Trojaner-Board
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   20 Tan Trojaner auch bei mir (https://www.trojaner-board.de/92152-20-tan-trojaner-mir.html)

martin0815 23.10.2010 23:29
20 Tan Trojaner auch bei mir
 
auch ich habe mir irgendwie diesen 20 Tan Trojaner eingefangen.

Natürlich will ich ihn auch wieder loswerden. Eine Neuinstallation möchte ich mir momentan sparen.

bisher durchgeführte Maßnahmen:

Komplettscan mit Avira Antivirus (von Linux CD gebootet und Antivir gestartet, natürlich erst virendatei aktualisiert), gefunden wurde ein JAVA/Rowindal.R, habe ich entfernen lassen.

Desweiteren wurde von Antimalware bei einem ersten Durchlauf ein Trojan.Bancos gefunden, die "infizierte" Datei war aber ein offizieller Patch für ein Game, daher vermute ich hier eine falsche Erkennung, zumal die datei auch schon wesentlich älter war und seit der letzten Windows Komplettinstallation auch nicht mehr ausgeführt wurde.

Auch bekam ich gerade eine Meldung das auf eine datei im "system volume information" Ordner zugegriffen werden sollte und antivir den zugriff gesperrt hat, weil es sich um den Virus "TR/Trash.gen" handelt.

anbei die Logs von OTL und Antimalware (einmal mit der erkennung von trojan.bancos, und einmal der durchlauf danach)

weitere logs von antimalware oder otl habe ich nicht, da ich beide Programme heute zum ersten Mal benutzt habe.

zu beachten ist auch noch das ich am Do und Fr keine Internetverbindung hatte, und so im OTL Log ein paar Fehlermeldungen enthalten sind weil Antivir sich nicht aktualisieren konnte.

Ich hoffe ich habe alle Infos gegeben, wenn noch etwas fehlt einfach bescheid geben.

cosinus 23.10.2010 23:54
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten!

martin0815 24.10.2010 00:02
nunja... wie bereits erwähnt gibt es keine weiteren logs... hatte mit dieser Frage ja bereits gerechnet... ;-)

cosinus 24.10.2010 00:20
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
MOD - C:\WINDOWS\system32\oskgman.dll ()
O32 - AutoRun File - [2002.09.09 00:35:54 | 000,200,104 | ---- | M] () - D:\AUTO.pat -- [ NTFS ]
O32 - AutoRun File - [2002.09.09 00:35:54 | 000,007,316 | ---- | M] () - D:\AUTO.pst -- [ NTFS ]
O32 - AutoRun File - [2005.01.03 00:56:02 | 000,000,000 | ---- | M] () - D:\.autoreg -- [ NTFS ]
O33 - MountPoints2\{2c318317-6e28-11df-975a-001b11b262e6}\Shell\AutoRun\command - "" = I:\InstallTomTomHOME.exe -- File not found
O33 - MountPoints2\{45b70764-0d87-11de-ab15-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{45b70764-0d87-11de-ab15-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{45b70764-0d87-11de-ab15-806d6172696f}\Shell\AutoRun\command - "" = F:\Bin\assetup.exe -- File not found
O36 - AppCertDlls: nlsfnsta - (C:\WINDOWS\system32\oskgman.dll) - C:\WINDOWS\system32\oskgman.dll ()
[2010.10.23 17:35:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\LogFiles
[2010.10.21 02:13:21 | 000,000,000 | -HSD | C] -- C:\found.004
[2010.10.21 01:05:34 | 000,000,000 | -HSD | C] -- C:\found.003
[2010.10.20 19:56:53 | 000,000,000 | -HSD | C] -- C:\found.002
[2010.10.17 17:35:06 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Anwendungsdaten\{A4B500C8-F3EB-4AD9-9762-515CCA35FD16}
[2010.10.18 04:13:33 | 000,049,152 | -H-- | M] () -- C:\WINDOWS\System32\oskgman.dll
[2010.09.30 20:09:06 | 000,001,024 | ---- | C] () -- C:\.rnd
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

martin0815 24.10.2010 00:33
kurz nachdem ich den "Fix Button" angeklickt habe, ist die Taskleiste verschwunden und OTL "eingefroren", also es steht nun (keine Rückmeldung) in der Titelleiste von OTL

was nu?

cosinus 24.10.2010 00:39
Probiers bitte nochmal.

martin0815 24.10.2010 01:14
Liste der Anhänge anzeigen (Anzahl: 1)
wieder "keine Rückmeldung".... sieht genauso aus wie beim ersten Mal...

anbei mal nen Foto von den Meldungen in OTL

martin0815 24.10.2010 02:58
so... habe es geschafft es durchlaufen zu lassen... lag daran das im Laufwerk F: keine CD drin war...

die oskgman.dll hatte ich zwischenzeitlich manuell entfernt (Linux von Live CD gestartet) bevor ich auf die Idee mit der CD kam...

cosinus 24.10.2010 13:53
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

martin0815 24.10.2010 15:22
nach dem neustart des PC meldete sich jetzt die firewall das das Programm catchme.tmp versucht programmteile in einem anderen Prozess auszuführen, und es wird gefragt ob ich es erlauben will oder nicht.

soll ich es erlauben oder nicht?

cosinus 24.10.2010 15:35
Natürlich erlauben! Das ist von Combfix!

martin0815 24.10.2010 15:44
ah, ok, habe es erlaubt.

soll ich combifix dann nochmal durchlaufen lassen, es war ja fertig bevor ich diesen Zugriff erlaubt habe.

hier erstmal das erste log:

cosinus 24.10.2010 19:21
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

martin0815 24.10.2010 21:14
gmer hat sich 2 mal mit bluescreen verabschiedet.

Osam lief durch, log anbei

MBR Check hat 2 mal den Rechner eingefroren, ging nur noch ein reset. Wenn ich das richtig sehe passierte dies jeweils als es den MBR checken wollte...

ich könnte da aber auch nochmal den MBR mit avira von ner Linux Live Cd prüfen lassen....

cosinus 25.10.2010 07:45
Das Log von mbrcheck ist unvollständig...


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:05 Uhr.
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131