Hallo

ich habe ein Riesiges Problem, hatte jetzt schon zwei mal einen Bundespolizei Trojaner auf meinem PC gehabt !!
Kurz befor der ein zweites mal ausgebrochen ist hab ich eine Meldung bekommen das ich einen Trojaner Downloader hätte .

Habe jetzt wieder zugriff auf meinen PC, und habe Malwarebytes Anti-Malware durchlaufen lassen.
Ich habe keine Ahnung was ich jetzt machen soll um das alles entgültig zu entfernen.
Ich habe noch nie solche Schwierigkeiten gehabt und weiß daher auch gar nicht was ich machen soll!!!! Und ich habe auch nicht soviel Ahnung von PCs .

Bitte Bitte brache ganz dringend Hilfe!!

Währe unglaublich Dankbar wenn mir jemand helfen könnte.

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Schritt 1
Downloade dir bitte DDS ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.exe

• Starte bitte dds mit einem Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Setze bitte einen Haken bei
  • dds.txt ( Sollte angehakt sein )
  • attach.txt
  Ändere keine Einstellungen ohne Anweisung
• Wenn der Scan beendet ist, wird DDS 2 Logfiles auf deinem Desktop erstellen:
  • dds.txt
  • attach.txt

Bitte poste beide Logfiles in deiner nächsten Antwort.





Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 3
Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt[/B] auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!





Bitte poste mit deiner nächsten Antwort

• die beiden Logdateien von DDS,
• die Logdatei von DeFogger,
• die Logdatei GMER.

Hi Mattihas

erstmal tausend dank das du mir geantwortet hast und mir helfen willst

Hier sind die Logdateien, ich hoffe ich hab alles richtig gemacht.
Mein Name in den Dateien hab ich geändert.

Servus,



Schritt 1
Ich sehe, dass du sog. Registry Cleaner auf dem System hast.
In deinem Fall CCleaner.

Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner.

Der Grund ist ganz einfach:

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Ich empfehle dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten.
Am Ende empfehle ich dir ein anderes Tool, mit dem du deine temporären Dateien entfernen kannst.





Schritt 2
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von ComboFix.

Hi,

danke für den Tipp mit dem CCleaner .
Mir wurde der von einem Freund empfohlen der sich mit ein bisschen mit PCs auskennt, als ich den Computer ganz neu hatte.

Hier ist die Logdatei von Combofix.
natürlich wieder mit abgeändertem Namen.

Servus,



ok, sieht schon besser aus. Aber wir sind noch nicht fertig. So geht es weiter:


Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).

• Starte bitte die OTL.exe.
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
• Setze einen Haken bei Scanne alle Benutzer.
• Unter Extra Registry, wähle bitte Use SafeList.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
drivers32
safebootminimal
safebootnetwork
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Am Ende des Suchlaufs werden 2 Logdateien erstellt.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hi,

das hat auch geklappt.

Aber die OTL Datei ist zu groß zum hochladen, und ich weiß nicht was nun?

Bitte halt mich nicht für einen Idioten aber ich frage lieber nochmal nach.
Karaji

Servus,



Logfiles als Anhang posten

Hi,

jetzt hats geklappt
Und hier sind die Dateien.

