Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Online Banking Manipuliert - Fehlüberweisung vorgegaukelt - Online Banking gesperrt bis Rücküberweisung (https://www.trojaner-board.de/176597-online-banking-manipuliert-fehlueberweisung-vorgegaukelt-online-banking-gesperrt-rueckueberweisung.html)

Henner70 07.03.2016 15:53
Wo trage ich denn den Code ein?
VG

M-K-D-B 07.03.2016 17:47
Zitat:
Zitat von Henner70 (Beitrag 1568237)
Wo trage ich denn den Code ein?
VG
In ein leeres Textdokument (notepad)... steht aber eigentlich alles in der Anleitung. :)

Henner70 07.03.2016 21:07
Liste der Anhänge anzeigen (Anzahl: 1)
zunächst die Fixlog...

Henner70 07.03.2016 21:11
Liste der Anhänge anzeigen (Anzahl: 2)
.. und nun die anderen beiden Dateien

M-K-D-B 08.03.2016 06:58
Servus,


du hast keinen Fix gemacht, sondern einen Scan (Suchlauf).

Anleitung nochmal genau durchlesen:

Erst einen Fix machen (fixlist.txt im gleichen Verzeichnis wie FRST.exe erstellen und dann "Entfernen" in FRST drücken).

Dann nochmal zwei neue Logdateien.

Weiterhin kein Internet bitte.


Achja, noch was:
Wieso installierst du SuperAntiSpyware? Anstatt das zu installieren, hättest du dir lieber meine Anweisungen mit FRST genauer durchlesen sollen, dann hätte ich dir wahrscheinlich schon sagen können, dass du wieder ins Internet kannst. Aber so ziehst du alles unnnötig in die Länge....
Ich verstehe nicht, was so schwer daran ist, meinen Anweisungen zu folgen... das haben schon tausende vor dir geschafft, also solltest du das auch schaffen...

Henner70 08.03.2016 08:42
Liste der Anhänge anzeigen (Anzahl: 3)
.. jetzt aber echt die Fixlog und dann die FRST sowie die Addition. Sorry aber mir wurde erst heute morgen klar dass fixen = entfernen ist (Bug Fix).
:dankeschoen:

M-K-D-B 08.03.2016 15:31
Servus,


Internetverbindung aktivieren.




Schritt 1
  • Deaktiviere dein Anti-Viren-Programm.
  • Gehe zum Ordner C:\FRST\Quarantine.
  • Rechtsklicke auf den Ordner Quarantine und wähle > Senden an > Zip-komprimierter Ordner.
  • Es wird eine zip-Datei mit dem Namen Quarantine.zip im Ordner FRST erstellt.
  • Lade die Quarantine.zip im Upload-Channel hoch.
  • Klicke dazu auf Durchsuchen, navigiere zu der zip-Datei ( C:\FRST\Quarantine.zip ) und klicke auf Öffnen.
  • Klicke abschließend auf Hochladen.
  • Vielen Dank für deine Hilfe.
  • Aktiviere dein Anti-Viren-Programm wieder.





Schritt 2
Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit) | SystemLook (64 bit)
  • Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

    Code:
    :regfind
    WinZip Driver Updater
    SparkTrust
    Free Registry Cleaner
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Der Suchlauf kann einige Zeit dauern.
  • Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
  • Die Ergebnisse werden auch auf dem Desktop als SystemLook.txt gespeichert.









Schritt 3
  • Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.






Bitte poste mit deiner nächsten Antwort
  • eine Rückmeldung bezüglich des Uploads,
  • die Logdatei von SystemLook,
  • die beiden neuen Logdateien von FRST.

Henner70 08.03.2016 18:03
Liste der Anhänge anzeigen (Anzahl: 3)
Hallo M-K-D-B,
Upload Schritt 1 hat funktioniert.
Die 3 Dateien im Anhang.
Merci und herzlichen Dank für Geduld und Mühe. :applaus:
VG
Henner

M-K-D-B 09.03.2016 07:13
Servus,



danke für den Upload. Aber die Schadsoftware hat sich wieder nachgeladen.

Wir versuchen es jetzt nochmal im normalen Modus, aber ich denke, wir müssen nochmal offline gehen.

Aber zuerst versuchen wir es online:




Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Code:
start
CloseProcesses:
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\Run: [booster-3] => C:\ProgramData\booster-30\booster-1.exe [599544 2016-03-08] (OpenOffice.org)
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\RunOnce: [ycbcr-01] => C:\Users\hentschel\AppData\Roaming\ycbcr-31\ycbcr-09.exe [627754 2016-03-08] (Fabio Martin)
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\MountPoints2: {4cbef17d-d76b-11e4-a000-b00594efc540} - E:\Startme.exe
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\MountPoints2: {cedb8f11-7f49-11e4-8b41-b00594efc540} - E:\LaunchU3.exe -a
HKU\S-1-5-21-1941400536-1969264942-3879856739-1000\...\Winlogon: [Shell] C:\ProgramData\framers-9\framers-4.exe -gt,explorer.exe <==== ACHTUNG
HKU\S-1-5-18\...\Run: [EEDSpeedLauncher] => rundll32.exe C:\Windows\system32\eed_ec.dll,SpeedLauncher
C:\ProgramData\booster-30
C:\Users\hentschel\AppData\Roaming\ycbcr-31
C:\ProgramData\framers-9
C:\Users\hentschel\AppData\Roaming\gravity-10
C:\ProgramData\sfh
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\uus3url-st
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Eusing Free Registry Cleaner
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:
end

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.








Schritt 2
  • Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.










Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix,
  • die beiden neuen Logdateien von FRST.

Henner70 09.03.2016 10:48
Liste der Anhänge anzeigen (Anzahl: 2)
Upload wie gewünscht. Danke

M-K-D-B 09.03.2016 14:37
Servus,


bei der Schadsoftware scheint es sich um eine neuere Variante von Zbot zu handeln.

Ich wüsste nicht, wie wir im normalen Modus (mit oder ohne Internet) eine Chance haben. Diese Schadsoftware überwacht sich gegenseitig und erstellt sofort neue Varianten bzw. lädt diese nach, sobald man etwas davon entfernt.

Im Reparaturmodus ist aber alles deaktiviert, dort sollten wir eine Chance haben.




Daher machen wir jetzt nacheinander folgendes:

1) Wir führen FRST über einen USB-Stick im Reparaturmodus aus
2) Wir führen einen Fix mit FRST im Reparaturmodus aus
3) Wir machen einen Kontrollscan mit FRST im Reparaturmodus

Erst wenn die Logdatei von 3) wieder sauber ist, kannst du normal starten und Internet verwenden und dann werden wir sehen...

Während der ganzen Prodzedur darfst du auf KEINEN FALL den Rechner normal starten.





1) Wir führen FRST über einen USB-Stick im Reparaturmodus aus

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).


M-K-D-B 14.03.2016 16:58
Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:59 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129