Trojaner-Board - Bundespolizei Trojaner Win XP Professional, abgesichert nicht möglich

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bundespolizei Trojaner Win XP Professional, abgesichert nicht möglich (https://www.trojaner-board.de/103950-bundespolizei-trojaner-win-xp-professional-abgesichert-moeglich.html)

Bundespolizei Trojaner Win XP Professional, abgesichert nicht möglich

Hallo liebe Helfer,

es wäre nett, wenn Ihr mir bei meinem großen Problem mit meinem Notebook helfen könntet.
Am 06.10.11 habe ich nach einem Freeware Download aus dem WWW einen Systemscan gestartet (vorhergehende Aktualisierung der Datenbank).
Dieser brach zweimal bei ca. 98,8% bei folgender Datei ab (musste Antivir beenden):

C:\WINDOWS\System32\drivers\dveriikl.sys
Heute morgen habe ich es dann erneut probiert. Windows bootete normal und dann kam plötzlich das Bundespolizei-Popup, Taskleiste ist verschwunden und die Icons fehlen. Das Notebook kann nur noch mit brutalster Switch-Off Methode
neu gestartet werden. Der Taskmanager ist nicht aufrufbar.
Beim Neustarten kann ich zwar den abgesicherten Modus oder mit Eingabeaufforderung Modus auswählen, jedoch lande ich dann in einer Endlosschleife. Ich muss Windows normal booten, bekomme dann aber das Popup.
Ich habe es dann zunächst mit einer bootfähigen CD probiert, aber da konnte ich keine Dateien verändern.

Zuletzt habe ich jetzt den Rat aus dem Forum befolgt und die OTL.txt erstellt.
Nun weiß ich nicht wie die OTL.fix dazu aussehen muss oder wie ich überhaupt weiter machen muss. Könnt ihr mir da helfen? Vielleicht sind es ja mehrere Feindprogramme auf meinem Rechner?! :dankeschoen:

Nochwas: Ich habe dann doch über das OTLPENet.exe Zugriff auf meine Festplatte bekommen und habe einfach einige kürzlich erstellte Dateien aus dem entsprechenden Verzeichnis gelöscht und unter
anderem Namen in einem anderen Verzeichnis gesichert. (Die angehängte OTL.txt zeigt diese Änderung deutlich :-) )

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

DRV - File not found [Kernel | System] --  -- (mailKmd)

IE - HKU\admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.92.1:80

IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\admin_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_ss&affID=107763&mntrId=e4e4f7fc00000000000000c0a8ea1c64

IE - HKU\admin_ON_C\..\URLSearchHook:  - Reg Error: Key error. File not found

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"

FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"

FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_ss&affID=107763&mntrId=e4e4f7fc00000000000000c0a8ea1c64"

FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.9

FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=e4e4f7fc00000000000000c0a8ea1c64&tlver=1.4.35.10&affID=107763"

[2011/10/06 09:10:43 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\gin9gp9z.default\extensions\ffxtlbr@babylon.com

[2010/11/23 07:14:58 | 000,000,929 | ---- | M] () -- C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\gin9gp9z.default\searchplugins\conduit.xml

[2011/10/03 09:19:21 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\gin9gp9z.default\searchplugins\icqplugin-1.xml

[2009/07/17 06:44:04 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\gin9gp9z.default\searchplugins\icqplugin-2.xml

[2009/07/22 07:23:29 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\gin9gp9z.default\searchplugins\icqplugin-3.xml

[2009/08/11 07:10:51 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\gin9gp9z.default\searchplugins\icqplugin-4.xml

[2009/09/13 08:10:33 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\gin9gp9z.default\searchplugins\icqplugin-5.xml

[2009/10/28 14:31:54 | 000,000,950 | ---- | M] () -- C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\gin9gp9z.default\searchplugins\icqplugin-6.xml

[2010/05/12 12:40:06 | 000,001,042 | ---- | M] () -- C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\gin9gp9z.default\searchplugins\icqplugin.xml

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.

O3 - HKU\admin_ON_C\..\Toolbar\ShellBrowser: (no name) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - No CLSID value found.

