Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BKA Trojaner - Auswertung der Logdatei (https://www.trojaner-board.de/101736-bka-trojaner-auswertung-logdatei.html)

Kenny-Kun 26.07.2011 18:55
BKA Trojaner - Auswertung der Logdatei
 
Guten Tag,

wie so viele in der letzten Zeit habe auch ich heute die Aufforderung zur Zahlung von 100 € per UCASH erhalten.
Ich weiß wirklich nicht woher der Trojaner kommt.

Ich habe mich im Vorfeld informiert und habe über einen anderen PC eine OTLPE boot CD erstellt.
Dann auf dem infizierten PC eine Log Datei von dem Scan auf einen USB Stick gezogen.

Soweit ich informiert bin, brauche ich nun einen Fix.
Danach noch mit Malewarebytes scannen und nochmal Log posten.

Dannach werde ich wohl Windows neu aufsetzen.

Vielen Dank im Vorraus!
MfG, Daniel

cosinus 27.07.2011 12:03
Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKLM..\Run: [Jpifayaz] C:\WINDOWS\acimebope.dll (HighPoint Technologies, Inc.)
O20 - HKLM Winlogon: Shell - (C:\WINDOWS\TEMP\ealrgr\setup.exe) - C:\WINDOWS\Temp\ealrgr\setup.exe (Arrive Band Rabbi)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/05/25 11:39:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{52650ac0-6820-11df-9b5b-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{52650ac0-6820-11df-9b5b-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{52650ac0-6820-11df-9b5b-806d6172696f}\Shell\AutoRun\command - "" = E:\setup.exe
O33 - MountPoints2\{bc8101bc-d3d6-11df-ae2e-665544336040}\Shell\AutoRun\command - "" = F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\service.exe
O33 - MountPoints2\{bc8101bc-d3d6-11df-ae2e-665544336040}\Shell\open\command - "" = F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\service.exe
[2011/07/24 17:22:40 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Eyewerebevam.dat
[2011/07/24 17:22:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Lmipowayecoxewug.bin
@Alternate Data Stream - 148 bytes -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 127 bytes -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP:430C6D84
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:36 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129