Befall von Metropolitan British Police, WinXP, SP2, uralt-Laptop
 

Hallo und Gruß in die Community!

Ein PC Unwissender (bitte dies zu beachten) bittet um Hilfe bei (s)einem mächtigen Problem.

Gestern hat es meinen Laptop erwischt.. "Metropolitan British Police" hat das Teil verhaftet und nimmt mich in Geiselhaft :headbang:
Selbsthilfeversuche waren allesamt erfolglos.. kein guter Hinweis aus diversen Webseiten konnte helfen.

Z.B.:

hxxp://www.sicherpc.net/malware/metropolitan-british-police-virus

Das System fährt hoch, es hilft keine Eingabe von

hxxp://www.2-viruses.com/downloads/spyhunter-i.exe

im Feld Starten -> Ausführen, die Tastenkombi Alt+Tab ist ausser Funktion,
Strg+Alt+entf ebenso sinnlos.

Ich wüsste nun auch nicht, wie ich von dem befallenen Laptop ein Logfile machen könnte....
Natürlich gibt es auch kein vollständiges Backup der Dateien auf einer externen FP (normaaal, oder? :stirn: )
Das Stöbern und suchen hier im Board hat mich leider auch noch nicht weiter gebracht

Vielleicht einen neue Version des Virus?
Meine absolut schwachen Englischkenntnisse lassen mich grad noch erahnen, dass da irgendetwas von 100 Pfund, bestimmt keine Gewichtsangabe, Lösegeld steht...

Bedanke mich daher hier im Voraus für sachdienliche Hilfe!!

Grüße vom moerf

hi,

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo @Schrauber,
vielen Dank für Deinen Hinweis!


Bitte noch um das Editieren des Thread-Titels.. das sollte eigentlich "Be f all ..." heissen

halb so wild :)

..allerbesten Dank.

Habe ansonsten soweit alles im Griff, Laptop wird auch schon gescannt :knuddel:

Sodeleddi... ein Datenwust:

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Rechner normal starten :)

danke schon mal, @schrauber :)

Wie kann ich bei meiner OTLPE Version in deutsche Sprache umstellen?

Muss ich diesen Text aus Deinem letzten Topic in die, in meine aufscheinende, OTLPE Box einfügen?

Bitte um Entschuldigung, aber ich hab das noch nicht so drauf :heulen:

Ich habe ja auch noch das Problem, dass die Tastaur vom Laptop unter OTLPE nicht in deutsch ist :pfeiff:

ääähm... Rechner normal starten" heisst: CD aus Laufwerk entfernen -> Laptop hochfahren ? ?


sodeleddi, update

Es geht hier mächtig was weiter und ich schreibe bereits vom Laptop :applaus:

Hier erst mal herzlichen Dank für die bisherige Hilfe!!

Folgende Datei konnte ich in OTL\MovedFiles\... finden:

Ich hoffe, das ist das Gesuchte?

Werde nun das Laptop einem kompletten Scan unterziehen lassen, um den Trojaner / Viorus oder sonstiges zu eliminieren?

Welches wäre bitte, aktuell, ein gut sehr gutes Free-Ware Antivirenprogramm ?

Ab jetzt Kontrollscans im normalen Windows :)

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Mahlzeit :party:
So.. zu Allererst einmal vielen vielen Dank für die bisherige Hilfestellung :knuddel:

Nachdem im Virenscan, momentan läuft er noch.., schon ein Fund bestätigt wurde:

EXP/CVE-2013-1493 A.Gen

Habe ich etwas gegoogelt... :headbang:

http://www.trojaner-board.de/138375-...ntdeckt-2.html

Ich weiss aber jetzt schon, was mit an Sicherheit grenzender Wahrscheinlichkeit gleich meine nächste Aktion werden wird ....

was denn? :)

schönen guten Abend @schrauber
... Avira deinstallieren. Und das nicht nur auf (m)einem Laptop :rolleyes:

So sieht der Scan von heute Vormittag aus:


Frage bitte?:

Soll ich das System mit den drei von Dir benannten Progammen scannen und die Daten hier einstellen, oder gleich alles was Avira erkannt hat löschen und danach noch einmal scannen?

