Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
 

Guten Morgen,
ich bin über eine neue Variante des 'Bundes-Trojaner' Hoax gestolpert.

Der Rechner startet, nach einigen Sekunden verschwindet der Desktop und es bleibt diese Meldung (siehe Anhang):

Der Originaltext:
-------------------------------------------------------
Ihr Computer ist von der Polizei ausgesondert.
Werden an das Internet Sie angeschlossen.
Ihre Daten:
[Öffentliche IP des Routers, Standort, ISP]
mailto:einzahlung@dpolg-bundespolizei.org
-------------------------------------------------------

Das Fenster ist relativ klein, verglichen mit früheren Varianten.
Es fehlt auch eine konkrete Zahlungsanweisung. Die genannte Domain ist nicht gelistet.

Meine Avira und Kaspersky Live-CD's konnten nichts auffälliges finden. Weitere Untersuchungen sind aus Zeitgründen noch nicht erfolgt.

Gibt es schon Ansätze, wie man das Ding entfernt?

Gruß, Waschtrommel aus Passau

Nachtrag:

Die Domäne bedient offenbar nur Mailverkehr und führt nach Russland. Siehe:

www.dataprotectioncenter.com/security/dpolg-bundespolizei-org-is-not-dpolg-or-the-bundespolizei/

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Bestätige den Disclaimer mit OK.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Besten Dank für die Hilfe.

Das Tool konnte meinen 'Trojaner' zwar nicht entfernen, lieferte aber über die shell.txt einen wichtigen Hinweis:
----------------------------------------------------------------------
WIN_XP X86

HKLM\..\Winlogon; Shell = Explorer.exe
No action taken
HKCU\..\Winlogon; Shell not found
No action taken


HKLM\..\Run[AzMixerSel] = C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe
HKLM\..\Run[LManager] = C:\PROGRA~1\LAUNCH~1\LManager.exe
HKLM\..\Run[SynTPEnh] = C:\Programme\Synaptics\SynTP\SynTPEnh.exe
HKLM\..\Run[ACU] = C:\Programme\Atheros\ACU.exe -nogui
HKLM\..\Run[Adobe Reader Speed Launcher] = "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM\..\Run[SunJavaUpdateSched] = "C:\Programme\Java\jre6\bin\jusched.exe"
HKLM\..\Run[IgfxTray] = C:\WINDOWS\system32\igfxtray.exe
HKLM\..\Run[HotKeysCmds] = C:\WINDOWS\system32\hkcmd.exe
HKLM\..\Run[Persistence] = C:\WINDOWS\system32\igfxpers.exe
HKLM\..\Run[RTHDCPL] = RTHDCPL.EXE
HKLM\..\Run[Alcmtr] = ALCMTR.EXE
HKLM\..\Run[GrooveMonitor] = "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
HKLM\..\Run[ISTray] = "C:\Programme\PC Tools Security\pctsGui.exe" /hideGUI
HKLM\..\Run[Polizei] = C:\Dokumente und Einstellungen\thomas #####\Anwendungsdaten\0.7197006155594347.exe :pfui:

HKCU\..\Run[CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe
HKCU\..\Run[swg] = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

HKU\.DEFAULT\Winlogon; Shell =
HKU\S-1-5-20\Winlogon; Shell =
HKU\S-1-5-20_Classes\Winlogon; Shell =
HKU\S-1-5-21-860311301-2336738568-2149115064-1005\Winlogon; Shell =
HKU\S-1-5-21-860311301-2336738568-2149115064-1005_Classes\Winlogon; Shell =
HKU\S-1-5-18\Winlogon; Shell =
-------------------------------------------------------------------------

Offenbar handelt es sich nur um eine Art Scherzprogramm, das aber immerhin die explorer.exe beendet und den Taskmanager blockiert.

Vorläufige Lösung:

- Abgesichert mit Eingabeaufforderung starten (F8)
- Beliebiges Admin-Profil starten
- regedit
- den markierten Eintrag aus der Registrierung löschen.

Nun läuft Windows wieder, allerdings liegt die exe Datei noch auf der Platte.

Details:
0.7197006155594347.exe
36864 Bytes
Dateiversion 5.3
Beschreibung: Need Snout
Copyright Sax Hull 2002-2006
Firma: Thor Cover Owns
Original-Dateiname coat.exe

Datei gelöscht, Spuk (vorerst) vorbei.

Danke für die schnelle Unterstützung!
Waschtrommel

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom im normalen Windows-Modus (kein OTLPE!)


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo,
leider habe ich das Gerät nicht mehr zur Verfügung. Der Rechner war jedoch symptomfrei und ein anschließender Scan brachte noch eine Handvoll infizierter Dateien im Browser-Cache zutage.

Passt wieder alles - vielen Dank für die schnelle Hilfe!



Gruß aus Passau
Waschtrommel