Polizeitrojaner, Weißer Bildschirm, Kein Abgesicherter Modus, Windows 7

lophiomys · 30.01.2013, 12:29

Hallo,

Wir haben einen infizierten Rechner Win 7 Pro 64bit
Plötzlich taucht ein Ransom Polizei Trojaner auf - Benutzerkonto blockiert
nach abziehen des Netzwerkkabels nur mehr weißer Bildschrim nach einloggen in Benutzerkonto.
Avira Free Totalversagen
Kein Zugriff auf TaskManager
Kein Zugriff auf Abgesicherten Modus - das System rebooted selbstständig
HitManPro von USB startet auch nicht- das System rebooted selbstständig
OLTPENet von CD crasht mit BlueScreen, wahrscheinlich wegen AHCI im BIOS, wie ich erst später gelesen habe

F-SECURE Rescue CD 3.16 findet folgendes und macht das System wieder zugänglich, mit zusätzlichen Kommentaren was Avira dann im Nachhinein noch gefunden hat:

Code:

ATTFilter

Win7 Pro x64
Infektion: 29.1.2013  17:00

F-Secure Rescue CD 3.16 --- DB 2013.01.29_08

...Program Files (x86)/MOTIONDATA/MD_PGM/Suzuki.dll: Infected: Gen:Trojan.Heur.KS.7 [Aqarius]
...Program Files (x86)/MOTIONDATA/MD_TEMPLALTE/Suzuki.dll: Infected: Gen:Trojan.Heur.KS.7 [Aqarius]
.../AppData/Local/Microsoft/Windows/Temporary Internet Files/Low/Content.IE5/I5AESQ8E/leithaberg-radmarathon_at[1].htm: Infected: Trojan.JS.Agent.GCN [Aqarius] (vor einer WOCHE besucht)
.../AppData/Local/Temp/~!#E6D4.tmp: Infected: Trojan.Generic.KDZ.5632 [Aqarius]
.../AppData/Local/Temp/jar_cache123123123123123123...tmp: Infected: Exploint:Java/Majava.A [FSE] -- AVIRA: JAVA/Treams.IW.3 --
.../AppData/Local/Temp/39503050.exe: Infected: Trojan.Generic.KDZ5630 [Aqarius]
.../AppData/Local/Temp/961560819.bat: Infected: Trojan.BAT.AAGK [Aqarius]
.../AppData/Local/Roaming/skype.dat: Infected: Trojan.Generic.KDZ.5632 [Aqarius]
.../AppData/Local/Roaming/Ucab/ukero.exe: Infected: Trojan.Generic.KDZ5630 [Aqarius]
[sda2/Windows/Installer/71b93.msi] [stream 14] suzuki.dll: Infected: Gen:Trojan.Heur.KS.7 [Aqarius]
 sda2/MOTIONDATA_DAT/MD_DAT/Neu/Suzuki.DLL: Infected: Gen:Trojan:Heur.KS.7 [Aqarius]
[sda2/MOTIONDATA_DAT/MD_SETUP/MOTIONDATA Client.msi] [stream 14] suzuki.dll:  Infected: Gen:Trojan:Heur.KS.7 [Aqarius]


AVIRA:
.../AppData/Local/Temp/58PW5DN3.EXE --> BDS/Agent.abig.2

So jetzt ist das System wieder zugänglich:
Avira finded ein neues File im Temp Ordner -> Verschoben in Quarantäne.

Ich habe die Quarantäne Files und die von FSecure als *.virus markierten Dateien in einer ZIP Datei gesammelt.

Malware Bytes Vollständige Suche:

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.30.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16439
Firma Mazda :: FIRMAMAZDA-PC [Administrator]

Schutz: Aktiviert

30.01.2013 11:51:00
MBAM-log-2013-01-30 (12-04-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 406211
Laufzeit: 11 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Daten: C:\Users\FIRMAM~1\LOCALS~1\Temp\mseotl.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Agent) -> Daten: C:\Users\FIRMAM~1\LOCALS~1\Temp\mseotl.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Daten: explorer.exe,C:\Users\Firma Mazda\AppData\Roaming\skype.dat -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Firma Mazda\AppData\Local\Temp\39503050.exe.virus (Trojan.Agent.VBS) -> Keine Aktion durchgeführt.
C:\Users\Firma Mazda\AppData\Local\Temp\hinilovipi.dll (Backdoor.Bot) -> Keine Aktion durchgeführt.
C:\Users\Firma Mazda\AppData\Local\Temp\~!#E6D4.tmp.virus (Trojan.Ransom.NDF) -> Keine Aktion durchgeführt.
C:\Users\Firma Mazda\AppData\Roaming\skype.dat.virus (Trojan.Ransom.NDF) -> Keine Aktion durchgeführt.

(Ende)

Was wäre noch zu machen um das System vollständig zu säubern?
Ist die Desinfizierung mit Malwarebytes ausreichend?

Danke für Eure Hilfe.
lg
LoPhi

Update:
Ich habe nun auf eine Motivation das Entfernen mit Malwarebytes durchgeführt, dann anschließend (noch vor dem geforderten Reboot)
MB Anti-Rootkit, mit welchem nocheinmal zwei Registry Key gesäubert wurden (die selben die zuvor schhon Malwarebytes entdeckt hatte).
Nach Reboot scheint alles OK.
Malwarebytes AntiMalware sowie Anti-Rootkit finden nichts, Avira sowieso nichts. SCNR

Nebenbei: Avira Lab hat einen der gefunden Files als
Die Datei '1d9032be.vir' wurde als 'MALWARE' eingestuft und unter BDS/Agent.abiq.2 mit Version 7.11.59.32 der Virendefinitionsdatei (VDF) hinzugefügt.

Es lebe die F-Secure CD.

LG
LoPhi

PS:
Wenn euch das Schlüsselwort "Firma" in den Logs gestört haben sollte: Es handelt sich um einen 2-Mannbetrieb, bei dem ich als Nachbar Nothilfe geleistet habe...

Polizeitrojaner, Weißer Bildschirm, Kein Abgesicherter Modus, Windows 7

Plagegeister aller Art und deren Bekämpfung: Polizeitrojaner, Weißer Bildschirm, Kein Abgesicherter Modus, Windows 7

Polizeitrojaner, Weißer Bildschirm, Kein Abgesicherter Modus, Windows 7

Ähnliche Themen: Polizeitrojaner, Weißer Bildschirm, Kein Abgesicherter Modus, Windows 7