Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   mahmud.exe, wahrscheinlich noch mehr... (https://www.trojaner-board.de/105850-mahmud-exe-wahrscheinlich-noch-mehr.html)

maglite 05.12.2011 21:40
mahmud.exe, wahrscheinlich noch mehr...
 
Zu Beginn ersteinmal ein großes Dankeschön, dass ihr euch Zeit für mich nehmt.
Mein Name ist Chris und mein kleiner Bruder hat meinen PC zertört... :(

Ich habe ein Notebook von HP, WinXP SP3, und die Bundespolizei hat "die ungesetzliche Tätigkeit enthüllt"...

Start im abgesicherten Modus mit Eingabeaufforderung geht nicht; Maus wie Tastaur funktioniert ab dem Moment des Winlogon-Screen nicht mehr.

Normale Anmeldung unter dem Gastkonto geht noch, aber ich muss alles über den Taskmanager eingeben, explorer.exe macht mir nur die eigenen Dateien auf, nicht mehr.
Über regedit.exe die Shell angesehen - die führt mich zu
...dok&einstell/Admin/Anwendungsdat./mahmud.exe
Ändern oder löschen ging nicht - Gastkonto hat keine Adminrechte.

OTL habe ich laufen lassen, ich hoffe ihr könnt was damit anfangen obwohl es nur vom Gastkonto aus gemacht wurde, also ohne Adminrechte;
Bitte verzeiht das ich die extra.txt Datei nicht gezippt hochlade, ich komme nur über mein Tablet ins Internet, und das kann nicht zippen...

Vielen vielen Dank jetzt schon! Ich hoff ihr könnt mir soweit helfen, dass ich meinen Bruder nicht umbringen muss... Und das muss ich wenn meine Semesterarbeit futsch ist.
:dankeschoen:

cosinus 06.12.2011 09:24
Zitat:
Bitte verzeiht das ich die extra.txt Datei nicht gezippt hochlade, ich komme nur über mein Tablet ins Internet, und das kann nicht zippen...
Ohne die OTL.txt bringt das aber nichts :pfeiff:
Was ist mit Malwarebytes kannst du das ausführen?

Zitat:
Und das muss ich wenn meine Semesterarbeit futsch ist.
Noch nie davon gehört, dass man wichtige Daten immer sichern muss? :balla:

maglite 06.12.2011 09:39
Guten morgen, Arne

Die zweite .txt werde ich gleich heute mittag wenn ich von der Uni heimkomme posten, ob ich malwarebytes zum laufen bekomme schau ich dann auch.
Was das sichern betrifft: letzte Sicherung ist von vor 2 Tagen, d.h. es wurden seitdem ca. 13h umsonst gearbeitet. Mitten in der Klausurenphase... Aber prinzipiell hast du Recht...

Danke,
Chris

____
sent from my htc hd2

maglite 07.12.2011 09:14
guten Morgen, Arne

Also, hier kommt jetzt ersteinmal die otl.txt Datei, malwarebytes muss ich heute an der Uni runterladen, das ging mit dem Tablet, warum auch immer, nicht... Du siehst dann ja, wenn ich es reinstelle...

Danke,

Chris

maglite 07.12.2011 20:10
Ich kann unter dem Gastzugang malewarebytes nicht installieren... Ich nehme an, dass das ein schlechtes Zeichen ist, oder?
Gibt es von diesem malwarebytes noch eine Version die man nicht installieren muss, sondern direkt ausführen kann?

Mein Usb-Stick wurde heute an der Uni übrigens wegen "schadhafter Software" nicht zugelassen,leider hat das Uni-system nicht gesagt was drauf ist...

Ich kann nun übrigens wieder auf mein normales Benutzerkonto zugreifen, also dass mit dem ich normalerweise immer drin bin - habe also die Möglichkeit alles wichige zu speichern. Mach ich dann am besten auf CD, oder? Immerhin hat es den USB--Stick ja verseucht ?!

