Sehr geehrtes Trojaner Board Team,

mein Fall
BKA Trojaner, bei Anmeldung weisser Bildschirm, abgesicherter Modus nicht moeglich, faehrt dann sofort wieder runter, ausser, ich gehe als admin rein, diese auswahl der konten habe ich, entweder als admin oder ueber mein namen seifert.

bereits durchgefuehrt
als admin im abgesicherten modus malware durchgefuehrt, vier trojaner, name FakeAlert gefunden und in quarantaene verschoben, hier gelesen, das es jedoch nichts bringt.
weiterhin hier erlesen, das eine OTLPE CD gebrannt werden soll. hier bin ich jetzt.
habe diese cd gebrannt und bin ueber REATOGO X PE mit Lan Kabel hier online.
habe auch den run durchgefuehrt, bei -do you wish to load remote user profile for scanning- yes geklickt, bei -automatically load all remaining user- haken entfernt. zur auswahl habe ich dort admin.dell, dell, local service, networt service, systemprofile. unter admin.dell habe ich dann den RUN SCAN durchgefuehrt. Anbei der Report

bitte entschuldigt, auf der REATOGO habe ich keine andere Moeglichkeit gefunden den Report zu speichern, hoffe ihr koennt es oeffnen und es ist i.o.

Danke im Voraus fuer eure Muehen.

Viele Gruesse

Seifert

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
@Alternate Data Stream - 98 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:88050731 
O20 - HKU\DELL_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\DELL\Anwendungsdaten\skype.dat) - C:\Dokumente und Einstellungen\DELL\Anwendungsdaten\skype.dat () 

:Files 
ipconfig /flushdns /c
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Hallo T´john,

Computer fährt in den normalen Windows Modus. Tausend dank erst mal!

Anbei auch der Report.

Sobald sich mein Wlan verbunden hat, meldet er Viren mit dem Namen TR/ATRAPS.Gen 1..2..3..
weshalb ich meine Verbindung sofort wieder getrennt habe.

Bitte um weitere Schritte damit mein Computer wieder "sauber" ist.

Danke im Voraus.
MFG
Seifert

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:88050731 deleted successfully.
Registry value HKEY_USERS\DELL_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\DELL\Anwendungsdaten\skype.dat deleted successfully.
C:\Dokumente und Einstellungen\DELL\Anwendungsdaten\skype.dat moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.
 
Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temporary Internet Files folder emptied: 0 bytes
 
User: Administrator.DELL-E06535048F
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: DELL
->Temp folder emptied: 98304 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
 
Total Files Cleaned = 0.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 01312013_095839
         

Sehr gut!

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hab ich nun auch erledigt.

Anbei Log von Malware & Adw.

Soll ich weitere Maßnahmen treffen oder kann ich nun meinen Computer als sauber einstufen?

Kann ich was in Zukunft berücksichtigen um so einen Virus zu umgehen?

Danke vielmals.

MFG

Seifert

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.03.04

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
DELL :: DELL-E06535048F [Administrator]

03.02.2013 16:06:23
MBAM-log-2013-02-03 (20-03-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 281152
Laufzeit: 1 Stunde(n), 8 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\n.) Gut: (shell32.dll) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\RECYCLER\S-1-5-18\$9120f27ec338fd35a3392831d46baccd\n (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-18\$9120f27ec338fd35a3392831d46baccd\U\00000001.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\n (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\U\00000001.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\U\80000000.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\U\800000cb.@ (Trojan.0Access) -> Keine Aktion durchgeführt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.109 - Datei am 03/02/2013 um 20:16:21 erstellt
# Aktualisiert am 26/01/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 2 (32 bits)
# Benutzer : DELL - DELL-E06535048F
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\DELL\Eigene Dateien\Downloads\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Wert Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Run []

***** [Internet Browser] *****

-\\ Internet Explorer v6.0.2900.2180

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v17.0.1 (de)

Datei : C:\Dokumente und Einstellungen\DELL\Anwendungsdaten\Mozilla\Firefox\Profiles\i1k4jnze.default\prefs.js

[OK] Die Datei ist sauber.

