Trojaner-Board - BUNDESPOLIZEI - Ihr Computer wurde gesperrt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BUNDESPOLIZEI - Ihr Computer wurde gesperrt (https://www.trojaner-board.de/121176-bundespolizei-computer-wurde-gesperrt.html)

BUNDESPOLIZEI - Ihr Computer wurde gesperrt

Hallo!

Auch mein Rechner wurde infiziert: Laptop, Windows 7 Home Permium Service Pack 1, 64 Bit . Die Infiezierung passierte als ich als normaler Benutzer angemeldet wurde und als dieser kann ich nichts machen. Melde ich mich als Administrator ein, so kann ich zum Glück normal arbeiten. Habe gerade vollständigen Scan mit Malwarebytes Anti-Malware abgeschlossen. Hier ist die Inhalt der Log-Datei:

Zitat:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.03.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Mariusz :: MARIUSZ-PC [Administrator]

Schutz: Aktiviert

03.08.2012 17:30:07
mbam-log-2012-08-03 (18-50-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 434458
Laufzeit: 49 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Program Files (x86)\Vlcclassic\Uninstall.exe (Trojan.FakeVLC) -> Keine Aktion durchgeführt.
C:\Users\Malgosia\AppData\Local\Temp\ebef9421.tmp (Trojan.Phex.THAGen6) -> Keine Aktion durchgeführt.
C:\Users\Malgosia\AppData\Local\Temp\gnquggbnst.exe (Trojan.Phex.THAGen6) -> Keine Aktion durchgeführt.
C:\Users\Malgosia\AppData\Local\Temp\kecmkjekfxzuskwkhgqhrcr.exe (Trojan.Phex.THAGen6) -> Keine Aktion durchgeführt.
C:\Users\Malgosia\AppData\Local\Temp\mzyitcylscgyexywtgtocu.exe (Trojan.Phex.THAGen6) -> Keine Aktion durchgeführt.
C:\Users\Malgosia\AppData\Local\Temp\vohigzkbcn.exe (Trojan.Phex.THAGen6) -> Keine Aktion durchgeführt.
C:\Users\Malgosia\AppData\Local\{8A50D46F-C7DD-8D21-3C84-B99E1C62E62E}\syshost.exe (Trojan.Phex.THAGen6) -> Keine Aktion durchgeführt.
C:\Users\Malgosia\Downloads\setup.exe (Trojan.FakeVLC) -> Keine Aktion durchgeführt.
(Ende)

Wie ihr in der Anleitung schreibt, habe ich nichts getan, zwei von der infizierten Dateien hat Anti-Malware während des Thema schreiben in die Quarantäne geschickt: vohigzkbcn.exe und syshost.exe.

Was soll ich als nächster Schritt tun?

Vielen Dank für eure Hilfe
Mariusz

hi
alle funde löschen lassen danach:
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
wenn dies erledigt ist, bittemelden.

Hallo,

gibt es eine Möglichkeit, die Funde ohne Scan starten zu löschen? Der Vollständige Scan dauert fast eine Stunde. Oder reicht diesmal der schnelle Durchlauf?

Hi,

Funde entfernt. Habe zwei caches hochgeladen. cache_user.rar - vom infiziertem Benutzerkonto, cache_admin - vom nicht infiziertem Administratorkonto.

danke

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hi,

die Combofix.txt ist dabei. Den Combofix habe ich angemeldet als Administrator ausgeführt. :dankeschoen:

Eine Frage noch. Ich benutze als Virenscanner Trend Micro Titanium Internet Secutity. Derzeit lauft bei mir sowohl Trend Micro als auch Anti-Malware. Ist das OK so? Beim schnellen Scan von Anti-Malware wurde er am Ende des Vorgange deaktiviert, sodass ich den Rechner neu starten musste.

Hallo,

was ist der nächste Schritt? Oder ist mein Rechner schon sauber? Nochmals vielen Dank für bisherige Hilfe.

sorry
lade den CCleaner standard:
CCleaner Download - CCleaner 3.21.1767
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hi,

Liste habe ich angehängt. CCcleaner habe ich als admin laufen lassen. Soll ich den auch als normaler Benutzer laufen lassen?

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Java
Download der kostenlosen Java-Software
downloade java jre instalieren

deinstaliere:
Winamp Toolbar

öffne ccleaner, analysieren starten
öffne otl bereinigen, pc startet neu testen wie er läuft

Alles durchgeführt.
Die erste Erfahrungen mit dem PC sind gut. Browser (IE, Firefox) scheinen um einiges schneller zu sein

hast du dir chrome angesehen? wesendlich sicherer als der ff und sollte schneller laufen.

noch nicht, Gewonheitsache. Werde ich aber anschauen. Wie ist es mit IE Ver 9. Den benutzt gerne meine Frau. Die Sicherheitsstufe ist derzeit auf Mittelhoch eingestellt. Reicht das?

dann setze in der sandbox die freigaben für den ie, außer gesammten profielordner, und gib diese datei:
iexplore.exe
frei
deine frau muss aber, so lange ihr die sandboxie vollversion nicht habt, wo es erzwungene programm starts gibt, den iexplorer soe starten:
rechtsklick auf das symbol, in sandboxie starten wählen.
da das symbol "sandboxed webbrowser" nur den als standard browser konfigurierten browser startet.
der ie ist prinzipiell auch ok.
aber vllt gefällt deiner frau auch der chrome.
sieh ihn dir bald an, dann können wir evtl. aufkommene fragen abklären.