Hallo liebes Trojaner-Team,

jetzt hat es auch mich erwischt:
Habe mir dieser Tage den Trojaner eingefangen. Will auf keinen Fall formatieren und wenn muss ich meine Daten sichern - nur leider komme ich nicht mehr in den abgesicherten Modus..
Auf den Desktop komme ich gar nicht mehr.
Bin absoluter Laie und weiß daher auch nicht mehr weiter.

Ich danke im Voraus, befürchte aber, dass alles verloren ist
viele Grüße

david

Hallo und

Zitat:

Habe mir dieser Tage den Trojaner eingefangen.

Ah interessant. Aber was genau wo gefunden wurde teilst du natürlich nicht mit

"Hilfe ich hab ein Problem, welches sag ich aber nicht, wer hilft mir durch raten solange, bis er zufällig die richtige Lösung hat?"



Bitte lesen => http://www.trojaner-board.de/125889-...tml#post941520

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hoppla,
danke Cosinus für die Antwort.
wie gesagt, bin ich Laie au dem Gebiet.
Da der Vorgänger meines Rechners ein Problem hatte mit einer Meldung der GVU und ich nun nur den weißen Bildschirm sehe. gehe ich mal davon aus, dass dies ein ähnlicher Virus/Trojaner etc. ist.
Leider kenne ich mich nicht aus, aber wie erstelle ich das Logfile, wenn ich auf den Rechner nicht zugreifen kann: Ich komme ja gar nicht auf den Desktop oder in den abgesicherten Modus.

Hm, hast du dir keine Funde notiert? Sry ich dachte iwie du kämst noch mit einem anderen User an den Rechner aber anscheinend doch nicht, dann war meine Kritik völlig unangemessen sry

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

hi Cosinus,

kein Problem. Nein ich habe das auch schon probiert. Komme zum Anmeldebildschirm und dann fährt er direkt wieder runter. Habe keinerlei Möglichkeit auf den PC zuzugreifen. Bei dieser Auswahl (Screenshot) kann ich noch "Windows reparieren" auswählen...

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hi Cosinus,

danke schonmal. Musste den BIOS umstellen auf IDE. Habe aber hier im Forum gesehen wie das geht. Habe genau nach den Anweisungen gehandelt, habe aber nur OTL.txt erhalten. Den Scan habe ich sogar zweimal gemacht, aber nur die eine Datei kam heruas.

... und die Datei natürlich... sry

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKU\Daniel_ON_C Winlogon: Shell - (C:\Users\Daniel\AppData\Roaming\skype.dat) - C:\Users\Daniel\AppData\Roaming\skype.dat ()
[2013/05/16 05:30:02 | 000,000,004 | ---- | M] () -- C:\Users\Daniel\AppData\Roaming\skype.ini
[2013/05/16 05:28:54 | 000,045,056 | ---- | M] () -- C:\Windows\System32\acovcnt.exe
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

HI Cosinus,

hier sist die Datei.
Dachte immer mit Skype könnte man telefonieren.
Anscheinend war das der Virus, oder?

Zitat:

Dachte immer mit Skype könnte man telefonieren.

Und deswegen kann sich keine Schädlingdatei keinen x-beliebigen Dateinamen mehr geben?
Was glaubst du wohl warum die Schädlingsschreiber gerade diesen Name gewählt haben...sieht man ja, die meisten denken es ist ja skype, also bloß nicht löschen

Läuft der Rechner wieder im normalen Modus? Wo ist der Upload im UpChannel?

Datei habe ich geerade abgeschickt.
Kann wieder arbeiten mit meinem Laptop.
Vielen Dank - es gibt noch gute Leute bei der Arbeit im Internet.

Ok, weiter gehts

Eine Kontrolle mit OTL bitte, im normalen Modus und auch kein OTLPE

• Doppelklick auf die OTL.exe (Download => http://filepony.de/download-otl/ bitte auf den Desktop!)
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Hi Cosinus,

vielen dank schonmal.
hier sind die Dateien.

Leider war extras zu groß, dass ich zippen musste.

Greetings

Code: Alles auswählenAufklappen

ATTFilter

[2013.02.18 20:28:13 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2013.02.18 20:28:07 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2013.02.18 20:28:03 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2013.02.18 20:28:02 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
         

Das sind Dateien, die Combofix benutzt.
Warum wurde dieses Tool auf diesem Rechner ausgeführt? Ist lt. Log am 18.02.2013 gewesen.