Trojaner-Board - system repair virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - system repair virus (https://www.trojaner-board.de/131396-system-repair-virus.html)

system repair virus

Hi Trojaner Board,

ich habe ein Problem mit meinem Rechner :heulen: und denke nachdem ich mich im Forum belesen habe das es sich dabei um den Virus "System Repair" handelt.

Mein Antivir hat 2 Virenwarnungen erfasst. Anschließend habe ich versucht über entfernen diese zu löschen. Leider war dies nicht erfolgreich und mein ANtivir hat mich immer wieder gewahrnt. Ich habe dannach den Rechner heruntergefahren und wieder angeschalten. Dabei öffnete sich das Programm "System Repair" mit der Aufforderung das System zu überprüfen.

Das Programm erschien mir als seriös sodass ich den Scan über "system repair" durchgeführt habe. Anschließend wurde ich auf mögliche infizierte Fundstellen aufmerksam gemacht.
Als ich aufgefordert wurde die Software im INternet zu aktualisieren wurde ich stutzig und habe diese Aktualisierung nicht durchgeführt.

Nebenbei hatte ich einen schwarzen Desktop mit Ausnahme der Verknüpfung "system repair"
Der Rechner lässt sich noch starten allerdings sind all meine Programme verschwunden.

Habe dann den Rechner ausgemacht und seit dem nicht wieder angefasst.

Benötige Bitte Eure Hilfe um wieder Herr über meinen Rechner zu werden.

Hallo Smilow und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf

Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
- Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
- Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
- Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
- Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
- .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
- .. installiere oder deinstalliere während der Bereinigung keine Software.
- .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).

Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
- Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
- Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.

Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.

Starte den Rechner bitte in den abgesicherten Modus mit Netzwerktreibern. (Anleitung)
Dort:

Schritt 1

Downloade dir bitte rKill (by Grinler) von einem dieser Downloadspiegel:

Dies sind umbenannte Kopien:

Speichere die Datei auf den Desktop.

Starte dann das Programm.
Nun sollte ein schwarzes Fenster aufgehen und dir anzeigen, dass es läuft.
Wenn das nicht der Fall ist, lösche die vorhandene Version und benutze einen anderen Downloadlink.
Lass das Tool in Ruhe laufen.
Am Ende des Suchlaufs erscheint eine Meldung. Bestätige diese mit Ok.
RKill öffnet automatisch die Logdatei. Poste diese bitte mit deiner nächsten Antwort.
Du findest die Logdatei (Rkill.txt) auch auf deinem Desktop.

Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit.

Schritt 2

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts löschen, sondern nur einen Scan-Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.

Starte die TDSSKiller.exe.
Drücke Start Scan.
Warnung: Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
Poste bitte den Inhalt dieses Logfiles hier in den Thread.

Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

Doppelklick auf die OTL.exe.
Unter Extra Registry, wähle bitte Use SafeList.
Setze den Haken bei Scan all Users.
Klicke nun auf Run Scan.
Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von rKill
Log von TDSSKiller
Logs von OTL

Hi Leo, vorab vielen Dank für Deine Unterstützung.

Leider bin ich gleich am ersten Punkt gescheitert.
Habe den Rechner im "abgesicherten Modus mit Netzwerktreibern" gestartet doch leider ohne Erfolg. Er sagt mir es ist nicht möglich in diesem Modus zu starten. Er geht nach ca. 10-15 sec. in den letzten bekannten Windows Stand über.
Leerer Desktop mit der Verlinkung zu System repair.

Ich muss dazu sagen, dass mein W-Lan noch aktiv ist. Sollte ich dies evtl. am Rechner ausschalten?

Ok, dann führe die obige Anleitung ganz normal in Windows durch, wenn der abgesicherte Modus nicht funktioniert.
Und nein, das WLAN brauchst du nicht auszuschalten.
Wenn es dich im Schritt 1 die Datei nicht herunterladen lässt, dann kannst du sie auf einem Zweitrechner downloaden und per USB-Stick auf den Desktop des infizierten Rechners bringen.
(Übrigens: Deine Dateien und Programme sind nicht weg, nur ausgeblendet. Wir kümmern uns dann nachher darum.)

habe den infizierten Rechner normal unter Windows gestartet, komme leider wieder zum schwarzen Bildschirm. Wollte den Explorer öffnern und Schritt 1 durchzuführen aber der Explorer öffnet sich nicht. Auch das mit dem Stick hat nicht funktioniert, weil ich meinen Arbeitsplatz am infizierten Rechner nicht sehe.

