Hallo Trojaner-Board-Team!

Hab meinen Laptop heute mit einem gema-Trojaner infiziert, sollte 50 Euro für die Freischaltung bezahlen. Nach dem Neustart kam nur das Desktop-Hintergrundbild und bei Strg-Alt-Entf erschien der Task-Manager nur kurz und verschwand gleich wieder, so dass man keine Anwendungen schließen konnte.
Nach kurzem "googlen" kam ich auf folgende Seiten:
hxxp://www.redirect301.de/bundespolizei-trojaner-entfernen.html
hxxp://kunden.pp4it.de/bka-entfernung.php
die mir jedoch nicht wirklich weiterhelfen konnten, da ich nicht in den abgesicherten Modus gekommen bin. Wenn man sich als Administrator anmeldet, erscheint im Hintergrund nur das Internet-Explorer-Fenster, welches die Fehlermeldung ausgibt, dass man keine Verbindung aufbauen konnte.
Nach weiterem Suchen bin ich auf die 3 Trojaner-Board Themen:
GEMA-Trojaner..
Trojaner Bundespolizei-abgesicherter Modus nicht möglich
Windows-verschlüsselungsn trojaner blockiert meinen laptop - bin blutiger laie

gestoßen, die sich mit dem gleichen bzw. einem ähnlichen Thema befassen.
Also ab ich mir wie dort beschrieben OTLPENet.exe heruntergeladen, damit eine CD gebrannt und den betroffenen PC mit REATOGO-X-PE gestartet und den OTLPE Scan mit dem im scan.txt gespeicherten Text durchgeführt, der auch im Anhang ist. Nun würde ich gerne erfahren, welchen Inhalt meine fix.txt braucht, da man diese jedesmal für den befallenen computer/laptop speziell erstellen muss. Dazu hab ich die beim Scan erstellte OTL.txt anghängt. Wie geh ich weiter vor?
Vielen Dank für eure Hilfe im Vorhinein!
pepomatik

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Josef_ASCHAUER_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 -  File not found
O20 - HKLM Winlogon: Shell - (C:\WINDOWS\Temp\afiqog\setup.exe) - C:\WINDOWS\Temp\afiqog\setup.exe ()
O31 - SafeBoot: AlternateShell - C:\WINDOWS\Temp\afiqog\setup.exe
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/04/25 03:59:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{d4fc149d-ba56-11de-819f-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{d4fc149d-ba56-11de-819f-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d4fc149d-ba56-11de-819f-806d6172696f}\Shell\AutoRun\command - "" = D:\Grotesque-Tactics_Setup1201.exe
:Files
C:\WINDOWS\Temp\afiqog\setup.exe
C:\WINDOWS\Tasks\at*.job
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\D1h2Jway.exe
C:\user.js
C:\WINDOWS\System32\dds_trash_log.cmd
C:\WINDOWS\Temp\afiqog
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo Trojaner-Board-Team!

Herzlichen Dank für eure schnelle Antwort und kompetente Lösung. Ohne eure Unterstützung hätte ich den Laptop wohl neu aufsetzen müssen. Im Anhang befindet sich noch die Diagnose-Datei von OTL. Wünsch euch fröhliche und erholsame Pfingsten.

gl Grüße

pepomatik

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hier das Ergebnis des Suchaufs von Malwarebytes.

lg pepomatik

Zitat:

Datenbank Version: v2012.04.04.08

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.
Außerdem fehlt ESET auch noch

Hallo Tojaner-Board;

hat leider ein bischen länger gedauert, im Anhang findet ihr die abgeschlosenen überprüfungen.

glg, pepomatik

Hallo Tojaner-Board;

Hier jetzt die Datein

glg, pepomatik

Zitat:

Keine Aktion durchgeführt.
-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Außerdem solltest du die Logs in CODE-Tags posten!