Hallo,

leider habe ich bei einer Email die zip-Anlage geöffnet und hatte sodann einen Trojaner/Virus aufgenackt. Der Bildschirm flackert und dann irgendwann kommt Willkommen bei Windows Update. Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.

Die Email lautet:

Neue Bestellung 567558210 und kam von wbsloan@unidial.com

und hat diesen Inhalt:

Guten Tag,

unser Versandzentrum hat Ihr Paket mit der Auftrags ID 51507204313 zur Zustellung an Hermes Versand übergeben.

Im Anhangsordner befindet sich die Abrechnung und Zustelldaten als Druck-Datei.

Sie können die Rechnungsbestätigung immer selbst über online Seite abrufen.

Diese Angaben werden benötigt:

- Ihre Email-Adresse und die Bestellnummer oder
- die Vertrags-Nummer und die Serien-Id

Bestellnummer: 99715522315
Geräte Serien-Nr.: 95861517332
Preis 999,62 EU

Die Abrechnung erfolgt in Die einigen Tagen von Ihrem PayPal-Konto.

Ihr Auftrag ist hiermit fertig.

Mit besten Grüßen

Ihr Kundendienst

_______________________
Hooli Technik Online-Handel mit Sitz in Berlin

Vorstand: Walter Koller, Josef Kaiser
Aufsichtsratsvorsitzender: Renate Schmidt
Amtsgericht: Augsburg 39427
_________

Was muss ich nun machen, um ihn loszuwerden. Infiziert ist mein Laptop (Windows XP) auf dem das für uns wichtige Banking Programm läuft. Zur Zeit schreibe ich vom Netbook.

Ich muss Euch dazu sagen, dass ich zwar etwas von PC´s verstehe, aber mit vielen Fachbegriffen dann doch überfordert bin. Also bitte idiotensichere Anleitungen. Vielen Dank!

Hallo,

Um eine genauere Analyse zu ermöglichen, befolge bitte diesen Link:

An alle Hilfesuchenden! Was muss ich vor Eröffnung eines Themas beachten?

Hallo,

das mit dem Defogger auf den Desktop des betroffenen Laptops herunterladen funktioniert leider nicht, da der LT nach einigen Sekunden anfängt zu flackern und sich dann irgendwann mit den Windows Update Verschlüsselungs Trojaner festfährt. Dann geht garnichts mehr. Ich habe keine Chance irgendein bereits vorhandenes Virenprogramm durchlaufen zu lassen oder gar neue Programm zu installieren.

Ich weiß also nicht weiter...

OK!

Um welches Betriebssystem handelt es sich? Bitte auch angeben, ob 32- oder 64bit!

Windows XP - wo kann ich sehen, ob 32 oder 64bit?

Scan mit OTLPE


Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

So, nun habe ich die ISO-CD gebrannt und im BIOS eingestellt, dass von der CD gebootet werden soll. Das Laufwerk springt auch an, jedoch flackert der Bildschirm bis zum Erscheinen des "Trojaner-Bildes".

Das passiert dann leider nicht: "Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen." Wie geht es weiter?

Funktioniert der abgesicherte Modus mit Netzwerktreibern noch?

Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Sieht nicht so aus - springt immer wieder zurück auf die Seite und gibt an, dass Windows konnte leider nicht erfolgreich gestartet werden, wenn ich im abgesicherten Modus mit Netzwerktreibern ausgewählt habe.

Das heißt, er startet von der CD, aber dann erscheint dennoch das Bild des Trojaners? Das kann nicht sein!

Bitte prüfe, ob das System auch wirklich von der CD gestartet hat!

Hmm, ich habe mal gewählt, die letzte funktionierende Konfiguration und das System hat diese Windows Überprüfung CHKDSK durchgelaufen. Jetzt flackerts nicht mehr und Malware fighter zeit dwtrig20.exe Gefährliche Registraturänderung an. Es schein, dass ich nun etwas am PC machen kann ohne dass er mich sofort rausschmeist!

Dann führe bitte die Schritte 1-3 aus (defogger, Gmer, DDS) und poste die logs

so nun habe ich die 3 logs erstellt und angehängt.

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

So, während combofix durchlief, war ich in der Küche, hörte das Windows sich neu startet und als ich wiederkam war der "Trojaner Bildschirm" wieder da und keine logfile. Ich starte Combofix nun noch einmal und sitze daneben. Die Flackerstörung ist auch wieder da!

Die Wiederherstellungskonsole war nicht vorhanden - die hat combofix sich geladen.

Combofix geht nicht erneut zu starten. Der Fehler (Flackern und sodann Trojaner Bildschirm) hat sich wieder eingestellt. Wie soll ich den PC nun starten?