Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Überwachung, Datenschutz und Spam (https://www.trojaner-board.de/uberwachung-datenschutz-spam/)
-   -   Kein Mozilla Firefox, Task-Manager und Firewall mehr! (https://www.trojaner-board.de/77787-kein-mozilla-firefox-task-manager-firewall-mehr.html)

cosinus 30.09.2009 07:46
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Nightcover 30.09.2009 13:39
http://www.file-upload.net/download-1918827/log.....txt.html sry anders gehts net, es ist zuviel text

cosinus 30.09.2009 17:03
Kein Problem, über file-upload hab ich's sogar lieber :)
Ich schau's mir gleich an und melde mich dann nochmal.

cosinus 30.09.2009 17:26
Zitat:
c:\\users\\kaufhaus wachlter
Also, es ist nicht so, dass mir der Benutzername jetzt zum ersten Mal auffällt, aber mich würde es jetzt schon mal interessieren, ob das ein reiner Privatrechner ist oder irgendwo in einem Kaufhaus steht :D

1.) Deinstalliere bitte auch diese unnötige Ask-Toolbar. Die meisten Toolbars sind extrem unnötig/fragwürdig.



2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
c:\users\KAUFHA~1\AppData\Local\Temp\nnnmjkJD.dll
c:\programdata\46cf56e\WP46cf.exe


3.) Dann ist Scripting mit Combofix angesagt:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:
Dirlook::
c:\programdata\46cf56e
c:\programdata\{755AC846-7372-4AC8-8550-C52491DAA8BD}

Collect::
c:\users\KAUFHA~1\AppData\Local\Temp\nnnmjkJD.dll
c:\programdata\46cf56e\WP46cf.exe
c:\programdata\xml6C4C.tmp
c:\programdata\xml6A67.tmp
c:\programdata\xml67D7.tmp

Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSServer"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_USERS\S-1-5-21-291032531-3730280222-877669173-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E5AF24A2-6DC3-2B03-E755-3FCEEF06B4AB}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{F4031985-317E-4223-BAF9-297BBF7F3639}"=-
"{D2633CA0-6624-46F9-AFE3-37ECA8D744F3}"=-
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Nightcover 30.09.2009 19:37
k ich mach das mal jetzt und nein ist ein privat rechner nur der typ da hat kaufhaus davor geschrieben und den nachnamen sogarfalsch -.- wie man das ändert ka^^

Nightcover 30.09.2009 20:27
Combofix log
http://www.file-upload.net/download-1919719/log123.txt.html

User/XXX log
http://www.file-upload.net/download-1919723/User.txt.html

Programmdatalog
http://www.file-upload.net/download-1919720/Programmdata.txt.html

Nightcover 30.09.2009 20:31
was ist jetzt los?!
hab das getan was gesagt wurde und nun kann ich kein programm mehr anklicken diese 2 tabs sind die inzigen wege noch ins Internet immer wenn ich auf was klicke kommt
C:\Users\XXXX\...\(program name)
Es wurde versucht, einen registrierungschlüssel einem unzuverlässigen vorgang zu unterziehen, der zum Löschen markiert wurde.
was jetzt?

Nightcover 30.09.2009 20:39
ahh jetzt funkt wieder alles

cosinus 30.09.2009 21:03
Mach das gleich Spiel nochmal mit Combofix und dem CFScript bitte, nur diesmal dieses in die CFScript kopieren:

Code:
KILLALL::

Collect::
c:\programdata\46cf56e\WPCDSys\vd952342.bd
c:\programdata\46cf56e\mozcrt19.dll
c:\programdata\46cf56e\sqlite3.dll
c:\windows\TEMP\TMP000000C98B60FBF861C6BEB2

Registry::
[HKEY_USERS\S-1-5-21-291032531-3730280222-877669173-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E5AF24A2-6DC3-2B03-E755-3FCEEF06B4AB}*]
"bbibnfmlcgjemflammjidclhbfoghkihgpic"=-
"abibnfmlcgjemflammiiopgolbabnaidpb"=-

Rootkit::
c:\windows\TEMP\TMP000000C98B60FBF861C6BEB2

Nightcover 30.09.2009 21:27
http://www.file-upload.net/download-1919848/log456.txt.html
so habs gemacht

cosinus 01.10.2009 14:04
Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
registry keys to delete:
HKEY_USERS\S-1-5-21-291032531-3730280222-877669173-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E5AF24A2-6DC3-2B03-E755-3FCEEF06B4AB}

folders to delete:
c:\programdata\46cf56e
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Nightcover 01.10.2009 14:27
gemacht
http://www.file-upload.net/download-1920481/avenger.txt.html

cosinus 01.10.2009 17:30
Lad Dir mal bitte diese Datei (nightcover.reg) auf den Desktop => http://www.file-upload.net/download-1920806/nightcover.reg.html

Wenn sie auf dem Desktop ist bitte doppelklicken und die Abfrage mit ja bestätigen.

Mach unmittelbar danach ein RSIT-Logfile und poste es.

Nightcover 01.10.2009 17:38
http://www.file-upload.net/download-1920816/log.txt.html

cosinus 01.10.2009 18:02
Ok, da tauchen die nicht mehr auf. Nochmal Combofix als Bestätigung/Überprüfung (bitte die die alte combofix/cofi.exe auf dem Desktop löschen und neu herunterladen!!!)

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:45 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131