| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: schweizer eidgenossenschaft - trojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.09.2012, 09:43
| #1 |
 |  schweizer eidgenossenschaft - trojaner hallo zusammen habe mir wohl auch diesen plagegeist der mit dem fakelogo der schweizer eidgenossenschaft eingefangen. da ich ein laie bin bin ich schon ziemlich am anschlag... kann mir jemand sagen wie ich OLT oder malwarebytes überhaupt downloaden resp starten kann? das weisse bild sperrt ja mein pc! wäre toll hilfe zu bekommen  greetz mickyxx |
|
01.09.2012, 14:11
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | schweizer eidgenossenschaft - trojaner Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?
__________________Abgesicherter Modus zur Bereinigung
__________________ |
|
01.09.2012, 14:21
| #3 |
| | schweizer eidgenossenschaft - trojaner hallo! danke, dass du dich meldest!
__________________ja das geht noch. nun habe ich eine auswahl 3linien: - microsoft windows recovery console - do not select this (debugger aktiviert) - microsoft windows xp home edition soory, sieht scheisse aus, bin am handy :-( was soll ich auswählen? ach ja, ganz unten steht in blau: abgesicherter modus mit netzwerktreibern soll ich das "abgesicherter modus mit netzerktreibern" wählen? hallo zusammen bis jetzt konnte mir scheinbar noch niemand helfen. habe per cd boot ein otlp scan fertiggebracht. das logfile habe ich auf ein usb-stick geladen. werde ich hier posten sobald ich wieder au einen anderen pc zugriff habe. probleme: hätte zwar eine internetverbindung auf dem otlp desktop aber die tastatur reagiert nicht. vermutlich ist etwas mit den treibern nicht mehr ok. maus funktioniert aber! sonst hätte ich das log hier schon drauf und könnte otl runterladen um zu fixen. habe nicht wie im fall von djiana zwei txt dateien. es wurde nur otl.txt kreiert extras.txt fehlt. otlp logfile liefere ich baldmöglichst nach, hoffe dass mir jemand ein script machen kann. Hier das OTLP Logfile:OTL Logfile: Code:
ATTFilter OTL logfile created on: 9/1/2012 9:43:07 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): I:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298.08 Gb Total Space | 147.55 Gb Free Space | 49.50% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003
========== Win32 Services (SafeList) ==========
SRV - File not found [On_Demand] -- -- (AppMgmt)
SRV - [2012/07/12 12:32:22 | 001,239,952 | ---- | M] (Lavasoft Limited) [Auto] -- C:\Programme\Ad-Aware Antivirus\AdAwareService.exe -- (Ad-Aware Service)
SRV - [2012/02/26 19:15:42 | 000,055,144 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011/12/19 07:20:06 | 003,289,032 | ---- | M] (GFI Software) [Auto] -- C:\Programme\Ad-Aware Antivirus\SBAMSvc.exe -- (SBAMSvc)
SRV - [2011/10/13 16:04:18 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2009/07/20 05:51:52 | 000,935,208 | ---- | M] (Nero AG) [Auto] -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0)
SRV - [2008/12/24 10:52:08 | 000,068,136 | ---- | M] () [Auto] -- C:\Programme\Gigabyte\EasySaver\ESSVR.EXE -- (ES lite Service)
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [File_System | Boot] -- -- (Lbd)
DRV - File not found [Kernel | On_Demand] -- -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - File not found [Kernel | On_Demand] -- -- (catchme)
DRV - [2012/08/31 17:29:14 | 000,016,608 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\gdrv.sys -- (gdrv)
DRV - [2011/12/19 06:44:24 | 000,335,224 | ---- | M] (GFI Software) [Kernel | System] -- C:\WINDOWS\system32\drivers\SbFw.sys -- (SbFw)
DRV - [2011/12/19 06:44:24 | 000,217,976 | ---- | M] (GFI Software) [Kernel | System] -- C:\WINDOWS\system32\drivers\sbtis.sys -- (sbtis)
DRV - [2011/11/29 00:59:52 | 000,077,816 | ---- | M] (GFI Software) [File_System | Auto] -- C:\WINDOWS\system32\drivers\sbapifs.sys -- (sbapifs)
DRV - [2011/11/29 00:59:48 | 000,021,240 | ---- | M] (GFI Software) [Kernel | System] -- C:\WINDOWS\system32\drivers\sbaphd.sys -- (sbaphd)
DRV - [2011/10/26 08:23:40 | 000,101,112 | ---- | M] (GFI Software) [Kernel | System] -- C:\WINDOWS\system32\drivers\SBREDrv.sys -- (SBRE)
DRV - [2011/09/29 06:16:18 | 000,094,584 | ---- | M] (GFI Software) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SbFwIm.sys -- (SBFWIMCLMP)
