Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 100 tan liste_neu

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.10.2010, 16:30   #1
thomas_knoop
 
100 tan liste_neu - Standard

100 tan liste_neu



Moin Moin,
auch wir hatten die 100 tan liste, sobald man auf den login von der Deutschen Bank "drückt"

Im Forum gibt es unter 100 tan trojaner eine genaue Erklärung.

Ich habe nach dem Befall eine Windows System-Wiederherstellung (Start/AlleProgramme/Zubehör/Systemprogramme/Systemwiederherstellung)
zurück um 5 Tage, durchgeführt. (Da funktionierte der Rechner noch ohne Fehler)

Nach der Windows-Systemwiederherstellung ist keine tan Abfrage bei der Deutschen Bank mehr erfolgt.

Dann habe ich Eure Scans durchgeführt.
Toll wäre wenn diese beurteilt werden könnten und ob noch Handlungsbedarf ist?

Ich habe 3 Anhänge:

Der erste Scan vor der Systemwiederherstellung
Malwarebytes vom 09.10.2010 um 11:17

Die nächsten beiden Scans nach der Systemwiederherstellung
Malwarebytes vom 09.10.2010 um 15:42 (Vollständiger Scan)
und
OLT vom 09.10.2010 um 11:50
Angehängte Dateien
Dateityp: txt mbam-log-2010-10-09 (11-17-27).txt (1,3 KB, 187x aufgerufen)
Dateityp: txt mbam-log-2010-10-09 (15-42-03).txt (1,0 KB, 189x aufgerufen)
Dateityp: txt OTL.Txt (74,3 KB, 210x aufgerufen)

Geändert von thomas_knoop (15.10.2010 um 17:19 Uhr)

Alt 15.10.2010, 21:10   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
100 tan liste_neu - Standard

100 tan liste_neu



Hallo und

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
[2010.10.05 15:52:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Ryiz
[2010.09.13 10:27:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PriceGong
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________

__________________

Alt 16.10.2010, 07:37   #3
thomas_knoop
 
100 tan liste_neu - Standard

100 tan liste_neu



Script habe ich ausgeführt, hat funktioniert.

Das habe ich als Ergebnis erhalten:


All processes killed
========== OTL ==========
Folder C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Ryiz\ not found.
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PriceGong\Data folder moved successfully.
C:\Dokumente und Einstellungen\*****\Anwendungsdaten\PriceGong folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 49152 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: *****
->Temp folder emptied: 196096158 bytes
->Temporary Internet Files folder emptied: 3306507 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 38358694 bytes
->Flash cache emptied: 8357 bytes

User: Default User
->Temp folder emptied: 49152 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Gast
->Temp folder emptied: 874873 bytes
->Temporary Internet Files folder emptied: 3052252 bytes
->Flash cache emptied: 405 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 14504818 bytes
->Flash cache emptied: 8326 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: *****
->Temp folder emptied: 63894966 bytes
->Temporary Internet Files folder emptied: 223865223 bytes
->Java cache emptied: 8359300 bytes
->FireFox cache emptied: 29130978 bytes
->Flash cache emptied: 79523 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 403726 bytes
RecycleBin emptied: 135167501 bytes

Total Files Cleaned = 684,00 mb


OTL by OldTimer - Version 3.2.15.2 log created on 10162010_080923

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_96c.dat not found!

Registry entries deleted on Reboot...
__________________

Alt 16.10.2010, 13:44   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
100 tan liste_neu - Standard

100 tan liste_neu



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.10.2010, 15:51   #5
thomas_knoop
 
100 tan liste_neu - Standard

100 tan liste_neu



Hat alles funktioniert, PC läuft auch noch.

log Datei:


