Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   eeePC nach Bundespolizei-Trojaner mit REATOGO gebootet - wie geht's nun weiter? (https://www.trojaner-board.de/100871-eeepc-bundespolizei-trojaner-reatogo-gebootet-gehts.html)

alex76 29.06.2011 13:07
eeePC nach Bundespolizei-Trojaner mit REATOGO gebootet - wie geht's nun weiter?
 
Hallo beisammen,

Ich habe mir auf meinem Acer eeepC 1000 Netbook mit WinXP den "Bundespolizei-Trojaner" eingefangen. Nach eifrigem Gegoogle habe ich nun die freundlicherweise hier* beschriebenen Anweisungen befolgt und konnte nun mein Netbook per REATOGO-X-PE vom USB-Stick booten. Der Scan lieferte mir die Anhang gezeigte OTL.txt Datei. Eine "Extras.txt" konnte ich nicht erhalten.

--> Nun weiß ich leider nicht, wie ich weiter verfahren soll und würde mich extrem über Euren Rat freuen.

Besten Dank schon mal im Voraus!
___________
*hxxp://www.trojaner-board.de/98038-bundestrojaner-virus-auf-netbook-ohne-cd-laufwerk.html

cosinus 29.06.2011 13:12
Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
:OTL
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\asusu\Definições locais\Temporary Internet Files\Content.IE5\6XCL014R\about[1].exe) - C:\Documents and Settings\asusu\Definições locais\Temporary Internet Files\Content.IE5\6XCL014R\about[1].exe (cp)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 13:06:42 | 000,000,053 | ---- | M] () - X:\AUTORUN.INF -- [ FAT ]
O33 - MountPoints2\{10d1ce5b-a353-11dd-87f2-002215f33293}\Shell - "" = AutoRun
O33 - MountPoints2\{10d1ce5b-a353-11dd-87f2-002215f33293}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{10d1ce60-a353-11dd-87f2-002215f33293}\Shell - "" = AutoRun
O33 - MountPoints2\{10d1ce60-a353-11dd-87f2-002215f33293}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{3835f336-fbaf-11df-88f5-0015afefc99d}\Shell\AutoRun\command - "" = E:\Toshiba\more4you.exe
O33 - MountPoints2\{a98c025e-a137-11dd-bdc5-002215f33293}\Shell - "" = AutoRun
O33 - MountPoints2\{a98c025e-a137-11dd-bdc5-002215f33293}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{a98c0260-a137-11dd-bdc5-002215f33293}\Shell - "" = AutoRun
O33 - MountPoints2\{a98c0260-a137-11dd-bdc5-002215f33293}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{aaacd9ea-e41b-11dd-92ab-002215f33293}\Shell\AutoRun\command - "" = WDSetup.exe
O33 - MountPoints2\{b94ff256-d742-11de-90c2-002215f33293}\Shell - "" = AutoRun
O33 - MountPoints2\{b94ff256-d742-11de-90c2-002215f33293}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{b94ff322-d742-11de-90c2-002215f33293}\Shell - "" = AutoRun
O33 - MountPoints2\{b94ff322-d742-11de-90c2-002215f33293}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{d89d7649-a102-11dd-bdc3-0015afefc99d}\Shell - "" = AutoRun
O33 - MountPoints2\{d89d7649-a102-11dd-bdc3-0015afefc99d}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{e72fd244-5463-11e0-a8e6-0015afefc99d}\Shell - "" = AutoRun
O33 - MountPoints2\{e72fd244-5463-11e0-a8e6-0015afefc99d}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{eb9ddde3-54a9-11e0-a8ea-002215f33293}\Shell - "" = AutoRun
O33 - MountPoints2\{eb9ddde3-54a9-11e0-a8ea-002215f33293}\Shell\AutoRun\command - "" = F:\autorun.exe
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - gib dann Bescheid.

alex76 29.06.2011 14:03
Hui! Flotte Antwort und schon läuft die Kiste wieder. Und ich habe einen neuen Helden!

1000 Dank an Dich, anbei noch das Logfile. :daumenhoc

cosinus 29.06.2011 14:42
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

alex76 29.06.2011 14:51
Danke für die Antwort. Ich habe inzwischen das ganze System mit Avira (auf dem Stand von heute) gescannt, dabei wurden die beiden folgenden Trojaner gefunden:

TR/VBKrypt.djvc
TR/Obfuscated.29996C

Ist der Scan mit Malwarebytes dennoch nötig oder kann ich gleich mit "CustomScan mit OTL" weitermachen?

cosinus 29.06.2011 14:56
Zitat:
TR/VBKrypt.djvc
TR/Obfuscated.29996C
Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.
Und ja Malwarebytes ist nötig.

alex76 29.06.2011 18:24
So, Scan mit Malwarebytes ist beendet, satte 14 Einträge wurden dabei entdeckt. Details siehe Logfile im Anhang. Die Einträge habe ich von Malwarebytes entfernen lassen.

Nun würde ich mit dem OTL CustomScan weitermachen und Deinen CustomScan dabei verwenden.

cosinus 29.06.2011 21:42
Das Log von AntiVir kommt aber auch noch?

alex76 29.06.2011 22:07
Zitat:
Zitat von cosinus (Beitrag 678331)
Das Log von AntiVir kommt aber auch noch?
Ah, dachte die brauchst Du nicht mehr, weil Malwarebytes alles wegbügelt. Du findest nun im Anhang:
  • Das Logfile des kompletten Avira Systemscans.
  • Weitere Avira Einzelreports von Ereignissen, die NACH dem Avira Systemscan, aber noch VOR Abschluss des Malwarebyte Scans gemeldet wurden (Avira war aktiv, während der Malwarebytes Scan lief - Fehler?).

Ich hoffe, das sind die Infos, die Du brauchst. In jedem Fall vielen Dank für Deine Hilfe, ich weiss das sehr zu schätzen!

cosinus 29.06.2011 22:22
Ok. Kommt das CustomLog noch?

alex76 30.06.2011 09:16
Zitat:
Zitat von cosinus (Beitrag 678355)
Ok. Kommt das CustomLog noch?
Biddeschön - im Anhang.

Viele Grüsse!

cosinus 30.06.2011 10:25
Zitat:
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programas\Zone Labs\ZoneAlarm\zlclient.exe (Zone Labs, LLC)
Auf so ein Spielzeug sollte man verzichten. Bitte deinstallieren und die Windows-Firewall aktivieren.

alex76 30.06.2011 10:34
Zitat:
Zitat von cosinus (Beitrag 678408)
Auf so ein Spielzeug sollte man verzichten. Bitte deinstallieren und die Windows-Firewall aktivieren.
Erledigt. Nun laufen noch:

- Avira
- Malwarebytes
- Spybot
- Windows Firewall

Was kann ich sonst noch tun, um den Rechner wieder normal nutzen zu können?

Danke!

cosinus 30.06.2011 10:59
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

alex76 30.06.2011 11:48
Hier nun das ComboFix Logfile im Anhang.

cosinus 30.06.2011 12:00
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

alex76 30.06.2011 12:25
Ich habe nun wie beschrieben GMER, OSAM und MBRCheck laufen lassen, die Logs dazu findest Du im Anhang.

cosinus 30.06.2011 12:31
Zitat:
"fwwukhlb" (fwwukhlb) - ? - C:\windows\System32\drivers\drrktlm.sys (File found, but it contains no detailed information)
Bitte mit OSAM deaktivieren und löschen

alex76 30.06.2011 12:47
Zitat:
Zitat von cosinus (Beitrag 678457)
Bitte mit OSAM deaktivieren und löschen
Hm, ich hab hier nur die (OSAM) Option "Dump file as...", die Optionen "Delete file" und "Move file to quarantine" sind ausgegraut. Muss ich vorher noch etwas anderes machen?

Danke für Deinen Rat!

cosinus 30.06.2011 12:53
Löschen = delete

alex76 30.06.2011 12:58
Zitat:
Zitat von cosinus (Beitrag 678466)
Löschen = delete
Klar, nur: ich kann nicht auf "Delete" oder "Quarantine" klicken, weil diese Optionen ausgegraut sind. (Die Datei ist markiert, ich gehe mit Rechtsklick drauf und habe dann diverse Optionen, nur kann ich "Delete" eben nicht anklicken.)

cosinus 30.06.2011 13:07
Hast du es erst deaktiviert? Steht alles in der Anleitung von osam

alex76 30.06.2011 13:38
Ich habe nun die Datei nach Anleitung per OSAM deaktiviert, rebootet, gelöscht, rebootet und nach einem neuen Scan ein neues Logfile erstellt - siehe Anhang.

cosinus 30.06.2011 14:23
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


alex76 01.07.2011 12:14
Sorry, hat ne Weile gedauert. Habe nun die empfohlenen Tools nach Updates scannen lassen, die Logs findest Du im Anhang.

cosinus 01.07.2011 12:27
Die gefundenen Überreste durch ESET bitte löschen!

Zitat:
Art des Suchlaufs: Quick-Scan
Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

alex76 01.07.2011 15:50
Zitat:
Zitat von cosinus (Beitrag 678872)
Die gefundenen Überreste durch ESET bitte löschen!



Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

OK, die gefundenen Trojaner habe ich mit ESET gelöscht. Anbei noch das Log eines Malwarebytes Vollscan (neueste Version).

cosinus 01.07.2011 15:51
Sieht ok aus.
Rechner wieder im Lot?

alex76 01.07.2011 16:09
Zitat:
Zitat von cosinus (Beitrag 678975)
Sieht ok aus.
Rechner wieder im Lot?
Soweit sieht alles bestens aus, das Ding macht keine Zicken. Ist der Exorzismus damit beendet? :crazy:

cosinus 01.07.2011 18:08
Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

alex76 01.07.2011 19:13
Hurra!

Mann, Arne... vielen, vielen Dank für Deine Hilfe und die abschliessenden Tipps!

Ich habe schon öfter mal Rat in Webforen bekommen, aber Deine Geduld und Hilfsbereitschaft stellt alles in den Schatten! Schön, dass es sowas noch gibt...

http://thechive.files.wordpress.com/...60%3Cbr%20/%3E

cosinus 01.07.2011 19:15
Danke für den netten Applaus :D


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19