BKA Trojaner XP desktop Sperrung auch im abgesicherten Modus
 

Guten Abend.

Bei der Aktualisierung meines Virenprogrammes habe ich mir den BKA Trojaner eingefangen. Ich kann den Rechner aber auch im abgesicherten Modus nicht ohne Sperrbildschirm hochfahren. Was nun??? :killpc:

Mittlerweile habe ich mir diese OTLPE-Datei von einem anderen Rechner gebrannt, den Text in die Box kopiert und den Scan laufen lassen. OTL Datei im Anhang. Und nun?

Kann mir denn niemand helfen? :wtf:

:hallo:

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo Cosinus!
Danke für Deine Hilfe!!!
Über CD bebootet, den Text kopiert und Fix laufen lassen. Das ging sehr schnell und er wollte tatsächlich neu starten. Rechner fährt wieder hoch! Es hat sich aber keine logfile geöffnet und ich habe nichts mit diesem Namen gesehen. Wenn ich sie dir noch zur Verfügung stellen soll, kein Problem, wenn Du mir sagst wo ich sie finde :)
Ich hatte vor ein paar Tagen versucht Malwarebytes auf dem infizierten Rechner zu installieren. Das ging aber nicht weil ich wohl das Service Pack 2 nicht installiert hatte. In der Zwischenzeit habe ich mir das Service Pack 2 auf einem anderen Rechner runtergeladen und installiert. Ich hoffe ich habe deine Arbeit damit nicht irgendwie untergraben sondern unterstützt.
Momentan habe ich gar keinen Virenscan auf dem Desktop. Wenn er clean ist und ich wieder online gehen kann lade ich Avira runter.
Ich hoffe ich habe richtig gezippet?! Habe auf jeden Fall was nach Deiner Anleitung hochgeladen :aufsmaul:
LG, Janine

Bevor wir uns an die weitere Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Erstmal eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Hallo Cosinus.
Danke für den Einlauf!
Ich konnte keine Benutzer irgendwo auswählen. Anbei die beiden Dateien.
LG, Janine

OTL Logfile:
--- --- ---







OTL Logfile:
--- --- ---

[/CODE]

Anleitung nicht gelesen? Du hast schon wieder ein Log mit OTLPE gemacht du solltest aber OTL normal benutzen in deinem installierten Windows!

Hallo Cosinus.
Da war ich wohl von Deinem "Installiere / Deinstalliere keine Software ohne Aufforderung!" noch zu beeindruckt.
Das ist jetzt wirklich nicht böse gemeint und ich bin auch mega dankbar für eure hilfe und bedanke mich auch höflich für jeden Einlauf. Aber ich bin ein Mensch ohne Computer-Gen. Und jetzt halt Dich fest, es kann da schon man passieren das ich einen Fehler mache! Also ich wußte nicht das es noch eine "andere" OTL-Anwendung gibt. Ich habe sie mir jetzt aber aus dem Internet geladen ohne explizit noch mal auf Deine Erlaubnis zu warten :)
Du hast auch nicht geschrieben ob ich irgendwas rückgängig machen soll oder so also habe ich die Schritte unter "Erstmal eine Kontrolle mit OTL bitte" ausgeführt. Muss ich den Fix nicht noch bei OTL machen hatte ihne ja bei OTLPE gemacht?!? Ich habe es noch 2 Mal gelesen ("Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box") aber finde es einfach nicht eindeutig :/

CODE-Tags wie folgt:
OTL Logfile:
--- --- ---


OTL Logfile:
--- --- ---

[/CODE]
[/CODE]

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

[CODE]
GMER Logfile:
--- --- ---

Hm, bitte mal den TDSS-Killer starten:

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

no threats found!

Log von meinen angewiesenen Tools bitte immer komplett und in CODE-Tags posten

Warum lädst du die Tools nicht neu runter?! :wtf:

weiss auch nicht welchem link ich bei euch da gefolg bin :glaskugel:
anbei der scan mit der neuesten Version über filepony:

Wieviele Festplatten hast du in diesem Rechner? Zwei? :wtf:
Auf welcher ist Windows installiert?

