Trojaner-Board - "Polizei: Cyber Crime Investigation Department" Trojaner: habe bereits OTL.Txt und Extras.Txt. erstellt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - "Polizei: Cyber Crime Investigation Department" Trojaner: habe bereits OTL.Txt und Extras.Txt. erstellt (https://www.trojaner-board.de/126704-polizei-cyber-crime-investigation-department-trojaner-habe-bereits-otl-txt-extras-txt-erstellt.html)

"Polizei: Cyber Crime Investigation Department" Trojaner: habe bereits OTL.Txt und Extras.Txt. erstellt

Hallo liebe Forumsmitglieder!

Ich hatte diesen "Cyber Crime Investigation Department"-Trojaner nun leider schon das 2. Mal und dieses Mal kann ich nicht einmal mehr im abgesicherten Modus arbeiten (weißer Bildschirm erscheint). Ich habe Windows 7 und verwende den Virenschutz AVG.

Es wäre großartig, wenn mir jemand bei meinem Problem helfen könnte, da ich mich im Moment mitten im Unistress befinde und ein paar ungesicherte Dateien auf meinem Laptop sind :-/ (ich weiß, nicht sehr klug, aber das passiert mir kein zweites Mal!)

Ihr findet die txt- und extras-Datei im Anhang!

Danke schon im Vorhinein für jegliche Tipps!

Liebe Grüße,

Lilithin

Hab' ich irgendwelche Informationen vergessen anzugeben oder steht die Lösung zu meinem Problem bereits irgendwo im Forum - oder gibt es vielleicht einen anderen Grund, wieso mir noch niemand geantwortet hat?

hast du die forenregeln gelesen, ne antwort kann dauern.
wir sind hier in unserer freizeit, und machen das kostenlos.
wem es nicht schnell genug geht, der muss in ein pc geschäft gehen, und dort für geleistete arbeit zahleln. ob man dort, aber innerhalb von 3 stunden drann kommt bzw fertig ist, ist zu bezweifeln

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

:OTL

O20 - HKU\Sonja_ON_C Winlogon: Shell - (C:\Users\Sonja\AppData\Roaming\msconfig.dat) - C:\Users\Sonja\AppData\Roaming\msconfig.dat (ICQ, LLC.)

[2012/11/08 09:39:15 | 000,000,047 | ---- | M] () -- C:\Users\Sonja\AppData\Roaming\msconfig.ini

:Files

C:\Users\Sonja\AppData\Roaming\msconfig.dat

:Commands

[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
wenn dies erledigt ist, bittemelden.

hi
danke für den upload von moved files.
bitte noch mit dem upload des caches weitermachen, danke

Lieber Markus,

ich wollte absolut nicht ungeduldig sein - ich dachte bloß, nachdem sich bereits 25 Forumsmitgliedern meinen Post in so kurzer Zeit angesehen hatten und niemand geantwortet hat, dass ich vielleicht irgendetwas vergessen/falsch gemacht habe.

Auf jeden Fall bin ich dir wirklich sehr dankbar für deine Hilfe!

Movedfiles.zip habe ich erfolgreich upgeloadet. Cache habe ich leider nicht gefunden, diesen Pfad gibt es auf meinem Laptop nicht, bei mir gibt es folgende Auswahlmöglichkeiten: C/Benutzer/Sonja/ und danach folgende Optionen: .freemind, .narya, Desktop, Downloads, Eigene Bilderusw., Kontakte, Links, Suchvorgänge, 3cel21flpx, ms

Es ist schon mal großartig, dass ich jetzt meine Daten sichern konnte, danke!

ok dann weiter

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Guten Morgen!

Anbei combofix.txt!

Liebe Grüße!

download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

nutzt du den pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem?

Ja, sowohl für Onlinebanking als auch Zahlungen, z.B. Einkäufe bei Amazon.

LG, Lilithin

hi
bank anrufen, onlinebanking wegen Necurs rootkits sperren lassen!
da man pcs, die mit rootkits infiziert waren, nicht 100 %ig sicher reinigen kann:
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
recovery cd oder recovery partition.
falls dies ein fertig pc ist, nenne hersteller + typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Hallo Markus,

Ich bin im Moment sehr beschäftigt und würde deine Empfehlungen erst in ca. 1 Monat durchführen wollen. Ist das eine Gefahr, wenn ich bis dahin kein Online-Banking oder Online-Shopping mehr durchführe bzw. reicht es, wenn ich mein Online-Banking-Passwort sowie mein Kreditkarten-Passwort für diese Zwischenzeit ändere?

LG, Sonja

hi
wenn der pc nicht online geht in der zeit ist das ok.
alle passwörter, die eingegeben werden, während der pc noch infiziert ist, müssen geendert werden, alle anderen passwörter, die du nicht mehr an dem pc eingibts, und woanders änderst sind ok.