Hallo liebes Team,

bitte helft mir weiter. Ich habe auch diese Meldung: Das Betriebssystem wurde im Zusammenhang.....Bundespolizei und 100€ soll ich per Ucash bezahlen, direkt mit Eingabemöglichkeit für die Bezahlung.

Betriebssystem = WinXP SP3,
Sicherheitssoftware: Avira Free Antivirus

Ich habe im Internet schon danach gesucht, bin auf einige Lösungsansätze gestoßen, welche aber nicht geholfen haben. Bei der Gelegenheit bin ich auch auf euch gestoßen.

Folgendes habe ich bereits probiert:

WIN Abgesicherter Modus läuft.

1.Versuch: Gemäß einem Tip habe ich Avira-DE-Cleaner mit einem anderen Rechner auf einen USB Stick kopiert. Dann an dem befallenen Rechner im Abgesicherten Modus vom USB Stick Avira-DE-Cleaner ausgeführt. Er hat die ganze Nacht gescant, leider nichts gefunden.

2.Versuch: Abgesicherter Modus - regedit. Hier habe ich den Shell Befehl gesucht. Auch hier steht leider ganz normal: explorer.exe

3.Versuch: Ich habe ccleaner.exe portable vom USB Stick im abgesicherten Modus drüber laufen lassen. Er hat zwar einiges bereinigt, jedoch das Problem ist leider nicht behoben.

Ergebnis: Nach den zuvor beschrieben Maßnahmen habe ich den Rechner normal gestartet. Nun kommt nicht mehr direkt dieses Bild der Bundespolizei sondern der Rechner versucht ins Internet zu gehen, was ihm aber nicht gelingt da ich das Netzkabel entfernt habe.
Nach wie vor komme ich an keinen Befehl, Task Manager geht nicht. Ich bin am verzweifeln . Bitte, bitte helft mir weiter.

hi,
dann versuchen wir erst mal otl, die logs bzw das programm musst du dann halt auf nen stick kopieren.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo,

ich bin deinen Anweisungen gefolgt, und habe die OTL.exe auf den USB Stick kopiert und dann in den befallenen Rechner gesteckt und dort im abgesichertem Modus den Scan durchgeführt.

Im Anhang findest du die Dateien welche dabei erstellt wurden.

Noch ein Hinweis: Zuvor hatte ich einen Scan mit PestPatrol durchgeführt wobei eine mir suspekte Datei (da komischer Dateiname) angezeigt wurde. Die Datei befindet sich in WINDOWS\System32\mshta.exe.mui

Ist das eine "normale" Datei?

Ich bin sehr gespannt wie du mir weiter helfen kannst. Schon mal größten Dank im Vorraus.

hi
die datei ist normal, ab sofort bitte nur noch die von mir genannten scans ausführen, danke
zeigt leider den trojaner nicht an, versuchen wirs mal so:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hallo,

hier sende ich nun die gewünschte ComboFix Datei. Die Wiederherstellungskonsole wurde nicht über ComboFix installiert, wohl weil im Abgesicherten Modus das Internet nicht funktioniert.

Ich habe in der Log Datei wie empfohlen meinen Namen mit **** ersetzt.

In der Log Datei steht etwas von ERDNT. Ich hatte dieses Programm installiert und habe das letzte mal Anfang Januar damit gesichert (sollte dies eventuell von Nutzen sein).

Ein weitere Ansatz währ wie in folgendem Artikel beschrieben das die explorer.exe verseucht wurde. Ich habe einen Link zu dem Artikel eingesetzt (ich hoffe das dies nicht unerwünscht ist):

hxxp://www.deletevirus.net/das-betriebssystem-wurde-im-zusammenhang-mit-verstosen-gegen-die-gesetze-der-bundesrepublik-deutschland-gesperrt-virus/

Danke im Vorraus für deine Hilfe.

Hallo noch mal,

ich habe gerade festgestellt, das es möglich währe im Abgesicherten Modus einen Wiederherstellungspunkt von vergangenem Freitag anzusteuern. Dies währe optimal. Hat dies Aussicht auf Erfolg?? Soll ich dies probieren?

