Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Plagegeister (https://www.trojaner-board.de/137619-plagegeister.html)

cosinus 03.07.2013 14:36

Fixen mit OTLpe

  • Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
  • Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
    Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:
:OTL
O20 - HKU\DetlefRita_ON_C Winlogon: Shell - (C:\Users\DetlefRita\AppData\Roaming\skype.dat) - C:\Users\DetlefRita\AppData\Roaming\skype.dat ()
:Files
C:\ProgramData\*.js
C:\ProgramData\*.reg
C:\ProgramData\*.bat
C:\ProgramData\*.pad
C:\ProgramData\*.exe
C:\Users\DetlefRita\AppData\Roaming\blckdom.res
C:\Users\DetlefRita\AppData\Roaming\skype.ini
C:\Users\DetlefRita\AppData\Roaming\14001.0??
C:\Users\DetlefRita\AppData\Roaming\Hyzue
C:\Users\DetlefRita\AppData\Roaming\Icpeic
C:\Users\DetlefRita\AppData\Roaming\kock
C:\Users\DetlefRita\AppData\Roaming\Meqe
C:\Users\DetlefRita\AppData\Roaming\Onito
C:\Users\DetlefRita\AppData\Roaming\searchqutb
C:\Users\DetlefRita\AppData\Roaming\UAs
C:\Users\DetlefRita\AppData\Roaming\Umbezi
C:\Users\DetlefRita\AppData\Roaming\Uvxe
C:\Users\DetlefRita\AppData\Roaming\xmldm
C:\ProgramData\8C5A560247F6596100008C59C9B16245
  • Klicke jetzt auf den Fix Button.
  • Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
  • Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
    (Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
  • Kopiere nun dessen Inhalt hier in deinen Thread.

Mikesch81 03.07.2013 14:59
Er geht wieder Cosinus sei dank :-)

========== OTL ==========
Registry value HKEY_USERS\DetlefRita_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\DetlefRita\AppData\Roaming\skype.dat deleted successfully.
C:\Users\DetlefRita\AppData\Roaming\skype.dat moved successfully.
========== FILES ==========
C:\ProgramData\eotvol.js moved successfully.
C:\ProgramData\eotvol.reg moved successfully.
C:\ProgramData\oaaoc.reg moved successfully.
C:\ProgramData\eotvol.bat moved successfully.
C:\ProgramData\oaaoc.bat moved successfully.
C:\ProgramData\eotvol.pad moved successfully.
C:\ProgramData\mjlair.pad moved successfully.
C:\ProgramData\oaaoc.pad moved successfully.
File\Folder C:\ProgramData\*.exe not found.
C:\Users\DetlefRita\AppData\Roaming\blckdom.res moved successfully.
C:\Users\DetlefRita\AppData\Roaming\skype.ini moved successfully.
C:\Users\DetlefRita\AppData\Roaming\14001.018\components folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\14001.018 folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\14001.019\components folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\14001.019 folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\Hyzue folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\Icpeic folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\kock folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\Meqe folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\Onito folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\searchqutb\widgets_cache folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\searchqutb\weather folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\searchqutb\games folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\searchqutb folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\UAs folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\Umbezi folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\Uvxe folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\xmldm folder moved successfully.
C:\ProgramData\8C5A560247F6596100008C59C9B16245 folder moved successfully.

OTLPE by OldTimer - Version 3.1.48.0 log created on 07032013_165213

cosinus 03.07.2013 15:09
Rootkitscan mit GMER

Bitte lade dir GMER Rootkit Scanner GMER herunter: (Dateiname zufällig)
  • Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
  • Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei: IAT/EAT und Show All
  • Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
  • Starte den Scan mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Tauchen Probleme auf?
  • Probiere alternativ den abgesicherten Modus.
  • Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.


Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Mikesch81 03.07.2013 17:09
Malwarebytes Anti-Malware 1.75.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.04.04.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16618
DetlefRita :: DETLEFRITA-PC [Administrator]

03.07.2013 18:37:39
mbam-log-2013-07-03 (18-37-39).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 236441
Laufzeit: 4 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

cosinus 03.07.2013 22:52
Zitat:
Datenbank Version: v2013.04.04.07
DB war nicht aktuell. Scan mit aktueller DB wiederholen. Außerdem fehlt GMER


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:20 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132