O3 - HKU\admin_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O3 - HKU\admin_ON_C\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [CtrlVol]  File not found

O4 - HKLM..\Run: [LMgrOSD]  File not found

O4 - HKLM..\Run: [LMgrVolOSD]  File not found

O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\2F7EE785.exe (Vano Freelancer)

O4 - HKU\admin_ON_C..\Run: [ICQ]  File not found

O4 - HKU\admin_ON_C..\Run: [MediaGet2]  File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2008/10/22 02:15:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O33 - MountPoints2\{6d378073-ca50-11dd-ac16-00c0a8ea1c64}\Shell - "" = AutoRun

O33 - MountPoints2\{6d378073-ca50-11dd-ac16-00c0a8ea1c64}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{6d378073-ca50-11dd-ac16-00c0a8ea1c64}\Shell\AutoRun\command - "" = E:\preinst.exe

O33 - MountPoints2\{87ab9274-0f8f-11df-af52-00c0a8ea1c64}\Shell - "" = AutoRun

O33 - MountPoints2\{87ab9274-0f8f-11df-af52-00c0a8ea1c64}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{87ab9274-0f8f-11df-af52-00c0a8ea1c64}\Shell\AutoRun\command - "" = F:\preinst.exe

[2011/10/07 15:10:29 | 000,134,696 | ---- | C] (Vano Freelancer) -- C:\WINDOWS\System32\2F7EE785.exe

[2011/10/06 09:10:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\admin\Local Settings\Application Data\Babylon

[2011/10/06 09:10:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Babylon

[2011/10/06 09:10:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\admin\Application Data\Babylon

[2011/10/06 10:08:05 | 000,097,792 | ---- | C] () -- C:\WINDOWS\System32\drivers\dveriikl.sys

[2011/10/06 10:08:02 | 000,000,592 | -H-- | C] () -- C:\Documents and Settings\All Users\Application Data\common.data

[2011/10/06 09:10:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\admin\Application Data\Babylon

[2011/06/09 01:04:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\admin\Application Data\BabylonToolbar
 

:Commands

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Da war Cosinus schneller :)

Ich bin ein ganz schneller Tiger :lach:

Vielen Dank für die schnelle Antwort.... Ich habe das alles so nun durchgeführt.
OTL meldet nach Abschluss "Range check error". Kann ich nur mit "OK" quittieren.
Reatogo-x-pe lässt sich leider nicht "zärtlich" runterfahren. Habe es daher wieder mit der "Switchoff" Methode gemacht und selbst neu gestartet.
Windows hat beim Neustart einwandfrei und sehr zügig gestartet. Ich habe dann gleich die Dateien gepackt und Antivir deinstalliert, weil ich mir mittlerweile Kaspersky 2012 gekauft habe. Währenddessen kam dann noch eine Sprechblase ich soll Chkdsk ausführen, weil eine Datei irgendwas@babylon.com beschädigt sei.
Habe dann neu gestartet und Chkdsk fing von selbst an zu laufen und löscht haufenweise Sachen. Dann erfolgt ein Neustart. Alles i.O. Kaspersky Installation läuft schon. Werde jetzt noch die defekten Dateien hochladen. Vielen 1000 Dank. Werde Euch ne Spende zukommen lassen. Klasse.:applaus:

Hello again.
Keine 5 Minuten später isser wieder da der Bundestrojaner. Was nun?

Wiederhol den Fix unter OTLPE bitte aber mit diesem Fixscript:

Code:

:OTL

IE - HKU\admin_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_ss&affID=107763&mntrId=e4e4f7fc00000000000000c0a8ea1c64

IE - HKU\admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.92.1:80

O3 - HKU\admin_ON_C\..\Toolbar\ShellBrowser: (no name) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - No CLSID value found.

O3 - HKU\admin_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O3 - HKU\admin_ON_C\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [LMgrOSD]  File not found

O4 - HKLM..\Run: [LMgrVolOSD]  File not found

O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\1E4643FD.exe (Vano Freelancer)

O4 - HKU\admin_ON_C..\Run: [ICQ]  File not found

O4 - HKU\admin_ON_C..\Run: [MediaGet2]  File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O33 - MountPoints2\{3ba66442-9faa-11dd-abb5-806d6172696f}\Shell - "" = AutoRun

O33 - MountPoints2\{3ba66442-9faa-11dd-abb5-806d6172696f}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{3ba66442-9faa-11dd-abb5-806d6172696f}\Shell\AutoRun\command - "" = D:\autorun.exe

