Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Weißer Bildschirm steht drauf verbindung wird geladen danach schwarz (https://www.trojaner-board.de/116316-weisser-bildschirm-steht-drauf-verbindung-geladen-danach-schwarz.html)

svenphili 02.06.2012 20:34

Weißer Bildschirm steht drauf verbindung wird geladen danach schwarz
 
Hallo
Ich habe ein großes problem ich habe mir nehmlich einen virus/trojaner eingefangen und spar wenn ich mich anmelden will kommt ein weißer bildschirm wo dan drauf steht verbindung wird hergestellt und dann wird es schwarz. ich habe einen vista pc und bin nich sehr erfahren in dem umgang mit computern aber ich habe keinen brenner und wenn ich im abgesicherten modus starte ist auch kein unterschieht als wenn ich den computer normal starte
ich bin dank par für jede hilfe und finde es übrigens klasse das es so ein gut aufgebautes forum mit experten gibt :)

cosinus 04.06.2012 21:36

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

svenphili 05.06.2012 11:39

Könnte man das vllt auch mit einen usb stick machen da es in moment schwer für mich ist an einen brenner zu kommen danke im vorraus :)

cosinus 05.06.2012 11:42

Ja geht. Du brauchst aber einen Rechner mit WindowsXP. Evtl. geht auch Vista, aber wir haben schon festgestellt, dass man einen OTLPE-Stick irgendwie nicht unter Win7 erstellen kann :balla:

Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht mehr vorhanden sein.
Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens C:\).
  • Leere den USB Stick auf den Du OTLPE erstellen willst.
  • Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
  • Drücke im DOS Fenster eine beliebige Taste.
  • Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
    Für Drive Label: gib ein OTLPE.
    Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
    Setze ein Häckchen bei Enable File Copy.
  • Klicke Start, akzeptiere die Nutzungsbestimmungen.
Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device auswählen)
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

svenphili 05.06.2012 13:24

wenn ich usb_prep8.cmd. starte wird mir mein usb stick nich angezeigt ich benutzte einen vista pc :S

cosinus 05.06.2012 15:52

Ob das mit Vista geht weiß ich nicht. Ih habs bisher unter XP und Win7 getestet, mit XP geht es.
Wenn alles nicht geht musst du an einen Rechner mit Brenner. Versteh ich sowieso nicht so ganz warum es so schwierig mit einem Brenner sein soll, sowas gehört doch schon längst zur Standardausstattung :balla:

svenphili 05.06.2012 16:19

ja ich habe mir jetzt auch einen organiesirt wo ich mir die nach her brennen werde. :)

svenphili 05.06.2012 20:43

So ich habe jetzt den scan gemacht und wollte dir jetzt die ergebnisse posten
aber jetzt schon mal vielen dank ehrlich du machst tolle arbeit :)

