Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   [BKA Trojaner Malware] Zugriff auf PC möglich aber kein Taskmanager (https://www.trojaner-board.de/106276-bka-trojaner-malware-zugriff-pc-moeglich-kein-taskmanager.html)

Dark123 15.12.2011 17:56
[BKA Trojaner Malware] Zugriff auf PC möglich aber kein Taskmanager
 
Hi,
auch ich habe mir die Malware des Bundestrojaner eingefangen ("Ihr PC wurde für illegale Aktivitäten verwendet... bezahlen Sie 100€ damit er wieder freigeschaltet wird").
Nachdem der PC "gesperrt" war konnte ich nach einem Neustart in den abgesicherten Modus von Windows. Hier habe ich aus dem Autostart eine .exe Datei gelöscht, die dort von der Malware installiert wurde.
Nun ist mir ein normaler Zugriff auf Windows möglich, aber komplett weg ist die Malware natürlich nicht.
Den Taskmanager bekomme ich z.B. nicht geöffnet, nach STR+ALT+ENTF ist er "ausgegraut".
Regedit Zugriff ist möglich.

Meine Frage nun, ob ich hier um ein Neuaufsetzen des Betriebssystem rumkomme.

Gruß + Vielen Dank für die Mühe
Sebastian

System: Windows XP (aktuellsten Patches drauf)

Chris4You 15.12.2011 18:52
Hi,

versuche OTL laufen zu lassen, geht das nicht bitte im abgesicherten Modus mit Eingabeaufforderung booten (F8 beim Booten drücken)...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

chris

Dark123 15.12.2011 19:18
Vielen Dank für die Antwort.
OTL ließ sich in Windows ohne Probleme ausführen.
Anbei die Dateien

Chris4You 15.12.2011 19:29
Hi,


Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:
:OTL
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O33 - MountPoints2\{d410b936-2f52-11df-a479-0018deca9496}\Shell - "" = AutoRun
O33 - MountPoints2\{d410b936-2f52-11df-a479-0018deca9496}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d410b936-2f52-11df-a479-0018deca9496}\Shell\AutoRun\command - "" = D:\autorun.exe
O33 - MountPoints2\{dcaea50e-b782-11df-a60a-0018deca9496}\Shell - "" = AutoRun
O33 - MountPoints2\{dcaea50e-b782-11df-a60a-0018deca9496}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{dcaea50e-b782-11df-a60a-0018deca9496}\Shell\AutoRun\command - "" = D:\setup.exe
:Commands
[emptytemp]
[EMPTYFLASH]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Dark123 16.12.2011 00:00
Hallo,
beide Programme ausgeführt.
Zugriff auf Taskmanager ist wieder möglich.
Für mich jetzt keine direkten Auswirkungen mehr sichtbar!

Anbei die Logs

Chris4You 16.12.2011 07:19
Hik,

nur zur Sicherheit noch...

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Dark123 16.12.2011 12:03
Hallo Chris,
TDSSKILLER ausgeführt wie beschrieben, es wird ein Objekt gefunden, siehe Anhang.
(Kurze selbstrecherche meinerseites hat ergeben, dass es etwas mit dem von mir installiertem Daemon-Tools zu tun haben könnte)

Gruß
Sebastian

Chris4You 16.12.2011 12:09
Hi,

ja, gehört normalerweise zu Daemon-Tools...
Falls nicht benötigt:

SPTD.SYS entfernen
Normalerweise gehört die Datei sptd.sys zu Daemontools bzw. Alcohol180, wird aber bei deren deinstallation nicht mit entfernt, daher:
Zur vollautomatischen Deinstallation von SPTD.SYS kannst Du ein SPTD Entfernungstool (DuplexSecure - Downloads) nutzen.
Beachte die unterschiedlichen Versionen für 32bit und 64bit Systeme.
Starte die Datei und wählen Uninstall aus. Anschließend neu booten. Eventuell muss dann Nero neu installiert bzw. repariert werden.

Sonst sieht es gut aus...

chris

Dark123 16.12.2011 12:14
Perfekt.
Chris ich Danke dir vielmals für die kompetente und freundliche Unterstüzung bei meinem Problem!

:dankeschoen:

Gruß + schönes Fest und Feiertage
Sebastian


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131