Trojaner-Board - Lizenz-Trojaner auf dem PC

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Lizenz-Trojaner auf dem PC (https://www.trojaner-board.de/115206-lizenz-trojaner-pc.html)

Lizenz-Trojaner auf dem PC

Sher geehrte User,

mein Vater hat mich gebeten bei seinem Pc zu schauen, da dieser nicht mehr ordentlich hochfährt. Leider bin auch ich ein ziemlicher Leie in Sachen PC. Das Problem ist, dass nach dem Hochfahren ein Fenster aufgeht in dem Steht das die Lizenz nicht gültig ist und das man was bezahlen soll um eine neue Lizenz für 10 Jahre zu bekommen.

Ein Starten in die drei abgesicherten Modi ist nicht möglich, jedesmal erfolgt ein Neustart.

In einem Forumbeitrag habe ich nun gelesen das man die OTLPENet.exe runterladen soll. Gesagt getan, hab sie auf eine Bootfähige CD gebrannt und in den Pc von meinem Vater eingelegt.

Es hat auch funtioniert, der PC startete mit REATOGO-X-PE aber wie kann soll ich jetzt den Inhalt der Testbox einfügen?
Ich kann mit dem Pc von meinem Vater nämlich nicht ins Internet.
Desweitern verstehe ich nicht was damit gemeint ist das ich beide Logs posten soll. Ist der Log die Datei die erstellt wird wenn der Scan fertig ist?

Ich hoffe das ich das mit dem Posten richtig gemacht habe, da ich mich auch mit sowas nicht wirklich auskenne.
Ich hoffe ihr könnt mir helfen, vielen Dank schon mal im Voraus.

LG Jenkins

hi
na den text auf nem usb stick speichern, die textdatei über otl öffnen und dann einfügen, das programm erstellt dann 2 berichte, die benötigen wir bitte

Ich habe jetzt die Testbox kopiert und mittels Stick auf dem anderen PC eigefügt und auf Run Scan gedrückt. Das Programm hat 5 min gearbeitet und danach habe ich auf der Festplatte C: die txt. datei gefunden die ich als Anhang mal hochladen wollte doch leider ist die Datei zu groß =(

packe sie mit winrar, kopiere den text hier rein oder teile sie.

Jetzt müsste das mit dem Anhängen funktioniert haben, hoffe ich =)

Hab ich irgendwas falsch gemacht? oder bin ich mit der Antwort einfach nur zu ungeduldig?

sorry, meine schuld, habs übersehen
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

:OTL

O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()

O4 - HKU\Fuppi_ON_C..\Run: [5CEDE592] C:\WINDOWS\system32

O4 - HKU\Peter_ON_C..\Run: [1Y7C9I1C4ZWVZAZETSERS] C:\update64\1E7298120A5.exe ()

O4 - HKU\Peter_ON_C..\Run: [5CEDE592] C:\WINDOWS\system32

O4 - HKU\Peter_ON_C..\Run: [1Y7C9I1C4ZWVZAZETSERS] C:\update64\1E7298120A5.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O7 - HKU\Peter_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O7 - HKU\Peter_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\6C0742A05CEDE59263AD.exe) - C:\WINDOWS\system32\6C0742A05CEDE59263AD.exe (Sally Beauty Supply is the largest retailer)

O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found

:Files

C:\update64

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Hi, ich hab gerade den Scan durchlaufen lassen und die Datei hochgeladen dabei aber den falschen Link hochgeladen. Ich hoffe du findest es trotzdem. Sry für die umstände. Der Link den ich im UpChannel angegeben habe war: http://www.trojaner-board.de/102367-...log-file.html.

Der Scan hat funktioiert der Pc ist normal ohne CD gestartet.

Gibt es noch weitere Schritte die ich nun erledigen muss?

LG Manuel

hi
gibts verschlüsselte dateien?

Nein, keine Dateien verschlüsselt. Ich kann auf alle Dateien zugreifen.

Ist jetzt noch irgendwas zu machen oder kann der PC jetzt wieder gefahrlos benutzt werden???

Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.05.29.03

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Peter :: PETER-4DFBD6A88 [Administrator]

29.05.2012 12:33:43
mbam-log-2012-05-29 (12-33-43).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 237091
Laufzeit: 19 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Ipwdzry\567C84C25CEDE592EDE1.exe (Worm.AutoRun) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\05222012_045430\C_update64\1E7298120A5.exe (Spyware.Password) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\05222012_045430\C_WINDOWS\system32\6C0742A05CEDE59263AD.exe (Worm.AutoRun) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)