Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: ,,Offizielle Mitteilung des Bundeskriminalamtes''

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Thema geschlossen
Alt 09.08.2011, 13:56   #1
andi_1984
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Hallo zusammen,

hab mir beim surfen im Internet einen Trojaner eingefangen.

Es handelt sich um den Trojaner: ,,Offizielle Mitteilung des Bundeskriminalamtes''

Kann mir Bitte jemand helfen ich kann mein Laptop nicht mehr hochfahren. Sofort nach der Passworteingabe erscheint das Fenster.

Ich bin über jede Hilfe dankbar.

Danke!!!

Alt 10.08.2011, 14:17   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Da musst du mit OTLPE ran. Benötigt wird dafür ein zweiter (virenfreier!!) Windows-Rechner mit Brenner und einen CD-R oder CD-RW Rohling. Den infizierten Rechner von dieser selbstgebrannten OTLPE-CD dann booten.


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________

__________________

Alt 10.08.2011, 15:56   #3
andi_1984
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Hallo,

danke erstmal.
Ich werde deine Instruktionen erst am Wochenende ausprobieren können.
Habe hier leider kein Rechner mit Brenner.

Danke nochmals vorab für deine Hilfe.

Gruß Andi
__________________

Alt 12.08.2011, 21:40   #4
andi_1984
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Hallo,

ich habe die CD gebootet und jetzt den REATOGO Desktop.

Wenn ich auf OTLPE klicke und das Programm öffnen will muss ich doch auf My Computer? Oder ?
Wenn ich My Computer wähle sagt er ,,No windows installations found''

Was ist das Problem ?

Danke!

Alt 12.08.2011, 22:21   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Du musst den Windows-Ordner auswählen...

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.08.2011, 19:57   #6
andi_1984
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Hallo,

anbei die OTL.txt.
Eine Extras.txt kann ich nicht finden.

Danke für deine nächste Antwort.

Gruß Andi

Alt 15.08.2011, 13:50   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
IE - HKLM\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Program Files\ICQ6Toolbar\20110121222219\ICQToolBar.dll (ICQ)
IE - HKLM\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)
IE - HKU\.DEFAULT\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\.DEFAULT\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Program Files\ICQ6Toolbar\20110121222219\ICQToolBar.dll (ICQ)
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Andi_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page = http://plasmoo.com
IE - HKU\Andi_ON_E\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\Andi_ON_E\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Program Files\ICQ6Toolbar\20110121222219\ICQToolBar.dll (ICQ)
IE - HKU\Andi_ON_E\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)
FF - prefs.js..browser.search.defaultenginename: "Plasmoo"
FF - prefs.js..browser.search.defaultthis.engineName: "Plasmoo"
FF - prefs.js..browser.search.defaulturl: "http://plasmoo.com/index.htm?SearchMashine=true&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Plasmoo"
FF - prefs.js..keyword.URL: "http://plasmoo.com/index.htm?SearchMashine=true&q="
FF - prefs.js..network.proxy.type: 0
[2011/06/24 05:03:40 | 000,000,000 | ---D | M] (Plasmoo Search Engine) -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\ql6f4xmp.default\extensions\engine@plasmoo.com
[2011/08/06 09:42:15 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\extensions
[2011/05/14 07:46:39 | 000,000,000 | ---D | M] (mediaplayerconnectivity) -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\extensions\{84b24861-62f6-364b-eba5-2e5e2061d7e6}
[2011/06/24 05:03:38 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011/06/24 05:03:40 | 000,000,000 | ---D | M] (Plasmoo Search Engine) -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\extensions\engine@plasmoo.com
[2011/04/28 13:42:58 | 000,001,975 | ---- | M] () -- E:\Users\Andi\AppData\Roaming\Mozilla\Firefox\Profiles\y4wrggrm.default\searchplugins\plasmoo.xml
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - E:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - E:\Program Files\ICQ6Toolbar\20110121222219\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)
O3 - HKU\Andi_ON_E\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - E:\Program Files\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.)
O4 - HKU\Andi_ON_E..\Run: []  File not found
O20 - HKU\Andi_ON_E Winlogon: Shell - (C:\Users\Andi\AppData\Local\Temp\0.07829442597989866.exe) - E:\Users\Andi\AppData\Local\Temp\0.07829442597989866.exe ()
@Alternate Data Stream - 104 bytes -> E:\ProgramData\TEMP:D1B5B4F1O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - E:\autoexec.bat -- [ NTFS ]
@Alternate Data Stream - 104 bytes -> E:\ProgramData\TEMP:D1B5B4F1
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.08.2011, 21:41   #8
andi_1984
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Tag,

hat alles problemlos funktioniert.
Hab die Zip Datei hochgeladen.

