|
Log-Analyse und Auswertung: Bundespolizei-Trojaner: Hilfe ab OTL DateiWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.08.2011, 12:44 | #1 |
| Bundespolizei-Trojaner: Hilfe ab OTL Datei Liebes Team von Trojaner-Board, ich habe mir den Bundespolizei-Trojaner eingefangen. Nichts geht mehr, ein weißer Bildschirm mit der Aufforderung zur Zahlung. In den abgesicherten Modus kam ich ebenfalls nicht, da die Pfeiltasten blockiert waren. Habe nun von Cd OTLPE gebootet (bin der Anleitung von http://www.trojaner-board.de/97331-b...n-ich-tun.html gefolgt) und die im Anhang befindliche OTL-Datei erhalten. Sind darüber hinaus noch andere Informationen nötig? Bin für jede Hilfe dankbar |
15.08.2011, 21:37 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei-Trojaner: Hilfe ab OTL Datei Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
__________________Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL IE - HKU\Sarah_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ IE - HKU\Sarah_ON_C\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKU\Sarah_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) IE - HKU\Sarah_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=" [2011/06/22 16:36:02 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\mozilla\Firefox\Profiles\mvomf9bs.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2010/12/18 16:19:05 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\mozilla\Firefox\Profiles\mvomf9bs.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2011/08/10 16:02:07 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\mvomf9bs.default\searchplugins\icqplugin-1.xml [2010/10/21 10:05:01 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\mvomf9bs.default\searchplugins\icqplugin-2.xml [2010/06/21 10:35:24 | 000,001,042 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\mvomf9bs.default\searchplugins\icqplugin.xml O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) 20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\jashla.exe (Britannica Antietam Englewood Andromache Waltham Orwell) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004/01/26 14:37:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2008/07/04 13:58:18 | 000,000,000 | -H-- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ] O32 - AutoRun File - [2002/10/17 09:56:50 | 000,000,036 | RH-- | M] () - E:\autorun.inf -- [ FAT32 ] O32 - AutoRun File - [2006/02/09 14:59:36 | 000,000,000 | RH-D | M] - E:\autorun -- [ FAT32 ] O32 - AutoRun File - [2009/05/24 22:13:08 | 000,000,100 | ---- | M] () - F:\AUTORUN.INF -- [ FAT32 ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O33 - MountPoints2\{93a54220-4cec-11e0-ad5a-00196695b324}\Shell - "" = AutoRun O33 - MountPoints2\{93a54220-4cec-11e0-ad5a-00196695b324}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{93a54220-4cec-11e0-ad5a-00196695b324}\Shell\AutoRun\command - "" = H:\Startme.exe O33 - MountPoints2\H\Shell - "" = AutoRun O33 - MountPoints2\H\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\Startme.exe [2011/08/12 16:35:44 | 000,162,304 | ---- | C] (Britannica Antietam Englewood Andromache Waltham Orwell) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\jashla.exe [2011/08/12 17:10:54 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2011/08/12 17:10:54 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job @Alternate Data Stream - 113 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:070D9534 @Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 :Commands [purity] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen! 2.) Ordner movedfiles in C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ |
16.08.2011, 13:43 | #3 |
| Bundespolizei-Trojaner: Hilfe ab OTL Datei Hallo, danke für die Antwort.
__________________Ich habe nun den OTL-Fix gemacht. Allerdings hat sich keine Logfile geöffnet. Das Custom Scans/Fixes-Fenster, in das ich obigen Code hereinkopiert habe, ist nun leer und in einer Fensterzeile darunter steht: Processing complete! Zudem kam danach zwar das Fenster, sinngemäß mitteilend, dass der PC rebooten müsse und ob man damit einverstanden wäre - ich habe auf Yes geklickt. Der PC startet nicht von allein neu. Da ja eigentlich das Logfile erzeugt werden sollte, weiß ich nicht, wie ich nun weiter vorgehen soll. Normal versuchen von Festplatte zu booten und der Anleitung zum Quarantäneordner folgen oder nochmal der OTL-Fix? |
16.08.2011, 14:44 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei-Trojaner: Hilfe ab OTL Datei Ja startet Windows denn jetzt wieder normal? Genau das solltest du ja nch dem Fix prüfen und wenn es geht die ZIP in den UpChannel hochladen.
