Einen guten Abend und gleich ein Dankeschön vorweg für die vielen Infos, die ich hier schon in zwei anderen Fällen erhalten habe! Dieses mal reicht das Lesen alleine leider nicht aus.

Es wurde ein Laptop (Win 7) vom "Polizei Control Department Gegen Cyberkriminalität Virus" infiziert.

OTLPE-CD habe ich gebootet und die OTL.Txt erstellt. (lt. diesen Anweisungen: http://www.trojaner-board.de/128917-...aet-virus.html )

Kann ich die OTL.Txt auch privat senden oder kurzfristig per Download-Link hier posten? Besonders die Ordnerbezeichnungen unter
========== Alternate Data Streams ==========
stellen einen ganzen Kundenstock dar und ich möchte nicht, dass diese Daten öffentlich sind.

Herzlichen Dank!
Franz

Mache diese Stellen mit "______" unkenntlich und poste die Logs.

Gerne. Hier das Log OTL.Txt.

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Ersetze die *** Sternchen wieder in den Benutzernamen zurück!

Code: Alles auswählenAufklappen

ATTFilter

:OTL

O4 - Startup: D:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk () 
[2013/01/30 08:03:16 | 000,001,077 | ---- | M] () -- D:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk 
[2013/01/30 08:16:15 | 095,023,320 | ---- | M] () -- D:\ProgramData\grGomHR.pad 
[2013/01/30 08:03:17 | 000,000,153 | ---- | M] () -- D:\ProgramData\grGomHR.reg 
[2013/01/30 08:03:17 | 000,000,080 | ---- | M] () -- D:\ProgramData\grGomHR.bat 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
ipconfig /flushdns /c
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Der Laptop bootet wieder normal! Hurra!
Hier zwei Logs, da ich leider zuerst vergessen habe *** durch den User zu ersetzen.

Fix mit *** (das Fixen hat etwas länger gedauert)

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
File D:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk not found.
File D:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk not found.
D:\ProgramData\grGomHR.pad moved successfully.
D:\ProgramData\grGomHR.reg moved successfully.
D:\ProgramData\grGomHR.bat moved successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
< ipconfig /flushdns /c >
Windows IP Configuration
D:\cmd.bat deleted successfully.
D:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Art
->Temp folder emptied: 2457 bytes
->Temporary Internet Files folder emptied: 189299 bytes
->Flash cache emptied: 56475 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56475 bytes
 
User: Default User
 
User: ***
->Temp folder emptied: 901325183 bytes
->Temporary Internet Files folder emptied: 4126238069 bytes
->Java cache emptied: 182823 bytes
->Google Chrome cache emptied: 20139775 bytes
->Flash cache emptied: 70487 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 313751383 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67832 bytes
 
Total Files Cleaned = 5,114.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 01312013_080921
         

Fix mit richtigem User statt *** (ist sehr schnell gegangen)

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
D:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully.
File D:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk not found.
File D:\ProgramData\grGomHR.pad not found.
File D:\ProgramData\grGomHR.reg not found.
File D:\ProgramData\grGomHR.bat not found.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
< ipconfig /flushdns /c >
Windows IP Configuration
D:\cmd.bat deleted successfully.
D:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Art
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
 
User: ***
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
 
Total Files Cleaned = 0.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 01312013_084138
         

Ich hoffe, das war jetzt nicht übereilt, aber ich habe schon mal Scans mit Malwarebytes Anti-Malware und danach mit AdwCleaner ausgefürt. Hier ist alles OK. Die Logs hier:

Malwarebytes Anti-Malware

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.31.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: ***-PC [Administrator]

31.01.2013 09:07:38
mbam-log-2013-01-31 (09-07-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 451115
Laufzeit: 1 Stunde(n), 27 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

AdwCleaner

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.109 - Datei am 31/01/2013 um 10:42:57 erstellt
# Aktualisiert am 26/01/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : *** - ***-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\***\Desktop\trajaner gegenmaßnahmen\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\ProgramData\Partner

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}
Schlüssel Gelöscht : HKU\S-1-5-21-108187979-3598975964-2240600139-1001\Software\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Google Chrome v24.0.1312.56

Datei : C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [1300 octets] - [31/01/2013 10:42:57]

########## EOF - C:\AdwCleaner[S1].txt - [1360 octets] ##########
         

Sehr gut!

