Trojaner-Board - Bundespolizei nun auch bei mir Windowsmce 2005

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bundespolizei nun auch bei mir Windowsmce 2005 (https://www.trojaner-board.de/102556-bundespolizei-mir-windowsmce-2005-a.html)

Bundespolizei nun auch bei mir Windowsmce 2005

Nachdem mein Sohn in unserer Abwesenheit den Wohnzimmer Mediacenter-PC benutzt hat (Motto: Egal was kommt ich klick mal O.K.) öffnete sich nun beim Neustart die Warnung vom BKA/Bundespolizei.
Eine Neuinstalation ist nicht bzw. nur mit sehr sehrt viel Aufwand möglich, da die Treiber-Software der einzelnen Komponenten nicht mehr vorhanden ist und somit ewiges Suchen im Internet bedeutet. Wir nutzen den PC eigentlich auch nur um mal nebenher was bei google nachzuschauen (Ausgenommen natürlich unser Sohn, grrrrrr)

Ein Scan mit der Avira-Notfall CD ergab eine Meldung (Exploit...) aber nach Quarantänestellung/Umbenennung konnte der Rechner trotzdem nicht starten.
Das gleiche Spiel mit der Kaspersky 10 Notfall CD. Wieder Fehlermeldung, aber trotz Löschen kam bei Neustart wieder die Bundespolizei/Ukash Forderung.

Bitte um Hilfe welche Schritte ich als nächstes Tun soll

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

Starte den infizierten Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
Logge dich nun in das infizierte Benutzerkonto ein.
Schließe den USB Stick an den infizierten Rechner an.
Nun ist etwas Handarbeit gefragt.
- Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
- Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
  
  Zitat:
  
  Das System kann das angegeben Laufwerk nicht finden
  
  versuche einen anderen Laufwerksbuchstaben. ( zB F: )
Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
start srep.exe
Bestätige den Disclaimer mit OK.
Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

O.K. habe alles wie beschrieben durchgeführt.
Es trat alles so ein wie beschrieben. Erstmal vielen Dank!!!
Nun habe ich wieder Zugriff auf meinen Rechner.

Die shell.text Datei sieht folgendermaßen aus:

Code:

WIN_XP X86
 

Modified HKLM shell extension. Current Shell File = C:\Dokumente und Einstellungen\Media Center\Anwendungsdaten\jashla.exe

File C:\Dokumente und Einstellungen\Media Center\Anwendungsdaten\jashla.exe moved to I:\ infected or not found

HKCU\..\Winlogon; Shell not found

No action taken
 
 

HKLM\..\Run[ehTray] = C:\WINDOWS\ehome\ehtray.exe

HKLM\..\Run[Verknüpfung mit der High Definition Audio-Eigenschaftenseite] = HDAShCut.exe

HKLM\..\Run[VFD_DISPLAY] = C:\WINDOWS\sddetect.exe

HKLM\..\Run[MXOBG] = C:\WINDOWS\MXOALDR.EXE

HKLM\..\Run[igfxtray] = C:\WINDOWS\system32\igfxtray.exe

HKLM\..\Run[igfxhkcmd] = C:\WINDOWS\system32\hkcmd.exe

HKLM\..\Run[igfxpers] = C:\WINDOWS\system32\igfxpers.exe

HKLM\..\Run[RTHDCPL] = RTHDCPL.EXE

HKLM\..\Run[SoundMan] = SOUNDMAN.EXE

HKLM\..\Run[AlcWzrd] = ALCWZRD.EXE

HKLM\..\Run[Alcmtr] = ALCMTR.EXE

HKLM\..\Run[dvd43] = C:\Programme\dvd43\dvd43_tray.exe

HKLM\..\Run[MSC] = "c:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey
 

HKCU\..\Run[CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe

HKCU\..\Run[WMPNSCFG] = C:\Programme\Windows Media Player\WMPNSCFG.exe

HKCU\..\Run[Personal ID] = C:\COOLSP~1\PERSON~1\PID.EXE
 

HKU\.DEFAULT\Winlogon; Shell = 

HKU\S-1-5-20\Winlogon; Shell = 

HKU\S-1-5-20_Classes\Winlogon; Shell = 

HKU\S-1-5-21-146863646-2488735475-1843380180-1007\Winlogon; Shell = 

HKU\S-1-5-21-146863646-2488735475-1843380180-1007_Classes\Winlogon; Shell = 

HKU\S-1-5-18\Winlogon; Shell =

Was soll ich nun als nächstes ausführen? Malwarebytes Anti-Malware? Oder ein anderes Programm? Eine Grundsätzliche Frage: soll ich bei den folgenden Programmen auffällige Dateien löschen oder nur in Quarantäne verschieben? Ich habe immer die Sorge, dass so ein Schadcode auch aus der Quarantäne wieder herausgelangen könnte, oder denke ich da zu naiv?