Ich hatte ja den "abgesicherten Modus mit Netzwektreibern" verucht zu starten, sollte ich es evtl. in einem anderen abgesicherten Modus probieren?

Was hast du für ein Betriebssystem? Windows XP, Vista, 7? Ist es ein 32-bit oder 64-bit?

es ist ein Windows XP Betriebssystem mit 64-bit

Kannst du den Explorer öffnen, indem du die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste drückst, dann "explorer" in das Ausführen-Fenster schreibst und mit OK bestätigst? Und dann dort den Arbeitsplatz und den USB-Stick suchst?

mit drücken der Tastenkombination hat sich das Fenster geöffnet. Habe in das Ausführen - Fenster explorer geschrieben und danach mit OK bestätigt.
Leider ist dann jedoch nichts passiert. Habe dies ein zweites mal durchgeführt, ebenfalls erfolglos.

Smilow

So, es reicht.
Erstelle auf deinem Zweitrechner wie beschrieben folgende CD und boote dann den infizierten Computer von dieser.

Auf dem Zweitrechner:
Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote den infizierten Rechner von der OTLPE CD.
Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hi Leo,
ich habe die Schritte soweit abgearbeitet.
Leider hat mir OTLPE nur die "OTL" Datei ausgespuckt. Habe ich evtl. irgendwo ein Häckchen nicht gesetzt?

Hi,

das ist schon ok so.

Schritt 1

Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch xxx), dann mach das hier wieder rückgängig.

Code:

:OTL

O4 - HKLM..\Run: [XHnASFcJrnlLmYD.exe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\XHnASFcJrnlLmYD.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O7 - HKU\xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

[2013/02/19 13:50:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\System Repair

[2013/02/19 14:11:59 | 000,001,818 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\System Repair.lnk

[2013/02/19 13:50:59 | 000,001,800 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\System Repair.lnk

[2013/02/19 13:40:02 | 000,000,184 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-XHnASFcJrnlLmYDr

[2013/02/19 13:40:02 | 000,000,160 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-XHnASFcJrnlLmYD

[2013/02/19 13:39:40 | 000,000,168 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\XHnASFcJrnlLmYD

[2013/02/19 13:38:39 | 000,294,912 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\XHnASFcJrnlLmYD.exe

Klicke jetzt auf den Fix Button.
Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
Kopiere nun dessen Inhalt hier in deinen Thread.

Der nächste Schritt sollte all die versteckten Symbole wieder sichtbar machen.
Versuch das wieder normal in Windows auszuführen.

Schritt 2

Downloade bitte Grinler's unhide.exe auf deinen Desktop.

Starte das Tool mit Doppelklick.
Wenn es fertig ist, wird eine Nachricht mit "Done" erscheinen.
Es wird auch ein Logfile Unhide.txt erstellt. Poste dieses bitte hier.

Schritt 3

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts löschen, sondern nur einen Scan-Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.

Starte die TDSSKiller.exe.
Drücke Start Scan.
Warnung: Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
Poste bitte den Inhalt dieses Logfiles hier in den Thread.

Schritt 4

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

Doppelklick auf die OTL.exe.
Unter Extra Registry, wähle bitte Use SafeList.
Setze den Haken bei Scan all Users.
Klicke nun auf Run Scan.
Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Fixlog von OTLpe
Log von Unhide
Log von TDSSKiller
Log von OTL

Hi Leo, ich klinke mich für heut aus, bin echt k.o. Möchte mich jedoch schon im Vorfeld für Deine Hilfe bedanken. Machs gut-bis bald! Smilow

Ok, alles klar.
Melde dich einfach wieder hier, wenn du diese Punkte abgearbeitet hast.
Gute Nacht.

Hi Leo, ich habe Schritt 1 durchgeführt.
- Inhalt aus der Codebox kopiert, eingefügt und anschließend run fix
- nach dem Run Fix hatte ich einen Text in der Codebox stehen (als post angefügt)
- danach habe ich die CD herausgenommen und versucht normal unter Windows zu starten

kleiner Erfolg hat soweit funktioniert :singsing: (System repair ist vom Desktop verschwunden), allerdings habe ich die Textdatei nicht auf dem Desktop gefunden, der Arbeitsplatz mit Laufwerk C ist ebenfalls nicht verfügbar.

Ich glaube ich habe zu Beginn einen Fehler gemacht und den Benutznamen nicht mehr korrekt eingetragen!
Daher auch die 2 OTL files :pfeiff: habe es zweimal probiert zu fixen.

Grüße Smilow