Trojaner-Board - BKA-Trojaner Windows XP Professional (ohne Abgesicherten Modus)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BKA-Trojaner Windows XP Professional (ohne Abgesicherten Modus) (https://www.trojaner-board.de/140323-bka-trojaner-windows-xp-professional-ohne-abgesicherten-modus.html)

BKA-Trojaner Windows XP Professional (ohne Abgesicherten Modus)

Hallo Trojaner-Board ich habe ein Problem nämlich habe ich einen BKA-Trojaner auf meinen
(Computer)Windows XP Professional.

Ich habe schon vieles Versucht aber erfolglos den abgesicherten Modus funktioniert in allen 3 Varianten nicht. :killpc:

Ich habe die OTL-CD durchlaufen lassen.
Die OTL.txt habe ich bekommen, aber von der Extras.txt war nichts zu sehen.

Ich wollte die OTL.txt hier hochladen aber die Datei ist zu Groß.

Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 551,8 KB groß.

Systemwiederherstellung funktioniert auch nicht. :headbang:

Bitte um (schnelle) ausführliche Antworten da ich nicht viel Verstehe. :confused:

Danke im Voraus. :dankeschoen:

Hi,

Zitat:

Ich wollte die OTL.txt hier hochladen aber die Datei ist zu Groß.

Ich brauche diese OTL.txt.
Wenn sie zu gross ist, dann packe sie in ein zip-Archiv (Rechtsklick drauf -> Senden an -> zip-komprimierten Ordner) und hänge sie hier an.

Zitat:

Zitat von aharonov (Beitrag 1138946)

Hi,

Ich brauche diese OTL.txt.
Wenn sie zu gross ist, dann packe sie in ein zip-Archiv (Rechtsklick drauf -> Senden an -> zip-komprimierten Ordner) und hänge sie hier an.

hier

Was ist denn hier passiert...
Diese Kiste ist komplett im Eimer. Wenn das mein Rechner wär, würd ich ihn einstampfen und neu machen.
Wir können versuchen, ob sich wenigstens Windows wieder entsperren lässt.
Kann der Rechner nach folgendem Fix wieder normal starten?

Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

:OTL

SRV - [2011/08/25 08:13:28 | 000,386,560 | ---- | M] () [Auto] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)

SRV - [2011/08/25 08:13:10 | 000,359,936 | ---- | M] () [Auto] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient)

SRV - [2011/08/25 08:12:56 | 000,640,512 | ---- | M] () [Auto] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck)

SRV - [2011/07/25 10:07:16 | 000,261,632 | ---- | M] () [Auto] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32)

SRV - [2011/07/22 09:12:09 | 001,170,432 | -H-- | M] () [Auto] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers)

O4 - HKLM..\Run: [4341069.exe] C:\Dokumente und Einstellungen\ahmed\Lokale Einstellungen\Temp\4341069.exe ()

O4 - HKLM..\Run: [5622286.exe] C:\WINDOWS\TEMP\5622286.exe ()

O4 - HKLM..\Run: [74736727-loader2.exe] C:\WINDOWS\TEMP\74736727-loader2.exe ()

O4 - HKLM..\Run: [7753731.exe] C:\WINDOWS\TEMP\7753731.exe ()

O4 - HKLM..\Run: [8497951.exe] C:\WINDOWS\TEMP\8497951.exe ()

O4 - HKLM..\Run: [8578282.exe] C:\Dokumente und Einstellungen\ahmed\Lokale Einstellungen\Temp\8578282.exe ()

O4 - HKLM..\Run: [FrameWorkService] C:\WINDOWS\Inf\smss.exe ()

O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe ()

O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe ()

O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe ()

O4 - HKLM..\Run: [w_distrib.exe] C:\WINDOWS\update.3\svchost.exe ()

O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe ()

O4 - HKU\ahmed_ON_C..\Run: [NT_Authority] C:\Dokumente und Einstellungen\ahmed\Anwendungsdaten\lsass.exe ()

O4 - HKU\cherifa_ON_C..\Run: [NT_Authority] C:\Dokumente und Einstellungen\cherifa\Anwendungsdaten\svchost.exe ()

O4 - HKU\Rashady_ON_C..\Run: [NT_Authority] C:\Dokumente und Einstellungen\Rashady\Anwendungsdaten\lsass.exe ()

