Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BKA Trojaner trotz Kaspersky Rescue, sowie Windows-Startprobleme (https://www.trojaner-board.de/122897-bka-trojaner-trotz-kaspersky-rescue-windows-startprobleme.html)

Dennis88 28.08.2012 02:20
BKA Trojaner trotz Kaspersky Rescue, sowie Windows-Startprobleme
 
Hallo,

ich habe folgendes Problem:
Ich habe mir vor ein paar Tagen den BKA Trojaner eingefangen.
Nach einiger Recherche im Internet habe ich mir eine Kaspersky Rescue Disk erstellt (bzw. ich habe es auf einen USB Stick gezogen) und damit dann Windows gestartet. Habe den Windowsunblocker durchlaufen lassen und danach einen Scan von allen Dateien machen lassen, ohne, dass etwas gefunden wurde.

Allerdings bestehen jetzt immer noch 2 Probleme:
1. Der BKA trojaner ist bei Verbindung zum Internet immer noch aktiv und startet nachdem ich mit bei Windows angemeldet habe (d.h. bekannter weisser Bildschirm mit Forderung)

2. Falls ich das Internet ausschalte und mich bei Windows einlogge dauert es ca. 30 Sekunden bis ich einen blauen Bildschirm erhalte mit der Meldung: Windows musste beendet werden. Das problem wurde möglicherweise von folgender Datei verursacht: lvPrCmon.sys. Danach startet der Computer neu und ich bin in einer Endlosschleife gefangen...

D.h. im Endeffekt kann ich gar nichts machen, da der Computer auch nicht im abgesicherten Modus startet.

Bitte helft mir weiter, da ich schon seit Tagen am Rad drehe... ;-(

Dennis

markusg 28.08.2012 10:15
hi
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Dennis88 28.08.2012 14:00
Ich danke Dir vielmals für die zeitnahe Antwort. Ich habe heute Abend Zugriff auf einen Rechner mit Brenner und werde Deine Tipps dann gleich versuchen umsetzen. Mfg, Dennis

Dennis88 28.08.2012 22:11
hey,

also ich habe das alles so durchgeführt wie Du gesagt hast und es hat vorerst geklappt, sodass ich Dir die OTL Datei angehängt habe.
Ich hoffe die Datei gibt Aufschlüsse darüber was mit dem Computer nicht stimmt ;-(

Ich danke Dir schon einmal im voraus.

markusg 30.08.2012 12:19
sorry für die wartezeit
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
:OTL
O4 - Startup: C:\Dokumente und Einstellungen\Chris\Startmenü\Programme\Autostart\ctfmon.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Dennis88 30.08.2012 15:44
Hey,
ich danke Dir, habe schon auf neue Anweisungen gewartet... ;-)

Ich habe leider nicht so gute Neuigkeiten. Ich habe alles so ausgeführt, allerdings hat der Computer keinen Neustart gemacht, auch nicht, nachdem ich das angeklickt habe.
Ich habe ihn dann ausgeschaltet und windows hat gestartet. Am Anfang wurde mir auch die OTL Datei angezeigt, aber bevor ich sie speichern konnte, kam wieder der blaue Bildschirm und Windows ist abgestürzt.

Auf dem blauen Bildschirm steht:

"Es wurde ein Problem festgestellt. Windows wurde heruntergefahren, damit der Computer nicht beschädigt wird.
Das Problem wurde möglicherweise von folgender Datei versursacht: LVPrcMon.sys.
Der Treiber wurde entfernt ohne die anstehenden Vorgänge abzubrechen.

Wenn sie diese Fehlmedlung zum ersten Mal angezeigt bekommen, sollten Sie den Computer neu starten, wenn diese Meldung wieterhin angezeigt wird, müssen Sie folgenden SChritten folgen:

Stellen Sie sicher, dass neue Hardware oder Softwarte richtig installiert ist.
Dass das Problem weiterhin bestehen bleibt, sollten sie alle neu installierte Hardware oder SOftware deinstallieren. Deaktivieren sie BIOS-OPtionen wie Caching oder Shadowring. Starten Sie den COmputer neu, drücken Sie de F8-Taste, um die erweiterten Startoptionen zu wählen und wählen sie dann den abgesicherten Modus, falls sie zum Löschen oder Deaktivieren vin Komponenten den abgesicherten Modus verwenden müssen.

Technische Information:

***STOP: 0x000000D4 (0XBA3E9410, 0X00000002, 0x00000000,0x80537430)
LVPRcMon.Sys"

Ich bin damit irgendwie ein bischen überfordert und weiss nicht was ich jetzt machen muss. Ich habe auch in letzter Zeit keine neue Software installiert, allerdings habe ich probiert als ich den Trojaner hatte mir eine Testversion vom neuen Kaspersky Virusprogramm raufzuspielen, doch dann kam der blaue Bildschirm....

Jedes Mal wenn der Laptop dann neu startet, ist zwar der OTL Datei noch zu sehen , aber in den ca. 30 Sekunden die mir verbleiben bevor der Bildschirm das blaue Fenster zeigt und abstürzt, ist es mir nicht möglich die OTL Datei zu speichern.

Ich bin leider komplett ahnungslos und weiss nicht ,was ich jetzt machen soll... ;-(
Habe natürlich Angst, dass entweder mein Laptop nicht mehr funktioniert oder ich alle Daten auf der Festplatte verlieren werde....

