Trojaner-Board - Laptop infiziert mit Polizei Control Department Gegen Cyberkriminalität Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Laptop infiziert mit Polizei Control Department Gegen Cyberkriminalität Virus - OTL.Txt privat posten (https://www.trojaner-board.de/130356-laptop-infiziert-polizei-control-department-gegen-cyberkriminalitaet-virus-otl-txt-privat-posten.html)

Laptop infiziert mit Polizei Control Department Gegen Cyberkriminalität Virus - OTL.Txt privat posten

Einen guten Abend und gleich ein Dankeschön vorweg für die vielen Infos, die ich hier schon in zwei anderen Fällen erhalten habe! Dieses mal reicht das Lesen alleine leider nicht aus.

Es wurde ein Laptop (Win 7) vom "Polizei Control Department Gegen Cyberkriminalität Virus" infiziert.

OTLPE-CD habe ich gebootet und die OTL.Txt erstellt. (lt. diesen Anweisungen: http://www.trojaner-board.de/128917-...aet-virus.html )

Kann ich die OTL.Txt auch privat senden oder kurzfristig per Download-Link hier posten? Besonders die Ordnerbezeichnungen unter
========== Alternate Data Streams ==========
stellen einen ganzen Kundenstock dar und ich möchte nicht, dass diese Daten öffentlich sind.

Herzlichen Dank!
Franz

:hallo:

Mache diese Stellen mit "______" unkenntlich und poste die Logs.

Gerne. Hier das Log OTL.Txt.

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Ersetze die *** Sternchen wieder in den Benutzernamen zurück!

Code:

:OTL
 

O4 - Startup: D:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk () 

[2013/01/30 08:03:16 | 000,001,077 | ---- | M] () -- D:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk 

[2013/01/30 08:16:15 | 095,023,320 | ---- | M] () -- D:\ProgramData\grGomHR.pad 

[2013/01/30 08:03:17 | 000,000,153 | ---- | M] () -- D:\ProgramData\grGomHR.reg 

[2013/01/30 08:03:17 | 000,000,080 | ---- | M] () -- D:\ProgramData\grGomHR.bat 
 

:Files 

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Der Laptop bootet wieder normal! Hurra!
Hier zwei Logs, da ich leider zuerst vergessen habe *** durch den User zu ersetzen.

Fix mit *** (das Fixen hat etwas länger gedauert)

Code:

========== OTL ==========

File D:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk not found.

File D:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk not found.

D:\ProgramData\grGomHR.pad moved successfully.

D:\ProgramData\grGomHR.reg moved successfully.

D:\ProgramData\grGomHR.bat moved successfully.

========== FILES ==========

File\Folder C:\ProgramData\*.exe not found.

File\Folder C:\ProgramData\*.dll not found.

File\Folder C:\ProgramData\*.tmp not found.

File\Folder C:\ProgramData\TEMP not found.
 < ipconfig /flushdns /c >

Windows IP Configuration

D:\cmd.bat deleted successfully.

D:\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Art

->Temp folder emptied: 2457 bytes

->Temporary Internet Files folder emptied: 189299 bytes

->Flash cache emptied: 56475 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 56475 bytes

 

User: Default User

 

User: ***

->Temp folder emptied: 901325183 bytes

->Temporary Internet Files folder emptied: 4126238069 bytes

->Java cache emptied: 182823 bytes

->Google Chrome cache emptied: 20139775 bytes

->Flash cache emptied: 70487 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 313751383 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes

 

Total Files Cleaned = 5,114.00 mb

 

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 01312013_080921

Fix mit richtigem User statt *** (ist sehr schnell gegangen)

Code:

========== OTL ==========

D:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully.

File D:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk not found.

File D:\ProgramData\grGomHR.pad not found.

File D:\ProgramData\grGomHR.reg not found.

File D:\ProgramData\grGomHR.bat not found.

========== FILES ==========

File\Folder C:\ProgramData\*.exe not found.

File\Folder C:\ProgramData\*.dll not found.

File\Folder C:\ProgramData\*.tmp not found.

File\Folder C:\ProgramData\TEMP not found.
 < ipconfig /flushdns /c >

Windows IP Configuration

D:\cmd.bat deleted successfully.

D:\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Art

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default User

 

User: ***

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->Google Chrome cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes

 

Total Files Cleaned = 0.00 mb

 

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 01312013_084138

Ich hoffe, das war jetzt nicht übereilt, aber ich habe schon mal Scans mit Malwarebytes Anti-Malware und danach mit AdwCleaner ausgefürt. Hier ist alles OK. Die Logs hier:

Malwarebytes Anti-Malware

Code:

Malwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org
 

Datenbank Version: v2013.01.31.04
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

*** :: ***-PC [Administrator]
 

31.01.2013 09:07:38

mbam-log-2013-01-31 (09-07-38).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 451115

Laufzeit: 1 Stunde(n), 27 Minute(n), 59 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

AdwCleaner

Code:

# AdwCleaner v2.109 - Datei am 31/01/2013 um 10:42:57 erstellt

# Aktualisiert am 26/01/2013 von Xplode

# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)