Das Laptop braucht urlange um hoch zu fahren und blockiert zwischendurch bzw. friert ein....

Vielen Dank, immer wieder, für Deine Bemühungen!!

FRST:

Ich poste die Anleitungen ja nit zum Spaß ;)

Servus @Schrauber, guten Morgäääähn :)ja nä.. schon klar.

Was fehlt denn jetzt noch, bitte.. bin da voll der Noob :wtf:


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Alle Programme auf englisch.. da tu ich mir insbesondere schwer damit... langsam wollt ich die Plagegeister mal löschen :confused:

adwcleaner

Malwarebytes laufen lassen wie beschrieben, AdwCleaner auch löschen lassen, dann JRT und frisches FRST log. Genau wie es oben in der Anleitung steht :)

Nabääänd :)
mal schauen, wie ich das hin bekomme...



Danke aber schon mal!

schönen guten Morgen wünsche ich.

Vorab, hier der letzte Scan von gestern Abend bitte:

Fortsetzung folgt


FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---


Zu JRT bitte eine Frage?

Nach Anklicken des Icons erscheint lediglich eine schwarze Eingabemaske.. um einen Sacn zu starten, welchen Befehl muss ich da bitte eingeben?

Lass JRT weg.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Servus @Schrauber,
schönen guten Tag!
ok....

ok, mache ich gleich im Anschluss...
Probleme insofern, als dass das Laptop saulangsam arbeitet

Ansonsten "passt" wieder alles.

Hier noch ein Log von heute morgen

ääähm.. noch eine Frage bitte? Weshalb alles immer auf dem Desktop speichern? Irgendwie bekomme ich das nicht hin ... hat das Auswirkung auf die Funktionalität eines Programmes, oder soll das nur wegen dem schnelleren Zugriff darauf sein?

(Fortsetzung folgt)

Funktionalität, die müssen dort liegen. Obige Anleitung?

danke schön :)

Sooo.... hier, bitte:

Fortsetzung folgt... muss nur leider jetzt raus hier :(

ok :)

Naabäänd!
so, der Noob hat wieder zugeschlagen :balla:

- scurity check auf Deskotp installiert
- aufgerufen

Fehlermeldung:

Autolt Error
Line-1:

Error: variable must be of type "objekt"

In schwarzem Eingabefenster steht: Preeparing Done

Mangels Englischkenntnissen muss ich ab hier leider wieder passen

Ignorier das. Frisches FRST log bitte. Noch probleme?

Gott zum Gruße, @Schrauber.
Sorry für die späte Rückmeldung...
hier das neue Logfile bitte:


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---


ja...
- Laptop braucht ca. 8 Minuten um hoch zu fahen
- diverse Anwendungen brauchen sehr lange, um zu starten

- in undefinerbaren Zeitabständen läuft irgend etwas im Hintergrund ab, was ich nicht ermitteln kann. Daraus resultiertend:

- Firefox ist mega-langsam, reagiert manchmal überhaupt nicht. Trifft dann auch auf andere Anwendungen zu.
- oftmals erscheint eine Meldung: "Script beschädigt... "

Kann das prinzipiell auch ein Problem mit zu geringem RAM Speicher, bzw. recht voller Festplatte sein?

Danke im Voraus für Deine Bemühungen und einen angenehmen Tag!
Wie gesagt.. das Laptop ist (leider) uralt.

