Trojaner

[samad]

Hallo @all

Ich habe mir gestern Abend einen Trojaner / Malware eingefangen.... wollte mir das Freewaregame Grand Prix downloaden und auf einmal kam eine weisse Seite mit der Aufforderung zu zahlen. Irgendetwas von Schweizer Eidgenosssenschaft und ich hätte ilegalle Inhalte auf dem PC... und ich konnte mich selbst sehen dank der Webcam. Der PC ist danach wie gesperrt. Man kann nichts mehr machen ausser ihn abwürgen. Interessant ist, ich kann auf den infizierten User zugreiffen sofern das Internet ausgeschaltet ist. Sobald man es einschaltet, erscheint die weisse Seite wieder. Hab mich gestern Nacht noch ein wenig durch die Foren gelesen, wurde aber nicht richtig schlau wie man das entfernt.

Zur Info: Ich benutze AVG Internet Security 2012, also nicht die kostenlose Version. Hab auch noch einen Scann gemacht, findet nix updates habe ich regelmässig gemacht.

Ich benutze jetzt den Gast-Account und wollte mal OTL laufen lassen (gem. diesem Thread hier: http://www.pctipp.ch/forum/showthread.php?t=27827). Das Programm bringt mir nach über 15min folgende Meldung: out of memory

Ich bedanke mich jetzt schon für die Hilfe!

[samad]

Habe noch folgendes ausprobiert: http://www.pctipp.ch/forum/showpost....70&postcount=2

Leider funktionierts noch nicht. Anbei die shell.txt
Versuche gleich noch die 2. Möglichkeit

Nachtrag: nach der 1. Möglichkeit ist ja die shell.txt auf dem USB geschrieben. Es sind noch andere Dateien vorhanden => siehe PrintScreen.

[samad]

funzt irgendwie auch net...

Anbei die Logdatei von OTL.

[eagleeye]

Als die Seite kam, hattest Du dann auf irgendetwas geklickt? Denn in den meisten Fällen hast du noch nichts auf dem PC, solange du auf nichts klickst. So wie es aber bei Dir tönt, musst du dir was eingefangen haben.

Welches Betriebssystem hast Du und welchen Browser benutzt du? Hast Du das Problem auch mit anderen Browsern?

[Swisstreasure]

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Instructions.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

[samad]

Zuerst einmal Danke für die Hilfe.

Leider komme ich nicht von der CD booten. CD gebrannt wie beschrieben.
Danach wollte ich von der CD booten, PC bereitete den REATOGO-X-PE Desktop vor.
Als aufeinmal folgende Meldung kam => siehe Anhang.

Ich werde es einfach nochmals versuchen...

[Swisstreasure]

Ja versuche es nochmal

[samad]

Funktioniert leider nicht. Kommt die gleiche Meldung. Habs 4x versucht
Ich kann im BIOS Modus noch von der HD booten? Nützt das überhaupt etwas wenn der PC infiziert ist? Falls ja, sind alle Daten weg?

[Swisstreasure]

Also kannst Du im Normalmodus noch booten? Oder geht der abgesicherte Modus:

Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Falls etwas geht dann versuche:

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

[samad]

Vielen Dank Swisstreasure für die Mühe. Ich habe den letzten Schritt nicht versucht. Ich habe mich dazu entschlossen mein System neu aufzusetzen. Da dies die sicherste Variante ist. Ich hoffe das alles reibungslos funktioniert