Hallo Trojaner-Board,

mich hat wahrscheinlich der BUNDESPOLIZEI/BSI Trojaner 1.14 erwischt. Es erscheint bei "fast" jedem Bootvorgang ein grüner Bildschirm von der Bundespolizei.
Die meisten Dateien sind anscheinend "renamed" worden.
Ob die Dateien verschlüsselt sind kann ich nicht beurteilen.

Es ist ein Windows 7 Home Premium 64Bit System.

defogger ist gelaufen.

Mit OTL.exe wurde ein Quickscann durchgeführt. Es wurde allerdings nur
eine OTL.txt erstellt.

Zusätzlich habe ich noch ein Log mit Malwarebytes erstellt.

Ich hoffe auf eure Hilfe.

Gruß Ötzi

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\S-1-5-21-541480462-373753385-3634227409-1000..\Run: [7A82905E] C:\Users\WIN7~1\AppData\Local\Temp\Uuua\yccyymjcy.exe ()
 :Files
C:\Users\WIN7~1\AppData\Local\Temp\Uuua
:Commands
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

wie wurden die dateien umbenannt, also nach welchem chema

Hallo,

habe den Fix mit OTL durchgeführt. Nach dem reboot
konnte ich aber keine Textdatei entdecken.
Wie heißt die Datei denn ?????

MovedFiles.zip und einen Screenshot der renamed Dateien
werde ich gleich im Uploadchannel hochladen.

Gruß Ötzi

hi
nutze mal den shadow explorer:
http://www.trojaner-board.de/115496-...erstellen.html

Der Shadow Explorer hat leider nichts gebracht, alles was ich da finde ist bereits "renamed".

Bin mal in "Eigene Bilder" gegangen und hab mal eine Datei welche ein Foto sein könnte mit der Windows-Fotoanzeige geöffent und habe tatsächlich ein Bild
angezeigt bekommen. Die Dateien scheinen also nur "renamed" worden zu sein und sind nicht verschlüsssel (habe das aber nur an wenigen Dateien ausprobiert).

Gibt es ein Utility welches Dateien öffnet, analysiert und mir dann wenigstens
die richtige Datei-Endung angibt?

Bin ich jetzt eigentlich durch (bis auf die umbenannten Dateien)?

Gruß Ötzi

hi nien endungen musst du selbst anhängen.
sind denn alle formate noch zu öffnen?

Bis jetzt ja, ist sehr zeitaufwendig !!

Habe aber bis jetzt nur Bilder und Open Office Dokumente bearbeitet.

Nochmal die Frage: Bin ich den Trojaner jetzt los oder kommt da noch was?

System verhält sich bis jetzt normal.

Gruß Ötzi

sind das alle logs von malwarebytes?
öffne avira, verwaltung, quarantäne, poste funde mit pfadangaben

habe mit Malwarebytes einen kompletten Scann gemacht,

Logfile und Screenshot von einem Fund im Uploadchannel hochgeladen.

Screenshot von der Avira Quarantäne hochgeladen.

Beim Hochladen kommt bei jeder Datei die Meldung Hochgeladen, aber zum Schluss steht Fehler Dateien können nicht empfangen werden ich sollte mich anmelden. Keine Ahnung ob das jetzt geklappt hat. Angemeldet war ich natürlich

logs hier posten, von avira keine screenshots bitte sondern meldung als text
sorry für die wartezeit, hab deine antwort nicht gesehen

Hallo Markus,

hier die Logfiles von Avira:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 28. September 2012 20:10

