Hallo zusammen,

der PC eines Freundes hat sich den Bundestrojaner eingefangen.
Sowohl bei normalen Bootvorgang als auch im abgesichertem Modus kommt sofort nach der Anmeldung ein weißer Bildschirm.

OS: Win XP Prof.
Norton Firewall + Antivirenprogramm - aktuell

Für die Beseitigung des Trojaners brauche ich eure Hilfe.
Ich bedanke mich bereits im voraus für eure Hilfe.

Mfg

Apfelbaum50

Hallo,

funktioniert aber der abgesicherte Modus mit Eingabeaufforderung noch, so dass du dort auf das schwarze Konsolenfenster gelangst?

Hallo,

ja das funktioniert noch.
Über das Administratorkonto geht auch der abgesicherte Modus mit Netzwerkunterstützung.

Mfg

Ok, dann gehe bitte über den abgesicherten Modus mit Eingabeaufforderung so vor, wie hier beschrieben: http://www.trojaner-board.de/139230-...er-bootet.html

Hallo,
anbei die Logs:

Mfg

Kannst du den Rechner nach folgendem Fix wieder normal starten?

• Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKLM Winlogon: Shell - ("C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036\KB7419036.exe") - C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036\KB7419036.exe ()
O7 - HKU\*****_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: KB7419036 = "C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036\KB7419036.exe" ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: KB7419036 = "C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036\KB7419036.exe" ()
O4 - HKU\*****_ON_C..\Run: [KB7419036] C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036\KB7419036.exe ()
O4 - HKLM..\Run: [KB7419036] C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036\KB7419036.exe ()
[2013/08/14 11:06:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036
         

• Klicke jetzt auf den Fix Button.
• Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Hallo,

ja, der Rechner startet normal.
Hier der Log:

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:"C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036\KB7419036.exe" deleted successfully.
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036\KB7419036.exe moved successfully.
Registry value HKEY_USERS\*****_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\KB7419036 deleted successfully.
File "C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036\KB7419036.exe" not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\KB7419036 deleted successfully.
File "C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036\KB7419036.exe" not found.
Registry value HKEY_USERS\*****_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\KB7419036 deleted successfully.
File C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036\KB7419036.exe not found.

OTLPE by OldTimer - Version 3.1.48.0 log created on 08142013_214406

Mfg

Edit:
Was bleibt jetzt noch zu tun?

Prima, dann:


Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere es auf den Desktop.

• Starte die FRST.exe.
• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieser beiden Logfiles bitte hier in deinen Thread.

Das Programm hängt sich beim starten auf.
Gibt es ein Alternativprogramm?

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Anbei die Logs:

Hi,

und wie läuft der Rechner?


Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2013.08.14 17:06:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036
O4 - HKLM..\Run: [KB7419036] "C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\KB7419036\KB7419036.exe" File not found
IE - HKU\S-1-5-21-1177238915-515967899-839522115-1004\..\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}: "URL" = http://int.search-results.com/web?q={SEARCHTERMS}&o=15527&l=dis&prt=360&chn=retail&geo=DE&ver=5

:commands
[emptytemp]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von MBAM
• Log von ESET
• Log von SecurityCheck

Hallo,

soweit so gut würde ich sagen.
Der ESET Online Scan bekommt keine Verbindung zum Updateserver. Deshalb habe ich diesen Log weggelassen.
Anbei die anderen.

Hallo,

ok, aber etwas scheint noch nicht ganz zu passen. Schauen wir mal:


Schritt 1

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 25.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 2

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

• Deinstalliere bitte deine aktuelle Version von Adobe Reader über

  Start --> Systemsteuerung --> Software (bei Windows XP)
  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Windows 7)

• Besuche diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Schritt 3

Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Bitte poste in deiner nächsten Antwort:

• Log von FSS

Hallo,

Java deinstalliert und PDF R update durchgeführt.
Anbei der Log von FSS