Hey liebe Community,

ich habe mir gestern beim surfen mit den - Cybercrime investigation department österreich - eingefangen:headbang:und würde eure hilfe brauchen

Das ganze äußert sich wie folgt:

* Sobald sich der invizierte PC (Win7 64bit Version) mit dem Internet verbindet, sei es durch irgendein Programm automatisch oder durch bewusstes öffnen eines Browsers, öffnet sich ein Fenster, dass mir sagt ich habe eine Straftat begangen und ich kann nichts mehr tun.

* Ich habe nun die Internetverbindung gekappt und soweit ist alles gut, d.h. ich kann den PC normal starten aber eben nicht ins Internet.

* Dann habe ich Malwarebytes (die kostenlose 1.62er) über meinen Leptop heruntergeladen und auf dem invizierten PC installiert. Ergebnis des Scans: 40 infizierte.

* Darauf hin habe ich mich hier angemeldet und die First Steps befogt.


Ich habe absolut keine Erfahrung in diesem Berreich und bitte um eine Anleitung wie ich dieses Problem löse.

Mit bestem Dank im Voraus

Ösi 1

hi
starte mal neu, drücke f8 wähle abgesicherter modus mit netzwerk, melde dich in dem betroffenen konto an, inet sollte gehen.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Danke Danke
für die schnelle Hilfe das ist ein hit!!

Anbei sind die benötigten Datein die wir noch benötigen

Danke schon im Voraus
ÖSI1

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2012.08.29 11:48:23 | 004,503,728 | ---- | C] () -- C:\ProgramData\ism_0_llatsni.pad

 :Files
C:\Users\Stelzer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
:Commands
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
wenn dies erledigt ist, bittemelden.