Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner / Windows angehalten / Ich soll 50 Euro zahlen (https://www.trojaner-board.de/106011-trojaner-windows-angehalten-50-euro-zahlen.html)

hansdampf63 09.12.2011 14:01
Trojaner / Windows angehalten / Ich soll 50 Euro zahlen
 
Heute beim Surfen eingefangen.
Ich soll 50 Euro zahlen für ein Sicherheitsupdate.
Kann keine Taskleiste noch Sonstiges aufrufen.
Bin jetzt im abgesicherten Modus und habe OTL runtergeladen und ausgeführt.
Dateien im Anhang.

Was soll ich jetzt tun um den Mist wieder loszuwerden?
Danke schon mal im voraus für jede Hilfe.

hansdampf63 09.12.2011 14:15
Ich hoffe, dass mir bald einer weiterhelfen kann, stehe unter Zeitdruck, da ich mit dem System arbeiten muss.
Nicht falsch verstehen, ich will ja auch nicht drängeln.
.......
Nagut, ich drängel doch. :-/

markusg 09.12.2011 15:11
hi
also wirklich, wie konnten wir es wagen nicht schon nach 14 minuten zu antworten.
dies hier ist ein forum wo privat personen kostenlos ihre hilfe anbieten.
wer seinen pc für wichtige arbeiten benötigt und immer und ausfall sicher arbeiten muss, der muss sich halt auch mal backups des gesammten pcs zulegen.
werd mir jetzt deine logs ansehen

markusg 09.12.2011 15:14
hi

achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
O4 - HKCU..\Run: [{C4178A69-56D0-11DB-9DEE-806D6172696F}] D:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Microsoft\hostrun.exe (Mozilla Foundation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer:
:Files
D:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Microsoft\hostrun.exe
:Commands
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

öffne arbeitsplatz, öffne d: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

hansdampf63 09.12.2011 15:34
Meine Kaspersky Internetsecurity hat den Trojaner scheinbar eleminiert.

Ich habe Malwarebytes im abgesicherten Modus installiert und ausgeführt.
Das hatte auch ein paar Infektionen gefunden.
Habe ich neutralisiert, Rechner im normalen Modus gestartet,
gleiches Fenster mit der Aufforderung poppte wieder auf.
Habe mich als anderen Benutzer angemeldet und unter dem Profil mein Kaspersky aktiviert (Der war nämlich deaktiviert), dann bin ich wieder in das infizierte Profil rein und dort war Kaspersky dann ebenso aktiviert und hat den Trojaner gelöscht.

Nach einem Neustart funktioniert jetzt wieder alles so, wie es soll.

Soll ich trotzdem die Prozedur mit OTL machen, oder gibt das dann Probleme?

markusg 09.12.2011 15:35
poste die malwarebytes logdateien

hansdampf63 09.12.2011 15:39
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8340

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

09.12.2011 14:46:30
mbam-log-2011-12-09 (14-46-30).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 215180
Laufzeit: 1 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Value: host -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Value: id -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\AppSecDll (Trojan.Agent) -> Value: AppSecDll -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
d:\dokumente und einstellungen\****\lokale einstellungen\Temp\Upd7BC.tmp (Riskware.Tool.CK) -> Quarantined and deleted successfully.
d:\dokumente und einstellungen\****\anwendungsdaten\addon.dat (Malware.Trace) -> Quarantined and deleted successfully.
d:\WINDOWS\system32\crt.dat (Malware.Trace) -> Quarantined and deleted successfully.
d:\WINDOWS\system32\dimsntfy32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
d:\WINDOWS\system32\windows\klog.dat (Backdoor.Bot) -> Quarantined and deleted successfully.
d:\dokumente und einstellungen\****\lokale einstellungen\Temp\0.04836153824087197.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
d:\WINDOWS\system32\SVKP.sys (Trojan.Agent) -> Quarantined and deleted successfully.

und:


14:52:33 **** MESSAGE Protection started successfully
14:52:38 **** MESSAGE IP Protection started successfully
15:20:58 **** MESSAGE Protection started successfully
15:21:02 **** MESSAGE IP Protection started successfully
15:22:27 **** IP-BLOCK 194.143.137.179 (Type: outgoing)
15:22:32 **** IP-BLOCK 194.143.137.179 (Type: outgoing)
15:22:36 **** IP-BLOCK 194.143.137.179 (Type: outgoing)

markusg 09.12.2011 15:44
machst du mit dem pc onlinebanking sonstige zahlungsabwicklungen einkäufe oder sonst was wichtiges, wie zb berufliches?

hansdampf63 09.12.2011 15:46
ja, mache ich.

markusg 09.12.2011 15:53
hi,
rufe umgehend die bank an.
falls die bank bereits zu ist, notfall nummer:
116 116
du hast eine malware die speziell auf diebstahl von bankdaten spezialisiert ist und ein rootkit. onlinebanking muss also gesperrt werden.
dieses system ist nicht mehr vertrauenswürdig, egal wie viele scanner wir noch laufen lassen deswegen:
deaktiviere autorun:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
dann sichere extern, also zb auf nen usb stick etc, bilder dokumente musik filme.
dann muss das system neu aufgesetzt und windows neu instaliert werden, anleitung bekommst du falls nötig.
dann erkläre ich dir, wie du das system vernünftig absicherst, es reicht zb nicht einfach ein av zu instalieren, da müssen mehr maßnamen her.
dann musst du alle passwörter endern.
und ich werd auch noch was sagen wie man sicherer onlinebanking machen kann.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19