Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 14

Thema: Gastkonto durch Trojaner gekapert

  1. #1
    Einsteiger
    Registriert seit
    08.12.2012
    Beiträge
    7

    Gastkonto durch Trojaner gekapert

    Liebe Administratoren,

    bitte um Hilfe, bei einem PC unserer Jugendgruppe war das offen zugängliche Gastkonto durch einen Trojaner gekapert.
    Entsprechend des Themas "Windowssystem blockiert (bezahlen und runterladen)..." vom 12.02.2012 (user Haafid) habe ich den PC wieder gesäubert.

    Die dabei entstandenen Logfiles:

    Extras.Txt
    OTL.Txt
    SREngLOG.txt

    Was muss ich nun noch tun, um den Rechner wieder komplett sauber zu bekommen?

    Vielen Dank im Voraus!!!

    Gruß - dampfo
    Geändert von Petra (08.12.2012 um 13:19 Uhr)

  2. #2
    Administrator Team-Mitglied Avatar von Petra
    Registriert seit
    03.05.2007
    Ort
    Nähe Düsseldorf
    Beiträge
    42.153

    AW: Gastkonto durch Trojaner gekapert


    Hallo dampfo,

    zunächst bitte anklicken und lesen: Worauf muss ich während der Bereinigung achten?

    Besonders wichtig ist, dass Du die Punkte in der vorgegebenen Reihenfolge abarbeitest.
    Berichte mir, wenn etwas nicht funktioniert, damit ich die Anleitung ggfs. ändern kann!

    Entsprechend des Themas "Windowssystem blockiert (bezahlen und runterladen)..." vom 12.02.2012 (user Haafid) habe ich den PC wieder gesäubert.
    Du hast offensichtlich schon eine ganze Reihe an Tools laufen lassen. Es wäre gut, wenn Du mir zeigen könntest, welches Funde von den diversen Tools gemacht wurden. Erst dann kann ich beurteilen, von was der Rechner befallen war und nach evtl. Resten suchen. Hier wären also z. B. auch Logfiles von Malwarebytes, Vipre etc. gut.




    ===== Punkt 1 =====

    Welche Java-Version ist installiert?

    Viele Schädlinge kommen über Sicherheitslücken in Java (sog. Exploits) auf ein System. Sofern Java benötigt wird, ist es unbedingt erforderlich, alte Versionen (falls vorhanden) zu deinstallieren und das Risiko zu minimieren, indem Java immer topaktuell gehalten wird.

    Da mittlerweise selbst in den aktuellsten Versionen Sicherheitslücken vorhanden sind, Java am besten nur dann installieren, wenn es zwingend benötigt wird. Einige Kollegen haben Java inzwischen komplett deinstalliert und konnten keinerlei Einschränkungen feststellen.

    In diesem Artikel von helpster.de wird erklärt, was Java ist und wozu es benötigt wird.

    Bei zscaler.com kannst Du testen, ob Deine Java-Version von bekannten Sicherheitslücken betroffen ist. Falls im Firefox das Addon NoScript installiert ist, Skripte auf dieser Seite erlauben.

    Alternativ zur Deinstallation können auch einzelne Browser-Plugins deaktiviert werden, siehe Blogeintrag.



    Kontrolliere über Systemsteuerung => Programme, welche Java-Version installiert ist.
    Falls es nicht Java Version 7 Update 9 ist:

    Eventuell vorhandene ältere Versionen von Java über Systemsteuerung => Programme deinstallieren
    ggfs. auch im Firefox unter Addons => Erweiterungen die alten Java-Versionen entfernen.
    Bei Dir sehe ich:

    "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
    "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7

    Die Offline-Version von Java Version 7 Update 9 von Oracle findest Du hier.
    Eventuell angebotene Toolbars nicht mitinstallieren, ggfs. also den Haken beim Toolbar-Angebot entfernen.

    User mit 64Bit-System sollten die 32Bit-Version installieren. Es hat sich mehrfach gezeigt, dass die 64Bit-Version Probleme bereitet.


    Unter Systemsteuerung (unter Anzeige auf "Kleine Symbole" ändern) => Java

    Reiter Allgemein => Temporäre Internetdateien => Einstellungen
    Größe des Speicherplatzes für temporäre Dateien auf 200 MB begrenzen

    Reiter Update => Benachrichtigung ausgeben => Vor der Installation
    Haken bei Automatisch nach Aktualisierung suchen machen und unter Erweitert auf "Wöchentlich" einstellen.


    Java-Cache leeren

    Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => alle Häkchen setzen => OK




    ===== Punkt 2 =====

    Programme deinstallieren

    Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig (z. B. Toolbars) oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Programme komplett zu deinstallieren.

    Toolbars bitte auch in den Chrome- und Firefox-Addons unter Erweiterungen entfernen.

    Code:
    Ad-Aware Browsing Protection (ist ein Rest des inzwischen offensichtlich deinstallierten Ad-Aware Antivirus-Programmes)
    Ask Toolbar (Nero Toolbar)
    Free YouTube Download Toolbar
    pdfforge Toolbar
    Berichte mir, falls sich ein Programm nicht deinstallieren lässt. Nach Beendigung der Bereinigung können wir schauen, welche davon Du wieder installieren kannst/sollest.

    Toolbars - Nutzen oder Risiko?

    Du hast einige Toolbars installiert, die meisten sind relativ nutzlos. Lese dazu bitte diesen Blogeintrag bzgl. Toolbars. Bitte zunächst alle Toolbars, die Du nicht unbedingt brauchst, über Systemsteuerung => Programme und Funktionen deinstallieren, ggfs. zusätzlich im Firefox und IE unter Extras => Addons entfernen. Sage mir Bescheid, wenn sich eine Toolbar nicht deinstallieren lässt und welche Du behalten hast. Dann kann ich evtl. Reste oder nicht deinstallierbare Toolbars im nächsten Schritt entfernen.
    Geändert von Petra (08.12.2012 um 21:26 Uhr) Grund: Nummerierung korrigiert
    [°¿°] Ciao, Petra

    Neu hier? Bitte abarbeiten! | Malware-Bereinigung | Forenregeln
    Daten sichern! | Schulung | Kein Support per PN oder Mail! | Danke

  3. #3
    Einsteiger
    Registriert seit
    08.12.2012
    Beiträge
    7

    AW: Gastkonto durch Trojaner gekapert

    Hallo Petra,

    vielen Dank für die schnelle Antwort. Habe alle Schritte abgearbeitet. Leider benötige ich Java, ist aber jetzt komplett de- und wieder neu installiert.

    Bei der bisherigen 'PC-Reinigung' habe ich mich genau an Deine Anleitung aus dem genannten Thread gehalten. Zusätzlich noch mit Sophos gesäubert.

    Leider finde ich von diversen entfernten Malware Programmen die via die erwähnten Tools entfernt wurden keine Berichte mehr (auch nicht von Sophos - wie in Deiner Anleitung vom 11.2.2010 beschrieben).
    Eventuell habe ich alles beim Löschen der temporären Dateien im Rahmen der Java Neuinstallation mit vernichtet?
    Lediglich von Malwarebytes ist nach zweifachem Scan dies noch vorhanden:

    Muss ich mein System nochmals scannen?

    Viele Grüße - dampfo

  4. #4
    Administrator Team-Mitglied Avatar von Petra
    Registriert seit
    03.05.2007
    Ort
    Nähe Düsseldorf
    Beiträge
    42.153

    AW: Gastkonto durch Trojaner gekapert

    Hallo dampfo,

    nein, brauchst Du momentan dann nicht nochmal scannen, mache bitte so weiter:

    Systemscan mit OTL

    Erstelle bitte zur Kontrolle erneut OTL-Logfiles, stelle alle Kategorien auf "Benutze Safelist" um und hake oben "Scanne alle Benutzer" an, wie auf folgendem Screenshot zu sehen. User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan". Dann kann ich schauen, ob es noch weitere Reste zu entfernen gibt.



    Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

    Achte darauf, Nachnamen und/oder persönliche Daten ggfs. zu anonymisieren.
    [°¿°] Ciao, Petra

    Neu hier? Bitte abarbeiten! | Malware-Bereinigung | Forenregeln
    Daten sichern! | Schulung | Kein Support per PN oder Mail! | Danke

  5. #5
    Einsteiger
    Registriert seit
    08.12.2012
    Beiträge
    7

    AW: Gastkonto durch Trojaner gekapert

    Guten Morgen Petra,

    hier der erneute Scan mit OTL:

    OTL.Txt

    Extras.Txt

    Bin gespannt auf Deine Antwort!

    Schönen Sonntag noch,


    dampfo
    Geändert von Petra (09.12.2012 um 11:17 Uhr)

  6. #6
    Administrator Team-Mitglied Avatar von Petra
    Registriert seit
    03.05.2007
    Ort
    Nähe Düsseldorf
    Beiträge
    42.153

    AW: Gastkonto durch Trojaner gekapert

    Hallo dampfo,

    ===== Punkt 1 =====

    Fixen mit OTL

    Hiermit fixen wir unnötige oder schädliche Einträge.

    Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
    • Starte die OTL.exe.
      Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
    • Kopiere folgendes Skript in das Textfeld unterhalb von Benutzerdefinierte Scans/Fixes:





    Hinweis für Mitleser: Folgendes OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
    Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

    Sollten in den Logfiles Benutzernamen anonymisiert worden sein:
    Daran denken, wieder den ursprünglichen Benutzernamen einzufügen!


    Code:
    :OTL
    IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
    IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
    IE - HKU\S-1-5-21-657417494-2717284355-1407466500-1000\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found
    IE - HKU\S-1-5-21-657417494-2717284355-1407466500-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKU\S-1-5-21-657417494-2717284355-1407466500-1000\..\SearchScopes\{3BA9576B-D6BE-487A-BC96-D14417CBE30E}: "URL" = http://nl.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms}
    IE - HKU\S-1-5-21-657417494-2717284355-1407466500-1005\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKU\S-1-5-21-657417494-2717284355-1407466500-1005\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
    FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
    FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
    FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
    O3 - HKU\S-1-5-21-657417494-2717284355-1407466500-1005\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O8:64bit: - Extra context menu item: Free YouTube Download - C:\Users\*******\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm File not found
    O8 - Extra context menu item: Free YouTube Download - C:\Users\*******\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm File not found
    O33 - MountPoints2\{2c03cc5b-36ee-11e1-b607-001b21c4f14d}\Shell - "" = AutoRun
    O33 - MountPoints2\{2c03cc5b-36ee-11e1-b607-001b21c4f14d}\Shell\AutoRun\command - "" = F:\start.exe
    
    :Services
    Lbd
    gfibto
    gfiark
    
    :Files
    C:\Windows\SysNative\drivers\Lbd.sys
    C:\Users\*******\AppData\Roaming\LavasoftStatistics
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus
    C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus
    C:\Windows\SysNative\drivers\gfiark.sys
    C:\Windows\SysNative\drivers\gfibto.sys
    C:\ProgramData\blekko toolbars
    C:\Program Files (x86)\adawaretb
    C:\Program Files (x86)\Toolbar Cleaner
    
    :Commands
    [purity]
    [emptytemp]
    • Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
    • Klicke auf den Fix Button.
    • Wenn OTL einen Neustart verlangt, bitte zulassen.
    • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
      Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>




    ===== Punkt 2 =====

    Rogue- und FakeAV-Programme mit RogueKiller suchen

    Lade RogueKiller herunter und speichere das Programm auf Deinem Desktop.


    • Beende alle laufenden Programme.
    • Vista- und Windows7-User starten die RogueKiller.exe per Rechtsklick als Administrator
      XP-User einfach per Doppelklick.
    • Klicke Scan, um den Suchlauf zu starten.


