|
Plagegeister aller Art und deren Bekämpfung: Bundespolizei Trojaner - ohne Abgesicherten Modus und kein Bios PasswortWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.03.2012, 18:51 | #1 |
| Bundespolizei Trojaner - ohne Abgesicherten Modus und kein Bios Passwort Hallo Zusammen, ich habe seit gestern Abend den Bundespolizeitrojaner auf meinem Netbook Medion E1210 mit Win XP drauf. Ich habe das Netbook vor ca. vier Jahren gebraucht gekauft und habe eigentlich nie das BIOS gebraucht, bis gestern. Leider verlangt das BIOS ein Passwort welches ich nicht habe. Ich wollte mein Netbook drauf einstellen das er von USB bootet. Da ich den Trojaner schon bei einem Freund beseitigt habe dachte ich, dass ich genauso vorgehen. Das Habe ich mit dem Freeware Programm WindowsUnlocker von Kaspersky bei meinem Freund gut hinbekommen. Er hatte einen normalen Laptop. Ich habe auch schon merhmals den Versuch gemacht mit Abgesicherten Modus zu starten, doch leider kommt dann für gefühlte mili sekunden ein Bluescreen (siehe Anhang so ähnlich nur mit anderen Zahlen) und er startet Neu. Da ich ja mit meinem Netbook nicht auf USB zugreifen kann habe ich den Laptop von meinen Eltern genommen und die Festplatten ausgetauscht. Hier habe ich den WindowsUnlocker angewendet und die Festplatte wieder in meinem Netbook eingebaut, doch der Desktop war immer noch von der "Polizei" gespert. Dann habe ich die Variante mit dem Tool von Oldtimer versucht, habe die CD erstellt und neu gestartet. Er nimmt die CD und kommt bis zum Windows Bild. Danach erscheint der Bluescreen siehe Anhang. Kann mir da jemand bitte bitte schnellstmöglichst helfen ich brauche die Daten die ich da drauf habe. Wenn ich die infizierte Festplatte in den neuen Laptop der Eltern einbaue und der von Festplatte bootet kommt auch der Bluescreen. Kann es sein das die Festplatte mit dem neuen System (Ein Windows 7 Rechner mit AMD Athlon II und 4 GB Speicher) nicht kompatibel ist. Soll ich vielleicht Windows XP nochmal aufspielen mit dem Laptop der Eltern, aber der Virus bleibt ja dann trotzdem. Hoffe mir kann jemand schnell helfen. Ich brauche meine Bachelorarbeitsdaten. Gruß henry PS: Was braucht Ihr noch für Infos Geändert von Herny168 (24.03.2012 um 19:06 Uhr) |
25.03.2012, 17:12 | #2 |
/// Malware-holic | Bundespolizei Trojaner - ohne Abgesicherten Modus und kein Bios Passwort hi,
__________________deswegen muss man ja auch backups machen. was würdest du denn bei festplatten schaden machen? wenn du die platte in das andere gerät einbaust, kommt da der bluescreen wenn du die otl cd startest?
__________________ |
25.03.2012, 18:54 | #3 |
| Bundespolizei Trojaner - ohne Abgesicherten Modus und kein Bios Passwort Hallo Markus,
__________________ja du hast ja recht. Ich speichere meine Daten immer mal sporadisch auf meiner externen Platte ab, aber die jetzigen Dateien sind leider da nicht drauf. Und bei einer Abschlussarbeit sagt man ja immer mehrmals abspeichern. Das wird mir ne lehre sein. Also der Blusscreen kam auch bei der OTL CD. Ich habe jetzt mal meine infizierte in die Hülle meiner externen Platte eingebaut und mal mit Malwarebytes und antivir durchlaufen lassen. Die Log Dateien sind angehängt, jetzt wollte ich schauen ob meine platte wieder in meinem Netbook funktioniert. Gebe dann auch Bescheid ob es funktioniert hat. Habe auch schon den Vorbesitzer meines Netbooks auswendig gemacht und angerufen aber er hatte nie das Bios Passwort geändert oder jemals eingestellt. Jetz muss ich mal Medion anrufen. Kann ich das OTL Programm auch auf der infizierte Platte über USB laufen lassen? hier der Report von Malwarebytes: Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.03.25.02 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 Walja Viktor :: WALJAVIKTOR-PC [Administrator] Schutz: Deaktiviert 25.03.2012 17:27:47 mbam-log-2012-03-25 (17-27-47).txt Art des Suchlaufs: Benutzerdefinierter Suchlauf Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P Durchsuchte Objekte: 151323 Laufzeit: 1 Stunde(n), 44 Minute(n), 7 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 8 G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Trojan.Inject) -> Erfolgreich gelöscht und in Quarantäne gestellt. G:\Dokumente und Einstellungen\Heinrich\Anwendungsdaten\gema\gema.exe (Trojan.Inject) -> Erfolgreich gelöscht und in Quarantäne gestellt. G:\Dokumente und Einstellungen\Heinrich\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt. G:\Dokumente und Einstellungen\Heinrich\Eigene Dateien\Downloads\CryptLoad_1.1.8\router\FRITZ!Box\nc.exe (PUP.Netcat) -> Erfolgreich gelöscht und in Quarantäne gestellt. G:\Dokumente und Einstellungen\Heinrich\Lokale Einstellungen\Temp\mor.exe (Trojan.Inject) -> Erfolgreich gelöscht und in Quarantäne gestellt. G:\System Volume Information\_restore{EF710D4B-86A7-4635-8138-E81D2FBEE8C6}\RP370\A0157375.EXE (Dont.Steal.Our.Software) -> Erfolgreich gelöscht und in Quarantäne gestellt. G:\System Volume Information\_restore{EF710D4B-86A7-4635-8138-E81D2FBEE8C6}\RP376\A0159830.rbf (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt. G:\WINDOWS\system32\gema.exe (Trojan.Inject) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) hier von Antivir: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 25. März 2012 19:24 Es wird nach 3591904 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 x64 Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : Walja Viktor Computername : WALJAVIKTOR-PC Versionsinformationen: BUILD.DAT : 10.2.0.707 Bytes 25.01.2012 12:53:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 17:20:04 AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 17:20:04 LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 17:20:05 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 17:20:05 AVREG.DLL : 10.3.0.9 88833 Bytes 12.07.2011 14:12:27 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 11:50:44 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 16:27:42 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:57:55 VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 19:57:55 VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 19:57:55 VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 19:57:55 VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 19:57:55 VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 19:57:55 VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 19:57:55 VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 19:57:55 VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 19:57:56 VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 19:57:56 VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 19:58:13 VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 19:58:29 VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 18:17:05 VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 18:17:08 VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 11:32:13 VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 18:42:56 VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 19:46:46 VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 21:12:34 VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 21:12:35 VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 18:23:31 VBASE023.VDF : 7.11.24.152 165888 Bytes 05.03.2012 20:12:21 VBASE024.VDF : 7.11.24.204 177664 Bytes 07.03.2012 20:33:46 VBASE025.VDF : 7.11.25.30 245248 Bytes 12.03.2012 20:33:50 VBASE026.VDF : 7.11.25.121 252416 Bytes 15.03.2012 20:33:57 VBASE027.VDF : 7.11.25.177 202752 Bytes 20.03.2012 19:35:43 VBASE028.VDF : 7.11.25.233 169984 Bytes 23.03.2012 20:08:33 VBASE029.VDF : 7.11.25.234 2048 Bytes 23.03.2012 20:08:34 VBASE030.VDF : 7.11.25.235 2048 Bytes 23.03.2012 20:08:34 VBASE031.VDF : 7.11.25.246 38912 Bytes 23.03.2012 20:08:34 Engineversion : 8.2.10.28 AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 15:32:51 AESCRIPT.DLL : 8.1.4.13 442746 Bytes 23.03.2012 20:08:38 AESCN.DLL : 8.1.8.2 131444 Bytes 29.01.2012 15:21:24 AESBX.DLL : 8.2.5.5 606579 Bytes 15.03.2012 20:35:05 AERDL.DLL : 8.1.9.15 639348 Bytes 23.09.2011 16:07:50 AEPACK.DLL : 8.2.16.7 803190 Bytes 23.03.2012 20:08:38 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 01.01.2012 13:35:53 AEHEUR.DLL : 8.1.4.8 4514165 Bytes 23.03.2012 20:08:37 AEHELP.DLL : 8.1.19.0 254327 Bytes 22.01.2012 14:41:09 AEGEN.DLL : 8.1.5.23 409973 Bytes 15.03.2012 20:34:08 AEEXP.DLL : 8.1.0.25 74101 Bytes 15.03.2012 20:35:07 AEEMU.DLL : 8.1.3.0 393589 Bytes 28.11.2010 14:27:01 AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 20:34:04 AEBB.DLL : 8.1.1.0 53618 Bytes 02.05.2010 16:07:09 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 17:20:04 AVREP.DLL : 10.0.0.10 174120 Bytes 29.05.2011 14:34:49 AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 17:20:04 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 17:20:04 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 28.06.2011 17:20:03 RCTEXT.DLL : 10.0.64.0 98664 Bytes 28.06.2011 17:20:03 Konfiguration für den aktuellen Suchlauf: Job Name..............................: ShlExt Konfigurationsdatei...................: C:\Users\WALJAV~1\AppData\Local\Temp\4185e723.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: G:, Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Sonntag, 25. März 2012 19:24 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'G:\' <BOOT> G:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Sonntag, 25. März 2012 19:38 Benötigte Zeit: 14:01 Minute(n) Der Suchlauf wurde abgebrochen! 6012 Verzeichnisse wurden überprüft 69271 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 69270 Dateien ohne Befall 321 Archive wurden durchsucht 1 Warnungen 0 Hinweise Hallo, also nachdem ich Malwarebytes und AntiVir durchliefen kann ich jetzt die ehemals infizierte Festplatte wieder in meinem Netbook benutzen. Jetzt wollte ich noch OTL.exe laufen lassen und den Bericht hier hochladen aber, wenn ich scan drücke erscheint nur die eieruhr und dann kommt dann auch nichts mehr. Ich habe hier im Forum gelesen das man es mal Abgesicherten Modus versuchen soll, aber leider kommt immernoch ein Bluescreen im Abgesicherten Modus. Meinst du man kann noch was machen, oder ist es besser einfach wichtige Docs speichern und neu aufspielen? |
27.03.2012, 16:05 | #4 |
| Bundespolizei Trojaner - ohne Abgesicherten Modus und kein Bios Passwort Hallo, habe mein Netbook jetzt wieder neu aufgesetzt und es läuft alles wieder. Das ist ein Super Forum hier. Macht weiter so. Gruß Henry |
27.03.2012, 16:06 | #5 |
/// Malware-holic | Bundespolizei Trojaner - ohne Abgesicherten Modus und kein Bios Passwort sorry, ich hab deinen post übersehen! pc absichern: http://www.trojaner-board.de/96344-a...-rechners.html Starte bitte mit der Passage, Windows Vista und Windows 7 Bitte beginne damit, Windows Updates zu instalieren. Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst. Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist: - Updates automatisch Instalieren, - Täglich - Uhrzeit wählen - Bitte den gesammten rest anhaken, außer: - detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist. Klicke jetzt die Schaltfläche "OK" Klicke jetzt "nach Updates suchen". Bitte instaliere zunächst wichtige Updates. Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren. Mache das selbe bitte mit den optionalen Updates. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. als browser rate ich dir zu chrome: Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe anleitung lesen bitte falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: Sandbox Einstellungen | bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten anmerkung zu file hippo. in den settings zusätzlich auswählen: Run updateChecker when Windows starts Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: Windows 7 Systemabbild erstellen (Backup) Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu Bundespolizei Trojaner - ohne Abgesicherten Modus und kein Bios Passwort |
abgesicherter modus geht nicht, amd, bios, bluescreen, bundespolizei, bundespolizei trojaner, bundespolizeitrojaner, desktop, festplatte, freeware, gebraucht, infizierte, kaspersky, kompatibel, locker, neue, ohne abgesicherten modus, passwort, programm, rechner, sekunden, speicher, starten, startet, system, tool, trojaner, usb, virus, win xp, windows xp, windowsunlocker |