Trojaner-Board - Bundespolizei-Trojaner: Hilfe ab OTL Datei

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bundespolizei-Trojaner: Hilfe ab OTL Datei (https://www.trojaner-board.de/102472-bundespolizei-trojaner-hilfe-ab-otl-datei.html)

Bundespolizei-Trojaner: Hilfe ab OTL Datei

Liebes Team von Trojaner-Board,

ich habe mir den Bundespolizei-Trojaner eingefangen. Nichts geht mehr, ein weißer Bildschirm mit der Aufforderung zur Zahlung. In den abgesicherten Modus kam ich ebenfalls nicht, da die Pfeiltasten blockiert waren.

Habe nun von Cd OTLPE gebootet (bin der Anleitung von http://www.trojaner-board.de/97331-b...n-ich-tun.html gefolgt) und die im Anhang befindliche OTL-Datei erhalten.

Sind darüber hinaus noch andere Informationen nötig?

Bin für jede Hilfe dankbar :)

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

IE - HKU\Sarah_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/

IE - HKU\Sarah_ON_C\..\URLSearchHook:  - Reg Error: Key error. File not found

IE - HKU\Sarah_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)

IE - HKU\Sarah_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"

FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q="

[2011/06/22 16:36:02 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\mozilla\Firefox\Profiles\mvomf9bs.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}

[2010/12/18 16:19:05 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\mozilla\Firefox\Profiles\mvomf9bs.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

[2011/08/10 16:02:07 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\mvomf9bs.default\searchplugins\icqplugin-1.xml

[2010/10/21 10:05:01 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\mvomf9bs.default\searchplugins\icqplugin-2.xml

[2010/06/21 10:35:24 | 000,001,042 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\mvomf9bs.default\searchplugins\icqplugin.xml

O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)

20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\jashla.exe (Britannica Antietam Englewood Andromache Waltham Orwell)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2004/01/26 14:37:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2008/07/04 13:58:18 | 000,000,000 | -H-- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]

O32 - AutoRun File - [2002/10/17 09:56:50 | 000,000,036 | RH-- | M] () - E:\autorun.inf -- [ FAT32 ]

O32 - AutoRun File - [2006/02/09 14:59:36 | 000,000,000 | RH-D | M] - E:\autorun -- [ FAT32 ]

O32 - AutoRun File - [2009/05/24 22:13:08 | 000,000,100 | ---- | M] () - F:\AUTORUN.INF -- [ FAT32 ]

O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O33 - MountPoints2\{93a54220-4cec-11e0-ad5a-00196695b324}\Shell - "" = AutoRun

O33 - MountPoints2\{93a54220-4cec-11e0-ad5a-00196695b324}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{93a54220-4cec-11e0-ad5a-00196695b324}\Shell\AutoRun\command - "" = H:\Startme.exe

O33 - MountPoints2\H\Shell - "" = AutoRun

O33 - MountPoints2\H\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\Startme.exe

[2011/08/12 16:35:44 | 000,162,304 | ---- | C] (Britannica Antietam Englewood Andromache Waltham Orwell) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\jashla.exe

[2011/08/12 17:10:54 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job

[2011/08/12 17:10:54 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job

@Alternate Data Stream - 113 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:070D9534

@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo, danke für die Antwort.
Ich habe nun den OTL-Fix gemacht. Allerdings hat sich keine Logfile geöffnet. Das Custom Scans/Fixes-Fenster, in das ich obigen Code hereinkopiert habe, ist nun leer und in einer Fensterzeile darunter steht: Processing complete!
Zudem kam danach zwar das Fenster, sinngemäß mitteilend, dass der PC rebooten müsse und ob man damit einverstanden wäre - ich habe auf Yes geklickt. Der PC startet nicht von allein neu.
Da ja eigentlich das Logfile erzeugt werden sollte, weiß ich nicht, wie ich nun weiter vorgehen soll.
Normal versuchen von Festplatte zu booten und der Anleitung zum Quarantäneordner folgen oder nochmal der OTL-Fix?

Ja startet Windows denn jetzt wieder normal? Genau das solltest du ja nch dem Fix prüfen und wenn es geht die ZIP in den UpChannel hochladen.

Nach dem Fix kam der Hinweis, dass der PC neugestartet wird, sofern ich einverstanden bin. Daraufhin hat er selbstständig jedenfalls nicht neugestartet. Habe nun selbst 2mal einen Neustart ausgeführt und nach Anmeldung des Benutzers ist zwar nun der weiße Bildschirm weg, weiter passiert jedoch nichts. Ich sehe lediglich einen veralteten Bildschirmhintergrund, keinerlei Desktopelemente o.ä.

-> Also nein, Windows startet nicht normal

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.

Starte den infizierten Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
Logge dich nun in das infizierte Benutzerkonto ein.
Schließe den USB Stick an den infizierten Rechner an.
Nun ist etwas Handarbeit gefragt.
- Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
- Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
  
  Zitat:
  
  Das System kann das angegeben Laufwerk nicht finden
  
  versuche einen anderen Laufwerksbuchstaben. ( zB F: )
Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
start srep.exe
Bestätige den Disclaimer mit OK.
Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hier scheitert es wie bereits in meinem ersten verzweifelten Versuch, den PC zu retten, nämlich in den abgesicherten Modus zu kommen :-(
Ich komme zu den Auswahlmöglichkeiten, die Tastatur scheint mir aber blockiert zu sein. Nach Zeitablauf startet Windows normal. Ich habe auch schon auf PS/2 umgestellt, die Tastatur ist ab dem Zeitpunkt, wo der Startoptionen-Bildschirm kommt, wie tot :-(

Dann wirst du wahrscheinlich Daten über eine Live-CD sichern und das System neu aufsetzen müssen.

Das Problem mit der Tastatur habe ich nun beheben können, indem ich im BIOS unter USB Configuration enabled hab.
Habe srep.exe vom Stick ausführen können, doch ein Neustarten offenbart dieselben Probleme wie zuvor: Anzeige eines veralteten Hintergrundes, nichts sonst.
Live-Rettung und Formatieren als letzte Lösung?

Zitat:

Anzeige eines veralteten Hintergrundes, nichts sonst.

Tasmanager mit STRG+ALT+ENTF starten, Datei => neuer Task => explorer.exe => ok

nun wird allein mein arbeitsplatz angezeigt. die darin angezeigten dateien lassen sich auch öffnen. die übliche windowsoberfläche fehlt.
weiß auch nicht, ob es normal ist, dass svchost.exe über 7mal im taskmanager ist?!

Hier aber mal die Shell.txt, die sich nun auf dem Stick befand.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Malwarebytes über USB-Stick installiert, aktualisiert und ausgeführt meldet nach einer Weile folgende Fehlermeldung, mit welcher der Vollscan abbricht und ein leeres, weißes Malwarebytes-Fenster angezeigt wird:

[Shell_NotifyIcon] Die Ausführung der gewünschten Aktion ist fehlgeschlagen. Fehlermeldung: 2

Soo,
Problem mit der Fehlermeldung konnte nun auch gelöst werden. Musste in der zweiten Registerkarte bei "Mit Windows starten" das Kreuzchen rausnehmen. ( hxxp://forums.malwarebytes.org/index.php?showtopic=11856 )

Im Anhang die entsprechenden Dateien.
Sieht gut aus, danke schonmal.