Bundeskriminalamt Trojaner
 

Hey, bin völlig neu hier und hab mich jetz extra wegen dem ***** trojaner bei euch angemeldet. ich hab mich hier shcon bisschen durchgelesen und so wies aussieht bin ich nich der einzige der hier probleme mit dem teil hat.
hab schon alles an meinem pc versucht, taskmanager funktioniert nicht und im abgesicherten modus geht zwar der taskmanger aber ich find den trojaner nich :(
hab hier schon was von diesem OTL.exe ding gelesen und hab keine ahnung was das ist oder wie es funktioniert.
Kann mir wer Helfen, es is wirklich dringend, meine ganze Musik und alles ist auf dem pc und der wird für silvester gebraucht :(
danke schonmal für eure antworten.

Gruß Alex

:hallo:

Welches Betriebssystem ?


Backups sind für ( ich tippe mal ) DJs am wichtigsten ;)

Danke erst mal für die schnelle antwort ! :)
Windows Vista Business 32 bit

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden
• Sollte ich innerhalb der nächsten 3 Tage keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick.

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

alles klar, wird gemacht.
Gibt's hier auch irgend ne möglichkeit zu chatten oder so ?

Nicht für User ;)

Schade, so hab das mal versucht was du gesagt hast mit
bei mir stand das aber nicht da bei mir stand:
hxxp://www.compu-seite.de/bilder/vista/abgesicherter_modus.gif
und nichts von cumputer reparieren :(

Ba, diese OEMs -.-

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Drücke nun auf Scan.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

jop, des hat geklappt hier is die txt datei :
WIN_VISTA X86 Service Pack 2
Running from J:\

HKLM\..\Winlogon; Shell = explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
csrss.exe
wininit.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
WmiPrvSE.exe
srep.exe


HKLM\..\Run [Windows Defender] = %ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM\..\Run [NPSStartup] =
HKLM\..\Run [avgnt] = "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\..\Run [B2C_AGENT] = C:\ProgramData\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe
HKLM\..\Run [SunJavaUpdateSched] = "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
HKLM\..\Run [] =
HKLM\..\Run [ApnUpdater] = "C:\Program Files\Ask.com\Updater\Updater.exe"
HKLM\..\Run [BabylonToolbar] = "C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" /md I
HKLM\..\Run [FILSHtray] = "C:\Program Files\FILSHtray\FILSHtray.exe"
HKLM\..\Run [RTHDVCPL] = C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s

HKCU\..\Run [Steam] = "C:\Program Files\Steam\steam.exe" -silent
HKCU\..\Run [AutoStartNPSAgent] = C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
HKCU\..\Run [ooVoo.exe] = C:\Program Files\ooVoo\oovoo.exe /minimized
HKCU\..\Run [EPSON Stylus SX200 Series] = C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEFE.EXE /FU "C:\Windows\TEMP\E_S6CD9.tmp" /EF "HKCU"
HKCU\..\Run [Skype] = "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
HKCU\..\Run [EA Core] = "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
HKCU\..\Run [RocketDock] = "C:\Program Files\RocketDock\RocketDock.exe"
HKCU\..\Run [Facebook Update] = "C:\Users\Alex\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
HKCU\..\Run [WMPNSCFG] = C:\Program Files\Windows Media Player\WMPNSCFG.exe
HKCU\..\Run [Media Finder] = "C:\Program Files\Media Finder\MF.exe" /opentotray
HKCU\..\Run [avupdate] = C:\Users\Alex\AppData\Roaming\mahmud.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-3423811842-671068153-3358250599-1000\..\Winlogon; Shell =
HKU\S-1-5-21-3423811842-671068153-3358250599-1000_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-19\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem
HKU\S-1-5-20\..\Run [WindowsWelcomeCenter] = rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\S-1-5-21-3423811842-671068153-3358250599-1000\..\Run [Steam] = "C:\Program Files\Steam\steam.exe" -silent
HKU\S-1-5-21-3423811842-671068153-3358250599-1000\..\Run [AutoStartNPSAgent] = C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
HKU\S-1-5-21-3423811842-671068153-3358250599-1000\..\Run [ooVoo.exe] = C:\Program Files\ooVoo\oovoo.exe /minimized
HKU\S-1-5-21-3423811842-671068153-3358250599-1000\..\Run [EPSON Stylus SX200 Series] = C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEFE.EXE /FU "C:\Windows\TEMP\E_S6CD9.tmp" /EF "HKCU"
HKU\S-1-5-21-3423811842-671068153-3358250599-1000\..\Run [Skype] = "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
HKU\S-1-5-21-3423811842-671068153-3358250599-1000\..\Run [EA Core] = "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
HKU\S-1-5-21-3423811842-671068153-3358250599-1000\..\Run [RocketDock] = "C:\Program Files\RocketDock\RocketDock.exe"
HKU\S-1-5-21-3423811842-671068153-3358250599-1000\..\Run [Facebook Update] = "C:\Users\Alex\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
HKU\S-1-5-21-3423811842-671068153-3358250599-1000\..\Run [WMPNSCFG] = C:\Program Files\Windows Media Player\WMPNSCFG.exe
HKU\S-1-5-21-3423811842-671068153-3358250599-1000\..\Run [Media Finder] = "C:\Program Files\Media Finder\MF.exe" /opentotray
HKU\S-1-5-21-3423811842-671068153-3358250599-1000\..\Run [avupdate] = C:\Users\Alex\AppData\Roaming\mahmud.exe

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
und speichere es als fix.txt im selben Verzeichnis wie die srep.exe


Starte deinen Rechner bitte erneut in den Abgesicherten Modus mit Eingabeaufforderung.
Schließe deinen USB Stick erneut an den Infizierten Rechner.
Bitte nutze den selben USB Steckplatz wie beim Scan

• Gib bitte folgenden Befehl ein

  J:\srep.exe

• Drücke den Fix Button.

Dein Rechner wird automatisch neu starten.

Berichte bitte, ob Du nun wieder auf den Infizierten Rechner zugreifen kannst.

muss ich dieses notepad auf meinem rechner ins ausführen fenster schreiben oder hier auf dem ich das mit dem usb sticks und den programmen mach ?
und in welche leere txt soll ich den Code eingeben ? in dem explorer.txt oder in dem shell.txt ?

sorry, schneller geschrieben als gedacht hab schon verstanden :D

WUHUU !
Danke man es geht wieder !! :>
Du bist der Meister ey.Is jetz ALLES von dem teil runter von meim pc oder soll ich mal den ganzen pc neu machen und die musik eben auf ne externe klatschen ?

Fertig sind wir noch nicht.

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr
dds.pif

• Schließe alle laufenden Programme.
• Starte DDS mit Doppelklick.
• Es wird 2 Logfiles erstellen.
  • dds.txt
  • attach.txt
• Speichere beide Logfiles auf deinem Desktop
• Poste beide Logfiles hier.

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!



Bitte poste in deiner nächsten Antwort
dds.txt
attach.txt
Gmer.txt

Ich glaub ich hab was falsch gemacht die Gmer Txt datei hat über 1000000 zeichen :O
muss ich vll noch irgendwo ein häckchen wegmachen ?