Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bundespolizei Trojaner eingefangen safe mode geht nicht (https://www.trojaner-board.de/129477-bundespolizei-trojaner-eingefangen-safe-mode-geht.html)

peterinreims 13.01.2013 16:10
Bundespolizei Trojaner eingefangen safe mode geht nicht
 
Hallo Community,
wie so viele hier, habe ich mir auch den Virus eingefangen (XP).

Besonderheiten:
1. ich bin z.Z ein Frankreich und habe die franzoesische Version
2. gestern abend ging noch im safe mode wenigstens das DOS-Fenster auf,
heute geht nichts mehr.
3. die OTL.exe konnte ich zwar mit meinen Firmen-Notebook gerunterladen, aber darum auch nicht ausfuehren lassen - kann ich das Progamm fuer den Stick irgendwo downloaden?

Kann mir jemand weiter helfen?

Peter

markusg 13.01.2013 16:41
Hi,
ist das betroffene Gerät auch Firmeneigentum?
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

peterinreims 13.01.2013 18:42
Hi Markus,
danke fuer die schnelle Reaktion.
Nein, der betroffene PC ist privat. Den download von hxxp://oldtimer.geekstogo.com/OTLPENet.exe und dem Brenner habe ich mit dem Fimen-Notebook gemacht und das file auf einem Stick gespeichert, aber ich kann keine .exe auf dem Notebook ausfuehren (bin kein Admin).

Ich koennte zwar vom PC den BIOS umstellen, dass er vom USB bootet, aber dann habe ich immer noch kein ausfuehrbares Programm drauf.
Da muss ich nun wohl bis Montag warten und von unserer IT die CD machen lassen, denn ich kenne hier niemanden, wo ich am Sonntag Nachmittag mal eine boot-CD erstellen koennte. Oder hast Du noch einen anderen Pfeil im Koecher?

Viele Gruesse
Peter

markusg 13.01.2013 19:05
hi
ok, bring denen am besten die Exe gleich mit, dann müssen sie sie nicht noch extra downloaden..

peterinreims 14.01.2013 23:14
Hallo Markus,
der scan ist erfolgreich gelaufen.
Folgendes zur Konfiguration und Vorgeschichte:
Ich habe 2 HD drin. Auf C: ist das aktuell beschaedigte XP.
Auf G: ist von meinem alten PC, bevor das main board defekt ging, das alte XP.

Den Virus habe ich mir am 12.01.2012 gegen 22:40 (nicht gan sicher) geholt.

Ich hatte in den blogs gelesen, das oft dieser Virus sich in HKEY shell exporer.exe einschleicht. Da am Anfang noch im Safe Mode sich das DOS-Fenster geoeffnet hat (Windows safe mode ist nicht gestartet) habe ich auf C: die explorer.exe von G: ueberspielt (gleiche Version).

Am Sonntag, den 13.01. ging dann auch nicht mehr der Safe Mode.

Sonnst habe ich nichts gemacht.

Danke im voraus fuer Deien Hilfe.

Viele Gruesse
Peter

markusg 15.01.2013 20:57
hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
:OTL
O4 - Startup: C:\Documents and Settings\User\Start Menu\Programs\Startup\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
F3 - HKU\User_ON_C WinNT: Load - (C:\WINDOWS\svchost.exe) -  File not found
O4 - HKU\User_ON_C..\RunOnce: [E02227A7E4DF806E0000E021478A8455] C:\Documents and Settings\All Users\Application Data\E02227A7E4DF806E0000E021478A8455\E02227A7E4DF806E0000E021478A8455.exe ()
O4 - HKU\User_ON_C..\Run: [jyvamizxodub] C:\Documents and Settings\User\jyvamizxodub.exe ()
O36 - AppCertDlls: mobsutou - (C:\WINDOWS\system32\dfrgices.dll) - C:\WINDOWS\system32\dfrgices.dll ()
[2013/01/12 16:46:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\User\Start Menu\Programs\System Progressive Protection
[2013/01/13 05:35:31 | 095,023,320 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.pad
[2013/01/12 16:46:06 | 000,002,376 | ---- | M] () -- C:\Documents and Settings\User\Desktop\System Progressive Protection.lnk
[2013/01/12 16:42:08 | 000,002,928 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.js
[2013/01/12 16:42:08 | 000,000,782 | ---- | M] () -- C:\Documents and Settings\User\Start Menu\Programs\Startup\runctf.lnk
[2013/01/12 16:41:46 | 000,244,736 | ---- | M] () -- C:\Documents and Settings\User\wgsdgsdgdsgsd.exe
:Files
C:\Documents and Settings\All Users\Application Data\E02227A7E4DF806E0000E021478A8455
C:\WINDOWS\system32\dfrgices.dll
:Commands
[Reboot]


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)
für eine weitere analyse benötige ich mal folgendes.


C:\Dokumente und Einstellungen\name\Anwendungsdaten\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte

peterinreims 15.01.2013 22:32
Hallo Markus,
zuerst die gute Nachricht - der PC laeuft wieder - vielen, vielen Dank.

Allerdings war nach dem fix run das OTL blockiert. Ich habe denn den Rechner ausschalten muessen und neu geboot.

Nun komme ich aber nicht klar, die files zu senden,denn der Uploadchanel akzeptiert den Link zum Thema im Forum wird nicht.


Gruss
Peter

markusg 15.01.2013 22:37
hi
File-Upload.net - Ihr kostenloser File Hoster!
dort hochladen, link als private nachicht an mich

peterinreims 15.01.2013 23:05
Hallo Markus,
beide Files sind hoch geladen.
Muss ich noch was machen?
Viele Gruesse
Peter

markusg 15.01.2013 23:22
keine files zu sehen, lads mal da hoch, wo ich gesagt hab:
File-Upload.net - Ihr kostenloser File Hoster!
und sende mir den link als private nachicht

peterinreims 15.01.2013 23:43
nun doch ueber den uploader - man muss halt richtig lesen

markusg 16.01.2013 19:13
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
c: öffnen, tdsskiller-datum-version.txt öffnen, Inhal posten

peterinreims 16.01.2013 22:22
Hi, das file mit dem scan ist gesendet.
Viele Gruesse Peter

markusg 16.01.2013 22:24
bitte logs hier im Forum posten

peterinreims 16.01.2013 22:32
Hallo, hier noch mal ueber das Forum.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:39 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131