Trojaner-Board - brastk kann nicht entfernt werden.

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - brastk kann nicht entfernt werden. (https://www.trojaner-board.de/63295-brastk-entfernt.html)

Da sind noch viele Dateien die weg müssen:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

drivers to delete:

TDSSSERV

TDSSSERV.SYS
 

files to delete:

C:\WINDOWS\system32\mbr.exe

C:\WINDOWS\yfoju._sy

C:\WINDOWS\system32\nygoqeh._sy

C:\WINDOWS\osuli.reg

C:\WINDOWS\zuwel.vbs

C:\WINDOWS\system32\wiwaq._sy

C:\WINDOWS\fedecuxa.dll

C:\WINDOWS\teqam.db

C:\WINDOWS\vofaboxi.vbs

C:\WINDOWS\qavygu.inf

C:\WINDOWS\ninux.dat

C:\WINDOWS\xipipineti.inf

C:\WINDOWS\xapubavoqo.reg

C:\Dokumente und Einstellungen\Manolo\Anwendungsdaten\kevuqulo.scr

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yfywetu.inf

C:\WINDOWS\Temp\WFV1.tmp

C:\WINDOWS\teqam.db

C:\WINDOWS\qavygu.inf

C:\WINDOWS\xipipineti.inf

C:\WINDOWS\xapubavoqo.reg

C:\WINDOWS\osuli.reg

C:\WINDOWS\ninux.dat

C:\WINDOWS\fedecuxa.dll

C:\WINDOWS\yfoju._sy

C:\WINDOWS\vofaboxi.vbs

C:\WINDOWS\zuwel.vbs

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Bin dabei...... hab den PC nicht mehr berührt... er war beim abmelden.. und ist dann einfach eingefrohren.... jetzt sehe ich noch ein schwarzes Feldchen in der Grösse des "Windows wird jetzt heruntergefahren"-Fenster.

Soll ich warten ob er wirklich noch neustartet..... oder soll ich ihn ausschalten und neustarten? Warte jetzt schon sicher 60 Minuten und es ist kein alter PC

Also nach 60 Minuten kann man nun wirklich von einem Absturz ausgehen.... :rolleyes: Resette einfach.

Logfile vom Avenger:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSSERV" not found!
Deletion of driver "TDSSSERV" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSSERV.SYS" not found!
Deletion of driver "TDSSSERV.SYS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\mbr.exe" deleted successfully.
File "C:\WINDOWS\yfoju._sy" deleted successfully.
File "C:\WINDOWS\system32\nygoqeh._sy" deleted successfully.
File "C:\WINDOWS\osuli.reg" deleted successfully.
File "C:\WINDOWS\zuwel.vbs" deleted successfully.
File "C:\WINDOWS\system32\wiwaq._sy" deleted successfully.
File "C:\WINDOWS\fedecuxa.dll" deleted successfully.
File "C:\WINDOWS\teqam.db" deleted successfully.
File "C:\WINDOWS\vofaboxi.vbs" deleted successfully.
File "C:\WINDOWS\qavygu.inf" deleted successfully.
File "C:\WINDOWS\ninux.dat" deleted successfully.
File "C:\WINDOWS\xipipineti.inf" deleted successfully.
File "C:\WINDOWS\xapubavoqo.reg" deleted successfully.
File "C:\Dokumente und Einstellungen\Manolo\Anwendungsdaten\kevuqulo.scr" deleted successfully.
File "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yfywetu.inf" deleted successfully.

Error: file "C:\WINDOWS\Temp\WFV1.tmp" not found!
Deletion of file "C:\WINDOWS\Temp\WFV1.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\teqam.db" not found!
Deletion of file "C:\WINDOWS\teqam.db" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\qavygu.inf" not found!
Deletion of file "C:\WINDOWS\qavygu.inf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\xipipineti.inf" not found!
Deletion of file "C:\WINDOWS\xipipineti.inf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\xapubavoqo.reg" not found!
Deletion of file "C:\WINDOWS\xapubavoqo.reg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\osuli.reg" not found!
Deletion of file "C:\WINDOWS\osuli.reg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\ninux.dat" not found!
Deletion of file "C:\WINDOWS\ninux.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\fedecuxa.dll" not found!
Deletion of file "C:\WINDOWS\fedecuxa.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\yfoju._sy" not found!
Deletion of file "C:\WINDOWS\yfoju._sy" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\vofaboxi.vbs" not found!
Deletion of file "C:\WINDOWS\vofaboxi.vbs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\zuwel.vbs" not found!
Deletion of file "C:\WINDOWS\zuwel.vbs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Ok, schön. Mach mal zur Überprüfung ein Logfile mit RSIT:

Lade Random's System Information Tool (RSIT) herunter und speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HiJackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread, wieder mit Codetags umschlossen.

Du solltest da mal etwas das System aufräumen. :rolleyes:
Deinstallieren solltest Du

- Ask- und Yahoo-Toolbar (die braucht man wirklich nicht)
- alle Java-Versionen, spiel danach die aktuelle Version Java SE Runtime Environment (JRE) 6 Update 10 ein
- Netscape 7.1 (uralt!! :eek:)

Und andere Software die Du nicht wirklich brauchst. :rolleyes:
Der Rechner ist doch keine Müllkippe wo alles einmal raufkommt und nie wieder runter wenn man es nicht mehr braucht. :balla: Oder brauchst Du wirklich soo viele Programme?

Ansonsten scheint das System nun sauber zu sein. Restrisiko bleibt nach einer Bereinigung immer.

Danke viel Mal, werde ich morgen gleich alles deinstallieren.. hauptsache mein PC hat überlebt =).. danke viel Mal nochmals =)

Vergiss nicht die Updates (SP3, IE7 etc.) zu installieren!!