Trojaner-Board - BSI Trojaner 31.01.2013

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BSI Trojaner 31.01.2013 (https://www.trojaner-board.de/130433-bsi-trojaner-31-01-2013-a.html)

BSI Trojaner 31.01.2013

Guten Abend,

ich habe heute wie viele andere eine Nachricht auf dem Bildschirm gehabt, mit dem Inhalt, irgendwelches Zeug runtergeladen zu haben. Sollte daraufhin 100€ zahlen. Bin jetzt seit 15 Uhr am PC und versuche alles mögliche um wieder an meine Daten ran zu kommen.

Habe zunächst einmal über einen USB Stick einen "Kicker" (weiß leider nicht mehr wie das Programm hieß) das System nach Viren durschsuchen lassen, mit dem Auftrag diese nach dem Fund zu löschen. Hat sich später als Fehler herausgestellt. Habe dann nämlich gelesen, das dieses Programm aus dem jahr 2012 war. Und die Trojaner aber mittlerweile fortgeschrittener sind.

Dann habe ich die Hiren´s BootCD versucht, die soll aus 2013 sein und auf diese Trojaner programmiert sein. Die Beschreibung aber ist für einen Windows Vista, ich habe aber einen XP. Da sind einige Ordner die ich bei meinem XP nicht finde. Mit dieser Software jedenfalls kam ich in eine mini XP Version und konnte auf die Dateien wie system32 zugreifen. Nach ein paar amateurhaften Änderungen hatte sich immernoch nichts geändert. System startet und meldet sich wieder ab, dabei bleibt das dann auch.

Habe dann vorhin gelesen, dass man mal die OTL Datei hier posten soll, habe auch erst über dieses Forum etwas von der OTLPE Software gehört. Habe das jetzt mal gemacht und hoffe, dass Ihr mir da weiterhelfen könnt.

:hallo:

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code:

:OTL
 

SRV - File not found [Auto] -- -- (rfqonhdw) 

O4 - HKU\Azad_Güven_ON_C..\Run: [3C2319C3] File not found 

O4 - HKU\Azad_Güven_ON_C..\Run: [Atkakipy] File not found 

O4 - HKU\Azad_Güven_ON_C..\Run: [Facebook Update] File not found 

O4 - HKU\Azad_Güven_ON_C..\Run: [msnmsgr] File not found 

O4 - HKU\Azad_Güven_ON_C..\Run: [zrlzkmrz] File not found 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 

O7 - HKU\Azad_Güven_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 

O7 - HKU\Azad_Güven_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 

O7 - HKU\Azad_Güven_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 

O33 - MountPoints2\{31cab052-a78c-11df-9476-001485405ccd}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe 

[1601/02/13 03:28:18 | 000,076,407 | ---- | C] () -- C:\Dokumente und Einstellungen\Azad Güven\Anwendungsdaten\NXJlgauerpvDOTQsrXJD 

[1601/02/13 03:28:18 | 000,004,940 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dAGLfytEUAGnVqtE 

[2010/02/26 23:08:52 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Azad Güven\Anwendungsdaten\.# 

[2013/01/31 06:04:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Azad Güven\Anwendungsdaten\Heekf 

[2013/01/31 06:04:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Azad Güven\Anwendungsdaten\redsn0w 

[2013/01/31 06:04:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Azad Güven\Anwendungsdaten\Uwaq 
 

:Files 

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\Azad Güven\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\Azad Güven\Lokale Einstellungen\Anwendungsdaten\*.exe

C:\Dokumente und Einstellungen\Azad Güven\Lokale Einstellungen\Anwendungsdaten\*.tmp

C:\Dokumente und Einstellungen\Azad Güven\Lokale Einstellungen\Temp\*.exe

C:\Dokumente und Einstellungen\Azad Güven\*.exe

C:\Dokumente und Einstellungen\Azad Güven\Startmenü\Programme\Autostart\ctfmon.lnk

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk

C:\Dokumente und Einstellungen\Azad Güven\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\

ipconfig /flushdns /c

:Commands

[emptytemp]

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Hi,

danke fuer die schnelle Antwort. Hab das alles so gemacht, aber der bootet immernoch nicht normal hoch. Werde auch die neue OTL Datei dem Anhang beif[gen. Vielleicht kannst du mir ja weiter helfen. Vielen Dank im Voraus fuer das was Ihr fuer eure Mitmenschen macht.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo, das habe ich doch schon alles gemacht.. Habe doch auch den OTL Text hochgeladen. Nachdem ich den bearbeiteten Text bekommen habe, habe ich den unter Customer Scan eingefügt und auf den Run Fix Button gedrückt. Den neuen OTL Text habe ich dann vorhin wieder hoch geladen. Das Problem besteht aber immernoch.. Bitte um dringende Hilfe.

Das sollte heissen: erstelle ein neues Log nach dieser Anleitung!

Ich habe jetzt das alles nochmal gemacht und die Datei OTL beigefuegt. Die Datei Extras allerdings konnte ich nicht im System finden.. Habe es genau wie in der Beschreibung gemacht. Waere sehr dankbar fuer Hilfe.

Ich habe jetzt noch einmal einen Quick Scan gemacht und dann nochmal den Script den ich von euch bekommen habe eingefuegt und eine Fix Datei erstellt. Habe beides beigefuegt. Bin Verkehrsleiter einer Firma und meine ganzen Daten sind auf der Festplatte, ganze Menge Unterlagen die ich nicht verlieren kann. Bitte daher um dringende Hilfe.

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code:

:OTL
 

O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found 

O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found 

O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found 

O27 - HKLM IFEO\userinit.exe: Debugger - C:\WINDOWS\system32\dnsph.exe File not found 

DRV - File not found [Kernel | On_Demand] -- -- (qnnnjuae) 

DRV - File not found [Kernel | System] -- -- (lbrtfdc) 

DRV - File not found [Kernel | On_Demand] -- -- (laprkl) 

DRV - File not found [Kernel | On_Demand] -- -- (kapknmtqz) 
 

:Files 
 

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

So, habe ich jetzt durchgefuehrt. Datei ist im Anhang. Werde jetzt versuchen den PC neu zu starten und berichte dann.

Zunächst einmal vielen vielen tausend Dank. Ich konnte es garnicht glauben, aber mein PC ist ohne die OTLPE CD hoch gefahren. Habe das System direkt mit HitmanPro nach Schadsoftware suchen lassen, laut der Software kein Fund.

Habe nur noch ein großes Problem, meine ganzen Bilder und Dateien sind verschlüsselt. Wie kann ich das Problem lösen? Habe in anderen Themen gelesen, dass es noch keinen Tool gibt der das Problem beheben kann. Ist das so, oder gibt es schon Möglichkeiten?

Vielen Dank nochmal für alles.

Sehr gut! :daumenhoc

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Zu den Daten:
http://www.trojaner-board.de/116851-...strojaner.html

So, habe jetzt den vollständigen Suchlauf durchgeführt und die Datei im Anhang beigefügt. Es gab einen Fund, ganz unten in der Log Datei sichtbar. Ist es etwas schlimmes?

Und hier ist das Ergebnis vom AdwCleaner.

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.