BKA Trojaner - Kein abgesicherter Modus

Scalary · 13.11.2012, 00:00

Hallo nochmals zusammen,

irgendwie scheinen meine Bekannten und Verwandten zur Zeit alle etwas neben der Spur zu sein, denn ich habe hier schon wieder einen defekten Laptop vor mir stehen:

Nichts geht mehr, selbst der abgesicherte Modus nicht, daher bin ich aufgrund der selben Problembeschreibung nach folgendem Muster vorgegangen.

http://www.trojaner-board.de/126898-...tml#post954901

Die Log-Files hänge ich euch hier an.

Würde mich freuen, nochmals eure Hilfe in Anspruch nehmen zu dürfen.

Danke und Gruß Jens.

P.S.: Habe nur ein Log-File erhalten...

t'john · 13.11.2012, 03:39

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code:

ATTFilter

:OTL
O4 - HKLM..\Run: [] File not found 
O4 - HKU\LocalService_ON_D..\RunOnce: [mctadmin] File not found 
O4 - HKU\NetworkService_ON_D..\RunOnce: [mctadmin] File not found 
O4 - HKU\UpdatusUser_ON_D..\RunOnce: [mctadmin] File not found 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O20 - HKU\User_ON_D Winlogon: Shell - (C:\Users\User\AppData\Roaming\msconfig.dat) - D:\Users\User\AppData\Roaming\msconfig.dat () 
[2012/11/12 14:32:57 | 000,000,253 | ---- | M] () -- D:\ProgramData\hpqp.ini 
[2012/08/31 03:59:26 | 000,007,424 | ---- | C] () -- D:\Users\User\AppData\Roaming\BAcroIEHelpe205.dll 
[2012/08/31 03:59:25 | 000,198,200 | ---- | C] () -- D:\Users\User\AppData\Roaming\AcroIEHelpe205.dll 
[2012/08/29 22:39:40 | 000,065,536 | ---- | C] () -- D:\Users\User\AppData\Roaming\1um77fg3.default.dat 
[2012/08/25 10:05:12 | 000,006,400 | ---- | C] () -- D:\Users\User\AppData\Roaming\BAcroIEHelpe200.dll 
[2012/08/02 05:24:08 | 000,000,016 | ---- | C] () -- D:\Users\User\AppData\Roaming\blckdom.res 
[2012/02/06 09:32:10 | 000,074,599 | ---- | C] () -- D:\Users\User\AppData\Roaming\msconfig.dat 
:Files
C:\ProgramData\*.exe
C:\ProgramData\TEMP
C:\Users\User\*.tmp
C:\Users\User\AppData\Local\{*}
C:\Users\User\AppData\Local\Temp\*.exe
C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf .
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Scalary · 13.11.2012, 08:13

Hallo t'john,

vielen Dank für deine späte (frühe) Antwort heute Nacht.

Hier der Log:

Code:

ATTFilter

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry key HKEY_USERS\LocalService_ON_D\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
Registry key HKEY_USERS\NetworkService_ON_D\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
Registry key HKEY_USERS\UpdatusUser_ON_D\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_USERS\User_ON_D\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\User\AppData\Roaming\msconfig.dat deleted successfully.
D:\Users\User\AppData\Roaming\msconfig.dat moved successfully.
D:\ProgramData\hpqp.ini moved successfully.
D:\Users\User\AppData\Roaming\BAcroIEHelpe205.dll moved successfully.
D:\Users\User\AppData\Roaming\AcroIEHelpe205.dll moved successfully.
D:\Users\User\AppData\Roaming\1um77fg3.default.dat moved successfully.
D:\Users\User\AppData\Roaming\BAcroIEHelpe200.dll moved successfully.
D:\Users\User\AppData\Roaming\blckdom.res moved successfully.
File D:\Users\User\AppData\Roaming\msconfig.dat not found.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Users\User\*.tmp not found.
File\Folder C:\Users\User\AppData\Local\{*} not found.
File\Folder C:\Users\User\AppData\Local\Temp\*.exe not found.
File\Folder C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache not found.
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.
 
Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
D:\cmd.bat deleted successfully.
D:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
-> No Temporary Internet Files cache folder defined!
 
User: Default
-> No Temporary Internet Files cache folder defined!
 
User: Default User
-> No Temporary Internet Files cache folder defined!
 
User: Public
-> No Temporary Internet Files cache folder defined!
 
User: UpdatusUser
-> No Temporary Internet Files cache folder defined!
 
User: User
-> No Temporary Internet Files cache folder defined!
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 218695252 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50300 bytes
 
Total Files Cleaned = 209.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 11132012_080716

Der PC kann nun wieder normal gestartet werden. Was sind die nächsten Schritte?

Danke und Gruß, Jens.

P.S.: Bin erst ab 14:00 Uhr wieder online...

t'john · 13.11.2012, 10:27

Sehr gut!

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Scalary · 13.11.2012, 16:49

Soweit schon mal danke:

Hier die Log-Files der beiden Scans:

MBAM:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.13.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
User :: USER-PC [Administrator]

13.11.2012 14:56:22
mbam-log-2012-11-13 (14-56-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 421026
Laufzeit: 59 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 5
HKCR\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\_OTL\MovedFiles\11132012_080716\D_Users\User\AppData\Roaming\BAcroIEHelpe205.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Code:

ATTFilter

# AdwCleaner v2.007 - Datei am 13/11/2012 um 16:47:31 erstellt
# Aktualisiert am 06/11/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : User - USER-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\User\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Datei Gefunden : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
Datei Gefunden : C:\user.js
Datei Gefunden : C:\Users\Public\Desktop\eBay.lnk
Ordner Gefunden : C:\Program Files (x86)\ICQ6Toolbar
Ordner Gefunden : C:\ProgramData\Babylon
Ordner Gefunden : C:\ProgramData\ICQ\ICQToolbar

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}
Schlüssel Gefunden : HKLM\Software\Babylon
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{97D69524-BB57-4185-9C7F-5F05593B771A}
Schlüssel Gefunden : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Schlüssel Gefunden : HKU\S-1-5-21-2227273166-4172461094-2258141586-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gefunden : HKU\S-1-5-21-2227273166-4172461094-2258141586-1000\Software\Microsoft\Internet Explorer\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd

-\\ Mozilla Firefox v13.0.1 (de)

-\\ Google Chrome v [Version kann nicht ermittelt werden]

*************************

AdwCleaner[R1].txt - [2432 octets] - [13/11/2012 16:47:31]

########## EOF - C:\AdwCleaner[R1].txt - [2492 octets] ##########

Was wäre der nächste Schritt?

Danke und Gruß...

t'john · 13.11.2012, 19:41

Zitat:

Trojan.Banker

HKCR\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83}
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83}
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C0F1636E-13A8-4C84-BB11-774BE45E1F83}
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0F1636E-13A8-4C84-BB11-774BE45E1F83}
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DD31495E-290C-41CF-8C66-7415383F82DE}

Trojan.Agent

C:\_OTL\MovedFiles\11132012_080716\D_Users\User\AppData\Roaming\BAcroIEHelpe205.dll

Bereibst du Homebankg oder andere sensiblen Sachen an dem Rechner?

Scalary · 13.11.2012, 22:21

Hallo t'john,

da das wie berichtet nicht mein Rechner ist, kann ich das nicht mit Genauigkeit sagen, vermutlich aber schon

Soll ich meinem Bekannten raten, alle sensiblen PW zu ändern?

Wie sieht es mit dem Rechner jetzt aus? Ist er wieder "sauber" ?

Danke und Gruß, Jens.

Scalary · 17.11.2012, 15:31

Hallo,

wollte nochmals nachgefragt haben, ob der Rechner wieder sauber ist? Alle sensiblen PW sind geändert worden.

Danke und Gruß Jens.

t'john · 17.11.2012, 16:45

Der Rechner ist so nicht sauber.

Die PWs hoffentlich von einem sauberen PC aus geaendert?

Wir brauchen eine Entscheidung: Bereinigen oder Neuaufsetzen?

Scalary · 18.11.2012, 16:57

Am Liebsten bereinigen, wenn das ein nicht allzu aufwendiger Schritt ist...

Ich habe Bescheid gesagt, dass alle PW, sauber geändert werden sollen.

Danke und Gruß, Jens.

t'john · 18.11.2012, 21:29

1.

Scan mit Malwarebytes' Anti-Rootkit
Download: Download - Malwarebytes Anti-Rootkit BETA

Anleitung: Anleitung: Malwarebytes Anti-Rootkit

2.
TDSSKiller von Kaspersky

- Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
- Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
- deaktiviere vorübergehend dein AntiVirus-Programm
- Starte die TDSSKiller.exe durch Doppelklick.
- Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
- Bestätige das ggfs. mit Y(es).
- Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
- Poste den Inhalt von C:\TDSSKiller.txt hier in den Thread.

Hier findest Du eine ausführlichere TDSSKiller Anleitung.

t'john · 19.12.2012, 11:24

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.

17.11.2012, 16:45	#9
t'john /// Helfer-Team	BKA Trojaner - Kein abgesicherter Modus Der Rechner ist so nicht sauber. Die PWs hoffentlich von einem sauberen PC aus geaendert? Wir brauchen eine Entscheidung: Bereinigen oder Neuaufsetzen? __________________ Mfg, t'john Das TB unterstützen

BKA Trojaner - Kein abgesicherter Modus

Plagegeister aller Art und deren Bekämpfung: BKA Trojaner - Kein abgesicherter Modus