Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GEMA die X-te (https://www.trojaner-board.de/113595-gema-x-te.html)

chris_zero 13.04.2012 18:17
GEMA die X-te
 
Hallo zusammen!

Auch mich hat der GEMA-Virus gesucht, gefunden und getroffen. Da ich nicht in den abgesicherten Modus kam, habe ich über die OTLPE.exe folgenden Log "erstellen lassen".

Ich hoffe ihr könnt mir weiter helfen!


Gruß, Chris

Sorry, wenn ich auf die "Eile-Taste" drücke - kann mir keiner helfen?

markusg 14.04.2012 17:50
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
:OTL
O4 - HKLM..\Run: [videoLAN Media Lab] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe ()
O4 - HKU\Chris_ON_C..\Run: [{FBDAA63D-72B1-77D3-4C03-F7B6833C73FE}] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Afopus\luonque.exe ()
O4 - HKU\Chris_ON_C..\Run: [videoLAN Media Lab] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe ()
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWinKeys = 0
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - ("C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe") - C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe ()
O20 - HKU\Chris_ON_C Winlogon: Shell - ("C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe") - C:\Dokumente und Einstellungen\Chris
:Files
C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe
C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Afopus
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

chris_zero 16.04.2012 07:35
Hey, danke für die Hilfe! :)

Habe den Fix nun so laufen lassen, wie du es geschrieben hast. Er wird beendet und der PC startet auch neu.

Ich sehe dann meinen "alten" Desktop-Hintergrund. Allerdings keine Symbole, sie lassen sich auch nicht einblenden. Auch beim Versuch den Taskmanager aufzurufen kommt noch immer "Der Task-Manager wurde durch den Administrator deaktiviert". Die Textdatei bzw. der Log lässt sich somit leider nicht öffnen :(

markusg 16.04.2012 10:27
hi, dann poste bitte noch mal ein frisches otl log

chris_zero 16.04.2012 11:09
So, hier dann ein aktueller Log. Ich habe ihn nach dieser Anleitung erstellt:
http://www.trojaner-board.de/110250-gema-trojaner.html


Danke schonmal für die Antworten!

markusg 16.04.2012 11:40
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
:OTL
O20 - HKLM Winlogon: Shell - ("C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe") -  File not found
O20 - HKU\Chris_ON_C Winlogon: Shell - ("C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\18c7bf0.exe") -  File not found
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWinKeys = 0
O7 - HKU\Chris_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O4 - HKU\Chris_ON_C..\Run: [{FBDAA63D-72B1-77D3-4C03-F7B6833C73FE}]  File not found
:Files
:Commands
[Reboot]


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

chris_zero 16.04.2012 21:10
So, hier nun der Log nach dem Fix. Bis jetzt sieht alles gut aus!

Hochgeladen habe ich die MovedFiles aus. Das hat meinerseits problemlos geklappt, ich hoffe allerdings, dass ihr/du die Datei so gebrauchen kannst/könnt.

markusg 17.04.2012 13:57
ich brauch mal folgendes:
C:\benutzer\benutzername\AppData\LocalLow\Sun\Java\Deployment
dort rechtsklick auf cache, den ordner packen, bei
File-Upload.net - Ihr kostenloser File Hoster!
hochladen, link an mich als private nachicht

chris_zero 17.04.2012 14:13
Leider kann ich den von dir angegeben Pfad nicht finden. Auch in der Suche taucht bei Schlagwörtern wie "LocalLow" oder "AppData" nichts auf.

markusg 17.04.2012 14:51
sorry, ich war bei windows 7 :p
C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Sun\Java\Deployment\schau mal dort

chris_zero 17.04.2012 15:14
Du hast Post :)

markusg 17.04.2012 16:10
hi,
du solltest dein surf verhalten überdenken, du scheinst oft mit seiten in berürung zu kommen, die dir schadcode unterjubeln wollen.
keine angst, ich hatte keinen verlauf deiner besuchten seiten, ich konnte anhand der files nur sehen das du häufig mit exploits in berührung kommst.
dies kann von seiten mit pornografischem inhalt kommen, oder von seiten die illegal kino, serien und sport streams anbieten.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

chris_zero 17.04.2012 19:10
So, hier der Combofixlog.
Kannst du denn sehen, ob ich irgendwo eine breite "Angriffsfläche" für Viren, Malware und co. biete?


Vielen Dank nochmal!

markusg 17.04.2012 19:14
guck ich mir noch an, keine angst :-)
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

chris_zero 17.04.2012 21:38
Anbei der Malwarebyteslog.

Ich kann schon jetzt sagen, dass mein PC enorm schnell bootet - allerdings habe ich nun ein Internet Explorer Icon auf dem Desktop. Wodurch kann das denn kommen? Abgesehen von den Anleitungen hier im Thread habe ich ihn nicht benutzt.

Danke nochmals für die Hilfe :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:46 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131