Hallo,

Habe das Problem, dass mein Rechner (Win Vista SP2) durch den Bundestrojaner gesperrt ist. Habe im abgesicherten Modus folgende Logfiles gezogen.

Bitte um eure Unterstützung zur Behebung. Danke.

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code: Alles auswählenAufklappen

  ATTFilter

  C:\ProgramData\GAMYGtCx.exe
           

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.

Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt 2

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKCU..\Run: [rgphoqnzewtrnby] C:\ProgramData\rgphoqnz.exe ()
[2012.10.07 13:08:14 | 000,074,135 | ---- | M] () -- C:\ProgramData\ppzepmfmayzptix
[2012.10.07 13:08:08 | 000,103,424 | ---- | M] () -- C:\ProgramData\rgphoqnz.exe
[2012.10.07 13:08:08 | 000,103,424 | ---- | M] () -- C:\Users\Thomas\ms.exe
[2012.10.07 13:08:13 | 000,103,424 | ---- | C] () -- C:\ProgramData\rgphoqnz.exe
[2012.10.07 13:08:08 | 000,074,135 | ---- | C] () -- C:\ProgramData\ppzepmfmayzptix
[2012.10.07 13:08:07 | 000,103,424 | ---- | C] () -- C:\Users\Thomas\ms.exe
:Commands
[purity]
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 4

Bitte poste die Logs NICHT als Anhang sondern direkt hier in den Thread.

Hi,

Schritt 1:
https://www.virustotal.com/file/94cfc59ee56081e7a67475c79800a2d1ef3a2378d28591d60a759c7bb4b7520b/analysis/1349720865/

Schritt 2:

Code: Alles auswählenAufklappen

ATTFilter

 
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\rgphoqnzewtrnby deleted successfully.
C:\ProgramData\rgphoqnz.exe moved successfully.
C:\ProgramData\ppzepmfmayzptix moved successfully.
File C:\ProgramData\rgphoqnz.exe not found.
C:\Users\Thomas\ms.exe moved successfully.
File C:\ProgramData\rgphoqnz.exe not found.
File C:\ProgramData\ppzepmfmayzptix not found.
File C:\Users\Thomas\ms.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41666 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Gast
->Temp folder emptied: 830106 bytes
->Temporary Internet Files folder emptied: 145379977 bytes
->FireFox cache emptied: 51275254 bytes
->Flash cache emptied: 42908 bytes
 
User: Public
 
User: Thomas
->Temp folder emptied: 2354862271 bytes
->Temporary Internet Files folder emptied: 4038195252 bytes
->Java cache emptied: 3051543 bytes
->FireFox cache emptied: 66012551 bytes
->Flash cache emptied: 110485 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 509688150 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 6.838,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 10082012_201820
         

Schritt 3:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.08.07

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Thomas :: THOMAS-PC [Administrator]

08.10.2012 20:30:51
mbam-log-2012-10-08 (20-30-51).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225335
Laufzeit: 3 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2012.10.01 20:43:49 | 000,180,297 | ---- | C] (Deep side) -- C:\ProgramData\GAMYGtCx.exe
[2012.10.01 20:46:38 | 000,000,112 | ---- | M] () -- C:\ProgramData\q5MvC2.dat
[2012.10.01 20:43:49 | 000,000,001 | ---- | M] () -- C:\ProgramData\GAMYGtCx.exe_.b
[2012.10.01 20:43:49 | 000,000,001 | ---- | M] () -- C:\ProgramData\GAMYGtCx.exe.b
[2012.10.01 20:43:46 | 000,180,297 | ---- | M] (Deep side) -- C:\ProgramData\GAMYGtCx.exe
[2012.10.01 20:44:03 | 000,000,112 | ---- | C] () -- C:\ProgramData\q5MvC2.dat
[2012.10.01 20:43:49 | 000,000,001 | ---- | C] () -- C:\ProgramData\GAMYGtCx.exe_.b
[2012.10.01 20:43:49 | 000,000,001 | ---- | C] () -- C:\ProgramData\GAMYGtCx.exe.b
:Commands
[purity]
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Hi,

Hier der Output:

Code: Alles auswählenAufklappen

ATTFilter

 All processes killed
========== OTL ==========
C:\ProgramData\GAMYGtCx.exe moved successfully.
C:\ProgramData\q5MvC2.dat moved successfully.
C:\ProgramData\GAMYGtCx.exe_.b moved successfully.
C:\ProgramData\GAMYGtCx.exe.b moved successfully.
File C:\ProgramData\GAMYGtCx.exe not found.
File C:\ProgramData\q5MvC2.dat not found.
File C:\ProgramData\GAMYGtCx.exe_.b not found.
File C:\ProgramData\GAMYGtCx.exe.b not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: Thomas
->Temp folder emptied: 40551 bytes
->Temporary Internet Files folder emptied: 101776170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 27756625 bytes
->Flash cache emptied: 971 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4212 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 124,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 10102012_213129

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Danke für die Hilfe!

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Noch Meldungen?
Läuft die Kiste wieder?

Code: Alles auswählenAufklappen

ATTFilter

C:\ProgramData\ulrjavhreragudb\main.html	HTML/Ransom.B trojan
C:\Users\All Users\ulrjavhreragudb\main.html	HTML/Ransom.B trojan
C:\_OTL\MovedFiles\10082012_201820\C_ProgramData\rgphoqnz.exe	a variant of Win32/Injector.XKY trojan
C:\_OTL\MovedFiles\10082012_201820\C_Users\Thomas\ms.exe	a variant of Win32/Injector.XKY trojan
C:\_OTL\MovedFiles\10102012_213129\C_ProgramData\GAMYGtCx.exe	a variant of Win32/Kryptik.AMOC trojan
         

Danke

Lösche die beiden Ordner:
C:\ProgramData\ulrjavhreragudb
C:\Users\All Users\ulrjavhreragudb

Bestehen noch Probleme?

der erste ordner ist gelöscht, den zweiten ordner gibt es allerdings nicht. ist das ein problem?

Nein Hast Du noch Beschwerden?

nein, alles in ordnung!
herzlichen dank nochmal für die tolle hilfe. hat echt gut funktioniert!
danke