Schönen guten Tag!

Ich habe derzeit ein Problem auf dem Rechner auf meiner Arbeitsstelle. Dort hat sich einer der 50/100€ - Trojaner eingeschlichen, wenn man ihn anmacht kann man nichts machen, es erscheint eine Internet-Explorer Seite wo nichts gefunden wird und man kann den Taskmanager nicht öffnen, der schliesst sich sofort wieder.

Das gleiche passiert auch im abgesicherten Modus.

Es ist soweit ich weiss ein Windows XP Professional, ich habe gestern nach eine der Anleitungen die ich per SuFu gefunden habe so eine OTL Datei erstellen und hoffe ihr könnt mir helfen die auszuwerten.

Mfg, Baroa.

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
[CODE]
:OTL
O20 - HKLM Winlogon: Shell - (C:\WINDOWS\Temp\posfxo\setup.exe) - C:\WINDOWS\Temp\posfxo\setup.exe ()
O20 - Winlogon\Notify\luposde: DllName - C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\luposde.dll - C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\luposde.dll ()
O31 - SafeBoot: AlternateShell - C:\WINDOWS\Temp\posfxo\setup.exe
O7 - HKU\Vinoly_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
:Files
C:\WINDOWS\Temp\posfxo
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\luposde.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun\Java\Deployment\cache
C:\Dokumente und Einstellungen\Vinoly\Anwendungsdaten\Sun\Java\Deployment\cache
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache
:Commands
[purity]



dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hat alles geklappt, log ist im Anhang, MovedFiles.zip ist hochgeladen.

Vielen dank schonmal.

Was genau muss nun noch getan werden? der PC funktioniert ja erstmal wieder...

hier fehlt halt noch n gutes AntiViren-Programm, bevorzugt natürlich kostenlos, hast du da einen Tipp?

Nochmals Vielen Dank von der Belegschaft hier

Mfg, Baroa.




EDIT: Ich hoffe das ist jetzt die richtige Datei ? die mit den vielen Zahlen?

hi,

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo,

Beim starten der Combofix läuft alles glatt, er läuft dann auch und gibt die Meldung:

ComboFix - ZeroAccess
"You are infected with Rootkit.Zeroaccess! It has inserted itself into the tcp/ip stack. This is a particularly difficult infection.

If for any reason that you're unable to connect to the internet after running ComboFix, reboot once and see if that fixes it.

If it's not fixed, run ComboFix one more time."


Wenn ich dann "OK" klicke rechnet er weiter bis diese Meldung kommt:

Rootkit !!
"Combofix hat die Anwesenheit von Rootkitaktivitäten festgestellt und muss den PC nun neustarten."

Wenn er dann neustartet, rechnet er in nem blauen DOS-Fenster noch was durch, geht dann aus und es befindet sich keine Combofix.txt im C:/ Ordner, nur eine Datei namens Combofix die allerdings nur eine Verknüpfung auf den Arbeitsplatz zu sein scheint.


Mfg, Baroa.

nutzt du den pc für onlinebanking einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie berufliches?

Onlinebanking nicht, allerdings steht er auf der Arbeitsstelle (Tankstelle) und hier laufen wichtige Mails im Outlook.

Ich selber nutze ihn fast garnicht, bin hier nur der einzige der sich n bisschen mit PC's auskennt und solche Probleme mit eurer Hilfe beseitigen kann

Mfg, Baroa.

ok, ihr habt ein rootkit auf dem gerät, dies muss daher neu aufgesetzt werden.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.

Ich fürchte das ich weder eine Windows-CD noch irgendwelche Daten bzgl. Lizenznummer etc. habe/besorgen kann. Ich fürchte ebenfalls das ich ihn nach einer formatierung nurnoch schwer in das hier vorhandene Netzwerk einbinden kann, da es von einer externen Firma gewartet wird.

Ist neu aufsetzen die einzige Möglichkeit dieses Problem zu beheben oder kann man eine Quarantäne-ähnliche Situation schaffen?

nein, neu aufsetzen ist hier das beste.

Hi,

beim versuch gestern die Einstellungen und Passwörter von den Programmen zu sichern, hatte ich wieder eines dieser Viren-Fenster.

Ich hab die OTL mitgepostet, wäre gut wenn ich das nochmal gefixt bekommen könnte um mir die Settings zu ziehen.

Mfg, Baroa.

sichere es im abgesicherten modus.
bei pc start mit f8 zu erreichen
außerdem sollst du keine settings sichern, sondern nur bilder, dokumente, musik, vidios
und evtl. lesezeichen

Zitat:

Zitat von markusg

sichere es im abgesicherten modus.
bei pc start mit f8 zu erreichen
außerdem sollst du keine settings sichern, sondern nur bilder, dokumente, musik, vidios
und evtl. lesezeichen

Hi!

Ich denke nicht das das mit dem Abgesicherten Modus klappt, hat es bei dem ersten mal ja auch nicht.

Ich kanns gleich testen wenn ich auf die Arbeit fahr.

Mfg, Baroa.

Zitat:

Zitat von Baroa

Hi!

Ich denke nicht das das mit dem Abgesicherten Modus klappt, hat es bei dem ersten mal ja auch nicht.

Ich kanns gleich testen wenn ich auf die Arbeit fahr.

Mfg, Baroa.

Wie schon befürchtet, startet der PC im abgesicherten Modus zwar, man landet aber auf der bekannten Virus-Seite und kommt da nicht weg (kein Taskmanager, kein alt+F4, nichts.)

ich muss aber schon dringend in die Windows-Oberfläche, gucken welche Programme genau installiert sind usw. damit ich das alles beim Neuinstallieren wieder draufmachen kann.

Mfg, Baroa.

siehst du doch über die otl cd, da kannst du die daten doch sichern.
und, programme die du dann halt nicht hast und nicht vermisst sind ja dann icht mehr so wichtig oder?
vor allem meldest du dich dann wieder unter windows an und infizierst dich noch mal, das ist ja dann zeitverschwendung das system wieder und wieder zu bereinigen

Zitat:

Zitat von markusg

siehst du doch über die otl cd, da kannst du die daten doch sichern.
und, programme die du dann halt nicht hast und nicht vermisst sind ja dann icht mehr so wichtig oder?
vor allem meldest du dich dann wieder unter windows an und infizierst dich noch mal, das ist ja dann zeitverschwendung das system wieder und wieder zu bereinigen

Also die Keys vom Office sowie von Windows konnte ich ja per OTL rausfinden,

ein problem macht mir allerdings noch das ich vom Outlook die Daten nicht finde / nicht weiss wie ich sie retten kann.

Ich selber habe noch nie Outlook genutzt, ich bräuchte wenigstens die Logindaten dazu und am besten halt noch die ganzen Anhänge/Mails die der Rechner lokal gespeichert hat.

Mfg, Baroa.