Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Probleme nach entfernen des BKA 100 € Trojaners (https://www.trojaner-board.de/97642-probleme-entfernen-bka-100-trojaners.html)

bender23 18.04.2011 14:32
Probleme nach entfernen des BKA 100 € Trojaners
 
habe hier ein Windows Home Center XP

bereits mit der Avira udn Kaspersky Linux Boot CD das System gesannt und gesäubert.

Dann im abgesicherten Modus (da trotzdem immer der Screen des BKA Trojaners kam)
mit Spybot 1.6 und Antimalware Mbam gescannt dort nochmal alles gesäubert
(Toolbars, etc)

Nunn bootet die Kiste wieder ohne den BKA Screen aber der Explorer bzw. der Desktop wird nicht automatisch geladen ...

mit dem Taskmanager kann man aber Programme ausführen (Explorer.exe, etc...)

welche LOGs braucht Ihr nun um zu helfen ?

Highjackthis log ? --> habe ich nun angehangen !
(habe sie als log.txt angehangen da kein *.log files gehen)

das von Mbam ? --> folgt

Danke für die Mühe !

cosinus 18.04.2011 15:53
http://www.trojaner-board.de/images/icons/icon4.gif Bitte beachten http://www.trojaner-board.de/images/icons/icon4.gif => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html

bender23 18.04.2011 16:00
OK dann mache ich mal die 3 andern LOGs

soll ich die dann in diesem Thread posten oder wie beschreiben im OTL Thread ?

aus
http://www.trojaner-board.de/85104-o...-oldtimer.html
Zitat:
Poste die Logfiles hier in den Thread.

cosinus 18.04.2011 16:09
Wenndie Logs zu groß sind, alle in eine Datei zippen und hier anhängen.
Denk auch an Malwarebytes!

bender23 18.04.2011 16:29
voila die Logfiles

Mbam und OTL

so wies aussieht ist die Kiste sauber...

das Problem ist eben dass sie bootet und dann den Desktophintergrund zeigt
aber eben nicht den Desktop anzeigt (explorer..)

danke für den Support

cosinus 18.04.2011 16:33
Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100

Database version: 5363
Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.
hast du noch mehr Logs von MBAM? Wenn ja alle posten.

bender23 18.04.2011 16:50
jo klar der rechner ist nicht am Netz kann man die Updatdatei irgendow einzeln saugen ?

cosinus 18.04.2011 16:55
http://data-cdn.mbamupdates.com/v0/d...rules.6390.ref

Abspeichern nach /Dokumente und Einstellungen/All Users/Anwendungsdaten/Malwarebytes/Malwarebytes' Anti-Malware
die alte rules.ref ersetzen. Erst dann Malwarebytes starten!

bender23 19.04.2011 10:26
also nochmal auf dem rechner ist nichts mehr was "böse" ist aber er bootet nicht mehr komplett ins BS sondern "steht" kurz bevor der Desktop lädt hier noch das Mbam Log

cosinus 19.04.2011 19:49
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2269050&SearchSource=13"
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.16 16:52:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{0b7f9366-fde8-11de-b988-0012bfc569ff}\Shell - "" = AutoRun
O33 - MountPoints2\{0b7f9366-fde8-11de-b988-0012bfc569ff}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0b7f9366-fde8-11de-b988-0012bfc569ff}\Shell\AutoRun\command - "" = J:\Startme.exe
O33 - MountPoints2\{37dfa1b6-23eb-11df-b9f7-0012bfc569ff}\Shell\AutoRun\command - "" = K:\TrekStor/menu.exe
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\prxtbDVD0.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - C:\Programme\DVDVideoSoft\prxtbDVD0.dll (Conduit Ltd.)
@Alternate Data Stream - 99 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9E3E060F
@Alternate Data Stream - 98 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:569CEE83
@Alternate Data Stream - 97 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:08727B4C
@Alternate Data Stream - 95 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C85CD339
@Alternate Data Stream - 95 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:3D290D2D
@Alternate Data Stream - 94 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8E7F155B
@Alternate Data Stream - 94 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:293ADB24
@Alternate Data Stream - 138 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:4EE323A4
@Alternate Data Stream - 136 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:EEB25EAE
@Alternate Data Stream - 131 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:AA92F7C7
@Alternate Data Stream - 125 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:89A5891E
@Alternate Data Stream - 124 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E1D6C864
@Alternate Data Stream - 124 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:3C6860C5
@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9857FAE3
@Alternate Data Stream - 123 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0287BE91
@Alternate Data Stream - 122 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9B285B76
@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:2EA99C48
@Alternate Data Stream - 120 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:B0B6888E
@Alternate Data Stream - 120 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:35A81752
@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:AEB961C5
@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:260575F1
@Alternate Data Stream - 118 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C22674B6
@Alternate Data Stream - 118 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:062AF572
@Alternate Data Stream - 117 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:F2DA92FA
@Alternate Data Stream - 117 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:EDC744FB
@Alternate Data Stream - 116 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BB8F0982
@Alternate Data Stream - 116 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A3B8F70C
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:6641B59F
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:42B6425E
@Alternate Data Stream - 113 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:59286A3A
@Alternate Data Stream - 112 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CF61CE5A
@Alternate Data Stream - 112 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:3D36932D
@Alternate Data Stream - 111 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0F0A5896
@Alternate Data Stream - 110 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1F1F33EF
@Alternate Data Stream - 108 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:EB5BDBB0
@Alternate Data Stream - 108 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:59846E5E
@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1CB3187E
@Alternate Data Stream - 101 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C80AB70B
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

bender23 20.04.2011 09:23
1000 Dank für die Hilfe !

cosinus 20.04.2011 17:30
Poste bitte das Fixlog! Wir sind nocht nicht fertig!

bender23 28.04.2011 10:21
sorry dass wir uns nicht mehr gemeldet haben aber war ein paar tage weg

haben den Rechner nun doch noch neu aufgesetzt, win 7 gabs zu Ostern

Danke für die Hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131