Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Polizei Virus (https://www.trojaner-board.de/130500-polizei-virus.html)

cosinus 05.02.2013 08:38

Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
:OTL
DRV - (gqorbfjs) -- C:\Windows\system32\drivers\gqorbfjs.sys File not found
IE - HKU\S-1-5-21-4277074426-3687905307-1399999662-1000\..\SearchScopes\{A89B7D27-C3ED-4FAA-83E3-02E014612E5F}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2319825
O2 - BHO: (Mein Gutscheincode Finder zeigt automatisch Shopping-Gutscheine an mit denen Sie beim Online-Einkauf sparen können.) - {1ED16E0A-E8C4-40A0-8BC2-79485D21F796} - C:\Programme\Mein Gutscheincode Finder\Internet Explorer\x86\ConversionOneIE.dll (Conversion One GmbH)
[2013.02.04 03:57:34 | 000,000,512 | ---- | C] () -- C:\Users\yourajassef\Desktop\MBR.dat
[2013.01.27 01:01:43 | 000,000,076 | RHS- | M] () -- C:\Windows\CT4CET.bin
[2013.02.03 10:41:45 | 000,013,997 | ---- | C] () -- C:\Users\yourajassef\Desktop\S+TOdLM+.htm.part.htm
:Files
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

yourajassef 05.02.2013 09:41
Hallo,

hier:

Code:
All processes killed
========== OTL ==========
Service gqorbfjs stopped successfully!
Service gqorbfjs deleted successfully!
File  C:\Windows\system32\drivers\gqorbfjs.sys File not found not found.
Registry key HKEY_USERS\S-1-5-21-4277074426-3687905307-1399999662-1000\Software\Microsoft\Internet Explorer\SearchScopes\{A89B7D27-C3ED-4FAA-83E3-02E014612E5F}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A89B7D27-C3ED-4FAA-83E3-02E014612E5F}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1ED16E0A-E8C4-40A0-8BC2-79485D21F796}\ deleted successfully.
C:\Programme\Mein Gutscheincode Finder\Internet Explorer\x86\ConversionOneIE.dll moved successfully.
C:\Users\yourajassef\Desktop\MBR.dat moved successfully.
C:\Windows\CT4CET.bin moved successfully.
C:\Users\yourajassef\Desktop\S+TOdLM+.htm.part.htm moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\yourajassef\Desktop\cmd.bat deleted successfully.
C:\Users\yourajassef\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: yourajassef
->Temp folder emptied: 1028571 bytes
->Temporary Internet Files folder emptied: 10414527 bytes
->Java cache emptied: 3448310 bytes
->FireFox cache emptied: 227467488 bytes
->Apple Safari cache emptied: 130806784 bytes
->Flash cache emptied: 1950 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 30758040 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 385,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.69.0 log created on 02052013_093219

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

cosinus 05.02.2013 09:53
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


yourajassef 05.02.2013 10:11
Hallo,

Malaware: --> keine infizierte Objekte

Code:
Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.05.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
yourajassef :: YOURAJASSEF-PC [Administrator]

Schutz: Aktiviert

05.02.2013 10:04:37
mbam-log-2013-02-05 (10-04-37).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 212716
Laufzeit: 4 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
ESET folgt ...

ESET:

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6889
# api_version=3.0.2
# EOSSerial=c72c194dcad2c7418f3194055ad0e592
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-02-05 11:38:23
# local_time=2013-02-05 12:38:23 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776574 100 100 56391398 197597031 0 0
# scanned=249706
# found=6
# cleaned=0
# scan_time=8559
C:\Users\yourajassef\Downloads\Neuer Ordner\Megaplayer.exe        probably a variant of Win32/StartPage.JSROPEO trojan        0DB043B9F4D868ED74D8DAD35FE8A37D33DC63E5        I
C:\Users\yourajassef\Downloads\Neuer Ordner\vlc-1.1.9-win32.exe        Win32/StartPage.OIE trojan        1D435CA0C4BA455742225989F95CC529198E86DB        I
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U1XHZX0B\upgrade[1].cab        a variant of Win32/Adware.OneStep.Z application        F8E564130624735508A87A52F162FF03253AFA01        I
E:\desktop 2011\LS-DYNA\LSTC_LS-DYNA_V9\legend.001        probably a variant of Win32/Agent.MFFSTCY trojan        B646860190B1A5DBB6A7761F0E7AF1A481C21617        I
E:\desktop 2011\LS-DYNA\LSTC_LS-DYNA_V9.71_WIN32-LND.rar        probably a variant of Win32/Agent.MFFSTCY trojan        96781BE1C1CE8B9711F572430E67E74CB94685C8        I
E:\Downloads\(2) ???? ????? ????.rar        Win32/Bifrose.NEL trojan        BD4CF6D6C8A773323406C40006175CABD9B21693        I
P.S.: die 6 infizierte Dateien, brauche ich alle nicht und kann die gerne löschen :)

cosinus 06.02.2013 09:26
Zitat:
E:\desktop 2011\LS-DYNA\LSTC_LS-DYNA_V9.71_WIN32-LND.rar
Was soll denn das sein?

yourajassef 06.02.2013 10:38
Zitat:
Zitat von cosinus (Beitrag 1006701)
Was soll denn das sein?
LS-DYNA ist ein Simulationsprogramm und wird vorallem für Crashtest-Simulationen angewendet.

Das habe ich mal während meines Studiums gebraucht. Jetzt aber nicht mehr.

Soll ich die Datei einfach löschen?

cosinus 06.02.2013 11:36
Ja löschen. Sieht mir auch aus, als hättest du das Zeug aus irgendeiner dubiosen Quelle. Naja brauchst ja eh nicht mehr

yourajassef 06.02.2013 20:11
Hallo,

ich habe alle 6 Datein unten und alle temporärern Internetdatein gelöscht und den Papierkorb geleert

Zitat:
Zitat von yourajassef
C:\Users\yourajassef\Downloads\Neuer Ordner\Megaplayer.exe probably a variant of Win32/StartPage.JSROPEO trojan 0DB043B9F4D868ED74D8DAD35FE8A37D33DC63E5 I
C:\Users\yourajassef\Downloads\Neuer Ordner\vlc-1.1.9-win32.exe Win32/StartPage.OIE trojan 1D435CA0C4BA455742225989F95CC529198E86DB I
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U1XHZX0B\upgrade[1].cab a variant of Win32/Adware.OneStep.Z applicationF8E564130624735508A87A52F162FF03253AFA01 I
E:\desktop 2011\LS-DYNA\LSTC_LS-DYNA_V9\legend.001 probably a variant of Win32/Agent.MFFSTCY trojan B646860190B1A5DBB6A7761F0E7AF1A481C21617 I
E:\desktop 2011\LS-DYNA\LSTC_LS-DYNA_V9.71_WIN32-LND.rar probably a variant of Win32/Agent.MFFSTCY trojan 96781BE1C1CE8B9711F572430E67E74CB94685C8 I
E:\Downloads\(2) ???? ????? ????.rar Win32/Bifrose.NEL trojan BD4CF6D6C8A773323406C40006175CABD9B21693 I

cosinus 06.02.2013 21:49
Sollte dann i.O. sein und sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

yourajassef 06.02.2013 23:52
danke für die Ratschläge:

Ich habe ESET nochmal durchgeführt. Ich habe diesmal auch meine externe Festplatte mitgescant. (F:/)
Wieder 6 Objekte gefunden:
- Die 2 ersten, weiß ich nicht was das ist!
- 3. finde ich irgendwie nicht. Ich konnte bis hier navigieren (C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows) Der Ordner Windows ist aber leer. Ich habe auch die Option "alle Ordner anzeigen" geprüft.
- die 3 letzten habe ich gelöscht

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6889
# api_version=3.0.2
# EOSSerial=c72c194dcad2c7418f3194055ad0e592
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-02-06 10:31:52
# local_time=2013-02-06 11:31:52 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776574 100 100 56517007 197722640 0 0
# scanned=294615
# found=6
# cleaned=0
# scan_time=11793
C:\$RECYCLE.BIN\S-1-5-21-4277074426-3687905307-1399999662-1000\$RACPLV0.exe        probably a variant of Win32/StartPage.JSROPEO trojan        0DB043B9F4D868ED74D8DAD35FE8A37D33DC63E5        I
C:\$RECYCLE.BIN\S-1-5-21-4277074426-3687905307-1399999662-1000\$RZKPN0E.exe        Win32/StartPage.OIE trojan        1D435CA0C4BA455742225989F95CC529198E86DB        I
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U1XHZX0B\upgrade[1].cab        a variant of Win32/Adware.OneStep.Z application        F8E564130624735508A87A52F162FF03253AFA01        I
F:\Neuer Ordner\mein PC\Yourajassef\fichiers d´installation\Nero 8.1.1.4 en Français + Keygen\Nero 8.1.1.4 en Français + Keygen\Nero 8.x Keygen.exe        probably a variant of Win32/Injector.DW trojan        C17427850F929029849412ED658E83F6F845ED2A        I
F:\Neuer Ordner\mein PC\Yourajassef\fichiers d´installation\MsgPlusLive-450.exe        a variant of Win32/Adware.CiDHelp application        7D4F1B28E7C3735F64C3D68534851C6DABA9E4E3        I
F:\Neuer Ordner\mein PC\Yourajassef\fichiers d´installation\Nero 8.1.1.4 en Français + Keygen.zip        probably a variant of Win32/Injector.DW trojan        E503370B80BA7DD86F010182F4CDF0B488C11C3A        I
Ich bedanke mich nochmal sehr bei Euch und habe noch 2 Fragen.

1- was brauche ich noch von den Programmen, die ich nach Deinen Anweisungen nicht mehr (OTL, gmer, aswMBR, malawarebytes....)?

2- Könntest Du mir den Link zur Bankverbindung (falls eine gibt). Ich will was kleines spenden. Denn das ist ja eine große Leistung, was Ihr hier bringt. Ihr investiert echt viel Zeit.

Danke sehr

cosinus 07.02.2013 00:39
Zitat:
F:\Neuer Ordner\mein PC\Yourajassef\fichiers d´installation\Nero 8.1.1.4 en Français + Keygen.zip
:twak: :pfui:

Warum hast du diesen Dreck auf deinen Datenträgern? :balla:

yourajassef 07.02.2013 06:52
Hallo,
ehrlich gesagt, ich weiß nicht mehr voher ich das hatte. das ist aber sehr alt. wahrscheinlich 8 Jahre alt oder so :)

Zitat:
Zitat von yourajassef
Ich bedanke mich nochmal sehr bei Euch und habe noch 2 Fragen.

1- was brauche ich noch von den Programmen, die ich nach Deinen Anweisungen installiert oder abgespeichert habe, nicht mehr (OTL, gmer, aswMBR, malawarebytes....)? was soll ich löschen und was soll ich beibehalten?

2- Könntest Du mir den Link zur Bankverbindung (falls eine gibt). Ich will was kleines spenden. Denn das ist ja eine große Leistung, was Ihr hier bringt. Ihr investiert echt viel Zeit.

Danke sehr

cosinus 07.02.2013 10:48
Da hast du aber Glück gehabt, wenn ich das am Anfang entdekct hätte wäre das hier der Support gewesen => Neuinstallation von Windows

Lass in Zukunft die Finger von riskantem und illegalem Zeug wie Cracks oder Keygen! :nono:

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

yourajassef 07.02.2013 18:48
ich finde immernoch das hier, obwohl ich alle temp. Internetdateien vor dem scan gelöscht habe!

Code:
C:\$RECYCLE.BIN\S-1-5-21-4277074426-3687905307-1399999662-1000\$RD9W4EM\Temporary Internet Files\Content.IE5\U1XHZX0B\upgrade[1].cab

cosinus 08.02.2013 11:03
TFC - Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:57 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131