Trojaner-Board
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Polizeivirus Österreich vom 2.8.12 (https://www.trojaner-board.de/121125-polizeivirus-osterreich-2-8-12-a.html)

kasta63 09.08.2012 15:25
sorry. habe das script noch einmal ausgeführt.

AHT 09.08.2012 15:27
Datei C:\PPFS_Sicherung\xpt6ygrx.tsp einmal hier hochladen: http://upload.trojaner-board.de/

Und hier auch: https://www.virustotal.com/
Link zu Ergebnis von Virustotal hier posten.

kasta63 09.08.2012 15:35
ich habe die datei auf die trojaner-board seite hochgeladen.

hier der link zum ergebnis von virustotal:
https://www.virustotal.com/file/7d0d03b5a173b6072b9ec3a58664da9880e0f0a7d5df89912768ae75258395fa/analysis/1344522805/

AHT 09.08.2012 15:40
Muss gerade noch ein Script schreiben und testen. Bei dir ist der Arbeitsstationsdienst vom Trojaner zerschossen worden. Ich versuche das zu reparieren. Treten später Fehler mit dem Dienst auf, musst du den Rechner neu aufsetzen.

Das Script im PPFScanner ausführen:
Code:
CREATE_FOLDER->C:\PPFS_Tools
DOWNLOAD->http://www.osnanet.de/andreas.hoetker/REGs/Lanman_W7_64.reg>C:\PPFS_Tools\Lanman_W7_64.reg
OPEN->C:\PPFS_Tools\Lanman_W7_64.reg
Es öffenet sich danach eine Messagebox - lasse die Daten in die Registry eintragen. Melde dich, ob sich nach dem Ausführen die Messagebox öffnet.
Starte danach den Rechner neu.
Hast du ihn neu gestartet, nochmals hier melden.

kasta63 09.08.2012 15:54
das script hat nicht funktioniert. dies habe ich als antwort bekommen:

Code:

#################################
CREATE_FOLDER->C:\PPFS_Tools
DOWNLOAD->hxxp://www.osnanet.de/andreas.hoetker/REGs/Lanman_W7_64.reg>C:\PPFS_Tools\Lanman_W7_64.reg
OPEN->C:\PPFS_Tools\Lanman_W7_64.reg


#################################
Zeile 1: CREATE_FOLDER->C:\PPFS_Tools
  Eine Datei kann nicht erstellt werden, wenn sie bereits vorhanden ist.

Zeile 2: DOWNLOAD->hxxp://www.osnanet.de/andreas.hoetker/REGs/Lanman_W7_64.reg>C:\PPFS_Tools\Lanman_W7_64.reg
  Errorcode $800C0003: hxxp://www.osnanet.de/andreas.hoetker/REGs/Lanman_W7_64.reg > C:\PPFS_TOOLS\LANMAN_W7_64.REG
Zeile 3: OPEN->C:\PPFS_Tools\Lanman_W7_64.reg
  Das System kann die angegebene Datei nicht finden.

Zeile 4:
Zeile 5:

AHT 09.08.2012 15:57
Folgende Datei herunterladen und ausführen: Lanman_W7_64.reg
Infos in Registry eintragen lassen, Rechner neu starten.
Hier danach melden.

kasta63 09.08.2012 15:59
ausgeführt

AHT 09.08.2012 16:00
Rehner einmal neu starten.

kasta63 09.08.2012 16:01
und neu gestartet

AHT 09.08.2012 16:03
Dann das noch einmal tun:
  • PPFScan.exe starten.
  • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
  • Wähle im Untermenü Script laden und ausführen.
  • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
  • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit winrar packen und anhängen.

Ich will schauen, ob sich der Mist zwischendurch nachgeladen hat.

kasta63 09.08.2012 16:30
Ich habe den Scan nochmals durchgeführt.

AHT 09.08.2012 16:40
Mediyes ist jetzt tot.
  • Ordner C:\PPFS_Sicherung löschen, Papierkorb leeren.
  • Alle alten Systemwiederherstellungspunkte löschen (sind seit 2011 alle infziert): Windows 7 - Die Systemwiederherstellung in Windows 7 deaktivieren
  • Zum Schluss alle Passwörter ändern. Warte aber erst noch auf t'john, ob er auf der Kiste noch was wegen BKA durchführen will.

Folgendes Script dann im PPFScanner ausführen (löscht Java Cache):
Code:
CREATE_FOLDER->C:\PPFS_Tools
CREATE_BATCH_FILE->C:\PPFS_Tools\DelJwCACHE.BAT
WRITE_BATCH->javaws -uninstall
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->OPERA.EXE
KILL_PROCESS->firefox.exe
OPEN->C:\PPFS_Tools\DelJwCACHE.BAT
SLEEP->500
WAIT_FOR_TERMINATE->javaws.exe
END->

kasta63 09.08.2012 16:43
wow danke, danke und nochmals danke
du bist mein held!
kurze frage noch: alle von dir zuvor genannten punkte soll ich erst durchführen wenn t'john sich wieder gemeldet hat. habe ich das so richtig verstanden oder gilt dies nur für die ausführung des scripts?

AHT 09.08.2012 16:54
Warte erst mit allem, bis der andere Helfer sich meldet.
t'john fixt hier desöfteren BKA Sachen und ich weiß nicht genau, ob er diesbezüglich bei dir noch was ausführen möchte.
Ich musste das mit Mediyes dazwischenschieben - laufen noch Teile von Mediyes kann es jederzeit passieren, das du den Internetkontakt verlierst.

kasta63 09.08.2012 16:58
ok
nocheinmal vielen dank für deine hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:49 Uhr.
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131