Bundespolizei-Ukash
 

Hi,

ich habe meinen pc leider auch mit dem bundespolizei trojaner infiziert...
nun habe ich in andere beiträge schon gelesen dass man die otlpen auf ne cd
speichern soll und dann ein bestimmter desktop erscheinen sollte,
das ist bei mir nicht der fall pc bootet normal und zeigt dann die benutzerkonten auswahl (Benutze windows xp)

Was mache ich falsch??

//edit:

natürlich gehe ich auch über f11 rein dabei kommen folgende auswahlmöglichkeiten:

1st FLOPPY DRIVE
SATA:PM-SAMSUNG HD401LJ
Network:Realtek Boot Agent
IDE:HL-DT-STDVD-RAM GSA-H55N
(<- GSA<H55N ist mein Laufwerk,dass ich immer ausgewählt habe!)

//edit:

mir ist gerade noch eingefallen dass bei der ersten verwendung eine meldung kam ich solle über f8 den letzen richtig konfigurierte ..... auswählen, vermutlich ist da etwas schief gelaufe !?
Denn ich kann mich wenn ich mit cd boote zwar in mein konto einlogge jedoch öffnet sich am anfan gnur ein Assisten für das suchen neuer hardware ansonsten ist mein desktop komplett leer bis auf das hintergrundbild , nichtmal eine startleiste/taskleiste...

insbesondere will mein pc wenn ich ihn ausschalte ein update machen
jezt weiß ich nicht ob das wirklich von windows kommt oder vom trojaner??

lg cherdy

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte OTL auf einen USB Stick.

Speichere folgenden Text aus der Code Box als fix.txt ebenfalls auf den selben USB Stick.

Schritt 2

Starte deinen Rechner in den Abgesicherte Modus mit Eingabeaufforderung.

• Während dem Hochfahren mehrmals F8 drücken. ( Kann bei mancheen Systemen auch eine andere F Taste sein )
• Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter.
• Logge dich im Administrator Konto ein.

Schritt 3

Nun ist etwas Handarbeit gefragt. Schließe den USB Stick an den infizierten Rechner an.

Du musst nun heraus finden, welchen Laufwerksbuchstabe der USB Stick hat.

• Entferne alle anderen externen Medien von dem infiziertem Rechner.
• Danach gibst du zB E: ein. Sollte folgende Meldung kommen
  
  Zitat:

  Das System kann das angegeben Laufwerk nicht finden

  versuche einen anderen Buchstaben bis keine Fehlermeldung mehr kommt.
  ( USB Anschlüsse haben meist E oder F )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  notepad fix.txt

• Dies wird ein Textdokument öffnen. Markieren den gesammten Inhalt, Rechtsklick kopieren
• Das Fenster kannst Du wieder schließen.
• Gib nun folgenden Text in das schwarze Fenster und drücke erneut Enter

  start otl.exe

• Dies wird OTL öffnen. Füge nun den vorher kopierten Text in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox ein und drücke Run Fix.

Der Rechner wird neu starten. Danach solltest Du wieder zugriff auf deinen PC haben.


Schritt 4

Starte OTL erneut und klicke auf den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread. ( Zu finden auf deinem USB Stick )

Drei Fragen

1. brauch ich im folgenden das Administrator-Passwort?

2. kann der Trojaner auf den USB-Stick übergehen oder ihn sogar infizieren?

3. Was müsste mir angezeigt werden wenn ich über den Administrator dann eingeloggt bin?

Nimm eine USB Stick welchen Du nachher wieder formatieren kannst.

Du musst einfach mit dem Admin Konto einloggen.

Ok, konnte bisher kein USB-Stick auftreiben, nur einen der mit SD zusammen eine art USB-stick ist sprich ein Card-Reader kombiniert mit usb anschluss im endeffekt also ein USB-Stick.

