Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virus blockiert alles (https://www.trojaner-board.de/93467-virus-blockiert-alles.html)

Woodcore 04.12.2010 12:33
Virus blockiert alles
 
Hallo,

mein Schwager hat sich was Ernsthaftes eingefangen, Malware, Trojaner, Virus oder wie man das auch nennen mag, es geht nichts mehr.:headbang:
Dieses schadprogramm möchte das man ein Antivirusprogramm für 49.90$ (günstigstes Angebot) kauft.
Was immer man tun möchte, das Programm behauptet das alle Anwendungen von einem Virus befallen seien und deshalb nicht ausgefürt werden können. Jeder Browser, IE und Firefox gehen nur auf diese Webseite wo man das AV-Programm kaufen soll. (Ausnahme, Opera, ich konnte durch abschalten der Schnelleinstellungen Java, ActivX usw. die Kontrolle des Browsers wieder übernehmen nur leider arbeiten die online AV-Scanner nicht mit Opera!!??)

Ich werde nun versuchen mit bootfähigen Virenscannern (Kasperski u. Avira) den Virus zu entfernen

Meine Frage; Kann mir jeman Sagen um was es hier genau geht, also was für ein Virus und wie am besten zu entfernen?

Gruß
Joel:kaffee:

markusg 04.12.2010 12:53
nichts entfernen bitte!
download:
http://filepony.de/download-otlpe/
und brenne es mit ISOBurner auf eine CD.
Active@ ISO Burner. Data CD DVD burning software. Write ISO image to CD,DVD,CD-RW,CDR,DVD-RW.
• Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
http://www.trojaner-board.de/81857-c...cd-booten.html
• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

Woodcore 04.12.2010 19:06
Hallo markusg,

leider ist mir die Zeit ausgegangen, das OTLPEnet.exe kam einfach zu langsam herunter und der infizierte Rechner ist einige Km entfernt.
Ich habe dann vor Ort mit der Avira Antivir Rescue Disk das System gescannt. Es wurden zwei Trojaner gefunden.

1. Syssvc.exe = TR/Dropper.Gen
2. njtnnuqog/yqcdpmvtsbl.exe = TR/FakeAV.vpj

Mir ist dann nichts besseres eingefallen als diese Exen (erstmal) umzubenennen. Damit war der Spuk schlagartig zuende. Habe dann nach einem Update des AV-Programms das ganze System erneut gescannt und den Müll von Avira aufräumen lassen.
Den IE habe ich auf Defaulteinstellungen zurückgesetzt, danach lief dann auch der Firefox wieder.
Iich hoffe der Spuk ist nun endgültig zuende. Als Konsequenz werde ich Antivir Premium installieren. (WebGuard)

Ich werde morgen wieder an diesem Rechner sein, bin dankbar für jeden weiteren Hinweis.

Vielen Dank
Joel Woodcore

markusg 04.12.2010 19:23
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Woodcore 04.12.2010 19:47
Hallo markusg

vielen Dank, mach ich!

Gruß
Woodcore

Woodcore 05.12.2010 17:41
Hallo markusg,
hier die beiden Files.

Gruß
Klaus

markusg 05.12.2010 17:47
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:09 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129