GVU BKA Trojaner TR/Drop.VB.cezx und diverse TR/Ransom.CPron

lenni

Hallo und guten Tag,

Mal wieder wurde mir ein verseuchter Rechner in die Hand gedrückt.
Meine Frage ist, ob man den Rechner jetzt als sauber bezeichnen kann.

Vorgeschichte
der Rechner ließ sich noch im abgesicherten Modus starten
es war möglich einen neuen Benutzer anzulegen, der funktioniert hat.
Die explorer.exe war hier wohl nicht befallen.

---------------------------------------------------------------

Mit desinfect (ct-DVD) Suche:

Avira fund -\xxx\7242651.exe soll sein TR/Drop.VB.cezx

Ausserdem : TR/Ransom.CPron.5
TR/Ransom.CPron.16
TR/Ransom.CPron.20
TR/Ransom.CPron.21

Details:
Avira / Linux Version 1.9.159.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.

engine set: 8.2.12.48
VDF Version: 7.11.79.254

/media/Vista/Dokumente und Einstellungen/xxx/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/3SZFDBP1/2[1].jpg
Date: 02.05.2013 Time: 21:05:46 Size: 7199
ALERT: [TR/Ransom.CPron.5]
/media/Vista/Dokumente und Einstellungen/xxx/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/3SZFDBP1/2[1].jpg <<< Is the Trojan horse TR/Ransom.CPron.5

/media/Vista/Dokumente und Einstellungen/xxx/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/YKJ3UN1W/1[1].jpg
Date: 02.05.2013 Time: 21:05:45 Size: 9028
ALERT: [TR/Ransom.CPron.16] /media/Vista/Dokumente und Einstellungen/xxx/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/YKJ3UN1W/1[1].jpg <<< Is the Trojan horse TR/Ransom.CPron.16

/media/Vista/Dokumente und Einstellungen/xxx/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/3SZFDBP1/4[1].jpg
Date: 02.05.2013 Time: 21:05:45 Size: 8222
ALERT: [TR/Ransom.CPron.20] /media/Vista/Dokumente und Einstellungen/xxx/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/3SZFDBP1/4[1].jpg <<< Is the Trojan horse TR/Ransom.CPron.20

/media/Vista/Dokumente und Einstellungen/xxx/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/50RRPAUY/3[1].jpg
Date: 02.05.2013 Time: 21:05:45 Size: 8029
ALERT: [TR/Ransom.CPron.21] /media/Vista/Dokumente und Einstellungen/xxx/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/50RRPAUY/3[1].jpg <<< Is the Trojan horse TR/Ransom.CPron.21

-------------------------------------------------------------------

Maßnahmen unter desinfect :

Mit
Kaspersky Lab WindowsUnlocker, 2013
version 1.2.2 Feb 27 2013 09:42:26

(1) :> 1
Bearbeitet Volume "/discs/media"
Bearbeitet Volume "/discs/Vista"

Registrierung "/discs/Vista/windows/system32/config/system" wurde erfolgreich geöffnet
"AlternateShell" - OK
"AlternateShell" - OK

Registrierung "/discs/Vista/windows/system32/config/software" wurde erfolgreich geöffnet
Windows wurde erkannt: Windows Vista (TM) Home Premium Service Pack 2 ( 6002.vistasp2_gdr.130308-1436 ) C:\Windows
"Shell" - OK
"Userinit" - OK
Bearbeitet Volume "/discs/cdrom"

Registrierung "/discs/Vista/Users/xxx/NTUSER.DAT" wurde erfolgreich geöffnet
"browser infrastructure helper" : "c:\users\xxx\appdata \local\smartbar\application\snapdo.exe startup" - verdächtiger Wert
browser infrastructure helper - gelöscht

---

Als nächstes
Betroffene Dateien wurden (von avira) umbenannt und dann von mir
an diversen Orten (Die Dateien waren an vier verschiedenen Orten vorhanden!) geschreddert :

Beispieldetails :

desinfect@desinfect:/$ shred -u /media/Vista/Dokumente\ und\ Einstellungen/xxx/AppData/Local/Microsoft/Windows/Temporary\ Internet\ Files/Content.IE5/YKJ3UN1W/1[1].jpg.VIRUS

desinfect@desinfect:/$ shred -u /media/Vista/Dokumente\ und\ Einstellungen/xxx/AppData/Local/Microsoft/Windows/Temporary\ Internet\ Files/Content.IE5/50RRPAUY/3[1].jpg.VIRUS

desinfect@desinfect:/$ shred -u /media/Vista/Dokumente\ und\ Einstellungen/xxx/AppData/Local/Microsoft/Windows/Temporary\ Internet\ Files/Content.IE5/3SZFDBP1/2[1].jpg.VIRUS

desinfect@desinfect:/$ shred -u /media/Vista/Dokumente\ und\ Einstellungen/xxx/AppData/Local/Microsoft/Windows/Temporary\ Internet\ Files/Content.IE5/3SZFDBP1/4[1].jpg.VIRUS

desinfect@desinfect:~$ shred -u /media/Vista/Dokumente\ und\ Einstellungen/xxx/7242651.exe.VIRUS
desinfect@desinfect:~$

----------------------------------------------------------------

Dann lief der Rechner wieder und der bordeigene Avira fand dann immernoch was:

Beginne mit der Desinfektion:
C:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\17ce9326-156e2c04
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-0431.CG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54a5f482.qua' verschoben!
C:\Users\xxx\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\44b09f4f-603125e0
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.A.1639
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c31db22.qua' verschoben!

Maßnahmen :
Java cache gelöscht
java komplett deinstalliert, außerdem
dieses snapdo deinstalliert
(neben diversem anderem Mist)

------------------------------------------------------------------
------------------------------------------------------------------

Angehängt habe ich die aktuellen logs von gmer, OTL und mbam.
(Nach dem Suchlauf von GMER habe ich versehentlich keinen Neustart gemacht, sondern
direkt mbam durchlaufen lassen und erst dann den Neustart.
Ich hoffe, das ist nicht allzu schlimm.)

otl einstellungen : alle Benutzer Dateialter 60 Tage, die extra.txt
war nur per Scan zu bekommen, nicht per Quickscan

Kann ich den Rechner mit gutem Gefühl als sauber (wenn es diesen Zustand
überhaupt gibt... ) übergeben?

Ich hoffe, meine Dokumentation dieses Falles ist einigermaßen
aussagekräftig, sodaß Ihr was damit anfangen könnt.

Ich danke Euch schonmal im Voraus !

lenni