Hallo !

Ich habe den Bundespolizei Trojaner drauf. Das heißt beim surven im Netz kam Plötzlich diese Warnmeldung von wegen kinderpornographischen Inhalten und dass meine IP gesperrt wurde. Ich habe den Rechner vor Schreck einfach neu gestartet und es schien auch alles normal bis ich dann mein Profil betreten wollte. Auch das hat die ersten Sekunden normal geladen doch dann öffnete sich auf einmal von selber der Eigene Dateien Ordner und wenn ich den schließe kommt der Bildschirm ohne Startleiste und Symbole...

Merkwürdig ist, dass das andere benutzerprofil auf diesem PC noch normal funktioniert ohne Einschränkungen oder Probleme. Ich habe mich im Internet ein wenig nach dem Thema umgesehen und den Rat einer Seite gefolgt in dem ich diesen Pfad gegangen bin:

-> Abgesicherter Modus mit Eingabeaufforderung...
-> "regedit" eingeben
-> Hkey_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS NT/Current Version/Winlogon -> Shell

Dort war aber die ganz normale explorer.exe ???

Wie kann ich herausfinden welchen der BKA-Viren ich drauf habe und wie beseitige ich diesen dann ?

Vielen Dank schonmal im Vorraus
Gruß

Hi,

OTL
Boote (das verseuchte Konto!) in den abgesicherten Modus mit Netzwerkunterstützung (F8 beim Booten).
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Ich kann aber dann nur einen Scan von meinem zweiten Konto machen weil ich in dem infizierten ja gar nichts machen kann ?

Hi,

hast Du versucht in den abgesicherten Modus zu kommen (beim Booten die F8 drücken und dann "abgesicherter Modus mit Netzwerkunterstüzung")?

Falls das nicht geht in den abgesicherten Modus mit Eingabeaufforderung booten und vorher OTL downloaden und auf einen USB-Stick kopieren, dann den verseuchten Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken, verseuchtes Konto).
Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten...
Wichtig:Du musst mit dem verseuchten Konto booten!

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

Wenn das nicht geht:
System mit OTL-PE scannen

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.
Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hierInstallation: Wie boote ich Windows von der CD?.
Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.

Wenn das auch nicht geht, poste ein OTL-Log von einem nicht verseuchten Konto und setzte das Häkchen bei "Scanne alle Benutzer"... (rechts neben dem Button "Quick Scan"...

chris

Bei mir ist nur die OTL.TXT Datei rausgekommen ?

Hier die Extras.txt Datei

die OTL.txt ist zu groß um sie hier im Forum hochzuladen....
Hier der Link zum Dateidownload

hxxp://www.file-upload.net/download-4178066/OTL.Txt.html

Hi,

mit der alleine kann ich wenig anfangen, packe die Datei (zip) und hänge sie an..

chris

Habe die Datei unter dem angegebenen Link hochgeladen wie man in .zip Dateien verpackt weiss ich leider nciht

Ok habe es jetzt als zip

Hi,

habe die Schweinebacke...

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKLM\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\URLSearchHook: {32b29df0-2237-4370-9a29-37cebb730e9b} - No CLSID value found
IE - HKCU\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [ffdwnd] C:\Users\Robert Fischer\AppData\Local\Mozilla\Firefox\firefox.exe (Tomasz Pawlak)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2012.03.08 19:38:33 | 000,000,000 | ---D | C] -- C:\f0495f22a991fa76d8
[2012.03.07 18:38:15 | 000,001,069 | ---- | M] () -- C:\Users\Robert Fischer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.7464783472641623.exe.lnk
[2012.03.07 18:38:15 | 000,001,069 | ---- | C] () -- C:\Users\Robert Fischer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.7464783472641623.exe.lnk
@Alternate Data Stream - 229 bytes -> C:\ProgramData\TEMP:8FF81EB0
@Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:D3B89BF7
@Alternate Data Stream - 145 bytes -> C:\ProgramData\TEMP:C97C8631
@Alternate Data Stream - 145 bytes -> C:\ProgramData\TEMP:B09C1594
@Alternate Data Stream - 139 bytes -> C:\ProgramData\TEMP:D73C9AB3
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:DFC5A2B2

:Commands
[purity]
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitu
ng&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Auch wieder mit abgesichtertem Modus und Eingabeaufforderung ? Wie mach ich dass denn dann mit "Als Administrator ausführen" in dem Modus ?

Hi,

der verseuchte Benutzer hat keine Adminrechte?
Einfach probieren (lt. OTL: Logged in as Administrator.)...

Sonst: runas Runas

chris

Super hat Funktioniert !!!!!!!! Vielen Dank !

Was muss ich jetzt noch machen oder beachten ?

Hi,

MAM installieren, updaten und Fullscan, Log posten...

chris

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.10.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421


11.03.2012 18:33:13
mbam-log-2012-03-11 (18-33-13).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 591801
Laufzeit: 2 Stunde(n), 17 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)