Hallo,

leider hab ich mir dieses WE den neuen Bundespolizei Trojaner eingefangen, wo unter Shell die Explorer.exe gar nicht unbenannt wurde, sodass die hilfreichen Tipps im Forum/Web mir gar nichts bringen.

Ich habe schon im Abgesichertenmodus per USB Stick versucht srep.exe zu starten, leider ging das auch nicht. Es wurde geöffnet, aber es hat nicht "funktioniert".


Ich hoffe Ihr könnt mir weiter helfen.

Schöne Grüße,

PeterPeter

hi

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

lad dir das auf nen usb stick, starte wieder in den abges.modus mit eingabeaufforderung
dort d:\combofix.exe
enter
bzw das laufwerk auswählen welches der usb stick ist.
falls der pc dann nicht neu startet, musst du das manuell erledigen.
falls danach der desktop schwarz bleibt, öffne den taskmanager, anwendungen, neuer task, schreibe
explorer.exe
enter
dann poste die combofix.txt
aber teile mir mit, falls die explorer.exe manuell gestartet werden musste.

Danke für die schnelle Rückmeldung, leider kann ich die momentan nicht Downloaden, erst später. Aber ich habe grad meine USP Stick angeschlossen und gesehen, dass srep.exe doch wohl eine Text-Datei auf meinen Stick gespeichert hat unter Shell.txt.

Soll ich die Posten?

jo.
aber dann, wenn du zeit hast, mit combofix weiter, nichts anderes bitte machen

WIN_VISTA X86 Service Pack 2

Running from F:\



HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ]

.

.

.

HKCU\..\Winlogon; Shell not found

.





[System Process]

System

smss.exe

csrss.exe

csrss.exe

wininit.exe

winlogon.exe

services.exe

lsass.exe

lsm.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

svchost.exe

cmd.exe

srep.exe

svchost.exe





HKLM\..\Run [StartCCC] = "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

HKLM\..\Run [RtHDVCpl] = RtHDVCpl.exe

HKLM\..\Run [IFXSPMGT] = C:\Windows\system32\ifxspmgt.exe /NotifyLogon

HKLM\..\Run [CognizanceTS] = rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule

HKLM\..\Run [SynTPEnh] = C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

HKLM\..\Run [ASUS Camera ScreenSaver] = C:\Windows\ASScrProlog.exe

HKLM\..\Run [ASUS Screen Saver Protector] = C:\Windows\ASScrPro.exe

HKLM\..\Run [GrooveMonitor] = "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

HKLM\..\Run [avgnt] = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

HKLM\..\Run [ATKOSD2] = "C:\Program Files\ATKOSD2\ATKOSD2.exe"

HKLM\..\Run [Adobe Reader Speed Launcher] = "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

HKLM\..\Run [Adobe ARM] = "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

HKLM\..\Run [DivXUpdate] = "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

HKLM\..\Run [AdobeAAMUpdater-1.0] = "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"

HKLM\..\Run [SwitchBoard] = C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

HKLM\..\Run [AdobeCS5ServiceManager] = "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin

HKLM\..\Run [SunJavaUpdateSched] = "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

HKLM\..\Run [Hercules DJ Series] = C:\Program Files\Hercules\Audio\DJ Console Series\HDJSeriesCPL.exe /boot

HKLM\..\Run [AppleSyncNotifier] = C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe

HKLM\..\Run [QuickTime Task] = "C:\Program Files\QuickTime\QTTask.exe" -atboottime

HKLM\..\Run [iTunesHelper] = "C:\Program Files\iTunes\iTunesHelper.exe"

HKLM\..\Run [RIMBBLaunchAgent.exe] = C:\Program Files\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe



HKCU\..\Run [ehTray.exe] = C:\Windows\ehome\ehTray.exe

HKCU\..\Run [Octoshape Streaming Services] = "C:\Users\Anosch\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun

HKCU\..\Run [Steam] = "C:\Program Files\Steam\Steam.exe" -silent

HKCU\..\Run [Userinit] = C:\Users\Anosch\AppData\Roaming\appconf32.exe

HKCU\..\Run [Akamai NetSession Interface] = C:\Users\Anosch\AppData\Local\Akamai\netsession_win.exe

HKCU\..\Run [avupdate] = C:\Users\Anosch\AppData\Roaming\mahmud.exe



HKU\.DEFAULT\..\Winlogon; Shell =

HKU\S-1-5-19\..\Winlogon; Shell =

HKU\S-1-5-20\..\Winlogon; Shell =

HKU\S-1-5-21-204719600-718826961-3324161841-1000\..\Winlogon; Shell =

HKU\S-1-5-21-204719600-718826961-3324161841-1000_Classes\..\Winlogon; Shell =

HKU\S-1-5-18\..\Winlogon; Shell =



HKU\.DEFAULT\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem

HKU\S-1-5-19\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter

HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem

HKU\S-1-5-20\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter

HKU\S-1-5-21-204719600-718826961-3324161841-1000\..\Run [ehTray.exe] = C:\Windows\ehome\ehTray.exe

HKU\S-1-5-21-204719600-718826961-3324161841-1000\..\Run [Octoshape Streaming Services] = "C:\Users\Anosch\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun

HKU\S-1-5-21-204719600-718826961-3324161841-1000\..\Run [Steam] = "C:\Program Files\Steam\Steam.exe" -silent

HKU\S-1-5-21-204719600-718826961-3324161841-1000\..\Run [Userinit] = C:\Users\Anosch\AppData\Roaming\appconf32.exe

HKU\S-1-5-21-204719600-718826961-3324161841-1000\..\Run [Akamai NetSession Interface] = C:\Users\Anosch\AppData\Local\Akamai\netsession_win.exe

HKU\S-1-5-21-204719600-718826961-3324161841-1000\..\Run [avupdate] = C:\Users\Anosch\AppData\Roaming\mahmud.exe

HKU\S-1-5-18\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun



==== FINISH 20.11-17.56 ====

na mit combofix kriegen wir ihn dann bestimmt :-)

Also ich habe es mir auf mein Stick gemacht.

Er sat mir das Antivir noch läuft, war aber nichts hab es auch per Taskmanager gesucht, war deaktiviert.

Dann kamm eine meldung das Combofix abgeaufen ist und nur auf halbe funktionalität läuft, anschließed war es vom Stick verschwunden.

hmm lads bitte noch mal, wenn wieder eine meldung über avira kommt, mit klick auf ok überspringen

Hab 2x gemacht jedesmal das gleiche, jedesmal war die Datei vom Stick verschwunden habe auch beidemal auf ok geklickt.

bist du im abgesicherten modus mit eingabeaufforderung?
geht denn der abgesicherte modus mit netzwerk? dann mal von dort combofix direkt laden und ausprobieren

Ja Abgesicherter Modus mit Eingabeauffoderung, keine Chance verschwindet jedesmal

hi, aber geht der abgesicherte modus mit netzwerk?

Ne leider nicht

ok.
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hab leider nur einen USP Stick, dass mir der CD wird schwer. Hab Internet ist vorhanden durch die Uni.