O4 - HKU\User_ON_C..\Run: [I just want to say I love Milko and I need a drink]  File not found

O4 - HKU\User_ON_C..\Run: [NT_Authority] C:\Dokumente und Einstellungen\User\Anwendungsdaten\smss.exe ()

O4 - HKU\User_ON_C..\Run: [Secure32]  File not found

O4 - HKU\User_ON_C..\Run: [Secure64]  File not found

O4 - Startup: C:\Dokumente und Einstellungen\ahmed\Startmenü\Programme\Autostart\taskngr.exe.ink.lnk =  File not found

O20 - HKLM Winlogon: Shell - (C:\DOKUME~1\ahmed\LOKALE~1\Temp\ms0cfg32.exe) - C:\Dokumente und Einstellungen\ahmed\Lokale Einstellungen\Temp\ms0cfg32.exe ()

O20 - HKLM Winlogon: UserInit - ("C:\WINDOWS\system32\M5VBVM60.EXE StartUp") -  File not found

O20 - HKLM Winlogon: TaskMan - (C:\Dokumente und Einstellungen\User\csrss.exe) - C:\Dokumente und Einstellungen\User\csrss.exe ()

O31 - SafeBoot: AlternateShell - services32.exe

Klicke jetzt auf den Fix Button.
Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
Kopiere nun dessen Inhalt hier in deinen Thread.

habs gemacht musste den abgesicherten modus benutzen beim neustart da meine tastaur nicht mehr funktioniert beim anmelden ich kann den kennwort nicht eingeben deswegen abgesicherten weil ich da den adminstrator ohne passwort eingfach starten kann.....hier die txt (ist der trojaner jetzt weg?)

die datei in C:\OTL\MovedFiles\<time_date.log> die ich mit einen legen sollte ist drin ich habe sie nur in OTl(2) umgeändert also den namen.

Der Rechner ist noch alles andere als sauber!
Wenn du in den abgesicherten Modus reinkommst, dann mach dort weiter:

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere es auf den Desktop.

Starte die FRST.exe.
Ändere keine der Voreinstellungen und drücke auf Scan.
Wenn der Scan abgeschlossen ist, werden zwei Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.
Poste den Inhalt dieser beiden Logfiles bitte hier in deinen Thread.

iCH HABE ES GESCANT ABER VON FRST.TXT UND ADDITION.TXT WAR NICHTS ZU SEHEN AUCH NICHT NACH MEHRFACHEN VERSUCHEN NICHT IM DESKTOP ZU SEHEN UND AUCH NICHT IN C:/FRST/LOGS ZU SEHEN.

Sind denn nach dem Scan keine Notepadfenster mit den Logfiles erschienen?

NE LEIDER NICHT.....und wie gehts es jetzt weiter?:confused:

Downloade dir bitte DDS (von sUBs) auf deinen Desktop.

Starte bitte DDS mit einem Doppelklick.
Ändere keine Einstellungen ohne Anweisung
Drücke auf Start.
Wenn der Scan beendet ist, wird DDS 2 Logfiles (dds.txt und attach.txt) auf deinem Desktop erstellen.
Bitte poste beide Logfiles in deiner nächsten Antwort.

Bitte gehe zu Virustotal und lass dort folgendermassen eine Datei überprüfen:

Klicke auf Wählen Sie eine.
Kopiere dann Folgendes in das Eingabefeld für den Dateinamen

Code:

C:\Dokumente und Einstellungen\ahmed\Anwendungsdaten\lsass.exe

und klicke auf Öffnen.
Klicke auf Scannen!.
Solltest du folgende Meldung bekommen:

Zitat:

Datei wurde bereits analysiert - Diese Datei wurde bereits von VirusTotal analysiert am ...

dann klicke auf Neu analysieren.
Warte, bis die Analyse beendet ist, und kopiere dann die URL aus deiner Adresszeile und poste sie hier.

würde es auch gehen wenn ich die C:\Dokumente und Einstellungen\ahmed\Anwendungsdaten\lsass.exe kopiere auf den anderen Pc und dann es analysiere und dann die uRl schicke weil ich von den infizierten keine internetverbindung habe.

https://www.virustotal.com/fr/file/104d96f1f19dd4ce492064acc9634406a019eae20b42d03198e400e661897127/analysis/1377294537/