Trojaner-Board - Polizeivirus Österreich

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Polizeivirus Österreich (https://www.trojaner-board.de/123887-polizeivirus-osterreich.html)

Polizeivirus Österreich

Ich bin erstmal froh bei euch hier gelandet zu sein und hoffe, dass ihr mir helfen könnt!
Ich habe mir gestern den Polizei Virus (Österreich Version) eingefangen (zeigt eine Polizeiseite, die sich nicht mehr entfernen lässt und mich drängt 100€ zu überweisen). Habe Windows 7 (64 bit).
OTL scan durchgeführt
Danke schon mal für Eure Hilfe!

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

 :Files

C:\Users\jowall\Logon.htm

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Hallo
Anweisung ausgeführt
Bei Neustart blue screen:
seeheri.sys
PAGE_TAULT_IN_NONPAGED_AREA
Stop: 0x00000050

Halber Desktop mit grauen Fenster mit aufschrift "chromium" abgedeckt (plokiert)

anbei das File:
Danke

Anhang entfernt //cosinus

wieso hängst du das im forum an, möchtest du, das sich jemand mit malware infiziert?
schaun wir noch mal:
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hallo

Schritte ausgeführt, alles hat funktioniert.
Bitte nächste Schritte, Danke

Anbei das File

Johann

komisch.
starte mal neu, drücke f8 wähle abgesicherter modus mit netzwerk, melde dich im betroffenen konto an, falls das geht:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo

Habe ComboFix ausgeführt.
Alles ohne Fehler durchgelaufen.

Nach dem Neustart ist ein Problem mit "Windows script host" aufgetreten,
danach muss ich 100x bestätigen (ok drücken).
Worann liegt das?
habe bild angehängt.

Danke

tritt das problemnoch auf?

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo
Scann läuft

Das Problem tritt beim Systemstart auf.
Im Logon Script ist die Option "On Error Resume Next" gesetzt, wird aber seit dem Compofix gelaufen ist ignoriert!

Wie kann ich das wieder reparieren?

danke
Johann

welches script? ein von dir selbst erstelltes oder wie?

Hallo
Nein das ist von meiner firma, brauche ich!
Das hat vor den Scann alles bestens funktioniert!
bitte um Lösungsansetze, Danke

mfg
Johann

hi
ist das nen firmen pc oder wie?
dann musst du dich bei malware befall an den admin wenden, hätte ich dir von anfang an gesagt, aber habs in den logs nicht gesehen.

Hallo
Nein ist Privat

Anbei das Logfile von "Malwarebytes Anti-Malware".
Scann erfolgreich abgeschlossen und 6 Files bereinigt (gelöscht).

mfg Johann

kannst du dir das script von der firma neu erstellen und geben lassen?

HJallo
Script Problem erledigt,
Ist noch etwas zur Systemberreinigung durchzuführen, oder ist alles abgeschlossen.
Offensichtlicht funktioniert mein Laptop wieder ohne Fehler.
Vorab besten Dank super Arbeit.
mfg
Johann