    • Klicke auf den Button Bericht, um den Bericht zu sehen.
      Der Bericht RKreport.txt wird nach der Ausführung auf Deinem Desktop zu finden sein.
    • Bitte keine Änderungen ohne Rücksprache vornehmen!

    • Wenn das Programm nicht läuft, benenne die roguekiller.exe um in winlogon.exe.

    Poste mir bitte den Inhalt von RKreport.txt in Deine nächste Antwort.
    [°¿°] Ciao, Petra

    Neu hier? Bitte abarbeiten! | Malware-Bereinigung | Forenregeln
    Daten sichern! | Schulung | Kein Support per PN oder Mail! | Danke

  7. #7
    Einsteiger
    Registriert seit
    08.12.2012
    Beiträge
    7

    AW: Gastkonto durch Trojaner gekapert

    Vielen Dank!

    Habe genau Deine Anweisungen befolgt.

    Hier nach dem 'Fixen':

    Code:
    All processes killed
    ========== OTL ==========
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
    64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
    64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
    Registry value HKEY_USERS\S-1-5-21-657417494-2717284355-1407466500-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{B922D405-6D13-4A2B-AE89-08A030DA4402} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ not found.
    HKEY_USERS\S-1-5-21-657417494-2717284355-1407466500-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
    Registry key HKEY_USERS\S-1-5-21-657417494-2717284355-1407466500-1000\Software\Microsoft\Internet Explorer\SearchScopes\{3BA9576B-D6BE-487A-BC96-D14417CBE30E}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3BA9576B-D6BE-487A-BC96-D14417CBE30E}\ not found.
    HKEY_USERS\S-1-5-21-657417494-2717284355-1407466500-1005\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
    Registry key HKEY_USERS\S-1-5-21-657417494-2717284355-1407466500-1005\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
    64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-657417494-2717284355-1407466500-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
    64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free YouTube Download\ deleted successfully.
    Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free YouTube Download\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c03cc5b-36ee-11e1-b607-001b21c4f14d}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c03cc5b-36ee-11e1-b607-001b21c4f14d}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c03cc5b-36ee-11e1-b607-001b21c4f14d}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c03cc5b-36ee-11e1-b607-001b21c4f14d}\ not found.
    File F:\start.exe not found.
    ========== SERVICES/DRIVERS ==========
    Service Lbd stopped successfully!
    Service Lbd deleted successfully!
    Service gfibto stopped successfully!
    Service gfibto deleted successfully!
    Service gfiark stopped successfully!
    Service gfiark deleted successfully!
    ========== FILES ==========
    C:\Windows\SysNative\drivers\Lbd.sys moved successfully.
    C:\Users\*******\AppData\Roaming\LavasoftStatistics folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120524T191114.983933PID9256 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120524T144611.754861PID356 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120523T180653.159441PID5576 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120522T191614.083845PID5144 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120521T201724.118241PID5384 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120520T175101.796241PID5308 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120520T080710.287037PID5272 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120519T144603.448249PID5616 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120519T112751.725837PID5480 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120519T103857.967882PID5688 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120519T095204.071441PID5256 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120518T220155.071017PID8732 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120518T173015.351225PID7768 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs\20120518T165241.189438PID5624 folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus\Logs folder moved successfully.
    C:\Users\*********\AppData\Roaming\Ad-Aware Antivirus folder moved successfully.
    C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs\20120525T183852.936222PID4564 folder moved successfully.
    C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs\20120524T191014.967427PID4620 folder moved successfully.
    C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs\20120524T142959.499033PID1492 folder moved successfully.
    C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs\20120520T192042.566406PID4480 folder moved successfully.
    C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs\20120518T212211.999095PID7432 folder moved successfully.
    C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs\20120518T165417.444548PID5284 folder moved successfully.
    C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus\Logs folder moved successfully.
    C:\Users\Gast\AppData\Roaming\Ad-Aware Antivirus folder moved successfully.
    C:\Windows\SysNative\drivers\gfiark.sys moved successfully.
    C:\Windows\SysNative\drivers\gfibto.sys moved successfully.
    C:\ProgramData\blekko toolbars folder moved successfully.
    C:\Program Files (x86)\adawaretb folder moved successfully.
    C:\Program Files (x86)\Toolbar Cleaner folder moved successfully.
    ========== COMMANDS ==========
     
