Trojaner-Board
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Google verlinkt auf teils anstößige Seiten. (https://www.trojaner-board.de/96706-google-verlinkt-teils-anstoessige-seiten.html)

BäMDÄM 05.04.2011 14:08
Es gibt schon wieder ein Problem. Die Wiederherstellungskonsole ist zwar vorhanden, jedoch kann ich sie nicht ausführen. Während den 2 Sekunden in denen mir die Wahl zwischen Konsole und normalem Start gelassen wird, schaff ich es weder mit Pfeiltasten noch mit der Entertaste irgendwie auf die Konsole zu kommen. Da reagiert nichts.

cosinus 05.04.2011 14:49
1.) alle Dateien anzeigen lassen => http://www.trojaner-board.de/59624-a...-sichtbar.html
2.) Rechtsklick auf boot.ini direkt auf Laufwerk C:\ => Eigenschaften => Haken bei Schreibschutz rausnehmen => ok
3.) boot.ini per Doppelklick mit notepad.exe (Editor) öffnen
4.) 2. Zeile ändern zu timeout=30
5.) abspeichern und neu starten
6.) Bootmenü sollte nun 30 Sekunden angezeigt werden

BäMDÄM 09.04.2011 20:20
Also ich kann immernoch nichts machen. Die Pfeiltasten und die Entertaste funktioneren nicht. Wahrscheinlich liegt an der Tastatur, die beim Hochfahren noch nicht läuft. Werde in morgen eine andere besorgen :)

cosinus 09.04.2011 20:59
USB-Tastatur? Wenn ja, im BIOS die Option USB Keyboard Support aktivieren.

BäMDÄM 14.04.2011 16:34
Also wenn ich die Konsole starte kommt da die Frage: Bei welcher Windowsinstallation möchten sie sich anmelden. Dort kann ich dann nur einen Buchstaben eingeben. Konnte also nicht fixmbr etc. eingeben.

cosinus 14.04.2011 17:47
Du musst dich da auch schon bei der Windows-Installation anmelden!! Erst dann kann man die Befehle eintippen und ausführen

BäMDÄM 15.04.2011 13:56
Ja aber was soll ich denn da eingeben? Wenn ich nur Enter drücke, wird der Vorgang abgebrochen. Ich weiß ja nicht wie ich mich da anmelden soll.

cosinus 15.04.2011 14:15
Dir wird eine Ziffer vor der WIndows-INstallation angezeigt. Müsste die 1 sein

BäMDÄM 22.04.2011 09:06
Tut mir Leid, dass ich nochmal nachfrage: Da steht, dass das irgendwas mit meinen Partitionen zu tun hat und ich möglicherweise danach nicht mehr darauf zugreifen kann. Ist das richtig so? Da steht nämlich ich soll es lassen, wenn ich keine Probleme mit dem Zugriff habe. Ich weiß das ich Ihnen vertrauen kann, aber wollte nur nochmal sicher gehen.

cosinus 22.04.2011 12:22
Ja fixboot und fixmbr müssen bestätigt werden. Musst du machen, sonst werden diese Befehle nicht ausgeführt.

BäMDÄM 26.04.2011 11:48
fixmbr und fixboot ausgeführt. MBRChecke nocheinmal versucht, jedoch erscheint immernoch der BlueScreen und ich muss neustarten.

cosinus 26.04.2011 12:58
Dann mag dein Rechner mbrcheck nicht...

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

BäMDÄM 20.05.2011 12:00
So habe nun endlich Zeit gefunden die Scanns laufen zu lassen. Hier die Ergebnisse:

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6536

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.04.2011 19:14:53
mbam-log-2011-04-30 (19-14-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 407051
Laufzeit: 2 Stunde(n), 47 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{a70ece43-829d-48c8-862b-2e1c92df30b9}\RP811\A0232408.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/03/2011 at 03:01 PM

Application Version : 4.52.1000

Core Rules Database Version : 7072
Trace Rules Database Version: 4884

Scan type      : Complete Scan
Total Scan Time : 03:48:16

Memory items scanned      : 614
Memory threats detected  : 0
Registry items scanned    : 7827
Registry threats detected : 12
File items scanned        : 233210
File threats detected    : 17

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adfarm1.adition[2].txt
        C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad2.adfarm1.adition[1].txt
        C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@tracking.gameforge[2].txt
        C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@sevenoneintermedia.112.2o7[1].txt
        C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atwola[1].txt
        inwmedia.net [ C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\MFRMJHKN ]
        media.mtvnservices.com [ C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\MFRMJHKN ]
        static.eporner.com [ C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\MFRMJHKN ]
        C:\Dokumente und Einstellungen\Gast\Cookies\gast@pandasoftware.112.2o7[1].txt

Rogue.VirusHeat
        HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}
        HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\InprocServer32
        HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\InprocServer32#ThreadingModel
        HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\Nzpy
        HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\ProgID
        HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\RUhytS
        HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\tJOpCcrqxS
        HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\tXldhOUQmO
        HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\VersionIndependentProgID
        HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\whiejdGwd
        HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\xbvazd
        HKCR\CLSID\{E94EB13E-D78F-0857-7734-5E67A49FFFF1}\zxAMxRojJxO

Trojan.Agent/Gen-Bancos
        C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\ANWENDUNGSDATEN\WEBOCTON - SCRIPTLY\PLUGINS\WYSIWYG_EDITOR.DLL
        D:\PROGRAMME\WEBOCTON - SCRIPTLY\ORIGINALS\PLUGINS\WYSIWYG_EDITOR.DLL

Trojan.Agent/Gen-Nullo[Short]
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A70ECE43-829D-48C8-862B-2E1C92DF30B9}\RP811\A0232398.EXE
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A70ECE43-829D-48C8-862B-2E1C92DF30B9}\RP811\A0232399.EXE
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A70ECE43-829D-48C8-862B-2E1C92DF30B9}\RP811\A0232400.EXE
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A70ECE43-829D-48C8-862B-2E1C92DF30B9}\RP811\A0232401.EXE
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{A70ECE43-829D-48C8-862B-2E1C92DF30B9}\RP811\A0232402.EXE
        D:\SYSTEM VOLUME INFORMATION\_RESTORE{A70ECE43-829D-48C8-862B-2E1C92DF30B9}\RP811\A0232403.EXE

cosinus 20.05.2011 13:35
Überreste und Cookies.

Zitat:
C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\ANWENDUNGSDATEN\WEBOCTON - SCRIPTLY\PLUGINS\WYSIWYG_EDITOR.DLL
D:\PROGRAMME\WEBOCTON - SCRIPTLY\ORIGINALS\PLUGINS\WYSIWYG_EDITOR.DLL
Fehlalarme? Kennst du die Dateien?

Zitat:
Datenbank Version: 6536
30.04.2011 19:14:53

Du hast Malwarebytes vorher nicht aktualisiert bzw. der Scan liegt schon zu lange zurück.
Bitte updaten und einen Vollscan machen.

BäMDÄM 21.05.2011 16:13
Also die WYSIWIG Dateien hab ich noch so dunkel in Erinnerung, dass ich die mal gebraucht hab. Aber eigentlich weiß ich nicht mehr so ganz wofür. Was soll ich denn jetzt mit den Funden von SUPERAntiSpyware machen?
Hier der aktuelle Bericht von MBAM:

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6633

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.05.2011 01:46:25
mbam-log-2011-05-20 (01-46-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 418432
Laufzeit: 5 Stunde(n), 9 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:00 Uhr.
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131