Wie laeuft der Rechner?

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.


dann:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Danke - der Rechner läuft soweit normal

Hier die Logs und auch ein paar Screenshots von Microsoft Security Essentials - das hat sich auch gemeldet.

aswMBR.exe hat beim ersten Versuch den Laptop zum Absturz gebracht. Das kann aber daran liegen, dass ich nicht weiß, wie ich Microsoft Security Essentials deaktivieren kann. Ggf. hat es hier einen Konflikt gegeben.

aswMBR.txt

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-01-31 18:36:53
-----------------------------
18:36:53.470    OS Version: Windows x64 6.1.7601 Service Pack 1
18:36:53.470    Number of processors: 4 586 0x2A07
18:36:53.470    ComputerName: ***-PC  UserName: ***
18:36:54.328    Initialize success
18:37:04.219    AVAST engine defs: 13013100
18:37:17.120    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
18:37:17.120    Disk 0 Vendor: ST950032 0003 Size: 476940MB BusType: 3
18:37:17.151    Disk 0 MBR read successfully
18:37:17.151    Disk 0 MBR scan
18:37:17.167    Disk 0 unknown MBR code
18:37:17.182    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
18:37:17.245    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       404134 MB offset 206848
18:37:17.291    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        71680 MB offset 827873280
18:37:17.354    Disk 0 Partition 4 00     12  Compaq diag NTFS         1024 MB offset 974673920
18:37:17.479    Disk 0 scanning C:\Windows\system32\drivers
18:37:36.152    Service scanning
18:38:27.351    Modules scanning
18:38:27.367    Disk 0 trace - called modules:
18:38:27.429    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 
18:38:27.445    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006ca8060]
18:38:27.460    3 CLASSPNP.SYS[fffff88001d5a43f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8005a49050]
18:38:28.396    AVAST engine scan C:\Windows
18:38:31.548    AVAST engine scan C:\Windows\system32
18:43:49.227    AVAST engine scan C:\Windows\system32\drivers
18:44:13.157    AVAST engine scan C:\Users\***
19:17:03.033    AVAST engine scan C:\ProgramData
19:18:43.232    Scan finished successfully
19:19:04.355    Disk 0 MBR has been saved successfully to "C:\Users\***\Desktop\trajaner gegenmaßnahmen\MBR.dat"
19:19:04.370    The log file has been saved successfully to "C:\Users\***\Desktop\trajaner gegenmaßnahmen\aswMBR.txt"
         

checkup.txt

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 0.99.57  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 9  
``````````````Antivirus/Firewall Check:`````````````` 
Microsoft Security Essentials   
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 Java(TM) 6 Update 29  
 Java version out of Date! 
 Adobe Reader 10.1.4 Adobe Reader out of Date!  
 Google Chrome 24.0.1312.52  
 Google Chrome 24.0.1312.56  
````````Process Check: objlist.exe by Laurent````````  
 Microsoft Security Essentials MSMpEng.exe 
 Microsoft Security Essentials msseces.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die .exe-Datei
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 11 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Einen schönen Abend!

Hier vor dem löschen aller Java-Versionen:

Code: Alles auswählenAufklappen

ATTFilter

Internet Explorer 9.0 ist aktuell
Flash (11,5,502,146) ist aktuell.
Java (1,7,0,11) ist aktuell.
Adobe Reader 11,0,0,0 ist aktuell.
         

und nach dem löschen:

Code: Alles auswählenAufklappen

ATTFilter

Internet Explorer 9.0 ist aktuell
Flash (11,5,502,146) ist aktuell.
Java ist nicht Installiert oder nicht aktiviert.
Adobe Reader 11,0,0,0 ist aktuell.
         

Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Uninstall.
• Bestätige mit Ja.

Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

• Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
• temporäre Dateien löschen.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Super, super, super. Das System läuft sehr gut ich ich vertraue dem Ganzen jetzt wieder. Die Hinweise und Tipps werde ich auch auf den anderen PCs umsetzen. Java muss wohl mal weg. Soweit ich es rekonstruieren kann, ist der Trojaner über eine Java-Sicherheitslücke gekommen.
Lieben Dank! Franz

wir wuenschen eine virenfreie Zeit