Mit Bundestrojaner infiziert "ism_0_llatsni.pad " Hallo, mein PC ist erneut mit dem Bundestrojaner infiziert - beim letzten Mal hatte mein Bruder das Problem hier mit euch gefixt, jetzt schaffe ich das selbst. Und alles nur, weil ich Malwarebytes wieder deinstalliert habe... jetzt bin ich eines Besseren belehrt!!! Hier die OTL-Logs hxxp://pastebin.com/QDfTr7H4 hxxp://pastebin.com/Db8fvUsY Besten Dank im Voraus! |
:hallo: Zitat:
Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code: :OTL
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! |
Hallo und vielen Dank für die schnelle Hilfe hat alles gut geklappt. Seit gestern Abend ist "ism_0_llatsni.pad" aber wieder auf meinem Desktop, ein Scan mit Malwarebytes findet jedoch nichts. Was soll ich tun? Derzeit läuft noch alles normal, keine Sperrung. Frage mich, warum sich das Ding trotz aktivem Malwarebytes wieder eingeschlichen hat :headbang: |
Wo ist das Fix-Log? Zitat:
Dein Rchner ist weder sauber noch abgesichert. |
Hallo, hxxp://pastebin.com/hUhjXadS Code: All processes killed |
Poste die Logs in Zukunft hier ins Forum. Sehr gut! :daumenhoc Wie laeuft der Rechner? 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.danach: 2. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
PC läuft gut. Bevor ich die nächsten Schritte wie beschrieben mache, eine kurze Frage: Soll ich nochmal fixen mit OTL, denn der Fix Log ist vom 26.8.? |
Nein, nicht nochmal. Weitermachen. |
Hallo, hier die Logs: 1. Schritt: hxxp://pastebin.com/HeT7RagX 2. Schritt: hxxp://pastebin.com/fhnEm07G ism_0_llatsni.pad ist weiterhin auf dem Desktop |
Zitat:
|
Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.09.02.04 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 8.0.7601.17514 auhlig :: AUHLIG-PC [Administrator] Schutz: Aktiviert 02.09.2012 19:51:05 mbam-log-2012-09-02 (19-51-05).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 342200 Laufzeit: 2 Stunde(n), 3 Minute(n), 42 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) -------- # AdwCleaner v2.000 - Datei am 09/02/2012 um 21:57:36 erstellt # Aktualisiert am 30/08/2012 von Xplode # Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits) # Benutzer : auhlig - AUHLIG-PC # Normaler Modus : Normal # Ausgeführt unter : C:\Users\auhlig\Desktop\adwcleaner.exe # Option [Suche] **** [Dienste] **** ***** [Dateien / Ordner] ***** Ordner Gefunden : C:\Users\auhlig\AppData\Roaming\pdfforge ***** [Registrierungsdatenbank] ***** Schlüssel Gefunden : HKLM\SOFTWARE\Software ***** [Internet Browser] ***** -\\ Internet Explorer v8.0.7601.17514 [OK] Die Registrierungsdatenbank ist sauber. -\\ Mozilla Firefox v14.0.1 (de) Profilname : default Datei : C:\Users\auhlig\AppData\Roaming\Mozilla\Firefox\Profiles\usuqden5.default\prefs.js [OK] Die Datei ist sauber. ************************* AdwCleaner[R1].txt - [860 octets] - [02/09/2012 21:57:36] ########## EOF - C:\AdwCleaner[R1].txt - [919 octets] ########## |
Sehr gut! :daumenhoc
danach: Malware-Scan mit Emsisoft Anti-Malware Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm. Lade über Jetzt Updaten die aktuellen Signaturen herunter. Wähle den Freeware-Modus aus. Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers. Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten. Anleitung: http://www.trojaner-board.de/103809-...i-malware.html |
Hej, hier die Logdatei für AdwCleaner: # AdwCleaner v2.000 - Datei am 09/05/2012 um 20:01:53 erstellt # Aktualisiert am 30/08/2012 von Xplode # Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits) # Benutzer : auhlig - AUHLIG-PC # Normaler Modus : Normal # Ausgeführt unter : C:\Users\auhlig\Desktop\adwcleaner.