Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner Bundeskriminalamt (https://www.trojaner-board.de/97615-trojaner-bundeskriminalamt.html)

sunnyxx 17.04.2011 22:14
Trojaner Bundeskriminalamt
 
Hallo!
Wurde auch von dem Virus befallen (Offizielle Mitteilung des Bundeskriminalamtes).
Der Scan ergab das im Anhang enthaltene OTL Logfile.
Bitte helft mir :(

markusg 18.04.2011 10:15
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code:
:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temporary Internet Files\Content.IE5\799LA10S\contacts[1].exe) - C:\Dokumente und Einstellungen\Miriam Weihert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\799LA10S\contacts[1].exe (Jjwblwxw Usxxiowb)
:Files
C:\Dokumente und Einstellungen\Miriam Weihert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\799LA10S\contacts[1].exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
das archiv nach anleitung hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html

sunnyxx 18.04.2011 14:09
so das archiv habe ich hochgeladen, wie gehts weiter?

markusg 18.04.2011 14:16
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

sunnyxx 18.04.2011 16:02
so im anhang ist die log datei von malware
hab jetzt nur noch ein problem...wenn ich meinen pc hochgefahren habe, kommt nur mein desktop hintergrundbild, sonst nichts, task-manager geht aber
was kann ich hier tun??

markusg 18.04.2011 16:07
kannst du malwarebytes updaten und noch mal scannen, deine version ist nicht aktuell.

sunnyxx 18.04.2011 21:42
hab jetzt noch einen scan gemacht, mit neu runtergeladener version (1.50.1), hat nichts neues gefunden
ändert auch nichts an meinem problem, dass ich nur mein hintergrundbild sehe...kann über den taskmanager programme öffnen, funktioniert dann auch normal, aber es fehlt ja trotzdem was oder?? es ist ja noch nicht mal ne taskleiste vorhanden....:wtf:

sunnyxx 19.04.2011 07:57
ahh jetzt hab ich verstanden, warum meine malware version nicht aktuell ist...ich kann die datenbank nicht aktualisieren, weil ich auf meinem infizierten pc im moment keine internet verbindung habe. kann ich das update auch schon früher auf einem anderen pc machen??

markusg 19.04.2011 09:52
na das hättest vllt mal sagen sollen das du kein internet hast.
mach erst mal weiter hiermit:
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

sunnyxx 19.04.2011 10:38
ok hab ich gemacht, windows wiederherstellungskonsole konnte allerdings nicht installiert werden, weil ich ja immer noch kein internet habe
combofix log im anhang

markusg 19.04.2011 10:45
hier das manuelle malwarebytes update
Manual database update - Malwarebytes Forum

sunnyxx 19.04.2011 11:17
hmm also mit dem link hab ich auch nicht die aktuellste bekommen, aber immerhin aktueller als das vorher
scan läuft gerade

sunnyxx 19.04.2011 15:57
erneuter scan mit malware hat nichts gefunden

markusg 19.04.2011 16:15
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

sunnyxx 19.04.2011 16:45
scan durchgeführt, log dateien im anhang :)

markusg 19.04.2011 16:51
ich wollte einen otl scan aus dem laufenden betriebssystem, das ist doch OTLPE

sunnyxx 19.04.2011 16:53
achso sry, hab gedacht das wär das gleiche^^ kommt sofort

sunnyxx 19.04.2011 17:41
so jetzt aber, dateien im anhang

markusg 19.04.2011 17:59
• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
SRV - (CA Personal Firewall ASEM) -- File not found
SRV - (AppMgmt) -- File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2883946188-4234925601-1390184991-1006\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - File not found
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - File not found
:Files
ipconfig /flushdns /c
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

sunnyxx 19.04.2011 21:16
beim fix kam folgendes raus:

All processes killed
========== OTL ==========
Service CA Personal Firewall ASEM stopped successfully!
Service CA Personal Firewall ASEM deleted successfully!
File File not found not found.
Service AppMgmt stopped successfully!
Service AppMgmt deleted successfully!
File File not found not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-21-2883946188-4234925601-1390184991-1006\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\\{438755C2-A8BA-11D1-B96B-00A0C90312E1} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\\{8C7461EF-2B13-11d2-BE35-3078302C2030} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\ deleted successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
G:\cmd.bat deleted successfully.
G:\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: Default User

User: All Users

User: NetworkService

sunnyxx 20.04.2011 10:09
Ich hab da noch was entdeckt, beim Task-Manager unter den laufenden Prozessen ist Explorer.exe nicht zu finden, lässt sich auch nicht vom Task-Manager ausführen. Ich nehme mal an, dass deshalb mein Desktop futsch ist und nur noch das Hintergrundbild angezeigt wird??

markusg 20.04.2011 10:12
du könntest über deine windows cd ne reparatur instalation versuchen, danach muss aber servicepack 3 und internet explorer neu instaliert werden.

sunnyxx 20.04.2011 10:30
Ok ich guck mal, ob ich die CD finde.
Hast du dir die letzte log-Datei auf der letzten Seite nochmal angesehen?Sollte ich nach dem fix posten

sunnyxx 20.04.2011 16:37
meinst du mit der reperatur installation die wiederherstellungskonsole?? wenn ja, was muss ich da dann für befehle eingeben?? weiß grad nicht mehr weiter...

markusg 20.04.2011 16:45
letzter versuch, wenn der nicht klappt wird neu aufgesetzt
Supportnet Tipp: Windows XP Reparaturinstallation. Wie gehts?


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19