Trojaner-Board - Windowssystem aus Sicherheitsgründen blockiert!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windowssystem aus Sicherheitsgründen blockiert! (https://www.trojaner-board.de/106844-windowssystem-sicherheitsgruenden-blockiert.html)

Windowssystem aus Sicherheitsgründen blockiert!

Hallo Zusammen,

mich hat es auch erwischt.
Ich habe mir den Virus auf meinem Windows 7 Rechner eingefangen.
Habe Avast drüber laufen lassen.
Folgendes wurde gefunden:

Anmerkung: Habe mich am 22.12. inifiziert, da hat Avast noch nichtds gefunden. Haben scheinbar inzwischen ein Update gemacht.

1.) 0.7895736049812445.exe C:\Users\MeinName\AppData\Local\Temp Win32:Trojan-gen
2.) 4b727f70-75d937da C:\Users\MeinName\AppData\LocalLow\Sun\Java\Deployment \cache\6.0\48 Win32:Trojan-gen
3.) 56bdfe39-303da02c C:\Users\MeinName\AppData\LocalLow\Sun\Java\Deplayment\cache\6.0\57 Java:CVE-2011-3544-AD[Expl]
4.) Applet.class C:\Users\MeinName\AppData\Local\Temp\jar_cache5543670361248780029.tmp Java:CVE-2011-3544-AG[Expl]
5.) Applet.class C:\Users\MeinName\AppData\Local\Tempjar_cache688673659500727707848.temp Java:CVE-2011-3544-AG[Expl]
6.) opera.exe C:\Users\MarkusAppData\Roaming\Opera\Opera
Win32:Trojan-gen

Ich habe alles in den Virus-Container verschoben.
Bin jetzt schon eine ganze Zeit Online und das System wurde nicht gesperrt.

Die Dateien OLT.txt und Extras.txt sind im Anhang:

Frage: Ist der Virus durch die von euch beschriebene Vorgehensweise vollständig entfernt, so dass keine Neuinstallation erforderlich ist?

Weiterhin ist mir aufgefallen, dass ich auf verscheiden Ordner keine Zugriffsrechte mehr besitzte.
Z.B User\Name\Anwendungsdaten
oder auch auf die Netzwerkumgebung.
Es erscheint immer die Meldung 'Zugriff verweigert'.

Hoffe sehr, dass ihr mir helfen könnt.
Vielen Dank im Voraus und ein frohes Weihnachtsfest.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hallo cosinus,

im Anhang befinden sich die Log-Dateinen von Malwarebytes und dem ESET Online-Scan.

Falls nach etwas fehlt, sage mit bitte bescheid.

Gruß
Waltari16

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hallo Arne,

hier sind die Log-Dateien von Malwarebytes und dem ESET Online-Scan in CODE-Tags.

Ich hoffe Du kannst mir helfen, die meisten Ordner auf meinem Rechner sind gesperrt und ich habe keinen Zugriff mehr.
Es ist mir bisher nicht gelungen die Zugriffsrechte wieder herzustellen, obwohl ich als Admin angemeldet bin.

Gruß
Markus

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 911122602
 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385
 

26.12.2011 15:00:43

mbam-log-2011-12-26 (15-00-43).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)

Durchsuchte Objekte: 301134

Laufzeit: 38 Minute(n), 12 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 2

Infizierte Dateien: 4
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.SpyEyes) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

c:\Users\Name\AppData\Roaming\43300401 (Rogue.Multiple) -> Quarantined and deleted successfully.

c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

c:\Users\Name\Name2\bewerbungen\bewerbungen\freezipexe.rar (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Users\Name\AppData\Local\Temp\0.7124900687314232.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.

c:\Users\Name\AppData\Local\Temp\0.660026948274156.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.

c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=b3f982c98151a941b10402d1f467ef70

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-12-26 03:34:55

# local_time=2011-12-26 04:34:55 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7600 NT 

# compatibility_mode=768 16777215 100 0 33953802 33953802 0 0

# compatibility_mode=5893 16776573 100 94 4948 76540817 0 0

# compatibility_mode=8192 67108863 100 0 110 110 0 0

# scanned=143866

# found=10

# cleaned=0

# scan_time=4069

C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1\1dfa5c01-5a18135e        a variant of Java/Agent.BP trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\54ff898c-68dddbc1        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\2f44fd0f-3e29927f        a variant of Java/Agent.DW trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\6e781890-35d0d342        a variant of Java/TrojanDownloader.OpenConnection.MU trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\2673c694-1505f47a        Java/Agent.Y trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\2eb3e85c-40e921fc        a variant of Java/TrojanDownloader.OpenConnection.MU trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\7ace8a43-752d80b0        a variant of Java/Exploit.CVE-2010-0842.L trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\585069a2-40d79227        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\4b84afd-3f5c44a8        a variant of Java/Agent.BP trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Name\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\47c05b88-12654d74        Java/Agent.W trojan (unable to clean)        00000000000000000000000000000000        I

Zitat:

c:\Recycle.Bin\config.bin (Trojan.Spyeyes)

Wenn du auch noch andere Dinge erledigen willst als nur Zocken oder Solitär spielen wie zB E-Mails abrufen oder alles was Logins erfordert dann solltest du deine Daten sichern, den Rechner komplett plätten und eine Neuinstallation von Windows durchführen.
Anschließend auch sämtliche Passwörter ändern!!!

