Hallo liebe Leute vom Trojaner-Board,

nun hat es mich und meinen PC verrissen. Er lief bis gerade eben noch einwandfrei (letzter Neustart war am Freitag - sonst nutze ich immer den Ruhezustand), nun nach einem Neustart des PCs kam die mittlerweile bekannte Meldung "Windows wurde aus Sicherheitsgründen blockiert" mit dem freundlichen Hinweis 50 Euro zu bezahlen. Windows fährt erstmal normal hoch, es wird auch alles geladen, dann verschwindet mein Desktop (nur der Hintergrund bleibt sichtbar) und die Meldung erscheint. Das der Desktop sichtbar bleibt weiß ich daher, da ich ein 2 Monitorsystem benutze - links ist die Blockiermeldung, rechts mein Desktop. Taskmanager lässt sich nicht aufrufen und auch kein anderes Programm starten. Runterfahren des PCs geht somit nur noch über die Betätigung des Ausschalters am Gehöuse.
Die entsprechenden Threads habe ich hier bereits gelesen und dementsprechend auch schon den OTL laufen lassen im abgesicherten Modus von Windows, Logfiles stehen also parat :-)
Ich nutze Windows XP Professional 32-bit SP 3, Virenscanner ist Avira 10, auf dem neuesten Stand (heute kam erst die Meldung, dass keine Updates verfügbar wären), XP Anti-spy läuft ebenfalls, Browser ist Mozilla Firefox 3.6.
Vielleicht kann mir hier jemand weiterhelfen und ich bin im Voraus schon sehr dankbar für die Hilfe, damit ich mich bald wieder an meine Arbeit schmeißen kann.

Vielen Dank und viele Grüße
MB-W108

Hi,

poste die OTL-Logs vom verseuchten Konto...

OTL downloaden und auf einen USB-Stick kopieren, dann den Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken).
Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten...

chris

Hallo Chris,

erstmal herzlichen Dank dafür, dass Du Dich meines Problems annimmst und mir helfen möchtest - denn ich verzweifle hier halb :-(

Im Anhang findest Du die Dateien OTL und die Extras, hab ich eben gerade frisch ausgelesen. Hoffentlich kannst Du da was erkennen, denn obwohl ich mich mit PCs auskenne sehe ich dort nur Dinge von denen ich beileibe nix verstehe.

Nochmals vielen Dank und viele Grüße
MB-W108

Hi,

Fix für OTL (Ucash)
Script auf CD oder USB-Stick kopieren, OTL starten und wie folgt vorgehen...
(abgesicherter Modus mit Eingabeaufforderung OTL starten dann notepad aufrufen, Script laden und Inhalt der Codebox wie u. beschrieben in OTL kopieren)

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL

SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [firefox.exe] C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\firefox.exe ()

:Commands
[emptytemp]
[EMPTYFLASH]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Dateien Online überprüfen lassen

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\vsnct511.exe
C:\WINDOWS\Installer\{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}\Icon3E5562ED7.ico
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Hallo chris,

erstmal nochmals VIELEN HERZLICHEN DANK für Deine Hilfe. Ich habe alle Schritte bei mir auf dem PC ausgeführt und hänge die Logs vom OTL, virustotal und dem MAM hinten an. Habe das Skript von Dir verwendet und danach MAM laufen lassen und alle gefundenen Sachen entfernen lassen.
Ich hoffe ich habe alles richtig gemacht.

Viele Grüße und nochmals vielen Dank!
MB-W108

Hi,

Computer->rechts anklicken->Eingenschaften->Computerschutz->Alle Häkchen an den Festplatten entfernen->Übernehmen->Ok & neue Booten;
Dann das gleiche nur diesmal für das Laufwerk auf dem Windows liegt anhaken->Übernehmen->Erstellen und den Anweisungen folgen

BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Hallo Chris,

sooo ich hab nun alles gemacht wie in der Anleitung und anbei kommt der Report des TDSS - ohne Befund - so wurde es mir zumindest angezeigt. Geh ich recht in der Annahme, dass das Martyrium damit überstanden ist?

Viele Grüße und nochmals Danke!!!!
MB-W108

Hi,

ja, sieht gut aus.
Wenn der Rechner sich normal verhält, sollte es das gewesen sein...

chris

Hallo Chris,

ich kann es kaum fassen wie einfach das ging danke Deiner Hilfe. Für diese will ich mich nochmals bei Dir bedanken, ganz herzlich denn Du weißt selbst wieviel Arbeit Du mir erspart hast und wie viele Sorgen Du mir auch - gerade wegen meiner Daten - genommen hast.
Ich wünsche Dir ein frohes und entspannendes Weihnachtsfest und einen guten Rutsch ins neue Jahr!

Viele dankende Grüße
MB-W108