Hi allerseits,

ich habe heute eine Gema-Meldung auf meinem Rechner bekommen, die auch gleichzeitig die Nutzung des Rechners blockiert. Nach einem Anruf bei der Gema sieht es so aus, als ob der Rechner sich einen Virus (Trojaner) eingefangen hat und ich bin da etwas ratlos, wie ich da weiter verfahren soll. Von der Gema wurde auf eure Seite verwiesen und hier bin ich nun nach einigen Schwierigkeiten.
Da ich nicht mehr an den Rechner komme, kann ich auch die zusätzlichen Informationen nicht liefern. Auf dem Rechner ist WinXP installiert in eíner 32bit-Version.
Ich habe versucht, mich als anderer Nutzer anzumelden, aber dies ging auch schief (gleiche Blockierung).
Im übrigen fährt der Rechner nach dem Ausschalten wieder in den gleichen Blockierungszustand hoch.
Ich habe einiges in den Foren gelesen konnte da aber noch nicht so richtig weiterkommen. Beim Versuch, die Datei OTLPENet.exe zu suchen und herunter zu laden, bin ich schon gescheitert. Der von euch angegebene Link hat so richtig nicht funktioniert (kann aber auch daran liegen, dass ich noch nicht eingeloggt war und außerdem war es ein fremdes Thema).
Also, nun hätte ich schon ganz gern gewusst, wie ich weitermachen soll. Wenn ich nicht auf die "Kiste" komme, habe ich irgendwan ein Problem mit meinem Arbeitgeber (ich bekomme meinen Bericht nicht fertig).

Hilfe!

Vielen Dank im Voraus.
Thomas_K

hi
download:
ISO Burner Download - ISO Burner 2.5
isoburner anleitung:
http://www.trojaner-board.de/83208-b...ei-cd-dvd.html
• Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
http://www.trojaner-board.de/81857-c...cd-booten.html

• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

Hallo an die Helfer,

ich habe nach einigen Startschwierigkeiten den Scan gemacht. Im Vorfeld des Scans wurde ich allerdings nicht gefragt worden, ob ich die "remote registry" laden möchte. Ich vermute, dass ich auch aus diesem Grund nur eine Log-Datei erhalten habe. Auf dem Rechner sind mehrere Nutzer angelegt. Ich habe den Scan zwei Mal durchgeführt und dabei den angewählten Benutzer geändert (vermute nur, dass das Ergebnis identisch ist). Anbei sende ich euch die beiden Log-Dateien. Sollte noch eine weitere Log-Datei benötigt werden, benötige ich noch einen kleinen Hinweis, da wahrscheinlich an den Einstellungen des Scaners etwas geändert werden muss.
Also, anbei nun die Dateien und ich hoffe ihr findet etwas, so dass ich wieder Zugriff auf die Kiste bekomme. Ich bin echt aufgeschmissen.

Vielen Dank für die Hilfe im Voraus.

Mit freundlichen aber hilfesuchenden Grüßen
Thomas K.

passt so :-)

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\koch_ON_C..\Run: [XStzV0FikIADbMr] C:\Dokumente und Einstellungen\koch\Anwendungsdaten\u5hr46sirtijyrt5.exe (Holbrook Judas )
O4 - HKU\koch_ON_C..\Run: [r5tu856u8j] C:\Dokumente und Einstellungen\koch\Anwendungsdaten\sx5u7frt55.exe (Holbrook Judas )
O4 - HKU\AdminKoch_ON_C..\Run: [r5tu856u8j] C:\Dokumente und Einstellungen\AdminKoch\Anwendungsdaten\sx5u7frt55.exe (Holbrook Judas )
O4 - HKU\AdminKoch_ON_C..\Run: [XStzV0FikIADbMr] C:\Dokumente und Einstellungen\AdminKoch\Anwendungsdaten\u5hr46sirtijyrt5.exe (Holbrook Judas )
O4 - HKLM..\Run: [XStzV0FikIADbMr] C:\Dokumente und Einstellungen\AdminKoch\Anwendungsdaten\u5hr46sirtijyrt5.exe (Holbrook Judas )
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\Administrator_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\AdminKoch_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\AdminKoch_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\adminws_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\AdminKoch_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\koch_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\AdminKoch\Anwendungsdaten\u5hr46sirtijyrt5.exe) - C:\Dokumente und Einstellungen\AdminKoch\Anwendungsdaten\u5hr46sirtijyrt5.exe (Holbrook Judas )
O20 - HKU\AdminKoch_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\AdminKoch\Anwendungsdaten\u5hr46sirtijyrt5.exe) - C:\Dokumente und Einstellungen\AdminKoch\Anwendungsdaten\u5hr46sirtijyrt5.exe (Holbrook Judas )
O20 - HKU\koch_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\koch\anwendungsdaten\u5hr46sirtijyrt5.exe) - C:\Dokumente und Einstellungen\koch\Anwendungsdaten\u5hr46sirtijyrt5.exe (Holbrook Judas )
[2011/11/25 08:16:25 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\Dokumente und Einstellungen\AdminKoch\Anwendungsdaten\dwlGina3.dll
[2011/11/25 04:57:38 | 000,319,488 | ---- | C] (Holbrook Judas ) -- C:\Dokumente und Einstellungen\koch\anwendungsdaten\u5hr46sirtijyrt5.exe
[2011/11/25 04:57:38 | 000,319,488 | ---- | C] (Holbrook Judas ) -- C:\Dokumente und Einstellungen\AdminKoch\Anwendungsdaten\sx5u7frt55.exe
[2011/11/25 04:57:38 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\Dokumente und Einstellungen\koch\anwendungsdaten\dwlGina3.dll
[2011/11/25 04:57:15 | 000,319,488 | ---- | C] (Holbrook Judas ) -- C:\Dokumente und Einstellungen\koch\anwendungsdaten\sx5u7frt55.exe