(Will schon länger ein neues kaufen, weiss leider nur nicht welches :heulen: )

Kann am Alter und der mager ausgestatteten Hardware liegen, auch daran dass Du seit 5 jahren verweigerst Windows Updates zu installieren ;)

HDD-Controller-Treiber zurücksetzen nach Scan mit GMER
(Originalwebseite und mit freundlicher Genehmigung von Hans-Georg Michna)

• Mache einen Rechtsklick auf diesen LINK, wähle "Ziel speichern unter ..." und speichere es auf deinem Desktop.
• Fall die Datei als resetdma.vbs.txt gespeichert wird, benenne sie um in resetdma.vbs
• Starte die Skriptdatei und lasse die Ausführung zu. Achtung Virenscanner könnten anschlagen.
• Falls das Programm etwas gefunden und repariert hat starte deinen Computer neu.
• Berichte ob sich die Performance verbessert hat.

Mahlzeit @schrauber, danke für Deine rasche Rückmeldung :party:
ein für mich nachvollziehbarer Grund...
:wtf:
Stimmt... erwischt :daumenhoc

Hatte aber, zur Ehrenrettung, mehrfach Fehlermeldungen bei Updateversuchen.
Irgendwann hab ich es schlicht aufgegeben

Sollte ich das SP3 installieren?

Andrerseits muss das Laptop ohnehin mal aus dem Betrieb genommen werden.. was wäre, alternativ, als Neuteil empfehlenswert?
Werde mal im Forum nach solchen Themen suchen müssen...
Muss ich da etwas besonderes beachten und muss danach etwas vom Desktop gelöscht werden?
Muss ich denn dazu Internetverbindung aufrecht halten? Sonst könnt ich Avira ja deaktivieren.
(Was wäre anstatt Avira empfehlenswert?)

Klaro.. ich werde berichten, was sich getan hat

Vielen Dank!

so, die Datei wurde auf dem Desktop als resetdma.vbs gespeichert... wie starte ich die Aktion bitte?

Es öffnet sich beim Anklicken nur der Editor.

Rechtsklick - Ausführen :)

Nabend!
...und was davon :confused:

Die Option "Ausführen" gibts bei mir nicht

Sorry :pfeiff:

Öffnen mene ich, sorry :)

Schönen guten Tag @schrauber
jo.. danke, kein Beinbruch :)

Womit bitte öffnen?

ich hätte zur Auswahl:

- Editor (sinnlos..ok)
- FireFox
- Microsoft Word (eher sinnlos??)
- Programm auswählen


:pfeiff:

PS: was mache ich mit Malwarebytes? Ist ja eine Testversion, die demnächst abläuft.... (Kaufen ist keine Option).
Einfach löschen und falls ja, wie am Besten?

Wünsche Allen einen angenehmen Tag!

Behalten zum ab und zu scannen :)

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo @Schrauber, schönen guten Tag.

ok.. das werde ich tun :)
sodeleddi, erledigt, hier bitte, die Scans:



Ich werde jetzt einmal das MS SP3 aufspielen.

Schon mal, wieder, vielen Dank für Deine Bemühungen und ich wünsche Dir ein angenehmes Wochenende!

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Was macht die Performance?

Servus @Schrauber.
Lang, lang ists her.. sorry :balla:

Das Laptop treibt mich in den Wahnsinn...
Habe zwischenzeitlich das Fix durch gezogen:
ich sags mal so.. wenn ich mit dem Laptop meinen Lebensunterhalt verdienen müsste, ich wäre wohl schon verhungert :heulen:

Bin aber zu 100% mit Deiner Hilfe zufrieden, weil ich auf jeden Fall wieder Zugriff auf die Daten bekam :knuddel:

Hier nochmals vielen Dank für Deinen Einsatz :daumenhoc


Ich befürchte, mir wird nur eine Neuinstallation wirklich helfen, oder? :heulen:

Was genau kommt für ein FEhler wenn Du die VBS laufen lassen willst?

servus @schrauber, danke für Deine Rückmeldung!...das könnte ich Dir eventuell berichten, wenn ich wüsste was die VBS ist :wtf:

Sorry :pfeiff:

Sorry, das Teil aus dem Post meine ich.