Bundespolizeitrojaner?! Neue Version?!

Jajo

Hallo,

habe auf meinen alten Rechner wohl den Trojaner.
Ich weiß, gibt genug die den hier auch haben aber meiner ist etwas anders.

Wenn ich den PC normal starte kommt der Windows Ladebildschirm und anschließen nicht der Desktop sondern ein Weißes Fenster mit der Info,
Daten werden geladen ... (Kein Inet aktiv)

Mit Inet aktiv kommt eben, ich wurde erwischt .... soll zahlen per ....
damit alles wieder funktioniert im Fenster.

Nichts funktioniert, kein TaksM., Neustart....

Das gleich passiert im Agesicherten Modus, ich kann auf nichts zugreifen in Windows...

Betriebssystem: Win XP

Von meinem Wissen her würde ich die HDD ausbauen und per USB an den Laptop anschließen und versuchen den Trojaner zu löschen.

Ist das die einzigste Möglichkeit oder hab ich dann den gleichen Mist auf meinem Laptop?!

Gibt es eine andere Möglichkeit?

Habe die HDD in 4 Partitionen aufgeteilt, würde jedoch ungern die Win Patition
gleich löschen da ich noch Bilder und Daten auf C:\ habe.

Danke schonmal für eure Hilfe!

Grüße,
Jajo

Werbepost

Hallo!

Wenn du gerade an deiner Website arbeitest oder dein aktuelles Hosting überdenkst: Wir betreiben mit NetzLiving eine Hosting-Plattform, die speziell auf Performance, Sicherheit und einfache Verwaltung ausgelegt ist.

✔️ Schnelle Ladezeiten (optimiert für WordPress, WoltLab & Co.)
✔️ Deutsche Server & DSGVO-konform
✔️ Persönlicher Support (kein 0815-Ticket-System)

Mehr erfahren

Wenn du Fragen hast, kannst du dich gerne jederzeit an @Maximilian Rupp wenden

Hinweis:

AxT

Abgesicherter Modus mit Eingabeaufforderung? Was passiert da?

Jajo

wie oben schon geschrieben, Windows Ladebildschirm und danach ein Fenster indem steht das versucht wird die Verbindung her zu stellen.

Ich kann nichts machen...

Für Win muss man sich nicht anmelden, man gelangt gleich auf den Desktop.

Oder mach ich was flasch? Falscher Abgesicherter Modus?

AxT

Wir versuchen morgen eine Live Cd zu erstellen und den Rechner von da aus zu reparieren. Muss gleich arbeiten.

Jajo

Zitat von AHT;904693

Wir versuchen morgen eine Live Cd zu erstellen und den Rechner von da aus zu reparieren. Muss gleich arbeiten.

Kenn noch keine Live CD aber freu mich drauf

Nur keine Eile, der PC steht noch bei meinen Eltern und ich kann derzeit mit
dem Laptop arbeiten.

Viel "Spaß" beim arbeiten

Danke und ciao,
Jajo

AxT

Installiere IMGBurn auf dem Rechner, auf dem die Live CD gebrannt werden soll.
Lege einen CD-Rohling in dein CD-Laufwerk.
Schau in der Postfach, da ist der Downloadlink für die Live CD. Führe das Programm aus.
Es brennt sich automatisch eine bootbare CD.
Teste einmal, ob du von der CD booten kannst und ob die richtig gebrannt wurde. Mit der CD hast du Zugriff auf den defekten Rechner. Probiere aus, ob du den Rechner mit der CD booten kannst.
Einmal bitte melden, wenn du die CD gebrannt hast oder es damit Probleme gibt.
Danach versuchen wir, den Rechner zu untersuchen / den Fehler zu fixen.

Jajo

Danke schon mal für deine Mühe

werde versuchen die CD zu Brennen, gebe dir dann bescheid.

Auf den PC kann ich dann erst morgen Nachmittag zugreifen,
den hab ich nicht hier.

ciao,
Jajo

AxT

OK.

Tue das dann auch noch:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner auf einen USB-Stick entpacken.
Von hier Combofix herunterladen und auf ebenfallls auf dem USB-Stick abspeichern: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Den stick brauchen wir ebenfalls für den befallenen Rechner.

AxT

Hast du die CD erstellt, gehe so vor:

Befallenen Rechner von der CD booten.
USB-Stick einstecken und PPFScan.exe vom USB-Stick starten.
Im Menü des PPFScanners unter Programm auf Script laden und ausführen klicken.
Im daraufhin erscheinenden Dialog die Datei Remotescan.scp aus dem Ordner auswählen, in dem sich der Scanner befindet und öffnen klicken.
Die Sicherheits-Messagebox mit Ja bestätigen.
Im dann erscheinenden Dialog muss der Windows Ordner (in der Regel C:\Windows) und der Ordner mit den Userdaten (C:\Dokumente und Einstellungen\Name_des_Users) ausgewählt werden. Dazu auf die kleinen Ordnersymbole klicken.
Danach auf OK klicken, um den Scan zu starten.
Beendet sich der Scanner, ist der Scan abgeschlossen. Es befinden sich dann folgende Textdateinen im Unterordner PPF_Scan1 des Scanners (auf dem USB-Stick), die bei File-Upload.net - Ihr kostenloser File Hoster! hochgeladen werden müssen:
- Files.txt
- Services.txt
- Scripting.txt
- Warnings.txt
- MD5.txt
- Firewall.txt
- ppRegistry.txt
- ppFiles.txt

Bei Problemen das auszuführen, melden.