# Benutzer : *** - ***-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\***\Desktop\trajaner gegenmaßnahmen\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Ordner Gelöscht : C:\ProgramData\Partner
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}

Schlüssel Gelöscht : HKU\S-1-5-21-108187979-3598975964-2240600139-1001\Software\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v9.0.8112.16457
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Google Chrome v24.0.1312.56
 

Datei : C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[S1].txt - [1300 octets] - [31/01/2013 10:42:57]
 

########## EOF - C:\AdwCleaner[S1].txt - [1360 octets] ##########

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

dann:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Danke - der Rechner läuft soweit normal :lach:

Hier die Logs und auch ein paar Screenshots von Microsoft Security Essentials - das hat sich auch gemeldet.

aswMBR.exe hat beim ersten Versuch den Laptop zum Absturz gebracht. Das kann aber daran liegen, dass ich nicht weiß, wie ich Microsoft Security Essentials deaktivieren kann. Ggf. hat es hier einen Konflikt gegeben.

aswMBR.txt

Code:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software

Run date: 2013-01-31 18:36:53

-----------------------------

18:36:53.470    OS Version: Windows x64 6.1.7601 Service Pack 1

18:36:53.470    Number of processors: 4 586 0x2A07

18:36:53.470    ComputerName: ***-PC  UserName: ***

18:36:54.328    Initialize success

18:37:04.219    AVAST engine defs: 13013100

18:37:17.120    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

18:37:17.120    Disk 0 Vendor: ST950032 0003 Size: 476940MB BusType: 3

18:37:17.151    Disk 0 MBR read successfully

18:37:17.151    Disk 0 MBR scan

18:37:17.167    Disk 0 unknown MBR code

18:37:17.182    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048

18:37:17.245    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       404134 MB offset 206848

18:37:17.291    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        71680 MB offset 827873280

18:37:17.354    Disk 0 Partition 4 00     12  Compaq diag NTFS         1024 MB offset 974673920

18:37:17.479    Disk 0 scanning C:\Windows\system32\drivers

18:37:36.152    Service scanning

18:38:27.351    Modules scanning

18:38:27.367    Disk 0 trace - called modules:

18:38:27.429    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 

18:38:27.445    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006ca8060]

18:38:27.460    3 CLASSPNP.SYS[fffff88001d5a43f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8005a49050]

18:38:28.396    AVAST engine scan C:\Windows

18:38:31.548    AVAST engine scan C:\Windows\system32

18:43:49.227    AVAST engine scan C:\Windows\system32\drivers

18:44:13.157    AVAST engine scan C:\Users\***

19:17:03.033    AVAST engine scan C:\ProgramData

19:18:43.232    Scan finished successfully

19:19:04.355    Disk 0 MBR has been saved successfully to "C:\Users\***\Desktop\trajaner gegenmaßnahmen\MBR.dat"

19:19:04.370    The log file has been saved successfully to "C:\Users\***\Desktop\trajaner gegenmaßnahmen\aswMBR.txt"

checkup.txt

Code:

 Results of screen317's Security Check version 0.99.57  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 9  
 ``````````````Antivirus/Firewall Check:`````````````` 

Microsoft Security Essentials   

 Antivirus up to date!  
 `````````Anti-malware/Other Utilities Check:````````` 

 Malwarebytes Anti-Malware Version 1.70.0.1100  

 Java(TM) 6 Update 29  

 Java version out of Date! 

 Adobe Reader 10.1.4 Adobe Reader out of Date!  

 Google Chrome 24.0.1312.52  

 Google Chrome 24.0.1312.56  
 ````````Process Check: objlist.exe by Laurent````````  

 Microsoft Security Essentials MSMpEng.exe 

 Microsoft Security Essentials msseces.exe 
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  
 ````````````````````End of Log``````````````````````

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die .exe-Datei
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 11 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Einen schönen Abend!

Hier vor dem löschen aller Java-Versionen:

Code:

Internet Explorer 9.0 ist aktuell

Flash (11,5,502,146) ist aktuell.

Java (1,7,0,11) ist aktuell.

Adobe Reader 11,0,0,0 ist aktuell.

und nach dem löschen:

Code:

Internet Explorer 9.0 ist aktuell

Flash (11,5,502,146) ist aktuell.

Java ist nicht Installiert oder nicht aktiviert.

Adobe Reader 11,0,0,0 ist aktuell.

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
Speichere es auf Deinem Desktop.
Doppelklick auf OTL.exe um das Programm auszuführen.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Klicke auf den Button "Bereinigung"
OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
temporäre Dateien löschen.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Super, super, super. :applaus: Das System läuft sehr gut ich ich vertraue dem Ganzen jetzt wieder. Die Hinweise und Tipps werde ich auch auf den anderen PCs umsetzen. Java muss wohl mal weg. Soweit ich es rekonstruieren kann, ist der Trojaner über eine Java-Sicherheitslücke gekommen.
Lieben Dank! Franz

wir wuenschen eine virenfreie Zeit ;)