Sind noch weitere Schritte notwendig ?

Nochmals vielen Dank!

Gruß Andi

Alt 15.08.2011, 21:42   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom im normalen Windows-Modus (kein OTLPE!)


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 16.08.2011, 22:43   #10
andi_1984
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Tag,

hier der Befund von Malewarebytes.

Bis dann! Danke

Alt 17.08.2011, 10:21   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Zitat:
d:\documents\programme\autocad_2009\CYGiSO\xf-acad9-32-bits.exe (RiskWare.Tool.HCK) -> No action taken.
d:\documents\programme\autocad_2009\CYGiSO\xf-acad9-64-bits.exe (RiskWare.Tool.CK) -> No action taken.


Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.08.2011, 19:23   #12
andi_1984
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Hallo,

das wundert mich. Ich hab dieses Programm schon länger nicht mehr auf dem PC. Kann ich da mit noch weiteren Schädlingen rechnen oder was ist zu tun ?

Anbei der OTL Logfile.

Danke.

Alt 17.08.2011, 21:51   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
,,Offizielle Mitteilung des Bundeskriminalamtes'' - Standard

,,Offizielle Mitteilung des Bundeskriminalamtes''



Die Cracks sprechen aber Bände. Einmal ausgeführt, hast du den Mist im Rechner, was soll da ein Uninstall helfen?

__________________
Logfiles bitte immer in CODE-Tags posten

Thema geschlossen

Themen zu ,,Offizielle Mitteilung des Bundeskriminalamtes''
eingabe, erschein, erscheint, hallo zusammen, inter, interne, internet, laptop, nicht mehr, offizielle, sofort, surfe, surfen, troja, trojaner, zusammen



Ähnliche Themen: ,,Offizielle Mitteilung des Bundeskriminalamtes''


  1. Ständig neue Fenster in allen Browsern mit Mitteilung, dass Rechner zu lansam etc.
    Log-Analyse und Auswertung - 17.03.2014 (4)
  2. BSI Mitteilung über Sperrung der Daten! (bekannter Trojaner) Alles läuft weiterhin problemlos. Trojaner ja oder nein?
    Log-Analyse und Auswertung - 27.10.2013 (5)
  3. Sparkassen Trojaner Testüberweisung und Mitteilung von Telekom ZeuS/ZBot
    Plagegeister aller Art und deren Bekämpfung - 15.02.2013 (9)
  4. Malwarebytes findet Exploit.Drop.GSA und Mitteilung über 100 €-Zahlung Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 14.01.2013 (15)
  5. "Die offizielle Mitteilung des Bundeskriminalamtes" Trojaner - OTLPE Logfile
    Log-Analyse und Auswertung - 29.09.2011 (32)
  6. Und noch einer: Mitteilung des bundeskriminalamtes - meine OTL.txt
    Log-Analyse und Auswertung - 10.08.2011 (28)
  7. und immer wieder: die offizielle Mitteilung des Bundeskriminalamts
    Log-Analyse und Auswertung - 27.06.2011 (10)
  8. Die offizielle Mitteilung des Bundeskriminalamtes
    Log-Analyse und Auswertung - 31.05.2011 (9)
  9. "die offizielle mitteilung des bundeskriminalamtes",komme einfach nicht weiter
    Log-Analyse und Auswertung - 26.04.2011 (1)
  10. Mitteilung des BUNDESKRIMINALAMTS
    Log-Analyse und Auswertung - 21.04.2011 (35)
  11. Virus Die offiziele Mitteilung des Bundeskriminalamtes
    Log-Analyse und Auswertung - 14.04.2011 (7)
  12. hijackthis.de und andere offizielle Seiten geblockt
    Log-Analyse und Auswertung - 07.07.2009 (4)
  13. Mitteilung An Cronos Und Cidre !!!
    Plagegeister aller Art und deren Bekämpfung - 21.06.2005 (1)
  14. offizielle patches mit Viren?
    Log-Analyse und Auswertung - 28.02.2005 (4)
  15. Offizielle Ad-aware Sprachdatei erschienen
    Antiviren-, Firewall- und andere Schutzprogramme - 17.10.2004 (0)

Zum Thema ,,Offizielle Mitteilung des Bundeskriminalamtes'' - Hallo zusammen, hab mir beim surfen im Internet einen Trojaner eingefangen. Es handelt sich um den Trojaner: ,,Offizielle Mitteilung des Bundeskriminalamtes'' Kann mir Bitte jemand helfen ich kann mein Laptop - ,,Offizielle Mitteilung des Bundeskriminalamtes''...
Archiv
Du betrachtest: ,,Offizielle Mitteilung des Bundeskriminalamtes'' auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.