Trojaner-Board - eeePC nach Bundespolizei-Trojaner mit REATOGO gebootet

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - eeePC nach Bundespolizei-Trojaner mit REATOGO gebootet - wie geht's nun weiter? (https://www.trojaner-board.de/100871-eeepc-bundespolizei-trojaner-reatogo-gebootet-gehts.html)

eeePC nach Bundespolizei-Trojaner mit REATOGO gebootet - wie geht's nun weiter?

Hallo beisammen,

Ich habe mir auf meinem Acer eeepC 1000 Netbook mit WinXP den "Bundespolizei-Trojaner" eingefangen. Nach eifrigem Gegoogle habe ich nun die freundlicherweise hier* beschriebenen Anweisungen befolgt und konnte nun mein Netbook per REATOGO-X-PE vom USB-Stick booten. Der Scan lieferte mir die Anhang gezeigte OTL.txt Datei. Eine "Extras.txt" konnte ich nicht erhalten.

--> Nun weiß ich leider nicht, wie ich weiter verfahren soll und würde mich extrem über Euren Rat freuen.

Besten Dank schon mal im Voraus!
___________
*hxxp://www.trojaner-board.de/98038-bundestrojaner-virus-auf-netbook-ohne-cd-laufwerk.html

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\asusu\Definições locais\Temporary Internet Files\Content.IE5\6XCL014R\about[1].exe) - C:\Documents and Settings\asusu\Definições locais\Temporary Internet Files\Content.IE5\6XCL014R\about[1].exe (cp)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006/03/24 13:06:42 | 000,000,053 | ---- | M] () - X:\AUTORUN.INF -- [ FAT ]

O33 - MountPoints2\{10d1ce5b-a353-11dd-87f2-002215f33293}\Shell - "" = AutoRun

O33 - MountPoints2\{10d1ce5b-a353-11dd-87f2-002215f33293}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{10d1ce60-a353-11dd-87f2-002215f33293}\Shell - "" = AutoRun

O33 - MountPoints2\{10d1ce60-a353-11dd-87f2-002215f33293}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{3835f336-fbaf-11df-88f5-0015afefc99d}\Shell\AutoRun\command - "" = E:\Toshiba\more4you.exe

O33 - MountPoints2\{a98c025e-a137-11dd-bdc5-002215f33293}\Shell - "" = AutoRun

O33 - MountPoints2\{a98c025e-a137-11dd-bdc5-002215f33293}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{a98c0260-a137-11dd-bdc5-002215f33293}\Shell - "" = AutoRun

O33 - MountPoints2\{a98c0260-a137-11dd-bdc5-002215f33293}\Shell\AutoRun\command - "" = F:\AutoRun.exe

O33 - MountPoints2\{aaacd9ea-e41b-11dd-92ab-002215f33293}\Shell\AutoRun\command - "" = WDSetup.exe

O33 - MountPoints2\{b94ff256-d742-11de-90c2-002215f33293}\Shell - "" = AutoRun

O33 - MountPoints2\{b94ff256-d742-11de-90c2-002215f33293}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{b94ff322-d742-11de-90c2-002215f33293}\Shell - "" = AutoRun

O33 - MountPoints2\{b94ff322-d742-11de-90c2-002215f33293}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{d89d7649-a102-11dd-bdc3-0015afefc99d}\Shell - "" = AutoRun

O33 - MountPoints2\{d89d7649-a102-11dd-bdc3-0015afefc99d}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{e72fd244-5463-11e0-a8e6-0015afefc99d}\Shell - "" = AutoRun

O33 - MountPoints2\{e72fd244-5463-11e0-a8e6-0015afefc99d}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{eb9ddde3-54a9-11e0-a8ea-002215f33293}\Shell - "" = AutoRun

O33 - MountPoints2\{eb9ddde3-54a9-11e0-a8ea-002215f33293}\Shell\AutoRun\command - "" = F:\autorun.exe

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - gib dann Bescheid.

Hui! Flotte Antwort und schon läuft die Kiste wieder. Und ich habe einen neuen Helden!

1000 Dank an Dich, anbei noch das Logfile. :daumenhoc

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Danke für die Antwort. Ich habe inzwischen das ganze System mit Avira (auf dem Stand von heute) gescannt, dabei wurden die beiden folgenden Trojaner gefunden:

TR/VBKrypt.djvc
TR/Obfuscated.29996C

Ist der Scan mit Malwarebytes dennoch nötig oder kann ich gleich mit "CustomScan mit OTL" weitermachen?

Zitat:

TR/VBKrypt.djvc
TR/Obfuscated.29996C

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.
Und ja Malwarebytes ist nötig.

So, Scan mit Malwarebytes ist beendet, satte 14 Einträge wurden dabei entdeckt. Details siehe Logfile im Anhang. Die Einträge habe ich von Malwarebytes entfernen lassen.

Nun würde ich mit dem OTL CustomScan weitermachen und Deinen CustomScan dabei verwenden.

Das Log von AntiVir kommt aber auch noch?

Zitat:

Zitat von cosinus (Beitrag 678331)

Das Log von AntiVir kommt aber auch noch?

Ah, dachte die brauchst Du nicht mehr, weil Malwarebytes alles wegbügelt. Du findest nun im Anhang:

Das Logfile des kompletten Avira Systemscans.
Weitere Avira Einzelreports von Ereignissen, die NACH dem Avira Systemscan, aber noch VOR Abschluss des Malwarebyte Scans gemeldet wurden (Avira war aktiv, während der Malwarebytes Scan lief - Fehler?).

Ich hoffe, das sind die Infos, die Du brauchst. In jedem Fall vielen Dank für Deine Hilfe, ich weiss das sehr zu schätzen!

Ok. Kommt das CustomLog noch?

Zitat:

Zitat von cosinus (Beitrag 678355)

Ok. Kommt das CustomLog noch?

Biddeschön - im Anhang.

Viele Grüsse!

Zitat:

O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programas\Zone Labs\ZoneAlarm\zlclient.exe (Zone Labs, LLC)

Auf so ein Spielzeug sollte man verzichten. Bitte deinstallieren und die Windows-Firewall aktivieren.

Zitat:

Zitat von cosinus (Beitrag 678408)

Auf so ein Spielzeug sollte man verzichten. Bitte deinstallieren und die Windows-Firewall aktivieren.

Erledigt. Nun laufen noch:

- Avira
- Malwarebytes
- Spybot
- Windows Firewall

Was kann ich sonst noch tun, um den Rechner wieder normal nutzen zu können?

Danke!

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hier nun das ComboFix Logfile im Anhang.