    [EMPTYTEMP]
     
    User: *********
    ->Temp folder emptied: 443428417 bytes
    ->Java cache emptied: 1 bytes
    ->Flash cache emptied: 1150 bytes
     
    User: All Users
     
    User: Default
    ->Temp folder emptied: 0 bytes
     
    User: Default User
    ->Temp folder emptied: 0 bytes
     
    User: Gast
    ->Temp folder emptied: 22402670 bytes
    ->Java cache emptied: 72218 bytes
    ->Flash cache emptied: 539 bytes
     
    User: *****
    ->Temp folder emptied: 34974 bytes
    ->Flash cache emptied: 794 bytes
     
    User: Public
     
    User: *******
    ->Temp folder emptied: 521827761 bytes
    ->Java cache emptied: 0 bytes
    ->Flash cache emptied: 506 bytes
     
    User: UpdatusUser
    ->Temp folder emptied: 0 bytes
     
    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 225945626 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
    RecycleBin emptied: 3840796789 bytes
     
    Total Files Cleaned = 4.820,00 mb
     
     
    OTL by OldTimer - Version 3.2.69.0 log created on 12092012_134015

    und hier der Bericht von RogueKiller:

    Code:
    RogueKiller V8.3.2 [Dec  7 2012] durch Tigzy
    mail: tigzyRK<at>gmail<dot>com
    
    mail : tigzyRK<at>gmail<dot>com
    Kommentare : http://www.geekstogo.com/forum/files/file/413-roguekiller/
    Webseite : http://tigzy.geekstogo.com/roguekiller.php
    Blog : http://tigzyrk.blogspot.com/
    
    Betriebssystem : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Gestartet in : Normaler Modus
    Benutzer : ******* [Admin Rechte]
    Funktion : Scannen -- Datum : 12/09/2012 13:53:07
    
    ¤¤¤ Böswillige Prozesse : 0 ¤¤¤
    
    ¤¤¤ Registry-Einträge : 5 ¤¤¤
    [RUN][SUSP PATH] HKUS\S-1-5-21-657417494-2717284355-1407466500-1005[...]\Run : ConnectionCenter ("C:\Users\Alexander\AppData\Local\Citrix\ICA Client\concentr.exe" /startup) -> GEFUNDEN
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> GEFUNDEN
    [HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> GEFUNDEN
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> GEFUNDEN
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> GEFUNDEN
    
    ¤¤¤ Bestimmte Dateien / Ordner: ¤¤¤
    
    ¤¤¤ Treiber : [NICHT GELADEN] ¤¤¤
    
    ¤¤¤ Hosts-Datei: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts
    
    
    
    ¤¤¤ MBR überprüfen: ¤¤¤
    
    +++++ PhysicalDrive0: INTEL SSDSA2CW120G3 ATA Device +++++
    --- User ---
    [MBR] 233130646d5b242858e8d5899324e410
    [BSP] 24daf862b0feca9291eb093933b0e7a3 : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 114371 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!
    
    +++++ PhysicalDrive1: Hitachi HDS721050CLA362 ATA Device +++++
    --- User ---
    [MBR] 287f2412cc95d586ff705b3e0625caac
    [BSP] 45e381d5278219386b67490017f9ba66 : Windows 7/8 MBR Code
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 276938 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 567173120 | Size: 200000 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!
    
    +++++ PhysicalDrive2: Hitachi HDS721050CLA362 ATA Device +++++
    --- User ---
    [MBR] 2038c3e67fccfcdab3b394f2d910cbd0
    [BSP] 70205f2d2b2145cd5bcbc0a9913bc2c2 : Windows 7/8 MBR Code
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 276941 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 567177216 | Size: 199998 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!
    
