Trojaner-Board - Keine Anmeldung mit Windows User möglich -> Bundestrojaner eingefangen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Keine Anmeldung mit Windows User möglich -> Bundestrojaner eingefangen (https://www.trojaner-board.de/136923-keine-anmeldung-windows-user-moeglich-bundestrojaner-eingefangen.html)

Keine Anmeldung mit Windows User möglich -> Bundestrojaner eingefangen

Hallo liebes Trojaner-Board-Team,

erst einmal bin ich sehr erleichtert nachdem ich auf dieses board zugestossen bin.

kommen wir nun zum eigentlichen:
mein notebook bootet ganz normal mit winxp, bis man sich anmelden muss mit einem benutzer.
sobald man dies tut kommt ein weisser vollbildshirm mit der bundestrojaner meldung. näher brauche ich sicherlich nicht auf dieses weisse bild nicht eingehen, oder ?!

nun habe ich mit eurer hilfe eine logdatei erstellt -> OTL.txt, ich hoffe ich habe es korrekt gepostet, ansonsten tut es mir leid, wenn ich das thema andauernd editiere...

ich würde mich riesig freuen, wenn mir jemand bei dem traumhaften wetter helfen könnte :)

vielen dank im voraus. bis denne

Hi,

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:OTL

O4 - HKU\mama_ON_C..\Run: [noc] C:\Users\mama\AppData\Roaming\noc\dan.bat ()

O4 - HKU\mama_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\mama\AppData\Local\Temp\b34btbztdb1vavaw.exe (Adobe Systems Incorporated)

[2013/06/03 14:52:25 | 000,000,000 | ---D | C] -- C:\Users\mama\AppData\Roaming\noc

[2013/06/03 14:53:02 | 001,084,704 | ---- | M] () -- C:\Users\mama\AppData\Roaming\2433f433

[2013/06/03 14:53:01 | 001,084,677 | ---- | M] () -- C:\ProgramData\2433f433

[2013/06/03 14:53:01 | 001,084,658 | ---- | M] () -- C:\Users\mama\AppData\Local\2433f433

:Commands

[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

so, scheint es hätte funktioniert. was wäre der nächste schritt? danke nochmals für die superschnelle antwort!

Code:

========== OTL ==========

Registry key HKEY_USERS\mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found.

C:\Users\mama\AppData\Roaming\noc\dan.bat moved successfully.

Registry key HKEY_USERS\mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found.

C:\Users\mama\AppData\Local\Temp\b34btbztdb1vavaw.exe moved successfully.

C:\Users\mama\AppData\Roaming\noc folder moved successfully.

C:\Users\mama\AppData\Roaming\2433f433 moved successfully.

C:\ProgramData\2433f433 moved successfully.

C:\Users\mama\AppData\Local\2433f433 moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: mama

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

 

Total Files Cleaned = 0.00 mb

 

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 06202013_153921

wenn ich jetzt ganz normal starte, kommt ein schwarzer bildschirm mit einem kleinen cmd.exe fenster indem steht:

der befehl c:\users\mama\appdata\local\temp\b34btbztdb1vavaw.exe ist entweder falsch oder konnte nicht gefunden werden.

c:\windows\system32>_

Ab jetzt dann alles im normalen Windows :)

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Scan.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

windows normal lädt nicht... es kommt ein schwarzer bildshirm mit einer eingabeforderung wie in meinem vorpost beschrieben, was nun?

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:
Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):
Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung
Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).