Geh mal am besten in die Datenträgerverlwatung (Start, Ausführen, diskmgmt.msc reinschreiben => ok und bitte Fenster maximieren) dann einen Screenshot erstellen und hier posten (in den Anhang das Bild oder bei Saved.im hochladen und hier verlinken)

es sollte eine Festplatte sein, die geteilt wurde

Aber:

zB der TDSS-Killer zeigt mir aber zwei Harddisks an (Harddisk0 + Harddisk1). Ist das etwa ein USB-Stick 4 GB (hier mit 3,77 GB deklariert) und den hattest du dran, als du die Logs erstellt hast nicht aber während du in der Datenträgerverwaltung warst?

verstehe! Ja, ich nutze einen 4GB USB-stick um Dateien vom internetfahigen Laptop zum befallenen & nicht internetfähigen Desktop zu transportieren. Der hat beim Scan wahrscheinlich im port gesteckt!

Ich finde wir sollten vorsichtshalber den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht. Bevor du aswMBR startest bitte auch den USB-Stick abklemmen.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.
Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Anschließend Windows neu starten und ein neues Log mit aswMBR und bitte auch GMER machen

habe weder Daten noch Anti-Virenprogramm auf dem Desktop
aber aswmbr "nur" starten und auf FIX klicken geht nicht weil dann immer eine Fehlermeldung kommt und das Programm beendet wird, muss ich also erst wieder die avast definitionen laden lassen und den scan laufen lassen?

Du solltest auf FixMBR klicken, nicht auf Fix!!

meinte fixMBR, der "nur" fix button ist ja noch gar nicht aktiv
anbei der screenshot von der Fehlermeldung

Mach mal erst nen Scan, dann FixMBR

[CODE]
GMER Logfile:
--- --- ---

Bitte bei uns mal hochladen, Anleitung http://www.trojaner-board.de/54791-a...tml#post349565

Anschließend:

Live-System PartedMagic / GParted

1. Lade Dir ISO-Image von PartedMagic
   
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
   
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist
   
4. Du müsstest ein Symbol PartitionEditor auf dem Desktop finden, das doppelklicken
   
5. Wenn das Tool die Partitionen aufgelistet hat, bitte einen Screenshot mit Hilfe der Taste DRUCK auf der Tastatur erstellen, diesen Screenshot hier posten (idR hast du einen Internetzugang mit PartedMagic, wenn nicht einfach den Screenshot auf einem Stick abspeichern und unter Windows hier posten)

hab die gewünschte Datei hochgeladen

gibt es eine Alternative zu ISO-Image? Erst wird mir angezeigt, dass der Download mit meinem Surfstick 16 Stunden dauern soll aber dann nach wenigen Minuten stürtz mein Internet immer ab

Nein gibt es so nicht. Ich will mir mit einem anderen System deine Partitionen ansehen weil ich Grund zur Annahme habe, dass ein aktiver Schädling unter Windows uns falsche Infos liefert. Deswegen ist der Weg über Linux im Moment alternativlos.

Lade das CD-Abbild doch von einem anderen Rechner mit schneller Internetverbindung runter.

Hallo Cosinus.

Ich danke Dir tausend mal für Deine Hilfe!!!
Eigentlich wollte ich den Desktop nur "flott machen" um ihn dann zu verschenken. An schnelles Internet komme ich leider nicht vor Mitte März. Daher ist mir gerade der Geduldsfaden gerissen. :headbang:

Ich habe die Original Windows XP Home Edition und Heft Version 2002 CD hier vor mir. Mich irritiert das drauf Service Pack 2 drauf steht wo ich doch nur 1 drauf hatte. Aber schlimmer ist das kein Aufkleber mit einem Code auf dem Rechner finde. Oder gab es sowas erst später?
Nun würde ich gerne die Festplatte wieder zusammenlegen, alles formatieren und nur die "Grundausstattung" übergeben.

