Trojaner-Board - Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei (https://www.trojaner-board.de/123317-weisser-bildschirm-trojaner-win-xp-otl-txt-dabei.html)

Weisser Bildschirm Trojaner WIN XP: OTL.txt dabei

Hi, habe mich hier schon belesen und vermute,dass ich mir einen Trojaner eingefangen habe. Habe mir eine OTL-Bootdisc erstellt und den Scan durchgeführt. Im Anhang befindet sich die OTL.txt als 7zip gepackt. So wie ich das verstanden habe,müsste mir jetzt jemand eine passende fix.txt erstellen ?

Gruss & Danke

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Note: Sollte ich 48 Stunden nichts von mir hören lassen, schicke mir bitte eine PM. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des PCs.

Versuchen wir es mal einfacher.

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

Starte den infizierten Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
Logge dich nun in das infizierte Benutzerkonto ein.
Schließe den USB Stick an den infizierten Rechner an.
Nun ist etwas Handarbeit gefragt.
- Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
- Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
  
  Zitat:
  
  Das System kann das angegeben Laufwerk nicht finden
  
  versuche einen anderen Laufwerksbuchstaben. ( zB F: )
Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
start srep.exe
Drücke nun auf Scan.
Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

Hallo Daniel, erstmal danke, ich hoffe das ich nicht zu spät dran bin...war paar Tage nicht in der Nähe des Pcs.

Habe alles so gemacht wie von dir bechrieben (PC startet - weisser Bildschirm ist weg - dafür jetzt blau)

WIN_XP X86 Service Pack 3
Running from F:\

HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.

[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
srep.exe

HKLM\..\Run [SoundMAXPnP] = C:\Programme\Analog Devices\Core\smax4pnp.exe
HKLM\..\Run [Malwarebytes' Anti-Malware] = "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
HKLM\..\Run [openvpn-gui] = C:\Programme\Astaro\Astaro SSL VPN Client\bin\openvpn-gui.exe
HKLM\..\Run [] =
HKLM\..\Run [SunJavaUpdateSched] = "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
HKLM\..\Run [NvCplDaemon] = RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
HKLM\..\Run [NvMediaCenter] = RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
HKLM\..\Run [nwiz] = C:\Programme\NVIDIA Corporation\nview\nwiz.exe /installquiet

HKCU\..\Run [CTFMON.EXE] = C:\WINXP\system32\ctfmon.exe
HKCU\..\Run [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
HKCU\..\Run [DAEMON Tools Lite] = "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
HKCU\..\Run [] =
HKCU\..\Run [SpybotSD TeaTimer] = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
HKCU\..\Run [MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-20_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Winlogon; Shell = explorer.exe,C:\Dokumente und Einstellungen\111\Anwendungsdaten\msconfig.dat
HKU\S-1-5-21-1708537768-179605362-1606980848-1003_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINXP\system32\CTFMON.EXE
HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINXP\system32\CTFMON.EXE
HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [CTFMON.EXE] = C:\WINXP\system32\ctfmon.exe
HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [DAEMON Tools Lite] = "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [] =
HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [SpybotSD TeaTimer] = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background
HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINXP\system32\CTFMON.EXE

==== FINISH 05.01-01.16 ====

Gruss Henry

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

C:\Dokumente und Einstellungen\111\Anwendungsdaten\msconfig.dat

und speichere es als fix.txt im selben Verzeichnis wie die srep.exe

Starte deinen Rechner bitte erneut in den Abgesicherten Modus mit Eingabeaufforderung.
Schließe deinen USB Stick erneut an den Infizierten Rechner.
Bitte nutze den selben USB Steckplatz wie beim Scan

Gib bitte folgenden Befehl ein
F:\srep.exe
Drücke den Fix Button.

Dein Rechner wird automatisch neu starten.

Berichte bitte, ob Du nun wieder auf den Infizierten Rechner zugreifen kannst.

Bildschirm ist immer noch weiss. Um den Text aus der Codebox zu kopieren habe ich "Alles Kopieren" angeklickt und dann die fix.txt auf dem Stick abgespeichert (jetzt in keinen speziellen Ordner - srp.exe ist auch in keinem)

Gruss Henry

Wenn es jetzt klappt, muss ich srep updaten.