cosinus 06.06.2012 15:57

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL
DRV - File not found [Kernel | System] --  -- (fbcoxujt)
IE - HKU\Babshuhn_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = http://dtcproxy.gacela.eu/impact-de/autoproxyconfig.php?id=12478&type=CHROME&version=undefined
O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\Babshuhn\AppData\Roaming\toolplugin\toolbar.dll ()
O3 - HKU\Babshuhn_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\Babshuhn_ON_C\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: [dlxVLNiTSbbfN8U] C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe (tfytfyffytf)
O4 - HKLM..\Run: [LogMeIn Hamachi Ui]  File not found
O4 - HKU\Babshuhn_ON_C..\Run: [default] C:\Users\Babshuhn\AppData\Roaming\default\bin.exe ()
O4 - HKU\Babshuhn_ON_C..\Run: [dlxVLNiTSbbfN8U] C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe (tfytfyffytf)
O4 - HKU\Babshuhn_ON_C..\Run: [KG5sdPYrcGAqDaT] C:\Users\Babshuhn\AppData\Roaming\ati_cpx.exe (Nonprofit organization offering health, educational, and distance learning Internet broadcasting services)
O4 - HKU\Babshuhn_ON_C..\Run: [SkypePM] C:\Users\Babshuhn\AppData\Local\Skype\SkypePM.exe (Adobe Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1
O7 - HKU\Babshuhn_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Babshuhn_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Babshuhn_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe) - C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe (tfytfyffytf)
O20 - HKLM Winlogon: UserInit - (C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe) - C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe (tfytfyffytf)
O20 - HKU\Babshuhn_ON_C Winlogon: Shell - (C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe) - C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe (tfytfyffytf)
O20 - HKU\Babshuhn_ON_C Winlogon: UserInit - (C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe) - C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe (tfytfyffytf)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 17:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
@Alternate Data Stream - 18 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG5-S5RF-2A7U3EJND000}
@Alternate Data Stream - 18 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG3-VK8A-25GG67KOIVV7}
@Alternate Data Stream - 18 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG3-O5NG-26MTF54NEVVJ}
@Alternate Data Stream - 18 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG2-LKCU-2AJQPJA4AVUC}
@Alternate Data Stream - 18 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG2-CB1H-264U84BSAVVN}
@Alternate Data Stream - 18 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-7LLS-29TK0CI52VV4}
@Alternate Data Stream - 18 bytes -> C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-70L9-2A8RJ1B4CVNE}
@Alternate Data Stream - 18 bytes -> C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-2PHI-2B2UA19M7000}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG7-5P29-2A14KFREQVOV}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG7-5P29-2A14KFREQVOG}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG6-64CA-2ASVQDAHMVS3}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG6-64CA-2ASVQDAHMVNV}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG4-RLQO-285DUDG5UVVG}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG3-S3H7-2A5PQROOQVVP}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG2-LKCU-2AJQPJA4AVQQ}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-QCPB-27EJ7OREQVVU}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-7LLS-22TDACKJ0VU4}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-6E2T-2B6FMQRBGVVG}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-6E2T-2B6FMQRBGVTH}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-6E2T-2B6FMQRBGVR9}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-1VH8-28I0EFCC2VVP}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-9MH3-29NVUQ9IEVQF}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-70L9-2A8RJ1B4CVL4}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-70L9-2A8RJ1B4CVCV}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-70L9-2A8RJ1B4CV8I}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-2PHI-2B2UA19M6VUK}
@Alternate Data Stream - 17 bytes -> C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-2PHI-2B2UA19M6VT8}
@Alternate Data Stream - 16 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG7-5P29-2A14KFREQVUG}
@Alternate Data Stream - 16 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG6-3908-29CNF5LCOVLH}
@Alternate Data Stream - 16 bytes -> C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-7LLS-29TK0CI52VSU}
@Alternate Data Stream - 16 bytes -> C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-70L9-2A8RJ1B4CVVI}
@Alternate Data Stream - 15 bytes -> C:\Users\Babshuhn:zylomtr{002AVPFP-JHLQ-ABE5-BDB1-205DPQMIMVVD}
:Files
C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe
C:\Users\Babshuhn\AppData\Roaming\ati_cpx.exe
C:\ProgramData\epozliwzcbmhaibnxulegqpxrpiumzvt
C:\Users\Babshuhn\AppData\Roaming\kock
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

svenphili 06.06.2012 20:09

Ich habe jetzt einen OTL-Fix gemacht alerdings hatt sich kein Logfile geöffnet und der computer ist auch nich runtergefahren?

