Trojaner-Board - Auch mich hat es erwischt.

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Auch mich hat es erwischt. (https://www.trojaner-board.de/136626-mich-hat-erwischt.html)

Auch mich hat es erwischt.

Hallo Trojaner Board Team

zunächst möchte ich mich vorstellen, ich heiße Andi und bin neu hier. Ich habe lange recherchiert über ein Problem das hier so wie ich gelesen habe doch sehr gut bekannt ist.
Mein Rechner ist auch mit diesem Polizeitrojaner infiziert und ich bin nicht mehr in der Lage etwas zu machen.
Habe hier schon einiges gelesen und probiert, komme aber leider doch nicht weiter.
Ich kann meinen Rechner nur noch im abgesicherten Modus mit Eingabeaufforderung starten. Wenn ich dann allerdings den Taskmanager aufrufe, erscheint automatisch wieder der Bildschirm mit dem tollen Foto des Polizisten. Im Moment bin ich wirklich am verzweifeln, weil doch einiges an Daten darauf ist, die ich hätte speichern sollen, aber leider versäumt habe es zu machen.

Ich habe hier schon einiges gelesen und wollte selbst versuchen dieses Ding zu entfernen, aber letzendlich gibt es anscheinend für jeden eine andere Methode.
Ich wäre euch unendlich dankbar, wenn Ihr mir weiterhelfen könntet. Vielen Dank im voraus.

Beste Grüße Andi

:hallo:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hallo

zunächst vielen Dank für die schnelle Antwort.

Leider konnte ich gestern nicht mehr antworten weil ich mehrmals probiert habe die Dateien die ich hier posten sollte auf eine Festplatte zu speichern und mir dann der Rechner abgestürzt ist. Einen Stick besitze ich leider nicht und kann es nur über die Festplatte machen. Ich probiere heute nochmals das Programm zu laden und den Rechner zu starten, ob es klappt weiss ich noch nicht.

Tja ich kann definitiv nichts mehr machen, die Maus funktioniert nicht mehr. Gibt es da noch Hoffnung: ????

Habe es doch noch geschafft an meinen Rechner zu kommen und zu kopieren.

:hallo:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTLpe

Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

:OTL
 

SRV - [2013/06/12 11:37:56 | 000,187,904 | ---- | M] (Корпорация Майкрософт) [Auto] -- C:\DOKUME~1\ALLUSE~1\anwend~1\gco2h.dat -- (winmgmt) 

O4 - HKU\Dietmair_Andre_ON_C..\Run: [ctfmon32.exe] File not found 

O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\regmonstd.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation) 

O4 - Startup: C:\Dokumente und Einstellungen\Dietmair Andre\Startmenü\Programme\Autostart\regmonstd.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation) 

[2013/06/12 11:37:56 | 000,187,904 | ---- | C] (Корпорация Майкрософт) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gco2h.dat 

[2013/06/12 11:37:56 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe 

[2013/05/15 05:21:12 | 000,131,072 | ---- | C] (Hilgraeve, Inc.) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\do6zoje.dat 

[2013/06/12 11:37:58 | 000,000,794 | ---- | M] () -- C:\Dokumente und Einstellungen\Dietmair Andre\Startmenü\Programme\Autostart\regmonstd.lnk 

[2013/06/12 11:37:57 | 000,003,072 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h2ocg.js 

[2013/06/12 11:37:56 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h2ocg.pad 

[2013/05/15 05:21:14 | 000,003,087 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ejoz6od.js 

[2013/05/15 05:21:12 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ejoz6od.pad 
 

:Files 
 

ipconfig /flushdns /c

:Commands

[emptytemp]

Klicke jetzt auf den Fix Button.
Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
Kopiere nun dessen Inhalt hier in deinen Thread.

dann normal neustarten, und:

2. Schritt
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo t`john

vielen Dank für Deine Hilfe.

Nicht böse sein, ich kann mich erst wieder am dienstag abend melden weil ich unterwegs bin und erst am späten abend zurückkomme.
Ich werde mich dann sofort wieder melden.

vielen Dank nochmals.

Gruß Andi

Hallo, bin wieder da.

also ich habe versucht den Code zu kopieren, er lässt sich aber nicht kopieren und einfügen. Gibt es hierzu einen Trick oder eine besondere Verfahrensweise.

Gruß Andi

Kopiere es vorher in den texteditor.

Geht das?

Nein geht auch nicht. Hm ist irgendwie seltsam oder....

Gruß Andi

Auf 'Alles auswaehlen' klicken und STRG+C druecken.

Zum Enfuegen STRG+V druecken.

Hallo t´john

vielen Dank. Morgen abend habe ich dann mehr Zeit. Danke für den Tipp und die Mühe.

Gruß Andi

Hallo t`john

danke der Nachfrage, ich habe ein anderes schwerwiegendes Problem bekommen, das muß ich jetzt auch noch abarbeiten, aber ich melde mich sicherlich, danke für deine Hilfe.
Ich melde mich so schnell es geht. Bitte nimm diese Postings nicht aus deinem Verteiler.
Leider geht nicht immer alles so in Ordnung bei Menschen wie man es sich vorstellt.

Danke für alles

Gruß Andi

Kein Problem, wir machen weiter sobald du kannst.