    Abgeschlossen : << RKreport[1]_S_12092012_02d1353.txt >>
    RKreport[1]_S_12092012_02d1353.txt
    Bis bald! Dampfo

  8. #8
    Administrator Team-Mitglied Avatar von Petra
    Registriert seit
    03.05.2007
    Ort
    Nähe Düsseldorf
    Beiträge
    42.153

    AW: Gastkonto durch Trojaner gekapert

    Hallo Dampfo,

    da besteht kein Handlungsbedarf, Du kannst den RogueKiller wieder löschen.


    Berichte mir bitte, wie der Computer läuft und welche Probleme er noch macht.
    [°¿°] Ciao, Petra

    Neu hier? Bitte abarbeiten! | Malware-Bereinigung | Forenregeln
    Daten sichern! | Schulung | Kein Support per PN oder Mail! | Danke

  9. #9
    Einsteiger
    Registriert seit
    08.12.2012
    Beiträge
    7

    AW: Gastkonto durch Trojaner gekapert

    Hi Petra,

    der Computer läuft z.Zt. ohne Probleme. 1000x Dank & Respekt! Werde so eine kleine Spende überweisen.

    Viele Grüße

    dampfo

  10. #10
    Administrator Team-Mitglied Avatar von Petra
    Registriert seit
    03.05.2007
    Ort
    Nähe Düsseldorf
    Beiträge
    42.153

    AW: Gastkonto durch Trojaner gekapert

    Hallo dampfo,

    prima, dann kommen wir zu den Abschlussarbeiten:

    ===== Punkt 1 =====

    Tool-Bereinigung mit OTL

    Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
    • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
    • Speichere es auf Deinem Desktop.
    • Doppelklick auf OTL.exe um das Programm auszuführen.
      Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
    • Klicke auf den Button "Bereinigung"
    • OTL fragt eventuell nach einem Neustart.
      Sollte es dies tun, so lasse dies bitte zu.


    Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.



    ===== Punkt 2 =====

    Eset Online Scan

    Da wir nur einen kleinen Teil des Systems sehen und analysieren können, überprüfe Dein komplettes System mit Eset Online Scan. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

    Kurzanleitung:

    Internet Explorer starten.

    Nach hier gehen => http://www.eset.com/home/products/online-scanner/

    Auf den Button "Run Eset Online Scanner" drücken

    Die Lizenzbedingungen akzeptieren, also einen Haken machen und Start drücken.

    Das Installieren des ActiveX-Steuerelements erlauben.

    Auf "Advanced Settings" klicken und diese Einstellungen machen:



    Wieder auf Start drücken.

    Die Anwendung zulassen.

    Warten, bis der Scan durchgelaufen ist. Wenn Funde gemacht wurden, auf "List of found Threats" klicken und dann entweder auf "Copy to clipboard" oder "Export to text file" klicken und das Logfile hier posten


    Alle nötigen Details findest Du in dieser bebilderten Anleitung.
    [°¿°] Ciao, Petra

    Neu hier? Bitte abarbeiten! | Malware-Bereinigung | Forenregeln
    Daten sichern! | Schulung | Kein Support per PN oder Mail! | Danke

Seite 1 von 2 12 LetzteLetzte

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Accounts des israelischen Vizepremiers von Hackern gekapert
    Von Newsbot im Forum Security Newsticker
    Antworten: 0
    Letzter Beitrag: 21.11.2012, 15:50
  2. Twitter-Konto von USA Today gekapert
    Von Newsbot im Forum Security Newsticker
    Antworten: 0
    Letzter Beitrag: 26.09.2011, 17:10
  3. Domain des Sicherheitsdienstleisters Secunia gekapert
    Von Newsbot im Forum Security Newsticker
    Antworten: 0
    Letzter Beitrag: 25.11.2010, 11:10
  4. Rechner für Botnetz gekapert???
    Von yura2 im Forum Archiv
    Antworten: 65
    Letzter Beitrag: 10.05.2008, 16:40
  5. Gastkonto
    Von its me im Forum Vista-Archiv
    Antworten: 0
    Letzter Beitrag: 22.09.2007, 21:24

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •