Bundespolizei Trojaner/ Vista
 

Hallo zusammen,

ich hab ein riesen Problem mit dem bekannten Bundespolizei trojaner.
Über die Suchfunktion habe ich schon viel gelesen und viel probiert nur bin ich einfach am verzweifeln.

Ich hab als allererstes mit AntiV Rescue gearbeitet dann mir Kaspersky10 und trotzdem ist das Ding noch drauf. Über Google habe ich dann von der Shell Datei erfahren welche explorer.exe als Pfad haben muss. Dies ist bei mir schon drin gestanden. Abgesicherter Modus funktioniert bei mir ich lasse jetzt grad den Scan mit ESET laufen. hab absolut keine Ahnung was ich da genau machen ich befolge einfach die Schritte welche hier drin stehen wenn man einen Threat eröffnet.

Ich würde ja das System platt machen aber das wäre für mich eine Katastrophe. Es sind sehr wichtige Sachen drauf.

Habt ihr mir ne Lösung?

Hi nochmal, ich habe jetzt OTLPE durchlaufen lassen den Text welchen man bei Scan/Fixes eingibt eingegeben. So nun ist es abgeschlossen aber ich kann unter Reatogo kein USB Stick anschließen um die Daten drauf zu safen. es wird nix erkannt?

Was soll ich denn nun machen?

Internet Zugang über den Infizierten-Rechner bekomme ich auch nicht hin.

hier der Rest. Sorry das ich das alles so kompliziert mach aber ich bin ein absoluter null blicker bezüglich ZIP und Posts zusammenfügen...Sorry ...aber hoffentlich hab ich nun alles komplett und kann mit eurer Hilfe rechnen...


UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.DDS Logfile:
--- --- ---

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
• Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Starte den Rechner bitte in den abgesicherten Modus mit Netzwerkunterstützung.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Combofix Logfile:
--- --- ---

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

• Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.



Berichte wie der Rechner läuft

Also txt Datei hab ich reinkopiert C.FIX ist gestartet alles im abgesicherten Modus. Am Anfang hat er mir angezeigt das Avira noch läuft aber ich habs ausgestellt und dann auf OK gedrückt. nach der File50 hat er mir gesagt, es muss nach etwas gründlicher gesucht/gescannt werden. Danach ist der Rechner neugestartet und im normal Modus hochgefahren. C.FIX ist noch gelaufen allerdings ist dann während es gelaufen ist alles hochgefahren was unter Autostart läuft AVIRA messenger usw....der hat dann abgeschlossen und mir das unten eingefügte LOG ausgespuckt. Rechner läuft grad normal BKA Desktop ist verschwunden. Trau mich aber nicht groß rumzumachen und zu testen....WAs nun??? Vielen dank schonmal hammer vielen vielen Dank für deine mühe

Bitte folgendes im Normalmodus ausführen.



Update bitte Malwarebytes und lass einen Quick Scan laufen. Lass alle Funde löschen und poste das Logfile hier.




Starte bitte DDS

• Wenn der Scan fertig ist, wird es 2 Logfiles erstellen. :
  1. DDS.txt
  2. Attach.txt
• Speichere beide auf deinem Desktop und poste diese bitte hier

