Moin moin liebe Foris,
ich bin auf der Suche nach der Lösung meines Problems (Bundespolizei-Virus)auf Euer Forum gestoßen und habe dankenswerterweise schon einige Infos aus Euren Beitragen ziehen können. Ich bin allerdings gezwungen, den Weg des Hilfesuchenden etwas abweichend von Eurer Checkliste bestreiten zu müssen, da ich derzeit nur über meinen Dienstrechner ins Netz gehen kann - und da sind Downloads jedweder Art nicht möglich. Am Wochenende hatten unsere Kinder (6, 9, 12 und 14) erstmals "sturmfreie Bude". Die ältesten beiden sind Mädchen, die sich dann zur Unterstützung noch zwei Freundinnen eingeladen hatten. Was machen also Teenies in dem Alter wenn die kleinen Brüder im Bett sind? Youtube und Facebook, was das Zeug hält. Wir haben einen Rechner (Windows XP Prof, Media Edition, SP 3, Avira IS prof.), bei dem ich mit Laienhaftem (!) Wissen versucht habe, das Onlineverhalten unserer Kinder maßgeblich zu begleiten und zu steuern. Warum diese ganze Einleitung:
Dieser Rechner ist nur für die Kinder und familiäre Nutzung gedacht. Am Sonntag wollte ich dann via MS Outlook Mails abrufen und stellte fest, dass der Rechner noch lief. Soweit so nicht schlimm, dachte ich - bis ich feststellte, dass im Mozilla Firefox 8 Tabs geöffnet waren: 2x youtube, 1x ebay und 5x (!!) die Startseite für die Konfiguration unseres Telekom Routers Speedport 702. Ich habe dann eine nach der anderen geschlossen, bemerkte noch ein weiteres Popup, welches ich aber auch sofort weg xte und dann meldete Avira Professional eine Anwendung, die eine Verbindung zum Internet aufbauen wollte - wie sie hieß weiß ich nicht mehr, aber ich habe den Vorgang abgewiesen und kurz darauf wurde der Bildschirm weiß und es erschien die schon mehrfach beschriebene Sperre durch die angebliche Bundespolizei. Am kommenden Wochenende bekomme ich für meine Belange ein neues Laptop. Da könnte ich dann entsprechende Programme/Maßnahmen herunterladen, aber ich sehe diesen ganzen ominösen Vorgang mit einer gewissen Sorge. Kann es sein, dass sich da jemand unserer Netzwerkverbindungen bemächtigt hat? Sollte ich dann mit dem Laptop überhaupt bei uns ans Netz gehen? Ach ja, vielleicht wichtig: Die Seiten waren alle auf meiner Benutzerplattform geöffnet (Admin) und die Mädels haben Stein und Bein geschworen weder auf meiner Plattform, noch bei ebay und noch viel weniger auf der Speedport Konfigurationsseite gewesen zu sein. Ich habe nie ein Paßwort für meine Plattform eingegeben, jetzt wird aber eines eingefordert.
Meine bisherigen Versuche/Maßnahmen:
Rechner sofort ausgestellt, Lan-Kabel gezogen
- Booten via Rescue CD von Kaspersky IS 2012: findet keine Infektion
- Booten via Windows CD funktioniert nicht
- Booten via abgesicherter Modus: BP-Bildschirm
Meine älteste Tochter hatte ihre Plattform Kennwortgeschützt. Hier können wir noch hochfahren, es sind allerdings keine Desktop-Elemente vorhanden. Über ctrl/ask/delete kommen wir dort noch in das W.-Task Menu, allerdings hat unser Mädel keine Admin-Rechte. Ich kann also letztlich nichts machen. Einzig Avira konnten wir scannen lassen, jedoch ebenfalls ohne Ergebnis. Zu meiner Schande muß ich auch gestehen, dass ich seit mind. 1/2 Jahr kaum mehr Systempflege im Sinne der regelmäßigen W.-updates betrieben habe. Es wird also offensichtlich genügend große Lücken gegeben haben .
Vielleicht habt ihr ja noch den einen oder anderen hilfreichen Vorschlag, vor allem ob ich jetzt noch dringend weitere Maßnahmen ergreifen sollte. Es sind zwar keinerlei Kennworte irgendwo abgespeichert, aber gewisse Sorgen mache ich mir jetzt schon. Besten Dank jedenfalls schon einmal dafür, dass sich jemand diesen ganzen Aufsatz durchliest. Schöne Grüße von Rudi

Boote den Rechner über eine OTLPE-CD.
In Zukunft solltest du darauf achten, dass keiner mehr Adminrechte hat, ein separates Konto für Administrationszwecke erstellt wird und auch nur dieses genutzt wird um zB Programme zu installieren. Sonst nimmst du jedem die Adminrechte weg! Und natürlich muss darauf geachtet werden, dass kritische Applikationen wie Flash Player, PDF-Reader und Browser sowie Windows selbst aktuell sind. Solche Maßnahmen kann man nicht durch einen Virenscanner ersetzen.


