Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bundespolizei-Trojaner: Hilfe ab OTL Datei (https://www.trojaner-board.de/102472-bundespolizei-trojaner-hilfe-ab-otl-datei.html)

Jiskaretter 13.08.2011 12:44

Bundespolizei-Trojaner: Hilfe ab OTL Datei
 
Liebes Team von Trojaner-Board,

ich habe mir den Bundespolizei-Trojaner eingefangen. Nichts geht mehr, ein weißer Bildschirm mit der Aufforderung zur Zahlung. In den abgesicherten Modus kam ich ebenfalls nicht, da die Pfeiltasten blockiert waren.

Habe nun von Cd OTLPE gebootet (bin der Anleitung von http://www.trojaner-board.de/97331-b...n-ich-tun.html gefolgt) und die im Anhang befindliche OTL-Datei erhalten.

Sind darüber hinaus noch andere Informationen nötig?

Bin für jede Hilfe dankbar :)

cosinus 15.08.2011 21:37

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL
IE - HKU\Sarah_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKU\Sarah_ON_C\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\Sarah_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKU\Sarah_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q="
[2011/06/22 16:36:02 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\mozilla\Firefox\Profiles\mvomf9bs.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2010/12/18 16:19:05 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\mozilla\Firefox\Profiles\mvomf9bs.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011/08/10 16:02:07 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\mvomf9bs.default\searchplugins\icqplugin-1.xml
[2010/10/21 10:05:01 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\mvomf9bs.default\searchplugins\icqplugin-2.xml
[2010/06/21 10:35:24 | 000,001,042 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Mozilla\Firefox\Profiles\mvomf9bs.default\searchplugins\icqplugin.xml
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\jashla.exe (Britannica Antietam Englewood Andromache Waltham Orwell)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004/01/26 14:37:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2008/07/04 13:58:18 | 000,000,000 | -H-- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2002/10/17 09:56:50 | 000,000,036 | RH-- | M] () - E:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2006/02/09 14:59:36 | 000,000,000 | RH-D | M] - E:\autorun -- [ FAT32 ]
O32 - AutoRun File - [2009/05/24 22:13:08 | 000,000,100 | ---- | M] () - F:\AUTORUN.INF -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{93a54220-4cec-11e0-ad5a-00196695b324}\Shell - "" = AutoRun
O33 - MountPoints2\{93a54220-4cec-11e0-ad5a-00196695b324}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{93a54220-4cec-11e0-ad5a-00196695b324}\Shell\AutoRun\command - "" = H:\Startme.exe
O33 - MountPoints2\H\Shell - "" = AutoRun
O33 - MountPoints2\H\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\Startme.exe
[2011/08/12 16:35:44 | 000,162,304 | ---- | C] (Britannica Antietam Englewood Andromache Waltham Orwell) -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\jashla.exe
[2011/08/12 17:10:54 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011/08/12 17:10:54 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
@Alternate Data Stream - 113 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:070D9534
@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Jiskaretter 16.08.2011 13:43

Hallo, danke für die Antwort.
Ich habe nun den OTL-Fix gemacht. Allerdings hat sich keine Logfile geöffnet. Das Custom Scans/Fixes-Fenster, in das ich obigen Code hereinkopiert habe, ist nun leer und in einer Fensterzeile darunter steht: Processing complete!
Zudem kam danach zwar das Fenster, sinngemäß mitteilend, dass der PC rebooten müsse und ob man damit einverstanden wäre - ich habe auf Yes geklickt. Der PC startet nicht von allein neu.
Da ja eigentlich das Logfile erzeugt werden sollte, weiß ich nicht, wie ich nun weiter vorgehen soll.
Normal versuchen von Festplatte zu booten und der Anleitung zum Quarantäneordner folgen oder nochmal der OTL-Fix?

cosinus 16.08.2011 14:44

Ja startet Windows denn jetzt wieder normal? Genau das solltest du ja nch dem Fix prüfen und wenn es geht die ZIP in den UpChannel hochladen.

Jiskaretter 16.08.2011 15:19

Nach dem Fix kam der Hinweis, dass der PC neugestartet wird, sofern ich einverstanden bin. Daraufhin hat er selbstständig jedenfalls nicht neugestartet. Habe nun selbst 2mal einen Neustart ausgeführt und nach Anmeldung des Benutzers ist zwar nun der weiße Bildschirm weg, weiter passiert jedoch nichts. Ich sehe lediglich einen veralteten Bildschirmhintergrund, keinerlei Desktopelemente o.ä.

-> Also nein, Windows startet nicht normal

cosinus 16.08.2011 18:19

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.
  • Starte den infizierten Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
  • Logge dich nun in das infizierte Benutzerkonto ein.
  • Schließe den USB Stick an den infizierten Rechner an.
  • Nun ist etwas Handarbeit gefragt.
    • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
    • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
      Zitat:

      Das System kann das angegeben Laufwerk nicht finden
      versuche einen anderen Laufwerksbuchstaben. ( zB F: )
  • Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
    start srep.exe
  • Bestätige den Disclaimer mit OK.
  • Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.
Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Jiskaretter 16.08.2011 19:11

Hier scheitert es wie bereits in meinem ersten verzweifelten Versuch, den PC zu retten, nämlich in den abgesicherten Modus zu kommen :-(
Ich komme zu den Auswahlmöglichkeiten, die Tastatur scheint mir aber blockiert zu sein. Nach Zeitablauf startet Windows normal. Ich habe auch schon auf PS/2 umgestellt, die Tastatur ist ab dem Zeitpunkt, wo der Startoptionen-Bildschirm kommt, wie tot :-(

cosinus 17.08.2011 10:07

Dann wirst du wahrscheinlich Daten über eine Live-CD sichern und das System neu aufsetzen müssen.

Jiskaretter 17.08.2011 13:54

Das Problem mit der Tastatur habe ich nun beheben können, indem ich im BIOS unter USB Configuration enabled hab.
Habe srep.exe vom Stick ausführen können, doch ein Neustarten offenbart dieselben Probleme wie zuvor: Anzeige eines veralteten Hintergrundes, nichts sonst.
Live-Rettung und Formatieren als letzte Lösung?

cosinus 17.08.2011 14:47

Zitat:

Anzeige eines veralteten Hintergrundes, nichts sonst.
Tasmanager mit STRG+ALT+ENTF starten, Datei => neuer Task => explorer.exe => ok

Jiskaretter 17.08.2011 15:04

nun wird allein mein arbeitsplatz angezeigt. die darin angezeigten dateien lassen sich auch öffnen. die übliche windowsoberfläche fehlt.
weiß auch nicht, ob es normal ist, dass svchost.exe über 7mal im taskmanager ist?!

Jiskaretter 17.08.2011 15:07

Hier aber mal die Shell.txt, die sich nun auf dem Stick befand.

cosinus 17.08.2011 15:23

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT


Jiskaretter 17.08.2011 23:48

Malwarebytes über USB-Stick installiert, aktualisiert und ausgeführt meldet nach einer Weile folgende Fehlermeldung, mit welcher der Vollscan abbricht und ein leeres, weißes Malwarebytes-Fenster angezeigt wird:

[Shell_NotifyIcon] Die Ausführung der gewünschten Aktion ist fehlgeschlagen. Fehlermeldung: 2

Jiskaretter 18.08.2011 20:13

Soo,
Problem mit der Fehlermeldung konnte nun auch gelöst werden. Musste in der zweiten Registerkarte bei "Mit Windows starten" das Kreuzchen rausnehmen. ( hxxp://forums.malwarebytes.org/index.php?showtopic=11856 )

Im Anhang die entsprechenden Dateien.
Sieht gut aus, danke schonmal.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131