|
Plagegeister aller Art und deren Bekämpfung: Login Loop nach T-mobile MMS TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.02.2013, 20:24 | #1 |
| Login Loop nach T-mobile MMS Trojaner Hallo Tojan-Board Community, meine Eltern haben sich vor 3 Tagen beim öffnen der inzwischen bekannten T-mobile MMS E-mail den Trojaner eingefangen. Nach zwei Tagen haben sie sich jedoch erst an diese E-mail erinnert Davor habe ich schon so einiges versucht gehabt - was es nun wohl nicht einfacher macht. Der aktuelle Zustand ist immernoch, dass der Rechner sich in einem Login Loop befindet (2-3 Sekunden nach dem anmelden des Nutzers erfolgt immer sofort eine Abmeldung). Habt ihr eine Idee wie ich hier rauskomme? Daher kann ich nämlich auch kein Malwarebytes Anti-Malware installieren um Euch die Logfiles zu liefern. Mit einer AVG Rescue CD habe ich gestern Nacht gemerkt, dass es ein Trojaner war. Folgende Dateien hat er gefunden und wurden von mir gelöscht: foto-965904.jpg.exe, dc349.exe und dc350.exe. Zuvor dachte ich es wäre ein zerschossenes XP somit habe ich schon versucht über die Recovery Console und eine Reparatur Installation das XP wieder zu beleben. Mit dem DaRT Tool (bzw. ERD Commander) habe ich mir die Registry angeschaut. Aber unter userinit.exe gibt es zumindest nach der Reparaturinstallation kein HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe "winz.exe" = "C:\WINDOWS\system32\winz.exe " mehr. Mittlerweile bin ich mit meinem Latein am Ende und habe leider gerade erst von diesem Board erfahren, sonst hätte ich mich schon viel eher an Euch gewendet. Ihr seid meine letzte Hoffnung. |
04.02.2013, 01:11 | #2 |
/// Helfer-Team | Login Loop nach T-mobile MMS TrojanerMit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten: Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
__________________ |
04.02.2013, 12:55 | #3 |
| Login Loop nach T-mobile MMS Trojaner Hallo t'john,
__________________erst einmal tausend Dank, dass Du Dich meines Problems angenommen hast !!! Die Unterstützung von TB wird nicht vergessen! Hier nun die beiden erstellten OTL Logfiles im Anhang Ich hoffe dies hilft weiter. |
04.02.2013, 15:00 | #4 |
/// Helfer-Team | Login Loop nach T-mobile MMS Trojaner Fixen mit OTLpe
Code:
ATTFilter :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 50006 = C:\DOKUME~1\ALLUSE~1\LocalS~1\Temp\msuicwf.bat O27 - HKLM IFEO\userinit.exe: Debugger - memqhpack.exe () [2011/12/20 07:14:13 | 000,000,008 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\84DE73953E.sys @Alternate Data Stream - 137 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:0B4227B4 :Files ipconfig /flushdns /c :Commands [emptytemp] Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
|
04.02.2013, 19:19 | #5 |
| Login Loop nach T-mobile MMS Trojaner Hallo t'john, mittels fix.txt habe ich nun wie beschrieben OTLPE fix ausgeführt. OTL verlangte einen Reboot, dem bin ich nachgekommen. Anschließend war dies der Log-Output. Code:
ATTFilter ========== OTL ========== Registry value HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun50006 deleted successfully. Registry key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe deleted successfully. CWINDOWSSystem32memqhpack.exe moved successfully. CDokumente und EinstellungenAll UsersAnwendungsdaten84DE73953E.sys moved successfully. ADS CDokumente und EinstellungenAll UsersAnwendungsdatenTemp0B4227B4 deleted successfully. ========== FILES ========== [color=#A23BEC] ipconfig flushdns c [color] Windows IP Configuration An internal error occurred The system cannot find the file specified. Please contact Microsoft Product Support Services for further help. Additional information Unable to open registry key for tcpip. Ccmd.bat deleted successfully. Ccmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User Administrator -Temp folder emptied 459369522 bytes -Temporary Internet Files folder emptied 1498646 bytes -FireFox cache emptied 73641782 bytes -Flash cache emptied 2310 bytes User All Users User Default User -Temp folder emptied 0 bytes -Temporary Internet Files folder emptied 32902 bytes User *** -Temp folder emptied 1471402091 bytes -Temporary Internet Files folder emptied 591333215 bytes -Java cache emptied 1673008 bytes -FireFox cache emptied 432244005 bytes -Google Chrome cache emptied 7816787 bytes -Flash cache emptied 14892 bytes User LocalService -Temp folder emptied 66016 bytes -Temporary Internet Files folder emptied 8673883 bytes User NetworkService -Temp folder emptied 48220 bytes -Temporary Internet Files folder emptied 33170 bytes %systemdrive% .tmp files removed 0 bytes %systemroot% .tmp files removed 2352202 bytes %systemroot%System32 .tmp files removed 1163143 bytes %systemroot%System32dllcache .tmp files removed 0 bytes %systemroot%System32drivers .tmp files removed 0 bytes Windows Temp folder emptied 98775451 bytes Total Files Cleaned = 3,004.00 mb OTLPE by OldTimer - Version 3.1.48.0 log created on 02042013_170242 FilesFolders moved on Reboot... FileFolder CDokumente und Einstellungen***Lokale EinstellungenTempAngebot Seite2.jpg not found! Registry entries deleted on Reboot... Im Abgesicherten Modus passiert der Loginloop nun nicht mehr. Durch die vor Deiner Unterstützung versuchte Reperatur zeigt mir das Windows jedoch nun an, dass ich es neue aktivieren muss. Dies ist jedoch laut Dialogfenster nicht im Abgesicherten Modus möglich. Und im normalen Windows Modus kommt natürlich auch die Aktivierungsmeldung. Wenn ich diese mit "nein" wegdrücke looped der Login noch. Wenn ich mit "Ja" versuche zu aktivieren wird der Bildschirm grau und es passiert nichts mehr, das XP hängt sich dann anscheinend auf. |
05.02.2013, 03:30 | #6 |
/// Helfer-Team | Login Loop nach T-mobile MMS Trojaner Was passiert wenn du Windows aktivierst? 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.danach: 2. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ --> Login Loop nach T-mobile MMS Trojaner |
05.02.2013, 07:05 | #7 |
| Login Loop nach T-mobile MMS Trojaner Hallo t'john, wenn ich auf "aktivieren" klicke bleibt der Bildschirm einfach grau. Kann daher noch nichts installieren. Ich habe gestern noch folgende Beschreibung gefunden: Windows XP: Aktivierung nach Reparaturinstallation blockiert die Anmeldung hxxp://alexanderschimpf.de/140/windows-xp-aktivierung-nach-reparaturinstallation-blockiert-die-anmeldung/betriebssysteme/ Soll ich dies einmal probieren? Anscheinend gibt es bei der Reperaturinstallation Probleme mit den unterschiedlichen ie versionen. Gruß TrojanVictim |
05.02.2013, 19:13 | #8 |
/// Helfer-Team | Login Loop nach T-mobile MMS Trojaner Ja, versuche das mal. |
05.02.2013, 23:10 | #9 |
| Login Loop nach T-mobile MMS Trojaner Hallo t'john, die Beschreibung mit dem Link hat geklapp! Könnt ihr in Eure Wissens DB aufnehmen ;-) Jetzt konnte ich die beiden Scans durchführen - hier nun die Resultate der beiden Scans ... Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.02.05.09 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 *** :: HP-EG [Administrator] 05.02.2013 21:00:35 mbam-log-2013-02-05 (21-00-35).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|I:\|K:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 317312 Laufzeit: 1 Stunde(n), 12 Minute(n), 18 Sekunde(n) Infizierte Speicherprozesse: 1 C:\Programme\PerfektFibu\pf_service.exe (Trojan.Agent) -> 1452 -> Löschen bei Neustart. Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKLM\SYSTEM\CurrentControlSet\Services\PFService (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Programme\PerfektFibu\pf_service.exe (Trojan.Agent) -> Löschen bei Neustart. (Ende) und hier der adwcleaner ... Code:
ATTFilter # AdwCleaner v2.111 - Datei am 05/02/2013 um 22:44:23 erstellt # Aktualisiert am 05/02/2013 von Xplode # Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits) # Benutzer : *** - HP-EG # Bootmodus : Normal # Ausgeführt unter : C:\Dokumente und Einstellungen\***\Desktop\adwcleaner.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** Gelöscht mit Neustart : C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla ***** [Registrierungsdatenbank] ***** Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F25AF245-4A81-40DC-92F9-E9021F207706} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8} Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}] ***** [Internet Browser] ***** -\\ Internet Explorer v8.0.6001.18702 [OK] Die Registrierungsdatenbank ist sauber. -\\ Mozilla Firefox v18.0.1 (de) Datei : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\clzj70s9.default\prefs.js C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\clzj70s9.default\user.js ... Gelöscht ! Gelöscht : user_pref("browser.search.defaultenginename", "AVG Secure Search"); Datei : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\962vcmbm.default\prefs.js [OK] Die Datei ist sauber. -\\ Google Chrome v [Version kann nicht ermittelt werden] Datei : C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Preferences [OK] Die Datei ist sauber. ************************* AdwCleaner[R1].txt - [2718 octets] - [05/02/2013 22:25:28] AdwCleaner[S1].txt - [423 octets] - [05/02/2013 22:27:10] AdwCleaner[S2].txt - [423 octets] - [05/02/2013 22:35:02] AdwCleaner[S3].txt - [2889 octets] - [05/02/2013 22:44:23] ########## EOF - C:\AdwCleaner[S3].txt - [2949 octets] ########## Gruß TrojanVictim P.S.: Oh man fühlt sich das gut an wieder Hoffnung zu haben, dass das System bald wieder läuft! Nochmals tausend Dank vorab für die Unterstützung. |
