Liebes Board,
ich habe mir vermeintlich den Bundestrojaner oder etwas ähnliches eingefangen. Jedenfalls wir der Bildschrim auf meiner Dell-Kiste, Windows 7, 64-bit Version nach der Anmeldung weiss und ich habe keine Chance mehr, aufs System zuzugreifen. Auch der Task Manager reagiert nicht mehr. Überschreiben des Registry-Shell Eintrags im WinLogon mit "Explorer.exe" führt zu nichts, da nach einem Neustart wieder "cmd.exe /k start cmd.exe" drin steht.

Ich habe bereits ein Log mit FRST64.exe erstellt, den ich hier gerne poste.

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 27-04-2013 07
Ran by SYSTEM on 27-04-2013 22:22:42
Running from E:\
WIN_7 Service Pack 1 (X64) OS Language: English(US)
Boot Mode: RecoveryAttention: Could not load system hive.
Attention: System hive is missing.

==================== Registry (Whitelisted) ==================

Attention: Software hive is missing.

ATTENTION: Software hive is not loaded.

BootExecute: 

==================== Services (Whitelisted) =================


==================== Drivers (Whitelisted) ====================


==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========


==================== One Month Modified Files and Folders =======


==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\wininit.exe IS MISSING <==== ATTENTION!.
C:\Windows\SysWOW64\wininit.exe IS MISSING <==== ATTENTION!.
C:\Windows\explorer.exe IS MISSING <==== ATTENTION!.
C:\Windows\SysWOW64\explorer.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\svchost.exe IS MISSING <==== ATTENTION!.
C:\Windows\SysWOW64\svchost.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\services.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\User32.dll IS MISSING <==== ATTENTION!.
C:\Windows\SysWOW64\User32.dll IS MISSING <==== ATTENTION!.
C:\Windows\System32\userinit.exe IS MISSING <==== ATTENTION!.
C:\Windows\SysWOW64\userinit.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\Drivers\volsnap.sys IS MISSING <==== ATTENTION!.
C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!.
C:\Windows\System32\winsrv.dll IS MISSING <==== ATTENTION!.

==================== EXE ASSOCIATION =====================

HKLM\...\.exe:  <===== ATTENTION!
HKLM\...\exefile\DefaultIcon:  <===== ATTENTION!
HKLM\...\exefile\open\command:  <===== ATTENTION!

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 12%
Total physical RAM: 3977.01 MB
Available physical RAM: 3474.81 MB
Total Pagefile: 3975.21 MB
Available Pagefile: 3457.85 MB
Total Virtual: 8192 MB
Available Virtual: 8191.89 MB

==================== Drives ================================

Drive e: (ROTZEK) (Removable) (Total:3.74 GB) (Free:3.16 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (BDEDrive) (Fixed) (Total:0.29 GB) (Free:0.09 GB) NTFS (Disk=0 Partition=2) ==>[System with boot components (obtained from reading drive)]

  Disk ###  Status         Size     Free     Dyn  Gpt
  --------  -------------  -------  -------  ---  ---
  Disk 0    Online          298 GB    11 MB         
  Disk 1    Online         3840 MB      0 B         

Partitions of Disk 0:
===============

Disk ID: 6850967B

  Partition ###  Type              Size     Offset
  -------------  ----------------  -------  -------
  Partition 1    Primary            297 GB  1024 KB
  Partition 2    Primary            300 MB   297 GB

==================================================================================

Disk: 0
Partition 1
Type  : 07
Hidden: No
Active: No

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 0     D                Unkno  Partition    297 GB  Healthy            

=========================================================

Disk: 0
Partition 2
Type  : 07
Hidden: No
Active: Yes

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 1     Y   BDEDrive     NTFS   Partition    300 MB  Healthy            

=========================================================

Partitions of Disk 1:
===============

Disk ID: C3072E18

  Partition ###  Type              Size     Offset
  -------------  ----------------  -------  -------
  Partition 1    Primary           3839 MB    16 KB

==================================================================================

Disk: 1
Partition 1
Type  : 0C
Hidden: No
Active: Yes

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2     E   ROTZEK       FAT32  Removable   3839 MB  Healthy            

=========================================================
============================== MBR & Partition Table ==================

====================================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298 GB) (Disk ID: 6850967B)
Partition 1: (Not Active) - (Size=298 GB) - (Type=07) (NTFS)
Partition 2: (Active) - (Size=300 MB) - (Type=07) (NTFS)

====================================================================
Disk: 1 (Size: 4 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=4 GB) - (Type=0C)

==================== End Of Log ============================
         

Übrigens habe ich vor ein paar Minuten das Ganze schon an LEO per PN geschrieben. Bis ich gemerkt habe, dass es eine PN ist, habe ichs schon abgeschickt. Ich hoffe, dass ich deshalb keine allzu große Verwirrung gestiftet habe und mir trotzdem irgendwer helfen kann und will :-)

Ihr seid wirklich mmeine letzte Hilfe, bitte helft mir aus der Patsche! Vielen Dank und Grüße von Rolexralle

Hi,

dieses FRST-Log hilft leider auch noch nicht weiter...
Funktioniert der abgesicherte Modus mit Eingabeaufforderung noch, so dass du dort auf das schwarze Konsolenfenster kommst?

Hallo zusammen,

habe jetzt schonmal die OTLPE ausgeführt. Musste allerdings direkt die .exe vom Stick starten, da er keine Windows-Installatioon über das "Browse Folder" Menü gefunden hat...

Anbei die Scans. Hoffentlich kann mir jemand helfen! Danke!