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo Arne,
vielen Dank für die schnelle Antwort. Deinen Vorschlag mit dem otlpe scan hatte ich mir schon aus Deinen früheren Antworten zum gleichen Thema notiert (da war ich ja brav und habe vor der Themeneröffnung recherchiert ) und werde sie zeitnächst so umsetzen (ich hoffe ich kriege das alles so hin, aber ihr habt ja spitzenmäßige Anleitungen hier, die sogar mich guter Hoffnung sein lassen!! Großes Lob erst einmal dafür!!).
Was mich aber so verunsichert ist diese vorgefundene Situation mit den offenen Tabs, insbesondere der fünffach geöffneten Konfigurationsseite für unseren Router. Dass mir meine Tochter die Wahrheit erzählt, davon bin ich 100%ig überzeugt - keine Zweifel! Es war auch niemand sonst an dem Rechner. Somit muß ich doch von einer Fremdnutzung ausgehen? Kann jemand von "irgendwo da draußen" unseren Rechner benutzen? Und wenn ja, kann ich den wieder "aussperren", wenn ich Deinen Anleitungen gefolgt bin und die Kiste gesäubert habe und die ganzen noch fehlenden Updates von Windows aufgespielt habe? Ich hoffe die Fragen sind jetzt nicht zu naiv, aber sie bewegen einen doch, wenn man nicht so viel Ahnung hat.
Beste Grüße,
Rudi

Vllt ist sie einfach zufällig auf den Router gekommen. Ist der per Passwort gesichert? Sag nicht, dass es dieses megaunsichere vordefinierte Passwort ist, sondern ein was du selbst gesetzt hast!

Doch, leider. Dass Du das jetzt so fragst macht mich irgendwie nicht wirklich ruhiger...Das einzige was ich in der Konfiguration seinerzeit verändert habe war das W-Lan Passwort.

Ich muß jetzt hier leider Schluß machen. Werde versuchen ab ca 21:00 zunächst einmal die oltpe-Geschichte umzusetzen. Bin aber über mein Diensthandy trotzdem in der Lage das Geschehen hier mitzuverfolgen. Herzlichen Dank erst einmal für Deine Zeit bis hierhin!!
Beste Grüße,
Rudi

So, der erste Teil ist geschafft - hoffe ich. Mehr hat es nach dem Scan nicht "ausgespuckt". Ist alles korrekt so?
Gruß, Rudi

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\jashla.exe (Slack Incur)
O3 - HKU\Katharina_ON_C\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\Katharina_ON_C\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\Rudi_ON_C\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
[2011/06/26 18:10:21 | 000,163,840 | ---- | C] (Slack Incur) -- C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\jashla.exe
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - gib Bescheid ob dem so ist oder nicht.

So, hier ist die Datei. Der Computer startet nicht von alleine neu. Ich fahr ihn jetzt einmal herunter und melde mich dann nach (hoffentlich erfolgreichem Neustart wieder.

Hier der Inhalt der Log-Datei:
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\jashla.exe deleted successfully.
C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\jashla.exe moved successfully.
Registry value HKEY_USERS\Katharina_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\ not found.
Registry value HKEY_USERS\Katharina_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ not found.
Registry value HKEY_USERS\Rudi_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ not found.
File C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\jashla.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.46.0 log created on 07012011_005847

Startet Windows wieder normal?

Hallo Arne,
der Rechner lässt sich leider nicht herunter fahren. Ich gehe auf "shut down", der Desktop verliert die Farbe, ich drücke "ok" und er ist wieder voll da. Soll ich ihn einfach abstellen und dann wieder starten?

WO GENAU bist du? Noch im Betriebssystem der CD oder wo??

Ich bin noch im Betriebssystem der CD. (Reatogo-x-pe)
Gruß, Rudi

hmm, hat sich ganz offensichtlich aufgehängt. Ich lasse ihn sicherheitshalber einfach an und melde mich dann morgen von der Arbeit wieder. Riesiges Dankeschön bis hierher.
Gruß, Rudi

So, Moin moin,
zwischen zwei Visiten kann ich mich jetzt wieder kurz an den Rechner setzen, bin allerdings natürlich nicht an unserem betroffenen PC. Der läuft seit 00:34 mit dem gleichen Desktopbild und reagierte zum Schluss auf kein Symbol der Taskleiste mehr. Die Programme (ich habe noch einmal oltpe gestartet, dann aber natürlich direkt wieder beendet) sind aber aktivierbar.
Gruß, Rudi