Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BKA Virus Virus OTLPE Log Dateien bereits erstellt (https://www.trojaner-board.de/103294-bka-virus-virus-otlpe-log-dateien-bereits-erstellt.html)

csi72 09.09.2011 20:05
BKA Virus Virus OTLPE Log Dateien bereits erstellt
 
Guten aben,
wir haben das oben genannte Problem. Die Logdateien sind bereits ausgelesen und sind an diesem Beitrag angehängt. Wie soll ich nun weiter vorgehen?

Vielen Dank für die Unterstützung im Vorraus.

Gruß

Csi72

Swisstreasure 09.09.2011 21:43
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.
  • Starte den infizierten Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
  • Logge dich nun in das infizierte Benutzerkonto ein.
  • Schließe den USB Stick an den infizierten Rechner an.
  • Nun ist etwas Handarbeit gefragt.
    • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
    • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
      Zitat:
      Das System kann das angegeben Laufwerk nicht finden
      versuche einen anderen Laufwerksbuchstaben. ( zB F: )
  • Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
    start srep.exe
  • Bestätige den Disclaimer mit OK.
  • Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.
Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Schritt 2

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

csi72 11.09.2011 13:28
Hallo,

ich habe nun den ersten Schritt, wie oben beschrieben, ausgeführt. Angehängt ist "shell.txt"

Werde dann jetzt versuchen mit dem 2. Schritt fortzufahren. Aber eine Frage habe ich noch: Kann ich die Datei aus Schritt 2 direkt von meinem " infizierten" Rechner downloaden? Oder auch erst mit einem USB-Stick auf den Rechner bringen?

Danke..

Swisstreasure 11.09.2011 23:20
Melde mich Morgen, sorry.

Swisstreasure 12.09.2011 17:50
Du kannst es direkt vom infizierten Rechner machen.

csi72 12.09.2011 18:51
Hallo,

leider klappt der 2. Schritt nicht so wie geplant, denn sobald der Rechner hochgefahren ist, kommt wieder diese Sperrung von der Bundespolizei...
Was soll ich tun?
Danke!

Swisstreasure 12.09.2011 19:32
Fixen mit OTLpe
  • Starte den unbootbaren Computer erneut mit der OTLPE-CD,
  • warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.
  • Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
    Code:
    :OTL
    O4 - HKU\Lisa_ON_C..\Run: [avupdate] C:\Users\Lisa\AppData\Roaming\jashla.exe (Fits Dwarf Reek Atomic Viii)
    O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
    O33 - MountPoints2\{7909bc7e-3f43-11df-aa67-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{7909bc7e-3f43-11df-aa67-001377a9a11f}\Shell\AutoRun\command - "" = G:\AutoRun.exe
    O33 - MountPoints2\{7909bc80-3f43-11df-aa67-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{7909bc80-3f43-11df-aa67-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{af9eb5d6-382a-11df-9e78-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{af9eb5d6-382a-11df-9e78-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{af9eb5fb-382a-11df-9e78-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{af9eb5fb-382a-11df-9e78-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{bcc403f6-35dc-11df-b371-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{bcc403f6-35dc-11df-b371-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{bcc4041a-35dc-11df-b371-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{bcc4041a-35dc-11df-b371-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{c273b43c-35ed-11df-9f33-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{c273b43c-35ed-11df-9f33-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{c273b43e-35ed-11df-9f33-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{c273b43e-35ed-11df-9f33-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{c97bba32-3f3d-11df-b76a-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{c97bba32-3f3d-11df-b76a-001377a9a11f}\Shell\AutoRun\command - "" = G:\AutoRun.exe
    O33 - MountPoints2\{c97bba40-3f3d-11df-b76a-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{c97bba40-3f3d-11df-b76a-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{c97bba70-3f3d-11df-b76a-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{c97bba70-3f3d-11df-b76a-001377a9a11f}\Shell\AutoRun\command - "" = G:\AutoRun.exe
    O33 - MountPoints2\{c97bba72-3f3d-11df-b76a-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{c97bba72-3f3d-11df-b76a-001377a9a11f}\Shell\AutoRun\command - "" = G:\AutoRun.exe
    O33 - MountPoints2\{dbb552a0-3779-11df-82fd-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{dbb552a0-3779-11df-82fd-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{dbb552b4-3779-11df-82fd-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{dbb552b4-3779-11df-82fd-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{dbb552be-3779-11df-82fd-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{dbb552be-3779-11df-82fd-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{dbb552c0-3779-11df-82fd-001377a9a11f}\Shell - "" = AutoRun
    O33 - MountPoints2\{dbb552c0-3779-11df-82fd-001377a9a11f}\Shell\AutoRun\command - "" = F:\AutoRun.exe
    O33 - MountPoints2\{e945388d-208f-11df-8ce7-00a0c6000000}\Shell - "" = AutoRun
    O33 - MountPoints2\{e945388d-208f-11df-8ce7-00a0c6000000}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
    [2011/09/05 15:25:14 | 000,205,824 | ---- | C] (Fits Dwarf Reek Atomic Viii) -- C:\Users\Lisa\AppData\Roaming\jashla.exe
    :Commands
    [purity]
    [emptytemp]
  • Sollte das mangels Internet-Verbindung nicht möglich sein,
  • kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
  • Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
  • Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  • Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>
  • Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

