GVU / Polizeivirus - neue Infektion Hello @all, jetzt ist es soweit, ich muss doch einmal ein forum zum entfernen eines virus verwenden, ich bin mir zwar schon fast sicher, wie ich den virus entfernen muss, aber möchte sicher gehen. Ich habe von einem Bekannten einen PC bekommen - der erste Virus, den ich nicht selber löschen kann :( Daher bitte ich um Eure Mithilfe. Anbei die Log-Files, welche durch OTL erstellt wurden. (Natürlich müssen dann die Virus..... mit dem Usernamen getauscht werden) Vielen Dank fibsi |
Hi kommst du an nen pc mit brenner? download: http://filepony.de/download-otlpe/ und brenne es mit ISOBurner auf eine CD. ISO Burner - Download - Filepony isoburner anleitung: http://www.trojaner-board.de/83208-b...ei-cd-dvd.html • Wenn der Download fertig ist mache ein doppel Klick auf die OTLPENet.exe, was ISOBurner öffnet um es auf die CD zu brennen. Starte dein System neu und boote von der CD die du gerade erstellt hast. Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten, http://www.trojaner-board.de/81857-c...cd-booten.html • Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen. • Mache einen doppel Klick auf das OTLPE Icon. • Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes. • Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes. • entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist. • OTL sollte nun starten. Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox. Code: activex • Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert • Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast. poste beide logs |
ups, das ging aber rasch, habe schon die logfiles - sorry, war grad am editieren, bin grad am upload reatagor xp funktioniert nicht, bluescreen |
Anbei die Logs - ich hoffe das passt so, lg fibsi |
dann machs beim nächsten Mal bitte so, dass du erst alle Infos sammelst und dann postest, danke warte dann mal auf die Logs |
sorry, habe mich beim Upload verklickt :) Der Upload war schon ein Eintrag vor dir oberhalb wie analysierst du die textfiles? Ich gehe mal von diesen zeilen aus: FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_202.dll File not found FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation) FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation) |
Hi, otl fix Fixen mit OTL
Code: :OTL
starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
|
Hat super funktioniert, Danke Upload der Datei erfolgt - jedoch wurde im Pfad und in der Textdatei der "User" auf USERNAME umbenannt. lg fibsi ps: war aber auf einem USB - Stick und nicht am Desktop - hatte die Variante mit dem Stick und Reparaturkonsole durchgespielt. 7468782061206c6f74 01100110 01101001 01100010 01110011 01101001 |
Danke fürs hochladen Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
|
Ich habe den PC schon zurückgebracht, werde aber noch versuchen, heute das Logfile von meinem Bekannten ausführen zu lassen, bzw. Remote dann ausführen. |
wieso arbeitet man nur halb bis zum ende, is ja nich mal halb, evtl. erst n viertel. nicht mal sicherheitslücken sind geschlossen, womit ne Neuinfektion leicht möglich ist, und wir dann die doppelte Arbeit haben... |
Jetzt hat mein Bekannter das Programm nicht mehr ausführen können und hat schon wieder den Virus drauf - seit Freitag beim surfen wieder PopUp Fenster mit Casions und seit Montag startet er nicht mehr - soll ich das gleiche Skript wieder ausführen, oder vorher wieder eine Analyse starten? hab jetzt erst deine Signatur bzgl. Urlaub gelesen Habs mit FRST entfernen können, alle Windows, Java usw. Updates eingespielt. Anschließend Kontrolle mit tdsskiller = OK, Kontrolle mit OTL = OK. Danke nochmals |
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:49 Uhr. |
Copyright ©2000-2024, Trojaner-Board