Guten Tag Trojaner-Board-Team,

ich habe Eure Lösungen bezüglich des österreichischen Polizei Trojaners gelesen und stehe vor dem selben Problem.

Ich habe das Programm OTLPE durchlaufen lassen und sende das File OTL.txt im Anhang. Das File Extras.txt wurde nicht kreiert.

Was passiert auf meinem Rechner:
Ich habe einen Firmen-Laptop, der an einer Domäne angemeldet ist.
Dadurch, daß ich viel unterwegs bin, habe ich auch Administrator-Rechte.
Am 24.1.2013 habe ich mir dann beim surfen den besagten Polizei-Trojaner eingefangen.
Ich habe versucht, Diesen mit Kaspersky-Rescue-Disk 10 zu entfernen, leider ohne Erfolg.
Danach wollte ich im abgesicherten Modus starten. Leider wurde mein Passwort nicht angenommen.
Danach habe ich mit Kaspersky Windows-Unlocker versucht, die Reistry zu bereinigen, dadurch wurde es nur schlimmer.
Nun kann ich Windows überhaupt nicht mehr hochfahren.
Ich habe Windows XP mit SP3. Als Sicherheitssoftware läuft Forticlient.

Ich hoffe, daß mir eine Neuinstallation erspart bleibt und ersuche Euch Profis um Hilfe.

Vielen herzlichen Dank im Voraus,

A.H.

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - [2013/01/24 12:14:28 | 000,160,768 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Dokumente und Einstellungen\huber\wgsdgsdgdsgsd.exe -- (winmgmt)
O4 - Startup: C:\Dokumente und Einstellungen\huber\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
[2013/01/25 06:51:49 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad
[2013/01/24 12:14:30 | 000,002,953 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js
[2013/01/24 12:14:30 | 000,000,790 | ---- | M] () -- C:\Dokumente und Einstellungen\huber\Startmenü\Programme\Autostart\runctf.lnk
[2013/01/24 12:14:28 | 000,160,768 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\huber\wgsdgsdgdsgsd.exe

:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Hallo t'john,

vielen herzlichen Dank für Deine Hilfestellung.
Ich habe Deine Anleitung befolgt und siehe da, auf einmal funktioniert wieder fast Alles.

Nur am Ende Deiner Anleitung kenne ich mich nicht aus. Was meinst Du wenn ich den Inhalt in Code-Tags einfügen soll ? Was muss ich da machen ?

Das Logfile habe ich angefügt.

Der Computer lies sich wieder hochfahren.

Vor dem Start lief dann CHKDSK und gab folgende Meldungen:
Chkdsk Fehler in Index $130 der Datei 11099 berichtigt.
Indexeintrag dnserror[1] in Index $130 der Datei 11199 gelöscht.
Indexeintrag DNSERR~1 in Index $130 der Datei 11199 gelöscht.
Diverse Dateien wurden in Verzeichnissen 11099 und 11199 wiederhergestellt.(Das ging so schnell - ich konnte nicht mitschreiben)

Beim Start von Windows bekomme ich nun folgende Fehlermeldung:
Rescue and Recovery Backup Service hat ein Problem festgestellt und muss beendet werden.
Weitere Informationen:
szAppName:rrservice.exe szAppVer:4.21.11.1 szModName:rrservice.exe
szModVer:4.21.11.1 offset:000018ff
Technische Informationen:
C:\DOKUME~1\huber\LOKALE~1\Temp\WER48b3.dir00\rrservice.exe.mdmp
C:\DOKUME~1\huber\LOKALE~1\Temp\WER48b3.dir00\appcompat.txt
Das Lenovo-Care-Center funktioniert nicht mehr und ebenfalls das Programm Access Connections. Letzteres brauche ich für das Internet, denn der Laptop hat eine SIM-Karte eingebaut.

Beim Beenden von Windows bekomme ich folgende Meldungen:
ACTrayWnd reagiert nicht.
AcWLIconWnd reagiert nicht.

Habe ich Etwas falsch gemacht, oder muss ich die fehlerhaften Programme neu installieren ?
Ist der Polizei-Trojaner nun entfernt, oder schlummert er noch irgendwo ?

Ich danke für Deine Mühe und freue mich schon auf Deine Antwort,

A.H.

Sehr gut!