Es wird nach 4282581 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : WIN7-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1199 40869 Bytes 07.09.2012 22:14:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 09.08.2012 06:58:17
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 16:41:52
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 16:41:52
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 16:41:52
AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 10:12:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 17:05:48
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 11:49:37
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 10:54:48
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 07:07:11
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 18:04:55
VBASE007.VDF : 7.11.41.251 2048 Bytes 06.09.2012 18:04:55
VBASE008.VDF : 7.11.41.252 2048 Bytes 06.09.2012 18:04:55
VBASE009.VDF : 7.11.41.253 2048 Bytes 06.09.2012 18:04:55
VBASE010.VDF : 7.11.41.254 2048 Bytes 06.09.2012 18:04:55
VBASE011.VDF : 7.11.41.255 2048 Bytes 06.09.2012 18:04:56
VBASE012.VDF : 7.11.42.0 2048 Bytes 06.09.2012 18:04:56
VBASE013.VDF : 7.11.42.1 2048 Bytes 06.09.2012 18:04:56
VBASE014.VDF : 7.11.42.65 203264 Bytes 09.09.2012 08:04:29
VBASE015.VDF : 7.11.42.125 156672 Bytes 11.09.2012 08:04:30
VBASE016.VDF : 7.11.42.171 187904 Bytes 12.09.2012 08:04:33
VBASE017.VDF : 7.11.42.235 141312 Bytes 13.09.2012 08:04:34
VBASE018.VDF : 7.11.43.35 133632 Bytes 15.09.2012 08:04:36
VBASE019.VDF : 7.11.43.89 129024 Bytes 18.09.2012 07:29:06
VBASE020.VDF : 7.11.43.141 130560 Bytes 19.09.2012 08:55:49
VBASE021.VDF : 7.11.43.187 121856 Bytes 21.09.2012 11:32:59
VBASE022.VDF : 7.11.43.251 147456 Bytes 24.09.2012 11:33:00
VBASE023.VDF : 7.11.44.43 152064 Bytes 25.09.2012 11:33:00
VBASE024.VDF : 7.11.44.103 165888 Bytes 27.09.2012 18:04:57
VBASE025.VDF : 7.11.44.104 2048 Bytes 27.09.2012 18:04:57
VBASE026.VDF : 7.11.44.105 2048 Bytes 27.09.2012 18:04:57
VBASE027.VDF : 7.11.44.106 2048 Bytes 27.09.2012 18:04:57
VBASE028.VDF : 7.11.44.107 2048 Bytes 27.09.2012 18:04:57
VBASE029.VDF : 7.11.44.108 2048 Bytes 27.09.2012 18:04:58
VBASE030.VDF : 7.11.44.109 2048 Bytes 27.09.2012 18:04:58
VBASE031.VDF : 7.11.44.142 96256 Bytes 28.09.2012 18:04:58
Engineversion : 8.2.10.178
AEVDF.DLL : 8.1.2.10 102772 Bytes 11.07.2012 09:56:12
AESCRIPT.DLL : 8.1.4.58 463226 Bytes 28.09.2012 18:05:03
AESCN.DLL : 8.1.9.2 131444 Bytes 28.09.2012 18:05:03
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 06:25:19
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.3.0.38 811382 Bytes 28.09.2012 18:05:03
AEOFFICE.DLL : 8.1.2.48 201082 Bytes 26.09.2012 11:33:05
AEHEUR.DLL : 8.1.4.108 5329272 Bytes 28.09.2012 18:05:02
AEHELP.DLL : 8.1.24.0 258423 Bytes 28.09.2012 18:04:59
AEGEN.DLL : 8.1.5.38 434548 Bytes 28.09.2012 18:04:59
AEEXP.DLL : 8.2.0.2 115060 Bytes 28.09.2012 18:05:03
AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 09:56:11
AECORE.DLL : 8.1.28.2 201079 Bytes 28.09.2012 18:04:58
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 16:41:52
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 16:41:52
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 16:41:52
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 16:41:52
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 16:41:52
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 16:41:52
AVSMTP.DLL : 12.3.0.32 63480 Bytes 09.08.2012 06:58:17
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 16:41:52
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 09.08.2012 06:56:58
RCTEXT.DLL : 12.3.0.31 100088 Bytes 09.08.2012 06:56:58