Dennis88 30.08.2012 16:08
hey,

also ich habe es nach nun ungefähr 50 Versuchen es doch endlich geschafft die Datei die mir beim Start angezeigt wurde auf nen Stick zu ziehen.
Ich hoffe sie gibt irgendwelche Aufschlüsse...;-(
Ich habe übrigens außerdem gesehen, als ich msconfig gestartet habe, dass zum Systemstart ein Prozess mit dem Namen dumprep 0-k gestartet wird, wo ich dachte, dass das bestimmt was mit dem Abstürzen zu tun hat. WObei ich den aber natürlich nciht deselektieren und neustarten kann, denn vorher ist schon wieder der blaue Bildschirm da ;-(

Ich hoffe Du kannst mir helfen.

markusg 06.09.2012 17:34
sorry, war gesundheitlich nicht fitt.
dann setzen wir neu auf
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Dennis88 09.09.2012 02:39
hey Markus,

kein Problem und ich hoffe es geht Dir wieder gut.

Ich habe eine gute und eine schlechte Nachricht.
Die schlechte ist, dass ich autorun nicht deaktivieren kann, da davor der Bluescreen mit der Fehlermeldung kommt.
Die gute Nachricht ist, dass ich den Computer im abgesicherten Modus mit Netzwerktreibern starten kann.

Habe jetzt schon einmal Spybot- Search and Destry rüberlaufen lassen und der hatte auch schon was gefunden, jedoch hat das das Problem nicht gelöst und der blaue Bildschirm kommt auch immer noch, daher weiss ich nicht, ob es etwas gebracht hat.
Besteht die Möglichkeit die LVPRcMon.Sys Datei zu löschen oder kann da was passieren?
Ich habe mir jetzt Anti-Malware heruntergeladen und wollte das mal durchlaufen lassen.

Was würdest Du mir als nächstes raten, können wir so anders vorgehen, als komplett neu aufzusetzen?

MfG

Malwarebytes Anti-Malware 1.62.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.09.08.09

Windows XP Service Pack 3 x86 FAT32 (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 6.0.2900.5512
Chris :: ACER-B086CFC411 [Administrator]

03.06.2011 02:03:24
mbam-log-2011-06-03 (02-03-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 338421
Laufzeit: 1 Stunde(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 11
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{61r1K7Zg-HMWm-14l4-knLL-DFbthPjzcAFc} (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network|UID (Malware.Trace) -> Daten: ACER-B086CFC411_00027C2B -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 2
C:\WINDOWS\system32\lowsec (Stolen.data) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\syscheckrt (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 4
C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Ugyw\faabka.exe (Trojan.Agent.RACGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP359\A0257937.exe (Trojan.Agent.RACGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{58C9A433-6640-4601-B9C6-4EEB662C1EDC}\RP359\A0262489.exe (Trojan.Phex.THAGen4) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hey Markus ;-)

Also, ich habe heute den ganzen Tag im abgesicherten Modus Anti-Virenprogramme laufen lassen und endlich wird nichts mehr gefunden.
Nach einer Recherche im Internet habe ich die LVPRcMon.Sys Datei gelöscht und endlich startet mein PC wieder einigermaßen normal, allerdings poppen beim Start mehrmals hintereinander windows/system32/comman.com Fenster auf, aber der PC stürzt nicht ab.

Nach den ganzen Viren und Trojanern die auf meinem PC waren, denke ich allerdings nicht, dass mein PC jetzt sauber ist. Ich möchte gerne meine Daten auf eine externe Festplatte sichern, aber die Viren nicht mit rüberziehen.

Ich hoffe Du kannst mir Anweisungen geben, wie ich jetzt weiter vorgehen sollte.

MfG Dennis

markusg 11.09.2012 14:43
dann deaktiviere autorun im abges.modus, das geht auch

Dennis88 11.09.2012 18:49
hmm... hattest Du meinen letzten Thread gelesen?
Ich wollte den Computer jetzt eigentlich nicht mehr neu aufsetzen, denn alles funktioniert wieder ganz gut und es wird auch nichts mehr gefunden. Wollte aber trotzdem sicher gehen, dass da nichts mehr ist?

markusg 13.09.2012 17:54
jo, du hast aber nen keygen drauf + trojan.zbot
wegem dem keygen kann ich dir eh nur beim neu aufsetzen helfen

Dennis88 14.09.2012 11:09
Hey Markus,

Also ganz ehrlich gesagt, weiß ich nicht genau wo der keygen her ist. Als ich mir vor 5
Jahren den Computer gekauft habe, habe ieinfüttre einige Spiele patches etc. Den keygen Heruntergelaunabhängig. aber ich spiele schon seit geraumer zeit
Nicht mehr und wusste auch nicht, dass ich immer noch datein von damals auf meinem Computer habe, ich dachte ich hätte die alle gelöscht. Ich wusste echt nicht, dass ich so etwas noch auf meinem Computer habe. Ich weiß ihr habt eure Grundsätze bei der Hilfestellung und ich wollte auch niemanden verärgern ;-( besteht die Möglichkeit, dass du mich weiterberätst, wenn ich den keygen suche und ihn lösche? Dennis

markusg 14.09.2012 12:38
nein, ich berate dich, wenn du den pc neu aufsetzt. gibt keine ausnamen, sonst will ja jeder eine.
und, um ehrlich zu sein, diese geschichte, von wegen "keine ahnung wo das her kommt" erzehlt mir jeder zweite, mindestens :-)


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131