Hallo liebe trojaner-board Gemeinde,

habe mir leider einen Schädling eingefangen und kann nun mein Betriebsprogramm nicht mehr nutzen. Ich würde mich sehr freuen, wenn mir jemand dabei helfen könnte.

Nach dem Hochfahren und einloggen am Laptop kommt, wie schon öfter hier beschrieben, ein weisser Bildschirm mit der deutschen und englischen Aufforderung " Bitte warten bis die Verbindung aufgebaut wurde..".

Wie in anderen Threads beschrieben, habe ich am Zweitrechner die OTLPENet.exe runtergeladen und mit IsoBurner eine Boot CD erstellt, in den infizierten Rechner eingelegt und übers Bios mit dieser CD gebootet.

Nun zum Problem, anstatt der Benutzermaske des Programmes erscheint nach einiger Ladezeit ein anderer Ladebalken mit Windows XP Logo darüber (habe Windows 7) und der PC stürzt mit Bluescreen ab.

Habe ich das falsche Programm runtergeladen ? wenn ja wo bekomme ich das passende.

Viele Grüße
Andi

Hi,

nein, wahrscheinlich werden spezielle Treiber benötigt (RAID-System?), daher:

OTL downloaden und auf einen USB-Stick kopieren, dann den Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken).
Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten...
Wichtig:Du musst mit dem verseuchten Konto booten!

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Hallo chris.

habe die otl.exe im abgesicherten modus mit eingabeaufforderung vom usb stick auf c:\windows\system32 kopiert und auch dort mit den optionen "safe list" und "Minimal-Ausgabe" gestartet. als otl.txt und extras.txt erhalte ich leider leere dateien könnte es sein, dass wenn ich die exe über die Eingabeaufforderung starte, dies nicht mit Administratorrechten geschieht ?

Andi

Hi,

ja, daher "runas benutzen":
runas /user:user_mit_admin_rechten "otl.exe"
user_mit_admin_rechten -> der user der bei dir adminrechte hat...
Und das Ganze vielleicht nicht unbedingt im Systemverzeichnis...

chris

Er hat was ausgespuckt

die Offenbarung ist im Anhang. Extras.txt war zu groß, deswegen hab zwei daraus gemacht.



was wäre jetzt der nächste Schritt?
Danke !

Hi,

Glück gehabt, bin gerade am abdüsen...


Bitte folgende Files prüfen (nach dem OTL-Fix und bevor sich MAM auf die Suche macht; das Teil kann zu Windows gehören oder ein Backdoor sein):

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\SysNative\acovcnt.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix auf den USB-Stick kopieren, OTL über CMD wie gehabt als Admin starten, dann notepad starten, fix öffnen abkopieren und in OTL einfügen...

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [lmfvMDBr3jNvGGM] C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKCU Winlogon: Shell - (C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe) - C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe ()
O20 - HKCU Winlogon: UserInit - (C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe) - C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe ()
012.03.29 11:53:53 | 000,000,000 | ---D | C] -- C:\Users\Bose Studio\AppData\Roaming\UAs
[2012.03.29 11:53:39 | 000,000,000 | ---D | C] -- C:\Users\Bose Studio\AppData\Roaming\08020
[2012.03.29 11:53:28 | 000,000,000 | ---D | C] -- C:\Users\Bose Studio\AppData\Roaming\xmldm
[2012.03.29 11:51:47 | 000,000,000 | ---D | C] -- C:\Users\Bose Studio\AppData\Roaming\kock
[2012.04.08 23:43:04 | 000,274,432 | ---- | M] () -- C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe
[2012.03.29 11:53:35 | 000,000,016 | ---- | M] () -- C:\Users\Bose Studio\AppData\Roaming\blckdom.res
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:15024E60
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:734E442A
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:4CF61E54
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:B88E99C8
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:A724744F

:reg
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AutoUpdateDisableNotify" = dword:0x00

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Danach sollte der Rechner sich normal booten lassen...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Hi,

der Quarantäne Ordner müsste ja unter c:/documents and settings zu finden sein... nur wird mir komischerweise trotz Adminrechten der Zugriff auf diesen ordner verweigert.. kann den ordner auch mit rechtsklick freigabe nicht freigeben...

Andi

Hi,

das wird wahrscheinlich von Norton überwacht und geht daher nur über diesen...

chris