Servus,





Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2013.01.24 21:09:33 | 000,002,939 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.js
@Alternate Data Stream - 97 bytes -> C:\ProgramData\TEMP:5E9B629B
@Alternate Data Stream - 259 bytes -> C:\ProgramData\TEMP:2CB9631F
@Alternate Data Stream - 240 bytes -> C:\ProgramData\TEMP:11590865
@Alternate Data Stream - 239 bytes -> C:\ProgramData\TEMP:7BB20DE8
@Alternate Data Stream - 234 bytes -> C:\ProgramData\TEMP:2AD33723
@Alternate Data Stream - 231 bytes -> C:\ProgramData\TEMP:FC70A22A
@Alternate Data Stream - 230 bytes -> C:\ProgramData\TEMP:5ACE199E
@Alternate Data Stream - 229 bytes -> C:\ProgramData\TEMP:2701CA70
@Alternate Data Stream - 222 bytes -> C:\ProgramData\TEMP:A4AF8D0D
@Alternate Data Stream - 211 bytes -> C:\ProgramData\TEMP:124B94C0
@Alternate Data Stream - 158 bytes -> C:\ProgramData\TEMP:7A0FEE87
@Alternate Data Stream - 152 bytes -> C:\ProgramData\TEMP:1E288DA3
@Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:0BCD47A5
@Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:FCBEDCFD
@Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:43F5FA9D
@Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:8751B175
@Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:0410A323
@Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:EC769091
@Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:EAF954B6
@Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:3E8A3E87
@Alternate Data Stream - 145 bytes -> C:\ProgramData\TEMP:0EC7A545
@Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:7C8AA9A6
@Alternate Data Stream - 142 bytes -> C:\ProgramData\TEMP:7254CF01
@Alternate Data Stream - 142 bytes -> C:\ProgramData\TEMP:401CAF8F
@Alternate Data Stream - 142 bytes -> C:\ProgramData\TEMP:268BA8AB
@Alternate Data Stream - 141 bytes -> C:\ProgramData\TEMP:58E38390
@Alternate Data Stream - 140 bytes -> C:\ProgramData\TEMP:CBAF0C30
@Alternate Data Stream - 140 bytes -> C:\ProgramData\TEMP:795F6DEC
@Alternate Data Stream - 139 bytes -> C:\ProgramData\TEMP:BCFEA004
@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:B139DDF3
@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:9338F136
@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:869C6B4A
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:61AF2B29
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:5E73E1C2
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:4A448DB2
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:2AE74FF9
@Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:6017A808
@Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:4E79C4F8
@Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:488F7244
@Alternate Data Stream - 135 bytes -> C:\ProgramData\TEMP:B6E6C4EA
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:FEE00EB9
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:9A88B65D
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:4D729D61
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:32289BE8
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:2C84CA43
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:1FA4C06F
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:012BC84F
@Alternate Data Stream - 133 bytes -> C:\ProgramData\TEMP:FD11E093
@Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:F8DE80DB
@Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:997DA6D7
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:E1D818F7
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:44712999
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:302ECBD6
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:10CB85CA
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:D6D084A5
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:CE3AADB7
@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:C0A9B815
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:EBF0842B
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:B8791731
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:1234ADAE
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:F9F58B80
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:206470A5
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:EE69D7DF
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:A4241298
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:5539129F
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:070D9534
@Alternate Data Stream - 121 bytes -> C:\ProgramData\TEMP:1ECED34B
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:F84B8DB5
@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:C368C9EA
@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:AECF4772
@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:8318A814
@Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:24FECE50
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:D507B5A8

:Commands
[emptytemp]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

• Starte Malwarebytes' Anti-Malware, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.





Bitte poste mit deiner nächsten Antwort

• die Logdatei von OTL,
• die Logdatei von MBAM,
• die Logdatei von ESET,
• die Logdatei von SecurityCheck.

Hi,

das mit dem OTL hat nicht funktioniert.
Ich habe den Inhalt aus der Codeboxe in OTL kopiert und auf Fix geklickt.
Dann hat sich mein Benutzerkonto abgemelted und da wahren dann diese 2 Dateien mit dem Namen Desktop.ini.
Und nochmal für Dumme, wo meintest du das ich den Benutzternamen unkentlich gemacht habe.
In dem Inhalt der Codebox wahr mein Name nicht.
In allen Datein die ich gepostet habe, habe ich meinen Computer Benutzternamen durch meinen Bunutzernamen von Trojaner-Board ersetzt.

Servus,


versuchs bitte damit:








Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2013.01.24 21:09:33 | 000,002,939 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.js

:Commands
[reboot]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

• Starte Malwarebytes' Anti-Malware, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.





Bitte poste mit deiner nächsten Antwort

• die Logdatei von OTL,
• die Logdatei von MBAM,
• die Logdatei von ESET,
• die Logdatei von SecurityCheck.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!