DRV - [2011/09/29 06:16:18 | 000,094,584 | ---- | M] (GFI Software) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SbFwIm.sys -- (SBFWIMCL)
DRV - [2009/08/15 10:45:07 | 000,005,632 | ---- | M] () [File_System | System] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009/08/11 03:19:20 | 000,056,992 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nvhda32.sys -- (NVHDA)
DRV - [2009/01/13 07:10:08 | 005,015,040 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/10/30 09:14:20 | 000,117,888 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2008/06/01 03:13:10 | 000,034,064 | ---- | M] (CACE Technologies) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\npf.sys -- (npf)
DRV - [2007/03/12 09:25:24 | 000,101,520 | ---- | M] (Syntek Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\STK02NW2.sys -- (DCamUSBSTK02N)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\M.vil_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\M.vil_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\M.vil_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre7\bin\new_plugin\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: C:\Programme\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=12.0.1.669: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=12.0.1.669: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=12.0.1.669: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.669: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=12.0.1.669: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011/10/16 15:18:47 | 000,000,000 | ---D | M]
O1 HOSTS File: ([2011/10/13 09:05:10 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (SearchCore for Browsers) - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Programme\SearchCore for Browsers\SearchCore for Browsers\BrowserConnection.dll (Bandoo Media, inc)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\M.vil_ON_C\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\M.vil_ON_C\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O4 - HKLM..\Run: [Ad-Aware Antivirus] C:\Programme\Ad-Aware Antivirus\AdAwareLauncher.exe (Lavasoft Limited)
O4 - HKLM..\Run: [Ad-Aware Browsing Protection] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection\adawarebp.exe (Lavasoft)
O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [MsgCenterExe] File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\programme\real\realplayer\update\realsched.exe (RealNetworks, Inc.)
O4 - HKU\M.vil_ON_C..\Run: [Badoo Desktop] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Badoo\Badoo Desktop\1.6.55.1183\Badoo.Desktop.exe (Badoo)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\STK02N 2.0 PNP Monitor.lnk = C:\WINDOWS\STK02N\STK02NM.exe (Syntek Ltd.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\M.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\M.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\M.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Java Plug-in 1.7.0)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Java Plug-in 1.7.0)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Java Plug-in 1.7.0)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - AppInit_DLLs: (I:\PROGRA~1\SEARCH~1\SEARCH~1\datamngr.dll) - File not found
O20 - AppInit_DLLs: (I:\PROGRA~1\SEARCH~1\SEARCH~1\IEBHO.dll) - File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\M.vil_ON_C Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\M.vil_ON_C Winlogon: Shell - (I:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.dat) - C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.dat ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2012/08/27 03:05:31 | 000,077,816 | ---- | C] (GFI Software) -- C:\WINDOWS\System32\drivers\sbapifs.sys
[2012/08/27 03:04:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\M.vil\Lokale Einstellungen\Anwendungsdaten\adaware
[2012/08/27 03:04:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ad-Aware Antivirus
[2012/08/27 03:04:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\VDD
[2012/08/27 03:04:18 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012/08/27 02:51:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\M.vil\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
[2012/08/05 08:33:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Badoo
[2012/08/05 08:33:41 | 003,226,768 | ---- | C] (Badoo) -- C:\Programme\badoo.desktop.installer-1.6.55.exe
[2012/05/27 06:01:53 | 018,670,328 | ---- | C] (Lavasoft Limited) -- C:\Programme\Ad-Aware_Antivirus_Free_Setup_10.1.211.3382.exe
[2012/05/24 10:45:54 | 004,587,128 | ---- | C] (Lavasoft Limited) -- C:\Programme\Adaware_Installer.exe
[2012/04/06 11:51:59 | 114,740,416 | ---- | C] (Youdagames) -- C:\Programme\Governor_of_Poker_2_Premium_Edition.exe
[2011/10/16 15:15:17 | 000,676,624 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\RealPlayer_de.exe
[2011/10/13 16:03:48 | 020,196,744 | ---- | C] (Oracle Corporation) -- C:\Programme\jre-7-windows-i586.exe
[2011/06/24 12:01:51 | 130,359,064 | ---- | C] (Lavasoft ) -- C:\Programme\Ad-Aware90Install.exe
[2011/06/22 09:05:28 | 001,276,752 | ---- | C] (Microsoft Corporation) -- C:\Programme\wlsetup-web.exe
[2011/04/09 13:20:25 | 050,264,486 | ---- | C] (Youdagames) -- C:\Programme\GovernorofPoker_Download.exe
[2009/10/29 12:09:09 | 097,395,640 | ---- | C] (Lavasoft ) -- C:\Programme\Ad-AwareInstallation.exe
[2009/08/15 13:05:58 | 021,935,408 | ---- | C] (Apple Inc.) -- C:\Programme\QuickTimeInstaller.exe
[2009/08/15 11:31:41 | 015,452,536 | ---- | C] (Microsoft Corporation) -- C:\Programme\IE7-WindowsXP-x86-enu.exe
[2009/08/15 10:51:29 | 017,010,016 | ---- | C] (Microsoft Corporation) -- C:\Programme\IE8-WindowsXP-x86-DEU.exe
[2009/08/15 10:44:16 | 057,187,288 | ---- | C] (Nero AG) -- C:\Programme\Nero-9.4.12.3_free.exe
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[10 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2012/08/31 17:30:04 | 000,000,045 | ---- | M] () -- C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.ini
[2012/08/31 17:29:51 | 000,001,587 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware Antivirus.lnk
[2012/08/31 17:29:14 | 000,016,608 | ---- | M] (Windows (R) 2000 DDK provider) -- C:\WINDOWS\gdrv.sys
[2012/08/31 17:29:09 | 000,000,280 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1275210071-1708537768-839522115-1004.job
[2012/08/31 17:29:06 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/08/31 17:29:03 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/08/31 17:25:17 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/08/31 17:00:10 | 000,000,288 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-1275210071-1708537768-839522115-1004.job
[2012/08/31 11:57:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 2).job
[2012/08/27 05:57:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 1).job
[2012/08/27 03:05:40 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Antivirus Scheduled Scan.job
[2012/08/27 03:04:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ad-Aware Antivirus
[2012/08/27 02:49:36 | 004,587,128 | ---- | M] (Lavasoft Limited) -- C:\Programme\Adaware_Installer.exe
[2012/08/26 17:57:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Daily 3).job
[2012/08/23 12:52:25 | 000,696,520 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012/08/23 12:52:25 | 000,073,416 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012/08/05 08:33:59 | 000,001,128 | ---- | M] () -- C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Badoo.Desktop.lnk
[2012/08/05 08:33:59 | 000,001,110 | ---- | M] () -- C:\Dokumente und Einstellungen\M.vil\Desktop\Badoo.Desktop.lnk
[2012/08/05 08:33:48 | 003,226,768 | ---- | M] (Badoo) -- C:\Programme\badoo.desktop.installer-1.6.55.exe
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[10 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files Created - No Company Name ==========
[2012/08/31 17:25:17 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/08/31 17:15:58 | 000,000,045 | ---- | C] () -- C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.ini
[2012/08/05 08:33:59 | 000,001,128 | ---- | C] () -- C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Badoo.Desktop.lnk
[2012/08/05 08:33:59 | 000,001,110 | ---- | C] () -- C:\Dokumente und Einstellungen\M.vil\Desktop\Badoo.Desktop.lnk
[2012/08/05 08:33:58 | 000,001,324 | ---- | C] () -- C:\Dokumente und Einstellungen\M.vil\Startmenü\Programme\Badoo Desktop.lnk
[2012/05/27 05:55:30 | 012,442,112 | ---- | C] () -- C:\Programme\Ad-Aware96Install.msi
[2011/10/31 14:11:55 | 000,000,452 | ---- | C] () -- C:\WINDOWS\STKSensorDetector.ini
