Trojaner-Board - Bundespolizei-Trojaner beseitigt ?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bundespolizei-Trojaner beseitigt ? (https://www.trojaner-board.de/120531-bundespolizei-trojaner-beseitigt.html)

Bundespolizei-Trojaner beseitigt ?

Hallo,

ich habe ein Problem mit dem "Bundespolizei"-Trojaner. Habe Malewarebytes Antimaleware im abgesicherten Modus installiert, scannen lassen und 2 Probleme beseitigt.

Anschließend immer noch im abgesicherten Modus nach Anleitung Systemscan mit OTL.
Hier die Ergebisse:
Kann mir jemand weiterhelfen?

1. öffne malwarebytes, logdateien, poste alle berichte.
2.

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

[CODE]
:OTL
O4 - HKCU..\Run: [twwxgtoslmejccx] C:\ProgramData\twwxgtos.exe ()
O4 - HKLM..\Run: [twwxgtoslmejccx] C:\ProgramData\twwxgtos.exe ()

:Files
:Commands
[purity]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel

Hallo,

erstmal vielen Dank für die schnelle Hilfe.

Der Rechner startete wieder im normalen Modus.
Ich war aber noch nicht wieder online.

Die MovedFiles habe ich geschickt.
Die anderen Logs konnten nicht über den
UploadChannel gesendet werden.

Hallo,

Ermal vielen Dank für die schnelle Hilfe.

Der Rechner startet wieder normal.
Ich war aber noch nicht wieder online.

Die MovedFiles und den Inhalt des Caches habe ich gesendet.
Die anderen Logs konnten nicht über den UploadChannel gesendet werden!

... Log-Files wurde gesendet, nachdem ich den Filenamen geändert habe.

hänge die logs hier an, hatte nicht geschrieben das sie auch in den up-channel sollen.
danke für die restlichen downloads

Logs sind im Up-Channel.

ja aber sie sollen hier ins forum, aus dem up-channel habe ich sie gelöscht, der ist für verdächtige dateien.

OK, hier die LOGs:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.07.03.05

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
Juergen :: *******-PC [Administrator]

Schutz: Deaktiviert

27.07.2012 10:08:25
mbam-log-2012-07-27 (10-33-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 329254
Laufzeit: 24 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Juergen\*****\CoD4 *****\EasyAccount lvl.55\EasyAccount.exe (RiskWare.Tool.CK) -> Keine Aktion durchgeführt.
C:\Users\Juergen\0.5445334623319373.exe (Trojan.Agent.Gen) -> Keine Aktion durchgeführt.

(Ende)

Error: Unable to interpret <[CODE]> in the current context!
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\twwxgtoslmejccx deleted successfully.
C:\ProgramData\twwxgtos.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\twwxgtoslmejccx deleted successfully.
File C:\ProgramData\twwxgtos.exe not found.
========== FILES ==========
========== COMMANDS ==========

OTL by OldTimer - Version 3.2.55.0 log created on 07272012_120754

Habe anschließend im normalen Modus nochmal Anti-Maleware scannen lassen:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.27.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Juergen :: *******-PC [Administrator]

Schutz: Aktiviert

27.07.2012 15:01:20
mbam-log-2012-07-27 (15-01-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 329242
Laufzeit: 40 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\_OTL\MovedFiles\07272012_120754\C_ProgramData\twwxgtos.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Rechner läuft wieder ganz normal.
Ist noch irgend etwas Verdächtiges zu sehen?

die verwendung von keygens ist illegal, deswegen gibts hier nur hilfe beim neu aufsetzen:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
recovery cd oder recovery partition.
falls dies ein fertig pc ist, nenne hersteller + typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.