Hallo,

ich habe mir den Bundestrojaner Version 1.13 eingefangen. Ein zweiter Account geht noch, hat aber keine Adminrechte. Im abgesichteren Modus läuft alles. Antivir hat einige Funde gemacht und diese gelöscht. Dann habe ich erst ins Internet geschaut, Malwarebytes geladen und mehrfach vom zweiten Account (mit Rechtsklick als Admin) laufen lassen, jetzt findet er nichts mehr. Das Problem besteht aber nach wie vor. OTL habe ich geladen und laufen lassen, die beiden Logfiles könnte ich hochladen. Bitte helft mir weiter - ich bin völlig ratlos.

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort).
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf oder das Logfile ist zu gross. Erschwert mir nämlich das auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen!

Scan und Unlock mit SREP

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Drücke nun auf Scan.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

Hallo,

danke dass Du mir helfen möchtest!
Habe alles soweit durchgeführt, der Trojaner ist aber noch da - der Rechner lässt sich nicht normal hochfahren. Die shell-Datei ist im Anhang.

Kein Problem - bitte diesen Fix durchführen

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\xztnmdxe.exe
C:\Program Files\Common Files\Pure Networks Shared\Platform\nmctxth.exe
         

und speichere es als fix.txt im selben Verzeichnis wie die srep.exe


Starte deinen Rechner bitte erneut in den Abgesicherten Modus mit Eingabeaufforderung.
Schließe deinen USB Stick erneut an den Infizierten Rechner.
Bitte nutze den selben USB Steckplatz wie beim Scan

• Gib bitte folgenden Befehl ein

  X:\srep.exe

• Drücke den Fix Button.

Dein Rechner wird automatisch neu starten.

Berichte bitte, ob Du nun wieder auf den Infizierten Rechner zugreifen kannst.


Wir sind dann aber noch nicht fertig!

Hallo ryder,

super, der Laptop fährt wieder normal hoch. Erst mal vielen Dank !!!
Was ist noch zu tun?

Eine Menge

Aber du kannst erstmal weiter arbeiten und wir entfernen noch die letzten Reste. Antwort gibts von mir dann aber erst Dienstag.

Schritt 1:
Customscan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
drivers32
safebootminimal
safebootnetwork
%SYSTEMDRIVE%\*.
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.exe
%PROGRAMFILES(X86)%\*.exe
%systemroot%\*. /mp /s
%windir%\installer\*. /10
%appdata%\*. 
%appdata%\*.* 
%appdata%\*.exe /s
%localappdata%\*. 
%localappdata%\*.*
%localappdata%\*.exe /s
%allusersprofile%\*. 
%allusersprofile%\*.*
%allusersprofile%\*.exe /s
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread (möglichst in CODE-Tags)

Schritt 2:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo ryder,

es ging soweit alles glatt, ich habe aber nur eine OTL.Txt Datei bekommen, aber keine Extra.txt, obwohl ich genau darauf geachtet habe, ob zwei txt-Dateien vorhanden sind. Habe das Programm früher mit anderen Einstellungen laufen lassen und damals auch eine Extra.txt bekommen. Soll ich nochmal einen Versuch machen? Die OTL.Txt habe ich mit 7z komprimiert, da sie etwas zu groß war und ist im Anhang.
Den Security Check habe ich gemacht, checkup.txt ist im Anhang.

nmctxth.exe ist auf dem desktop.
Antivir hat wegen ...Weelsof... schon Alarm geschlagen. Soll ich Antivir deaktivieren?

Ja bitte zunächst deaktivieren, jetzt den Fix ausführen.

Fix mit OTL

Zitat:

Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten!
Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\S-1-5-21-1893851066-3528624098-1520288991-1000..\Run: [xztnmdxeizonnvq] C:\Windows\xztnmdxe.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O16 - DPF: {48580E34-E37A-454A-8EC4-FC7598B01D77} http://order.ifolor.de/GENERAL/LowRes/app_support/3/ActiveX/IfolorUploader_chkr.cab (IfolorUploader Control)
[2012/11/10 13:39:44 | 000,000,000 | ---D | C] -- C:\ProgramData\kcnveuvsiijcafp
[2012/11/10 13:39:43 | 000,076,339 | ---- | M] () -- C:\ProgramData\lqrmlldxexkxpmx
[2012/11/10 13:39:37 | 000,068,096 | ---- | M] () -- C:\ProgramData\xztnmdxe.exe
[2012/11/10 13:39:43 | 000,076,339 | ---- | M] () -- C:\ProgramData\lqrmlldxexkxpmx
[2012/11/10 13:39:37 | 000,068,096 | ---- | M] () -- C:\ProgramData\xztnmdxe.exe
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:5F64C164

:files
C:\Windows\$NtUninstallKB41207$
C:\Users\Jörg\Desktop\nmctxth.exe|C:\Program Files\Common Files\Pure Networks Shared\Platform\nmctxth.exe /replace

:commands
[Emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
• Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.

Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTL scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein!

Hallo ryder,

hat alles soweit geklappt. log-Datei komprimiert im Anhang.

Gut soweit.

Dann bitte einen Kontrollscan.

Kontrollscan mit OTL

• Starte bitte OTL.exe
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Hallo ryder,

OTL.Txt ist im Anhang

Ok.

Schritt 1:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2:
Kontrollscan mit OTL

• Starte bitte OTL.exe
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Hallo ryder,

alles lief bestens, beide Dateien sind im Anhang

Tut mir leid, dass es so viele Schritte sind, aber dafür machen wir auch alles sauber

Deinstalliere:
Tuneup Utilities
Web.de Toolbar

Fix mit OTL

Zitat:

Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten!
Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKU\S-1-5-21-1893851066-3528624098-1520288991-1000\..\SearchScopes\{BD76F6AB-615E-41F5-8493-2C6E28CC71AF}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}

:files
copy C:\Users\Jörg\Desktop\nmctxth.exe C:\Program Files\Common Files\Pure Networks Shared\Platform\ /c

:commands
[Emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
• Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.

Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTL scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein!

Kontrollscan mit OTL

• Starte bitte OTL.exe
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.