Trojaner-Board - Polizei: Cyber Crime Investigation Department

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Polizei: Cyber Crime Investigation Department (https://www.trojaner-board.de/129799-polizei-cyber-crime-investigation-department.html)

Polizei: Cyber Crime Investigation Department

Hallo!

Der Laptop meiner Mutter ist von einem dieser grassierenden Ransom-Viren befallen worden (Computer blockiert, 100 Euro, et al.).

Ausgehend von folgendem Thread (http://www.trojaner-board.de/127147-...epartment.html) mit einer sehr ähnlichen Situation habe ich folgende Maßnahmen durchgeführt:

1. 3 Mal den Malwarebytes Anti-Rootkit durchlaufen lassen, bis nichts mehr gefunden wurde.

2. Malware-Scan mit Emsisoft Anti-Malware, wo nichts gefunden wurde.

3. ESET Online Scanner laufen lassen, der dann doch noch zweimal java/exploit.cve-2010-0094.P trojan gefunden hat.

Der Laptop läuft danach wieder soweit so gut, allerdings bin ich sehr unsicher, ob das wirklich ausreicht.

Ich wäre extrem dankbar, wenn sich jemand kurz die Logdateien im Anhang durchschauen könnte und mir vielleicht auch raten könnte, wie ich weiter vorzugehen habe.

Vielen, vielen Dank im Voraus!

Hi
was sollen wir mit dem Malwarebytes log ohne Funde anfangen? poste bitte die mit Funden.

Zitat:

Zitat von markusg (Beitrag 994272)

Hi
was sollen wir mit dem Malwarebytes log ohne Funde anfangen? poste bitte die mit Funden.

Das habe ich befürchtet. Ich habe leider einen Blödsinn gemacht und Malwarebytes für die ersten beiden Scans direkt aus der Rar-Datei laufen lassen. Dabei wurden die Logs scheinbar leider nicht gespeichert.

Lässt sich da jetzt überhaupt noch irgendwas tun?

öffne malwarebytes, quarantäne und gucke obs funde gibt, poste sie mit Pfadangabe

Im Anhang ein Screenshot der Funde.

poste sie bitte als text, mit Pfadangabe.
eig müsste es dann unter malwarebytes bzw antirootkit, unter logs noch weitere Berichte geben, evtl. auch die mit funden, bitte prüfen

Code:

Trojan.Agent  c:\Users\Toshiba\AppData\Local\Temp\IJBN4LA.exe

Trojan.Agent  c:\Users\Toshiba\AppData\Local\Temp\FVQ45UT.exe

Trojan.FakeAlert.DF  c:\Users\Toshiba\AppData\Roaming\skype.dat

Troja.Agent  c:\Users\Toshiba\AppData\Local\Temp\~!#84EE.tmp

Trojan.FakeAlert.DF c:\Users\Toshiba\AppData\Local\Temp\~!#7C65.tmp

Vermutlich hast du nicht so was gemeint, aber ich finde leider auf Malwarebytes keine Option die Quarantäne als Text zu exportieren.

Logs finden sich leider wirklich keine. Ich habe auch die Temp-Ordner durchsucht, ob sich die Logs noch irgendwo finden lassen, leider ohne Erfolg.

Hi
so ists genau richtig.
danke für die Mühen.
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
c: öffnen, tdsskiller-datum-version.txt öffnen, Inhalt posten

Code:

19:27:43.0728 0820  TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35

19:27:43.0900 0820  ============================================================

19:27:43.0900 0820  Current date / time: 2013/01/19 19:27:43.0900

19:27:43.0900 0820  SystemInfo:

19:27:43.0900 0820  

19:27:43.0900 0820  OS Version: 6.1.7601 ServicePack: 1.0

19:27:43.0900 0820  Product type: Workstation

19:27:43.0900 0820  ComputerName: TOSHIBA-PC

19:27:43.0900 0820  UserName: Krystian

19:27:43.0900 0820  Windows directory: C:\Windows

19:27:43.0900 0820  System windows directory: C:\Windows

19:27:43.0900 0820  Running under WOW64

19:27:43.0900 0820  Processor architecture: Intel x64

19:27:43.0900 0820  Number of processors: 2

19:27:43.0900 0820  Page size: 0x1000

19:27:43.0900 0820  Boot type: Normal boot

19:27:43.0900 0820  ============================================================

19:27:44.0727 0820  Drive \Device\Harddisk0\DR0 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040

19:27:44.0727 0820  ============================================================

19:27:44.0727 0820  \Device\Harddisk0\DR0:

19:27:44.0727 0820  MBR partitions:

19:27:44.0727 0820  \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0xC8800, BlocksNum 0x12AD4000

19:27:44.0727 0820  \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x12B9C800, BlocksNum 0x12891800

19:27:44.0727 0820  ============================================================

19:27:44.0742 0820  C: <-> \Device\Harddisk0\DR0\Partition1

19:27:44.0774 0820  D: <-> \Device\Harddisk0\DR0\Partition2

19:27:44.0774 0820  ============================================================

19:27:44.0774 0820  Initialize success

19:27:44.0774 0820  ============================================================

19:27:54.0305 4624  Deinitialize success

sieht irgendwie unvollständig aus, mal als txt anhängen bitte

hi
logs bitte hier anhängen, falls zu groß, packen.

Log gepackt im Anhang.

Hi,
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hier also das Combofix-Logfile.