Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Legal Software Department Virus (https://www.trojaner-board.de/134846-legal-software-department-virus.html)

dbe1963 12.05.2013 20:39

Legal Software Department Virus
 
Hallo Malwareteam
ich habe das gleiche Problem wie hier beschrieben: http://www.trojaner-board.de/133145-...nt-ratlos.html
Nachdem das Problem dort von DerJazzer (Malwareteam) analysiert und gelöst wurde: Gibt es eine "Kurzlösung" oder muss ich analog der Lösung von der DerJazzer zusammen mit euch einen Lösungsprozess durchlaufen?
Danke schonmal, Dirk

t'john 12.05.2013 20:47

:hallo:

Lade dir auf einem Zweitrechner bitte OTL (von Oldtimer) herunter und speichere es auf einen USB-Stick (nicht in einen Unterordner!).
  • Schliesse diesen USB-Stick nun an den infizierten Rechner an.
  • Starte den infizierten Computer in den abgesicherten Modus mit Eingabeaufforderung. (Anleitung)
  • In der Kommandozeile gib nun notepad ein und drücke Enter.
    • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Arbeitsplatz.
    • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
    • Schliesse Notepad wieder.

  • Gib nun bitte folgenden Befehl in die Kommandozeile ein und drücke Enter:
    e:\OTL.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
    Es sollte sich nun das Fenster von OTL öffnen.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) angezeigt und auf den USB-Stick gespeichert.
  • Poste bitte auf dem Zweitrechner den Inhalt dieser Logfiles hier in den Thread.

dbe1963 12.05.2013 21:34

Hallo t'John,

also mit so einer schnellen Antwort habe ich nicht gerechnet. Ich bin die nächsten 3 Tage auf Dienstreise und werde ab Donnerstag deinen Instruktionen folgen.

Vielen Dank schon mal!
Dirk

t'john 12.05.2013 22:29

Alles klar.

dbe1963 16.05.2013 20:57

Hallo t'john,
wenn ich den Computer im "abgesicherten Modus mit Eingabeaufforderung" starte, dann erscheint kurz das Windowsstartbild mit der Userauswahl. Nach ca. 5 Sekunden fährt der Rechner runter.
Danke für weitere Hinweise,
Dirk

t'john 17.05.2013 10:12

ok:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

dbe1963 17.05.2013 22:07

Hallo t'john,
ich versuche den PC von OTLPE-CD zu booten: Boot Menü –-> Select Boot 1st device: CDROM --> enter.
Ich gelange ins Windows 7- Bild, wo ich die User auswählen kann und nicht in den REATOGO-X-PE Desktop !?
Danke, Dirk

t'john 18.05.2013 10:12

Funktioniert die CD in einem anderen Rechner?

dbe1963 18.05.2013 16:54

Auf einem anderen Rechner startet der PC von der CD. Zwar kommt hier nach einiger Zeit der "Stop-Error-Screen" mit "A Problem has been detected and Windows has been shut down to prevent damage...". Aber auf diesem anderen Rechner sieht das Boot-Menü auch anders aus als auf dem infizierten Rechner: Auf dem anderen Rechner steht links neben Harddrive und CDdrive jeweils ein +. Bei dem infizierten Rechner steht dieses + nur neben Harddrive. Deutet das darauf hin, dass man den gar nicht von CD booten kann?

t'john 18.05.2013 17:22

Zitat:

Deutet das darauf hin, dass man den gar nicht von CD booten kann?
Das waere ein schlechter Witz.

Welches Model und Bios ist es?

dbe1963 19.05.2013 21:50

Also, dies ist die msinfo32 mit BIOS-Info: Weiter unten habe ich noch einen screenshot vom Bootmenü.

Betriebssystemname Microsoft Windows 7 Home Premium
Version 6.1.7601 Service Pack 1 Build 7601
Zusätzliche Betriebssystembeschreibung Nicht verfügbar
Betriebssystemhersteller Microsoft Corporation
Systemname DIRK-PC
Systemhersteller Gigabyte Technology Co., Ltd.
Systemmodell GA-970A-UD3
Systemtyp x64-basierter PC
Prozessor AMD FX(tm)-4100 Quad-Core Processor, 3600 MHz, 2 Kern(e), 4 logische(r) Prozessor(en)
BIOS-Version/-Datum Award Software International, Inc. F4, 13.10.2011
SMBIOS-Version 2.4
Windows-Verzeichnis C:\Windows
Systemverzeichnis C:\Windows\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "6.1.7601.17514"
Benutzername Dirk-PC\Dirk
Zeitzone Mitteleuropäische Sommerzeit
Installierter physikalischer Speicher (RAM) 8,00 GB
Gesamter realer Speicher 7,98 GB
Verfügbarer realer Speicher 6,00 GB
Gesamter virtueller Speicher 16,0 GB
Verfügbarer virtueller Speicher 13,9 GB
Größe der Auslagerungsdatei 7,98 GB
Auslagerungsdatei C:\pagefile.sys


So sieht das Bootmenü aus:
http://www.bellefontaine.de/Galerie/#/diverse/boot1.jpg
Ist es denn so, dass man nur die Bootoption wo das +Zeichen steht?

t'john 20.05.2013 06:12

Hast du mal ein Screenshot/Photo vom Bios?

dbe1963 20.05.2013 18:23

Liste der Anhänge anzeigen (Anzahl: 2)
Also so sieht das BIOS aus (BIOS.jpg). Ich frage auch noch mal in dem Shop der mir den PC zusammengestellt hat, wieso der sich nicht von CD booten lässt. Wie ist es denn bei dir? Muss im Boot-Menü ein Plus-Zeichen sein neben den möglichen Boot-Optionen (siehe boot1.jpg)

t'john 20.05.2013 19:59

Waehle HL-DT-ST DVD RAM aus ;)

dbe1963 21.05.2013 20:40

So, jetzt hat das mit dem booten von CD auch geklappt und ich habe die beiden Dateien angehängt.
Besten Dank soweit.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131