Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BKA Virus Abgesicherter Modus mit Bluescreen otl.txt extras.txt erstellt (https://www.trojaner-board.de/133174-bka-virus-abgesicherter-modus-bluescreen-otl-txt-extras-txt-erstellt.html)

supergirl 04.04.2013 10:56
BKA Virus Abgesicherter Modus mit Bluescreen otl.txt extras.txt erstellt
 
Hallo Leute!

Ich habe diesen BKA Virus und auf eurer Seite habe ich dazu diesen Beitrag gefunden: http://www.trojaner-board.de/116255-...luescreen.html

Ich hab alles so gemacht wie es beschrieben war und habe nun die Files hier und sende sie euch. Weil ich nämlich nicht genau weiss, was ich jetzt tun soll.
Anmerkung: Ich musste die OTL.txt in 2 Teile teilen, weil sie zu gross ist.

Ich hatte gehofft, dass mit diesem Programm OTLPENet der Virus ausgeschaltet würde und habe auch den Pfad überprüft wo die Virusdatei liegen sollte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Den Tipp habe ich dort gefunden:"Bundespolizei-100-Euro"-Virus - so werden Sie ihn wieder los

Zitat:
Im Winlogon Ordner sind einige Schlüssel gespeichert. Klicken Sie den Schlüssel "Shell" an. Hier wird Ihnen der Pfad des Bundespolizei-Virus angezeigt. Die Datei heißt meistens "jashla.exe" oder "mahmud.exe". Notieren Sie sich diesen Pfad.
5Löschen Sie den Pfad, der in "Shell" gespeichert ist und ersetzen Sie ihn durch "explorer.exe". Dadurch wird das Starten des Bundespolizei-Virus verhindert.
6Um den Virus endgültig von der Festplatte zu löschen, geben Sie in die Eingabeaufforderung "explorer.exe" ein. Folgen Sie nun dem Pfad, den Sie sich notiert haben und löschen Sie die schädliche Datei.
7
Doch ich fand dort weder jashla noch mahmud nur den explorer.exe Eintrag - dachte also der Virus wäre weg, habe neugestartet und ... Virus noch da!

Bitte sagt mir, was ich nun weiter tun kann/muss, damit mein Rechner wieder läuft!

Vielen Vielen Dank schon mal im Voraus!

Alexa:dankeschoen:

supergirl 04.04.2013 14:39
Hallo Leute! Hat keiner eine Antwort für mich? Wäre echt wichtig und dringend!

Lieben Gruss Alexa

t'john 05.04.2013 07:22
:hallo:

Ganz schoen viel Malware auf dem Rechner...


Fixen mit OTLpe
  • Starte den unbootbaren Computer erneut mit der OTLPE-CD,
  • warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

  • Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
  • Sollte das mangels Internet-Verbindung nicht möglich sein,
  • kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
  • Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
  • Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:


Code:
:OTL

O4 - HKLM..\Run: [HKLM] C:\WINDOWS\InstallDir\WinUp.exe ()
O4 - HKLM..\Run: [NitfEZXYwtjYCu5] C:\Dokumente und Einstellungen\ALEX\Lokale Einstellungen\Anwendungsdaten\~tmp8155883169078356368.exe ()
O4 - HKU\ALEX_ON_C..\Run: [458066] C:\Dokumente und Einstellungen\ALEX\458066\svhost.exe ()
O4 - HKU\ALEX_ON_C..\Run: [HKCU] C:\WINDOWS\InstallDir\WinUp.exe ()
O4 - HKU\ALEX_ON_C..\Run: [Microsoft® Windows® Operating System] C:\Dokumente und Einstellungen\ALEX\Lokale Einstellungen\Temp\System\adiadg.exe (Microsoft Corporation)
O4 - HKU\ALEX_ON_C..\Run: [NitfEZXYwtjYCu5] C:\Dokumente und Einstellungen\ALEX\Lokale Einstellungen\Anwendungsdaten\~tmp8155883169078356368.exe ()
[2008/07/25 06:17:02 | 000,058,880 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\ALEX\Anwendungsdaten\EG7PO7OJN9.exe
[2013/04/03 04:27:13 | 000,139,776 | ---- | M] () -- C:\Dokumente und Einstellungen\ALEX\Lokale Einstellungen\Anwendungsdaten\~tmp8155883169078356368.exe
[2013/03/19 15:57:45 | 000,775,934 | ---- | M] () -- C:\Dokumente und Einstellungen\ALEX\Anwendungsdaten\EM1BSSXS9Ycheck.exe
[2013/03/19 15:55:25 | 000,775,919 | ---- | M] () -- C:\Dokumente und Einstellungen\ALEX\Anwendungsdaten\check.exe
[2013/03/19 04:25:13 | 001,057,982 | ---- | M] () -- C:\Dokumente und Einstellungen\ALEX\Anwendungsdaten\QB90W2FEB69java.exe
[2013/03/15 06:42:10 | 001,057,989 | ---- | M] () -- C:\Dokumente und Einstellungen\ALEX\Anwendungsdaten\7SUAD7YVW1PBR0java.exe
[2013/03/14 15:45:51 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\ALEX\Anwendungsdaten\N0VR77java.exe
@Alternate Data Stream - 122 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:373E1720
[2013/04/04 03:45:32 | 000,000,254 | ---- | M] () -- C:\WINDOWS\tasks\RegistryBooster.job
[2013/03/19 15:55:25 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\ALEX\870748
[2013/03/19 15:56:01 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\ALEX\458066
[2013/03/14 15:14:25 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\ALEX\92912
[2013/03/14 15:14:25 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\ALEX\190018
[2013/03/14 15:07:13 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\ALEX\81356
[2013/03/14 15:07:13 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\ALEX\728496
[2013/01/30 16:43:16 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\ALEX\Anwendungsdaten\5SWSYJIHC7B1test.jar

:Files
[2013/03/14 15:45:51 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\ALEX\Anwendungsdaten\*.exe
ipconfig /flushdns /c
:Commands
[emptytemp]
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
  • Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
  • Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.



dann normal neustarten und:

Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.




dann:

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

supergirl 09.04.2013 19:07
Vielen lieben Dank t'john. Ich hab meinen Rechner komplett neu aufgesetzt und jetzt läuft er auch viel schneller. Danke trotzdem für die Antwort!! Ist ein tolles Forum!

Lieben Gruss Alexa

t'john 10.04.2013 00:07
Der Rechner hatte es wirklich noetig ;)

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

t'john 11.06.2013 09:12
Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:04 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129