"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-23 68856]
"scheduler_monitor"="c:\programme\ReaConverter 5.5 Pro\init_scheduler.exe" [2007-06-15 27136]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-05-29 149040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-05 136600]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 16132608]
"PMX Daemon"="ICO.EXE" [2006-11-08 49152]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-10-03 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2006-10-03 81920]
"PDVDDXSrv"="c:\programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2006-10-20 118784]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-13 30192]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-02-28 17920]
"dscactivate"="c:\programme\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"DellSupportCenter"="c:\programme\Dell Support Center\bin\sprtcmd.exe" [2009-05-21 206064]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NBKeyScan"="c:\programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe" [2007-05-24 1226288]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"mcui_exe"="c:\programme\McAfee.com\Agent\mcagent.exe" [2010-06-30 1193848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\a_knoop\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

c:\dokumente und einstellungen\t_knoop\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2005-5-3 81920]
Merkur - PrintPdf.lnk - c:\programme\Fleurop-Merkur\printpdf.bat [2007-8-23 313]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Gemeinsame Dateien\\McAfee\\McSvcHost\\McSvHost.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R1 mfetdi2k;McAfee Inc. mfetdi2k;c:\windows\system32\drivers\mfetdi2k.sys [28.08.2010 17:21 84072]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [29.12.2008 18:43 93320]
R2 McMPFSvc;McAfee Personal Firewall-Dienst;"c:\programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [28.08.2010 17:21 271480]
R2 McNaiAnn;McAfee VirusScan Announcer;"c:\programme\Gemeinsame Dateien\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [28.08.2010 17:21 271480]
R2 mfefire;McAfee Firewall Core Service;c:\programme\Gemeinsame Dateien\McAfee\SystemCore\mfefire.exe [28.08.2010 17:21 188136]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\programme\Gemeinsame Dateien\McAfee\SystemCore\mfevtps.exe [28.08.2010 17:21 141792]
R3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [28.08.2010 17:21 55840]
R3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [28.08.2010 17:21 312904]
R3 mfendiskmp;mfendiskmp;c:\windows\system32\drivers\mfendisk.sys [28.08.2010 17:21 88544]
R3 pmxmouse;PMXMOUSE;c:\windows\system32\drivers\pmxmouse.sys [29.04.2008 16:27 18432]
R3 pmxusblf;PMXUSBLF;c:\windows\system32\drivers\pmxusblf.sys [29.04.2008 16:27 14336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [29.01.2010 12:20 135664]
S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [23.04.2008 02:24 30192]
S3 mfendisk;McAfee Core NDIS Intermediate Filter;c:\windows\system32\drivers\mfendisk.sys [28.08.2010 17:21 88544]
S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [28.08.2010 17:21 84264]
S3 rcp_service;ReaConverter scheduler service;c:\programme\ReaConverter 5.5 Pro\rcp_scheduler.exe [30.11.2007 12:27 558592]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mfeavfk01
.
Inhalt des "geplante Tasks" Ordners

2010-10-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-29 10:20]

2010-10-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-29 10:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1351351
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\t_knoop\Anwendungsdaten\Mozilla\Firefox\Profiles\6u2ciomv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351351&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Secure Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=mcafee&p=
FF - component: c:\programme\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-AdobeBridge - (no file)


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1298713379-4242083154-935588941-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{282BF30C-A12B-A00B-6067-2E1004D1FDE6}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"ealpfolngh"=hex:66,61,66,70,65,70,6f,6c,65,6d,65,65,00,31
"daopopop"=hex:64,62,70,6a,63,6d,6d,63,61,68,61,70,65,6d,6b,69,63,64,6f,67,6d,
66,63,68,6a,61,61,65,6b,6c,62,65,65,6b,63,6a,70,66,64,66,00,00
"iadkehbmialnnkcglf"=hex:69,61,65,6c,65,61,6f,66,6f,6d,67,6b,6c,6e,6e,6c,6c,63,
00,00
"hanjojikdcjofljl"=hex:69,61,65,6c,65,61,6f,66,6f,6d,67,6b,6c,6e,6e,6c,6c,63,
00,00

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1088)
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(1504)
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroSearchBar.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\MFC71U.DLL
c:\programme\Gemeinsame Dateien\Ahead\Lib\BCGCBPRO800u.dll
c:\windows\system32\pmxscrll.dll
c:\windows\system32\PMXCOMM.dll
c:\windows\system32\PMXHOOKS.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
c:\windows\system32\IoctlSvc.exe
c:\programme\Dell Support Center\bin\sprtsvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Gemeinsame Dateien\McAfee\SystemCore\mcshield.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\ICO.EXE
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\Pmxmiced.exe
c:\programme\OpenOffice.org 2.4\program\soffice.exe
c:\programme\OpenOffice.org 2.4\program\soffice.BIN
c:\windows\system32\javaw.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-16 16:42:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-10-16 14:42

Vor Suchlauf: 13 Verzeichnis(se), 123.625.492.480 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 123.613.962.240 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 80EDB6BF529D8019CEEC59C9FAC46CCA






und jetzt ....?