Ich habe OTLPE jetyt noch ein mal geoefnet und dann kamm das hier
========== OTL ==========
Service\Driver key fbcoxujt not found.
Registry value HKEY_USERS\Babshuhn_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DFEFCDEE-CF1A-4FC8-89AF-189327213627} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-89AF-189327213627}\ not found.
File C:\Users\Babshuhn\AppData\Roaming\toolplugin\toolbar.dll not found.
Registry value HKEY_USERS\Babshuhn_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_USERS\Babshuhn_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\dlxVLNiTSbbfN8U not found.
File C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\LogMeIn Hamachi Ui not found.
Registry value HKEY_USERS\Babshuhn_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\default not found.
File C:\Users\Babshuhn\AppData\Roaming\default\bin.exe not found.
Registry value HKEY_USERS\Babshuhn_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\dlxVLNiTSbbfN8U not found.
File C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe not found.
Registry value HKEY_USERS\Babshuhn_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\KG5sdPYrcGAqDaT not found.
File C:\Users\Babshuhn\AppData\Roaming\ati_cpx.exe not found.
Registry value HKEY_USERS\Babshuhn_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\SkypePM not found.
File C:\Users\Babshuhn\AppData\Local\Skype\SkypePM.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\EnableShellExecuteHooks not found.
Registry value HKEY_USERS\Babshuhn_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop not found.
Registry value HKEY_USERS\Babshuhn_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr not found.
Registry value HKEY_USERS\Babshuhn_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe deleted successfully.
File C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe deleted successfully.
File C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe not found.
Registry value HKEY_USERS\Babshuhn_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe deleted successfully.
File C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe not found.
Registry value HKEY_USERS\Babshuhn_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe deleted successfully.
File C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\autoexec.bat not found.
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG5-S5RF-2A7U3EJND000} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG3-VK8A-25GG67KOIVV7} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG3-O5NG-26MTF54NEVVJ} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG2-LKCU-2AJQPJA4AVUC} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG2-CB1H-264U84BSAVVN} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-7LLS-29TK0CI52VV4} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-70L9-2A8RJ1B4CVNE} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-2PHI-2B2UA19M7000} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG7-5P29-2A14KFREQVOV} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG7-5P29-2A14KFREQVOG} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG6-64CA-2ASVQDAHMVS3} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG6-64CA-2ASVQDAHMVNV} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG4-RLQO-285DUDG5UVVG} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG3-S3H7-2A5PQROOQVVP} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG2-LKCU-2AJQPJA4AVQQ} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-QCPB-27EJ7OREQVVU} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-7LLS-22TDACKJ0VU4} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-6E2T-2B6FMQRBGVVG} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-6E2T-2B6FMQRBGVTH} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-6E2T-2B6FMQRBGVR9} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-1VH8-28I0EFCC2VVP} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-9MH3-29NVUQ9IEVQF} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-70L9-2A8RJ1B4CVL4} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-70L9-2A8RJ1B4CVCV} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-70L9-2A8RJ1B4CV8I} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-2PHI-2B2UA19M6VUK} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-2PHI-2B2UA19M6VT8} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG7-5P29-2A14KFREQVUG} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG6-3908-29CNF5LCOVLH} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{000HQ7FF-AD7A-3FG1-7LLS-29TK0CI52VSU} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{00013KEU-UKQE-K6V0-70L9-2A8RJ1B4CVVI} .
Unable to delete ADS C:\Users\Babshuhn:zylomtr{002AVPFP-JHLQ-ABE5-BDB1-205DPQMIMVVD} .
========== FILES ==========
File\Folder C:\Users\Babshuhn\AppData\Roaming\Apple_Store.exe not found.
File\Folder C:\Users\Babshuhn\AppData\Roaming\ati_cpx.exe not found.
File\Folder C:\ProgramData\epozliwzcbmhaibnxulegqpxrpiumzvt not found.
File\Folder C:\Users\Babshuhn\AppData\Roaming\kock not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 06062012_230353

Files\Folders moved on Reboot...
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.

Registry entries deleted on Reboot...

es startet jetzt wieder normal und ich habe OTl jetzt auch gepostet
und noch mal danke das is voll genial vn dier gewesen mir zuhelfen bist ein toller typ danke bin dir was schuldig ;) :)

cosinus 07.06.2012 13:19

Bitte jetzt routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

svenphili 08.06.2012 12:11

Hier is der log von malwarebytes
Code:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.07.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Babshuhn :: BABSHUHN-PC [Administrator]

07.06.2012 23:08:45
mbam-log-2012-06-07 (23-08-45).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 388379
Laufzeit: 2 Stunde(n), 49 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 15
C:\Users\Babshuhn\AppData\Local\Temp\k8h0pp.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Babshuhn\AppData\Local\Temp\cs8v0k.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Babshuhn\AppData\Local\Temp\124kkk290347.exe (Trojan.Winlock.G) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\06062012_230208\C_Users\Babshuhn\AppData\Local\Skype\SkypePM.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\06062012_230208\C_Users\Babshuhn\AppData\Roaming\Apple_Store.exe (Trojan.Winlock.G) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\06062012_230208\C_Users\Babshuhn\AppData\Roaming\ati_cpx.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Sven\SoftonicDownloader_fuer_audiosurf.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Babshuhn\AppData\Roaming\Sun\ddee.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Babshuhn\AppData\Roaming\Sun\mnj.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Babshuhn\AppData\Roaming\Sun\mxd1.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Babshuhn\AppData\Roaming\Sun\ppkk.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Babshuhn\AppData\Roaming\Sun\uuoo.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Babshuhn\AppData\Roaming\Adobe\shed\thr1.chm (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Babshuhn\AppData\Roaming\Adobe\plugs\mmc123.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Babshuhn\AppData\Roaming\Adobe\plugs\mmc2.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

