Bundestrojaner o.ä. - weisser Bildschirm
 

Liebes Board,
ich habe mir vermeintlich den Bundestrojaner oder etwas ähnliches eingefangen. Jedenfalls wir der Bildschrim auf meiner Dell-Kiste, Windows 7, 64-bit Version nach der Anmeldung weiss und ich habe keine Chance mehr, aufs System zuzugreifen. Auch der Task Manager reagiert nicht mehr. Überschreiben des Registry-Shell Eintrags im WinLogon mit "Explorer.exe" führt zu nichts, da nach einem Neustart wieder "cmd.exe /k start cmd.exe" drin steht.

Ich habe bereits ein Log mit FRST64.exe erstellt, den ich hier gerne poste.

Übrigens habe ich vor ein paar Minuten das Ganze schon an LEO per PN geschrieben. Bis ich gemerkt habe, dass es eine PN ist, habe ichs schon abgeschickt. Ich hoffe, dass ich deshalb keine allzu große Verwirrung gestiftet habe und mir trotzdem irgendwer helfen kann und will :-)

Ihr seid wirklich mmeine letzte Hilfe, bitte helft mir aus der Patsche! Vielen Dank und Grüße von Rolexralle

Hi,

dieses FRST-Log hilft leider auch noch nicht weiter...
Funktioniert der abgesicherte Modus mit Eingabeaufforderung noch, so dass du dort auf das schwarze Konsolenfenster kommst?

Hallo zusammen,

habe jetzt schonmal die OTLPE ausgeführt. Musste allerdings direkt die .exe vom Stick starten, da er keine Windows-Installatioon über das "Browse Folder" Menü gefunden hat...

Anbei die Scans. Hoffentlich kann mir jemand helfen! Danke!

Hallo,

sorry, habe eben erst gesehen, dass ich eine Antwort bekommen hab! :-) Ja, ich komm über den abgesicherten Modus an ein DOS-Fenster und kann auch in die Registry etc.

Viele Grüße,
Rolexralle

Kannst du die OTLpe-Logs bitte noch schnell in Code-Tags posten?
(Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)
Danke.

...hmmm, die OTL.txt will er mir nicht einbetten... Zu groß vielleicht?

Dann pack die OTL.txt bitte in ein zip-Archiv (nicht *.7z) und hänge sie an.

Ok, hier als .zip.

Vielen Dank übrigens für deine Mühen! Und das am Sonntag!

Das ist wieder nix...
Noch ein anderer Versuch:


Schritt 1

Lade dir auf einem Zweitrechner bitte OTL (von Oldtimer) herunter und speichere es auf einen USB-Stick (nicht in einen Unterordner!).

• Schliesse diesen USB-Stick nun an den infizierten Rechner an.
• Starte den infizierten Computer in den abgesicherten Modus mit Eingabeaufforderung. (Anleitung)
• In der Kommandozeile gib nun notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Arbeitsplatz.
  • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl in die Kommandozeile ein und drücke Enter:

  e:\OTL.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  Es sollte sich nun das Fenster von OTL öffnen.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) angezeigt und auf den USB-Stick gespeichert.
• Poste bitte auf dem Zweitrechner den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Logs von OTL

Habe ich probiert, bekomme dann aber in der Eingabeaufforderung die Meldung:

"The subsystem needed to support the image type is not present".

Was nun?

Irgendwas ist da ziemlich verbogen.
Was hast du zuvor schon auf eigene Faust alles gemacht gehabt?

Bislang gar nihcts, ausser in der WinLogon Shell mehrmals den Wert mit "Explorer.exe" überschriebenchDas wars... Ansonsten kann ich ja nicht wirklich viel machen, da ich nur in die eingabeaufforderung komme..

Glaubst du denn, dass ich wenigstens noch an meine daten komme, um die irgendwie zu sichern?

Kann ich in der Zwischenzeit noch irgend etwas anderes probieren? Immerhin kann ich ja vom Stick booten und somit ggf. noch ein anderes Scan-Tool o.ä. laufen lassen?!

Hallo Leo,
kann ich heute noch mit einer Lösung rechnen, was meinst du? Ich muss heute noch verreisen und habe daher noch ca. 2 h Zeit, was zu machen. Dann erst wieder ab ca. 21:00 Uhr... Würde mich sehr freuen, von Dir zu hören. Vielen Dank!

Hallo,

wenn es bei dir wirklich eilt, dann schau mal, ob du ein Linux Live-System booten kannst (über CD oder bootbaren USB-Stick) und so deine Daten auf ein externes Speichermedium sichern kannst: http://www.trojaner-board.de/82533-d...ted-magic.html

Naja,
wann eilt es schon nicht... :-) Ich benötige eben die wichtigsten Daten morgen Früh wieder zum Arbeiten. Daher wäre mir schon sehr geholfen, wenn ich wenigstens den Teil der Arbeit schonmal weg hätte. Ok, ihc werde die Variante mit Linux testen.
Nochmals: vielen herzlichen Dank für deine Unterstützung und ich hoffe, dass Du trotzdem noch eine Lösung findest, wie ich den rechner wieder in Gang bringe.

Beste Grüße,
Rolexralle

Und am besten sicherst du mit dem Linux-System grad alle deine Daten, nicht nur die paar wichtigsten, so dass du keine Daten verlieren würdest, wenn der Rechner nicht mehr hochkommt.
Denn irgendwas ist hier krumm.. Du hast OTL auch wirklich im abgesicherten Modus zu starten versucht und nicht im Reperaturmodus wie FRST?