Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner auf dem Pc! Brauche dringen Hilfe!! (https://www.trojaner-board.de/75968-trojaner-pc-brauche-dringen-hilfe.html)

G33K 02.08.2009 21:56
Ich kann es nciht runterladen. das virus verhindert dieses

john.doe 02.08.2009 22:02
Teste, ob du das laden kannst => listing1.bat

Falls ja, Doppelklick auf die Datei, es erscheint anschliessend eine listing.txt auf dem Desktop. Die bei einem Filehoster hochladen (z.B. www.materialordner.de) und hier den Link posten.

ciao, andreas

G33K 02.08.2009 22:05
Ja das hat geklappt

hier sit der Link

http://www.materialordner.de/juWabmYkdHUu4A8Z03zoF2xPs4QbaZ.html

john.doe 02.08.2009 22:06
Lade dir RSIT von hier => File-Upload.net - RSIT.exe

ciao, andreas

G33K 02.08.2009 22:13
info.txt

http://www.materialordner.de/0hopYFlVCbBKuzwSiv8kyUI6jSbKoePd.html


log.txt

http://www.materialordner.de/l3sxEVZFlzZKWFTfD4DlBzwhA6wEJAR.html

john.doe 02.08.2009 22:23
Was genau ist dein Laufwerk J:?

Hier ist der Schuldige:
Zitat:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b37003d0-7f87-11de-af85-806d6172696f}]
shell\AutoRun\command - J:\AutoRun.exe
Darüber hast du dich wieder infiziert.

ciao, andreas

G33K 02.08.2009 22:25
J: ist ein wechselmedium. das ist ansich emin umts stick nur da kann ich noch eine karte reinpacken um es als cardreader nutzen zu können. nur da ist keine drin O.o

john.doe 02.08.2009 22:30
Irgendwas war da und darüber hast du dich infiziert, entweder eine Karte, die du dran hattest nach der Neuinstallation oder es ist der Stick. Was passiert, wenn du im Arbeitsplatz ein Doppelklick auf J: machst? Wird dir etwas angezeigt?

ciao, andreas

G33K 02.08.2009 22:32
Legen sie einen Datenträger ein

und da hatte ich damals vor ca 1 1/2 monaten meine hand karte drin. danach ncihts mehr

john.doe 02.08.2009 22:33
Du kannst dich also nicht daran erinnern, was du da angesteckt hast? Hat sonst noch jemand Zugang zu dem Rechner?

ciao, andreas

G33K 02.08.2009 22:35
Doch ich habe bilder von meine handy auf denn rechner übertragen. Ja der rechner steht in der Kaserne und es kann nur eine andere person daran


Aber wenn da keine karte drin ist, wie vernichte ich denn virus? einfach eine karte reinstecken und antivirus laufen lassen?

john.doe 02.08.2009 22:48
Kaserne? Ist denn das kein privater Rechner?

Schau dir die Logs genau an, du musst rekonstruieren, was genau abgelaufen ist:
Zitat:
02.08.2009 20:43 6 _id.dat
02.08.2009 20:43 42.496 do_not_delete.exe
02.08.2009 20:42 0 8.tmp
02.08.2009 20:42 0 7.tmp
02.08.2009 20:42 168 4.tmp
02.08.2009 20:23 392.296 perfh009.dat
02.08.2009 20:23 70.580 perfc007.dat
02.08.2009 20:23 405.118 perfh007.dat
02.08.2009 20:23 58.596 perfc009.dat
02.08.2009 20:23 938.224 PerfStringBackup.INI
02.08.2009 20:20 2.206 wpa.dbl
Um 20:23 Uhr ist der Rechner abgeschmiert. Der erste Schädling hier hat die Uhrzeit 20:42 Uhr.