Wie kann man denn einen USB-Stick formatieren?^^

Schau einmal hier:
Portable Arbeitsumgebung auf dem USB-Stick einrichten (Teil 1)-Uçkanleitungen-Anleitungen zu Open-Source-Programmen und Web-Publishing

Ok, alles gut gelaufen bis zum befehl "notepad fix.txt"

dann öffnet sich der editor zwar aber gleichzeitig ein fehler dass fix.txt nicht gefunden wurde...

was nun?

//edit:
da sich ja ein editor öffnet habe ich jezt einfach den text auf der oben von dir genannten codebox abgetippt, ist das auch ok??

Ja das kannst Du auch. Funktioniert es so?

Perfekt!

Kann wieder auf mein Konto zugreifen:)
Kann ich dem System nun vertrauen oder muss ich noch irgendetwas tun?
Mein Viren Programm hat dann auch sofort gemeldet
bla bla jashla.exe usw... hab das sofort entfernt!

Nach dem anmelden erschien diese Meldung in Form von .txt

All processes killed
========== REGISTRY ==========
HKEY_Current_User\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 6723721 bytes
->Flash cache emptied: 56504 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Gast
->Temp folder emptied: 5951598 bytes
->Temporary Internet Files folder emptied: 1211745 bytes
->Flash cache emptied: 405 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 27057999 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: nina´s simszokker ac
->Temp folder emptied: 6422371 bytes
->Temporary Internet Files folder emptied: 17878726 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 15432676 bytes
->Flash cache emptied: 1812 bytes

User: SysBuilder
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: Willi Schwörer

User: Willi Schw÷rer

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 4528519 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 218669 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 84,00 mb


OTL by OldTimer - Version 3.2.26.1 log created on 08152011_212358

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...





Und hier noch der OTL Quick ScanOTL Logfile:
--- --- ---

Schritt 1

Ich sehe das Du sogenannte Peer to Peer oder Filesharing Programme verwendest.

In deinem Fall <BitTorrent>.

Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen.

Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet.
Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äusserster Vorsicht benutzt werden.

Ein ebenfalls wichtiger Punkt ist, dass das verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt.
Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office.
Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.
Bitte gehe zu

Start --> Systemsteuerung --> Software

und deinstalliere die oben genannte Software.

Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst.

Schritt 2

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.

Schritt 3

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 4

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Ok, danke für die fixe antwort.

ich werde die scanns vermutlich heute anfangen oder morgen aber davor
würde ich gerne wissen ob ich mit meinem pc die programme downloaden kann und mich ins internet begeben. Denn mit dem stick ist es etwas aufwändig...

//edit:

Beim 4. Schritt sagst stellst du gewisse bedingungen... wie keine virenprogramme usw..

ist das nur auf gmer bezogen oder auf alle scanns ??!

Direkt aus dem internet. Nicht über USB Stick. Das gilt für GMER

Ok, bin jezt mit meinem PC online :D

hab leider noch was vergessen grade eben
nämlich bei Schritt 1 , sprichst du von einer beedigung der bereinigung

dass man dann re-enable anklicken soll , nun ist das der fall wenn ich den voerherigen teil abgeschlossen habe, oder erst wenn wir ganz fertig sind ,sprich nach Schritt 4?

Erst gaaaannnzz am Schluss.

Ok, dann mach ich mich mal an die Arbeit.

bin dir echt dankbar dass du so kompetent hilfst , auch der Seite bin ich dankbar dass es sie gibt^^ :applaus:

euch muss man einfach nur weiterempfehlen :D
und eine Spende werdet ihr auch noch kriegen.

:dankeschoen:

----
edit//

So hier schonmal Schritt 1
(Habe manuell neugestartet ..)
das Defogger Logg: [Der Smilie im Log bedeuted natürlich : D , nur zusammen geschrieben]

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 22:58 on 15/08/2011 (Willi Schwörer)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed

Checking for services/drivers...


-=E.O.F=-

Wunderbar :) Nun weiter im Text.