Datei : C:\Dokumente und Einstellungen\Administrator.DELL-E06535048F\Anwendungsdaten\Mozilla\Firefox\Profiles\fnie0avm.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1275 octets] - [03/02/2013 20:15:31]
AdwCleaner[S1].txt - [12877 octets] - [03/02/2013 15:43:21]
AdwCleaner[S2].txt - [1217 octets] - [03/02/2013 20:11:58]
AdwCleaner[S3].txt - [1208 octets] - [03/02/2013 20:16:21]

########## EOF - C:\AdwCleaner[S3].txt - [1268 octets] ##########
         

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.


danach:


Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Auch erledigt, Reports anbei.

Das diese Programme immer noch Viren finden ist ja nicht zu fassen, hört das hier jetzt auf? ..hätt ich nichts dagegen, oder gehts weiter?

Danke t´john.

Viele Grüße

Seifert

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-04 10:03:30
-----------------------------
10:03:30.796    OS Version: Windows 5.1.2600 Service Pack 2
10:03:30.796    Number of processors: 1 586 0x4C02
10:03:30.812    ComputerName: DELL-E06535048F  UserName: DELL
10:03:31.187    Initialize success
10:28:49.484    AVAST engine defs: 13020301
14:27:35.531    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
14:27:35.531    Disk 0 Vendor: SAMSUNG_HM060HI YD100-15 Size: 57231MB BusType: 3
14:27:35.546    Disk 0 MBR read successfully
14:27:35.546    Disk 0 MBR scan
14:27:35.640    Disk 0 Windows XP default MBR code
14:27:35.640    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        57223 MB offset 63
14:27:35.671    Disk 0 scanning sectors +117194175
14:27:35.781    Disk 0 scanning C:\WINDOWS\system32\drivers
14:27:55.625    Service scanning
14:28:14.453    Modules scanning
14:28:22.718    Disk 0 trace - called modules:
14:28:22.750    ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS 
14:28:22.750    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89985ab8]
14:28:22.750    3 CLASSPNP.SYS[ba0e905b] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x89951d98]
14:28:23.015    AVAST engine scan C:\
15:53:25.937    Scan finished successfully
16:34:47.546    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\DELL\Desktop\MBR.dat"
16:34:47.546    The log file has been saved successfully to "C:\Dokumente und Einstellungen\DELL\Desktop\aswMBR.txt"
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1017
www.malwarebytes.org

Database version: v2013.02.04.06

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
DELL :: DELL-E06535048F [administrator]

04.02.2013 17:13:42
mbar-log-2013-02-04 (17-13-42).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25991
Time elapsed: 12 minute(s), 32 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 1
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: {fbeb8a05-beee-4442-804e-409d6c4515e9} -> Delete on reboot.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 6
c:\RECYCLER\S-1-5-18\$9120f27ec338fd35a3392831d46baccd\U (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\U (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-18\$9120f27ec338fd35a3392831d46baccd\L (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\L (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-18\$9120f27ec338fd35a3392831d46baccd (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd (Trojan.Siredef.C) -> Delete on reboot.

Files Detected: 2
c:\RECYCLER\S-1-5-18\$9120f27ec338fd35a3392831d46baccd\@ (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-329068152-1450960922-682003330-1004\$9120f27ec338fd35a3392831d46baccd\@ (Trojan.Siredef.C) -> Delete on reboot.

(end)
         

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte fragen.

• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

• Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
• Während des Laufs von Combofix nichts anderes am Computer machen!
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

• Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
• Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
• Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
• Bitte nicht in dieses Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es wird ein Backup Deiner Registry erstellt.
• Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

• Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
• Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
• Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

• Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
• Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.