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** Ordner Gelöscht : C:\Users\auhlig\AppData\Roaming\pdfforge ***** [Registrierungsdatenbank] ***** Schlüssel Gelöscht : HKLM\SOFTWARE\Software ***** [Internet Browser] ***** -\\ Internet Explorer v8.0.7601.17514 Wiederhergestellt : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope] Wiederhergestellt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope] Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope] Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope] Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope] -\\ Mozilla Firefox v14.0.1 (de) Profilname : default Datei : C:\Users\auhlig\AppData\Roaming\Mozilla\Firefox\Profiles\usuqden5.default\prefs.js [OK] Die Datei ist sauber. ************************* AdwCleaner[R1].txt - [987 octets] - [02/09/2012 21:57:36] AdwCleaner[R2].txt - [1046 octets] - [02/09/2012 21:58:18] AdwCleaner[S1].txt - [1424 octets] - [05/09/2012 20:01:53] ########## EOF - C:\AdwCleaner[S1].txt - [1484 octets] ########## Der Detailscan mit Emsisoft Anti-Malware hat auch funktioniert, es wurde einige Objekte mittleren und höheren Risikos gefunden. Am Ende habe ich nichts gelöscht, allerdings habe ich nirgends die Funktion "Bericht speichern" gefunden oder etwas, was in diese Richtung geht. Wie jetzt weiter vorgehen? Danke schonmal! |
Schaue bitte in der Anleitung (http://www.trojaner-board.de/103809-...i-malware.html) nach, wo du die Logfiles finden kannst. Poste das Logfile bitte. |
:daumenhoc danke! Hier die Logfiles für Emsisoft Anti-Malware: Emsisoft Anti-Malware - Version 6.6 Letztes Update: 05.09.2012 20:07:46 Scan Einstellungen: Scan Methode: Detail Scan Objekte: Rootkits, Speicher, Traces, C:\, D:\ Archiv Scan: An ADS Scan: An Scan Beginn: 05.09.2012 20:08:11 c:\windows\system32\hooks.dll gefunden: Trace.File.stealth keylogger 5.0!E1 C:\_OTL\MovedFiles\08272012_062014\C_Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\5c35e11c-2d5e69ab -> a2bada\a2badc.class gefunden: Exploit.Java.Blacole!E2 C:\_OTL\MovedFiles\08272012_062014\C_Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\5c35e11c-2d5e69ab -> a2bada\a2bada.class gefunden: Exploit.Java.Blacole!E2 C:\_OTL\MovedFiles\08272012_062014\C_Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\5c35e11c-2d5e69ab -> a2bada\a2badd.class gefunden: Exploit.Java.Blacole!E2 C:\_OTL\MovedFiles\08272012_062014\C_Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\5c35e11c-2d5e69ab -> a2bada\a2bade.class gefunden: Exploit.Java.Blacole!E2 C:\_OTL\MovedFiles\08272012_062014\C_Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\5c35e11c-2d5e69ab -> a2bada\a2badb.class gefunden: Exploit.Java.Blacole!E2 C:\_OTL\MovedFiles\08162012_170040\C_Users\auhlig\AppData\Roaming\14001.014\components\AcroFF014.dll gefunden: Riskware.AdWare.Win32.Gaba!E2 C:\Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\1a1befff-32993a59 -> v222222a\v222222e.class gefunden: Exploit.Java.Blacole!E2 C:\Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\1a1befff-32993a59 -> v222222a\v222222b.class gefunden: Exploit.Java.Blacole!E2 C:\Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\1a1befff-32993a59 -> v222222a\v222222d.class gefunden: Exploit.Java.CVE-2012-1723!E2 C:\Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\1a1befff-32993a59 -> v222222a\v222222a.class gefunden: Exploit.Java.CVE-2012-1723!E2 C:\Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\1a1befff-32993a59 -> v222222a\v222222c.class gefunden: Exploit.Java.Blacole!E2 C:\Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\1a1befff-32993a59 -> v222222a\v222222f.class gefunden: Exploit.Java.CVE-2012-1723!E2 C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe gefunden: Adware.Win32.Toolbar.Dealio.AMN!E1 Gescannt 603624 Gefunden 14 Scan Ende: 05.09.2012 21:22:10 Scan Zeit: 1:13:59 C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Quarantäne Adware.Win32.Toolbar.Dealio.AMN!E1 C:\Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\1a1befff-32993a59 -> v222222a\v222222d.class Quarantäne Exploit.Java.CVE-2012-1723!E2 C:\_OTL\MovedFiles\08162012_170040\C_Users\auhlig\AppData\Roaming\14001.014\components\AcroFF014.dll Quarantäne Riskware.AdWare.Win32.Gaba!E2 C:\_OTL\MovedFiles\08272012_062014\C_Users\auhlig\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\5c35e11c-2d5e69ab -> a2bada\a2badc.class Quarantäne Exploit.Java.Blacole!E2 c:\windows\system32\hooks.dll Quarantäne Trace.File.stealth keylogger 5.0!E1 Quarantäne 5 |
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:29 Uhr. |
Copyright ©2000-2024, Trojaner-Board