Guten Abend Markus,
ich bin auf Dich und Deine Hilfe gestoßen und bitte Dich darum, aus meiner otl.txt die nötigen Informationen für das Säubern zu extrahieren.

Das log hab ich angehängt.

Ich danke Dir für Deine Hilfe,
liebe Grüße
Joachim

hallo
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\Administrator_ON_C..\Run: [4E3E0230AEBB4E96] C:\Recycle.Bin\Recycle.Bin.exe (Macromedia, Inc.)
O20 - HKLM Winlogon: Shell - (C:\WINDOWS\System32\0.20414137912228203.exe) - C:\WINDOWS\system32\0.20414137912228203.exe (BitDefender)
:Files
C:\Recycle.Bin
C:\WINDOWS\system32\0.20414137912228203.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Hallo Markus,
das fixen hat funktioniert - das "böse Ding" ist verschwunden.
die "moved files" habe ich über Euren Upload-Link hochgeladen.
Das Log nach dem fixen ist angehängt.

Noch eine kurze Frage: mein Arbeitskollege, dessen PC Du gerade bearbeitet hast, hat zur Lösung des Problems die geforderten 100 € (per Ukash?) bezahlt; das hat natürlich nichts gebracht. Kennst Du eine Möglichkeit, das Geld zurückzuerhalten?

Deutlich lohnender erscheint uns gerade eine Spende an Dich - die geht gleich ab. Vielen Dank nochmal!

Joachim

aber nicht von dem pc spenden! machst du onlinebanking/einkauf oder sonst was wichtiges?
ihr müsst euch da an ucash wenden, so schnell wie möglich, aber viel hoffnung mache ich dir nicht.

Hi Markus, ganz kurz:
vom infizierten Rechner aus wurden Flugtickets gekauft und mit Kreditkarte bezahlt. Gehst Du davon aus, dass die Zahlungsinformationen von Dritten eingesehen wurden?

Nächstes Problem: bei einem nachträglichen Scan mit Sophos wurde der Troj/TDL3Mem-B dreimal entdeckt, sitzt in der ntdll.dll.
Sophos hat sich letzte Nacht aufgehängt und kam nicht über 2%.

Die Spende an Euch wurde nicht vom infizierten Rechner aufgegeben.
Bis bald,
jo

hallo.
es müssen alle passwörter von einem saubern pc aus geendert werden.
wenn du onlinebanking betreibst, rufe die bank an, lasse es sofort sperren.
danach müssen alle daten gesichert werden.
vorbereitung:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
deaktiviere autorun.
dann sichere daten, wie bilder dokumente etc.
danach müssen wir das system neu aufsetzen, heißt formatieren und windows neu drauf.
falls du nicht weist wies geht, erkläre ich es dir.
dann zeige ich dir, wie du das system richtig absicherst.

Hey Markus,
reicht es nicht aus, zu versuchen sämtliche Malware und Trojaner manuell zu entfernen?

Zur Erinnerung, bis jetzt gefunden: "BKA-Trojaner" und der Troj/TDL3Mem-B.
Das System aufzusetzen kriege ich zum x-ten Mal ganz gut hin, würd es aber auch gern vermeiden.

grüßend,
jo

es wurde noch mehr gefunden und es reicht nicht, außer du hast so viel geld das du es gern über die welt verteilst. dann geb ich dir aber auch meine nummer durch :-)
dein system muss neu aufgesetzt werden, und dann zeige ich dir wie so was in zukunft zu vermeiden ist.
ein antiviren programm ist nicht genug, man muss weitere maßnamen treffen.

du schriebst mir ne pm, dass ich dir weitere maßnamen nennen soll, hast du formatiert?

formatiert,
Windows XP neu installiert,
Sophos Antivirus+Firewall (Campuslizenz, wir=Uni) dazu.
Netzwerkkabel bis jetzt noch nicht angeschlossen.

was nun?

alles genauestens abarbeiten und einhalten, falls irgendwas unklar, stoppen und weiter

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter xp und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.