__________________ Logfiles bitte immer in CODE-Tags posten |
16.08.2011, 15:19 | #5 |
| Bundespolizei-Trojaner: Hilfe ab OTL Datei Nach dem Fix kam der Hinweis, dass der PC neugestartet wird, sofern ich einverstanden bin. Daraufhin hat er selbstständig jedenfalls nicht neugestartet. Habe nun selbst 2mal einen Neustart ausgeführt und nach Anmeldung des Benutzers ist zwar nun der weiße Bildschirm weg, weiter passiert jedoch nichts. Ich sehe lediglich einen veralteten Bildschirmhintergrund, keinerlei Desktopelemente o.ä. -> Also nein, Windows startet nicht normal |
16.08.2011, 18:19 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei-Trojaner: Hilfe ab OTL Datei Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.
__________________ --> Bundespolizei-Trojaner: Hilfe ab OTL Datei |
16.08.2011, 19:11 | #7 |
| Bundespolizei-Trojaner: Hilfe ab OTL Datei Hier scheitert es wie bereits in meinem ersten verzweifelten Versuch, den PC zu retten, nämlich in den abgesicherten Modus zu kommen :-( Ich komme zu den Auswahlmöglichkeiten, die Tastatur scheint mir aber blockiert zu sein. Nach Zeitablauf startet Windows normal. Ich habe auch schon auf PS/2 umgestellt, die Tastatur ist ab dem Zeitpunkt, wo der Startoptionen-Bildschirm kommt, wie tot :-( Geändert von Jiskaretter (16.08.2011 um 19:20 Uhr) |
17.08.2011, 10:07 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei-Trojaner: Hilfe ab OTL Datei Dann wirst du wahrscheinlich Daten über eine Live-CD sichern und das System neu aufsetzen müssen.
__________________ Logfiles bitte immer in CODE-Tags posten |
17.08.2011, 13:54 | #9 |
| Bundespolizei-Trojaner: Hilfe ab OTL Datei Das Problem mit der Tastatur habe ich nun beheben können, indem ich im BIOS unter USB Configuration enabled hab. Habe srep.exe vom Stick ausführen können, doch ein Neustarten offenbart dieselben Probleme wie zuvor: Anzeige eines veralteten Hintergrundes, nichts sonst. Live-Rettung und Formatieren als letzte Lösung? |
17.08.2011, 14:47 | #10 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei-Trojaner: Hilfe ab OTL DateiZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
17.08.2011, 15:04 | #11 |
| Bundespolizei-Trojaner: Hilfe ab OTL Datei nun wird allein mein arbeitsplatz angezeigt. die darin angezeigten dateien lassen sich auch öffnen. die übliche windowsoberfläche fehlt. weiß auch nicht, ob es normal ist, dass svchost.exe über 7mal im taskmanager ist?! |
17.08.2011, 15:07 | #12 |
| Bundespolizei-Trojaner: Hilfe ab OTL Datei Hier aber mal die Shell.txt, die sich nun auf dem Stick befand. |
17.08.2011, 15:23 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei-Trojaner: Hilfe ab OTL Datei Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL-Custom: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
17.08.2011, 23:48 | #14 |
| Bundespolizei-Trojaner: Hilfe ab OTL Datei Malwarebytes über USB-Stick installiert, aktualisiert und ausgeführt meldet nach einer Weile folgende Fehlermeldung, mit welcher der Vollscan abbricht und ein leeres, weißes Malwarebytes-Fenster angezeigt wird: [Shell_NotifyIcon] Die Ausführung der gewünschten Aktion ist fehlgeschlagen. Fehlermeldung: 2 |
18.08.2011, 20:13 | #15 |
| Bundespolizei-Trojaner: Hilfe ab OTL Datei Soo, Problem mit der Fehlermeldung konnte nun auch gelöst werden. Musste in der zweiten Registerkarte bei "Mit Windows starten" das Kreuzchen rausnehmen. ( hxxp://forums.malwarebytes.org/index.php?showtopic=11856 ) Im Anhang die entsprechenden Dateien. Sieht gut aus, danke schonmal. Geändert von Jiskaretter (18.08.2011 um 20:23 Uhr) Grund: hTTp ?! |
Themen zu Bundespolizei-Trojaner: Hilfe ab OTL Datei |
.html, abgesicherte, abgesicherten, abgesicherten modus, andere, anhang, anleitung, aufforderung, bildschirm, blockiert, bundespolizei-trojaner, dankbar, datei, ebenfalls, erhalte, hinaus, informationen, leitung, modus, nichts, nichts geht mehr, nötig, otl-datei, pfeiltasten, troja, trojaner-board, weißer |