|
Halt! Erst GEMA Gebühr bezahlen! Guten Abend und ein freundliches ARSCHLOCHALAAAAAAAAAAAAAAAAAARM! Da reinigt mir der Arne den Reserverechner in mühevoller Kleinarbeit und beim Aktualisieren auf SP3 und dem darauf folgendem Upgraden auf Avira12 ist mir der GEMA-Trojaner zwischengeschossen! Unglaublich, aber wahr! Habe OTLPE und IsoBurner runtergeladen und hoffe die richtigen Files erstellt zu haben. Ich stelle hiermit schon wieder ein offizielles Hilfeersuchen. Gruß, Stefan |
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code: :OTLnutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. falls windows normal startet weiter hiermit: auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code: :OTLnutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. öffne arbeitsplatz, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. folge dem link, und lade das archiv im upload channel hoch http://www.trojaner-board.de/54791-a...ner-board.html |
Hallö Hab die Datei für OTL über den Editor als fix.txt auf den Stick gezogen und auf dem infizierten Rechner in das Textfeld implantieren lassen. Bis zum öffnen der Datei geht es, dann jedoch stellt OTL seine Arbeit ein. Fix Button lässt sich nicht mehr betätigen und nur noch das Schliessen des Programms ist möglich. Was habe ich falsch gemacht? Gruß, Stefan P.S. Habs nochmal manuell eingegeben, folgende Meldung erscheint: Unable to Locate Component. This application has failed to start because MSVCP71.dll was not found. |
und was steht denn da? du musst es evtl. manuell, also per hand, eintragen. otl macht leider manchmal diese probleme :-( |
Achtung: Siehe oben (editiert Nachtrag 21:59) Gruß, Stefan |
sorry übersehen. ist nen usb stick zur hand? falls ja, lade combofix auf dem sauberen pc auf den usb stick: combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
dann schließe den stick an den infizierten pc an. starte den pc in den abgesicherten modus mit eingabeaufforderung stick muss angeschlossen sein tippe: d:\combofix.exe enter falls das nicht klappt versuchs mit e: usw, bis du das richtige laufwerk hast. start nach combofix lauf in den normalen modus sollte klappen log posten. |
Hallo Erstmal wieder vielen Dank für Eure Mühe! Der Rechner ist erstmal wieder ansprechbar und zeigt mir nur noch nicht die Desktop-Icons und Programme im Startmenü. (Unhide?) Nach einigen Verständnisproblemen:wtf: (z.B.avir), hier nun der Versuch der Log-Dateiübertragung. Gruß, Stefan |
wie siehts mit dem upload von moved files im upload channel aus? |
hi, bitte das nächste mal kurz ne anmerkung schreiben wenn du was hochgeladen hast :-) combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
|
Also jetzt nochmal Combofix direkt aufs Desktop, laufen lassen und nochmal posten? Gruß, Stefan |
sorry falsches programm ich wollte dich erst mal bitten noch qoobox zu packen und ebenfalls im upload channel hochzuladen. |
SIIIIICHA mach ich, zack, dit jeht wieeht Katzenmachen, schnellefix, aber: was ist qoobox packen?:wtf: Damit es nicht langweilig wird hier noch'n malware-log und eines vom frisch aktualisierten Avira. Gruß, Stefan |
hi, befindet sich auf c:\qoobox daraus ein archiv erstellen und hochladen im upload channel |
Hab wider besseren Wissens den ganzen Ordner gepackt, hoffe ist so in Ordnung. Gruß, Stefan |
jo passt. machst du mit dem pc onlinebanking einkäufe oder sonst was wichtiges, wie zb berufliches? |
Wenn alles läuft beides, Beruflich allerdings nichts. Der Rechner kam vorher aus einer Praxis. Welches 'Hier kommt keiner rein' Programm würdet Ihr denn empfehlen? Gruß, Stefan |
ich würd empfehlen das system neu aufzusetzen da du einen trojaner hattest der bank daten klaut, da dieses system nicht das erste mal befallen ist, ist es keines falls mehr vertrauenswürdig egal wie viel wir da noch rumm doktorn das einzig vernünftige ist formatieren neu aufsetzen und dann können wir uns drüber unterhalten wie das system abzusichern ist. |