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

so habe nun Anti-Malware im Vollscan drüberlaufen lassen. er hat 2 infizierte Dateien gefunden, aber während dem Scan habe ich mehrere male einen Alarm von Microsoft security essentials erhalten. Es waren jedesmal (ca. 3mal) ein Trojaner, der aber von mir bestätigt gelöscht wurde.

Code:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org
 

Datenbank Version: 7487
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

17.08.2011 21:48:52

mbam-log-2011-08-17 (21-48-52).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|)

Durchsuchte Objekte: 280141

Laufzeit: 2 Stunde(n), 32 Minute(n), 19 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\system volume information\_restore{b5aabd65-0e58-4d9f-bc32-7b00bfedb125}\RP238\A0029173.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

c:\dokumente und einstellungen\media center\eigene dateien\downloads\powerdvd_9\powerdvd 9\power dvd 9\CORE10k.EXE (Dont.Steal.Our.Software) -> Quarantined and deleted successfully.

die Meldung bei Microsoft Security essentials war immer Trojan:Win32/Ransom.DU

und zwar bei der ersten Meldung

Code:

Elemente: 

file:C:\Dokumente und Einstellungen\Media Center\Lokale Einstellungen\Temp\jar_cache2371147123135404784.tmp

file:C:\Dokumente und Einstellungen\Media Center\Lokale Einstellungen\Temp\jar_cache4225292727350377640.tmp

bei der zweiten Meldung

Code:

Elemente: 

file:C:\System Volume Information\_restore{B5AABD65-0E58-4D9F-BC32-7B00BFEDB125}\RP238\A0029173.exe

bei der dritten Meldung

Code:

Elemente: 

file:I:\infected\jashla.exe

filelocalcopy:\\?\c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\LocalCopy\{DFE9508B-5620-4D2A-9F1E-C0016AD13873}-jashla.exe

Alle 3 Microsoft Security Essentials-Meldungen kamen während dem Scan mit Anti-Malware. Alle 3 Fälle sind als entfernt markiert/gelöscht.

Auffällig war, dass der Scan mit Malwarebytes Anti-Malware sehr langsam war, jednfalls kam es mir viel langsamer vor, als ich es auf anderen Rechnern (ähnlicher Konfiguration und Leistung) kenne.

Ich habe nun noch keinen Scan mit olt.exe gemacht, soll ich evtl noch einen weiteren Entfernungsscan mit Antimalware oder einem anderen Programm machen?

Zitat:

c:\dokumente und einstellungen\media center\eigene dateien\downloads\powerdvd_9\powerdvd 9\power dvd 9\CORE10k.EXE (Dont.Steal.Our.Software)

:pfui:

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

Also bitte, ich versteh die Welt nicht mehr?

CORE10k.EXE ist nach Google Suche eine Schadsoftware, bzw. im unmittelbaren Zusammenhang mit dem Trojaner zu sehen. "Dont Steal our Software" ist ein comment, der automatisch von Anti-Malware angehängt wird und eben nicht garantiert für irgendwelche illegal genutzte Software steht.

Ich habe zu keinem (!!!) Zeitpunkt auf dem System einen Keygenerator oder Crack betrieben. Der Ordner Powerdvd9 indem die Datei gefunden wurde gehört zur Trial-Software von Power-DVD, welche ich vor ca. 1,5 Jahren mal installiert habe um zu sehen, ob der MPEG2-Codec davon besser ist, als der bereits installierte von Intervideos WinDVD. Nach der Trial-Phase habe ich die Software nicht mehr aktiviert, weil der unterschied nicht so groß war.

Ich finde es super nett, dass man hier geholfen bekommt, aber bin traurig, dass man ohne Grund kriminalisiert wird.

Evtl. könnt ihr mir nun ein wenig vorurteilsfreier helfen?

Zitat:

"Dont Steal our Software" ist ein comment, der automatisch von Anti-Malware angehängt wird und eben nicht garantiert für irgendwelche illegal genutzte Software steht.

So ein Unsinn, CORE10k.EXE und ähnliche Dateinamen sind ein Synonym für Cracks/Keygens!

Zitat:

Ich habe zu keinem (!!!) Zeitpunkt auf dem System einen Keygenerator oder Crack betrieben.

Ja, ist klar. Deswegen findet Malwarebytes ja auch sowas weil du nie sowas drauf hattest :stirn:

http://www.world-of-smilies.com/wos_...eschlossen.gif