Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mehrere Trojaner - Automatische WIN XP Updates deaktiviert - Sicherheitscenter-Warnung (https://www.trojaner-board.de/100197-mehrere-trojaner-automatische-win-xp-updates-deaktiviert-sicherheitscenter-warnung.html)

trojan-jäger 11.06.2011 00:28
Mehrere Trojaner - Automatische WIN XP Updates deaktiviert - Sicherheitscenter-Warnung
 
Hallo zusammen,

ich habe hier ein Laptop eines Bekannten, dass mehrere Trojaner hat. Avira und Malwarebytes haben schon mehrere Dateien gefunden und versucht zu entfernen - aber es nimmt kein Ende. Das augenscheinlichste Problem ist, dass eine Windows-Sicherheitswarnung wegen angeblich deaktivierter automatischer Updates auftaucht. Auch ein Zugriff auf die Windows-Update-Seite wird unterbunden. Mir ist klar, dass das hier nicht das einzige Problem ist.

Ich poste hier mal die Logs von allen Versuchen, die ich bisher unternommen habe (Avira, Malwarebytes, OTL, TDSSKiller). Vundo wurde schon vorher gefunden (und evtl. entfernt), bevor ich das Laptop "übernommen" habe.

Ich bitte euch um eine Einschätzung, ob der PC überhaupt noch zu retten ist - oder ob ich lieber gleich alles platt machen soll. Falls letzteres, so hätte ich eine Frage, wie ich die Eigenen Dateien "sicher" (ohne Trojanerdateien) auf eine Neuinstallation übertragen kann.

Besten Dank schon mal.

Hier die Logs im Anhang:

und noch ein paar Logs...

Hallo zusammen,

ich wollte nur kurz nachfragen, ob es schon erste Ergebnisse aus den Logs gibt. Ich würde gerne heute das Laptop bearbeiten. Aus den fehlenden Reaktionen entnehme ich, dass es wohl wenig Hoffnung gibt.

Deshalb eine weitere Frage: Wäre es einigermaßen sicher, Ubuntu aufzuspielen und die "Eigenen Dateien", Emailspeicher etc. weiter zu verwenden. Oder ist die Malware auch auf Linux aktiv?

Vielen Dank im Voraus!

cosinus 14.06.2011 10:35
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [liasaezx]  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.01.27 04:18:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{27cd3e80-a3f9-11dc-88a3-00059a3c7800}\Shell\AutoRun\command - "" = E:\
O33 - MountPoints2\{27cd3e80-a3f9-11dc-88a3-00059a3c7800}\Shell\open\Command - "" = rundll32.exe .\desktop.dll,InstallM
O33 - MountPoints2\{2fb8072f-c1d1-11dc-8901-001302851d80}\Shell\Auto\command - "" = E:\MSOCache\doWTP_RESTORE.exe
O33 - MountPoints2\{2fb8072f-c1d1-11dc-8901-001302851d80}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2fb8072f-c1d1-11dc-8901-001302851d80}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE.exe
O33 - MountPoints2\{3d21ef28-597f-11dc-880a-001302851d80}\Shell - "" = AutoRun
O33 - MountPoints2\{3d21ef28-597f-11dc-880a-001302851d80}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3d21ef28-597f-11dc-880a-001302851d80}\Shell\AutoRun\command - "" = E:\pushinst.exe
O33 - MountPoints2\{4685031e-f228-11dd-8ab2-001302851d80}\Shell - "" = Autorun
O33 - MountPoints2\{4685031e-f228-11dd-8ab2-001302851d80}\Shell\AutoRun\command - "" = E:\Steuern\Steuerprogramm\2008\StartCenter.exe
O33 - MountPoints2\{4685031e-f228-11dd-8ab2-001302851d80}\Shell\open\command - "" = E:\Steuern\Steuerprogramm\2008\StartCenter.exe
O33 - MountPoints2\{921516b1-e31b-11dc-8953-001302851d80}\Shell\Auto\command - "" = E:\MSOCache\doWTP_RESTORE.exe
O33 - MountPoints2\{921516b1-e31b-11dc-8953-001302851d80}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{921516b1-e31b-11dc-8953-001302851d80}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE.exe
O33 - MountPoints2\{b56894da-7394-11dc-8840-001302851d80}\Shell - "" = AutoRun
O33 - MountPoints2\{b56894da-7394-11dc-8840-001302851d80}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b56894da-7394-11dc-8840-001302851d80}\Shell\AutoRun\command - "" = E:\LaunchU3.exe
O33 - MountPoints2\{b56894db-7394-11dc-8840-001302851d80}\Shell\Auto\command - "" = G:\MSOCache\doWTP_RESTORE.exe
O33 - MountPoints2\{b56894db-7394-11dc-8840-001302851d80}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b56894db-7394-11dc-8840-001302851d80}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE.exe
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131