O33 - MountPoints2\{6d378073-ca50-11dd-ac16-00c0a8ea1c64}\Shell - "" = AutoRun

O33 - MountPoints2\{6d378073-ca50-11dd-ac16-00c0a8ea1c64}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{6d378073-ca50-11dd-ac16-00c0a8ea1c64}\Shell\AutoRun\command - "" = E:\preinst.exe

O33 - MountPoints2\{87ab9274-0f8f-11df-af52-00c0a8ea1c64}\Shell - "" = AutoRun

O33 - MountPoints2\{87ab9274-0f8f-11df-af52-00c0a8ea1c64}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{87ab9274-0f8f-11df-af52-00c0a8ea1c64}\Shell\AutoRun\command - "" = F:\preinst.exe

[2011/10/08 09:39:20 | 000,134,696 | ---- | C] (Vano Freelancer) -- C:\WINDOWS\System32\1E4643FD.exe

[2011/10/06 09:10:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\admin\Local Settings\Application Data\Babylon

[2011/10/06 09:10:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Babylon

[2011/10/08 09:39:08 | 000,134,696 | ---- | M] (Vano Freelancer) -- C:\WINDOWS\System32\1E4643FD.exe

[2011/10/08 09:39:08 | 000,000,592 | -H-- | M] () -- C:\Documents and Settings\All Users\Application Data\common.data

[2011/10/06 09:10:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon

:Commands

[emptytemp]

[resethosts]

Hallo Arne,

vielen Dank für die schnelle Hilfe! Hat "fast" geklappt.
Beim Reboot kam die Fehlermeldung, dass OTLPE nicht initialisiert werden kann. Dies habe
ich mit OK bestätigt. Notebook läuft im Moment. Ich traue mich allerdings nicht es erneut zu booten. Schau Dir mal bitte die angehängte Logfile an, ich lasse das Notebook solange mal an. Die _OTL werde ich auch uploaden. Bis dann.

Hallo Leute,

der Bundestrojaner ist echt hartnäckig. Habe es gewagt doch neu zu booten...
Zuerst lief es. Dann hat sich mein AV-Programm an einer *.dll Datei aufgehängt.
Das neubooten brachte dann meinen persönlichen Lieblingsbildschirm.

Hier nun die neue OTL.txt mit der Bitte um Hilfe. Danke schön.:dankeschoen:

Info: Ich werde nun erst mal mit Kaspersky 2012 ne Notfall CD erstellen und schauen,
ob die mich vor Format C: bewahrt.

Diese Fehlermeldungen sind sehr wahrscheinlich der Grund dafür, dass die Einträge nicht richtig gefixt werden. 1 Versuch noch, wenn das dann wieder nicht funktioniert, wirst du wohl um eine Neuinstallation nicht herumkommen:

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\773CE092.exe (Vano Freelancer)

O32 - HKLM CDRom: AutoRun - 1

[2011/10/09 09:06:23 | 000,134,696 | ---- | M] (Vano Freelancer) -- C:\WINDOWS\System32\773CE092.exe

:Commands

[emptytemp]

[resethosts]

Hallöle,

erstmal noch zwei kurze Fragen:
meinst Du das Kaspersky 2012 diesen Trojaner finden wird, wenn ich
die Festplatte ausbaue und per USB an den PC hänge?

Werde ich mit o.g. Methode noch ne Datensicherung hinbekommen ohne
meinen PC zu gefährden?

Grüßle

Zitat:

meinst Du das Kaspersky 2012 diesen Trojaner finden wird, wenn ich
die Festplatte ausbaue und per USB an den PC hänge?

Da ich kein :glaskugel: bin kann man sowas nur durch Ausprobieren feststellen
Aber einfach nur die Hoffnungstasktik anwenden ist falsch. Lass das sein und mach den OTL-Fix erstmal.

Zitat:

Werde ich mit o.g. Methode noch ne Datensicherung hinbekommen ohne
meinen PC zu gefährden?

Mach das über eine Live-CD wie Ubuntu oder meinetwegen auch OTLPE.
100% Sicherheit gibt es aber nicht.
Beschränke dich auf persönliche Dateien, Musik, Bilder, Videos, Dokumente, etc aber KEINE Programme/Spiele/Setups oder Bestandteile davon.

Danke für die rasche Antwort.

"Es schadet nicht wenn man hart arbeitet. Es kommt nur darauf an woran man arbeitet."

Zitat:

macht es Sinn die Festplatte auszubauen und via USB an den PC

Wozu die Platte ausbauen wenn man das per Live-CD machen kann? Warum willst du mit dieser verseuchten Platte an einen anderen Rechner ran und diesen damit auch noch gefährden?