[2011/10/19 08:27:01 | 009,859,528 | ---- | C] () -- C:\Programme\BitComet_1.28_x86_setup.exe
[2011/10/16 15:40:29 | 000,286,088 | ---- | C] () -- C:\Programme\SoftonicDownloader_fuer_flv-player.exe
[2011/10/13 08:52:51 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011/10/13 08:52:51 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011/10/13 08:52:51 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011/10/13 08:52:51 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011/10/13 08:52:51 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011/07/25 08:57:49 | 000,000,038 | ---- | C] () -- C:\WINDOWS\AviSplitter.INI
[2011/07/23 14:32:08 | 038,706,010 | ---- | C] () -- C:\Programme\FFSetupSoftonicNoDVDRip270.exe
[2011/07/23 14:29:57 | 038,701,002 | ---- | C] () -- C:\Programme\FFSetup-270.zip
[2011/04/22 04:14:19 | 000,000,064 | ---- | C] () -- C:\WINDOWS\System32\rp_stats.dat
[2011/04/22 04:14:19 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\rp_rules.dat
[2010/12/31 05:53:37 | 000,232,968 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2010/12/31 05:53:35 | 000,232,968 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2010/12/31 05:53:35 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2010/12/22 17:52:47 | 019,985,265 | ---- | C] () -- C:\Programme\vlc-1.1.5-win32.exe
[2010/07/11 09:02:43 | 000,005,755 | ---- | C] () -- C:\Programme\callme.php
[2010/07/10 13:42:28 | 000,013,836 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010/02/22 05:21:34 | 000,002,612 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2009/10/19 14:25:23 | 001,891,432 | ---- | C] () -- C:\Programme\wrar_unplugged_3.6.2.2b.exe
[2009/09/11 16:22:51 | 000,000,518 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009/08/15 13:45:31 | 014,603,672 | ---- | C] () -- C:\Programme\jre-6u3-windows-i586-p-s.exe
[2009/08/15 13:17:28 | 004,936,611 | ---- | C] () -- C:\Programme\emule049c.exe
[2009/08/15 10:45:51 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt
[2009/08/15 10:40:07 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2009/08/14 16:15:47 | 000,164,864 | ---- | C] () -- C:\Dokumente und Einstellungen\M.vil\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/08/14 13:32:00 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009/08/14 13:31:09 | 000,098,256 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/08/14 12:49:57 | 000,208,896 | R--- | C] () -- C:\WINDOWS\System32\igxpun.exe
[2009/08/14 12:40:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009/08/14 12:37:43 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009/08/06 10:50:00 | 002,195,030 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2008/06/01 03:13:10 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2004/08/04 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 08:00:00 | 000,449,236 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/04 08:00:00 | 000,432,928 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 08:00:00 | 000,086,528 | ---- | C] () -- C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.dat
[2004/08/04 08:00:00 | 000,080,544 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/04 08:00:00 | 000,067,884 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
========== LOP Check ==========
[2012/08/31 17:29:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ad-Aware Browsing Protection
[2012/08/05 08:33:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Badoo
[2009/10/05 11:30:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SimCity Societies
[2012/04/06 13:19:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2011/10/12 20:18:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009/12/26 17:23:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2012/04/06 11:52:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Youdagames
[2011/10/12 19:13:08 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
[2011/10/13 15:43:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}
[2010/05/14 13:47:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012/08/27 03:05:40 | 000,001,090 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Antivirus Scheduled Scan.job
[2012/08/27 05:57:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 1).job
