Hallo Zusammen im kompetenten Forum!

Uns hat leider auch der Bundespolizeivirus befallen.
Nach eifrigem Studium im Forum hier, habe ich mich
mit Kaspersky Cd der Sache mal genähert, aber ausser
ein paar Trojanerbereinigungen brachte mich das meinem Problem nicht näher,
das allseits beschriebene Blockierfenster bleibt erhalten.

Nach dem Booten mit der empfohlenen Reatogo-X-PE Oberfläche habe ich OTL nach Anleitung gestartet und hoffe nun, dass mir jemand mit meinen Logfiles weiterhelfen kann. Läßt sich aus den Logs etwas entnehmen? Habe ich überhaupt das infizierte System gescannt?

Gruß

falls du deinen usernamen im log verendert hast, passe ihn im script an, sonst gehts nicht
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\0.4658229854220858.exe ()
O4 - HKU\UserXYZ_ON_C..\Run: [svchoct.exe] C:\Dokumente und Einstellungen\UserXYZ\Anwendungsdaten\Microsoft\svchoct.exe (Company 'gora-sah')
:Files
C:\WINDOWS\system32\0.4658229854220858.exe
C:\Dokumente und Einstellungen\UserXYZ\Anwendungsdaten\Microsoft\svchoct.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
falls der pc wieder normal startet:
öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Supi, da sind wir einen Schritt weiter!
Der Rechner bootet und läßt sich wieder bedienen.

Anbei die zwei Files, OTL und die moved files

Gruß

irgendwie muss ich spanisch sprechen in den letzten tagen.
ich hatte extra nen link gepostet, die moved files hier im forum hochzuladen ist natürlich nicht sonderlich gut, da ist dein trojaner drinnen und jeder der das anklickt kann sich infizieren.
in dem link den ich gepostet hatte, ist der upload channel beschrieben.
ich lass das löschen von nem admin.
weist du noch, was kaspersky gefunden hatt?

sorry, das geht auf meine Kappe!

Nach einem mittag lang Viren suchen ist man wohl a bissl rammdösig!

Ich habe die Berichte mal gespeichert, Kaspersky hat allerdings wohl nur zwei Trojanervarianten gefunden: Trojan-Spy.Win32.Zbotgen und Virus.Win32.Suspic.gen

War das das was Du wissen wolltest?
Ich habe gerade noch einen Versuch mit Malwarebytes gemacht, da hat sich die Applikation aber seltsam verhalten, werde nochmal neu booten und einen Scan machen.

Sollte ich sonst weitere Schritte unternehmen?

Gruß

machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?
die genaue kaspersky meldung wäre gut, aber zbot lässt alle alarm glocken klingeln :-(

Das ist ein PC in unserem Netzwerk, sollte eigentlich kein Online Banking drauf gemacht werden. Ich werde das mal in Erfahrung bringen.

Malwarebytes verhält sich allerdings seltsam, denn wenn man die Oberfläche zu sehen bekommt und einen Scan anstoßen will, stürzt es ab. Trotz 2-facher Neuinstallation lies sich dieses Verhalten nicht beseitigen.

Zum BKA Virus: wäre der mit deinem tollen Fix beseitigt?

Gruß

ja, aber laut deinen aussagen ist das nicht dein hauptproblem.
deswegen, beantworte meine fragen, und versuche folgendes:
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

...so nun kommt das Combo Fix Log, hat ja auch etwas gedauert.

Ich hoffe es gibt Aufschlüsse.

Gruß

...anbei noch das Protokoll des Kaspersky Scans Schnell- und Voll- ein Avira Scan läuft gerade noch.

kannst gleich abbredchen.
machst du onlinebanking einkäufe oder sonst was wichtiges, privat oder beruflich, mit diesem pc?

... kein online banking, aber es ist ein Arbeits-PC mit dem natürlich schon anständig gearbeitet wird, evtl. auch eine Bestellung über Internet.

also, auf diesem pc befindet sich ein rootkit, (zero access oder auch max++)
dieses rootkit ist in der lage weitere malware zu laden, die wir evtl. nicht aufspüren können.
deswegen würde ich vorschlagen, daten sichern, pc neu aufsetzen, dafür gibts anleitung falls nötig, und dann den pc absichern, auch hier helfe ich gern weiter.
danach müssen alle passwörter geendert werden.

Tools dieses Rootkit zu entfernen gibt es keine sinnvollen? Um den Rechner wenigstens noch ein paar Tage betreiben zu können, bis ein Neuaufsetzen vorbereitet ist.

na betreiben kannst du ihn, solange du nicht einkaufst oder was wichtiges damit machst.
ich bin aber ab übermorgen bis dienstag nicht da.
also kann ich dir meine anweisungen zum absichern erst dann geben, oder du musst sie erst mal allein durcharbeiten, wie du möchtest :-)