Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Win32/Spy.Zbot.AAO: Online-Banking Trojaner? Firefox reagiert nicht, tidu.exe im Task-Manager (https://www.trojaner-board.de/134756-win32-spy-zbot-aao-online-banking-trojaner-firefox-reagiert-tidu-exe-task-manager.html)

M-K-D-B 11.05.2013 14:52
Servus,



ok, das hat nicht funktioniert. Wir machen einen neuen Scan:

Code:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg /S
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg /S /64
  • Schließe bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Nichts und danach den Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Pato1990 11.05.2013 14:58
OTL.Tx´t
Code:
OTL logfile created on: 11.05.2013 15:57:15 - Run 2
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\***\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.10.9200.16540)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,88 Gb Total Physical Memory | 2,89 Gb Available Physical Memory | 74,55% Memory free
7,76 Gb Paging File | 6,69 Gb Available in Paging File | 86,11% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 465,76 Gb Total Space | 433,79 Gb Free Space | 93,14% Space Free | Partition Type: NTFS
Drive E: | 19,53 Gb Total Space | 19,44 Gb Free Space | 99,55% Space Free | Partition Type: NTFS
Drive F: | 48,82 Gb Total Space | 46,97 Gb Free Space | 96,21% Space Free | Partition Type: NTFS
Drive G: | 48,82 Gb Total Space | 18,84 Gb Free Space | 38,59% Space Free | Partition Type: NTFS
Drive H: | 57,62 Gb Total Space | 41,60 Gb Free Space | 72,20% Space Free | Partition Type: NTFS
Drive I: | 58,07 Gb Total Space | 41,78 Gb Free Space | 71,95% Space Free | Partition Type: NTFS
 
Computer Name: ***-PC | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Custom Scans ==========
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg /S >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg /S /64 >
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\Skype]
"key" = SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"item" = Skype
"hkey" = HKCU
"command" = C:\Program Files (x86)\Skype\Phone\Skype.exe -- [2013.01.08 13:59:26 | 018,705,664 | R--- | M] (Skype Technologies S.A.)
"inimapping" = 0
"YEAR" = 2013
"MONTH" = 5
"DAY" = 11
"HOUR" = 12
"MINUTE" = 48
"SECOND" = 34
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\Ynunqo]
"key" = SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"item" = Ynunqo
"hkey" = HKCU
"command" = C:\Users\***\AppData\Roaming\Qesoi\tidu.exe
"inimapping" = 0
"YEAR" = 2013
"MONTH" = 5
"DAY" = 10
"HOUR" = 14
"MINUTE" = 34
"SECOND" = 7

< End of report >

M-K-D-B 11.05.2013 15:02
Servus,



boah wie mich das 64bit nervt... :headbang:

Versuch mal bitte folgenden Fix, poste die Logdatei und berichte:


Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Shared Tools\MSConfig\StartUpReg\Ynunqo]

:Commands
[reboot]
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

Pato1990 11.05.2013 15:07
Wieder nicht... :headbang:

05112013_160407.log
Code:
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Shared Tools\MSConfig\StartUpReg\Ynunqo\ not found.
========== COMMANDS ==========
 
OTL by OldTimer - Version 3.2.69.0 log created on 05112013_160407

M-K-D-B 11.05.2013 15:15
Langsam nervt mich das... :headbang:



Lade SystemLook von jpshortstuff vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop.
SystemLook (64 bit)
  • Doppelklicke auf die SystemLook_x64.exe, um das Tool zu starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
    Code:
    :regfind
    Ynunqo
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Der Suchlauf kann einige Zeit dauern.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Pato1990 11.05.2013 15:17
Gesagt, getan...

SystemLook.txt
Code:
SystemLook 30.07.11 by jpshortstuff
Log created at 16:16 on 11/05/2013 by ***
Administrator - Elevation successful

========== regfind ==========

Searching for "Ynunqo"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ynunqo]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ynunqo]
"item"="Ynunqo"

-= EOF =-

M-K-D-B 11.05.2013 15:21
Servus,


ähm... ok. :wtf:


Jetzt bin ich aber gespannt:



Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ynunqo]

:Commands
[reboot]
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

Pato1990 11.05.2013 15:28
Eintrag immernoch vorhanden :wtf:

05112013_162439.txt
Code:
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ynunqo\ not found.
========== COMMANDS ==========
 
OTL by OldTimer - Version 3.2.69.0 log created on 05112013_162439
edit://

Ich hab mal in die Registry unter diesem Pfad geschaut. Der Ordner bzw. Schlüssel Ynunqo ist dort vorhanden, mit allen Einträgen wie Pfad zur EXE usw.
Soll ich die evtl. von Hand löschen?

M-K-D-B 11.05.2013 15:29
Hast du OTL mit Rechtsklick -> Als Administrator ausgeführt?

Wenn nicht, mal das mal bitte nochmal mit dem selben Fix wie eben und berichte.

Wenn das auch nicht klappt, nehmen wir ein anderes Tool. Hatte noch nie derartige Probleme mit OTL. :)



Zitat:
Zitat von Pato1990 (Beitrag 1060186)
Ich hab mal in die Registry unter diesem Pfad geschaut. Der Ordner bzw. Schlüssel Ynunqo ist dort vorhanden, mit allen Einträgen wie Pfad zur EXE usw.
Soll ich die evtl. von Hand löschen?
Ich frag mich halt, wieso das mit OTL nicht geht... per Hand darfste dann zum Schluss löschen. Führe OTL wie beschrieben mit Rechtsklick -> Als Administrator auführen aus und berichte. ;)



Edit:
Aber jetzt geh ich wirklich zum Laufen. :)

Pato1990 11.05.2013 15:33
Habs nochmal als Administrator ausgeführt. Keine Veränderung....

05112013_163105.txt
Code:
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ynunqo\ not found.
========== COMMANDS ==========
 
OTL by OldTimer - Version 3.2.69.0 log created on 05112013_163105

M-K-D-B 11.05.2013 16:34
Servus,


lösche den Schlüssel bitte per Hand und berichte mir, ob es geklappt hat. :)

Pato1990 11.05.2013 17:15
Hallo Matthias,

der Schlüssel ist gelöscht und der Eintrag aus dem Systemstart verschwunden.

Sollte nun alles sauber sein, oder?

Vielen Dank für deine Hilfe!!!

M-K-D-B 11.05.2013 17:17
Zitat:
Zitat von Pato1990 (Beitrag 1060232)
der Schlüssel ist gelöscht und der Eintrag aus dem Systemstart verschwunden.
Ok, gut gemacht. Hab keine Ahnung, wieso OTL da nicht ging... :wtf:


Zitat:
Zitat von Pato1990 (Beitrag 1060232)
Sollte nun alles sauber sein, oder?
Ja. :)


Ich bin froh, dass wir helfen konnten :abklatsch:

In diesem Forum kannst du eine kurze Rückmeldung zur Bereinigung abgeben, sofern du das möchtest:
Lob, Kritik und Wünsche
Klicke dazu auf den Button "NEUES THEMA" und poste ein kleines Feedback. Vielen Dank! :)

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:39 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131