Trojaner-Board - BKA/GUV Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BKA/GUV Trojaner (https://www.trojaner-board.de/127015-bka-guv-trojaner.html)

BKA/GUV Trojaner

Hallo,habe mir den Ukash Trojaner GUV eingefangen.
Als erstes habe ich eine Systemwiederherstellung durchgefuert,hat leider nicht lange geholfen.
Im abgesicherten Modus hat er sich auch festgesetzt.
Nach einer suche im Nety bin ich auf OTL gestossen.
Habe mir eine Otlpe/CD gebrannt und laufen lassen.
Jetzt komm ich nicht mehr weiter und brauche HILFE!

Waere fuer eine schnelle Hilfe dankbar.

Ein liebes Danke im vorraus.

Gotic

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code:

:OTL

O4 - HKU\Jürgen_ON_C..\Run: [] File not found 

O4 - HKU\LocalService_ON_C..\RunOnce: [mctadmin] File not found 

O4 - HKU\NetworkService_ON_C..\RunOnce: [mctadmin] File not found 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 

O7 - HKU\Jürgen_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 

O20 - HKU\Jürgen_ON_C Winlogon: Shell - (C:\Users\Jürgen\AppData\Roaming\msconfig.dat) - C:\Users\Jürgen\AppData\Roaming\msconfig.dat () 

[2012/11/11 16:50:22 | 000,000,000 | ---D | C] -- C:\Users\Jürgen\AppData\Roaming\hellomoto 

[2012/09/09 06:47:12 | 004,503,728 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad 

[2012/09/01 03:20:06 | 004,503,728 | ---- | C] () -- C:\ProgramData\nud0repor.pad 

[2012/08/10 16:39:37 | 004,503,728 | ---- | C] () -- C:\ProgramData\00etadpu.pad 

[2012/07/06 16:31:59 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad 

[2012/01/14 17:50:09 | 000,072,551 | ---- | C] () -- C:\Users\Jürgen\AppData\Roaming\msconfig.dat 
 

[2011/07/09 06:02:26 | 000,000,000 | ---D | M] -- C:\Users\Jürgen\AppData\Roaming\1127419 

[2011/07/09 06:02:26 | 000,000,000 | ---D | M] -- C:\Users\Jürgen\AppData\Roaming\1127840 

[2011/04/10 15:09:25 | 000,000,000 | ---D | M] -- C:\Users\Jürgen\AppData\Roaming\kock 

[2011/04/10 15:12:22 | 000,000,000 | ---D | M] -- C:\Users\Jürgen\AppData\Roaming\UAs 

[2012/08/08 15:23:19 | 000,000,000 | ---D | M] -- C:\ProgramData\boost_interprocess 

:Files

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Users\Jürgen\*.tmp

C:\Users\Jürgen\AppData\Local\{*}

C:\Users\Jürgen\AppData\Local\Temp\*.exe

C:\Users\Jürgen\AppData\LocalLow\Sun\Java\Deployment\cache

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Danke für die sehr schnelle antwort,
Computer lässt sich wieder normal starten(sogar etwas schneller als früher):bussi:

wie geht es jetzt weiter?

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

So habe mit Malware gescannt,habe 3 infizierte Objekte.

Anbei die Dateien.

Sehr gut! :daumenhoc

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Adw ist ausgeführt.Hier die Log Datei

# AdwCleaner v2.007 - Datei am 16/11/2012 um 19:53:27 erstellt
# Aktualisiert am 06/11/2012 von Xplode
# Betriebssystem : Windows 7 Ultimate (64 bits)
# Benutzer : Jürgen - JÜRGEN-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Jürgen\Downloads\adwcleaner.exe
# Option [Löschen]

**** [Dienste] ****

***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml
Ordner Gelöscht : C:\Program Files (x86)\AskTBar
Ordner Gelöscht : C:\Users\Jürgen\AppData\Roaming\pdfforge

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\DataMngr
Schlüssel Gelöscht : HKCU\Software\Zugo
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IMsiDe1egate.Application.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Schlüssel Gelöscht : HKLM\SOFTWARE\DataMngr
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0& install_country=DE&install_date=20120808&user_guid=0FE20491E8144F449E7C0F5F4731C6E6&machine_id=49d0c84b64b2cbff96aceda271bd0e2e&browser=IE&os=win&os_v ersion=6.1-x64-SP0 --> hxxp://www.google.com
Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page Restore] = hxxp://www.searchnu.com/406 --> hxxp://www.google.com

-\\ Mozilla Firefox v16.0.2 (de)

Profilname : default-1346604733950 [Profil par défaut]
Datei : C:\Users\Jürgen\AppData\Roaming\Mozilla\Firefox\Profiles\ueksihbr.default-1346604733950\prefs.js

[OK] Die Datei ist sauber.

Profilname : default
Datei : C:\Users\sicher ohne S\AppData\Roaming\Mozilla\Firefox\Profiles\ea2of2k0.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [3060 octets] - [15/11/2012 19:56:28]
AdwCleaner[R2].txt - [3120 octets] - [16/11/2012 19:53:02]
AdwCleaner[S1].txt - [2811 octets] - [16/11/2012 19:53:27]

########## EOF - C:\AdwCleaner[S1].txt - [2871 octets] ##########

Habe aber ein Problem mit Emsisoft,Download hat funktioniert nur kann ich sie nicht Installieren wegen service pack 1 für Windows 7.
Wo bekomm ich den her?

Alles Windows Updates einspielen, inkl. Service Pack!

Habe eine Fehlermeldung:Mit Windows Update kann derzeit nicht nach Updates gesucht werden,da derDienst nicht ausgeführt wird.
Wie bekomm ich dieses Service Pack sonst?

Windows Repair Tool (AIO)

Downloade Windows repair tool
Entpacke das Zip und starte Repair_Windows.exe
Klicke auf Start repairs Tab dann: Start

folgende Punkte auswählen

Register System Files
Repair WMI
Repair Proxy Settings
Repair Windows Updates
Set Windows Services To Default Startup

Auswählen: Restart System When Finished
Dann Start Button klicken.

So die letzte Log Datei:

Scan mit Malwarebytes' Anti-Rootkit
Download: Download - Malwarebytes Anti-Rootkit BETA

Anleitung: Anleitung: Malwarebytes Anti-Rootkit

Muß ich nie etwas löschen oder ändern?
Bin grad beim Scannen Malwarebytes Anti-Rootkit,dauert etwas.

Hier der Scann:
Malwarebytes Anti-Rootkit 1.1.0.1009
www.malwarebytes.org

Database version: v2012.11.17.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Jürgen :: JÜRGEN-PC [administrator]

17.11.2012 19:56:53
mbar-log-2012-11-17 (19-56-53).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: PUP | PUM | P2P
Objects scanned: 28163
Time elapsed: 14 minute(s), 35 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Wie Kann ich mich in Zukunft gegen so etwas besser Schützen?

Zitat:

Wie Kann ich mich in Zukunft gegen so etwas besser Schützen?

Rechner aktuell halten, dazu schreib ich noch was, wenn wir fertig sind.

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die jxpiinstall.exe
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 9 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck