Hallo zusammen,
ich habe den Trojaner der Bundespolizei erwischt. Ich habe in anderen Foren gelesen, was man machen muss. Leider andere Versuchen haben nichts gebraucht.

Drei versuche habe ich gemacht. In allen Fällen habe ich das System im abgesicherten Modus gestartet.
Erster versuch. Gefunden in: hxxp://www.redirect301.de/bundespolizei-trojaner-entfernen.html
1. Den Befehl regedit eingeben und [Enter] drücken
2. Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
3. Hier muss man sich durch das Verzeichnis klicken. Ziel der “Reise” ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
4. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der Wert dieses Schlüssels ist der Pfad zum Trojaner z.B. C:\verzeichnis\zur\jashla.exe. Dieses Pfad unbedingt notieren, hier muss später die Datei noch gelöscht werden.
5. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen.
Leider habe ich in diesem Fall schon Explorer.exe gefunden. Also dieses System kann nicht funktionieren.

Zweiter Versuch: Ich habe in Chip.de - hxxp://www.chip.de/news/Bundespolizei-Virus-entfernen-So-werden-Sie-ihn-wieder-los_50761972.html - diese Anweisung gefunden, die nicht funktioniert hat.

Der Trojaner verbirgt sich in den folgenden Schlüsseln:


• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Diese Ordner sollten Sie auf verdächtige EXE-Dateien mit zufälligen Namen durchforsten (zum Beispiel "jashla.exe") und die Dateien löschen. Anschließend starten Sie Ihren PC neu. Haben Sie Zugriff auf einen zweiten Rechner, greifen Sie alternativ zu einem Rettungs-System. Wir empfehlen die DE-Cleaner von Norton oder AntiVir.

Ich habe nichts gefunden, weder ein jashla.exe noch was anderes. Ich habe die Files gegooglt und kamm immer raus, dass sie Teile von Programme sind.


Dritter versuch: srep.exe. Ich konnte srep.exe starten aber es hat kein Ergebnis gebracht.

Kann mir jemand helfen? Ich wäre wirklich sehr dankbar. Ich bin kein großer Expert und habe angst was falsches zu machen.

Ich wünsche Euch einen schönen Tag. Vielen Dank im Voraus.

Nick.

Starte im abgesicherten Modus mit Netzwerktreibern, dort routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Führ danach auch ESET aus, dann sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,
ich bin erst morgen Abend vor meinem Laptop. Ich werde morgen alles erledigen, wass Du geschrieben hast.

Ich habe Windows 7 - 32 Bit.

Bis morgen,

N

Hallo Arne,

es hat länger gedauert als ich gedacht habe.

Kannst Du mir weiterhelfen? ich habe gemacht was du gesagt hast.

Vielen Dank

Nicola

Zitat:

-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Hallo Arne,

ich habe es nicht gemacht. Ich tue es heute Abend, wenn ich es finde. Muss ich den Scan mit Malwarebytes noch mal machen, oder reicht es wenn ich es aufmache und die Funde entferne?

Ist danach der Trojaner weg oder musste ich noch was tun?

Ciao und danke.

Nicola

Nein wir sind nicht danach durch. Entfern einfach durch die Funde und poste das Log dann gehts wieter.

Hallo Arne,

ich habe nun die Funde mit Malwarebytes entfernt und noch mal einen Scan mit Eset On line Scanner. Allerdings habe ich heute festgestellt, dass ich gestern "bei Remove Found Threats" ein Hacken gesetzt gab.

Ich habe heute nichts gefunden, und hoffe, dass es kein großes Problem ist.

Ich warte auf weitere Hinweise.

Vielen Dank noch einmal für die Unterstützung.

Ciao,

Nicola

mach bitte ein neues OTL-Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne,

ich habe den Scan Test mit OTL gemacht und die ergebnisse hier unten gespeichert.

Danach habe ich den kompletten Inhalt aus der Codebox in die Textbox von OTL hinzugefügt und Quickscan gestartet.

Anbei auch die Ergebnisse des Scantest.

Was soll ich noch machen? Vielen Dank noch mal für die Mühe!

Ciao und schönes Wochenende

Nicola

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultenginename: "Yahoo! Search"
FF - prefs.js..browser.search.selectedEngine: "Yahoo! Search"
FF - prefs.js..browser.startup.homepage: "http://www.theprizeday.com/today.php|http://www.corriere.it/"
FF - prefs.js..keyword.URL: "http://de.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_de&p="
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{32b84475-4f7c-11df-9bfb-00163655368b}\Shell - "" = AutoRun
O33 - MountPoints2\{32b84475-4f7c-11df-9bfb-00163655368b}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
O33 - MountPoints2\{97469919-b34d-11df-9be1-00163655368b}\Shell - "" = AutoRun
O33 - MountPoints2\{97469919-b34d-11df-9be1-00163655368b}\Shell\AutoRun\command - "" = E:\starter.exe
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

ich habe alles gemacht. Ich kann die Datei mit dem Ergebinis nicht hochladen.

Ich kompiere es hier:

All processes killed
========== OTL ==========
Prefs.js: "Yahoo! Search" removed from browser.search.defaultenginename
Prefs.js: "Yahoo! Search" removed from browser.search.selectedEngine
Prefs.js: "hxxp://www.theprizeday.com/today.php|hxxp://www.corriere.it/" removed from browser.startup.homepage
Prefs.js: "hxxp://de.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_de&p=" removed from keyword.URL
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\autoexec.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{32b84475-4f7c-11df-9bfb-00163655368b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32b84475-4f7c-11df-9bfb-00163655368b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{32b84475-4f7c-11df-9bfb-00163655368b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32b84475-4f7c-11df-9bfb-00163655368b}\ not found.
File E:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97469919-b34d-11df-9be1-00163655368b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{97469919-b34d-11df-9be1-00163655368b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{97469919-b34d-11df-9be1-00163655368b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{97469919-b34d-11df-9be1-00163655368b}\ not found.
File E:\starter.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Nico
->Temp folder emptied: 329792 bytes
->Temporary Internet Files folder emptied: 5433113 bytes
->Java cache emptied: 1 bytes
->FireFox cache emptied: 92601825 bytes
->Flash cache emptied: 482 bytes

User: Public




Ist jetzt alles ok? Was soll ich noch tun? Fehlt noch etwas?

Ich hätte nicht gedacht, dass ein Trojaner so viel Misst machen kann.

Ciao,

Nicola

Bitte nun (im normalen Modus!) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Hallo Arne,

ich habe einen Fehler gemacht. Ich habe die Funde von Karspersky doch gelöscht.

Was soll ich jetzt machen?

Ich hatt nur eine Sache gefunden.

Danke für die Hilfe und sag einfach wie ich mich bedanken kann.

Ciao

Nicola

Log posten, liegt direkt auf C: