Heute hat es meinen Vater erwischt. Beim letzten herunterfahren seinerseits hat die Virensoftware noch "etwas von einer Änderung in der Registry gemeldet, beim nächsten Start kam die Meldung die Gema habe den PC gesperrt und es wären 50 Euro zu überweisen". Anschließend der Whitescreen.

Ich weiß, diese Informationen sind mehr als dürftig, mehr war aus dem alten Herrn jedoch nicht herauszubekommen. Letzte Aktion vor dem Herunterfahren war "Onlinebanking" über den IE. Beim nächsten Start kam der bekannte Whitescreen und ich wurde hinzugerufen.

Ein Neustart und der Versuch im abgesicherten Modus zu starten schlugen fehl. Ich folge dem Rat ein eigenes Thema zu starten und hoffe auf Eure Hilfe.

Hier nochmal die Infos:

Betriebssystem: Windows XP mit aktuellem SP/Updates.
Virensoftware: FreeAV auf aktuellem Stand. Hat vor Sperrung des PC´s angeschlagen, was mein Vater ignoriert hat -.-
Problem trat auf: nach Neustart nach Benutzung des IE.
Whitescreen ohne Zugriffsmöglichkeit auf den PC und beim ersten Auftreten die "Gema" Aufforderung 50 Eu zu bezahlen.
Alternativrechner mit Brenner und gleichem Betriebssystem vorhanden.

Zum Glück habe ich Eure Warnungen gelesen nichts eigenmächtiges zu unternehmen und begebe mich in Eure Obhut, vielen Dank schon im Vorraus.


Ich würde den Empfehlungen von markusg diesem Beitrag folgen:

http://www.trojaner-board.de/112714-...-gesperrt.html

Dort ist Problem und OS gleich. Sollte ich was anders machen müssen, bitte bescheidgeben.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Danke für die Antwort und die lieben Willkommensworte t'john.

Ich hänge OTL.Txt an, die Extras.txt wurde nicht erstellt... ich schätze da habe ich irgendwas falsch gemacht.

• OTLPE hat nicht nach: der remote registry gefragt.
• load remote user profile(s) habe ich bejaht und der Haken für die remaining users war drinnen.
• Gescannt wurde automatisch die C-Platte mit dem Betriebssystem meines Vaters

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [] File not found 
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName}) 
O4 - HKLM..\Run: [BabylonToolbar] C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (Babylon Ltd.) 
O4 - HKLM..\Run: [BrMfcWnd] File not found 
O4 - HKLM..\Run: [nwiz] File not found 
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\20Dollars2Surf.lnk = C:\Programme\20Dollars2Surf\20dollars2surf.exe (20Dollars2Surf.com) 
O4 - Startup: C:\Dokumente und Einstellungen\Köppe\Startmenü\Programme\Autostart\ja.lnk = C:\Dokumente und Einstellungen\Köppe\Anwendungsdaten1.exe () 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\Köppe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) 
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) 
O31 - SafeBoot: AlternateShell - C:\Dokumente und Einstellungen\Köppe\Anwendungsdaten1.exe 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2010/03/11 07:42:05 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] 
O33 - MountPoints2\{c40c88c3-2f83-11df-a9be-002185194df0}\Shell - "" = AutoRun 
O33 - MountPoints2\{c40c88c3-2f83-11df-a9be-002185194df0}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{c40c88c3-2f83-11df-a9be-002185194df0}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a 
O33 - MountPoints2\{ee8fe42f-78b4-11e0-ad8c-002185194df0}\Shell - "" = AutoRun 
O33 - MountPoints2\{ee8fe42f-78b4-11e0-ad8c-002185194df0}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{ee8fe42f-78b4-11e0-ad8c-002185194df0}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a 
O34 - HKLM BootExecute: (autocheck autochk *) - File not found 
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
[2012/08/22 17:25:54 | 000,391,059 | ---- | M] () -- C:\Dokumente und Einstellungen\Köppe\Anwendungsdaten1.exe 
 
[2012/08/24 14:42:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{3A071771-FDBA-4EE5-9C4B-351E305E629C}.job 
[2012/08/24 14:41:45 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl 
[2012/08/24 14:41:13 | 000,253,748 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml 
[2012/08/24 14:41:12 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job 
[2012/08/24 14:41:00 | 000,000,226 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job 
[2012/08/24 14:41:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Köppe\Anwendungsdaten\.oit 
[2012/08/24 12:30:15 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job 
[2012/08/23 17:24:04 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job 
[2012/08/22 17:26:25 | 000,000,645 | ---- | M] () -- C:\Dokumente und Einstellungen\Köppe\Startmenü\Programme\Autostart\ja.lnk 
[2011/05/06 15:43:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Köppe\Anwendungsdaten\BabylonToolbar 
:Files

C:\Users\SYSTEM\AppData\Local\{*}
C:\ProgramData\*.exe
C:\ProgramData\TEMP
C:\Users\SYSTEM\AppData\Local\Temp\*.exe
C:\Users\SYSTEM\AppData\LocalLow\Sun\Java\Deployment\cache
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Der Rechner läuft wieder für die schnelle Hilfe am Wochenende.

Zitat:

Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

Was meinst Du? Das OTLPE Fenster war nach Ausführen des Scripts leer und die Logdatei hat sich geöffnet, ich hänge sie an.

Das Script hat offensichtlich die Aktivierung von Windows XP außer Kraft gesetzt, nach erneuter Onlineaktivierung läuft jedoch wieder alles.

Wie geht es jetzt weiter, muss ich noch Überbleibsel des Trojaners loswerden um ihn nicht selbst weiter zu verbreiten?

Sehr gut!

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Der Rechner läuft wie vor dem Trojanerbefall. Die Rechte Maustaste hat im Explorer nicht funktioniert, google hat aber schnell ergeben, das dies mit dem Trojaner (Registryeintrag) zusammenhängt. Nach dem Durchscannen/Löschen mit Malwarebytes funktioniert auch die Maus wieder wie sie soll.

Malwarebytes installiert, aktualisiert, laufen lassen, hat Probleme behoben.
Log kommt im Anhang

Auch der Adwcleaner ist drübergelaufen, allerdings nur Scan, habe nix gelöscht. Das Log ebenfallst im Anhang.

Sehr gut!

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Habe den Adcleaner runterschmeißen lassen was er gefunden hat und die "neue" Software drüberlaufen lassen. Auch hier gabs wieder ein paar Funde, die ich in Quarantäne verschoben habe.

Beide Logs hänge ich an.

Sehr gut!


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.