Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bundespolizei-Trojaner: Hilfe ab OTL Datei

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 13.08.2011, 12:44   #1
Jiskaretter
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Liebes Team von Trojaner-Board,

ich habe mir den Bundespolizei-Trojaner eingefangen. Nichts geht mehr, ein weißer Bildschirm mit der Aufforderung zur Zahlung. In den abgesicherten Modus kam ich ebenfalls nicht, da die Pfeiltasten blockiert waren.

Habe nun von Cd OTLPE gebootet (bin der Anleitung von http://www.trojaner-board.de/97331-b...n-ich-tun.html gefolgt) und die im Anhang befindliche OTL-Datei erhalten.

Sind darüber hinaus noch andere Informationen nötig?

Bin für jede Hilfe dankbar

Alt 15.08.2011, 21:37   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
IE - HKU\Sarah_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKU\Sarah_ON_C\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\Sarah_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKU\Sarah_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q="
[2011/06/22 16:36:02 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\mozilla\Firefox\Profiles\mvomf9bs.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2010/12/18 16:19:05 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\mozilla\Firefox\Profiles\mvomf9bs.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011/08/10 16:02:07 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\mvomf9bs.default\searchplugins\icqplugin-1.xml
[2010/10/21 10:05:01 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\mvomf9bs.default\searchplugins\icqplugin-2.xml
[2010/06/21 10:35:24 | 000,001,042 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\mvomf9bs.default\searchplugins\icqplugin.xml
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\jashla.exe (Britannica Antietam Englewood Andromache Waltham Orwell)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004/01/26 14:37:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2008/07/04 13:58:18 | 000,000,000 | -H-- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2002/10/17 09:56:50 | 000,000,036 | RH-- | M] () - E:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2006/02/09 14:59:36 | 000,000,000 | RH-D | M] - E:\autorun -- [ FAT32 ]
O32 - AutoRun File - [2009/05/24 22:13:08 | 000,000,100 | ---- | M] () - F:\AUTORUN.INF -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{93a54220-4cec-11e0-ad5a-00196695b324}\Shell - "" = AutoRun
O33 - MountPoints2\{93a54220-4cec-11e0-ad5a-00196695b324}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{93a54220-4cec-11e0-ad5a-00196695b324}\Shell\AutoRun\command - "" = H:\Startme.exe
O33 - MountPoints2\H\Shell - "" = AutoRun
O33 - MountPoints2\H\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\Startme.exe
[2011/08/12 16:35:44 | 000,162,304 | ---- | C] (Britannica Antietam Englewood Andromache Waltham Orwell) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\jashla.exe
[2011/08/12 17:10:54 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011/08/12 17:10:54 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
@Alternate Data Stream - 113 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:070D9534
@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________

__________________

Alt 16.08.2011, 13:43   #3
Jiskaretter
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Hallo, danke für die Antwort.
Ich habe nun den OTL-Fix gemacht. Allerdings hat sich keine Logfile geöffnet. Das Custom Scans/Fixes-Fenster, in das ich obigen Code hereinkopiert habe, ist nun leer und in einer Fensterzeile darunter steht: Processing complete!
Zudem kam danach zwar das Fenster, sinngemäß mitteilend, dass der PC rebooten müsse und ob man damit einverstanden wäre - ich habe auf Yes geklickt. Der PC startet nicht von allein neu.
Da ja eigentlich das Logfile erzeugt werden sollte, weiß ich nicht, wie ich nun weiter vorgehen soll.
Normal versuchen von Festplatte zu booten und der Anleitung zum Quarantäneordner folgen oder nochmal der OTL-Fix?
__________________

Alt 16.08.2011, 14:44   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Ja startet Windows denn jetzt wieder normal? Genau das solltest du ja nch dem Fix prüfen und wenn es geht die ZIP in den UpChannel hochladen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.08.2011, 15:19   #5
Jiskaretter
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Nach dem Fix kam der Hinweis, dass der PC neugestartet wird, sofern ich einverstanden bin. Daraufhin hat er selbstständig jedenfalls nicht neugestartet. Habe nun selbst 2mal einen Neustart ausgeführt und nach Anmeldung des Benutzers ist zwar nun der weiße Bildschirm weg, weiter passiert jedoch nichts. Ich sehe lediglich einen veralteten Bildschirmhintergrund, keinerlei Desktopelemente o.ä.

