Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verbindung zu allen Antivirusseiten blokiert. Verbindung über Nokiamodem wird versucht (https://www.trojaner-board.de/118830-verbindung-allen-antivirusseiten-blokiert-verbindung-nokiamodem-versucht.html)

ARK 08.07.2012 00:07
Verbindung zu allen Antivirusseiten blokiert. Verbindung über Nokiamodem wird versucht
 
Hallo,

ich habe auf meinem XP-System (32 bit) wohl ein ernsthaftes Problem:

THunderbird schmeirt sofort nach dem Start reproduzierbar ab (mit der Bitte das an Mozilla melden zu dürfen). Nach dem Start öffnete sich immer ein Explorerfenster das auf die Markierungen zu Googleearth verwies (dieses existierende Verzeichnis habe ich leider in der ersten Panik einfach gelöscht .. kann also den genaune Pfad nicht mehr sagen). Und beim Start versuchte ein Prozess über Nokia-Modem? eine DFÜ-Verbindung aufzubauen.

Schließlich hat Firefox alle Versuche auf Antivir-Seiten zuzugreifen geblockt (not available, 404, etc.)

Ich habe nun versucht hier alle Anleitungen richtig zu befolgen und poste nun meine Logs in der Hoffnung, dass sich eine gute, weise Seele meiner Maliasse annehmen möge. (Leider bin ich vom 9.7.2012 abends bis 16.7. abends weder am Rechner noch anders erreichbar, so dass ich schon jetzt für diese Woche um Nachsicht bitte, dass ich weder etwas ausführen noch antworten kann).

Vielen Dank für jeden noch so kleinen Hinweis.

c u
ARK

markusg 09.07.2012 18:04
hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
O4 - HKCU..\Run: [Xiavgyka] C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ehip\iscui.exe (i-rocks)
[2012.07.06 12:21:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ytar
[2012.07.06 12:21:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Wixa
[2012.07.06 12:21:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ehip
 :Files
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ehip
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

ARK 15.07.2012 13:07
Vielen Dank für die schnelle Antwort.

Ich habe die Schritte befolgt und konnte die Dateien auch problemlos in den Uploadchannel hochladen.
Vielen Dank soweit schon einmal.

Hier das Ergebnis des Logfiles
07152012_134725.log
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Xiavgyka deleted successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ehip\iscui.exe moved successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ytar folder moved successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Wixa folder moved successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ehip folder moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: Admin
->Flash cache emptied: 3201243 bytes

User: All Users

User: Default User
->Flash cache emptied: 56543 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 3,00 mb


[EMPTYTEMP]

User: Admin
->Temp folder emptied: 5469112717 bytes
->Temporary Internet Files folder emptied: 161337158 bytes
->Java cache emptied: 31567885 bytes
->FireFox cache emptied: 1095612779 bytes
->Google Chrome cache emptied: 47818642 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 82513 bytes
->Temporary Internet Files folder emptied: 33194 bytes

User: NetworkService
->Temp folder emptied: 327680 bytes
->Temporary Internet Files folder emptied: 124010279 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 3871111 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 103529120 bytes
RecycleBin emptied: 6506255790 bytes

Total Files Cleaned = 12.918,00 mb


OTL by OldTimer - Version 3.2.53.1 log created on 07152012_134725

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\Perflib_Perfdata_738.dat not found!

PendingFileRenameOperations files...
File C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\Perflib_Perfdata_738.dat not found!

Registry entries deleted on Reboot...

markusg 15.07.2012 14:56
hi
danke fürs hochladen
nutzt du den pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

ARK 15.07.2012 15:02
Hallo,
danke für die schnelle Antwort.
Ja, ich mache Homebanking, Paypal etc. über diesen PC. Nichts geschäftliches jedoch.
Homebanking funktinoiert bei mir über iTan, so dass da jemand wohl auch noch men Handy hacken müsste, um da was anzurichten (hoffe ich mal).

cu ARK

markusg 16.07.2012 16:50
lasse onlinebanking sicherheitshalber sperren.
danach
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:50 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129