Trojaner-Board - BKA-Trojaner auf 64Bit Rechner mit Windows Vista/OTL File anbei

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BKA-Trojaner auf 64Bit Rechner mit Windows Vista/OTL File anbei (https://www.trojaner-board.de/114530-bka-trojaner-64bit-rechner-windows-vista-otl-file-anbei.html)

BKA-Trojaner auf 64Bit Rechner mit Windows Vista/OTL File anbei

Hallo,

Hab jetzt leider auch diesen Trojaner bei dem ich 50€ (via Paysafecard) zahlen sollte, wegen angeblich illegalen Musiktiteln, auf meinem Laptop.

Zum Laptop:

64Bit, Windows Vista, Home Premium Service Pack 2

Das Problem:

Beim Surfen kam auf einmal diese Zahlungsaufforerung über den ganzen Bildschirm. Sie ließ sich nicht schließen, ebenso konnte ich nichts anderes mehr am PC machen da diese Aufforderung immer im Vordergrund bleibt.

Hab jetzt in eurem Forum Hinweise dazu gefunden und hab nach folgender Anleitung ein OTL-Textfile erstellt:

http://www.trojaner-board.de/113750-...ysafecard.html

Allerdings erstellte es mir kein "Extras.txt" wie in der Anleitung beschrieben...

Hoffe das Ihr mir bei der Berreinigung meines Systemes helfen könnt!

Danke im voraus!

:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Handelt es sich dabei um einen Firmenrechner? Der Proxy lässt zumindest darauf schließen!

Zitat:

FF - prefs.js..network.proxy.ssl: "proxy.it.htlr"
FF - prefs.js..network.proxy.ssl_port: 8080

Hallo Marius,

Nein ist ein Privatrechner den ich früher an der Schule genutzt hab.

Schritt 1: Fix mit OTLPE

An einem anderen PC, klicke auf Start-->ausführen.
Schreibe Notepad in die Textbox, klicke OK.
Kopiere nun den Inhalt der folgenden Codebox vollständig in das leere Textdokument:

Code:

:OTL O4 - HKLM..\Run: [EBna3b8YWnMKP0e] C:\Users\David\AppData\Roaming\syncservicex86.exe () O4 - HKU\David_ON_C..\Run: [EBna3b8YWnMKP0e] C:\Users\David\AppData\Roaming\syncservicex86.exe () O7 - HKU\David_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1 O7 - HKU\David_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\David_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - (C:\Users\David\AppData\Roaming\syncservicex86.exe) - C:\Users\David\AppData\Roaming\syncservicex86.exe () O20 - HKLM Winlogon: UserInit - (C:\Users\David\AppData\Roaming\syncservicex86.exe) - C:\Users\David\AppData\Roaming\syncservicex86.exe () O20 - HKU\David_ON_C Winlogon: Shell - (C:\Users\David\AppData\Roaming\syncservicex86.exe) - C:\Users\David\AppData\Roaming\syncservicex86.exe () O20 - HKU\David_ON_C Winlogon: UserInit - (C:\Users\David\AppData\Roaming\syncservicex86.exe) - C:\Users\David\AppData\Roaming\syncservicex86.exe () :FILES C:\Users\David\AppData\Roaming\syncservicex86.exe
Speichere die Datei als fix.txt auf einem USB-Stick.
Am infizierten Rechner, schließe den USB-Stick an, boote OTLPEN.
Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Klicke nun bitte auf den Fix Button.
Lade die fix.txt von deinem Stick.
Klicke den Fix-Button.
Starte Windows nun normal. Es sollte sich eine OTL.txt öffnen, poste deren Inhalt in deinem nächsten Thread.

Starte den Rechner im normalen Modus!

Schritt 2: unhide

Downloade bitte Grinler's unhide.exe auf deinem Desktop Starte das Tool mit Doppelklick. Wenn es seine Arbeit getan hat, wir eine Nachricht mit Done aufpoppen. Es wird auch eine Logfile, Unhide.txt erstellen. Poste diese bitte hier.

Schritt 3: Software deinstallieren

Klicke Start-->Systemsteuerung.
Öffne Programme und Funktionen.
Suche und deinstalliere folgende Einträge:

Zitat:

Autocomplete Pro
Ask toolbar
SweetIM
Schließe das Fenster.

Schritt 4: aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt 5: Scan mit TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Zitat:

Zitat von PsYcHoTiC (Beitrag 822979)

Schritt 1: Fix mit OTLPE

Klicke nun bitte auf den Fix Button.
Lade die fix.txt von deinem Stick.
Klicke den Fix-Button.

Wenn ich die "fix.txt" vom USB-Stick laden will kommt, sobald ich auf die Addresszeile, oder irgend wo im neu geöfnetten Fenster klicke folgende Fehlermeldung:

"Access violation at address 7CA0C936 im module 'shell32.dll'. Read of address00000006"

Wenn ich dann "OK" klicke reagiert OTLPE nicht mehr.

Ich hab auch schon die "fix.txt" in "My Documents" kopiert. Dann kann ich die "fix.txt" auswählen, seh unten im OTLPE wie sie ladet, allerdings reagiert die Software dann auch nicht mehr!

EDIT: Ich glaub ich weiß was ich zu tun hab!

Windows hat normal gestartet, allerdings hat sich kein OTL.txt geöffnet.

Soll ich bei Schritt 2 weitermachen oder soll ich es nochmals versuchen?

Mach bei Schritt 2 weiter

Schritt 2 erfolgreich erledigt!

Das Logfile von aswMBR.

Und noch das von TDSS.

Schritt 1: defogger

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.

Schritt 2: DDS

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif

Schließe alle laufenden Programme.
Starte DDS mit Doppelklick.
Es wird 2 Logfiles erstellen.
- dds.txt
- attach.txt
Speichere beide Logfiles auf deinem Desktop
Poste beide Logfiles hier.

Ich find das defogger-Logfile nicht. Auf dem Desktop ist es sicher nicht und auch die Suche am PC ergab keine Ergebnisse...?!

Die 2 Logfiles von DDS

Nur wenn defogger eine Fehlermeldung ausgibt, muss die Logdatei gepostet werden! ;)

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

ComboFix ist auch drüber ;)

Was muss ich jetzt noch machen?