Mit komplett plätten wird gemeint: alle Partitionen auflösen, neu erstellen und formatieren. Helfen kann dabei ein Tool wie DBAN oder die Laufwerksverwaltung in einem Ubuntu im Ausprobiermodus.

Praktischerweise kann man mit diesem Live-Linux auch ziemlich gefahrlos all seine wichtigen Daten auf eine externe Platte sichern.
kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!

Hallo Arne,

ich habe noch eine ältere Version von Ubuntu nämlich 8.04.1 auf einer CD.
Meinst Du ich kann diese Version für die Datensicherung von meinem Windows 7 Rechner verwenden?
Oder sollte ich mir lieber eine aktuellere Version besorgen?

Falls ich eine aktuellere Version brauche, wollte ich noch Fragen wie das funktioniert.
Ich stelle mir das folgendermaßen vor:

1.) Aktuelle Version auf dem infizierten PC herunterladen und auf CD brennen.
Oder lieber auf anderem PC ausführen?

2.) Dann Rechner neu starten (CD mit Live-Linux oder DBAN dabei im Laufwerk lassen)
der Rechner startet dann mit dem Linux-Betriebssystem.

3.) Danach die Datensicherung auf externe Festpatte (die ich erst jetzt anschließe) durchführen.

4.) Anschließend die Partitionen löschen und neu erstellen und formatieren.
Geht dass alles mit DBAN oder Ubuntu?

5.) Neuinstallation mit Recovery-CD von Windows 7

Ist das so ungefähr richtig oder habe ich etwas vergessen?

Gruß
Markus

Zitat:

Oder sollte ich mir lieber eine aktuellere Version besorgen?

Nimm was Aktuelleres. Ubuntu 8.04 ist fast vier Jahre alt. Ich würde jedenfalls was neueres nehmen, obwohl dieses ältere Ubuntu wohl für den Zweck der Datensicherung wohl noch reichen wird.
Es gibt auch andere gute Live-Distros wie zB PartedMagic du kannst dir aber auch ein neue s Ubuntu runterladen.

Zitat:

Oder lieber auf anderem PC ausführen?

Im Notfall auf dem infizierten Rechner, wenn du aber einen anderen Rechner zu Verfügung hast mach das mit dem. An für sich können Schädlinge aber nicht das Brennen von Linux-Distros auf CD negativ beeinflussen...

Zitat:

2.) Dann Rechner neu starten (CD mit Live-Linux oder DBAN dabei im Laufwerk lassen)
der Rechner startet dann mit dem Linux-Betriebssystem.
3.) Danach die Datensicherung auf externe Festpatte (die ich erst jetzt anschließe) durchführen.
4.) Anschließend die Partitionen löschen und neu erstellen und formatieren.
Geht dass alles mit DBAN oder Ubuntu?

Alles soweit ja
Daten löschen bzw. Festplatte komplett plätten geht auch mit Ubuntu
Einfach im Terminal ausführen:

Code:

sudo dd if=/dev/zero of=/dev/sda count=10000 bs=512

Löscht die ersten 10.000 Sektoren auf der internen Platte => /dev/sda
Das reicht dicke um die Platte als "fabrikneu" d.h. völlig unpartitioniert und leer aussehen zu lassen. Es reicht sogar wenn man statt count=10000 nur count=1 angibt, also nur den ersten Sektor überschreibt. Der erste Sektor der Platte beinhaltet MBR und Partitionstabelle.

Alternative bei Ubuntu wäre das grafische Tool Laufwerksverwaltung (palimpsest) oder GParted - mit beiden lassen sich auch alle Partitionen löschen.

Zitat:

5.) Neuinstallation mit Recovery-CD von Windows 7
Ist das so ungefähr richtig oder habe ich etwas vergessen?

Die Vorgehensweise ist so ok :)

Hallo Arne,

vielen Dank für die schnelle Beantwortung meiner Fragen.

Werde mich dann in den nächsten paar Tagen ans Werk machen.
Falls ich nicht weiter kommen sollte melde ich mich wieder.

Gruß
Markus