Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   erbitte Hilfe: Bundespolizei Trojaner -0.9930813233754422.exe (Exploit.Drop.UR.2)-LOGFILES anbei (https://www.trojaner-board.de/120969-erbitte-hilfe-bundespolizei-trojaner-0-9930813233754422-exe-exploit-drop-ur-2-logfiles-anbei.html)

apollon7 01.08.2012 12:50
erbitte Hilfe: Bundespolizei Trojaner -0.9930813233754422.exe (Exploit.Drop.UR.2)-LOGFILES anbei
 
Hallo!

Mein Notebook plagt ein Bundespolizei Trojaner (Aufforderung zum "ukash" usw.). Windows (VISTA SP 2, 32 bit) lässt sich nurmehr noch im absicherten Modus starten. Ich bitte dingend um Hilfe für die weitere Vorgehensweise um dieses lästige Teil wieder loszuwerden. Logfiles (OTL; Gmer) sind als zip angehängt. Vielen Dank.

mfg

Michael

Chris4You 01.08.2012 14:05
Hi,

in den abgesicherten Modus booten (f8 beim Booten) und das folgende Script mit OTL abfahren:

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:

:OTL
O4 - HKCU..\Run: [fkqvcxuajhucmvj] C:\ProgramData\fkqvcxua.exe ()
[2012.07.31 14:18:28 | 000,302,592 | ---- | M] () -- C:\Users\Ursi\Desktop\jrb8tysj.exe
[2012.07.30 09:14:33 | 000,000,000 | ---D | C] -- C:\ProgramData\ebkdkkcijcnbtri
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
@Alternate Data Stream - 234 bytes -> C:\ProgramData\Temp:8FF81EB0
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:E36F5B57
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:861A898F
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:B623B5B8
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:92DB4653
@Alternate Data Stream - 111 bytes -> C:\ProgramData\Temp:8173A019
@Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:9E22BBE8
@Alternate Data Stream - 101 bytes -> C:\ProgramData\Temp:131C0EE9

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = dword:0x01
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring" = dword:0x00

:Commands
[emptytemp]
[resethosts]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

apollon7 01.08.2012 20:22
Vielen Dank für die schnelle Hilfe! Es hat wohl alles geklappt. Logfiles anbei.

mfg

Michael

Chris4You 01.08.2012 20:48
Hi,

scheint was neues zu sein, MAM hat in der Quarantäne von OTL keinen der Trojaner erkannt, daher packen und hier hochladen wie folgt:

Packe das Verzeichnis C:\_OLT\MovedFiles und lade es entsprechend den Anweisungen hoch:
Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die gepackte Datei hoch...

Erstelle und poste ein neues OTL-Log....

chris

apollon7 02.08.2012 07:56
Hallo,

das Verzeichnis hab ich hochgeladen, anbei OTL- Log.

mfg

Michael

Chris4You 02.08.2012 09:24
Hi,

das sieht gut aus, wie verhält sich der Rechner?
Einzig ein Eintrag in der Hosts-Datei ist noch übrig (O1 - Hosts: ::1 localhost), die kannst Du per Hand rausschmeissen (C:\Windows\System32\drivers\etc\Hosts) oder ich mache das per OTL-Anweisung.

Die hochgelandenen Dateien schaue ich mir nachher an (Danke!)...
So, Ergebnis von virustotal:
File name: fkqvcxua.exe.vir
Detection ratio: 24 / 38

chris

apollon7 02.08.2012 18:49
Hallo,

der Rechner verhält sich normal. Wäre nett, wenn du mir ne OTL Anweisung für den besagten Eintrag geben könntest. Vielen Dank.

mfg

Michael

Chris4You 02.08.2012 19:44
Hi,

OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:


:Commands
[purity]
[emptytemp]
[resethosts]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Das sollte die Datei durch ein Backup ersetzen bzw. durch MS-Standard...
chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19