Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Antivirus Meldung - Komische einträge im Autostart (https://www.trojaner-board.de/123670-antivirus-meldung-komische-eintraege-autostart.html)

limose 07.09.2012 15:06
Antivirus Meldung - Komische einträge im Autostart
 
Hallo,

ich war gerade gemütlich in Facebook und plötzlich sprang mein AntiVirus an. (Ich habe keine unseriösen Links angeklickt etc.).
Ich schaute dann im Autostart und habe folgende merkwürdige Einträge gefunden:

Zitat:
Ozhio - C:\Users\***\AppData\Roaming\Akofra\mysib.exe
Gypywisiil - C:\Users\***\AppData\Roaming\Lupa\ytme.exe
Yzzexaegup - C:\Users\***\AppData\Roaming\Waoz\ymnaf.exe
Außerdem habe ich noch im AppData\Roaming andere komische Ordner gefunden, die allerdings auch unbekannte Dateiendungen haben.

Mein Betriebssystem ist Windows 7 64 Bit.

Zudem muss ich sagen das ich vor 4 Wochen sowas ähnliches hatte,
habe dann im abgesicherten Modus alles mit Malwarebytes Anti Malware löschen können.

Ich währe sehr dankbar wenn sich jemand Zeit für mich nimmt.

Mit freundlichen Grüßen
limose

markusg 07.09.2012 17:28
hi
ne, du hast nicht alles löschen können, denn kein programm hat ne 100 %ige erkennung, deswegen sind automatische scans niemals zuverlässig, und eine manuelle analyse immernötig


ersetze *** im script durch nutzernamen

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
F3 - HKU\S-1-5-21-3620383671-203363365-66138905-1001 WinNT: Load - (C:\Users\***\LOCALS~1\Temp\msffzl.cmd) - C:\Users\***\LOCALS~1\Temp\msffzl.cmd ()
F3:64bit: - HKU\S-1-5-21-3620383671-203363365-66138905-1001 WinNT: Load - (C:\Users\***\LOCALS~1\Temp\msffzl.cmd) - C:\Users\***\LOCALS~1\Temp\msffzl.cmd ()
O4 - HKU\S-1-5-21-3620383671-203363365-66138905-1001..\Run: [Yzzexaegup] C:\Users\***\AppData\Roaming\Waoz\ymnaf.exe ()
O4 - HKU\S-1-5-21-3620383671-203363365-66138905-1001..\Run: [Ozhio] C:\Users\***\AppData\Roaming\Akofra\mysib.exe ()
O4 - HKU\S-1-5-21-3620383671-203363365-66138905-1001..\Run: [Gypywisiil] C:\Users\***\AppData\Roaming\Lupa\ytme.exe ()
O4 - HKU\S-1-5-21-3620383671-203363365-66138905-1001..\Run: [ATI] C:\Users\***\AppData\Roaming\276FDC.exe ()
[2012.09.07 15:08:00 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\6878286
[2012.09.07 15:03:29 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Xykiev
[2012.09.07 15:03:29 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Ubelp
[2012.09.07 15:03:29 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Hyly
[2012.09.07 15:02:42 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Xeilk
[2012.09.07 15:02:42 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Wyisol
[2012.09.07 15:02:42 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Lovuso
[2012.09.07 09:02:44 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Weowu
[2012.09.07 09:02:44 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Lupa
[2012.09.07 09:02:44 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Itosiw
[2012.09.07 09:02:13 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Ywagob
[2012.09.07 09:02:13 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Gyiran
[2012.09.07 09:02:13 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Akofra
[2012.09.07 09:02:04 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Ylaqz
[2012.09.07 09:02:04 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Waoz
[2012.09.07 09:02:04 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Naycw
 :Files
C:\Users\***\LOCALS~1\Temp\msffzl.cmd
C:\Users\***\AppData\Roaming\Waoz
C:\Users\***\AppData\Roaming\Akofra
C:\Users\***\AppData\Roaming\Lupa
C:\Users\***\AppData\Roaming\276FDC.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

limose 07.09.2012 18:14
Hallo markusg,

vielen dank fürs helfen schonmal.
Gemacht, getahn.
MovedFiles.zip ist gerade am uploaden, allerdings ladet es endlos weswegen ich langsam bezweifel das die .zip Datei ankommt.

Edit: Erfolgreich angekommen, sprich upload ohne probleme.

markusg 07.09.2012 18:15
hatt geklappt!

nutzt du den pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

limose 07.09.2012 18:21
Zitat:
Zitat von markusg (Beitrag 910711)
hatt geklappt!

nutzt du den pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
Hi,

nicht direkt Onlinebanking, allerdings hab ich einige "Amazon Gutscheine" im Paysavecard System gespeichert.
Bestimmt ratest du mir den PC neuaufzusetzen, richtig?
Währe nämlich schade weil das vor 5 oder 6 Wochen schon wegen einem File Injector der fall war, sehr zeit aufwändig.

limose 08.09.2012 20:05
24 Stunden sind vergangen und ich "pushe" den Thread mal,
damit er nicht untergeht.

Hoffe das ist nicht verboten, ich möchte auch nicht drängen.

markusg 10.09.2012 17:25
hi
3 tage ist eig die normale zeit, zumal wir uns auch, so hoffe ich, nen wochenende verdient haben :-)
formatieren ist nötig.

der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131