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo t'john,

ich habe Deine Anleitung befolgt und sende Dir im Anhang die Logfiles von Malwarebytes Anti-Malware und AdwCleaner.

Hier wurde tatsächlich noch ein Trojaner entdeckt !

Der Laptop funktioniert nun wieder bis auf die schon erwähnten Fehler im Lenovo-Care-Center. Vermutlich muss ich hier das Center noch einmal komplett neu installieren, oder ?

Falls ich hiermit die Fehlerkorrektur abgeschlossen habe, bitte ich Dich noch um einen Tip, wie ich Eure Arbeit angemessen honorieren kann. Da ich mit solchen Problemen noch wenig Erfahrung habe, wäre ich über Deine Vorgabe dankbar.

Auf jeden fall wurde mir in Diesem Forum äußerst kompetent und unkompliziert geholfen !! Ich werde Euch gerne weiterempfehlen.

In Erwartung einer kurzen Rückmeldung verbleibe ich,

A.H.

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Hallo t'john,

Ich habe die beiden Scanner durchlaufen lassen und sende Dir hier das Ergebnis:

MBAR hat nichts gefunden.

EMSISOFT hat 2 Trojaner gefunden:
1.) Trojan.Win32.Agent.bvgl(A). Dieser konnte vom Programm nicht in Quarantäne geschafft werden.
2.) Trojan.Script.480412(B) -> Dieser wurde schon von OTL verschoben, aber nicht gelöscht. Emsisoft hat Diesen in Quarantäne verschoben.

Schöne Grüße,

A.H.

Hallo t'john,

mir hat das Lenovo-Care-Center etwas Kopfzerbrechen gemacht und ich habe deshalb nochmal etwas Anderes probiert. Ich hoffe, das ist auch in Deinem Sinn ?

Und zwar habe ich einen Wiederherstellungspunkt mit dem derzeitigen Systemstand gemacht. Dann habe ich einen Systemprüfpunkt kurz vor dem Trojanerbefall ausgewählt und das System dorthin zurückversetzt.
Der Laptop und auch das Lenovo-Care-Center funktionieren nun wieder wie vorher. (soweit ich beurteilen kann). Auch ins Internet kann ich mich nun wieder verbinden.

Im Anschluß habe ich EMSISOFT Anti-Malware wieder installiert und durchlaufen lassen. Der Trojaner "Trojan.Win32.Agent.bvgl (A)" wurde natürlich wieder gefunden und kann, wie auch schon vorher, von EMISSOFT nicht entfernt werden.

Den Bericht habe ich wieder beigefügt.

Schöne Grüße,

A.H.

Zitat:

mir hat das Lenovo-Care-Center etwas Kopfzerbrechen gemacht und ich habe deshalb nochmal etwas Anderes probiert. Ich hoffe, das ist auch in Deinem Sinn ?

Nein, weil du damit alles rueckgaengig gemacht hast.


Downloade Dir bitte SecurityCheck von einem der folgenden Links:
LINK1 LINK2

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo t'john,

ich habe SecurityCheck durchlaufen lassen.
Hier ist der Report.

Schöne Grüße,

A.H.

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 0.99.57  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:`````````````` 
 Windows Security Center service is not running! This report may not be accurate! 
FortiClient AntiVirus   
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:````````` 
 CCleaner     
 Java(TM) 6 Update 29  
 Java(TM) 6 Update 31  
 Java 7 Update 9  
 Java SE Development Kit 7 Update 9 
 Java version out of Date! 
 Adobe Flash Player 9 Flash Player out of Date! 
 Adobe Flash Player     11.1.102.55  
 Adobe Reader 8 Adobe Reader out of Date! 
 Mozilla Firefox (18.0.1) 
````````Process Check: objlist.exe by Laurent````````  
 Emsisoft Anti-Malware a2service.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````
         

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)
Firefox: Firefox - Download - Filepony

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die .exe-Datei
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 11 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck



Windows Repair Tool (AIO)

• Downloade Windows repair tool
• Entpacke das Zip und starte Repair_Windows.exe
• Klicke auf Start repairs Tab dann: Start
  
  folgende Punkte auswählen
  
  Register System Files
  Repair WMI
  Repair Windows Firewall
  Remove Temp Files
  Set Windows Services To Default Startup
  
  
  Auswählen: Restart System When Finished
  Dann Start Button klicken.

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.