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:otl

O20 - HKU\111_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\111\Anwendungsdaten\msconfig.dat) - C:\Dokumente und Einstellungen\111\Anwendungsdaten\msconfig.dat ()

:commands

[reboot]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt )
Kopiere nun den Inhalt hier in Deinen Thread

Error: Unable to interpret <WIN_XP X86 Service Pack 3> in the current context!
Error: Unable to interpret <Running from F:\> in the current context!
Error: Unable to interpret <HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ]> in the current context!
Error: Unable to interpret <.> in the current context!
Error: Unable to interpret <.> in the current context!
Error: Unable to interpret <.> in the current context!
Error: Unable to interpret <HKCU\..\Winlogon; Shell not found> in the current context!
Error: Unable to interpret <.> in the current context!
Error: Unable to interpret <[System Process]> in the current context!
Error: Unable to interpret <System> in the current context!
Error: Unable to interpret <smss.exe> in the current context!
Error: Unable to interpret <csrss.exe> in the current context!
Error: Unable to interpret <winlogon.exe> in the current context!
Error: Unable to interpret <services.exe> in the current context!
Error: Unable to interpret <lsass.exe> in the current context!
Error: Unable to interpret <svchost.exe> in the current context!
Error: Unable to interpret <svchost.exe> in the current context!
Error: Unable to interpret <svchost.exe> in the current context!
Error: Unable to interpret <svchost.exe> in the current context!
Error: Unable to interpret <cmd.exe> in the current context!
Error: Unable to interpret <srep.exe> in the current context!
Error: Unable to interpret <HKLM\..\Run [SoundMAXPnP] = C:\Programme\Analog Devices\Core\smax4pnp.exe> in the current context!
Error: Unable to interpret <HKLM\..\Run [Malwarebytes' Anti-Malware] = "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray> in the current context!
Error: Unable to interpret <HKLM\..\Run [openvpn-gui] = C:\Programme\Astaro\Astaro SSL VPN Client\bin\openvpn-gui.exe> in the current context!
Error: Unable to interpret <HKLM\..\Run [] = > in the current context!
Error: Unable to interpret <HKLM\..\Run [SunJavaUpdateSched] = "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"> in the current context!
Error: Unable to interpret <HKLM\..\Run [NvCplDaemon] = RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup> in the current context!
Error: Unable to interpret <HKLM\..\Run [NvMediaCenter] = RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit> in the current context!
Error: Unable to interpret <HKLM\..\Run [nwiz] = C:\Programme\NVIDIA Corporation\nview\nwiz.exe /installquiet> in the current context!
Error: Unable to interpret <HKCU\..\Run [CTFMON.EXE] = C:\WINXP\system32\ctfmon.exe> in the current context!
Error: Unable to interpret <HKCU\..\Run [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"> in the current context!
Error: Unable to interpret <HKCU\..\Run [DAEMON Tools Lite] = "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun> in the current context!
Error: Unable to interpret <HKCU\..\Run [] = > in the current context!
Error: Unable to interpret <HKCU\..\Run [SpybotSD TeaTimer] = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe> in the current context!
Error: Unable to interpret <HKCU\..\Run [MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background> in the current context!
Error: Unable to interpret <HKU\.DEFAULT\..\Winlogon; Shell = > in the current context!
Error: Unable to interpret <HKU\S-1-5-20\..\Winlogon; Shell = > in the current context!
Error: Unable to interpret <HKU\S-1-5-20_Classes\..\Winlogon; Shell = > in the current context!
Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Winlogon; Shell = explorer.exe,C:\Dokumente und Einstellungen\111\Anwendungsdaten\msconfig.dat> in the current context!
Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003_Classes\..\Winlogon; Shell = > in the current context!
Error: Unable to interpret <HKU\S-1-5-18\..\Winlogon; Shell = > in the current context!
Error: Unable to interpret <HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINXP\system32\CTFMON.EXE> in the current context!
Error: Unable to interpret <HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINXP\system32\CTFMON.EXE> in the current context!
Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [CTFMON.EXE] = C:\WINXP\system32\ctfmon.exe> in the current context!
Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"> in the current context!
Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [DAEMON Tools Lite] = "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun> in the current context!
Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [] = > in the current context!
Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [SpybotSD TeaTimer] = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe> in the current context!
Error: Unable to interpret <HKU\S-1-5-21-1708537768-179605362-1606980848-1003\..\Run [MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background> in the current context!
Error: Unable to interpret <HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINXP\system32\CTFMON.EXE> in the current context!
Error: Unable to interpret <==== FINISH 05.01-01.16 ====> in the current context!

OTLPE by OldTimer - Version 3.1.48.0 log created on 01052002_041927

Darf ich fragen, was du da gemacht hast ?

Naja, ich habe den infizierten PC mit der OTL-Boot-CD gestartet und dann OTL gestartet. Vorher habe ich den Text hier aus der Codebox auf einen Stick gespeichert und dann auf dem infizierten PC in OTL eingefügt und dann gefixt.

Du hast die shell.txt eingefügt ;)

Hi Daniel, also ich dachte, dass ich den Text aus der Code-Box vom Posting Nr. #6 in OTL einfügen soll ? Wenn nicht den, welchen dann ? ;-)

Hallo Daniel, bin jetzt erst mal bis nächsten Samstag abend auf Dienstreise und würde mich dann wieder melden um den richtigen Text einzufügen.

Gruss Henry

http://www.trojaner-board.de/123317-...tml#post909683

Steht hier. Den Text aus der Codebox

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen