Trojaner-Board - Trojaner verschwunden? Anmeldebildschirm erscheint nicht

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner verschwunden? Anmeldebildschirm erscheint nicht (https://www.trojaner-board.de/103357-trojaner-verschwunden-anmeldebildschirm-erscheint.html)

Trojaner verschwunden? Anmeldebildschirm erscheint nicht

Guten Abend,

ich hatte vor einiger Zeit einen Trojaner auf meinen Rechner und
konnte ihn so weit es ging entfernen.
Nun wollte ich wissen, ob er noch vorhanden ist, da ich statt einen
Anmeldebildschirm immer noch einen schwarzen Bildschirm angezeigt bekomme.

Die Logs von Mbam und OTL sind im Anhang, ferner habe ich noch weitere Scans
von anderen Herstellern machen lassen. Diese sind ebenfalls im Anhang.

Vielen Dank im Voraus.

Ich seh in den Scanner-Logs erstmal nur Fehlalarm.

Zitat:

Datenbank Version: 7035
07.09.2011 20:00:28

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Hallo Arne,

vielen Dank für deine Bereitschaft zu helfen.
Aufgrund des genannten Problems kann ich bisher nur
über Live-CDs mein System scannen:(

Diese Datenbankversion war leider die Neueste, die ich kriegen konnte,
da in dem dazugehörigen Forum die manuellen Updates immer etwas
Zeit benötigen...
Wenn du mir allerdings ein netzwerktaugliches Livesystem auf Windows-
basis nennen könntest, könnte ich auch mit neueren Signaturen dienen;)

Zitat:

ich hatte vor einiger Zeit einen Trojaner auf meinen Rechner und
konnte ihn so weit es ging entfernen.

Joa, vllt kannst du mal darüber mehr erzählen. Was es war und wie du ihn ja angeblich "entfernt" hast.

Geht denn noch der abgesicherte Modus? Steht nichts dazu im Ursprungsposting.

Ok,

also vor einiger Zeit wurde mein System, OS: Vista, trotz aktueller
Sicherheitsupdates von dem Trojaner TR\Crypt.Zpack.Xgen2
befallen.
Durch mehrere Scans konnte ich die genannten Dateien entfernen.
Der Trojaner hat jedoch ein paar Spuren hinterlassen, die dafür gesorgt
haben, das mein System nicht mehr ordnungsgemäß laufen konnte.
Dies ging soweit, das weder der Anmeldebildschirm, noch der Abgesicherte
Modus laufen konnte. Genau deswegen sind die Live-CDs zum Einsatz gekommen;)

Da ich nicht weiß, wie ausgetüftelt dieser Schädling war, kann ich auch
nicht wissen, ob er zu 100% beseitigt wurde.

Ich konnte einige Spuren jedoch erkennen: der Administratoraccount wurde in der
Registry mit S-...-.bak angegeben, die ADs (im Sinne der Zugriffsrechte) sind etwas
lückenhaft und einige Einträge in der Registry wurden entfernt:wtf:

Ich hoffe, dass das etwas besser beschrieben war;)

Zitat:

Durch mehrere Scans konnte ich die genannten Dateien entfernen.

Die Logs dazu hast du nicht mehr?

Ich konnte sie noch finden, sie sind im Anhang.

Nach dem zweiten Log habe ich die genannten Dateien löschen können,
allerdings konnte ich mich schon vorher nicht mehr anmelden.
Alle Scans bis auf das mbam wurden über externe Systeme durchgeführt.
Das Merkwürdige war, das nach dem Entfernen des Trojaners, ein weiterer
Schädling gefunden wurde...

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2011/04/08 21:18:51 | 000,000,000 | ---D | M] - C:\autochkexe -- [ NTFS ]

O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O33 - MountPoints2\{0c2f38d2-1d39-11de-b11f-002215295b85}\Shell\AutoRun\command - "" = E:\autorun\Launcher.exe

O33 - MountPoints2\{34ca0c80-65c4-11df-a41a-002215295b85}\Shell\AutoRun\command - "" = E:\Get_Started_for_Win.exe

O33 - MountPoints2\{6b45ddc5-7496-11dd-b05c-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{6b45ddc5-7496-11dd-b05c-806e6f6e6963}\Shell\AutoRun\command - "" = D:\setup.exe

@Alternate Data Stream - 151 bytes -> C:\ProgramData\Temp:D1B5B4F1

:Commands

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Schau mal ob Windows danach wieder normal startet. Wenn nicht ist eine Reparatur oder Neuinstallation wohl fällig.

Ich habe den Code eingegeben und den Button Fix betätigt.
Das Programm hat den Fix ausgeführt.

Nun gibt es ein Problem:
es kam sogleich die Meldung ob der Rechner neugestartet werden soll -
eine Möglichkeit zum Kopieren des Status hatte ich nicht.
Ich habe daraufhin mit Ja bestätigt, doch das Programm und das Livesystem
haben den Neustartprozess nicht ausgeführt - allerdings ist der Fix durch, da
die Meldung Processing complete ausgegeben wird.

Soll ich nun vom Livesystem aus den Neustart vornehmen und werde ich
im Hauptverzeichnis eine Textdatei zum Posten finden?

Update:

Hier ist das Log:

Code:

========== OTL ==========

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

File  not found.

File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0c2f38d2-1d39-11de-b11f-002215295b85}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0c2f38d2-1d39-11de-b11f-002215295b85}\ not found.

File E:\autorun\Launcher.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{34ca0c80-65c4-11df-a41a-002215295b85}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34ca0c80-65c4-11df-a41a-002215295b85}\ not found.

File E:\Get_Started_for_Win.exe not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6b45ddc5-7496-11dd-b05c-806e6f6e6963}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6b45ddc5-7496-11dd-b05c-806e6f6e6963}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6b45ddc5-7496-11dd-b05c-806e6f6e6963}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6b45ddc5-7496-11dd-b05c-806e6f6e6963}\ not found.

File D:\setup.exe not found.

ADS C:\ProgramData\Temp:D1B5B4F1 deleted successfully.

========== COMMANDS ==========

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 09162011_165811

Leider funktioniert keiner der Startmodi.
Bestünde die Möglichkeit, dass es sich hierbei um ein Rootkit handelt?

Die Möglichkeit besteht immer, es gibt keine 100% Sicherheit.
Probier eine Neu- oder Reparaturinstallation.

Ich muss zur Analyse etwas ergänzen:

1. In der Registry steht der Auslagerungsdateipfad auf einem
anderen Buchstaben. Ich habe ferner die Pagefiledatei mal
auf einem Stick gesichert, vlt. kann man da etwas auslesen?
2. Es wurde ferner der gesamte Ordner für das Dateiwiederher-
stellungsprogramm gelöscht.
3. Desweiteren ist auf der Partition kein BCD vorhanden, weder
als Datei noch als Registryeintrag (lediglich ein BCD-Template
im Registryordner) - wird das benötigt, selbst wenn Vista hier nur
eine Startpartition ist?
4. Im catroot-Ordner befindet sich neben zwei {...}-Ordnern eine tmp-Datei,
der {127D...}-Ordner hat die Endung .bak (dürfte von Kaspersky sein).

Hoffe, dass das etwas ergänzt;)