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 28. September 2012 20:10

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Health\{C5B410E4-1C4E-47B9-9DCB-FF5C7D098E05}
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-541480462-373753385-3634227409-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\CIDSizeMRU\MRUListEx
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-541480462-373753385-3634227409-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder\MRUListEx
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-541480462-373753385-3634227409-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRULegacy\MRUListEx
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-541480462-373753385-3634227409-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\*0
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-541480462-373753385-3634227409-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\JPG\MRUListEx
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-541480462-373753385-3634227409-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\PostBootReminders
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-541480462-373753385-3634227409-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\60
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-541480462-373753385-3634227409-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.JPG\9
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
C:\ProgramData\Microsoft\Windows\WER\ReportArchive\NonCritical_8024001f_604fafac6edea57220a2b55e1e395e45960debc_0e049c1f
C:\ProgramData\Microsoft\Windows\WER\ReportArchive\NonCritical_8024001f_604fafac6edea57220a2b55e1e395e45960debc_0e049c1f
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'Plauto.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'advancedsystemprotector.exe' - '147' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2323' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Win 7\AppData\Local\Temp\7zO55BD.tmp\Mahnkosten Rechnung 17.09.2012.zip
[0] Archivtyp: ZIP
--> Mahnkosten Rechnung 17.09.2012.com
[FUND] Ist das Trojanische Pferd TR/Savwu.A
C:\Users\Win 7\AppData\Local\Temp\7zO8A35.tmp\Mahnkosten Rechnung 17.09.2012.zip
[0] Archivtyp: ZIP
--> Mahnkosten Rechnung 17.09.2012.com
[FUND] Ist das Trojanische Pferd TR/Savwu.A
C:\Users\Win 7\Desktop\Thomas Geist\_OTL\MovedFiles.zip
[0] Archivtyp: ZIP
--> MovedFiles/09262012_200305/C_Users/WIN7~1/AppData/Local/Temp/Uuua/yccyymjcy.exe
[FUND] Ist das Trojanische Pferd TR/Graftor.43085.2
C:\Users\Win 7\Desktop\Thomas Geist\_OTL\MovedFiles\09262012_200305\C_Users\WIN7~1\AppData\Local\Temp\Uuua\yccyymjcy.exe
[FUND] Ist das Trojanische Pferd TR/Graftor.43085.2
C:\Users\Win 7\Downloads\jjAnftLqEnxoAqf
[WARNUNG] Die Datei ist kennwortgeschützt
C:\_OTL\MovedFiles\09262012_200305\C_Users\WIN7~1\AppData\Local\Temp\Uuua\yccyymjcy.exe
[FUND] Ist das Trojanische Pferd TR/Graftor.43085.2

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles\09262012_200305\C_Users\WIN7~1\AppData\Local\Temp\Uuua\yccyymjcy.exe
[FUND] Ist das Trojanische Pferd TR/Graftor.43085.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5508a0f3.qua' verschoben!
C:\Users\Win 7\Desktop\Thomas Geist\_OTL\MovedFiles\09262012_200305\C_Users\WIN7~1\AppData\Local\Temp\Uuua\yccyymjcy.exe
[FUND] Ist das Trojanische Pferd TR/Graftor.43085.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d9f8f54.qua' verschoben!
C:\Users\Win 7\Desktop\Thomas Geist\_OTL\MovedFiles.zip
[FUND] Ist das Trojanische Pferd TR/Graftor.43085.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1fd5d5b0.qua' verschoben!
C:\Users\Win 7\AppData\Local\Temp\7zO8A35.tmp\Mahnkosten Rechnung 17.09.2012.zip
[FUND] Ist das Trojanische Pferd TR/Savwu.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '79f09a60.qua' verschoben!
C:\Users\Win 7\AppData\Local\Temp\7zO55BD.tmp\Mahnkosten Rechnung 17.09.2012.zip
[FUND] Ist das Trojanische Pferd TR/Savwu.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3c74b75e.qua' verschoben!


Ende des Suchlaufs: Freitag, 28. September 2012 22:42
Benötigte Zeit: 1:37:48 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

23380 Verzeichnisse wurden überprüft
582432 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
582427 Dateien ohne Befall
8836 Archive wurden durchsucht
1 Warnungen
15 Hinweise
477371 Objekte wurden beim Rootkitscan durchsucht
10 Versteckte Objekte wurden gefunden

und hier von Malwarebytes:

Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.28.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Win 7 :: WIN7-PC [Administrator]

Schutz: Aktiviert

28.09.2012 20:17:36
mbam-log-2012-09-28 (20-59-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 301228
Laufzeit: 29 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Gruß Ötzi

nutzt du den pc für onlinebanking zum einkaufen, für sonstige zahlungsabwicklungen oder ähnlich wichtigem, wie beruflichem?

Hallo,

das ist der PC meiner Mutter, sie macht damit etwas Textverarbeitung,
googled nach Rezepten und macht etwas Email.

Kein Onlinebanking und keine Verkaufsaktivitäten wo Kreditkarten-Daten usw.
angegeben werden.

Gruß Ötzi

wenn du sagst, keine einkäufe wo kreditkarten nummern angegeben werden, heißt das, dass einkäufe gemacht werden oder nicht?

Keinerlei Einkaufsaktivitäten !