BKA-Trojaner Windows XP Professional (ohne Abgesicherten Modus)
 

Hallo Trojaner-Board ich habe ein Problem nämlich habe ich einen BKA-Trojaner auf meinen
(Computer)Windows XP Professional.

Ich habe schon vieles Versucht aber erfolglos den abgesicherten Modus funktioniert in allen 3 Varianten nicht. :killpc:

Ich habe die OTL-CD durchlaufen lassen.
Die OTL.txt habe ich bekommen, aber von der Extras.txt war nichts zu sehen.

Ich wollte die OTL.txt hier hochladen aber die Datei ist zu Groß.

Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 551,8 KB groß.

Systemwiederherstellung funktioniert auch nicht. :headbang:

Bitte um (schnelle) ausführliche Antworten da ich nicht viel Verstehe. :confused:

Danke im Voraus. :dankeschoen:

Hi,

Ich brauche diese OTL.txt.
Wenn sie zu gross ist, dann packe sie in ein zip-Archiv (Rechtsklick drauf -> Senden an -> zip-komprimierten Ordner) und hänge sie hier an.

hier

Was ist denn hier passiert...
Diese Kiste ist komplett im Eimer. Wenn das mein Rechner wär, würd ich ihn einstampfen und neu machen.
Wir können versuchen, ob sich wenigstens Windows wieder entsperren lässt.
Kann der Rechner nach folgendem Fix wieder normal starten?

• Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Klicke jetzt auf den Fix Button.
• Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
• Kopiere nun dessen Inhalt hier in deinen Thread.

habs gemacht musste den abgesicherten modus benutzen beim neustart da meine tastaur nicht mehr funktioniert beim anmelden ich kann den kennwort nicht eingeben deswegen abgesicherten weil ich da den adminstrator ohne passwort eingfach starten kann.....hier die txt (ist der trojaner jetzt weg?)

die datei in C:\OTL\MovedFiles\<time_date.log> die ich mit einen legen sollte ist drin ich habe sie nur in OTl(2) umgeändert also den namen.

Der Rechner ist noch alles andere als sauber!
Wenn du in den abgesicherten Modus reinkommst, dann mach dort weiter:


Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere es auf den Desktop.

• Starte die FRST.exe.
• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieser beiden Logfiles bitte hier in deinen Thread.

iCH HABE ES GESCANT ABER VON FRST.TXT UND ADDITION.TXT WAR NICHTS ZU SEHEN AUCH NICHT NACH MEHRFACHEN VERSUCHEN NICHT IM DESKTOP ZU SEHEN UND AUCH NICHT IN C:/FRST/LOGS ZU SEHEN.

Sind denn nach dem Scan keine Notepadfenster mit den Logfiles erschienen?

NE LEIDER NICHT.....und wie gehts es jetzt weiter?:confused:

Downloade dir bitte DDS (von sUBs) auf deinen Desktop.

• Starte bitte DDS mit einem Doppelklick.
  Ändere keine Einstellungen ohne Anweisung
• Drücke auf Start.
• Wenn der Scan beendet ist, wird DDS 2 Logfiles (dds.txt und attach.txt) auf deinem Desktop erstellen.
• Bitte poste beide Logfiles in deiner nächsten Antwort.

hier...

Bitte gehe zu Virustotal und lass dort folgendermassen eine Datei überprüfen:

• Klicke auf Wählen Sie eine.
• Kopiere dann Folgendes in das Eingabefeld für den Dateinamen
  
  Code:

  ---

  C:\Dokumente und Einstellungen\ahmed\Anwendungsdaten\lsass.exe

  ---

  und klicke auf Öffnen.
• Klicke auf Scannen!.
• Solltest du folgende Meldung bekommen:
  
  Zitat:

  Datei wurde bereits analysiert - Diese Datei wurde bereits von VirusTotal analysiert am ...

  dann klicke auf Neu analysieren.
• Warte, bis die Analyse beendet ist, und kopiere dann die URL aus deiner Adresszeile und poste sie hier.

würde es auch gehen wenn ich die C:\Dokumente und Einstellungen\ahmed\Anwendungsdaten\lsass.exe kopiere auf den anderen Pc und dann es analysiere und dann die uRl schicke weil ich von den infizierten keine internetverbindung habe.

Ja, das geht auch.

https://www.virustotal.com/fr/file/104d96f1f19dd4ce492064acc9634406a019eae20b42d03198e400e661897127/analysis/1377294537/

Dann weiter:


Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

ich habe combofix laufen lassen und neu gestartet aber ich kann gar nichts mehr machen ich kann keine task mehr öffnen nur den task-manager.

Kannst du dann einen neuen Scan mit der OTLpe-CD machen und die OTL.txt posten?
Dein System ist wirklich schon übel vermurkst.

habs gemacht

habs gemacht

Startet der Rechner wieder normal nach dem Fix?
Falls ja, kannst du schauen, ob es unter C:\Combofix.txt oder in C:\Qoobox oder C:\32788R22FWJFW ein Logfile von Combofix gibt und dieses posten?

• Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Klicke jetzt auf den Fix Button.
• Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
• Kopiere nun dessen Inhalt hier in deinen Thread.

hier

Sorry ich versteh grad die Aussage des Bildes nicht..
Lässt sich immer noch nichts starten? Konntest du ein Log von Combofix finden?

ein log von combofix konnte ich nichts finden soll ich die anwendung nochmal starten? mit dem bild wollte ich sagen das ich auf meinen desktop wieder zugreifen kann also die bundeskriminal amt anzeige ist weg.

Ok. :)

Versuch bitte mal das:


Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

habe es befolgt es scant gerade noch und es wurden über 3000 malwares gefunden und es scant noch weiter... wenn ich fertig bin meld ich mich

hab es gemacht :)

Wiederhole bitte diesen MBAR-Scan und poste das neue Log.
Wie du selbst siehst, ist dein System wirklich übel zugerichtet. Es ist natürlich deine Entscheidung, aber die Festplatte zu formatieren und alles sauber neu zu installieren wäre eine gute Idee.

ok werde ich machen und die festplatte formatieren und alles sauber neu zu intallieren würde ich auch machen gibt es ein program dafür?

Dafür braucht man kein extra Programm, das geht so: http://www.trojaner-board.de/51262-a...sicherung.html

habs gemacht

hier ist der richtige log der 1rste ist falsch

Willst du jetzt formatieren und neu installieren, oder sollen wir weiter bereinigen?

formatieren und neu installieren aber auf der seite steht das es wichtig ist die windows daten zu sichern aber wie heissen die daten?

Nein, auf keinen Fall die Windows-Daten sichern!
Nur deine persönlichen Daten sichern: Deine Bilder, Filme, Dokumente, Musik, Mails, Lesezeichen, etc.
Und nur ganz gezielt sichern, nicht ganze Verzeichnisse, ohne vorher genau zu schauen, was drin ist.

Bilder, Filme, Dokumente, Musik, Mails, Lesezeichen, etc.
brauch ich auch nicht ich meld mich wenn ich fertig bin.

Ok, wenn du keine Daten mehr brauchst von diesem Rechner, kannst du einfach platt machen.

ZITAT VON DER ANLEITUNG: Des weiteren benötigen wir natürlich noch eine Windows XP CD, eine gültige Lizenz, Originaltreiber CD oder die aktuellsten Treiber auf CD oder USB-Stick.

Das Servicepack 3 kann hier heruntergeladen werden.

__________________________________________________________________________

ich habe freie CDs und USB-Stick aber soll ich einfach die exe drauf platzieren oder mit einen cd-brenner programm drauf laden kennst du einen cd-brenner programm??

Hallo,

das Servicepack 3 musst du nicht auf CD brennen, das kann man dann einfach installieren, wenn Windows neu aufgespielt wurde.
Die Windows XP CD solltest du schon haben. Oder woher hast du das Windows, welches jetzt installiert ist?

war schon drauf als ich es gekauft habe.

Kann ich auch eine Windows 7 CD benutzen weil ich sowieso eine neure Windows Version nutzen wollte...

Da wird ja auch gefragt ob man die Datein behalten möchte ich wähle dann einfach auf Nein.

Ich bin mir nicht sicher, ob ein Windows 7 auf deinem Rechner laufen würde. Schau mal hier die Voraussetzungen: Windows*7-Systemanforderungen - Microsoft Windows
Wenn diese erfüllt sind, geht es natürlich, ja.

Aber wenn das Windows schon drauf war, als du den Rechner gekauft hast, dann müsstest du doch eine Recovery-Option haben, um ihn nach Werkseinstellungen zurückzusetzen?

es entsprach den voraussetzungen habe es bereits installiert....DANKE FÜR DEINE HILFE :)

Nur so mal beiseite weißt du wie man eine Systemdatei umbennent? habe nicht genug Berechtigung dafür trotz Adminstrator...

Ich habe den Fehler 651 bei der Windows 7 Version eingefangen
Dann habe ich Windows 8 drauf installiert weil ich dachte das der Fehler dann verschwindet.

Aber nein es ist schlimmer geworden

Ich habe die Seite www.fehler651.de entdeckt und da soll man in das Verzeichnis C:\Windows\System32\drivers. Dort finden Sie die Datei raspppoe.sys. Benennen Sie diese Datei um, z.B. in rasppoe_win7.sys.

Damit ich die raspppoe.sys durch eine neue die zum Download verfügbar war ersetzen kann und somit den Fehler beheben kann.

Aber bei Windows 8 ist etwas anders nämlich kann man keine Berechtigung bekommen.
Der Sinn dahinter ist, das man eben nichts an der Windows-Installation kaputt machen kann.
Das fing doch schon mit Windows 7 an.

Aber ich will nichts kaputt machen sondern etwas "reparieren"...

Durch Programme wie TakeControl kann man ja die Berechtigungen kriegen aber wenn ich durch den USB-Stick die exe auf den Computer mit den Fehler 651 platzieren und installieren will dann kommt ein Fehler das ich kein Internet habe.

Genau aus diesen Grund mache ich es ja weil ich kein Internet habe...

Ok, da das ein frisch installiertes Betriebssystem ist, geht's nicht mehr um Malware. Und in diesem Unterforum machen wir Malwarebereinigung in "Einzelbetreuung".
Daher wäre es besser, wenn du dein Problem im Unterforum Alles rund um Windows nochmals posten würdest. Dort lesen mehrere Leute mit und können dir dabei helfen.


Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.