Hallo an alle,
ich habe mir gestern fantastischerweise diesen Bundeskriminalamt-Virus eingefangen . Seitdem läuft hier nichts mehr so wie es soll. Direkt nach dem Hochfahren poppt eine Seite mit dem allseits bekannten Bild und Logos vom BKA auf. Der Taskmanager lässt sich nicht starten, der Antivirus-Guard (Regenschirm) ist auch nicht in der Taskleiste zu finden. Wenn ich einen kompletten Systemscan starte, gibt es kein Luke Filewalker-Fenster, obwohl mein Leppi rechnet ohne Ende. Spybot hat ein bischen Malware gelöscht, aber das Problem besteht immer noch.
Ich habe alle wichtigen Dateien auch auf einer externen Festplatte. Wenn ich den Leppi plattmachen müsste, wäre das total ärgerlich, aber durchaus noch zu verkraften (wäre nicht das erste Mal). Aber vielleicht könnt ihr mir den Zirkus ersparen?

Achja, ich habe Windows XP Professional 2002, ServicePack 3. Mein Leppi ist uralt, keine Ahnung ob 64 oder 32 Bit. Wo steht das? Ich habe ihn partitioniert (Laufwerk C und D). Ich hoffe, dass zumindest D: gerettet werden kann.

Danke schonmal im Voraus.

Leeloo

hi,
schaun wir mal :-)
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hey,
ich denke, ich könnte das mit meinem (infizierten) Leppi brennen. Oder verändert der Virus auch diese Dateien?

ich denke du kannst mit dem gerät nicht mehr arbeiten?
falls doch benötigen wir die otl cd gar nicht und können wie folgt weiter machen
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Oh man, sorry, irgendwie bringt einen der Link auf das falsche Programm. Hab jetzt endlich odt.exe und auch Fenster, die wie hier aussehenhttp://www.trojaner-board.de/85104-o...oldtimer.html. So, Log kommt hoffentlich gleich.

Ach und sorry, hatte mich offenbar nich so klar ausgedrückt. Irgendwie geht der Leppi schon, aber nich so richtig wie er soll. Muss meistens mehrmals reseten und kann eben verschiedene wichtige Programme nicht nutzen (wie eben der Taskmanager, Antivirus etc.). Aber ich komm noch ins Netz, kann auch drucken oder Word benutzen. Wenigstens was

Hey, soo und hier die Logs. Ich hoffe, du wirst daraus schlauer.

hi versuch mal folgendes, dieses programm laden, und auf nen stick kopieren:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

starte dann neu, drücke f8 und wähle abgesicherter modus mit eingabeaufforderung (stick angesteckt lassen)
tippe dort:
d:\combofix.exe
enter
falls das nicht klappt:
e:\combofix.exe
usw
bis du das richtige laufwerk hast.
dann, falls ne meldung über aktives antimalware programm erscheint, auf ok klicken.
wenn das programm fertig ist, in den normalen modus gehen, sollte wieder laufen, und log posten

Hey,
sooo, also, folgende Probleme treten auf:
Wenn ich im abgesichterten Modus bin, fragt er mich erstmal, von welchem Konto ich starten möchte ("Administrator" oder "Ich"). Allerdings besitze ich auf meinem Leppi nur ein Konto, nämlich "Ich", und das IST das Admin-Konto. Entsprechend verunsichert bin ich, von welchem Konto aus ich das Combofix starten soll. Ist vielleicht nur mein Ich-Konto infiziert oder beide und es wird aber nur ein Konto "bereinigt"?
Problem zwei: wenn ich im abgesicherten Modus das Combofix starte, will der natürlich die Wiederherstellungskonsole installieren (wie in der Hilfe beschrieben)

Zitat:

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Allerdings kriegt der im abgesicherten Modus keine Internetverbindung, obwohl das beim runterfahren alles noch ging. Liegts am Modus? Im übrigen ist es etwas verwirrend geschrieben. Soll ich, wie Du sagst, im abgesicherten Modus arbeiten, oder wie es bei der Hilfe klingt, in meinem ganz normalen Windows-Modus?

ne im abgesicherten modus, und lasse die konsole weg.

Hey Markus, hier der log, ohne konsole, unter dem Adminkonto (interessanterweise hatte das jedesmal nen anderen Namen - habs ja heute mehrfach probiert). Der Log wurde nicht auf dem Desktop gespeichert. Musste erst etwas suchen.
Bisher sehe ich noch keine Veränderung, wie andere Forumuser berichteten. Habe immernoch den Virus-Desktop über meinem eigenen Desktop, den ich dann nur ganz kurz beim hoch- und runterfahren sehe.

hi
von desktop stand da ja auch nichts.
versuch mal folgendes:

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hey,

das Programm hatte ich gestern schonmal durchlaufen lassen, nachdem das bei euch auch vielen anderen Usern empfohlen wurde. Das ist der Log davon. Er hatte vier Sachen gefunden und auch gelöscht. Seitdem habe ich meinen normalen Desktop wieder, auch Avira und der Taskmanager gehen wieder. Juhuu! Avira hat sogar schon erfolgreich zwei weitere Trojaner entdeckt. Soweit so gut.
Allerdings habe ich auf wundersame Weise bei C:\Dokumente und Einstellungen\ jetzt plötzlich fünf der sonst üblichen zwei Ornder (nämlich: "Ich", "All Users" (das sind die normalen), dann "Administrator", "Administrator.PETER-SILIE" und "Administrator.PETER-SILIE.000"). Ich frage mich, wo die letzten drei herkommen, von mir jedenfalls nicht. Liegt das daran, dass ich mehrfach (nämlich 4 mal) in den abgesichteren Modus rein bin? Da hatte er ja schon jedesmal einen neuen dieser Ordner angewählt. Oder ist das vom BKA-Virus und sollte dringend entfernt werden?
Und, die Frage aller Fragen: bin ich damit jetzt virenfrei?
Hast du einen Tipp zwecks optimierter Sicherheitseinstellungen? Avira und Spybot mit wöchentlichem Scan nebst Update reichen offenbar nicht aus.

Tausend Dank für deine Hilfe!!!

öffne mal avira, berichte, poste die berichte mit den funden.
falls es guard meldungen waren, avira, ereignisse, fundmeldungen posten.
die nutzerordner sind normal so.

Hm, das is ja interessant. 3 gefunden, aber nur zwei gelöscht. Hmmhmmhmmm. Sehr eigenartig.