Jetzt kommt die Liste der gestarteten Programme, der Schädling und vermutliche Auslöser ist rot markiert:
Code:
02.08.2009  22:06            41.232 SIXENGINE.EXE-2E020A5A.pf
02.08.2009  22:06            8.458 USERINIT.EXE-30B18140.pf
02.08.2009  22:06            13.558 ATI2EVXX.EXE-19D16EB9.pf
02.08.2009  22:06            4.308 CLISTART.EXE-025897C5.pf
02.08.2009  22:06            45.104 MOM.EXE-36B2EDCA.pf
02.08.2009  22:06            48.228 LOGONUI.EXE-0AF22957.pf
02.08.2009  21:51            57.788 CTCMS.EXE-02942F66.pf
02.08.2009  21:51            11.520 RUNDLL32.EXE-451FC2C0.pf
02.08.2009  21:05            59.594 WINLOGON.EXE-32C57D49.pf
02.08.2009  21:05            38.882 CSRSS.EXE-12B63473.pf
02.08.2009  21:05            23.640 SVCHOST.EXE-3530F672.pf
02.08.2009  21:04            41.300 DATACARD_SETUP.EXE-20C90D82.pf
02.08.2009  20:52            5.266 CMD.EXE-087B4001.pf
02.08.2009  20:45            27.232 REGSVR32.EXE-25EEFE2F.pf
02.08.2009  20:36            21.224 WMIPRVSE.EXE-28F301A9.pf
02.08.2009  20:34            33.430 AUTORUN.EXE-3684E09A.pf
02.08.2009  20:31            17.976 SETUP.EXE-209976D4.pf
02.08.2009  20:31            17.976 SETUP.EXE-23282F56.pf
02.08.2009  20:31            17.976 SETUP.EXE-36391F18.pf
02.08.2009  20:31            17.976 SETUP.EXE-38AD6E04.pf
02.08.2009  20:31            17.976 SETUP.EXE-1FB9F61A.pf
02.08.2009  20:31            50.442 IKERNEL.EXE-092EF074.pf
02.08.2009  20:31            17.976 SETUP.EXE-19A1B980.pf
02.08.2009  20:31            18.120 SETUP.EXE-140101F9.pf
02.08.2009  20:31            11.002 CTREGSVR.EXE-34549CFE.pf
02.08.2009  20:31            17.118 WTGU.EXE-2ECE9082.pf
02.08.2009  20:31            8.924 RUNDLL32.EXE-3BBA6FC4.pf
02.08.2009  20:31            15.152 DATACARDMONITOR.EXE-0939560A.pf
02.08.2009  20:31            9.702 SOUNDMAN.EXE-19745A34.pf
02.08.2009  20:31            7.800 ALCWZRD.EXE-17389FC3.pf
02.08.2009  20:31            11.194 ALCMTR.EXE-235F9538.pf
02.08.2009  20:31            5.498 RUNDLL32.EXE-21E82E2E.pf
02.08.2009  20:31            13.844 RUNDLL32.EXE-284DABF7.pf
02.08.2009  20:30            19.214 SETUP.EXE-3B71A8D5.pf
02.08.2009  20:30            4.842 CMSREGOW.EXE-27C3E9D4.pf
02.08.2009  20:30            90.138 SETUP_WM.EXE-316E2A8D.pf
02.08.2009  20:30            8.492 WMDMDIST.EXE-19D8E9CD.pf
02.08.2009  20:29            4.260 CTSVCCDA.EXE-39508B82.pf
02.08.2009  20:29            3.434 CTSVCCTL.EXE-0398106C.pf
02.08.2009  20:29            19.420 CDASVC.EXE-330AD5AF.pf
02.08.2009  20:29            19.096 SETUP.EXE-2C2E29FF.pf
02.08.2009  20:29            11.610 CTLAUNCH.EXE-3148614B.pf
02.08.2009  20:29            25.754 WINDOWSXP-KB837371-X86-DEU.EX-16E7CCF2.pf
02.08.2009  20:28            46.824 UPDATE.EXE-11F8FBAD.pf
Da scheint eine Installation stattgefunden zu haben, was hast du da installiert?

ciao, andreas

G33K 02.08.2009 22:55
Doch sit mein Privat Rechner. Wohne halt in der Kaserne

Also am heute hatte ich Windoes neu aufgesetz. Das ist das rot markierte. Das war nachdem ich windoes neu aufgesetzt hatte. Und das ganze Prolbem kam donnerstag. Ich hatte eine Datei aus dem Internet geladen, wollte diese ausführen. Kurz darauf war diese weg. und cih wusste das ich mir damit ein trojaner runtergeladen hatte. Das war ein KeyGenerator

Und zu dem zeitpunkt war keine karte in J: das war ein moant vorher wie da eine drin war.


Es kann sein, das sich der Virus weider Installiert hat, nachdem ich mein UMTS stick weider Installiert habe

Nur wie kann cih denn virsu entfernen?

Ich lege mcih schalfen. muss gleich weider früh hoch^^ bis morgen

john.doe 02.08.2009 23:20
Zitat:
Das war ein KeyGenerator
Wie überraschend. :schmoll: Mag noch nicht einmal den Textbaustein kopieren.

Schau hier vorbei => http://www.trojaner-board.de/452965-post8.html und folge allen Links. Die Empfehlung von Karl kann ich dir auch ans Herz legen.

Noch ca. 50 Neuinstallationen und dann wirst du irgendwann einsehen, dass es ausgesprochen dämlich ist, mit Keygens zu arbeiten => http://www.trojaner-board.de/51262-a...sicherung.html

Du bist entlassen und ich bin raus,
Andreas

JJ-hilfe 02.08.2009 23:36
Zitat:
Zitat von john.doe (Beitrag 453033)

Hast du noch den Downloadlink? Schicke ihn mir bitte als Private Nachricht zu.
Wofür lässt du dir den downloadlink senden ?
was bringt das?
oder
was versuchst du dadurch zu bezwecken?


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:38 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19