csi72 13.09.2011 13:31
Hallo,
also ich bin jetzt so vorgegangen, wie beschrieben...

Ich bin mir nicht sicher, gehe aber davon aus, dass du den Code meinst der nacher unterhalb von Custom Scans/Fixes steht
Da stand:
[emptytemp]
So dann habe ich meinen Rechner heruntergefahren und dann ganz normal ohne BootCD wieder hochgefahren, nach dem anmelden war erstmal eine Datei (09132011_161648.txt) geöffnet. Es kommt aber keine Meldung mehr von der Bundespolizei.
Soll ich nun mit Schritt 2 weitermachen? Bin ich wieder Virenfrei?
Danke,
csi72

Swisstreasure 13.09.2011 16:29
Genau, mache Schritt 2 von oben noch.

csi72 13.09.2011 18:42
Hey,
also ich habe jetzt den 2. Schritt gemacht und ich muss sagen, dass alles gut geklappt hat, keine Virenattacken o.ä.
Die beiden von Malware gefundenen Dateien wurden laut Malware erfolgreich entfernt... Kann ich dem trauen?
Im Anhang noch einmal die Log- Datei. Muss ich nioch irgendetwas tun? Oder ist alles behoben und hoffentlich clean?
Danke!

Swisstreasure 13.09.2011 18:46

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


csi72 15.09.2011 16:31
Hallo,
es hat ein wenig gedauert, aber ich habe es geschafft, den Online Scanner durchlaufen zu lassen, wie es scheint hat er noch etwas gefunden...

naja im anhang die log-datei.
Gruss, csi72

Swisstreasure 15.09.2011 17:55
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
  • Doppelklick auf die OTL.exe
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

csi72 15.09.2011 19:43
Hi,
ich hätte da noch mal eine Frage vorher..
Habe OTL runtergeladen und ich soll nun ja bei Extra- Registrierung "Benutze safe-list" anklicken. Was ist bei den anderen? Prozesse, Module... soll ich die auf "Aus" stellen?
danke

Swisstreasure 15.09.2011 19:51
Lass diese wie sie sind.

csi72 15.09.2011 19:54
also alle "Benutze Safe-list"...

csi72 15.09.2011 20:19
hier die log Files

Swisstreasure 16.09.2011 12:49
Logfile ist sauber :daumenhoc

Schritt 1

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
  • Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.





Hier noch ein paar Tipps zur Absicherung deines Systems.

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131