Dann wäre das Virus-Problem doch auch gelöst, oder? Oder ist das ohne Code nicht möglich?? Sollte ich vorher irgendwas brennen (es sind keine Daten drauf und ich will den Virus loswerden)? Sollte ich einen separaten Thema aufmachen? Du hilfst mir doch :heilig:

Mit einer einfachen Google-Suche hättest du herausgefunden was ein ServicePack überhaupt ist => Service Pack

Ja - ist doch auch logisch oder? Du löscht das komplette System und installierst es über eine Original-CD neu

Was bitte für ein Code meinst du da?
Woher soll ich wissen was für Daten du sichern musst, was für dich wichtig ist und was nicht? :wtf:

Sicherheitscode? Aktivierungscode? Registrierungscode?
Hat Originalsoftware normalerweise nicht sowas?
Und vielleicht wäre es eben möglich gewesen durch das brennen einer Sicherungskopie oder was auch immer eine totale Eliminierung vorzubeugen... :kaffee:

Aber Du bist der Experte! :zunge:

Und warum schreibst du nicht das? So völlig aus dem Kontext gerissen kann ich das ja schlecht wissen, dass du mit "Code" den Windows-Key (Productkey) meinst.
Du tätest gut daran mal auf deinen Rechner selbst zu schauen, normalerweise klebt ein Lizenzaufkleber (COA) mit dem Productkey darauf.

Und deshalb muss ich wissen welche Daten für dich persönlich wichtig sind und welche nicht? :balla: :wtf:

sollte ich das Ding aufschrauben und drinnen nach dem Aufkleber suchen??

Im Rechner ist der garantiert NICHT
Was ist das für ein Rechner von welchem Hersteller
Von welchem Datnträger stammt das jetzt installierte Windows?
Wenn du weiß von welcher CD, dann poste was genau auf dieser CD steht

die Teile vom Rechner habe ich von Snogard und ein Kumpel hat die zusammengebaut

Windows und Office habe ich von Atelco

die CD läßt sich schwer ablesen weil sie so bronze ist. im Uhzeigersinn ab 12h steht da:

enthält service pack 2 version 2002 C 2004 Microsoft Corporation alle rechte vorbehalten 0504 artikel# x10-59486 DE

Microsoft windows xp home edition

sie sind nicht berechtigt, diese software zu verleihen oder unrechtmäßige kopien davon zu erstellen

geeignet für den vertrieb mit einem neuen PC. Produktunterstützung erhalten Sie vom Computerhersteller

Dann scheint das eine Vollversion zu sein, also kein OEM wo der Computerhersteller schon dafür sorgt, den Lizenzaufkleber auf den Rechner pappt. Den hättest du eigentlich mitgeliefert bekommen haben. Entweder auf der CD-Hülle oder wenn dein XP-Paket eingeschweißt war (Inhalt: XP-CD in einer Papierhülle + kleines grünes Heftchen mit Kurzbeschreibung zu XP) hätte der Key auf der Folie sein müssen. Naja, viele haben die Folie auch einfach wegschmissen samt Lizenzaufkleber :balla:

Wenn du den Key partout nicht mehr findest kann dir das hier helfen => Magical Jelly Bean Keyfinder - Download - Filepony

Das Tool (naja es gibt auch zig andere) zeigt dir deinen Windows-Key an

Kann ich mich eigentlich aus dem Thema "Erinnerung an meinen Thread" irgendwie ausklinken? Immer wenn jemand da was postet, was öfters vorkommt, krieg ich ne E-Mail.

Das grüne Heft habe ich auch - aber ohne Aufkleber :rofl:

Das Keyfinder-Programm ist ja toll :singsing: Hab also jetzt den product key!

Erst formatieren oder erst Festplatte wieder zusammenlegen? Und vor allen wie?

Ja ganz einfach, du musst das Abo löschen, das findest du oben rechts bei den Themen-Optionen

Lies doch bitte erstmal den Artikel zur Neuinstallation von windows :( danach fragen wenn Fragen offen sind!