Befall mit Polizei-Trojaner (Österreich-Version, mit Webcam-Aktivierung) Liebes Trojaner-Board Team, Leider habe nun auch ich es geschafft, mir einen Polizei-Trojaner einzufangen. Es handelt sich um eine österreichische Version, die auch die Webcam einschaltet. Anbei die Log-files von Malwarebytes, OTL und GMER. Den Malwarebytes-Scan habe ich zweimal laufen lassen, beim ersten Mal habe ich versehentlich die Kästchen bei zwei der erkannten Bedrohungen nicht angehakt, diese wurden dann erst beim zweiten Versuch entfernt. Sämtliche erkannte Malware steht nun unter Quarantäne. Ich hoffe, dass ihr mir weiterhelfen könnt. Vielen Dank! |
Code: Windows Vista Business Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation |
Vielen Dank für die erste Rückmeldung! Nein, es handelt sich um meinen Privat-Laptop. Er hängt allerdings oft am Uni-WLAN bzw. im Studentenheim-Netzwerk. |
Bitte nun Logs mit GMER (<<< klick für Anleitung) und dem TDSS-Killer (Anleitung etwas weiter unten) erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur TDSS-Killer aus. Kaspersky (TDSS-Killer) Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehlalarm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png |
Vielen Dank für die weiteren Anleitungen. Bitte entschuldige meine verspätete Rückmeldung Anbei die logs, GMER hat anstandslos funktioniert. |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Vielen Dank! Anbei das ComboFix log. Es gab bei der Ausführung von ComboFix keine Probleme. |
Die nächsten Logs bitte nur in den Anhang (gezippt) legen, wenn sie zu groß sind um direkt gepostet zu werden! Ansonsten bitte alles nach Möglichkeit hier in CODE-Tags posten. Das ist einfacher übersichtlicher und man spart sich ne Menge Rumklickerei Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: File:: 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Danke für die Anleitung bezüglich der weiteren Schritte! Bitte entschuldige, dass ich die Logs nicht schon bisher so gepostet habe. Das CF-Log lautet wie folgt: Code: ComboFix 12-10-31.03 - Jan 03.11.2012 22:18:43.2.2 - x86 |
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop. Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!
Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 14:43 Uhr. |
Copyright ©2000-2024, Trojaner-Board