Schritt 2 :

Malwarebytes' Log :


Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7474

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15.08.2011 23:11:25
mbam-log-2011-08-15 (23-11-25).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 211183
Laufzeit: 3 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


//edit:

Der Gmer-Scan dauert lange?

Der Pc hat auch nach ner Weile den Bildschirm schwarz gemacht, normal? :/

...

geht jezt schon bestimmt 30min , ehr länger!

Edit funzt ned... kp warum

bildschirm is immernoch schwarz und ich benutz jezt den resetz knopf
hoffe das ist ok x.X

Dann versuche GMER nochmals.

Der Bildschirm wird nach kurzer Zeit wieder schwarz -> Reset Knopf :/
Nochmal? Oder hast du vielleicht ein anderes Programm ?:)

_______________________________________________________________

Kann ich denn den Pc soweit wieder normal benutzen?

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Eine Extra.txt hat sich nicht auf dem Desktop gespeichert....

Otl.txt :OTL Logfile:
--- --- ---

Nutzt Du einen Proxy?
146.191.241.130:8080

Ne, benutze Firefox.Du meinst doch die Proxy von IE ?

Muss ich jezt noch Scans machen oder wie siehts ?:)

Schritt 1

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Sorry dass ich mich so lang nicht gemeldet hab :D aber war im Urlaub ;D

also noch paar Fragen 1. Defogger immer noch aktiv lassen?

Sorry dass ich mich so lang nicht gemeldet hab :D aber war im Urlaub ;D

also noch paar Fragen 1. Defogger immer noch aktiv lassen?
2. Warum externe Festplatte?
3. Mittlerweile wurden ein paar neue Sachen installiert
und geupdated, ist das schlecht?^^

Sorry für Doppelpost aber kann nicht editieren :o

Mein Avira-AntiVir meldet mir soeben einen

"TR/LockScreen.Z" A0163201.exe im SystemVolumeInformation -> Habs in Quarantäne geschickt...

was ist das?^^

Ja das ist schlecht. Lies nochmals mein erstes Post mit der Begrüssung durch.

Und was mach ich jezt? :confused:

/edit:

Könnte ich meinen Pc auch Formatieren mit Datensicherung?

Zu dem Bka-Virus, gibt es eigentlich Abwehrsysteme die einen davor warnen den Link anzuklicken oder so?Weil Avira AntiVir ist glaub nich so der Brüller..^^

Du kannst das System ohne Probleme Neuaufsetzen. Es liegt an Dir. Die Bereinigung müssten wir von vorne beginnen.

Wenn ich das System neu aufsetze muss ich dann auch noch Bereinigen?

Und wie Beginn ich nun von vorn?:/ Hast du mir ne Anleitung?
Und wie schaff ich es dass währendessen keine Updates laufen, so automatische usw.

Nein, dann musst Du nicht mehr bereinigen.

Hier eine Anleitung:
http://www.trojaner-board.de/51262-a...sicherung.html

Und was ist wenn sich ein verstecker virus in ein bild reingeschlichen hat?

Wie soll das gehen?

Ich hab mal davon gehört dass sich viren in anderen datein "verstecken" und dann irgendwann "ausbrechen"

-> In der Anleitung für Neuaufsetzen tut der erste Link nicht!!
"Welche Hardware ... "




Wie kann ich mich davor schützen nicht wieder so einen Bka-Virus zu bekommen
bzw. durch anklicken eines Links so eine Art von Virus nicht zu bekommen

Ja hast du mir nun ne Anleitung oder nicht?:/

Neuaufsetzen is mir zu gefährlich^^

Wieso zu gefährlich?? Was willst Du nun?

Also entweder eine Bereinigung oder eine Alnleitung zum Neuaufsetzen ( wo alle links tun :/)

Schau hier nach:

http://www.hijackthis-forum.de/tipps...leitungen.html

Ähm den Defogger nun wieder auf reenable setzen?!

Jo genau :)