Hallo liebe trojaner-board Gemeinde,

habe mir leider einen Schädling eingefangen und kann nun mein Betriebsprogramm nicht mehr nutzen. Ich würde mich sehr freuen, wenn mir jemand dabei helfen könnte.

Nach dem Hochfahren und einloggen am Laptop kommt, wie schon öfter hier beschrieben, ein weisser Bildschirm mit der deutschen und englischen Aufforderung " Bitte warten bis die Verbindung aufgebaut wurde..".

Wie in anderen Threads beschrieben, habe ich am Zweitrechner die OTLPENet.exe runtergeladen und mit IsoBurner eine Boot CD erstellt, in den infizierten Rechner eingelegt und übers Bios mit dieser CD gebootet.

Nun zum Problem, anstatt der Benutzermaske des Programmes erscheint nach einiger Ladezeit ein anderer Ladebalken mit Windows XP Logo darüber (habe Windows 7) und der PC stürzt mit Bluescreen ab.

Habe ich das falsche Programm runtergeladen ? wenn ja wo bekomme ich das passende.

Viele Grüße
Andi

Hi,

nein, wahrscheinlich werden spezielle Treiber benötigt (RAID-System?), daher:

OTL downloaden und auf einen USB-Stick kopieren, dann den Rechner im abgesicherten Modus mit Eingabeaufforderung hochfahren (F8 beim Booten drücken).
Kopiere dann die OTL.exe von dem Stick auf den Rechner (copy E:\OTL.EXE .)(wenn E Dein USB-Stick ist). Otl ausführen, Logs zurückkopieren und hier posten...
Wichtig:Du musst mit dem verseuchten Konto booten!

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Hallo chris.

habe die otl.exe im abgesicherten modus mit eingabeaufforderung vom usb stick auf c:\windows\system32 kopiert und auch dort mit den optionen "safe list" und "Minimal-Ausgabe" gestartet. als otl.txt und extras.txt erhalte ich leider leere dateien könnte es sein, dass wenn ich die exe über die Eingabeaufforderung starte, dies nicht mit Administratorrechten geschieht ?

Andi

Hi,

ja, daher "runas benutzen":
runas /user:user_mit_admin_rechten "otl.exe"
user_mit_admin_rechten -> der user der bei dir adminrechte hat...
Und das Ganze vielleicht nicht unbedingt im Systemverzeichnis...

chris

Er hat was ausgespuckt

die Offenbarung ist im Anhang. Extras.txt war zu groß, deswegen hab zwei daraus gemacht.



was wäre jetzt der nächste Schritt?
Danke !

Hi,

Glück gehabt, bin gerade am abdüsen...


Bitte folgende Files prüfen (nach dem OTL-Fix und bevor sich MAM auf die Suche macht; das Teil kann zu Windows gehören oder ein Backdoor sein):

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\SysNative\acovcnt.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix auf den USB-Stick kopieren, OTL über CMD wie gehabt als Admin starten, dann notepad starten, fix öffnen abkopieren und in OTL einfügen...

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [lmfvMDBr3jNvGGM] C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKCU Winlogon: Shell - (C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe) - C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe ()
O20 - HKCU Winlogon: UserInit - (C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe) - C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe ()
012.03.29 11:53:53 | 000,000,000 | ---D | C] -- C:\Users\Bose Studio\AppData\Roaming\UAs
[2012.03.29 11:53:39 | 000,000,000 | ---D | C] -- C:\Users\Bose Studio\AppData\Roaming\08020
[2012.03.29 11:53:28 | 000,000,000 | ---D | C] -- C:\Users\Bose Studio\AppData\Roaming\xmldm
[2012.03.29 11:51:47 | 000,000,000 | ---D | C] -- C:\Users\Bose Studio\AppData\Roaming\kock
[2012.04.08 23:43:04 | 000,274,432 | ---- | M] () -- C:\Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe
[2012.03.29 11:53:35 | 000,000,016 | ---- | M] () -- C:\Users\Bose Studio\AppData\Roaming\blckdom.res
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:15024E60
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:734E442A
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:4CF61E54
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:B88E99C8
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:A724744F

:reg
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AutoUpdateDisableNotify" = dword:0x00

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Danach sollte der Rechner sich normal booten lassen...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

Hi,
also erstmal ein riesiges Danke für die Hilfe und der damit verbundenen Mühe !!

Nachdem ich den Fix gestartet habe, ist das Programm nach kurzer Zeit stehengeblieben und ließ sich auch nicht mehr bedienen.. In der Prozesszeile ganz unten stand der bei "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center..." fest. hab das ganze mit dem selben Ergebniss noch einmal probiert. Es gab keinen Hinweis dass der Prozess abgeschlossen war weder einen Fix-Log. Habe dann versucht Windows normal zu starten und es ging !!

Virus total sagte zur acovcnt.exe :

Code: Alles auswählenAufklappen

ATTFilter

SHA256: 	aaf659e3d38ad04848a9c3ed6250b30dc13acc8ac9f527a11f0c14e6ec8735b2
SHA1: 	6d5a81e3cf59832d73f28d6e87f51d073c3e4095
MD5: 	6bcaf46e2b7fa9ace92b4d39f3037c5c
File size: 	44.0 KB ( 45056 bytes )
File name: 	acovcnt.exe
File type: 	Win32 EXE
Detection ratio: 	0 / 42
Analysis date: 	2012-04-12 16:21:21 UTC ( 0 Minuten ago )
         

und MAM fand folgendes:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.12.05

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Bose Studio :: BOSESTUDIO-PC [Administrator]

Schutz: Aktiviert

12.04.2012 20:31:57
mbam-log-2012-04-12 (20-31-57).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 625540
Laufzeit: 4 Stunde(n), 32 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6764C5ED-CEE4-42ae-8F31-23F02A3A661F} (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\itunes.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Hijack.Shell.Gen) -> Daten: c:\users\bose studio\appdata\roaming\bstr55uhjzd.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Program Files\Trend Micro\Internet Security\Temp\VS2QKB0G.LOG (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bose Studio\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\ENLVP0NN\pack[1].exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bose Studio\AppData\Local\Temp\coymnonigzwtyac.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bose Studio\AppData\Local\Temp\cwnkwjgiupdkyuvhmizo.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bose Studio\AppData\Local\Temp\kfbthyjlirzpflxi.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bose Studio\AppData\Local\Temp\vvmkjuqjrkirnsbsuvzselbwl.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Nicole\AppData\Roaming\bstr55uhjzd.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\04122012_194206\C_Users\Bose Studio\AppData\Roaming\bstr55uhjzd.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

kannst du etwas zum Bedrohungsgrad sagen?

werde von nun an vorsichtiger mit "dem Internet" umgehen und hab mir gleich mal Norton Internet Security (hältst du das für ausreichend?) zugelegt.

Hi,

Norton dürfte so gut wie jede andere sein ;o)...

Zum Surfen Firefox mit den PlugIns "WOT" (http://filepony.de/?q=WOT) und
"NoScript" (http://filepony.de/download-noscript//)) verwenden,
einen "Guest"-Account (keine Adminrechte! XP: (Schritt 6: Eingeschränkte Rechte für Viren - Schritt für Schritt: Windows XP absichern - CHIP Online,
Vista/Win7: Windows-7-Anleitung: Benutzerkonten anlegen und verwalten - NETZWELT) anlegen.

Das Verzeichnis C:\_OTL kannst du komplet löschen...

Hat Norton noch was gefunden?

chris

Hi,
ja doch:

infizierte Datei : c:\users\bose studio\appdata\local\temp\main.class

Bedrohungsname : Trojan.Maljava

Andi

Hi,

Fund von Norton bei Virustotal.com prüfen lassen...

Was treibt der Rechner?

chris

Hi,

der Quarantäne Ordner müsste ja unter c:/documents and settings zu finden sein... nur wird mir komischerweise trotz Adminrechten der Zugriff auf diesen ordner verweigert.. kann den ordner auch mit rechtsklick freigabe nicht freigeben...

Andi

Hi,

das wird wahrscheinlich von Norton überwacht und geht daher nur über diesen...

chris