Trojaner-Board - Bundespolizei Trojaner Win 7 64 Bit

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bundespolizei Trojaner Win 7 64 Bit (https://www.trojaner-board.de/114242-bundespolizei-trojaner-win-7-64-bit.html)

Bundespolizei Trojaner Win 7 64 Bit

Hallo,

Mein Rechner fuhr heute urplötzlich runter, startete neu und brachte dann eine Warnung Bundespolizei, Rechner gesperrt, erst bei Zahlung von ---Euro wird er wieder freigeschaltet.
Machen konnte ich sonst nicht mehr mit ihm.

Nachdem ich hier dann gesucht habe bin ich auf einen Beitrag gestoßen der die Benutzung der srep.exe empfohlen hat.

Diesen Beitrag: http://www.trojaner-board.de/103301-...-7-32-bit.html

Das habe ich getan.

auf dem USB stick ist ein:
Ordner: Infected
Inhalt: hkcu.reg + hklm.reg
datei: infectedHKLMx64.reg
datei swreg.exe

folgendes ist in der Shell datei geschrieben

Zitat:

WIN_7 X64 Service Pack 1
Running from O:\

HKLM\..\Winlogon; Shell = explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.

[System Process]
System
smss.exe
csrss.exe
wininit.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
MsMpEng.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
wisptis.exe
wisptis.exe
cmd.exe
conhost.exe
ctfmon.exe
regedit.exe
WmiPrvSE.exe
srep.exe

HKLM\..\Run [V0350Mon.exe] = C:\Windows\V0350Mon.exe
HKLM\..\Run [Acrobat Assistant 8.0] = "D:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
HKLM\..\Run [AirPort Base Station Agent] = "D:\AirPort\APAgent.exe"
HKLM\..\Run [APSDaemon] = "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
HKLM\..\Run [StartCCC] = "D:\ATI\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
HKLM\..\Run [SwitchBoard] = C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
HKLM\..\Run [AdobeCS5.5ServiceManager] = "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin
HKLM\..\Run [SDTray] = "D:\Spybot - Search & Destroy 2\SDTray.exe"

HKCU\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKCU\..\Run [Rainlendar2] = D:\Rainlendar2\Rainlendar2.exe
HKCU\..\Run [Google Update] = "C:\Users\Steffi\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKCU\..\Run [GoodSync] = "D:\GoodSync\GoodSync.exe" /min
HKCU\..\Run [DVBV Service Ctrl] = D:\DVBViewer\DVBVCtrl.exe
HKCU\..\Run [iCloudServices] = C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
HKCU\..\Run [HydraVisionDesktopManager] = "C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe"
HKCU\..\Run [HydraVisionMDEngine] = "C:\Program Files (x86)\ATI Technologies\HydraVision\HydraMD.exe"
HKCU\..\Run [SpybotSD TeaTimer] = D:\Spybot - Search & Destroy\TeaTimer.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-131172324-1995316467-703777075-1004\..\Winlogon; Shell =
HKU\S-1-5-21-131172324-1995316467-703777075-1004_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-131172324-1995316467-703777075-1004\..\Run [Sidebar] = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKU\S-1-5-21-131172324-1995316467-703777075-1004\..\Run [Rainlendar2] = D:\Rainlendar2\Rainlendar2.exe
HKU\S-1-5-21-131172324-1995316467-703777075-1004\..\Run [Google Update] = "C:\Users\Steffi\AppData\Local\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-131172324-1995316467-703777075-1004\..\Run [GoodSync] = "D:\GoodSync\GoodSync.exe" /min
HKU\S-1-5-21-131172324-1995316467-703777075-1004\..\Run [DVBV Service Ctrl] = D:\DVBViewer\DVBVCtrl.exe
HKU\S-1-5-21-131172324-1995316467-703777075-1004\..\Run [iCloudServices] = C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe
HKU\S-1-5-21-131172324-1995316467-703777075-1004\..\Run [HydraVisionDesktopManager] = "C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe"
HKU\S-1-5-21-131172324-1995316467-703777075-1004\..\Run [HydraVisionMDEngine] = "C:\Program Files (x86)\ATI Technologies\HydraVision\HydraMD.exe"
HKU\S-1-5-21-131172324-1995316467-703777075-1004\..\Run [SpybotSD TeaTimer] = D:\Spybot - Search & Destroy\TeaTimer.exe

x64
HKLMx64\..\Winlogon; Shell = explorer.exe [ 2871808- ]
No action taken
HKCUx6464\..\Winlogon; Shell =
No action taken
HKLMx64\..\Winlogon, Shell = explorer.exe
HKCUx64\..\Winlogon, Shell =

==== FINISH 27.04-20.14 ====

Wie soll ich jetzt weiter vorgehen?
Die Meldung erscheint nach wie vor.
Danke schon mal
Lilysam

hi
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Ich habe alles so gemacht wie beschrieben.

Es treten aber Unterschiede auf:

Zitat:

Mache einen doppel Klick auf das OTLPE Icon.

bis dahin ok
dann

Zitat:

• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.

Das werde ich gar nicht gefragt. Es geht ein Fenster auf in dem es heißt ich müsse den Ordner mit Windows öffnen.
Wenn ich da nun C: wähle, kommt die Meldung das wäre nicht Windows 2000 oder höher.

wenn ich c:windows wähle macht das Programm weiter.

Zitat:

Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
Kopiere nun den Inhalt in die
Textbox.

Soweit ok.

Aber beim scannen kam dann eine Meldung "Out of Memory."

ein Ordner otl.txt wird nicht angelegt.

zwei mal der gleiche Ablauf. 2x Fehlermeldung

Mache ich was falsch?

Ist c:windows als Ordner falsch gewählt?

sorry, klappe mal c: auf und wähle dann windows.