[2012/08/31 11:57:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 2).job
[2012/08/26 17:57:00 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 3).job
[2012/05/27 06:00:41 | 000,000,470 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Daily 4).job
========== Purity Check ==========
========== Alternate Data Streams ==========
@Alternate Data Stream - 169 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:34D5AA26
< End of report >
|
|
02.09.2012, 20:44
| #4 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | schweizer eidgenossenschaft - trojanerZitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
02.09.2012, 21:04
| #5 |
| | schweizer eidgenossenschaft - trojaner hey man! tut mir echt leid... war echt nervös in der situation. ich hab keinen blassen schimmer. alles was nicht nach windows oberfläche aussieht ist für mich nur bahnhof. trotzdem bin ich schon stolz den otlp scan fertiggebracht zu haben :-D wäre toll wenn du mir weiterhelfen könntest. geb mir total mühe allem so gut es geht zu folgen! hallo wie soll ich weitermachen? im abgesicherten modus (mit f8) komme ich auch nicht rein, egal ob mit oder ohne internetverbindung. hilft das otlp log nicht? hallo wie soll ich weitermachen? im abgesicherten modus (mit f8) komme ich auch nicht rein, egal ob mit oder ohne internetverbindung. hilft das otlp log nicht? |
|
03.09.2012, 19:48
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | schweizer eidgenossenschaft - trojaner Immer schön mit der Ruhe, bevor ich wasmit OTLPE mache will ich erst die normalen Möglichkeiten ausschöpfen  Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\M.vil_ON_C\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\M.vil_ON_C\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O4 - HKU\M.vil_ON_C..\Run: [Badoo Desktop] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Badoo\Badoo Desktop\1.6.55.1183\Badoo.Desktop.exe (Badoo)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\M.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\M.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\M.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKU\M.vil_ON_C Winlogon: Shell - (I:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.dat) - C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.dat ()
O32 - HKLM CDRom: AutoRun - 1
@Alternate Data Stream - 169 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:34D5AA26
:Files
C:\Dokumente und Einstellungen\M.vil\Anwendungsdaten\msconfig.dat
:Commands
[purity]
[resethosts]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen! 2.) Ordner movedfiles in C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ --> schweizer eidgenossenschaft - trojaner |
|
03.09.2012, 20:13
| #7 |
| | schweizer eidgenossenschaft - trojaner hi. danke für die antwort fürs verständnis: entspricht otl auch otlp? ich habe einfach ein icon otlp auf demselben desktop. wenn ich otl zuerst runterladen muss geht dies nicht, da meine tastatur auf dem otlp desktop nicht funktioniert. eine internetverbindung scheint zu bestehen. leider kann ich aus demselben grund nicht aufs forum zugreifen um den text ins otl zu kopieren. ich muss erst wieder auf einen anderen pc zugreifen können und dein text via usb stick kopieren. gibt es eine möglichkeit die tastatur auf dem otlp desktop zum laufen zu bringen? |
|
03.09.2012, 21:03
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | schweizer eidgenossenschaft - trojaner OTLPE ist die OTL-Version von der bootbaren CD - sollte man nur dann verwenden, wenn Windows sich garnicht mehr starten lässt Und wenn du schon was von OTLPE liest dann lies die Anleitungen auch bitte richtig Wenn du von der OTLPE-CD bootest musst du natürlich OTL nicht mehr runterladen! Mein Fixscript kannst du via USB-Stick auf den Rechner mit geladenem OTLPE rüberbringen
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.09.2012, 21:14
| #9 |
| | schweizer eidgenossenschaft - trojaner ok. beim referenzbeitrag den ich gelesen habe wurde die hilfesuchende person nach dem cd boot von otlp noch aufgefordert otl downzuloaden. aber das erledigt sich dann ja wenn beides dasselbe ist. ich werde morgen wieder auf ein pc zugriff haben um den text auf usb zu laden. schöner abend und danke!! |
|
04.09.2012, 08:53
