Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BKA Trojaner (https://www.trojaner-board.de/120866-bka-trojaner.html)

t'john 04.08.2012 15:14

Bitte diesen Fix mal probieren:

Code:

:OTL
:Files
netsh winsock reset catalog /c
:Commands
[purity]
[emptytemp]
[emptyflash]
[Reboot]


DaliKlick 05.08.2012 18:39

Code:

All processes killed
========== OTL ==========
========== FILES ==========
< netsh winsock reset catalog /c >
Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.
C:\Users\Dalibor Pantic\Desktop\cmd.bat deleted successfully.
C:\Users\Dalibor Pantic\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Dalibor Pantic
->Temp folder emptied: 260590 bytes
->Temporary Internet Files folder emptied: 33300 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 5905503 bytes
->Flash cache emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 6,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Dalibor Pantic
->Flash cache emptied: 0 bytes
 
User: Default
 
User: Default User
 
User: Public
 
User: UpdatusUser
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.55.0 log created on 08052012_192232

Files\Folders moved on Reboot...
File\Folder C:\Users\Dalibor Pantic\AppData\Local\Temp\OICE_83DF98C3-C59E-4264-9B40-C176D5D6E80D.0\F90A4E19. not found!
C:\Users\Dalibor Pantic\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp\dsiwmis.log scheduled to be moved on reboot.

PendingFileRenameOperations files...
File C:\Users\Dalibor Pantic\AppData\Local\Temp\OICE_83DF98C3-C59E-4264-9B40-C176D5D6E80D.0\F90A4E19. not found!
File C:\Users\Dalibor Pantic\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!
[2012.08.05 19:24:19 | 000,000,000 | ---- | M] () C:\Windows\temp\dsiwmis.log : Unable to obtain MD5

Registry entries deleted on Reboot...

Nun zeigt er mir ein anderes Symbol unten an. Ein schwarz / gelbes Ausrufezeichen. Mit Router verbunden, aber kein Internetzugriff wird angezeigt.

t'john 05.08.2012 20:20

Wenn du jetzt Diagnose/Problembehandung fuer die Verbindung machst, gehts?

DaliKlick 06.08.2012 11:12

Mein Internet funktioniert wieder! :singsing: Vielen Dank.

Und jetzt das Programm nochmal installieren oder wie gehe ich nun vor? Den Scan habe ich ja theoretisch schon durchgeführt mit Malwarebytes.

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.06.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Dalibor Pantic :: DALIBORPANTIC [Administrator]

06.08.2012 13:35:34
mbam-log-2012-08-06 (13-35-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 419126
Laufzeit: 45 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

t'john 06.08.2012 14:39

Sehr gut! :daumenhoc

Bitte mit adwCleaner weiter: http://www.trojaner-board.de/120866-...tml#post880385

DaliKlick 06.08.2012 14:40

Code:

# AdwCleaner v1.800 - Logfile created 08/06/2012 at 15:38:34
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : Dalibor Pantic - DALIBORPANTIC
# Running from : C:\Users\Dalibor Pantic\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\ProgramData\boost_interprocess

***** [Registry] *****

Key Found : HKCU\Software\Softonic
Key Found : HKLM\SOFTWARE\DT Soft
[x64] Key Found : HKCU\Software\Softonic

***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : default
File : C:\Users\Dalibor Pantic\AppData\Roaming\Mozilla\Firefox\Profiles\ddyki8aj.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [901 octets] - [06/08/2012 15:38:34]

########## EOF - C:\AdwCleaner[R1].txt - [1028 octets] ##########


t'john 06.08.2012 15:05

Sehr gut! :daumenhoc


  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.




danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

DaliKlick 06.08.2012 15:25

Code:

# AdwCleaner v1.800 - Logfile created 08/06/2012 at 16:21:33
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : Dalibor Pantic - DALIBORPANTIC
# Running from : C:\Users\Dalibor Pantic\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\ProgramData\boost_interprocess

***** [Registry] *****

Key Deleted : HKCU\Software\Softonic
Key Deleted : HKLM\SOFTWARE\DT Soft

***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : default
File : C:\Users\Dalibor Pantic\AppData\Roaming\Mozilla\Firefox\Profiles\ddyki8aj.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [1027 octets] - [06/08/2012 15:38:34]
AdwCleaner[R2].txt - [1087 octets] - [06/08/2012 15:41:31]
AdwCleaner[S1].txt - [983 octets] - [06/08/2012 16:21:33]

########## EOF - C:\AdwCleaner[S1].txt - [1110 octets] ##########


t'john 06.08.2012 15:36

Emsisoft Log?

DaliKlick 06.08.2012 16:25

Code:

Emsisoft Anti-Malware - Version 6.6
Letztes Update: 06.08.2012 16:34:40

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, Q:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:        06.08.2012 16:36:16


Gescannt        692852
Gefunden        0

Scan Ende:        06.08.2012 17:19:47
Scan Zeit:        0:43:31


t'john 06.08.2012 17:12

Sehr gut! :daumenhoc


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

DaliKlick 06.08.2012 21:02

Code:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=8c20bfdad1e6c54287cd471a5efd044f
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-06 07:53:28
# local_time=2012-08-06 09:53:28 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 26262569 26262569 0 0
# compatibility_mode=5893 16776573 100 94 16054 95907825 0 0
# compatibility_mode=8192 67108863 100 0 134 134 0 0
# scanned=217115
# found=0
# cleaned=0
# scan_time=4833


t'john 07.08.2012 13:40

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)


Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

  • Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
  • temporäre Dateien löschen.




Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html

DaliKlick 08.08.2012 09:43

Liste der Anhänge anzeigen (Anzahl: 3)
Vielen Dank für die Hilfe!!! :daumenhoc

Zitat:

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html
Das gilt aber nur für den IE und nicht für den Firefox oder?


Zitat:

Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden)
Laut Anleitung soll mit der Registry nichts gemacht werden, was soll nun gemacht werden? :confused:


Und ich habe noch eine Frage. Wenn ich unter "msconfig - Systemstart" gehe finde ich noch diesen dubiosen Eintrag, der bestimmt was mit dem Trojaner / Virus zu tun hat. Ich habe mal drei Screenshots in den Anhang eingefügt.

t'john 08.08.2012 15:36

Zitat:

Zitat von DaliKlick (Beitrag 886541)
Das gilt aber nur für den IE und nicht für den Firefox oder?

Ach wenn du den IE nicht benutzt, trotzdem durchfuehren!


Zitat:

Laut Anleitung soll mit der Registry nichts gemacht werden, was soll nun gemacht werden? :confused:
Schoen, dass dir das auffaellt! :daumenhoc
Ich verlinke die Anleitung, weil man es nicht aus Spass tun soll.
Hier ist es aber geboten.



Zitat:

Und ich habe noch eine Frage. Wenn ich unter "msconfig - Systemstart" gehe finde ich noch diesen dubiosen Eintrag, der bestimmt was mit dem Trojaner / Virus zu tun hat. Ich habe mal drei Screenshots in den Anhang eingefügt.
Ok, darum kuemmern wir uns.

Mach zuerst den Clean der Registry mit CCleaner und dann:


CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.


Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT



Alle Zeitangaben in WEZ +1. Es ist jetzt 18:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131