Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Nach verschiedenen Viren (Recovery/iTan Sparkasse) gehen verschiedene Sachen nicht mehr (https://www.trojaner-board.de/100015-verschiedenen-viren-recovery-itan-sparkasse-gehen-verschiedene-sachen-mehr.html)

mfrosch 06.06.2011 19:35
Nach verschiedenen Viren (Recovery/iTan Sparkasse) gehen verschiedene Sachen nicht mehr
 
Hallo Zusammen,

ich habe mir vor 1,5 Wochen auf meinem Laptop (Win 7 prof.) so manches eingefangen.

Zuerst bekam ich den HP Recovery Virus, diesen habe ich mit Hilfe dieses Boards entfernen können.

Danach war mir noch aufgefallen, das bei meinem Sparkasse Online Banking eine skurile iTan abfrage kam. Diese habe ich auch mit Hilfe diesen Boards entfernen können.

Es bleiben jedoch noch so manche Symptome bestehen.
  • Skype nicht mehr, beim Anmelden erhalte ich eine Meldung "Skype funktioniert nicht mehr"
  • Ab und zu erhalte ich auch "Internet Explorer funktioniert nicht mehr" dabei habe ich den gar nicht offen
  • Im Google Chrome wird keine Seite mehr geladen
  • Webkit/Safari kann nicht mehr gestartet werden "da wichtige Dateien fehlen"

Glaube das waren alle Symptome, eine Neuinstallation würde ich gerne vermeiden.

Bin froh um jede Hilfe : )

Bzgl. den Logs
Defogger habe ich verwendet und alles deaktiviert. Jedoch wurde ich danach nicht zum Neustart aufgefordert und ich habe auch keine Log gefunden.

Die entsprechende OTL Analyse steckt im Anhang.

Btw: Anti Vir und malwarebytes anti malware läuft inzwischen komplett ohne Befunde durch.

Vielen Dank und Grüße,
Matthias

cosinus 06.06.2011 20:17
Poste bitte alle Logs von AntiVir und Malwarebytes

mfrosch 06.06.2011 20:29
Alles klar, gibts gleich morgen. Hab den Laptop grad nicht zur Hand.

mfrosch 07.06.2011 10:05
So, im Anhang sind alle Logs von Avira und Malwarebytes.

Vielen Dank und Grüße,
Matthias

cosinus 07.06.2011 11:24
Zitat:
Art des Suchlaufs: Quick-Scan
Datenbank Version: 6744
Bitte routinemäßig einen Vollscan mit aktuellem malwarebytes machen und Log posten. (der letzte Vollscan liegt zurück und da waren die Signaturen etwas älter)
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

mfrosch 07.06.2011 12:52
Alles klar, werd ich heute über die Nacht laufen lassen. Danke für den Hinweis.

mfrosch 08.06.2011 10:09
So, der Full Scan ist durchgelaufen und hat "leider" nicht wirklich was gefunden ... lediglich 2 Dateien, aber das ist ein Programm welches ich schon seit Jahren verwende, darin wird es nicht liegen.

Hast du noch einen Tipp für mich?

Vielen Dank und Grüße,
Matthias

cosinus 08.06.2011 10:46
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
:OTL
FF - prefs.js..browser.startup.homepage: "http://start.facemoods.com/?a=ddrnw"
FF - prefs.js..network.proxy.backup.ftp: "runningspeed.info"
FF - prefs.js..network.proxy.backup.ftp_port: 0
FF - prefs.js..network.proxy.backup.socks: "runningspeed.info"
FF - prefs.js..network.proxy.backup.socks_port: 0
FF - prefs.js..network.proxy.backup.ssl: "runningspeed.info"
FF - prefs.js..network.proxy.backup.ssl_port: 0
FF - prefs.js..network.proxy.ftp: "74.95.17.254"
FF - prefs.js..network.proxy.ftp_port: 80
FF - prefs.js..network.proxy.http: "74.95.17.254"
FF - prefs.js..network.proxy.http_port: 80
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "74.95.17.254"
FF - prefs.js..network.proxy.socks_port: 80
FF - prefs.js..network.proxy.ssl: "74.95.17.254"
FF - prefs.js..network.proxy.ssl_port: 80
FF - prefs.js..network.proxy.type: 4
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{610473f0-5ba5-11e0-badd-f04da27f6b58}\Shell - "" = AutoRun
O33 - MountPoints2\{610473f0-5ba5-11e0-badd-f04da27f6b58}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{610473f5-5ba5-11e0-badd-f04da27f6b58}\Shell - "" = AutoRun
O33 - MountPoints2\{610473f5-5ba5-11e0-badd-f04da27f6b58}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{699dfb01-b01f-11df-a289-f04da27f6b58}\Shell - "" = AutoRun
O33 - MountPoints2\{699dfb01-b01f-11df-a289-f04da27f6b58}\Shell\AutoRun\command - "" = E:\USBAutoRun.exe
O33 - MountPoints2\{72eab200-5bb3-11e0-8d5f-f04da27f6b58}\Shell - "" = AutoRun
O33 - MountPoints2\{72eab200-5bb3-11e0-8d5f-f04da27f6b58}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{72eab203-5bb3-11e0-8d5f-f04da27f6b58}\Shell - "" = AutoRun
O33 - MountPoints2\{72eab203-5bb3-11e0-8d5f-f04da27f6b58}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{72eab217-5bb3-11e0-8d5f-f04da27f6b58}\Shell - "" = AutoRun
O33 - MountPoints2\{72eab217-5bb3-11e0-8d5f-f04da27f6b58}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{72eab21a-5bb3-11e0-8d5f-f04da27f6b58}\Shell - "" = AutoRun
O33 - MountPoints2\{72eab21a-5bb3-11e0-8d5f-f04da27f6b58}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{902e87a3-5c6a-11e0-9f3f-f04da27f6b58}\Shell - "" = AutoRun
O33 - MountPoints2\{902e87a3-5c6a-11e0-9f3f-f04da27f6b58}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{a2664595-5986-11e0-a596-f04da27f6b58}\Shell - "" = AutoRun
O33 - MountPoints2\{a2664595-5986-11e0-a596-f04da27f6b58}\Shell\AutoRun\command - "" = E:\autorun.exe
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\USBAutoRun.exe
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\AutoRun.exe
:Commands
[purity]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

mfrosch 08.06.2011 10:52
Hi,

hab den Fix durchgeführt. Die Symptome bleiben jedoch leider bestehen : /

Im Anhang ist die Log.

vg,
Matthias

cosinus 08.06.2011 11:28
Ich hab auch nirgendo erwähnt, dass wir dann schon durch seien.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

mfrosch 08.06.2011 11:44
Gut, hab ihn ausgeführt.

Eine Datei ist dem wohl dabei aufgefallen, danach wurde ich zum reboot aufgefordert.

Als ich wieder hochgefahren habe, hat sich Skype direkt eingeloggt. :-)

Meinst das System ist nun wieder Clean?

cosinus 08.06.2011 11:47
TDSS wurde erkannt und entfernt. Bitte Windows neu starten und zur Kontrolle ein neues Log mit dem Kaspersky-TDSS-Killer machen.

mfrosch 08.06.2011 13:13
Alles klar, hab ich eben gemacht, neu gestartet und den tdsskiller erneut ausgeführt. Nun hat er nichts mehr gefunden.

cosinus 08.06.2011 13:39
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

mfrosch 08.06.2011 14:26
Sodala, ist ausgeführt. :-)


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:41 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55