Thomas


Alt 16.10.2010, 22:08   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
100 tan liste_neu - Standard

100 tan liste_neu



Das Log ist unvollständig!
__________________
--> 100 tan liste_neu

Alt 17.10.2010, 12:04   #7
thomas_knoop
 
100 tan liste_neu - Standard

100 tan liste_neu



Habe ich jetzt noch mal als Anhang ,
hoffe jetzt ist dieser vollständig

Thomas
Angehängte Dateien
Dateityp: txt ComboFix.txt (17,3 KB, 206x aufgerufen)

Alt 17.10.2010, 13:40   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
100 tan liste_neu - Standard

100 tan liste_neu



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
Killall::

Dirlook::
c:\programme\NOS
c:\dokumente und einstellungen\*****\Anwendungsdaten\Ryiz

Reglockdel::
[HKEY_USERS\S-1-5-21-1298713379-4242083154-935588941-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{282BF30C-A12B-A00B-6067-2E1004D1FDE6}*]

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.10.2010, 21:37   #9
thomas_knoop
 
100 tan liste_neu - Standard

100 tan liste_neu



auch dieser Combofix Neustart hat funktioniert.

als Anhang der log

Thomas
Angehängte Dateien
Dateityp: txt ComboFix.txt (14,9 KB, 199x aufgerufen)

Geändert von thomas_knoop (17.10.2010 um 21:51 Uhr)

Alt 18.10.2010, 08:28   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
100 tan liste_neu - Standard

100 tan liste_neu



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.10.2010, 13:54   #11
thomas_knoop
 
100 tan liste_neu - Standard

100 tan liste_neu



Die Scan's laufen, GMER dauert aber sehr lange.
Sobald alles Scan's fertig sind Poste ich alles.

Thomas

Alt 18.10.2010, 19:20   #12
thomas_knoop
 
100 tan liste_neu - Standard

100 tan liste_neu



GMER konnte ich ausführen....siehe Log_Datei

OSAM bricht immer nach Punkt 6 Next...Next ab..???

GMER Log anhängig

Thomas
Angehängte Dateien
Dateityp: txt GMER.txt (82,7 KB, 146x aufgerufen)

Alt 18.10.2010, 19:26   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
100 tan liste_neu - Standard

100 tan liste_neu



Zitat:
Punkt 6 Next...Next ab..???
Online-DB-Abfrage? Wenn ja bitte abbrechen, ich brauch nur das reine Log als .log Datei.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.10.2010, 19:45   #14
thomas_knoop
 
100 tan liste_neu - Standard

100 tan liste_neu



Hallo,

wenn ich die Datei OSAM ausführe, startet der Scan.

Egal was ich nach dem Scan ausführen möchte, allle OSAM Programme werden automatisch geschlossen, PC läuft normal weiter.

Keine Log Datei auf dem Desktop.

Thomas

Alt 18.10.2010, 20:09   #15
thomas_knoop
 
100 tan liste_neu - Standard

100 tan liste_neu



MBRCheck hat wieder funktioniert.
Hier die Datei.

Thomas
Angehängte Dateien
Dateityp: txt MBRCheck_10.18.10_21.06.55.txt (8,8 KB, 146x aufgerufen)

Antwort

Themen zu 100 tan liste_neu
100 tan, 100 tan trojaner, abfrage, anhänge, befall, beurteilt, deutsche, deutschen, ellung, fehler, forum, funktionier, handlungsbedarf, hänge, liste, login, neu, rechner, scans, sobald, tan, tan abfrage, tan trojaner, troja, trojaner, vollständiger, windows



Zum Thema 100 tan liste_neu - Moin Moin, auch wir hatten die 100 tan liste, sobald man auf den login von der Deutschen Bank "drückt" Im Forum gibt es unter 100 tan trojaner eine genaue Erklärung. - 100 tan liste_neu...
Archiv
Du betrachtest: 100 tan liste_neu auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.