Trojaner-Board - Bundestrojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bundestrojaner - Log Files (https://www.trojaner-board.de/125331-bundestrojaner-log-files.html)

Bundestrojaner - Log Files

Hallo,

Habe das Problem, dass mein Rechner (Win Vista SP2) durch den Bundestrojaner gesperrt ist. Habe im abgesicherten Modus folgende Logfiles gezogen.

Bitte um eure Unterstützung zur Behebung. Danke.

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

Klicke auf Durchsuchen
Kopiere nun folgendes in die Suchleiste.

Code:

C:\ProgramData\GAMYGtCx.exe
und klicke auf Öffnen.
Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.

Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt 2

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.

O4 - HKCU..\Run: [rgphoqnzewtrnby] C:\ProgramData\rgphoqnz.exe ()

[2012.10.07 13:08:14 | 000,074,135 | ---- | M] () -- C:\ProgramData\ppzepmfmayzptix

[2012.10.07 13:08:08 | 000,103,424 | ---- | M] () -- C:\ProgramData\rgphoqnz.exe

[2012.10.07 13:08:08 | 000,103,424 | ---- | M] () -- C:\Users\Thomas\ms.exe

[2012.10.07 13:08:13 | 000,103,424 | ---- | C] () -- C:\ProgramData\rgphoqnz.exe

[2012.10.07 13:08:08 | 000,074,135 | ---- | C] () -- C:\ProgramData\ppzepmfmayzptix

[2012.10.07 13:08:07 | 000,103,424 | ---- | C] () -- C:\Users\Thomas\ms.exe

:Commands

[purity]

[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Downloade Dir bitte Malwarebytes

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 4

Bitte poste die Logs NICHT als Anhang sondern direkt hier in den Thread.

Hi,

Schritt 1:
https://www.virustotal.com/file/94cfc59ee56081e7a67475c79800a2d1ef3a2378d28591d60a759c7bb4b7520b/analysis/1349720865/

Schritt 2:

Code:

 

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\rgphoqnzewtrnby deleted successfully.

C:\ProgramData\rgphoqnz.exe moved successfully.

C:\ProgramData\ppzepmfmayzptix moved successfully.

File C:\ProgramData\rgphoqnz.exe not found.

C:\Users\Thomas\ms.exe moved successfully.

File C:\ProgramData\rgphoqnz.exe not found.

File C:\ProgramData\ppzepmfmayzptix not found.

File C:\Users\Thomas\ms.exe not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 41666 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Gast

->Temp folder emptied: 830106 bytes

->Temporary Internet Files folder emptied: 145379977 bytes

->FireFox cache emptied: 51275254 bytes

->Flash cache emptied: 42908 bytes

 

User: Public

 

User: Thomas

->Temp folder emptied: 2354862271 bytes

->Temporary Internet Files folder emptied: 4038195252 bytes

->Java cache emptied: 3051543 bytes

->FireFox cache emptied: 66012551 bytes

->Flash cache emptied: 110485 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 155648 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 509688150 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 6.838,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 10082012_201820

Schritt 3:

Code:

Malwarebytes Anti-Malware 1.65.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.10.08.07
 

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)

Internet Explorer 9.0.8112.16421

Thomas :: THOMAS-PC [Administrator]
 

08.10.2012 20:30:51

mbam-log-2012-10-08 (20-30-51).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 225335

Laufzeit: 3 Minute(n), 46 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

:OTL

[2012.10.01 20:43:49 | 000,180,297 | ---- | C] (Deep side) -- C:\ProgramData\GAMYGtCx.exe

[2012.10.01 20:46:38 | 000,000,112 | ---- | M] () -- C:\ProgramData\q5MvC2.dat

[2012.10.01 20:43:49 | 000,000,001 | ---- | M] () -- C:\ProgramData\GAMYGtCx.exe_.b

[2012.10.01 20:43:49 | 000,000,001 | ---- | M] () -- C:\ProgramData\GAMYGtCx.exe.b

[2012.10.01 20:43:46 | 000,180,297 | ---- | M] (Deep side) -- C:\ProgramData\GAMYGtCx.exe

[2012.10.01 20:44:03 | 000,000,112 | ---- | C] () -- C:\ProgramData\q5MvC2.dat

[2012.10.01 20:43:49 | 000,000,001 | ---- | C] () -- C:\ProgramData\GAMYGtCx.exe_.b

[2012.10.01 20:43:49 | 000,000,001 | ---- | C] () -- C:\ProgramData\GAMYGtCx.exe.b

:Commands

[purity]

[emptytemp]

Schliesse bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Hi,

Hier der Output:

Code:

 All processes killed

========== OTL ==========

C:\ProgramData\GAMYGtCx.exe moved successfully.

C:\ProgramData\q5MvC2.dat moved successfully.

C:\ProgramData\GAMYGtCx.exe_.b moved successfully.

C:\ProgramData\GAMYGtCx.exe.b moved successfully.

File C:\ProgramData\GAMYGtCx.exe not found.

File C:\ProgramData\q5MvC2.dat not found.

File C:\ProgramData\GAMYGtCx.exe_.b not found.

File C:\ProgramData\GAMYGtCx.exe.b not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Gast

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

 

User: Thomas

->Temp folder emptied: 40551 bytes

->Temporary Internet Files folder emptied: 101776170 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 27756625 bytes

->Flash cache emptied: 971 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 4212 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 124,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 10102012_213129
 

Files\Folders moved on Reboot...
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

Danke für die Hilfe!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Noch Meldungen?
Läuft die Kiste wieder?

Code:

C:\ProgramData\ulrjavhreragudb\main.html        HTML/Ransom.B trojan

C:\Users\All Users\ulrjavhreragudb\main.html        HTML/Ransom.B trojan

C:\_OTL\MovedFiles\10082012_201820\C_ProgramData\rgphoqnz.exe        a variant of Win32/Injector.XKY trojan

C:\_OTL\MovedFiles\10082012_201820\C_Users\Thomas\ms.exe        a variant of Win32/Injector.XKY trojan

C:\_OTL\MovedFiles\10102012_213129\C_ProgramData\GAMYGtCx.exe        a variant of Win32/Kryptik.AMOC trojan

Danke

Lösche die beiden Ordner:
C:\ProgramData\ulrjavhreragudb
C:\Users\All Users\ulrjavhreragudb

Bestehen noch Probleme?

der erste ordner ist gelöscht, den zweiten ordner gibt es allerdings nicht. ist das ein problem?

Nein :) Hast Du noch Beschwerden?

nein, alles in ordnung!
herzlichen dank nochmal für die tolle hilfe. hat echt gut funktioniert!
danke