Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   GEMA-Trojaner, Hilfe mit OTLPE (https://www.trojaner-board.de/110656-gema-trojaner-hilfe-otlpe.html)

Maribu 29.02.2012 20:37

GEMA-Trojaner, Hilfe mit OTLPE
 
HAbe mir den GEMA-Trojaner gefangen. Booten des betroffenen Laptops mit der Kaspersky-Rescue-CD klappte nicht. Habe nun aud Empfehlung von Forenmitliedern (hier: Marcusg) mit Hilfe von OTLPN gebootet und einen Scan gemacht. Habe nun eine OTL.txt-Datei. Wa snun tun?
Gruß, Maribu

markusg 29.02.2012 20:45

hi, na ohne die txt können wir nicht viel tun, kopiere doch deren inhalt mal in deine nächste antwort :-)

Maribu 29.02.2012 20:57

Hier die txt.

Gruß, Maribu

markusg 29.02.2012 21:41

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:

:OTL
O4 - HKLM..\Run: [VX2bt1oYNKCLnkO] C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe (Cutting Edge Software Inc.)
O4 - HKU\Michael_ON_C..\Run: [VX2bt1oYNKCLnkO] C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe (Cutting Edge Software Inc.)
O7 - HKU\Michael_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Michael_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Michael_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe (Cutting Edge Software Inc.)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe (Cutting Edge Software Inc.)
O20 - HKU\Michael_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe (Cutting Edge Software Inc.)
O20 - HKU\Michael_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe (Cutting Edge Software Inc.)
:Files
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Maribu 29.02.2012 22:23

Nachdem ich die Daten aus der fix.txt geladen habe, passiert nichts mehr. Man sieht nur den Text unten im Fenster. Der Button "Run Fix" reagiert auch nicht...

Maribu 29.02.2012 22:25

Laptop geht nicht und Deutschland ist am verlieren... kein guter Tag

Maribu 29.02.2012 23:01

Run Fix ließ sich starten, nachdem ich den fix mit paste + copy eingegeben hatte.
Windows startet nun zwar und die GEMA-Seite ist nicht mehr zu sehen, doch der Desktop bleibt völlig leer. Bin ratlos...

Maribu 01.03.2012 09:29

Hab nach dem 1. fix einen erneuten Scan gestartet, hier die neue OTL.txt

Hab auch noch versucht mit Hilfe des "Kaspersky Windows Unlocker" sowie der Kaspersky-Rescue-Cd zu agieren. Beim Versuch diesen auf den USB-Stick zu bekommen erhalte ich jedioch folgende Fehlermeldung:
"Die Dateien, die zum Erstellen einer Notfall CD auf einem USB-Grät erforderlich sind, wurden nicht gefunden, oder das verwendete Disk-Abbild ist beschädigt."

Habe die notwendige ISO-Datei von verschiedenen Seiten (Natürlich auch von Kasperskx support) heruntergeladen. Immer derselbe Fehler...

markusg 01.03.2012 17:28

immer mit der ruhe, is heut auch nicht mein bester tag :-)
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:

:OTL
O4 - HKLM..\Run: [VX2bt1oYNKCLnkO]  File not found
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe) -  File not found
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\h6s5ruij653.exe) -  File not found
O20 - HKU\Michael_ON_C Winlogon: Shell - (c:\dokumente und einstellungen\michael\anwendungsdaten\h6s5ruij653.exe) -  File not found
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Maribu 01.03.2012 20:06

Prima, wir sind einen Schritt weiter!
Nach dem fix ist der Rechner zwar nicht von selbst gebootet, ich musste nach CD-Entnahme den Laptop wie gewohnt starten.
Doch jetzt ist zumindest die Taskleiste wieder aktiv und auch zu sehen. Allerdings bleibt der Desktop leer.
Welchen log möchtest du nun haben und wie erstelle ich den?
Ich könnte aus der Taskleiste nun Malwarebytes starten. Soll ich dies mal tun?

Gruß, Maribu

Maribu 01.03.2012 23:12

Hab Malewarebyte scannen lassen. Er hat zwar etwas gefunden, doch der Desktop bleibt nach einem Neustart weiterhin leer.

Ich sende hier zur Info beide logs, den von Maewwarebyte sowie den nun aktuellen von OTL als OTL.txt.

Was kann man jetzt noch tun???

Gruß, Maribu

markusg 02.03.2012 11:44

kannst du mal nen rechtsklick auf den desktop machen, ansicht, symbole einblenden.
geht das?
und mache nicht irgendwelche scans von denen nichts geschrieben steht.
pose dann das malwarebytes log, bzw falls mehrere vorhanden, alle.

Maribu 02.03.2012 14:01

Hallo markusg,
ich find es echt klasse von dir, dass du dabei bleibst, um zu helfen!

Ja, das mit dem Rechtsklick hats gebracht. Alles ist wieder sichtbar auf dem Desktop.
Konntest du meinen letzten log (OTL) prüfen? Ist da noch was Auffälliges?
Und, das Wichtigste: ist der Laptop nun wieder okay oder besteht noch ne Gefahr?
Ich hab auch noch eine Kaspersky Internet-Security-Lizenz. Einen Rechner könnte ich damit noch ausstatten. Soll ich hier mal Kaspersky installieren und scannen lassen?
Gruß, Maribu

markusg 02.03.2012 16:55

hi, kannst du mal jetzt den upload wie auf seite 1 beschrieben machen.
wir müssen danach noch weiter schauen.

Maribu 02.03.2012 18:00

Hallo Markusg,
hab die ZIP-Datei wie gewünscht upgeloaded. Doch wo sieht man die jetzt?


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131