.DDS Logfile:
--- --- ---



.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft® Windows Vista™ Home Premium
Boot Device: \Device\HarddiskVolume2
Install Date: 16.08.2009 20:03:55
System Uptime: 18.03.2012 16:45:06 (19 hours ago)
.
Motherboard: MEDIONPC | | MS-7327
Processor: AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ | CPU 1 | 2600/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 169 GiB total, 117,285 GiB free.
D: is FIXED (NTFS) - 166 GiB total, 165,675 GiB free.
E: is CDROM ()
F: is Removable
G: is Removable
H: is Removable
.
==== Disabled Device Manager Items =============
.
Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318}
Description: Microsoft-ISATAP-Adapter
Device ID: ROOT\*ISATAP\0015
Manufacturer: Microsoft
Name: Microsoft-ISATAP-Adapter #6
PNP Device ID: ROOT\*ISATAP\0015
Service: tunnel
.
Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318}
Description: Microsoft-ISATAP-Adapter
Device ID: ROOT\*ISATAP\0017
Manufacturer: Microsoft
Name: Microsoft-ISATAP-Adapter #7
PNP Device ID: ROOT\*ISATAP\0017
Service: tunnel
.
==== System Restore Points ===================
.
RP1237: 23.02.2012 00:07:41 - Geplanter Prüfpunkt
RP1239: 24.02.2012 00:00:08 - Geplanter Prüfpunkt
RP1241: 25.02.2012 00:00:04 - Geplanter Prüfpunkt
RP1243: 26.02.2012 00:51:59 - Geplanter Prüfpunkt
RP1245: 27.02.2012 00:00:08 - Geplanter Prüfpunkt
RP1247: 27.02.2012 20:28:31 - Compatibility Pack für 2007 Office System wird installiert
RP1249: 29.02.2012 00:00:03 - Geplanter Prüfpunkt
RP1251: 29.02.2012 22:26:42 - Geplanter Prüfpunkt
RP1253: 02.03.2012 00:00:06 - Geplanter Prüfpunkt
RP1255: 03.03.2012 00:00:05 - Geplanter Prüfpunkt
RP1257: 18.03.2012 17:26:33 - Geplanter Prüfpunkt
.
==== Installed Programs ======================
.
32 Bit HP CIO Components Installer
7-Zip 9.20
AAC Decoder
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.2 - Deutsch
Apple Application Support
Apple Mobile Device Support
Apple Software Update
ATI Catalyst Install Manager
AutoUpdate
AV Voice Changer Software DIAMOND 5.0
Avira AntiVir Personal - Free Antivirus
Big Fish Games Client
Bonjour
BufferChm
Burn4Free CD & DVD 4.9.0.0
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Graphics Previews Vista
Catalyst Control Center Localization German
ccc-core-static
ccc-utility
CCC Help German
CDBurnerXP
Cheat Engine 5.5
Compatibility Pack für 2007 Office System
Copy
Destinations
DeviceDiscovery
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Plus Web Player
DivX Version Checker
DJ_AIO_06_F4500_SW_MIN
DVDVideoSoftTB Toolbar
ESET Online Scanner v3
F4500
Free Audio CD Burner version 1.4.7
Free DVD Video Burner version 3.1.815
Free M4a to MP3 Converter 7.0
Free Studio version 4.2
Free YouTube to MP3 Converter version 3.10.8.815
GMX MultiMessenger
Google Chrome
Google Earth
Google Toolbar for Internet Explorer
Google Update Helper
GPBaseService2
H.264 Decoder
Hama Webcam Suite
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
HP Customer Participation Program 13.0
HP Deskjet F4500 Printer Driver Software 13.0 Rel .6
HP Imaging Device Functions 13.0
HP Print Projects 1.0
HP Solution Center 13.0
HP Update
HPDiagnosticAlert
HPPhotoGadget
hpPrintProjects
HPProductAssistant
HPSSupply
hpWLPGInstaller
iCON 210
ImgBurn
iTunes
Java Auto Updater
Java(TM) 6 Update 23
Malwarebytes Anti-Malware Version 1.60.1.1000
MarketResearch
Media Player Utilities 4.25
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 SP1
Microsoft Application Error Reporting
Microsoft Choice Guard
Microsoft Office Professional Edition 2003
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Midnight Mysteries Edgar Allan Poe Conspiracy
Midnight Mysteries Salem Witch Trials
MKV Splitter
Mozilla Firefox 11.0 (x86 de)
MSVCRT
Mystery Case Files: Huntsville ™
Mystery Case Files: Prime Suspects ™
Nero 10 Movie ThemePack Basic
Nero BurnRights 10
Nero BurnRights 10 Help (CHM)
Nero Control Center 10
Nero ControlCenter 10 Help (CHM)
Nero Core Components 10
Nero DiscSpeed 10
Nero DiscSpeed 10 Help (CHM)
Nero InfoTool 10
Nero InfoTool 10 Help (CHM)
Nero MediaHub 10
Nero MediaHub 10 Help (CHM)
Nero Multimedia Suite 10 Essentials
Nero StartSmart 10
Nero StartSmart 10 Help (CHM)
Nero Update
Network
PriceGong 2.1.0
QuickTime
RarZilla Free Unrar
Realtek High Definition Audio Driver
Scan
Shop for HP Supplies
SimCity 4 Deluxe
Skins
Skype™ 4.2
Solid Converter PDF
SolutionCenter
Status
SweetIM for Messenger 3.3
SweetIM Toolbar for Internet Explorer 4.0
Toolbox
TrayApp
Uninstall 1.0.0.1
VC80CRTRedist - 8.0.50727.4053
VLC media player 0.9.8a
WebReg
Winamp
Windows Live-Uploadtool
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Messenger
Windows Media Player Firefox Plugin
Yahoo! BrowserPlus 2.9.8
.
==== End Of File ===========================



Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.19.01

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.18813
User :: PC [Administrator]

Schutz: Aktiviert

19.03.2012 11:26:16
mbam-log-2012-03-19 (11-26-16).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 186072
Laufzeit: 4 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi Daniel

CAN NOT GET UPDATED!IS PROXY CONFI?

die fehler meldung erscheind wenn ich eset laufen lassen will ...bei 50% Step 2 of 4, setz ich dann den haken und nehm den einen raus und dann kommt nach ner minute die oben genannte fehlermeldung?!

Mit welchem Browser hast du den Scan versucht ?

hi daniel...

so jetzt hab ichs

C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\4f0f87ae-599ebc14 a variant of Java/Exploit.CVE-2011-3544.BA trojan
C:\Users\User\Downloads\SoftonicDownloader_fuer_solid-converter-pdf.exe a variant of Win32/SoftonicDownloader.D application
C:\Users\User\Downloads\SweetImSetup.exe a variant of Win32/SweetIM.A application