Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   computerkriminalität des criminal intelligence service einheit 5.2 (https://www.trojaner-board.de/121026-computerkriminalitaet-criminal-intelligence-service-einheit-5-2-a.html)

Rudi66 02.08.2012 08:17
computerkriminalität des criminal intelligence service einheit 5.2
 
Grüß Euch,

ich habe 2 Rechner zu Hause. Einer davon ist mit obigen Trojaner befallen.
Weil es hier im Forum schon Informationen gibt, habe ich bereits eine
OTLPE-CD erstellt und den infizierten Rechner von der CD gebootet.

Ich habe darauf hin folgende Textfiles erstellt: OTL.txt und Extras.txt.

Später habe ich den Rechner ausgeschaltet und bin wieder hochgefahren. Leider war der Trojaner immer noch da.:headbang:

Bitte um Eure Hilfe wie ich das Ding wieder los werde.


Schöne Grüße aus Wien

Rudi

markusg 02.08.2012 11:16
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
:OTL
O4 - HKU\Sandra_ON_D..\Run: [] D:\Users\Sandra\AppData\Local\Temp\vohigzkbcn.exe (Roccat)
:Files
D:\Users\Sandra\AppData\Local\Temp\vohigzkbcn.exe
:Commands
[Reboot]


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)


für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
wenn dies erledigt ist, bittemelden.

Rudi66 03.08.2012 09:22
Servus,

vielen Dank für deine Hilfe.

Leider wars (nicht ganz) so problemlos wie erhofft.

Ich habe den infizierten Rechner wieder mit der CD gebootet und die
OTLPENet.exe gestartet. Die fix.txt konnte ich nicht hochladen. Habe ich halt den zum Glück nur sehr kurzen Text so reingeschrieben und den fix buton gedrückt. Das eingeben war ein bisschen umständlich, weil der PC auf die amerikanische Tastatur umgeschaltet ist und ich die Sonderzeichen erst suchen mußte.
Dann kam die Meldung, das sich der Computer rebootet und da habe ich dann draufgedrückt. Leider lies sich der PC aber auf dem normalen Weg nicht abdrehen. (Ich habs öfters probiert) Am Ende habe ich dann über den Ausschaltknopf abgedreht.
Nach dem Einschalten hat das Notebook dann selbständig wieder über die CD gebootet. Nur diesesmal konnte ich normal abdrehen. Dann habe ich die CD rausgenommen und bin normal hochgefahren. (War sehr langsam)

Der Trojaner ist (noch) nicht wieder aufgetaucht.

Leider habe ich keine Files die ich schicken kann. da ich auf den infizierten Rechner ja das OTLPENet.exe nicht habe.

Wie soll ich weitermachen?


Auf jedenfall mal ein großes Danke bisher.


schöne Grüße

Rudi

Hallo,

ich habe jetzt auf den (ehemals) infizierten Rechner
Malwarebytes heruntergeladen und einen Komplettscan gefahren

Weil ich nicht weis, wie das mit dem Upload funktioniert lade ich den Inhalt der txt einfach hier rein:


Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.03.05

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Sandra :: SANDRA-HP [Administrator]

Schutz: Aktiviert

03.08.2012 14:40:51
mbam-log-2012-08-03 (14-56-24)

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 366867
Laufzeit: 1 Stunde(n), 11 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Sandra\AppData\Local\Temp\gnquggbnst.exe (Trojan.Phex.THAGen6) -> Keine Aktion durchgeführt.
C:\Users\Sandra\AppData\Local\Temp\kecmkjekfxzuskwkhgqhrcr.exe (Trojan.Phex.THAGen6) -> Keine Aktion durchgeführt.
C:\Users\Sandra\AppData\Local\Temp\mzyitcylscgyexywtgtocu.exe (Trojan.Phex.THAGen6) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\08032012_123501\D_Users\Sandra\AppData\Local\Temp\vohigzkbcn.exe (Trojan.Phex.THAGen6) -> Keine Aktion durchgeführt.

(Ende)


Die 4 Trojaner wurden dann gelöscht.




Anschliessend habe ich den adwcleaner installiert und folgende Meldung erhalten:

# AdwCleaner v1.800 - Logfile created 08/03/2012 at 15:45:53
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Professional (64 bits)
# User : Sandra - SANDRA-HP
# Running from : C:\Users\Sandra\Downloads\adwcleaner (1).exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Users\Sandra\AppData\Local\Conduit
Folder Deleted : C:\Users\Sandra\AppData\LocalLow\Conduit
Folder Deleted : C:\Users\Sandra\AppData\LocalLow\PriceGong
Folder Deleted : C:\Users\Sandra\AppData\Roaming\OpenCandy
Folder Deleted : C:\ProgramData\boost_interprocess
Folder Deleted : C:\Program Files (x86)\Conduit

***** [Registry] *****
[*] Key Deleted : HKLM\SOFTWARE\Classes\Toolbar.CT2653012
Key Deleted : HKCU\Software\AppDataLow\Software\Conduit
Key Deleted : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Key Deleted : HKCU\Software\AppDataLow\Software\PriceGong
Key Deleted : HKCU\Software\AppDataLow\Software\SmartBar
Key Deleted : HKCU\Software\AppDataLow\Software\Toolbar
Key Deleted : HKLM\SOFTWARE\Conduit

***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [1679 octets] - [03/08/2012 15:44:30]
AdwCleaner[S1].txt - [1316 octets] - [03/08/2012 15:45:53]

########## EOF - C:\AdwCleaner[S1].txt - [1444 octets] ##########



Nachher wollte ich Emsisoft Anti-Malware installieren - ging aber leider nicht, weil hier ein Service pack verlangt wurde welches ich nicht habe.


Bitte um Info wie ich weitermachen soll

Danke


schöne Grüße

Rudi

markusg 03.08.2012 16:33
hab ich irgendwas von malwarebytes gesagt.
wieso willst du ne info wie es weiter geht, wenn du nicht mal das tust was man schreibt?


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55