O.K. Danke nochmal für die Hilfe. Das Neuaufsetzen wird für mich ein neues Abenteuer! Mal sehen ob ich alles dafür finde. Schönen ersten Advent, Stefan P.S. Sollen die unsichtbaren Daten erst noch sichtbar gemacht werden, Banking mache ich erst noch übers Laptop. |
fehlen dir denn sachen, dann ja. |
Hallo Der Infekt vertrieb mich vom Rechner. Habe die Dateien mit Unhide sichtbar gemacht und das neue Avir aufgespielt. Log kommt. Soll ich wie bei Cosinus noch Tdss, Eset usw. durchspielen und posten? (Finde die Cd vom Rechner nicht in meinem entstandenen Chaos.) Gruß, Stefan Avira Free Antivirus Erstellungsdatum der Reportdatei: Montag, 28. November 2011 15:26 Es wird nach 3487134 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : PRAXIS-PC Versionsinformationen: BUILD.DAT : 12.0.0.861 41826 Bytes 19.10.2011 18:18:00 AVSCAN.EXE : 12.1.0.18 490448 Bytes 19.10.2011 15:55:49 AVSCAN.DLL : 12.1.0.17 65744 Bytes 19.10.2011 15:56:10 LUKE.DLL : 12.1.0.17 68304 Bytes 19.10.2011 15:55:59 AVSCPLR.DLL : 12.1.0.19 99536 Bytes 19.10.2011 15:55:49 AVREG.DLL : 12.1.0.22 226512 Bytes 19.10.2011 15:55:48 VBASE000.VDF : 7.10.0.0 19875328 Bytes 6.11.2009 19:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39 VBASE002.VDF : 7.11.3.0 1950720 Bytes 9.2.2011 16:08:51 VBASE003.VDF : 7.11.5.225 1980416 Bytes 7.4.2011 11:00:55 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.5.2011 11:18:22 VBASE005.VDF : 7.11.10.251 1788416 Bytes 7.7.2011 13:12:53 VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.8.2011 08:26:09 VBASE007.VDF : 7.11.15.106 2389504 Bytes 5.10.2011 15:56:05 VBASE008.VDF : 7.11.18.32 2132992 Bytes 24.11.2011 14:17:11 VBASE009.VDF : 7.11.18.33 2048 Bytes 24.11.2011 14:17:12 VBASE010.VDF : 7.11.18.34 2048 Bytes 24.11.2011 14:17:12 VBASE011.VDF : 7.11.18.35 2048 Bytes 24.11.2011 14:17:13 VBASE012.VDF : 7.11.18.36 2048 Bytes 24.11.2011 14:17:14 VBASE013.VDF : 7.11.18.37 2048 Bytes 24.11.2011 14:17:15 VBASE014.VDF : 7.11.18.38 2048 Bytes 24.11.2011 14:17:15 VBASE015.VDF : 7.11.18.39 2048 Bytes 24.11.2011 14:17:16 VBASE016.VDF : 7.11.18.40 2048 Bytes 24.11.2011 14:17:16 VBASE017.VDF : 7.11.18.41 2048 Bytes 24.11.2011 14:17:17 VBASE018.VDF : 7.11.18.42 2048 Bytes 24.11.2011 14:17:17 VBASE019.VDF : 7.11.18.43 2048 Bytes 24.11.2011 14:17:17 VBASE020.VDF : 7.11.18.44 2048 Bytes 24.11.2011 14:17:17 VBASE021.VDF : 7.11.18.45 2048 Bytes 24.11.2011 14:17:17 VBASE022.VDF : 7.11.18.46 2048 Bytes 24.11.2011 14:17:18 VBASE023.VDF : 7.11.18.47 2048 Bytes 24.11.2011 14:17:18 VBASE024.VDF : 7.11.18.48 2048 Bytes 24.11.2011 14:17:18 VBASE025.VDF : 7.11.18.49 2048 Bytes 24.11.2011 14:17:19 VBASE026.VDF : 7.11.18.50 2048 Bytes 24.11.2011 14:17:20 VBASE027.VDF : 7.11.18.51 2048 Bytes 24.11.2011 14:17:20 VBASE028.VDF : 7.11.18.52 2048 Bytes 24.11.2011 14:17:20 VBASE029.VDF : 7.11.18.53 2048 Bytes 24.11.2011 14:17:20 VBASE030.VDF : 7.11.18.54 2048 Bytes 24.11.2011 14:17:21 VBASE031.VDF : 7.11.18.87 196096 Bytes 28.11.2011 14:17:45 Engineversion : 8.2.6.120 AEVDF.DLL : 8.1.2.2 106868 Bytes 28.11.2011 14:24:25 AESCRIPT.DLL : 8.1.3.87 475516 Bytes 28.11.2011 14:24:22 AESCN.DLL : 8.1.7.2 127349 Bytes 1.9.2011 22:46:02 AESBX.DLL : 8.2.1.34 323957 Bytes 1.9.2011 22:46:02 AERDL.DLL : 8.1.9.15 639348 Bytes 8.9.2011 22:16:06 AEPACK.DLL : 8.2.13.4 684406 Bytes 28.11.2011 14:24:12 AEOFFICE.DLL : 8.1.2.20 201083 Bytes 28.11.2011 14:23:51 AEHEUR.DLL : 8.1.2.193 3850617 Bytes 28.11.2011 14:23:41 AEHELP.DLL : 8.1.18.0 254327 Bytes 28.11.2011 14:18:33 AEGEN.DLL : 8.1.5.14 405877 Bytes 28.11.2011 14:18:25 AEEMU.DLL : 8.1.3.0 393589 Bytes 1.9.2011 22:46:01 AECORE.DLL : 8.1.24.0 196983 Bytes 28.11.2011 14:18:10 AEBB.DLL : 8.1.1.0 53618 Bytes 1.9.2011 22:46:01 AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51 AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48 AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49 AVARKT.DLL : 12.1.0.17 223184 Bytes 19.10.2011 15:55:46 AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47 SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03 AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50 NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59 RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14 RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Montag, 28. November 2011 15:26 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'sua.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'psi_tray.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'WG111v3.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '91' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'PSIA.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'mdm.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'mscorsvw.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'SCardSvr.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '168' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1164' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\System Volume Information\_restore{F0DC1DCA-837B-4BB2-8455-371991609572}\RP107\A0030833.exe [FUND] Ist das Trojanische Pferd TR/Agent.364544 C:\System Volume Information\_restore{F0DC1DCA-837B-4BB2-8455-371991609572}\RP107\A0030834.exe [FUND] Ist das Trojanische Pferd TR/Agent.364544 C:\_OTL\MovedFiles\11242011_205818\C_Dokumente und Einstellungen\Carsten\Anwendungsdaten\tabkb\libmod.exe [FUND] Ist das Trojanische Pferd TR/Spy.73728.815 Beginne mit der Suche in 'D:\' <RECOVER> Beginne mit der Desinfektion: C:\_OTL\MovedFiles\11242011_205818\C_Dokumente und Einstellungen\Carsten\Anwendungsdaten\tabkb\libmod.exe [FUND] Ist das Trojanische Pferd TR/Spy.73728.815 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c191147.qua' verschoben! C:\System Volume Information\_restore{F0DC1DCA-837B-4BB2-8455-371991609572}\RP107\A0030834.exe [FUND] Ist das Trojanische Pferd TR/Agent.364544 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54b83f2f.qua' verschoben! C:\System Volume Information\_restore{F0DC1DCA-837B-4BB2-8455-371991609572}\RP107\A0030833.exe [FUND] Ist das Trojanische Pferd TR/Agent.364544 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '06e765c7.qua' verschoben! Ende des Suchlaufs: Montag, 28. November 2011 17:19 Benötigte Zeit: 1:28:36 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 5986 Verzeichnisse wurden überprüft 389694 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 389691 Dateien ohne Befall 9195 Archive wurden durchsucht 0 Warnungen 3 Hinweise 330707 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Sorry, war wohl einmal zuviel:stirn: |
ne du sollst den pc formatieren. |
Ja ich weiß, aber ich finde im bei 3 nicht funtionierenden Rechnern entstandenen Chaos nicht die für den Reserverechner passende XP-CD. Deswegen die Frage bis ich das passende Werkzeug zum Neuaufspielen gefunden habe. Gruß, Stefan |
jo aber trotzdem bringt es nicht viel noch mehr programme laufen zu lassen da immer die möglichkeit von malware bleibt die evtl. auf dem pc ist |
O.K. Dann schliessen wir das Ding hier und ich bedanke mich vielmals! Der nächste sinnlose Thread kommt demnächst von meinem zuerst bemackten Hauptrechner! Ich werde versuchen mein Kind davon zu überzeugen sein Weihnachtsgeschenkegeld Eurem Verein zu spenden, mal sehen ob's klappt. Gruß, Stefan |
wenn du formatieren kannst meld dich doch einfach hier und dann kümmern wir uns um die absicherung. das kann man ja in diesem thema erledigen danke für die spende :-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board