| #10 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | schweizer eidgenossenschaft - trojanerZitat:
 Hast du einen Link dazu? Und klappt das mit dem Fix nun? Meine Anleitung OTLPE sieht immer so aus: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.09.2012, 10:19
| #11 |
| | schweizer eidgenossenschaft - trojaner hi nö. habe an meiner arbeitsstelle nun dein script auf den usb stick geladen. versuche den fix heute nachmittag. hier der andere beitrag: http://www.trojaner-board.de/121660-...-gesperrt.html eventuell ist auch gemeint olt auf den home dektop zu laden wenn dieser wieder geht. bis später. thx OK. Langsam wirds was. Hier Das OTL-Log ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{99079a25-328f-4bd4-be04-00955acaa0a7} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079a25-328f-4bd4-be04-00955acaa0a7}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully. Registry value HKEY_USERS\M.villiger_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found. Registry value HKEY_USERS\m.vil_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{A057A204-BACC-4D26-9990-79A187E2698E} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A057A204-BACC-4D26-9990-79A187E2698E}\ not found. Registry value HKEY_USERS\m.vil_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Badoo Desktop deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Badoo\Badoo Desktop\1.6.55.1183\Badoo.Desktop.exe moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully. Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully. Registry value HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\m.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\m.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully. Registry value HKEY_USERS\m.vil_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully. Registry value HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\m.vil_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:I:\Dokumente und Einstellungen\m.vil\Anwendungsdaten\msconfig.dat deleted successfully. C:\Dokumente und Einstellungen\m.vil\Anwendungsdaten\msconfig.dat moved successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:34D5AA26 deleted successfully. ========== FILES ========== File\Folder C:\Dokumente und Einstellungen\m.vil\Anwendungsdaten\msconfig.dat not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTLPE by OldTimer - Version 3.1.48.0 log created on 09042012_194928 |
|
04.09.2012, 16:10
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | schweizer eidgenossenschaft - trojaner Bitte auch an den Upload denken! Geht der normale Modus von Windows jetzt wieder?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.09.2012, 16:19
| #13 |
| | schweizer eidgenossenschaft - trojaner Ja, habe jetzt den Upload gemacht. Schau mal, obs geklappt hat. Ja, der normale Modus geht wieder... Geht es noch weiter? |
|
04.09.2012, 18:52
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | schweizer eidgenossenschaft - trojaner Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.09.2012, 20:26
| #15 |
| | schweizer eidgenossenschaft - trojaner Hier ein altes und das neue Mbam Log: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.09.04.09 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 M.vil :: M-A97475EB99544 [Administrator] Schutz: Deaktiviert 04.09.2012 20:41:03 mbam-log-2012-09-04 (20-41-03).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|I:\|K:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 285598 Laufzeit: 31 Minute(n), 8 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 I:\Programme\SoftonicDownloader_fuer_flv-player.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt. I:\_OTL\MovedFiles\09042012_194928\C_Dokumente und Einstellungen\m.vil\Anwendungsdaten\msconfig.dat (Trojan.Zbot.AVK) -> Erfolgreich gelöscht und in Quarantäne gestellt. I:\Dokumente und Einstellungen\M.vil\Lokale Einstellungen\temp\0k680tyou6qctepg.exe (Trojan.Zbot.AVK) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Und wo sehe ich ob mein PC 64Bit hat? Geändert von cosinus (05.09.2012 um 09:35 Uhr) Grund: CODE-Tags korrigiert |
|
| Themen zu schweizer eidgenossenschaft - trojaner |
| arten, bild, downloaden, eidgenossenschaft, malwarebytes, plagegeist, schaf, sperrt, starte, starten, troja, trojane, trojaner, weisse, überhaupt, ziemlich |
Linear-Darstellung
