Schau in den Ordner C:\PPFS_sicherung.
Packe alle Dateien, die dort drin sind, in eine ZIP mit Passwort.
Du kriegst eine PM mit E-Mailadresse von mir. Schicke die Mail dahin und schreibe in den Text das Passwort.
anmelden
-
-
-
Gibt's Probleme mit der Mail?
-
OK, eingetroffen - den Rest aber wieder hochladen. Das landet teilweise sonst im Spamordner.
-
Sind die Scans durch, kümmern wir uns um dein Anmeldeproblem.
Wie lief die Anmeldung vorher ab? Musstest du ein Passwort eingeben? -
nee, ohne PW.
OnlineScan dauert wohl noch 2 Std. Drauf war er, glaub ich, schneller.
Willst du mir nicht schonmal ne Vorgabe für den Lap machen? Vll sind wir da eher durch? -
Mach bei dem Lappi mal das, was hier beschrieben ist: Windows 7 ohne Passwort starten - PCtipp.ch - Praxis & Hilfe
Fahre das Ding dann herunter und starte neu. Einmal berichten, ob die Meldung noch erscheint. -
jo, flutscht wieder
-
hier die restlichen logs
File-Upload.net - TDSSKiller.2.7.20.0_19.03.2012_17.01.33_log.txt
File-Upload.net - combofixLog.txt
beim TDSS-log hab ich das ESET-log mit reinkopiert.
ESET-Quarantänedateien gelöscht.
Nun die Lap-Aktion auch aufm PC durchführen? -
Das gleiche mit dem Desktop-PC tun.
Lappi nehmen wir uns später vor - da ist kaum was drauf und ich möchte dich nicht ganz ohne PC sitzen lassen.
Auf dem Desktop PC danach nochmals Erweiterten Scan (Sctript) mit PPFScanner durchführen und LOGs posten (ich will schauen, ob der Backdoor wirklich weg ist).
Danach:
- GMER herunterladen und ausführen (Download EXE): GMER - Rootkit Detector and Remover
- Alle offenen Programme bis auf GMER schließen.
- Nach dem kurzen Anfangsscan Button Scan drücken.
- Zuende scannen lassen, nichts am PC machen, bis der Scan beendet ist.
- LOG zum Schluss mit Save abspeichern.
- LOG bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und Downloadlink posten.
Morgen mal die Bank informieren, dass wohl über längere Zeit ein Banking Trojaner bei dir lief (seit dem 21.01.2012). Frag die, was du noch tun sollst. Überlege dir, ob du den Rechner nicht komplett neu aufsetzt. Mache trotzdem aber noch die Scans und poste das Ergebnis - ansonsten könntest du nach dem Neuaufsetzen böse Überraschungen erleben.
Wenn du den Rechner nicht neu aufsetzen möchtest und die LOGs sind sauber, deinstallieren wir danach Combofix und bereinigen die Systemwiederherstellung. -
Noch was:
Hör bitte auf, Keygens und Cracks zu verwenden!
Warum glaubst du, erstellen Leute so was? Brechen die aus Menschenfreundlichkeit deutsche Gesetze???
Auf das Programmieren von Keygens und Cracks steht in Deutschland (wenn ich das richtig sehe) bis zu einem Jahr Knast und bis zu 10000 Euro Bußgeld wenn man das nicht gewerblich tut - ansonsten gibt's mehr.
So was tut, wie gesagt, keiner aus Menschenfreundlichkeit.
In der Regel handelst du dir mit solchen Sachen Malware ein - zum Beispiel schöne Bootsektorviren wie TDL4. Die Hersteller solcher Sachen finden immer wieder Vollidioten (genau das sind die Nutzer solcher Sachen für diese Leute), die sich das installieren. Solche unter der Hand von den Keygens und Cracks installierten Sachen werden nachher genutzt, um deine Daten zu stehlen und an dein Geld zu kommen. Da das sehr lukrativ ist, geben sich die Hersteller solcher Sachen sehr viel Mühe, die auf deinem Rechner unsichtbar zu machen - ein Virenscanner findet die Malware bei dir unter Umständen gar nicht. Das du mit der Nutzung solcher Sachen das URHG wohlmöglich ganz erheblich verletzt, sprechen wir erst mal gar nicht.
PS: Oft sind deine externen Datenträger mit infiziert.
Mein Rat: Sei kein Vollidiot und nutze solche Sachen nicht! -
Erweiterten Scan (Sctript) Find ich nicht.
Normaler scan ist durchgelaufen mit ner Empfehlung eas zu posten nur ich find das log nicht -
-
war wohl gestern schon bissel spät.
Heut hab ich Files gefunden und jetzt sind sie hier -
Missverständnis, das hier noch mal tun:
- PPFScan.exe starten.
- Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
- Wähle im Untermenü Script laden und ausführen.
- Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
- Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.
-
Selbst in den LOGs sehe ich noch einen Treibereintrag eines RootKit Treibers.
-
File-Upload.net - PPF_Scan1.zip
ich hoffe, nun passts.
hattest du die Mail bzgl. der Antivir-TDSSKiller-Warnung gekriegt? -
Nein. Der TDSSKiller ist direkt vom Antivirenhersteller Kaspersky - ist eine Fehlmeldung.
-
Letzter Versuch das Ding zu killen. Klappt das nicht, Rechner neu aufsetzen.
- Desktop PC über Drücken der Taste F8 beim Booten in den abgesicherten Modus fahren.
- Im abgesicherten Modus PPFScan.exe starten.
- In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:
Code
Alles anzeigenCREATE_FOLDER->C:\PPFS_Sicherung CREATE_FOLDER->C:\PPF_Scan3 REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation>C:\PPFS_Sicherung\LanmanWorkstation.reg SET_REGISTRY_STRING_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters ->ServiceDll ->%SystemRoot%\System32\wkssvc.dll REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services ->ntqgkeei MOVE_FILE_ON_REBOOT->C:\Windows\System32\aptw0nfap.dll>C:\PPFS_Sicherung\aptw0nfap3.dll MOVE_FILE_ON_REBOOT->C:\Windows\system32\ntqgkeei.sys>C:\PPFS_Sicherung\ntqgkeei.sys COPY_SCANFILES->C:\PPF_Scan3 REBOOT->
- Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
- [LEFT]Nach dem Scan beendet sich der Scanner. Der Rechner startet sich dann neu. [/LEFT]
- [LEFT]Fahre den Rechner dann normal hoch.[/LEFT]
[LEFT]Im normalen Account dann nochmals das tun:[/LEFT]
- PPFScan.exe starten.
- Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
- Wähle im Untermenü Script laden und ausführen.
- Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
- Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.
-
Hat das Ausführen des Scripts im abgesicherten Modus geklappt und hat sich der Rechner neu gestartet?
-
File-Upload.net - PPF_Scan1.zip
falls er immer noch da ist, kriegst du raus, seit wann ich den hab?
evtl kann ich ja ne TrueImage-Sicherung von einem Zeitpunkt davor einspielen? -
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!