Hallo Trojaner-Gemeinde

Ich habe mir seit kurzem den hier bereits mehrfach erwähnten "Windows Update/Verschlüsselungs Trojaner" eingefangen. Ich kann allerdings nicht nachvollziehen wo ich den aufgegabelt habe.
Der Ablauf wie folgt:
Der Rechner fährt hoch, Desktop erscheint, alles "normal". Kurze Zeit später erscheint die Windows Update/Verschlüsselungs-Trojaner Maske auf schwarzem Hintergrund. 100€ Paysafecard Code. Nichts geht mehr. Alles blockiert. (Kann leider keinen Screenshot machen) Rechner lässt sich nur noch neu starten.
Ich habe schon einige Dinge versucht:
Taskmanager lässt sich nicht öffen. Task Feld nicht hinterlegt. Ich kann somit keine Prozesse beenden.
Maleware-Scans/Installationen scheiden auch aus. Der Rechner blockiert zu schnell.
Abgesicherter Modus funktioniert auch nicht. Schwarzer Bildschirm, Rechner startet einige Prozesse und stürzt dann ab, Windows erscheint nicht

Ich hoffe ihr könnt mir weiterhelfen. Vielen Dank im voraus.

Rechner läuft unter Windows XP 32bit

hi
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hey

Danke schon mal für die Schritt für Schritt Anleitung.

Anbei die hoffentlich richtigen Scans.
Einmal "normal" und einmal mit dem Code.

Vielel Grüße

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O4 - HKU\TaskSTAR_ON_C..\Run: [342B6881] C:\WINDOWS\system32\2B72CCF7342B6881F756.exe (AIMP DevTeam)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\2B72CCF7342B6881F756.exe) - C:\WINDOWS\system32\2B72CCF7342B6881F756.exe (AIMP DevTeam)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFE\taskmgr.exe: Debugger - P9KDMF.EXE File not found

:Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Guten Morgen

Also ich habe alles wie beschrieben ausgeführt. Rechner startet wieder selbstständig. Ich musste allerdings den Scan von CD starten um die otl.txt zu bekommen. Automatisch lief nichts. Ich hoffe das passt so.

Vielel Grüße

hi

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hi

anbei der Log

gibts bei dier verschlüsselte dateien?

Hi

Also der Rechner fährt jetzt wieder normal hoch. Die Dateien lassen sich öffnen. Dafür schon einmal vielen Dank.
Wie kann ich sicher sein, dass meine Officedateinen nicht infiziert sind? Kann ich mir die einfach kopierren? Sollte ich noch irgendeinen Scan drüber laufen lassen?
Wenn ich die Dateien hab würde ich den Rechner zur Sicherheit eh nochmals formatieren und neu aufsetzen.

Gruß

hi
das kopieren der daten ist io
http://www.trojaner-board.de/83238-a...sschalten.html
autorun vorher deaktivieren.
dann, nach formatierung, sichern wir den neuen pc ab, und du kannst die daten dann prüfen