(Ist etwas verwirrend, da ComboFix ja keine Wiederherstellung gefunden hat und aus dem Netz laden wollte. Fakt ist aber das WINDOWS XP im Abgesicherten mir die Systemherstellung anbietet).

Viele Grüße

Andreas

EDDIT: Ich habe es einfach getan. Nach dem Start der Wiederherstellungskonsole wurde das "Normale" Windows wieder gestatret. Ich habe sofort den taskmanager geöffnet um zu sehen welche Programme aktiv sind.
Ich weiß jetzt nicht, worauf soll ich achten? Ich traue mich auch nicht das Internet einzustecken. Auch einen Neustart traue ich nicht. Kannst du mir bitte raten, was ich als nächsten Schritt tun sollte?

Vielen Dank im Vorraus.

hi, warte bitte einfach mal ab, bis du drann bist :-)
müssen es doch noch mal anders probieren.
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hallo,

zunächst mal vielen Dank bis hier her. Dann möchte ich berichten das ich in der Zwischenzeit einen Erfolg hatte. Also ich habe unter "Abgesichertem Modus" mit der Wiederherstellungskonsole einen Wiederherstellungspunkt von letztem Freitag angesteuert. Und was soll ich sagen, es geht.
Er startet wieder das normale Windows, das Internet funktioniert wieder wie gewohnt.
Was bleibt ist die Frage: Ist der gesamte Mist runter oder versteckt sich noch irgendwo etwas.
Ich denke du kannst auch dazu anhand der OTL.TXT etwas sagen. Ich würde mich sehr freuen. Ich habe wieder wie von euch empfohlen meinen Namen durch **** ersetzt.
Nochmals vielen lieben Dank.

wieso hast du ne systemwiederherstellung gemacht, wie soll ich dann vernünftig erkennen was auf dem pc los ist
und vor allem habe ich doch deutlich gesagt das du abwarten sollst und schon was geschrieben.
also, entweder du willst hier hilfe, dann mach das was hier steht, oder wir lassen es.
ich habe weder zeit noch lust zeug hier rein zu schreiben, was vollkommen umsonst ist, da sowieso irgendwas anderes gemacht wird.
im normalen modus:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hallo markus

sorry erst mal, ich wollte dich auf keinen Fall verärgern. Ich hatte mich halt nur sehr gefreut.
Hier ist nun die gefragte log Datei welche von ComboFix erstellt wurde. Bitte sag mir ob der Virus noch da ist und was ich tun kann. Vielen Dank an Dich.

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo Markus,

der Scanner ist soeben nach über 10 Stunden fertig geworden. Er hat 2 infizierte Dateien gefunden und gelöscht.
Ich habe die Log.Datei wie gewünscht angehangen.
Kannst du mir sagen was das für Trojaner waren und vor allem was die gemacht haben?

Bis dann viele Grüße

Andreas

Hallo Markus,

ich habe eben noch was wichtiges vergessen. Da ich noch was hochladen möchte, mache ich einen neuen Post auf.

Während Malwarebytes lief, lief gleichzeitig Avira (es stand nirgends das Malwarebytes allein laufen muss). Avira hat während Malwarebytes lief auch etwas gefunden. Ich habe dir den dazu gehörigen Logfile an diesen Post angehangen.
Kannst du mir zu diesem Fund bitte auch etwas erklären, vor allem der Fundort macht mich unruhig.

Es sei noch dazu gesagt, das ich diesen Scan von Avira NICHT manuell gestartet habe. Der Echtzeit Scaner lief ganz normal im Hintergrund.

Noch mal viele Grüße und vielen lieben Dank bis hier her.

woher stammt diese:
F:\Installationssoftware\CD-Brennersoftware-COPY\SetupCloneCD.exe (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
datei?

Hallo markus,

die Datei ist aus dem Chip Adventskalender aus dem Jahre 2002. Ich habe dort einiges an kostenloser Software erhalten (jeden Tag in der Weihnachtszeit), jedoch keines dieser Programme jemals installiert, da ich von diesen geschenkten Programmen nichts halte.
Wie man sieht war das dann ja wohl richtig. Das kann doch aber dann nichts mit dem aktuellen Problem zu tun haben, oder?
Kann ich davon ausgehen das der Rechner wieder bereinigt ist, oder sollte ich noch weitere Scaner drüber laufen lassen?