Danke euch nochmals!

cosinus 07.12.2011 20:11
Ohne Adminrechte bringt auch OTL nichts.
Mach das alles im abgesicherten Modus mit Netzwerktreibern

maglite 07.12.2011 20:30
Das geht leider auch nicht - ich hab keine Sekunde Zeit bis Maus und Tastatur einfrieren... Ich muss dann doch ein Passwort eingeben, aber ich weiß nicht wie ich das machen soll ohne Maus und Tastatur... von Zeit zu Zeit schaff ich es den Benutzer anzuklicken, dann blinkt der Curser und es ist zu spät... Ich mach wirklich so schnell ich kann, aber es geht einfach nicht... Weder mit Netzwerktreibern, noch mit Eingabebaufforderung...
Ich will einen Mac.

Naja, ich probier mal weiter, vielleicht isses wie beim Tischkicker und man muss den Bewegungsablauf nur oft genug gemacht haben, bis er schnell genug wird... Hoffentlich hält der Humor.

Falls du noch weitere ideen haben solltest: mein handy klingelt sobald hier was drinsteht...

cosinus 07.12.2011 20:41
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

maglite 07.12.2011 20:42
Ich glaub ich hab den ersten Schritt geschafft - ich hab gerade aus blanker Verzweiflung den Rechner normal hochgefahren und direkt nach der Passworteingabe strg+alt+entf gedrückt bevor der ukash-screen dawar und hab versucht die mahmud.exe zu beenden... hätte fast funktioniert... also noch 2 mal, jetzt hats geklappt: Ich hab die mahmud exe geschlossen bekommen bevor sie mir das ukash fenster reingehauen hat!!! Jetzt blinkt avira:

TR/Ransom.DU.9

maglite 07.12.2011 20:47
Ich lass jetzt defogger, otl, und malwarebytes nochmal drüberlaufen, ergebnise poste ich dann in ein paar minuten :D

FREUDEEEE!!!

maglite 07.12.2011 21:50
So, anbei sind:
otl.txt
extra.txt
defogger
malwarebytes log

Sobald du mir grünes Licht gibst lösch' ich den Mahmud.exe bis dahin dümpelt der noch in der quarantäne von avira.
Was ich mit den funden aus malwarebytes machen soll musst du mir dann bitte uch noch schreiben, ich lass da erstmal die Finger weg, vielleicht brauchst du ja noch was davon, und ich kenn das Programm nicht...


Vielen vielen Dank!!!

cosinus 08.12.2011 11:30
Zitat:
c:\dokumente und einstellungen\koenig_cbe\eigene dateien\selten bis nie\setups\Media\nero burning rom_8.1.1.4+kgn[h33t][rupliham]\Setup\Keygen\nero 8.x ultra edition keygen.exe (RiskWare.Tool.CK) -> No action taken.
:pfui:

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


Zitat:
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> No action taken.
Du hast ein SpyEyes drauf, da ist eine Neuinstallation eh dringend anzuraten.

Wenn du auch noch andere Dinge erledigen willst als nur Zocken oder Solitär spielen wie zB E-Mails abrufen, OnlineBanking (eben alles was Logins erfordert) dann solltest du deine Daten sichern, den Rechner komplett plätten und eine Neuinstallation von Windows durchführen.
Anschließend auch sämtliche Passwörter ändern!!!

Mit komplett plätten wird gemeint: alle Partitionen auflösen, neu erstellen und formatieren. Helfen kann dabei ein Tool wie DBAN oder die Laufwerksverwaltung in einem Ubuntu im Ausprobiermodus.

Praktischerweise kann man mit diesem Live-Linux auch ziemlich gefahrlos all seine wichtigen Daten auf eine externe Platte sichern.
kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!

maglite 08.12.2011 22:31
Hallo Arne,

hatte ganz vergessen, dass ich noch die Neroversion draufhatte... Selbst schuld - steht hier ja auch überall, dass bei Hinweisen auf kegens und Cracks vorbei ist... :(
Kann ich ehrlich gesagt auch gut nachvollziehen...

Danke, dass du mir trozdem noch gesagt hast, dass spyeyes drauf sind; werde die nächsten Tage dann neu Aufsetzen...


Also insgesamt:
Vielen Dank , dass du/ihr euch Zeit nehmt und helft, ich weiß das wirklich zu schätzen

Chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:55 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129