:Files
C:\Dokumente und Einstellungen\koch\Anwendungsdaten\sx5u7frt55.exe
C:\Dokumente und Einstellungen\koch\Anwendungsdaten\u5hr46sirtijyrt5.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

falls alles geklappt hatt, weiter hiermit:
öffne arbeitsplatz , öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

Hallo Helfer,

der vorgeschlagene Versuch war erst im zweiten Anlauf erfolgreich.
Wenn ich die Datei fix.txt mittels "run fix" lade, ist der Button nicht mehr aktivierbar. Das Hineinkopieren hatte dann funktioniert. Es kommt die Meldung, dass das System einen Restart benötigt, jedoch nach dem Anklicken des Buttons "restart now" passiert leider nichts mehr. OTLPE bleibt noch aktiv und der Reboot wird nicht ausgeführt. --> Manueller Neustart.
Beim ersten Mal hatte ich mich als lokaler Administrator angemeldet mit dem Ergebnis, dass die Blockierung noch aktiv war. Erst als ich alles noch einmal durchgeführt hatte (mit manuellem Neustart natürlich) und der Anmeldung als weiterer Nutzer allerdings ebenfalls mit lokalen Admin-Rechten, hatte ich wieder Zugriff auf das Betriebssystem.
Das aktuelle Erscheinungsbild ist, dass keine Icons mehr auf dem Desktop zu sehen sind. Da ich mir nicht sicher bin, ob ich nun schon normal weiterarbeiten kann, frage ich lieber noch einmal nach. Das gezippte Verzeichnis habe ich euch schon hochgeladen.
Was sollte ich nun weiter tun, um das nach meinem Gefühl fragile System wieder stabil hinzubekommen? Sollte nicht der installierte Vierenscaner, der firmenseitig immer auf dem Laufenden gehalten wird, den Trojaner finden?

Über einen weiteren Hinweis bin ich dankbar und verbleibe

mit freundlichen Grüßen
Thomas K.

danke für den upload.
führe mal folgendes aus:
1. taskmanager öffnen, anwendungen, neuer task,
explorer.exe
enter
icons sollten zu sehen sein
dann:
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hallo allerseits,

vielen Dank noch einmal für die Hilfe.
Ich bin mir nur noch nicht ganz sicher, ob schon wieder alles gut ist. Leider musste ich den Recher den firmeninternen Administratoren übergeben. Sie haben einiges angestellt und waren sich sicher, dass alles wieder geht.
Die Icons waren aber noch nicht zu sehen. Ich konnte sie aber mittels rechtem Mausklick und unter "Symbole anordnen nach -> Desktopsymbole anzeigen wieder reaktivieren. Die Variante mit dem Taskmanager hat leider nicht funktioniert. Es könnte aber daran gelegen haben, dass ich nicht als Admin angemeldet war.?
Da der Rechner nicht mehr denursprünglichen Stand hat und evtl. die interessanten Bereiche gelöscht sind, stellt sich mir die Frage, ob ich das Programm "ComboFix" noch ausführen soll. Entsprechende Hinweise warnen vor unkontrolliertem Gebrauch.

Gibt es noch einen Test, den ich durchführen sollte, um sicher zu sein?

Vielen Dank im Voraus und mit freundlichen Grüßen
Thomas K.

wenn das ein firmen pc ist, und dort wichtige daten verwaltet werden, kundenbezogenes, rechnungen, irgendwas anderes was anderen nützen könnten dann wäre vllt auch ein neu aufsetzen das beste.

An die Helfer,

vielen Dank noch einmal für die Unterstützugn bei der Behebung des Trojaner-Problems. Den letzten Hinweis werde ich beherzigen und den Rechner so bald wie möglich neu aufsetzen lassen.
Wenn der Test mit dem Programm "ComboFix" nicht mehr notwendig ist und sich auch in der letzten Woche keine neuen Probleme gleicher Art gezeigt haben, gehe ich davon aus, dass die Rechnerfunkktionalität wieder hergestellt ist.
Was ist mit dem Thema zu tun? Sollte ich dieses schließen oder genügt es, keine weiteren Anfragen bzw. Mitteilungen zu verfassen?

Also, habt Dank für alles und bleibt am Ball.

Mit freunldichen Grüßen
Thomas Koch

einfach nichts mehr reinschreiben genügt :-)
ja wenn der rechner läuft dann passt das, das formatieren wäre halt sicherheitshalber, da man für sensible daten halt ein vertrauenswürdiges system benötigt