Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bundespolizei-Trojaner (https://www.trojaner-board.de/119338-bundespolizei-trojaner.html)

BastiT 12.07.2012 23:50
Bundespolizei-Trojaner
 
Hallo liebe Trojaner-Board Nutzer,

ich bin auf dieses Forum gestoßen, weil ich ein kleines Problem habe.
Heute hat sich blöderweise der Bundespolizei Trojaner bei mir eingeschlichen und mich aufgefordert 100€ zu zahlen, sonst bliebe mein PC gesperrt. Ich hatte zwar davor noch nie von dieser Masche gehört, aber war sofort skeptisch und wie sich herausstellte - als ich mit meinem Laptop online ging - ist das scheinbar ein seit längerem bekannter Virus. Ich habe natürlich nicht bezahlt ^^ Statdessen zunächst folgende Lösungsmöglichkeit versucht:

hxxp://www.redirect301.de/bundespolizei-trojaner-entfernen.html

Problem dabei war nur, dass bei mir die SHELL Datei in WINLOGON nicht ausschlaggebend war, da war alles in Ordnung, es stand - wie es sein sollte - explorer.exe drin.
Danach habe ich eine Systemwiederherstellung gemacht und seitdem fährt der Rechner wieder tadellos hoch. Nur habe ich jetzt dennoch Angst, dass da noch was auf dem System ist und es wäre sehr nett, wenn jemand von euch Experten da mal schauen könnte, ob noch Reste da sind, die mich evtl. sogar ausspionieren.

Ich habe mal alles gemacht wie es in eurem "Wie erstelle ich einen Thread"-Thread steht. Im Anhang befinden sich die Dateien.

Zuerst habe ich wie beschrieben Defogger geladen und ausgeführt - es kam keine Fehlermeldung.
Dann OLT.exe geladen, alle Programme geschlossen und den QuickScan ausgeführt und hier die Scan Ergebnisse angehängt.
Hoffe mal, ich hab alles richtig gemacht.

PS: Bitte nicht wundern über den User und PC Namen, ich hab den Rechner von einem guten Freund bekommen :)

Für die Mühe danke ich schonmal im Vorraus,

viele Grüße,

BT

Sooo hier im Anhang auch die Dateien : )

t'john 15.07.2012 11:51
:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{00aa5fd2-b01d-11e1-a01b-001109e3bd46}\Shell - "" = AutoRun
O33 - MountPoints2\{00aa5fd2-b01d-11e1-a01b-001109e3bd46}\Shell\AutoRun\command - "" = J:\autorun.bat

[2012.07.13 00:57:08 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.07.12 13:25:12 | 004,503,728 | ---- | M] () -- C:\ProgramData\go_0molg.pad
[2012.07.12 12:46:24 | 000,000,000 | ---D | C] -- C:\ProgramData\erglvmcsbymxcuy
[2012.07.12 12:46:28 | 000,000,051 | ---- | M] () -- C:\ProgramData\hjccorabtlvcbrg
[2012.07.12 12:46:17 | 000,065,536 | ---- | M] () -- C:\ProgramData\femdnvuo.exe
[2012.07.12 12:46:26 | 000,065,536 | ---- | C] () -- C:\ProgramData\femdnvuo.exe
[2012.07.12 12:46:20 | 000,000,051 | ---- | C] () -- C:\ProgramData\hjccorabtlvcbrg
[2012.07.12 12:46:17 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad

:Files


J:\autorun.bat
C:\Windows\tasks\Adobe Flash Player Updater.job

C:\ProgramData\go_0molg.pad

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

BastiT 15.07.2012 16:25
Hallo t'john,

vielen Dank für die Rückmeldung :)
Hab jetzt mal alles so gemacht wie Du beschrieben hast.

Code:
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\EnableLUA deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00aa5fd2-b01d-11e1-a01b-001109e3bd46}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00aa5fd2-b01d-11e1-a01b-001109e3bd46}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{00aa5fd2-b01d-11e1-a01b-001109e3bd46}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00aa5fd2-b01d-11e1-a01b-001109e3bd46}\ not found.
File J:\autorun.bat not found.
C:\Windows\Tasks\Adobe Flash Player Updater.job moved successfully.
C:\ProgramData\go_0molg.pad moved successfully.
C:\ProgramData\erglvmcsbymxcuy folder moved successfully.
C:\ProgramData\hjccorabtlvcbrg moved successfully.
File C:\ProgramData\femdnvuo.exe not found.
File C:\ProgramData\femdnvuo.exe not found.
File C:\ProgramData\hjccorabtlvcbrg not found.
File C:\ProgramData\go_0molg.pad not found.
========== FILES ==========
File\Folder J:\autorun.bat not found.
File\Folder C:\Windows\tasks\Adobe Flash Player Updater.job not found.
File\Folder C:\ProgramData\go_0molg.pad not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Bitch\Desktop\cmd.bat deleted successfully.
C:\Users\Bitch\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Bitch
->Temp folder emptied: 1983690 bytes
->Temporary Internet Files folder emptied: 883206 bytes
->Java cache emptied: 308658 bytes
->FireFox cache emptied: 65149983 bytes
->Opera cache emptied: 51914352 bytes
->Flash cache emptied: 1109 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1056226 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 84962 bytes
RecycleBin emptied: 692921795 bytes
 
