Hi,
auch ich habe mir die Malware des Bundestrojaner eingefangen ("Ihr PC wurde für illegale Aktivitäten verwendet... bezahlen Sie 100€ damit er wieder freigeschaltet wird").
Nachdem der PC "gesperrt" war konnte ich nach einem Neustart in den abgesicherten Modus von Windows. Hier habe ich aus dem Autostart eine .exe Datei gelöscht, die dort von der Malware installiert wurde.
Nun ist mir ein normaler Zugriff auf Windows möglich, aber komplett weg ist die Malware natürlich nicht.
Den Taskmanager bekomme ich z.B. nicht geöffnet, nach STR+ALT+ENTF ist er "ausgegraut".
Regedit Zugriff ist möglich.

Meine Frage nun, ob ich hier um ein Neuaufsetzen des Betriebssystem rumkomme.

Gruß + Vielen Dank für die Mühe
Sebastian

System: Windows XP (aktuellsten Patches drauf)

Hi,

versuche OTL laufen zu lassen, geht das nicht bitte im abgesicherten Modus mit Eingabeaufforderung booten (F8 beim Booten drücken)...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

chris

Vielen Dank für die Antwort.
OTL ließ sich in Windows ohne Probleme ausführen.
Anbei die Dateien

Hi,


Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O33 - MountPoints2\{d410b936-2f52-11df-a479-0018deca9496}\Shell - "" = AutoRun
O33 - MountPoints2\{d410b936-2f52-11df-a479-0018deca9496}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d410b936-2f52-11df-a479-0018deca9496}\Shell\AutoRun\command - "" = D:\autorun.exe
O33 - MountPoints2\{dcaea50e-b782-11df-a60a-0018deca9496}\Shell - "" = AutoRun
O33 - MountPoints2\{dcaea50e-b782-11df-a60a-0018deca9496}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{dcaea50e-b782-11df-a60a-0018deca9496}\Shell\AutoRun\command - "" = D:\setup.exe
:Commands
[emptytemp]
[EMPTYFLASH]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Hallo,
beide Programme ausgeführt.
Zugriff auf Taskmanager ist wieder möglich.
Für mich jetzt keine direkten Auswirkungen mehr sichtbar!

Anbei die Logs

Hik,

nur zur Sicherheit noch...

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Hallo Chris,
TDSSKILLER ausgeführt wie beschrieben, es wird ein Objekt gefunden, siehe Anhang.
(Kurze selbstrecherche meinerseites hat ergeben, dass es etwas mit dem von mir installiertem Daemon-Tools zu tun haben könnte)

Gruß
Sebastian

Hi,

ja, gehört normalerweise zu Daemon-Tools...
Falls nicht benötigt:

SPTD.SYS entfernen
Normalerweise gehört die Datei sptd.sys zu Daemontools bzw. Alcohol180, wird aber bei deren deinstallation nicht mit entfernt, daher:
Zur vollautomatischen Deinstallation von SPTD.SYS kannst Du ein SPTD Entfernungstool (DuplexSecure - Downloads) nutzen.
Beachte die unterschiedlichen Versionen für 32bit und 64bit Systeme.
Starte die Datei und wählen Uninstall aus. Anschließend neu booten. Eventuell muss dann Nero neu installiert bzw. repariert werden.

Sonst sieht es gut aus...

chris

Perfekt.
Chris ich Danke dir vielmals für die kompetente und freundliche Unterstüzung bei meinem Problem!



Gruß + schönes Fest und Feiertage
Sebastian