Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows aus Sicherheitsgründen... 50 Euro Sperre (https://www.trojaner-board.de/106633-windows-sicherheitsgruenden-50-euro-sperre.html)

marco.log 20.12.2011 20:00
Windows aus Sicherheitsgründen... 50 Euro Sperre
 
Hallo!
Das Thema ist ja hinreichend bekannt. Ich habe hier die gewünschten Logs schonmal angehängt.

Es handelt sich um ein Windows Vista 32bit System. Als Virenscanner ist Avira im Einsatz. Firefox ist Browser.

Vielen Dank für eure Mühe. Es ist toll, dass es euch gibt! :bussi:

Chris4You 20.12.2011 21:46
Hi,

got'em

Fix für OTL
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:

:OTL
O2 - BHO: (no name) - {ee1babcf-cbe2-4c07-8e18-dfe6fc08c30a}  - No CLSID value found.
O4 - HKCU..\Run: [{369D7399-AA0A-5E39-FA0D-E960AD5A7CCC}] C:\Users\Wolfgang\AppData\Roaming\Pyygp\paif.exe File not found
O4 - HKCU..\Run: [{57E02555-9B0C-82F5-0504-5B0FEBE82A43}] C:\Users\Wolfgang\AppData\Roaming\Ydesa\buqi.exe File not found
O4 - HKCU..\Run: [firefox.exe] C:\Users\Wolfgang\AppData\Roaming\Mozilla\Firefox\firefox.exe ()
[2011.02.21 10:43:01 | 000,000,000 | ---D | M] -- C:\Users\Wolfgang\AppData\Roaming\Pyygp
[2010.12.19 13:29:07 | 000,000,000 | ---D | M] -- C:\Users\Wolfgang\AppData\Roaming\Ydesa

:Commands
[emptytemp]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

marco.log 21.12.2011 09:08
Vielen Dank!
Bin derzeit noch auf der Arbeit, daher kann ich es noch nicht umsetzen.
Werde mich gegen 19:15 Uhr heute Abend melden!
Vielen Dank soweit!

marco.log 21.12.2011 19:29
Hallo!
Folgendes habe ich getan/ist passiert:
1) OTL.exe als Admin gestartet un ddas von dir angegebene Skript ausgeführt.
2) Der PC hat einen Restart durchgeführt
3) De PC kam im normalen Modus wieder hoch
4) Die Textdatei mit dem Result war direkt offen(siehe Anhang)
5) Ich habe Malwarebytes heruntergeladen
6) Ein Update scheiterte! Ich habe jetzt den Datenstand von 31.08.2011.
7) Scan läuft in diesem Moment

Soweit alles ok? Ist das nicht mögliche Update ein Problem?

Chris4You 21.12.2011 20:13
Hi,

ja, das mit dem update ist ein Problem, bitte später nochmal probieren...
Ucash wurde von OTL erwischt, aber es schein noch etwas "mehr" da zu sein...

Nach MAM bitte:
TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

marco.log 21.12.2011 20:13
Malwarebytes ist fertig. Siehe Anhang.

Chris4You 21.12.2011 20:15
Hi,

bitte eine update mit MAM probieren und wie oben beschrieben den Killer laufen lassen...
+
MBR-Check
Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
  • Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

chris

marco.log 21.12.2011 20:22
Liste der Anhänge anzeigen (Anzahl: 1)
Oh Mann...

Gut, habs TDSS laufen lassen. Mit Default-Settings fand er nichts, also habe ich noch "verify driver digital signatures" und "Detect TDLFS file system" aktiviert. Da fand er was! Siehe Anhang!

marco.log 21.12.2011 20:26
MBRCheck Protokol ist im Anhang.

Update von Malwarebytes geht immer noch nicht...

Chris4You 21.12.2011 20:59
Hi,

lass den Treiber bei virustotal prüfen...
Dateien Online überprüfen lassen
  • Suche die Seite Virustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
-> den von TDSS gefundene Treiber..
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

chris

marco.log 21.12.2011 21:33
Also:

1) MAM Update hat geklappt. Es wurde ein Bösewicht gefunden (Siehe Anhang).
2) Neustart wurde verlangt und durchgeführt

3) Virustotal sagt zu der von TDSS gefundenen Datei folgendes:
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: f8e916dd0de892a3bd9f6cc686100960
Date first seen: 2009-03-20 07:20:22 (UTC)
Date last seen: 2011-07-26 08:55:40 (UTC)
Detection ratio: 0/43

Größenangabe gab es auf der Seite virustotal nicht. Die Datei im Verzeichnis war jedenfalls so groß:
Größe: 18,0 KB (18.432 Bytes)
Auf Datenträger: 20,0 KB (20.480 Bytes)

Chris4You 21.12.2011 22:04
Hi,

dachte mir das schon, fehlalarm (f/p)...
So, das sollte es gewesen sein, MAM hat dass Teil was wir per OTL aus dem Verkehr gezogen haben erkannt und "eleminiert"...

chris

marco.log 21.12.2011 22:13
Vielen Dank!
Kann es noch garnicht glauben! :)
Danke, für die Gründlichkeit iund die Ausdauer.
Hat der Virus eigentlich noch Internet- und Sicherheitseinstellungen verändert, die man wieder korrigieren sollte?

Nochmal:
VIELEN DANK! :dankeschoen:

Chris4You 21.12.2011 22:28
Hi,

auffällig sind noch bestimmte Einstellungen in der Reg, die bei allen "Opfern" vorkommen und die UAC-Einstellungen betreffen http://de.wikipedia.org/wiki/Benutzerkontensteuerung...

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

Da ich aber die ursprünglichen Einstellungen der Nutzer nicht kenne, bleibt das erstmal so...

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131