Jajo

Also CD wurde erfolgreich gebrannt und funktioniert,
habe gerade meinen Laptop damit gestartet.

Werde versuchen morgen den PC zu überprüfen und die
Logs hoch zu laden.

Vielen Dank schonmal

Grüße,
Jajo

Jajo

der scann dauert ja ewiiiigggg ....

AxT

Je nach Rechner etwa eine Stunde. Der geht fast alle Dateien auf dem Rechner durch.

AxT

Habe deine Daten erhalten. Schreibe ein Script zum Entfernen der Malware.

AxT

Befallenen Rechner von der CD booten.
USB-Stick einstecken und PPFScan.exe vom USB-Stick starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

CREATE_FOLDER->C:\PPFS_Sicherung
MOVE_FILE->C:\Dokumente und Einstellungen\Pink\Anwendungsdaten\flint4ytw.exe>C:\PPFS_Sicherung\flint4ytw.exe
REGISTRY_LOAD_HIVE->C:\Dokumente und Einstellungen\Pink\ntuser.dat>LOADED_HKCU
REGISTRY_LOAD_HIVE->C:\Windows\System32\config\Software>LOADED_Software
REGISTRY_LOAD_HIVE->C:\Windows\System32\config\System>LOADED_SYSTEM
REGISTRY_DELETE_VALUE->HKEY_USERS\LOADED_Software\Microsoft\Windows\CurrentVersion\Run
->K3aRyluP6SiCkoR
REGISTRY_DELETE_VALUE->HKEY_USERS\LOADED_HKCU\Software\Microsoft\Windows\CurrentVersion\Run
->K3aRyluP6SiCkoR
SET_REGISTRY_STRING_VALUE->HKEY_USERS\LOADED_Software\Microsoft\Windows NT\CurrentVersion\Winlogon
->Shell
->C:\Windows\Explorer.exe
SET_REGISTRY_STRING_VALUE->HKEY_USERS\LOADED_HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
->Shell
->C:\Windows\Explorer.exe
SET_REGISTRY_STRING_VALUE->HKEY_USERS\LOADED_HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
->Userinit
->C:\WINDOWS\System32\userinit.exe,
REGISTRY_UNLOAD_HIVE->LOADED_HKCU
REGISTRY_UNLOAD_HIVE->LOADED_Software
REGISTRY_UNLOAD_HIVE->LOADED_SYSTEM
REBOOT->

Alles anzeigen

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Auf Nachfrage Dateien verschieben lassen.
[LEFT]Nach dem Scan beendet sich der Scanner und der Rechner startet neu.[/LEFT]
[LEFT]Startet er nicht neu, einmal Rückmeldung geben was rechts im blauen Textfeld steht.[/LEFT]
[LEFT]Startet er neu, starte den Rechner ohne CD.[/LEFT]
[LEFT]Probiere aus, ob die Meldung noch erscheint und gieb Rückmeldung - wir sind danach noch nicht fertig![/LEFT]

Jajo

ok, werde deinen Anweisungen befolgen

weiß nur noch nicht wann ich wieder an den PC komme, steht nicht bei mir.

Melde mich dann wieder.

Vielen Dank für deine Bemühungen.

ciao,
Jajo

AxT

Sofort hier melden, wenn du das Script ausgeführt hast und der Rechner wieder läuft. Es müssen weitere Sachen dürchgeführt werden!

Jajo

jawohl Sir!

melde mich dann gleich wieder, hoffentlich mit dem PC dann

Jajo

sou, da bin ich wieder...

bin bisher nicht dazu gekommen daher hab ich den PC nun hier bei mir.
Werde heute weiter nach deiner Anweisung vorgehen.

Hoffe du bist noch da und kannst mir weiter helfen

Danke und Grüße,
Jajo

Jajo

ALso mit deiner CD kan ich den PC starten,
ohne hab ich immer noch das Problem das Win geladen wird
jedoch ich nichts machen kann (Prob. wie oben beschrieben)

Meine Frage nun.
Könnte ich wichtige Daten wie Bilder, Musik und Filme auf einen USB Stick kopieren
und die Festplatte komplett formatieren. Anschließend Win neu installieren und die
Daten zurück kopieren?

Oder ist die Gefahr zu große das die Daten infiziert sind?

Jajo

so, habe deine letzten Anweisungen befolgt.

Der PC ladet win nun wieder normal jedoch wird nichts auf dem Desktop angezeigt. Die USB Maus funktioniert nicht und die Tastatur nur wenn ich diese per PS2 (oder wie die alte Steckverbindung heißt) anschließe.

Nachdem ich dein Script eingegeben habe hat das Programm PPFScanner
nicht von alleine neugestartet. Ich habe einen Scann gemacht und anschließend selbst neugestartet.

warte auf weitere Anweisungen.

Jetzt mitmachen!