-> Also nein, Windows startet nicht normal


Alt 16.08.2011, 18:19   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.
  • Starte den infizierten Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
  • Logge dich nun in das infizierte Benutzerkonto ein.
  • Schließe den USB Stick an den infizierten Rechner an.
  • Nun ist etwas Handarbeit gefragt.
    • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
    • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
      Zitat:
      Das System kann das angegeben Laufwerk nicht finden
      versuche einen anderen Laufwerksbuchstaben. ( zB F: )
  • Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
    start srep.exe
  • Bestätige den Disclaimer mit OK.
  • Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.
Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.
__________________
--> Bundespolizei-Trojaner: Hilfe ab OTL Datei

Alt 16.08.2011, 19:11   #7
Jiskaretter
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Hier scheitert es wie bereits in meinem ersten verzweifelten Versuch, den PC zu retten, nämlich in den abgesicherten Modus zu kommen :-(
Ich komme zu den Auswahlmöglichkeiten, die Tastatur scheint mir aber blockiert zu sein. Nach Zeitablauf startet Windows normal. Ich habe auch schon auf PS/2 umgestellt, die Tastatur ist ab dem Zeitpunkt, wo der Startoptionen-Bildschirm kommt, wie tot :-(

Geändert von Jiskaretter (16.08.2011 um 19:20 Uhr)

Alt 17.08.2011, 10:07   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Dann wirst du wahrscheinlich Daten über eine Live-CD sichern und das System neu aufsetzen müssen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.08.2011, 13:54   #9
Jiskaretter
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Das Problem mit der Tastatur habe ich nun beheben können, indem ich im BIOS unter USB Configuration enabled hab.
Habe srep.exe vom Stick ausführen können, doch ein Neustarten offenbart dieselben Probleme wie zuvor: Anzeige eines veralteten Hintergrundes, nichts sonst.
Live-Rettung und Formatieren als letzte Lösung?

Alt 17.08.2011, 14:47   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Zitat:
Anzeige eines veralteten Hintergrundes, nichts sonst.
Tasmanager mit STRG+ALT+ENTF starten, Datei => neuer Task => explorer.exe => ok
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.08.2011, 15:04   #11
Jiskaretter
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



nun wird allein mein arbeitsplatz angezeigt. die darin angezeigten dateien lassen sich auch öffnen. die übliche windowsoberfläche fehlt.
weiß auch nicht, ob es normal ist, dass svchost.exe über 7mal im taskmanager ist?!

Alt 17.08.2011, 15:07   #12
Jiskaretter
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Hier aber mal die Shell.txt, die sich nun auf dem Stick befand.

Alt 17.08.2011, 15:23   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.08.2011, 23:48   #14
Jiskaretter
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Malwarebytes über USB-Stick installiert, aktualisiert und ausgeführt meldet nach einer Weile folgende Fehlermeldung, mit welcher der Vollscan abbricht und ein leeres, weißes Malwarebytes-Fenster angezeigt wird:

[Shell_NotifyIcon] Die Ausführung der gewünschten Aktion ist fehlgeschlagen. Fehlermeldung: 2

Alt 18.08.2011, 20:13   #15
Jiskaretter
 
Bundespolizei-Trojaner: Hilfe ab OTL Datei - Standard

Bundespolizei-Trojaner: Hilfe ab OTL Datei



Soo,
Problem mit der Fehlermeldung konnte nun auch gelöst werden. Musste in der zweiten Registerkarte bei "Mit Windows starten" das Kreuzchen rausnehmen. ( hxxp://forums.malwarebytes.org/index.php?showtopic=11856 )

Im Anhang die entsprechenden Dateien.
Sieht gut aus, danke schonmal.

