Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Cyber crime investigation department - Trojaner (https://www.trojaner-board.de/129192-cyber-crime-investigation-department-trojaner.html)

Pipolino 08.01.2013 19:19
Cyber crime investigation department - Trojaner
 
Hi,

Ich habe mir den "Cyber crime investigation department" Trojaner eingefangen.

System: Win XP, SP2

Das System lässt sich auch ohne Internetverbindung nicht mehr starten, daher habe ich mir OTLPENet.exe runtergeladen, eine boot CD erstellt und den Rechner davon gestertet. Dann habe ich mit OTL einen Quick Scan durchgeführt, Ergebnis im Anhang.

Ich hoffe ich habe bisher alles richtig und forenregelkonform gemacht und bitte vielmals um Hilfe.

ryder 08.01.2013 19:51
Du hattest einen Bereinigungsthread und nicht mehr darauf geantwortet.

http://www.trojaner-board.de/123264-...tml#post906716

Pipolino 08.01.2013 21:00
Ja, ich hatte bereits einen thread für meines Vaters Computer angelegt. Ich war damals bei meinem Vater auf Besuch und bin irgendwann wieder abgereist. Da der Computer 1. nicht mehr in meiner Reichweite war und 2. funktioniert hat habe ich den thread damals im Sande verlaufen lassen.
Das ist schon eineige Zeit her und ich hoffe ich bin jetzt nicht in Ungnade gefallen. Kann mir bitte bitte jemad helfen.

ryder 08.01.2013 21:15
Nur damit wir uns verstehen. Ich hab kein Interesse dir zu helfen und dann bist du irgendwann nicht mehr verfügbar. Wenn, dann ziehen wir das Ding durch...

Pipolino 08.01.2013 21:21
Es scheint schonmal Probleme zu geben. Der Defogger gibt eine Fehlermeldung aus.

ryder 08.01.2013 21:23
Ich hab dir doch noch gar keine Anweisung gegeben?

Lies also bitte die Regeln:

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
  • Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
  • Nur Scanns durchführen zu denen Du aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
  • Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
  • Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
  • Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
  • Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
  • Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.


Gelesen und verstanden?

Pipolino 08.01.2013 21:33
Gelesen und verstanden. Danke!

Bis auf Eines: #-Symbol im Editor anklicken? Ich selbst bin Mac user.

Ich verspreche dass ich diesesmal bis zum Ende mitmache. Hab auch genug Zeit mitgebracht.

lg
Pipo

ryder 08.01.2013 21:35
Hier im Forumseditor gibts ein # Symbol

Aber mal ganz was anderes ... Mac ... da hast du Windows drauf installiert?

Pipolino 08.01.2013 21:45
Aha, hab verstanden, mit der #

Nein, auf meinem Mac ist kein Windows installiert, hatte ich früher mal zum spielen, jetzt aber nicht mehr.
Der befallene Computer ist der PC meines Vaters - den ich sowieso vom Netz genommen habe.

ryder 09.01.2013 14:14
In dem Logfile von OTLpe ist nichts von der genannten Infektion zu sehen.

Probiere bitte mal folgendes:

Computer mit Combofix entsperren


Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

  1. Batch-Datei vorbereiten
    • Drücke Windowstaste + R > notepad (eintippen) > Enter
      Kopiere den folgenden Text vollständig in das Fenster:
      Code:
      @echo off
      copy %0\..\combofix.exe "%userprofile%"\desktop
      "%userprofile%"\desktop\combofix.exe
    • Speichere die Datei als start.bat ab und wähle auch Batch-Datei als Dateiformat.
    • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!).
  2. Combofix kopieren
    • Lade dir Combofix von einem dieser Downloadlinks: Link
    • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
  3. Start mit Eingabeaufforderung
    • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
    • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
    • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
  4. Laufwerksbuchstaben finden und Combofix starten
    • Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
    • Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird deine Batchdatei und Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
    • Wenn du es gefunden hast tippe start.bat (Enter)
    • Combofix sollte jetzt starten.
    • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
    • Übergehe alle Warnungen mit OK.
  5. Logfile posten
    • Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
    • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
    • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
    • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Pipolino 09.01.2013 20:52
Egal welche Option ich in Bootmenü auswähle, der Rechner fängt danach immer wieder von vorne an hochzufahren. Ich kann nur mehr von der reatogo-x-pe CD aus starten die ich gestern gebrannt habe. Keine Ahnung was ich tun soll. Sieht ganz so aus als könnte ich die Systemplatte abschreiben oder?

lg

ryder 09.01.2013 20:53
Also du kannst mit OTLpe nochmal ein Logfile erstellen und ich schau nochmal rein.

ryder 11.01.2013 16:38
Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

ryder 13.01.2013 14:44
Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:11 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129