Zitat:

kann ich auf gleichem Weg eine Datensicherung machen, ohne meinen PC zu
gefährden?

Wie gesagt dafür gibt es Live-CDs. Warum musst du den umständlicheren Weg nehmen? :confused:

Hallöle!

Leider hatte diese Sache keinen wirklichen Erfolg. Beim ersten Start war für ca. 10min Ruhe dann kam das Popup wieder. Dann hab ich das Skript einfach nochmal laufen lassen. Dann ging es etwa genauso lange. Ich hab dann gleich den Taskmanager aufgerufen und mir die Prozeße angeschaut: svchost wird ca. 10mal ausgeführt (jeweils zwischen 2000 und 6000K). Habe dann angefangen Prozeße die mir unnötig erschienen zu stoppen. Und habe einige Programme und Treiber deinstalliert. Als ich dann versucht habe KAspersky neu zu installieren, war er wieder da...
Ich glaub ich sollte aufgeben oder???

Zitat:

Ich glaub ich sollte aufgeben oder???

Ja ich denke es ist an der zeit sich mi der Neuinstallation abzufinden. Jeden Rechner kann man nicht bereinigen.

Hallo Leute!

Ich hatte doch noch Glück...
Ich habe die Festplatte ausgebaut und an einen PC über USB angeschlossen und von
dort aus gescannt. Kaspersky 2012 hat es dann tatsächlich geschafft die Installation und
die Daten zu retten. Kosten 15€ für das USB Gehäuse und einige Minuten zum Scannen.

Vielen Dank ans Board und an Arne. Ich werde mich revanchieren.

Grüßle

Zitat:

Kaspersky 2012 hat es dann tatsächlich geschafft die Installation und
die Daten zu retten.

Wieso Datenrettung?
Was genau wurde denn jetzt gemacht?

Hallo Arne,

Kaspersky hat nicht die Daten gesichert, sondern ich habe sie mit der Aktion gerettet.

Die Aktion lief wie folgt ab:
1. eine alte Festplatte für den PC formatiert und Windows XP Prof. und Kapersky2012 darauf installiert (alte Festplatte nur deshalb, weil ich mir nicht mein dortiges System gleich mit verseuchen wollte)
2. Windows und KAspersky alle Updates gezogen und den Kaspesky auf höchsten Schutz eingestellt.
3. dann die Festplatte aus dem befallenen Notebook aus- und in ein Hardcase eingebaut und über USB an den eingeschalteten und hochgefahrenen PC angeschlossen
4. Das Antiviren - Programm hat die Gefährdungen gefunden und in Quarantäne gestellt.
5. Ich habe dann die Festplatte wieder ins Notebook gesteckt und gebootet - alles lief. Habe aber dennoch den Taskmanager gestartet und sämtliche Prozeße beendet, also zumindest diejenigen, die mir griechisch (Trojaner *lol) vorkamen.
6. Dann habe ich Kaspersky dort neu installiert und alle Updates geladen.
dann habe ich die Festplatte nochmal gescannt und tatsächlich noch ein Programm gefunden, dass ihm nicht gepasst hat. Weg damit in den Papierkorb und leeren, seither läufts.

Einziger Einwand: Das Onlne BankinginQuicken2011 war defekt und musste neu installiert werden. Der Rest lief sofort wieder.

Die Methode ist sicherlich rustikal, aber sie hat geholfen. Ich würde niemanden empfehlen, diese Methode mit einem PC zu machen, der noch eine Festplatte mit wichtigen Daten angeschlossen hat, da ja sicher Verseuchungsgefahr besteht!

Grüßle

Zitat:

Die Methode ist sicherlich rustikal, aber sie hat geholfen.

Nein, das ist ziemlich pfiffig von dir :daumenhoch
Würde mich wirklich interessieren, was Kaspersky über deine Methode noch erkannt hat!

Vielen Dank für die Blumen...

also im Kaspersky Bericht heißt der Trojaner:
Trojan-Spy.Win32.MobileSpy.a

Grüßle

Zitat:

also im Kaspersky Bericht heißt der Trojaner:
Trojan-Spy.Win32.MobileSpy.a

Gehts auch vollständiger? :confused:

das ist alles was da steht...was magst du genau wissen?

Na, zB Fundort :pfeiff: