Trojaner-Board - Österreichischer Polizeitrojaner auf XP

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Österreichischer Polizeitrojaner auf XP (https://www.trojaner-board.de/126220-osterreichischer-polizeitrojaner-xp.html)

Österreichischer Polizeitrojaner auf XP

Liebes Trojaner-Board Team,

habe jetzt schon längere Zeit den Trojaner auf dem PC. Es funktioniert weder der abgesicherte Modus noch die Konsole. Gestern habe ich ohne Erfolg versucht ihm mit einer Systemwiederherstellung und Systemreperatur entgegen zu wirken.

Im Anhang befinden sich die Logfiles von OTL.

Danke schon mal im Voraus für jegliche Hilfe!

Code:

Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Computer Name: WU1 | User Name: CAD1

Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?
Warum nur SP2 und IE6 für WindowsXP?! Dieser Stand war 2004 aktuell und ist nun hoffnunsglos veraltet und unsicher!

Ja ist ein Büro PC.

Das mit dem Veralteten ist so eine Sache. Es ist der PC von meinem Vater und der ist mit den Updates nicht so dahinter.

Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:

3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

Handelt sich wirklich nur um ein Familienunternehmen, sprich meine Mutter ist noch bei meinem Vater angestellt und das wars.

Trotzdem gilt das hier immer noch:

Zitat:

Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

Soll die Kiste wirklich gereinigt werden und nicht neu installiert?

Ja soll nach Möglichkeit wirklich gereinigt werden, wäre viel Aufwand alle Programme wieder zum Laufen zu bringen.

Beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4 - HKCU..\Run: [] C:\Dokumente und Einstellungen\CAD1\rpcklgjjenh.exe ()

:Files

C:\Dokumente und Einstellungen\CAD1\*.exe

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Alles so erledigt wie du beschrieben hast. Anbei das erstellte Logfile

Wird Windows noch blockiert?

Keine Ahnung hab den PC momentan nicht mit dem Internet verbunden. Soll ich verbinden?

Ja natürlich sollst du das wie willst du es denn sonst feststellen?!

Gut also Windows wird zur Zeit nicht blockiert.

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Zip-Datei ist nun hochgeladen. Entschuldigung, dass es so lange gedauert hat.

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.