Hallo Liebes Trojaner-Board Team,

meine Mutter ist im Internet gesurft und auf einmal kam diese Fake-Meldung der Bundespolizei, welche auffordert 100€ per Ukash oder Paysafecard zu bezahlen.
Wir haben erstmal nichts unternommen außer Firefox über den Taskmanager zu schließen.
Anschließend habe ich mich hier informiert und diverse Bereinigungswege gefunden.

Da ich jedoch nicht weiß welcher der aktuelle und in unserem Fall richtige Bereinigungsweg ist und ihr empfehlt, andere Lösungswege nicht einfach zu übernehmen, habe ich bisher nichts unternommen und bitte euch uns bei der Bereinigung dieses Trojaners zu helfen.

Das Betriebssystem ist Windows XP Professional.

Viele Grüße
RICARDOZ

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Bestätige den Disclaimer mit OK.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Vielen Dank Arne schonmal für deine erste Hilfe.

Hier der Text aus der shell.txt:

Code: Alles auswählenAufklappen

ATTFilter

WIN_XP X86

Modified HKLM shell extension. Current Shell File = C:\Dokumente und Einstellungen\***\Anwendungsdaten\jashla.exe
File C:\Dokumente und Einstellungen\***\Anwendungsdaten\jashla.exe moved to H:\ infected or not found
HKCU\..\Winlogon; Shell not found
No action taken


HKLM\..\Run[PMXInit] = C:\WINDOWS\system32\pmxinit.exe
HKLM\..\Run[NeroCheck] = C:\WINDOWS\system32\NeroCheck.exe
HKLM\..\Run[Lexmark_X79-55] = C:\WINDOWS\system32\lsasss.exe
HKLM\..\Run[TkBellExe] = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
HKLM\..\Run[QuickTime Task] = "C:\Programme\QuickTime\QTTask.exe" -atboottime
HKLM\..\Run[iTunesHelper] = "D:\Programme\iTunes und QuickTime\iTunesHelper.exe"
HKLM\..\Run[FlashGuard] = "C:\Programme\FlashGuard\FlashGuard.exe" -run
HKLM\..\Run[SunJavaUpdateSched] = "C:\Programme\Java\jre6\bin\jusched.exe"
HKLM\..\Run[KernelFaultCheck] = %systemroot%\system32\dumprep 0 -k
HKLM\..\Run[avgnt] = "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

HKCU\..\Run[Regscan] = C:\WINDOWS\system32\regscan.exe

HKU\.DEFAULT\Winlogon; Shell = 
HKU\S-1-5-20\Winlogon; Shell = 
HKU\S-1-5-20_Classes\Winlogon; Shell = 
HKU\S-1-5-21-1390067357-1580818891-1708537768-1003\Winlogon; Shell = explorer.exe,I:\KAZAN\marijana.exe
HKU\S-1-5-21-1390067357-1580818891-1708537768-1003_Classes\Winlogon; Shell = 
HKU\S-1-5-18\Winlogon; Shell =
         

Ich warte auf weitere Instruktionen

Viele Grüße
RICARDOZ

Startet Windows wieder normal?

Ja Windows startet wieder normal.
Beudetet das jetzt, dass der PC "clean" ist?

Viele Grüße
RICARDOZ

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Vielen Dank schonmal für deine weiteren Instruktionen.

Hier der Log des Scans mit Malwarebytes (bei diesem Scan war AntiVir aktiv und hat sich teilweise auch gemeldet. Beim OTL Scan hatte ich AntiVir deaktiviert.):

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7489

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

17.08.2011 22:12:57
mbam-log-2011-08-17 (22-12-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 206503
Laufzeit: 2 Stunde(n), 6 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\***\lokale einstellungen\temp\jar_cache515694225316585547.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\lokale einstellungen\temp\jar_cache6127163292000287266.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
d:\*** (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\programme\lame_enc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\no23xwrapper.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\ogg.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\vorbis.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\vorbisenc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\programme\vorbisfile.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
         

Der Inhalt des OTL Logs folgt in der nächsten Antwort, weil es sonst zu viele Zeichen wären.

Und hier der Log des OTL Scans. Habe es angehängt, weil es doch noch zu viele Zeichen waren.

Vielen Dank und viele Grüße
RICARDOZ

Zitat:

d:\*** (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

Auch ein zensierter Crack/Keygen bleibt illegal und ist als solcher anhand der Einstufung (Riskware) von Malwarebytes zu erkennen



Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!