Trojaner-Board - Bundespolizei Trojaner blockiert PC nach der Benutzeranmeldung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bundespolizei Trojaner blockiert PC nach der Benutzeranmeldung (https://www.trojaner-board.de/102226-bundespolizei-trojaner-blockiert-pc-benutzeranmeldung.html)

Bundespolizei Trojaner blockiert PC nach der Benutzeranmeldung

Hallo,
ich habe hier einen Rechner der direkt nach der Benutzeranmeldung durch "Bundespolizei es ist die ungesetzliche Tätigkeit ..." blockiert wird. Ein Virenscan hat (desinfect 2011 von c't) hat nichts zutage gebracht. Auch das löschen von zwei suspekten Einträgen die beim Start ausgeführt werden nicht. Ich habe einen OTL-Scan gemacht und beigefügt. Ich habe schon öfter mal im Trojanerboard hilfreiche Hinweise gefunden. So hoffe ich, dass mir bei dieser Sache jemand weiterhelfen kann.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Mainhardt\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Mainhardt\Anwendungsdaten\jashla.exe (aIKf)

O22 - SharedTaskScheduler: {aed6f6a3-183c-488d-9f90-23db99f56e7f} - apathies -  File not found

O27 - HKLM IFEO\chrome.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)

O27 - HKLM IFEO\navigator.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)

O27 - HKLM IFEO\opera.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)

O27 - HKLM IFEO\safari.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006/09/19 07:37:12 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

[2011/08/08 10:22:14 | 000,000,000 | ---D | C] -- C:\~ErdUserProfile.$$$

[2011/08/08 09:50:34 | 000,000,000 | ---D | C] -- C:\.Trash-999

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo Cosinus,
das hat alles sehr gut geklappt, Windows startet wieder normal, vielen Dank.
Die Datei "jashla.exe" wird mittlerweile wohl auch von Avira, BitDefender und Kaspersky vom c't desinfect erkannt. Im April beim Bundeskriminalamt-Trojaner war erst alleine Clam-AV erfolgreich.
Eines würde ich noch gerne wissen, was hat es mit der gelöschten "iexplorer.exe" auf sich?
Nochmal besten Dank und Grüße
:dankeschoen:

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo,
erst nochmal vielen Dank für die umfangreiche Hilfe. Ich habe den Rechner leider nicht mehr hier, um die weiteren Schritte durchzuführen. Nachdem Windows wieder lief habe ich Systemstart etc. geprüft und es war alles in Ordnung. Hilft es euch etwas, wenn ich den MBAM-Scan und den OTL-Scan bei einem anderen Rechner mache, der ebenfalls mit dem Bundespolizei-Trojaner infiziert war, den ich aber manuell gesäubert habe (jashla.exe gelöscht und den Shelleintrag und zwei weitere in der Registry gelöscht)?
Viele Grüße