Geändert von Jiskaretter (18.08.2011 um 20:23 Uhr) Grund: hTTp ?!

Antwort

Themen zu Bundespolizei-Trojaner: Hilfe ab OTL Datei
.html, abgesicherte, abgesicherten, abgesicherten modus, andere, anhang, anleitung, aufforderung, bildschirm, blockiert, bundespolizei-trojaner, dankbar, datei, ebenfalls, erhalte, hinaus, informationen, leitung, modus, nichts, nichts geht mehr, nötig, otl-datei, pfeiltasten, troja, trojaner-board, weißer




Ähnliche Themen: Bundespolizei-Trojaner: Hilfe ab OTL Datei


  1. DirectPay Zip Datei Handy Trojaner Hilfe!
    Log-Analyse und Auswertung - 28.04.2015 (3)
  2. BKA Trojaner - OTLPE Fix scan - kann mir jemand diese Datei erstellen?Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 13.02.2014 (5)
  3. Bundespolizei-Trojaner eingefangen! Brauche dringend Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 12.10.2012 (13)
  4. bundespolizei trojaner sperrt computer hilfe
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (4)
  5. erbitte Hilfe: Bundespolizei Trojaner -0.9930813233754422.exe (Exploit.Drop.UR.2)-LOGFILES anbei
    Plagegeister aller Art und deren Bekämpfung - 02.08.2012 (7)
  6. Bundespolizei Trojaner / OTL.txt vorhanden komme nicht weiter und schnelle HILFE
    Log-Analyse und Auswertung - 12.07.2012 (2)
  7. Bundespolizei Trojaner Otl-Scan wurde durchgeführt, brauche Hilfe!
    Log-Analyse und Auswertung - 19.03.2012 (9)
  8. Bundespolizei-Trojaner auf Windows 7, bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 28.02.2012 (4)
  9. Bundespolizei-Trojaner - Shell Datei ist aber sauber!
    Log-Analyse und Auswertung - 12.12.2011 (24)
  10. Bundespolizei Trojaner - Hilfe ab OTL - Datei
    Log-Analyse und Auswertung - 12.12.2011 (1)
  11. [doppelt]OTLPE kann keine Log-Datei erstellen - Bundespolizei Trojaner
    Mülltonne - 02.12.2011 (2)
  12. Ukash Bundespolizei OTLPE Datei
    Plagegeister aller Art und deren Bekämpfung - 12.10.2011 (9)
  13. Hilfe bundespolizei trojaner !!!
    Plagegeister aller Art und deren Bekämpfung - 22.08.2011 (7)
  14. OTL Datei (Bundespolizei Trojaner)
    Log-Analyse und Auswertung - 12.08.2011 (7)
  15. Bundespolizei Trojaner entfernen - Hilfe gesucht
    Log-Analyse und Auswertung - 01.07.2011 (13)
  16. Bundespolizei-Trojaner - Bitte um Hilfe. OTL-Log beigefügt
    Log-Analyse und Auswertung - 19.06.2011 (1)
  17. exe datei geöffnet vermute trojaner? HILFE
    Log-Analyse und Auswertung - 01.08.2009 (9)

Zum Thema Bundespolizei-Trojaner: Hilfe ab OTL Datei - Liebes Team von Trojaner-Board, ich habe mir den Bundespolizei-Trojaner eingefangen. Nichts geht mehr, ein weißer Bildschirm mit der Aufforderung zur Zahlung. In den abgesicherten Modus kam ich ebenfalls nicht, da - Bundespolizei-Trojaner: Hilfe ab OTL Datei...
Archiv
Du betrachtest: Bundespolizei-Trojaner: Hilfe ab OTL Datei auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.