Total Files Cleaned = 777,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Bitch
->Flash cache emptied: 0 bytes
 
User: Default
 
User: Default User
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.54.0 log created on 07152012_171804

Files\Folders moved on Reboot...
C:\Users\Bitch\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\Bitch\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...
viele Grüße,

BT

t'john 15.07.2012 16:27
Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt

Neue Version! Bitte neu runterladen!
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

BastiT 15.07.2012 17:53
Oh nein : (

Jetz war ich gerade dabei, Maleware Bytes laufen zu lassen, da wurde mein PC schon wieder gesperrt .... Bis dahin lief alles super!
Dann wollte ich den PC rutnerfahren und konnte den Vorgang, da Malewarebytes noch lief, gott sei dank abbrechen, d.h. also de facto, mein PC läuft gerade noch, der Maleware Scan läuft noch (hat aber noch nix gefunden) ABER der Trojaner ist gerade zwischenzeitlich wieder aufgetaucht : (

t'john 15.07.2012 18:26
Trenne den Rechner vom Internet und fuehre den Scan zu ende.

BastiT 15.07.2012 18:32
Ok, Scan konnte jetzt problemlos, ohne weitere Vorfälle zu Ende gebracht werden, es wurde tatsächlich eine infizierte Datei gefunden, die ich dann löschen ließ.

Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.15.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Bitch :: BITCH-PC [Administrator]

15.07.2012 17:49:23
mbam-log-2012-07-15 (17-49-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 336451
Laufzeit: 1 Stunde(n), 30 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Bitch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Jetzt hole ich mir gleich den AdwCleaner :)
*edit: AdwCleaner ausgeführt, im FOlgenden das Logfile:

Code:
# AdwCleaner v1.702 - Logfile created 07/15/2012 at 19:37:07
# Updated 13/07/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : Bitch - BITCH-PC
# Running from : C:\Users\Bitch\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****


***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v10.0.2 (de)

Profile name : default
File : C:\Users\Bitch\AppData\Roaming\Mozilla\Firefox\Profiles\ejgq0ojh.default\prefs.js

[OK] File is clean.

-\\ Opera v12.0.1467.0

File : C:\Users\Bitch\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [821 octets] - [15/07/2012 19:37:07]

########## EOF - C:\AdwCleaner[R1].txt - [948 octets] ##########

t'john 15.07.2012 18:35
Gut,

mache bitte mit dem adwCeaner weiter!

http://www.trojaner-board.de/119338-...tml#post865517

BastiT 15.07.2012 18:43
Habe oben meine Antwort editiert u da den Log rein.
MIr ist übrigens beim eigenen Sütbern aufgefallen dass ich im Ordner "AppData/Local/Temp" eine Datei Namens fest0r_ot.exe habe.
Nach Suchen bei google, hänge diese Datei scheinbar mit dem Trojaner zusammen. Soll ich die auf eigene Faust löschen oder nicht ?

t'john 15.07.2012 19:02
Ja, diese Datei gehoert zum Trojaner und sie haette eigentlich auch weg sein muessen.

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

BastiT 15.07.2012 20:37
Ok habe jetzt mit Emisoft durchgescannt, gab keine Ergebnisse, allerdings ist die Datei fest0r_ot.exe nach einem Neustart auch weg :/

Hier der Report:

Code:
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 15.07.2012 20:15:34

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:        15.07.2012 20:19:25


Gescannt        577824
Gefunden        0

Scan Ende:        15.07.2012 21:31:22
Scan Zeit:        1:11:57

t'john 15.07.2012 20:40
Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

Deinstalliere:
Emsisoft Anti-Malware


Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html

BastiT 15.07.2012 20:51
Also, habe jetzt einmal mit Emisoft alles gescannt, es wurden keine Ergebnisse gefunden, alerdings ist die oben genannte exe-Datei nach einem Neustart auch weg :/

Hier mal der Report:

Code:
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 15.07.2012 20:15:34

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:        15.07.2012 20:19:25


Gescannt        577824
Gefunden        0

Scan Ende:        15.07.2012 21:31:22
Scan Zeit:        1:11:57

t'john 15.07.2012 20:54
So soll das auch sein :)

hier weitermachen bitte: http://www.trojaner-board.de/119338-...tml#post865919

BastiT 15.07.2012 20:54
Ah sorry für den Doppelpost, ich weiß leider immer noch nicht, wie ich meine Posts lösche ....

ABER an dieser Stelle, VIELEN VIELEN herzlichen Dank an Dich t'John hast mir wirklich geholfen, hät ich selber nie hingebracht.
Ich finds echt super, wie ihr hier den Leuten helft, weiter so :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27