,,Offizielle Mitteilung des Bundeskriminalamtes''

andi_1984 · 09.08.2011, 13:56

Hallo zusammen,

hab mir beim surfen im Internet einen Trojaner eingefangen.

Es handelt sich um den Trojaner: ,,Offizielle Mitteilung des Bundeskriminalamtes''

Kann mir Bitte jemand helfen ich kann mein Laptop nicht mehr hochfahren. Sofort nach der Passworteingabe erscheint das Fenster.

Ich bin über jede Hilfe dankbar.

Danke!!!

cosinus · 10.08.2011, 14:17

Da musst du mit OTLPE ran. Benötigt wird dafür ein zweiter (virenfreier!!) Windows-Rechner mit Brenner und einen CD-R oder CD-RW Rohling. Den infizierten Rechner von dieser selbstgebrannten OTLPE-CD dann booten.

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

andi_1984 · 10.08.2011, 15:56

Hallo,

danke erstmal.
Ich werde deine Instruktionen erst am Wochenende ausprobieren können.
Habe hier leider kein Rechner mit Brenner.

Danke nochmals vorab für deine Hilfe.

Gruß Andi

andi_1984 · 12.08.2011, 21:40

Hallo,

ich habe die CD gebootet und jetzt den REATOGO Desktop.

Wenn ich auf OTLPE klicke und das Programm öffnen will muss ich doch auf My Computer? Oder ?
Wenn ich My Computer wähle sagt er ,,No windows installations found''

Was ist das Problem ?

Danke!

cosinus · 12.08.2011, 22:21

Du musst den Windows-Ordner auswählen...

andi_1984 · 14.08.2011, 19:57

Hallo,

anbei die OTL.txt.
Eine Extras.txt kann ich nicht finden.

Danke für deine nächste Antwort.

Gruß Andi

cosinus · 15.08.2011, 13:50

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

ATTFilter

:OTL
IE - HKLM\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Program Files\ICQ6Toolbar\20110121222219\ICQToolBar.dll (ICQ)
IE - HKLM\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)
IE - HKU\.DEFAULT\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\.DEFAULT\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Program Files\ICQ6Toolbar\20110121222219\ICQToolBar.dll (ICQ)
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Andi_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page = http://plasmoo.com
IE - HKU\Andi_ON_E\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\Andi_ON_E\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Program Files\ICQ6Toolbar\20110121222219\ICQToolBar.dll (ICQ)
IE - HKU\Andi_ON_E\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)
FF - prefs.js..browser.search.defaultenginename: "Plasmoo"
FF - prefs.js..browser.search.defaultthis.engineName: "Plasmoo"
FF - prefs.js..browser.search.defaulturl: "http://plasmoo.com/index.htm?SearchMashine=true&amp;q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Plasmoo"
FF - prefs.js..keyword.URL: "http://plasmoo.com/index.htm?SearchMashine=true&q="
FF - prefs.js..network.proxy.type: 0
[2011/06/24 05:03:40 | 000,000,000 | ---D | M] (Plasmoo Search Engine) -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\ql6f4xmp.default\extensions\engine@plasmoo.com
[2011/08/06 09:42:15 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\extensions
[2011/05/14 07:46:39 | 000,000,000 | ---D | M] (mediaplayerconnectivity) -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\extensions\{84b24861-62f6-364b-eba5-2e5e2061d7e6}
[2011/06/24 05:03:38 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011/06/24 05:03:40 | 000,000,000 | ---D | M] (Plasmoo Search Engine) -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\extensions\engine@plasmoo.com
[2011/04/28 13:42:58 | 000,001,975 | ---- | M] () -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\searchplugins\plasmoo.xml
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - E:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - E:\Program Files\ICQ6Toolbar\20110121222219\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)
O3 - HKU\Andi_ON_E\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)
O4 - HKU\Andi_ON_E..\Run: []  File not found
O20 - HKU\Andi_ON_E Winlogon: Shell - (C:\Users\Andi\AppData\Local\Temp\0.07829442597989866.exe) - E:\Users\Andi\AppData\Local\Temp\0.07829442597989866.exe ()
@Alternate Data Stream - 104 bytes -> E:\ProgramData\TEMP:D1B5B4F1O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - E:\autoexec.bat -- [ NTFS ]
@Alternate Data Stream - 104 bytes -> E:\ProgramData\TEMP:D1B5B4F1
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

andi_1984 · 15.08.2011, 21:41

Tag,

hat alles problemlos funktioniert.
Hab die Zip Datei hochgeladen.

Sind noch weitere Schritte notwendig ?

Nochmals vielen Dank!

Gruß Andi

cosinus · 15.08.2011, 21:42

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom im normalen Windows-Modus (kein OTLPE!)

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

andi_1984 · 16.08.2011, 22:43

Tag,

hier der Befund von Malewarebytes.

Bis dann! Danke

cosinus · 17.08.2011, 10:21

Zitat:

d:\documents\programme\autocad_2009\CYGiSO\xf-acad9-32-bits.exe (RiskWare.Tool.HCK) -> No action taken.
d:\documents\programme\autocad_2009\CYGiSO\xf-acad9-64-bits.exe (RiskWare.Tool.CK) -> No action taken.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

andi_1984 · 17.08.2011, 19:23

Hallo,

das wundert mich. Ich hab dieses Programm schon länger nicht mehr auf dem PC. Kann ich da mit noch weiteren Schädlingen rechnen oder was ist zu tun ?

Anbei der OTL Logfile.

Danke.

cosinus · 17.08.2011, 21:51

Die Cracks sprechen aber Bände. Einmal ausgeführt, hast du den Mist im Rechner, was soll da ein Uninstall helfen?

12.08.2011, 22:21	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	,,Offizielle Mitteilung des Bundeskriminalamtes'' Du musst den Windows-Ordner auswählen... __________________ Logfiles bitte immer in CODE-Tags posten

17.08.2011, 21:51	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	,,Offizielle Mitteilung des Bundeskriminalamtes'' Die Cracks sprechen aber Bände. Einmal ausgeführt, hast du den Mist im Rechner, was soll da ein Uninstall helfen? __________________ Logfiles bitte immer in CODE-Tags posten

,,Offizielle Mitteilung des Bundeskriminalamtes''

Plagegeister aller Art und deren Bekämpfung: ,,Offizielle Mitteilung des Bundeskriminalamtes''