Hallo Board,

leider habe ich mir an meinem PC den Bundespolizei-Trojaner 1.13 eingefangen.
Nichts funktioniert mehr, mit und ohne Internetverbindung nicht. Auch kein abgesicherter Modus, weder mit Netzwerktreibern noch mit Eingabeaufforderung.

Ich brauche Eure Hilfe!!!


Vielen Dank,

Schipfel


Diesen Thread (http://www.trojaner-board.de/124831-...geht-mehr.html) habe ich gelesen und OTLPE ausgeführt. Eine Extras.Txt gab es nicht, die C:\OTL.Txt hängt anbei.

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Ersetze die *** Sternchen wieder in den Benutzernamen zurück!

Code: Alles auswählenAufklappen

ATTFilter

:OTL

O4 - HKU\***_ON_D..\Run: [] D:\Dokumente und Einstellungen\***\qfvxinuloavc.exe () 
O4 - HKU\***_ON_D..\Run: [liphmqqghbrdgki] D:\WINDOWS\liphmqqg.exe () 
O4 - HKU\***_ON_D..\Run: [OpAgent] File not found 
O4 - HKU\***_ON_D..\Run: [UpgradeChecker] File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\Administrator_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\***_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 157 
O7 - HKU\LocalService_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\NetworkService_ON_D\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) 
O16 - DPF: {CAFEEFAC-0015-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_17-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) 

[2012/10/08 12:34:32 | 000,103,424 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\liphmqqg.exe 

@Alternate Data Stream - 233 bytes -> D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:A303874F 

[2012/10/08 12:34:55 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\axnbynguhmkuvsh 
[2012/10/08 12:34:55 | 000,076,341 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zfnwduizfvjdadx 
[2012/10/08 12:34:47 | 000,039,424 | ---- | M] () -- D:\Dokumente und Einstellungen\***\bceznalxlgwiufwbzy.exe 
[2012/10/08 12:34:45 | 000,039,424 | ---- | M] () -- D:\Dokumente und Einstellungen\***\eltmidfpfqglzzqipjj.exe 
[2012/10/08 12:34:44 | 000,065,024 | ---- | M] () -- D:\Dokumente und Einstellungen\***\qfvxinuloavc.exe 
[2012/10/08 12:34:32 | 000,103,424 | ---- | M] () -- D:\WINDOWS\liphmqqg.exe 
[2012/10/08 12:34:32 | 000,103,424 | ---- | M] () -- D:\Dokumente und Einstellungen\***\0.37934161319806936.exe 
[2012/10/08 12:34:32 | 000,039,424 | ---- | M] () -- D:\Dokumente und Einstellungen\***\ouhdergxteiw.exe 
[2012/06/12 01:30:31 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess 
:Files
C:\ProgramData\*.exe
C:\ProgramData\TEMP
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\***\*.exe
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\ctfmon.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\
ipconfig /flushdns /c
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Hallo t'john,

tausend Dank erstmal!!!

Anbei das Logfile. Es sieht so aus, als ob Windows jetzt wieder normal hochfährt.

Viele Grüße,
Schipfel

Sehr gut!

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo t'john,

zunächst wieder Danke!!!

Zum digitalen Virus kam leider noch ein echter hinzu, deswegen die Verzögerung...

Malwarebytes habe ich zweimal drüberlaufen lassen, weil ich mir nicht sicher war, ob ich beim ersten Mal richtig mit den Funden umgegangen bin. Beim zweiten Mal bin ich zuversichtlich, alle Funde gelöscht zu haben. Beide Logfiles und auch das von AdwCleaner anbei...

Der Rechner lief (zwischen den beiden Malwarebytes-Scans) nicht allzu flott, vor allem das Surfen im Internet ging ungewöhnlich langsam. Er stürzte auch mehrmals ab.


Viele Grüße,
Schipfel

Sehr gut!

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Hallo t'john,

sorry für die Verzögerung!!!

Anbei die Logfiles. Nach dem Malware-Scan mit Emsisoft Anti-Malware habe ich die Funde in Quarantäne verschoben. Der Rechner läuft jetzt wieder ganz anständig.

Viele Grüße,
Schipfel

Sehr gut!


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.