und hier das von ESET
Code:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=63c7d06437e2e745bb90395789271396
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-08 04:32:10
# local_time=2012-06-08 06:32:10 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776574 100 100 56806408 176637291 0 0
# compatibility_mode=6401 16777213 66 100 66620 18964531 0 0
# compatibility_mode=8192 67108863 100 0 186 186 0 0
# scanned=186638
# found=19
# cleaned=0
# scan_time=25366
C:\$Recycle.Bin\S-1-5-21-2208606510-85354491-1940852428-1000\$RFSXP86.rar        Win32/Packed.Autoit.C.Gen application (unable to clean)        00000000000000000000000000000000        I
C:\Nordschlacht\launcher.exe        probably unknown NewHeur_PE virus (unable to clean)        00000000000000000000000000000000        I
C:\Nordschlacht\updater.exe        probably unknown NewHeur_PE virus (unable to clean)        00000000000000000000000000000000        I
C:\ProgramData\SweetIM\Messenger\update\sweetimsetup.exe        a variant of Win32/SweetIM.B application (unable to clean)        00000000000000000000000000000000        I
C:\Users\All Users\SweetIM\Messenger\update\sweetimsetup.exe        a variant of Win32/SweetIM.B application (unable to clean)        00000000000000000000000000000000        I
C:\Users\Babshuhn\AppData\Local\Temp\k8h0pp.exe        a variant of Win32/Kryptik.AGCX trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Babshuhn\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\593fb60b-1e5aa1c5        Java/Exploit.Agent.NBE trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Babshuhn\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\4295c110-5bdd01c6        a variant of Java/Exploit.Agent.NCD trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Babshuhn\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\5b56fce1-53afa94e        a variant of Java/Exploit.Blacole.AB trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Babshuhn\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\37db3fe2-3ff1b3f2        Java/TrojanDownloader.Agent.ME trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Babshuhn\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\15cb8b68-3539280f        a variant of Java/Exploit.CVE-2011-3544.AK trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Babshuhn\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\751e7328-6b18e101        a variant of Java/Exploit.Blacole.AN trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Babshuhn\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\54cfd1ef-49d8dbe7        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Users\Babshuhn\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\7c18d505-28601465        a variant of Java/TrojanDownloader.OpenStream.NCE trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\Babshuhn\Documents\Downloads\nslauncher.exe        probably unknown NewHeur_PE virus (unable to clean)        00000000000000000000000000000000        I
C:\_OTL\MovedFiles.rar        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\_OTL\MovedFiles\06062012_230208\C_Users\Babshuhn\AppData\Local\Skype\SkypePM.exe        a variant of Win32/Kryptik.AGCX trojan (unable to clean)        00000000000000000000000000000000        I
C:\_OTL\MovedFiles\06062012_230208\C_Users\Babshuhn\AppData\Roaming\toolplugin\toolbar.dll        Win32/Adware.ToolPlugin application (unable to clean)        00000000000000000000000000000000        I
D:\Sven\SoftonicDownloader_fuer_audiosurf.exe        Win32/SoftonicDownloader.C application (unable to clean)        00000000000000000000000000000000        I

und vielen dank das du mir hilfst :)

cosinus 08.06.2012 13:11

Zitat:

C:\Nordschlacht\updater.exe
Was soll das denn sein? :confused:

Zitat:

D:\Sven\SoftonicDownloader_fuer_audiosurf.exe
Finger weg von Softonic!! :pfui:

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

svenphili 08.06.2012 17:45

Nordschlacht is nichts schlimmes das ist ein Privat Server von world of warcraft ^^
und bei dem von softonic keine ahnugn warum ich das habe O.o

cosinus 08.06.2012 17:57

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131