Trojaner-Board - Nach PC Start spielt sich immer wieder dasselbe Lied ab.

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Nach PC Start spielt sich immer wieder dasselbe Lied ab. (https://www.trojaner-board.de/126715-pc-start-spielt-immer-dasselbe-lied-ab.html)

Nach PC Start spielt sich immer wieder dasselbe Lied ab.

Guten Abend zusammen,
Ich wollte meiner Freundin nur ein Lied runterladen und schon hatte ich eins mit Virus erwischt.
Also..
Immer wenn ich meinen Computer neustarte, spielt sich dieses Lied ab.
Virus wird angezeigt,und von meinem Antiviren Programm auch direkt "entfernt".
Steht zwar so da,ist aber immer wieder dasselbe.
Im Anhang sind die Dateien mit den Scans etc.
mfg.

hi
falls du deinen nutzernamen geendert hast, passe ihn im folgenen script an

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O4 - HKCU..\Run: [JavaUpdater] C:\Users\Computer\AppData\Roaming\JavaUpdater\Alicia Keys Feat Nicki Minaj Girl On Fire*4pm.exe (Microsoft)

 :Files

C:\Users\Computer\AppData\Roaming\JavaUpdater

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Alles getan..
Musik Datei spielt sich schonmal nicht mehr ab.

Code:

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\JavaUpdater deleted successfully.

File C:\Users\Computer\AppData\Roaming\JavaUpdater\Alicia Keys Feat Nicki Minaj Girl On Fire*4pm.exe not found.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: All Users

 

User: Computer

->Flash cache emptied: 1506 bytes

 

User: Default

 

User: Default User

 

User: Public

 

User: UpdatusUser

->Flash cache emptied: 0 bytes

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: All Users

 

User: Computer

->Temp folder emptied: 179496 bytes

->Temporary Internet Files folder emptied: 1212818 bytes

->Java cache emptied: 2133855 bytes

->FireFox cache emptied: 49059006 bytes

->Google Chrome cache emptied: 343941738 bytes

->Apple Safari cache emptied: 0 bytes

->Opera cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 696 bytes

RecycleBin emptied: 76046 bytes

 

Total Files Cleaned = 378,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 11082012_215426
 

Files\Folders moved on Reboot...

File\Folder C:\Users\Computer\AppData\Local\Temp\etilqs_3xPGBu4gf3xtiCd not found!

File\Folder C:\Users\Computer\AppData\Local\Temp\etilqs_4XgRaQHLSnafLi9 not found!

File\Folder C:\Users\Computer\AppData\Local\Temp\etilqs_dZcZfG69wTp7S7d not found!

File\Folder C:\Users\Computer\AppData\Local\Temp\etilqs_jx6rFxp2RnOHXRQ not found!
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

Den Zip-Ordner habe ich auch hochgeladen.

öffne bitte mse, poste alle funde als text, man sollte sie kopieren können wenn man sich die details anzeigen lässt

Dort ist nichts neues mehr.

ich möchte die alten funde, als text nicht als grafik

Weiß nicht genau was jetzt.

Zitat:

Backdoor:Win32/Fynloski.A (?)

Encyclopedia entry
Updated: Dec 21, 2011 | Published: Feb 10, 2011

Aliases
W32/Fynloski.Q (Norman)
BDS/Bancodor.A (Avira)
BackDoor.Comet.origin (Dr.Web)
Backdoor.Win32.Bancodor (Ikarus)
Backdoor.Badcodor (Symantec)
BKDR_COMDAR.SMI (Trend Micro)

Alert Level (?)
Severe

Antimalware protection details
Microsoft recommends that you download the latest definitions to get protected.
Detection last updated:
Definition: 1.139.1642.0
Released: Nov 08, 2012 Detection initially created:
Definition: 1.93.1605.0
Released: Nov 10, 2010

das?

nein, eig die fundmeldung mit pfadangabe.
müsste wie gesagt über die details des fundes zu finden sein.
gibt es noch weitere, ältere fundmeldungen, dann poste alle

Zitat:

file:C:\Users\Computer\AppData\Local\Temp\NEWSTUB.EXE

bei dem anderen steht nur

Zitat:

process:pid:3004

ja jetzt hab ich eine pfadangabe, aber ohne fundmeldungen, bitte gehe doch mal alle funde durch, poste da die pfadangabe + passene fundmeldung

dann hier

Zitat:

VirTool:Win32/Vbinder.CO
process:pid:2812

und hier

Zitat:

Backdoor:Win32/Fynloski.A
file:C:\Users\Computer\AppData\Local\Temp\NEWSTUB.EXE

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ich bekomm jetzt immer die Meldung hier,wenn ich versuchen möchte etwas zu öffnen.
Sei es den Browser oder das Textdokument.
Sobald ich es als Administrator ausführe funktioniert es aber,ausser halt beim Textdokument.

steht ja da, nach combofix neustarten, tritt das dann noch immer auf?

Verdammt..
Nein dann gehts!