Trojaner-Board - "gefährliches Backdoorprogramm BDS/Papras.HI"

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - "gefährliches Backdoorprogramm BDS/Papras.HI" - krnlutou.dll (https://www.trojaner-board.de/87177-gefaehrliches-backdoorprogramm-bds-papras-hi-krnlutou-dll.html)

so endlich !

hier die log datei:

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4125

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

23.06.2010 16:43:41
mbam-log-2010-06-23 (16-43-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 309381
Laufzeit: 3 Stunde(n), 23 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Windows\System32\28463 (Keylogger.Ardamax) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\ProgramData\sysReserve.ini (Malware.Trace) -> Quarantined and deleted successfully.

ok, start ausführen,
regedit.exe
enter
evtl. abfrage mit ja bestätigen.
dann datei, exporteiren, registry abspeichern dort wo du sie wieder findest.

navigiere zu:

[HKEY_USERS\S-1-5-21-4039198485-1440016021-4218304769-1008\Software\Microsoft\Windows\CurrentVersion\Run]

auf der linken seite. dann folgenden eintrag auf der rechten seite löschen:

"audihCfg"="rundll32 \"C:\\Users\\***\\AppData\\Local\\Temp\\krnlutou.dll\",DllEntryPoint"
rechtsklick und löschen.
dann, dann regedit schließen und neustarten, meldung sollte weg sein.

ok habe ich gemacht !
wa soll ich mit der zuvor exportierten datei machen ?
kann ich die einfach löschen ?

und noch ne frage diese dll datei ist jetztr auch garnicht mehr auf meinem pc oder wie kann/soll ich das jetzt verstehen ? :D

Ach ja und eben habe ich gesehen dass ich einen keylogger drauf hatte... ardamax oder so... ist das schlimm ich meine ist der jetzt vollständig weg oder wie kann ich das schnell überprüfen??

ich starte jetzt mal schnell neu...

kannst du mal schauen ob malwarebytes jetzt updatet? das programm war leider nicht auf dem aktuellsten stand.
passwörter müssen wir am ende endern!

nein geht immer noch nicht immer noch die gleiche fehlermeldung !

da hast nicht auf meine fragen geantwortet... ^^

die dll ist nciht mehr auf dem system, datei kannst du löschen.
führe abschließend den eset online scanner aus und poste das ergebgniss
Free ESET Online Antivirus Scanner

den eset online scan...
und die exportierte datei kanns du löschen

hallo markus.

ich habe jetzt den eset scanner deinstalliert er ist weg die exportiert datei zuvor habe ich auch gelöscht.

was soll ich jetzt tun?
ist der keylogger immer noch drauf? wie kann ich ihn entfernen ?!

mfg

und wo ist das ergebniss vom eset scanner?

es gibt keins...
wie schon gesagt der funktioniert nicht....

kein verbindung möglich

davon hab ich nichts gelesen... ok nutze panda online scan:
FREE ANTIVIRUS Online - Download ActiveScan 2.0 and clean your PC - PANDA SECURITY
du musst während dessen den avira guard abschalten.

man !!!

dieser panda online scan geht auch nicht da steht immer downloaden fehlgeschlgen...

habe schon alles versucht... geht nichts gibts nicht noch etwas anderes oder so ?

machs mal über den internet explorer