Hallo!

So wie mehrere bereits hier gepostet haben, habe auch ich mir nun den "Metropolitan Police" Virus heute kurz vor Mitternacht eingefangen.
Was mich erstaunt ist die Welle, wie viele auf einmal seit heute Nacht bzw. gestern Abend betroffen sind.

Ich habe OTL per Boot CD ausgeführt und "Do you wish to load the remote registry" mit Yes geantwortet, sowie ein Häkchen bei der Option"Automatically Load All Remaining Users gesetzt, sowie - zwangshalber - einen Ordner ausgewählt (nicht den Administrator oder All Users - Ordner, sondern mein Name, also "Max.Mustermann").

Den Unterpunkt "Extra Registry" habe ich vor dem Scan von None auf Use SafeList, da sonst keine Extra.txt kreiert wird.
Auch habe ich "File Age" auf 7 Tage gesetzt, da ich weiß, dass es gestern passiert ist.

Wichtig: Wie ich von bereits geposteten Ansätzen herausgelesen habe, existieren Teile des Virus in Temporary Internet Files Ordnern, sowohl im Ordner des Administrator-Kontos, als auch meines Kontos, und vielleicht anderen Ordnern? Zum Beispiel existiert eine paysafe Datei, eine ukash Datei (Diese stehen für die Logos im Bild des Virus).
Jedoch: Anders als bei einem gelösten Ansatz in diesem Forum finde ich in diesen Ordnern keine .exe Datei.


Ich meine, dass die Datei bei O20 in der OTL.txt der Verursacher sein könnte. Diese lösche ich gleich mal. Sehr verdächtig ist, dass sie als BitDefender-Datei deklariert wird...

Kann mir jemand eventuell helfen?

Gruß Christian!

Okay, meine Vermutung war korrekt.

Löschen der Datei führt wie bei einem anderen Poster dazu, dass die Meldung verschwindet. Meinen Xp-Hintergrund sehe ich wieder, jedoch keine einzige Datei. Auch ein Öffnen und Schließen der explorer.exe führt zu keinem Erfolg.

Die einzige Möglichkeit, im Moment durch XP zu navigieren, ist per Task-Manager...
Was kann ich tun, damit ich wieder normal "sehen" kann?

Ich habe Avira Free im Moment als Antiviren-Tool, und das hat die Trojaner-exe nicht erkannt. Was für ein Programm könnte ich benutzen?

Ich entschuldige mich für die Hektik, aber ich bin ein wenig in Panik geraten, vor allem, da ich im Moment nur den XP-Hintergrund sehe...

Gruß Christian

aber downloaden und öffnen kannst du?
versuch mal.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hallo!

ComboFix habe ich nun laufen lassen...komischerweise geht alles wieder, der Desktop ist - wundersamerweise?? - wieder erschienen
Trotzdem hab ich die ComboFix.txt einmal angehängt.

Was hat denn das schöne Tool angerichtet???

Viele liebe Grüße und Danke,
Christian

P.S.: Zum Problem vom "Johanna 83": Da funktioniert das CD-Laufwerk ja nicht. Ich habe sowohl die ganzen Festplatten, als auch die infizierte Datei mit Avira geprüft, und es hat nichts Verdächtiges gefunden. Auch auf virustotal.com wird von Avira die Datei nicht als infiziert gemeldet...
Kaspersky, GData, BitDefender aber schon.

Die Datei war bei mir im Benutzerordner, also allgemein: Max.Mustermann
Dort existierte eine seltsame Exe-Datei, die aus mehreren Zahlen und einem E-5 (ála E^-5 als Hochzahl) bestand.

hi, das sind ja auch teilweise unterschiedliche dateien, deswegen kann man es nicht so genau sagen, welches programm bei wem hilft.
combofix hat einige reg schlüssel koregiert, deswegen läufts.
aber ich muss mir was ansehen.
öffne arbeitsplatz c: rechtsklick qoobox, mit winrar oder zip packen, im upload channel hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

So, ich habe den Ordner nun gezippt und geuploadet.

Es gibt einen leeren (oder nicht lesbaren??) Ordner darin namens BackEnv.
Er sagt: Kann den Inhalt von C:\QooBox\BackEnv\* nicht lesen.

Den Rest findest du in der zip Datei.

Was vermutest du??

ist alles ok.

download malwarebytes:
Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

Alle Programme, also alle Prozesse und inaktiven Programme schließen, oder nur die Programme, welche gerade mit einem Fenster auf dem Desktop offen sind?

alle, auch die neben der uhr zu sehen sind

Aber Prozesse nicht oder?

nein einfach nur programme die laufen neben der uhr und fenster die du offen hast das reicht.

Hallo!
Ich habe dir nun den Log nach durchgeführter Suche und angewendetem Entfernen der markierten Sachen gepostet. Meiner Meinung nach waren außer in der Wiederherstellungskonsole (System Volulme Information) nur .rar und .zip Archive betroffen.

Die andere Samsung Platte, welche nicht betroffen war, habe ich nicht durchsuchen lassen. Aber ich denke, diese war nicht von dieser Metropolitan Malware betroffen, oder??

Ich werde mir GData Internet Security besorgen nach diesem Vorfall, und dann einmal alles schön durchscannen....

Christian

keygens sind illegal, dies suporten wir hier nicht.
du bekommst hier nur hilfe beim formatieren und neu aufsetzen.

Huch, aber du wolltest ja dass ich den Log poste... ??
Warum schreibst dann, ich bekomm Hilfe beim Formatieren und Neu aufsetzen?

Entschuldige, aber ich verstehe den Zusammenhang net..

weil du keygens auf dem pc hast und wir solche software nicht unterstützen.
wer straftaten begeht und illegale software nutzt muss sich nicht wundern das er früher oder später probleme bekommt.
dafür gibts nur hilfe beim formatieren.