07.02.2013, 00:39 | #10 |
/// Helfer-Team | Login Loop nach T-mobile MMS Trojaner Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit. danach: Malware-Scan mit Emsisoft Anti-Malware Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm. Lade über Jetzt Updaten die aktuellen Signaturen herunter. Wähle den Freeware-Modus aus. Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers. Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten. Anleitung: http://www.trojaner-board.de/103809-...i-malware.html |
07.02.2013, 20:30 | #11 |
| Login Loop nach T-mobile MMS Trojaner Hallo t'john, ich habe die beiden beschriebenen Scans durchgeführt -im Anhang sind die beiden Logfiles. Gruß TrojanVictim |
08.02.2013, 02:37 | #12 |
/// Helfer-Team | Login Loop nach T-mobile MMS Trojaner Sehr gut! Deinstalliere: Emsisoft Anti-Malware ESET Online Scanner Vorbereitung
danach: Downloade Dir bitte SecurityCheck und:
|
08.02.2013, 06:49 | #13 |
| Login Loop nach T-mobile MMS Trojaner Hi t'john, vielen Dank für die umgehende Antwort! Hier der Logoutput des ESET Online Scanners: Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6889 # api_version=3.0.2 # EOSSerial=c72f736647555843ac9cd4ce930ea7d2 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-02-07 10:43:24 # local_time=2013-02-07 11:43:24 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1034 16777213 100 84 20033 49941014 0 0 # scanned=86760 # found=0 # cleaned=0 # scan_time=3944 Code:
ATTFilter Results of screen317's Security Check version 0.99.57 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` AVG Internet Security 2012 Antivirus up to date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 CCleaner Java(TM) 6 Update 22 Java 7 Update 10 Java version out of Date! Adobe Flash Player 11.0.1.152 Adobe Reader XI Mozilla Firefox (18.0.2) Mozilla Thunderbird (17.0.2) ````````Process Check: objlist.exe by Laurent```````` AVG avgwdsvc.exe AVG avgrsx.exe AVG avgnsx.exe AVG avgemc.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` Gruß TrojanVictim P.S.. Ich habe das es schon anstehende Java Update noch installiert und nochmal den SecurityCHeck laufen lassen .... Code:
ATTFilter Results of screen317's Security Check version 0.99.57 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` AVG Internet Security 2012 Antivirus up to date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 CCleaner Java(TM) 6 Update 22 Java 7 Update 13 Java version out of Date! Adobe Flash Player 11.0.1.152 Adobe Reader XI Mozilla Firefox (18.0.2) Mozilla Thunderbird (17.0.2) ````````Process Check: objlist.exe by Laurent```````` AVG avgwdsvc.exe AVG avgrsx.exe AVG avgnsx.exe AVG avgemc.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` Gruß TrojanVictim P.P.S: Mehr fasse ich nun nicht an - sondern warte wieder auf Instruktionen! ;-) Geändert von TrojanVictim (08.02.2013 um 06:59 Uhr) |
08.02.2013, 13:15 | #14 |
/// Helfer-Team | Login Loop nach T-mobile MMS Trojaner Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck Java deaktivieren Aufgrund derezeitigen Sicherheitsluecke: http://www.trojaner-board.de/122961-...ktivieren.html Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck Hinweis: Registry Cleaner Ich sehe, dass du sogenannte Registry Cleaner installiert hast. In deinem Fall CCleaner. Wir raten von der Verwendung jeglicher Art von Registry Cleaner ab. Der Grund ist ganz einfach: Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich. Man sollte nicht unnötigerweise an der Registry rumbasteln. Schon ein kleiner Fehler kann gravierende Folgen haben und auch Programme machen manchmal Fehler. Zerstörst du die Registry, zerstörst du Windows. Zudem ist der Nutzen zur Performancesteigerung umstritten und meist kaum im wahrnehmbaren Bereich. Ich würde dir empfehlen, Registry Cleaner nicht weiterhin zu verwenden und über Start --> Systemsteuerung --> Software (bei Windows XP)zu deinstallieren. |
08.02.2013, 21:09 | #15 | ||
| Login Loop nach T-mobile MMS Trojaner Done ;-) Zitat:
Zitat:
TrojanVictim |
Themen zu Login Loop nach T-mobile MMS Trojaner |
aktuelle, anmelden, anti-malware, avg, c:\windows, e-mail, foto-965904.jpg.exe, gelöscht, installation, logfiles, malwarebytes, microsoft, rechner, recovery, registry, sekunden, system, system32, t-mobile, t-mobile mms trojaner, trojaner, version, windows, öffnen |