg oder müssen wir noch was machen?
Kannst Du uns eventuell ein gutes kostenloses Antvirenprogramm empfehlen?

Vielen lieben Dank nochmal! Das ist echt spitze, dass Du uns so schnell geholfen hast und das auch noch an einem Sonntag!

Viele Grüße
Maggy

cosinus 28.10.2012 16:30
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Maggy257 28.10.2012 17:09
Da haben wir uns wohl zu früh gefreut. :rolleyes:

Hab alles durchgeführt und die Datei angehängt. Sie ist zu gross um sie hier einzufügen. Bis jetzt sind keine Probleme beim Öffnen von anderen Anwendungen aufgetreten.

Viele Grüße

cosinus 28.10.2012 17:34
Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Maggy257 28.10.2012 18:04
Soll ich beide Laufwerke C und E scannen? Bei GMER war nur E voreingestellt. Das hab ich leider erst gesehen nachdem ich schon gestartet habe. :wtf:

Der GMER Scan läuft jetzt schon 2,5 Std. und ist immer noch nicht fertig. :schmoll:

Maggy257 28.10.2012 22:07
So, nun nach ein paar Stunden hab ich alles erledigt. Die txt-Dateien von GMER und aswMBR hab ich Dir angehängt.
LG

cosinus 29.10.2012 08:13
Die folgenden Logs bitte nur in den Anhang (gezippt) legen, wenn sie zu groß sind um direkt gepostet zu werden!
Ansonsten bitte alles nach Möglichkeit hier in CODE-Tags posten. Das ist einfacher übersichtlicher und man spart sich ne Menge Rumklickerei

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log



adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Suche.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Maggy257 29.10.2012 18:17
Ok, ich wußte nicht wie das geht. :stirn:

Dann versuche ich es mal...

Also hier das log von AdwCleaner:

Code:
# AdwCleaner v2.005 - Datei am 29/10/2012 um 18:11:41 erstellt
# Aktualisiert am 14/10/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Besitzer - SOFTWARE-03FC54
# Bootmodus : Normal
# Ausgeführt unter : E:\Dokumente und Einstellungen\Besitzer\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : E:\Programme\Mozilla FireFox\Components\AskSearch.js
Ordner Gefunden : E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
Ordner Gefunden : E:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DVDVideoSoft
Ordner Gefunden : E:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\iWin
Ordner Gefunden : E:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\DVDVideoSoft
Ordner Gefunden : E:\Programme\Conduit
Ordner Gefunden : E:\Programme\DVDVideoSoft
Ordner Gefunden : E:\Programme\Gemeinsame Dateien\DVDVideoSoft

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Conduit
Schlüssel Gefunden : HKCU\Software\DVDVideoSoft
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}
Schlüssel Gefunden : HKCU\Toolbar
Schlüssel Gefunden : HKLM\Software\AskBarDis
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{00B91DCE-6D79-4901-8066-5669CC62B84D}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{C15527D7-6EDB-4D33-B124-0679F94FC97F}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Toolbar.CT2269050
Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\Software\DVDVideoSoft
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C49A9E05-0D97-4CE3-9F08-27F105FB738A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F44305FA-93DF-41D8-9F4A-49AFBBF2557A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DVDVideoSoft Toolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C15527D7-6EDB-4D33-B124-0679F94FC97F}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DVDVideoSoft Toolbar
Schlüssel Gefunden : HKU\S-1-5-21-220523388-1644491937-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKU\S-1-5-21-220523388-1644491937-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}]

***** [Internet Browser] *****

-\\ Internet Explorer v7.0.5730.13

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [4100 octets] - [29/10/2012 18:11:41]

########## EOF - E:\AdwCleaner[R1].txt - [4160 octets] ##########

cosinus 31.10.2012 15:04
Versuch bitte alle im adwCleaner-Log erwähnten Einträge (iWin, AskSearch, Conduit usw.) über die Systemsteuerung zu deinstallieren, danach ein neues Suchlog mit dem adwCleaner machen.
Reste und was sich nicht deinstallieren lassen will machen wir mit dem adwCleaner weg.

Maggy257 01.11.2012 14:15
Hallo Cosinus...
da bin ich wieder.
Leider konnte ich nicht alles deinstallieren. :confused:

Hier das neue Suchlog:

Code:
# AdwCleaner v2.005 - Datei am 01/11/2012 um 14:10:31 erstellt
# Aktualisiert am 14/10/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Besitzer - SOFTWARE-03FC54
# Bootmodus : Normal
# Ausgeführt unter : E:\Dokumente und Einstellungen\Besitzer\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gefunden : E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
Ordner Gefunden : E:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DVDVideoSoft
Ordner Gefunden : E:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\iWin
Ordner Gefunden : E:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\DVDVideoSoft
Ordner Gefunden : E:\Programme\DVDVideoSoft
Ordner Gefunden : E:\Programme\Gemeinsame Dateien\DVDVideoSoft

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Conduit
Schlüssel Gefunden : HKCU\Software\DVDVideoSoft
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}
Schlüssel Gefunden : HKCU\Toolbar
Schlüssel Gefunden : HKLM\Software\AskBarDis
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{00B91DCE-6D79-4901-8066-5669CC62B84D}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{C15527D7-6EDB-4D33-B124-0679F94FC97F}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Toolbar.CT2269050
Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\Software\DVDVideoSoft
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C49A9E05-0D97-4CE3-9F08-27F105FB738A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F44305FA-93DF-41D8-9F4A-49AFBBF2557A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DVDVideoSoft Toolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C15527D7-6EDB-4D33-B124-0679F94FC97F}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DVDVideoSoft Toolbar
Schlüssel Gefunden : HKU\S-1-5-21-220523388-1644491937-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKU\S-1-5-21-220523388-1644491937-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}]

***** [Internet Browser] *****

-\\ Internet Explorer v7.0.5730.13

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R2].txt - [4118 octets] - [01/11/2012 14:07:36]
AdwCleaner[R3].txt - [4049 octets] - [01/11/2012 14:10:31]

########## EOF - E:\AdwCleaner[R3].txt - [4109 octets] ##########

cosinus 01.11.2012 16:53
adwCleaner bitte neu runterladen, es gibt eine neue Version


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:56 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19