Trojaner-Board - ,,Offizielle Mitteilung des Bundeskriminalamtes''

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - ,,Offizielle Mitteilung des Bundeskriminalamtes'' (https://www.trojaner-board.de/102273-offizielle-mitteilung-bundeskriminalamtes.html)

,,Offizielle Mitteilung des Bundeskriminalamtes''

Hallo zusammen,

hab mir beim surfen im Internet einen Trojaner eingefangen.

Es handelt sich um den Trojaner: ,,Offizielle Mitteilung des Bundeskriminalamtes''

Kann mir Bitte jemand helfen ich kann mein Laptop nicht mehr hochfahren. Sofort nach der Passworteingabe erscheint das Fenster.

Ich bin über jede Hilfe dankbar.

Danke!!!

Da musst du mit OTLPE ran. Benötigt wird dafür ein zweiter (virenfreier!!) Windows-Rechner mit Brenner und einen CD-R oder CD-RW Rohling. Den infizierten Rechner von dieser selbstgebrannten OTLPE-CD dann booten.

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo,

danke erstmal.
Ich werde deine Instruktionen erst am Wochenende ausprobieren können.
Habe hier leider kein Rechner mit Brenner.

Danke nochmals vorab für deine Hilfe.

Gruß Andi

Hallo,

ich habe die CD gebootet und jetzt den REATOGO Desktop.

Wenn ich auf OTLPE klicke und das Programm öffnen will muss ich doch auf My Computer? Oder ?
Wenn ich My Computer wähle sagt er ,,No windows installations found''

Was ist das Problem ?

Danke!

Du musst den Windows-Ordner auswählen...

Hallo,

anbei die OTL.txt.
Eine Extras.txt kann ich nicht finden.

Danke für deine nächste Antwort.

Gruß Andi

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

IE - HKLM\..\URLSearchHook:  - Reg Error: Key error. File not found

IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Program Files\ICQ6Toolbar\20110121222219\ICQToolBar.dll (ICQ)

IE - HKLM\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)

IE - HKU\.DEFAULT\..\URLSearchHook:  - Reg Error: Key error. File not found

IE - HKU\.DEFAULT\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Program Files\ICQ6Toolbar\20110121222219\ICQToolBar.dll (ICQ)

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Andi_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page = http://plasmoo.com

IE - HKU\Andi_ON_E\..\URLSearchHook:  - Reg Error: Key error. File not found

IE - HKU\Andi_ON_E\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Program Files\ICQ6Toolbar\20110121222219\ICQToolBar.dll (ICQ)

IE - HKU\Andi_ON_E\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)

FF - prefs.js..browser.search.defaultenginename: "Plasmoo"

FF - prefs.js..browser.search.defaultthis.engineName: "Plasmoo"

FF - prefs.js..browser.search.defaulturl: "http://plasmoo.com/index.htm?SearchMashine=true&amp;q={searchTerms}"

FF - prefs.js..browser.search.selectedEngine: "Plasmoo"

FF - prefs.js..keyword.URL: "http://plasmoo.com/index.htm?SearchMashine=true&q="

FF - prefs.js..network.proxy.type: 0

[2011/06/24 05:03:40 | 000,000,000 | ---D | M] (Plasmoo Search Engine) -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\ql6f4xmp.default\extensions\engine@plasmoo.com

[2011/08/06 09:42:15 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\extensions

[2011/05/14 07:46:39 | 000,000,000 | ---D | M] (mediaplayerconnectivity) -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\extensions\{84b24861-62f6-364b-eba5-2e5e2061d7e6}

[2011/06/24 05:03:38 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

[2011/06/24 05:03:40 | 000,000,000 | ---D | M] (Plasmoo Search Engine) -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\extensions\engine@plasmoo.com

[2011/04/28 13:42:58 | 000,001,975 | ---- | M] () -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\searchplugins\plasmoo.xml

O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - E:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)

O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - E:\Program Files\ICQ6Toolbar\20110121222219\ICQToolBar.dll (ICQ)

O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)

O3 - HKU\Andi_ON_E\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)

O4 - HKU\Andi_ON_E..\Run: []  File not found

O20 - HKU\Andi_ON_E Winlogon: Shell - (C:\Users\Andi\AppData\Local\Temp\0.07829442597989866.exe) - E:\Users\Andi\AppData\Local\Temp\0.07829442597989866.exe ()

@Alternate Data Stream - 104 bytes -> E:\ProgramData\TEMP:D1B5B4F1O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - E:\autoexec.bat -- [ NTFS ]

@Alternate Data Stream - 104 bytes -> E:\ProgramData\TEMP:D1B5B4F1

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Tag,

hat alles problemlos funktioniert.
Hab die Zip Datei hochgeladen.

Sind noch weitere Schritte notwendig ?

Nochmals vielen Dank!

Gruß Andi

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom im normalen Windows-Modus (kein OTLPE!)

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Tag,

hier der Befund von Malewarebytes.

Bis dann! Danke

Zitat:

d:\documents\programme\autocad_2009\CYGiSO\xf-acad9-32-bits.exe (RiskWare.Tool.HCK) -> No action taken.
d:\documents\programme\autocad_2009\CYGiSO\xf-acad9-64-bits.exe (RiskWare.Tool.CK) -> No action taken.

:pfui:

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

Hallo,

das wundert mich. Ich hab dieses Programm schon länger nicht mehr auf dem PC. Kann ich da mit noch weiteren Schädlingen rechnen oder was ist zu tun ?

Anbei der OTL Logfile.

Danke.

Die Cracks sprechen aber Bände. Einmal ausgeführt, hast du den Mist im Rechner, was soll da ein Uninstall helfen? :stirn:

http://www.world-of-smilies.com/wos_...eschlossen.gif