Hallo,

sorry, habe eben erst gesehen, dass ich eine Antwort bekommen hab! :-) Ja, ich komm über den abgesicherten Modus an ein DOS-Fenster und kann auch in die Registry etc.

Viele Grüße,
Rolexralle

Kannst du die OTLpe-Logs bitte noch schnell in Code-Tags posten?
(Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)
Danke.

Code: Alles auswählenAufklappen

ATTFilter

OTL Extras logfile created on: 4/28/2013 6:47:33 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\PROGRAMS\OTLPE
Microsoft Windows XP  (Version = 5.1.2600) - Type = System
Internet Explorer (Version = 6.0.2800.2180)
Locale: 00000409 | Country: United States | Language: ENU | Date Format: M/d/yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 93.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): NUL: 0 0 [binary data]
 
%SystemDrive% = X: | %SystemRoot% = X:\minint | %ProgramFiles% = C:\Program Files
Drive C: | 300.00 Mb Total Space | 100.45 Mb Free Space | 33.48% Space Free | Partition Type: NTFS
Drive X: | 3.75 Gb Total Space | 3.35 Gb Free Space | 89.31% Space Free | Partition Type: FAT
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.chm [@ = chm.file] -- X:\minint\System32\HH.EXE (Microsoft Corporation)
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.hlp [@ = helpfile] -- X:\minint\winhlp32.exe (Microsoft Corporation)
.html [@ = htmlfile] -- X:\minint\iexplore.exe (Microsoft Corporation)
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
chm.file [open] -- hh.exe %1 (Microsoft Corporation)
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
helpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "X:\minint\iexplore.exe" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "X:\minint\iexplore.exe" %1 (Microsoft Corporation)
htmlfile [print] -- rundll32.exe mshtml.dll,PrintHTML "%1"
http [open] -- "X:\minint\iexplore.exe" -nohome (Microsoft Corporation)
https [open] -- "X:\minint\iexplore.exe" -nohome (Microsoft Corporation)
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
InternetShortcut [print] -- rundll32.exe mshtml.dll,PrintHTML "%1"
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /k cd %L (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "X:\minint\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "X:\minint\iexplore.exe" (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
 
 
< End of report >
         

...hmmm, die OTL.txt will er mir nicht einbetten... Zu groß vielleicht?

Dann pack die OTL.txt bitte in ein zip-Archiv (nicht *.7z) und hänge sie an.

Ok, hier als .zip.

Vielen Dank übrigens für deine Mühen! Und das am Sonntag!

Das ist wieder nix...
Noch ein anderer Versuch:


Schritt 1

Lade dir auf einem Zweitrechner bitte OTL (von Oldtimer) herunter und speichere es auf einen USB-Stick (nicht in einen Unterordner!).

• Schliesse diesen USB-Stick nun an den infizierten Rechner an.
• Starte den infizierten Computer in den abgesicherten Modus mit Eingabeaufforderung. (Anleitung)
• In der Kommandozeile gib nun notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Arbeitsplatz.
  • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl in die Kommandozeile ein und drücke Enter:

  e:\OTL.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  Es sollte sich nun das Fenster von OTL öffnen.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) angezeigt und auf den USB-Stick gespeichert.
• Poste bitte auf dem Zweitrechner den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Logs von OTL

Habe ich probiert, bekomme dann aber in der Eingabeaufforderung die Meldung:

"The subsystem needed to support the image type is not present".

Was nun?

Irgendwas ist da ziemlich verbogen.
Was hast du zuvor schon auf eigene Faust alles gemacht gehabt?

Bislang gar nihcts, ausser in der WinLogon Shell mehrmals den Wert mit "Explorer.exe" überschriebenchDas wars... Ansonsten kann ich ja nicht wirklich viel machen, da ich nur in die eingabeaufforderung komme..

Glaubst du denn, dass ich wenigstens noch an meine daten komme, um die irgendwie zu sichern?

Kann ich in der Zwischenzeit noch irgend etwas anderes probieren? Immerhin kann ich ja vom Stick booten und somit ggf. noch ein anderes Scan-Tool o.ä. laufen lassen?!

Hallo Leo,
kann ich heute noch mit einer Lösung rechnen, was meinst du? Ich muss heute noch verreisen und habe daher noch ca. 2 h Zeit, was zu machen. Dann erst wieder ab ca. 21:00 Uhr... Würde mich sehr freuen, von Dir zu hören. Vielen Dank!

Hallo,

wenn es bei dir wirklich eilt, dann schau mal, ob du ein Linux Live-System booten kannst (über CD oder bootbaren USB-Stick) und so deine Daten auf ein externes Speichermedium sichern kannst: http://www.trojaner-board.de/82533-d...ted-magic.html

Naja,
wann eilt es schon nicht... :-) Ich benötige eben die wichtigsten Daten morgen Früh wieder zum Arbeiten. Daher wäre mir schon sehr geholfen, wenn ich wenigstens den Teil der Arbeit schonmal weg hätte. Ok, ihc werde die Variante mit Linux testen.
Nochmals: vielen herzlichen Dank für deine Unterstützung und ich hoffe, dass Du trotzdem noch eine Lösung findest, wie ich den rechner wieder in Gang bringe.

Beste Grüße,
Rolexralle

Und am besten sicherst du mit dem Linux-System grad alle deine Daten, nicht nur die paar wichtigsten, so dass du keine Daten verlieren würdest, wenn der Rechner nicht mehr hochkommt.
Denn irgendwas ist hier krumm.. Du hast OTL auch wirklich im abgesicherten Modus zu starten versucht und nicht im Reperaturmodus wie FRST?