Liebes Trojaner-Board Team,

habe jetzt schon längere Zeit den Trojaner auf dem PC. Es funktioniert weder der abgesicherte Modus noch die Konsole. Gestern habe ich ohne Erfolg versucht ihm mit einer Systemwiederherstellung und Systemreperatur entgegen zu wirken.

Im Anhang befinden sich die Logfiles von OTL.

Danke schon mal im Voraus für jegliche Hilfe!

Code: Alles auswählenAufklappen

ATTFilter

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Computer Name: WU1 | User Name: CAD1
         

Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?
Warum nur SP2 und IE6 für WindowsXP?! Dieser Stand war 2004 aktuell und ist nun hoffnunsglos veraltet und unsicher!

Ja ist ein Büro PC.

Das mit dem Veralteten ist so eine Sache. Es ist der PC von meinem Vater und der ist mit den Updates nicht so dahinter.

Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:

3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

Handelt sich wirklich nur um ein Familienunternehmen, sprich meine Mutter ist noch bei meinem Vater angestellt und das wars.

Trotzdem gilt das hier immer noch:

Zitat:

Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

Soll die Kiste wirklich gereinigt werden und nicht neu installiert?

Ja soll nach Möglichkeit wirklich gereinigt werden, wäre viel Aufwand alle Programme wieder zum Laufen zu bringen.

Beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [] C:\Dokumente und Einstellungen\CAD1\rpcklgjjenh.exe ()
:Files
C:\Dokumente und Einstellungen\CAD1\*.exe
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Alles so erledigt wie du beschrieben hast. Anbei das erstellte Logfile

Wird Windows noch blockiert?

Keine Ahnung hab den PC momentan nicht mit dem Internet verbunden. Soll ich verbinden?

Ja natürlich sollst du das wie willst du es denn sonst feststellen?!

Gut also Windows wird zur Zeit nicht blockiert.

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Zip-Datei ist nun hochgeladen. Entschuldigung, dass es so lange gedauert hat.