Trojaner-Board - 0.13268268941784256.exe , "Bundespolizei", keine Verschlüsselung bisher

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - 0.13268268941784256.exe , "Bundespolizei", keine Verschlüsselung bisher (https://www.trojaner-board.de/118276-0-13268268941784256-exe-bundespolizei-keine-verschluesselung-bisher.html)

0.13268268941784256.exe , "Bundespolizei", keine Verschlüsselung bisher

Hallo,
hoffe mal ihr seid mir nichtmehr bös, bin auch ganz brav geworden. :heilig:

Hat aber nicht geholfen, nun hab ich so soeinen Polizeitrojaner drauf. Das Sperrbild sieht anders aus als jenes welches man hier immer sieht (hat Rote ränder links und rechts)

Zuerst versuchte ich in den taskmanager zu kommen, der wurde immer schnell geschlossen, aber beim 4ten versuch konnte ich oben genannte 0.13268268941784256.exe beenden, woraufhin das Bild verschwand. Ich führte dann den Malwarebytes-scan durch:

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.06.30.07
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 8.0.7601.17514

Philipp :: PHILIPP-PC [Administrator]
 

30.06.2012 21:46:12

mbam-log-2012-06-30 (21-46-12).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 481003

Laufzeit: 1 Stunde(n), 41 Minute(n), 6 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Users\Philipp\0.13268268941784256.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Danach dachte ich alles ok, hab ausgemacht. Kurz darauf bei wieder einschalten selbes Problem, nur funktionierte der tskmr diesmal nicht. Bin dann (jetzt) im abgesichterten Modus rein, kein fenster mehr. Nochmal malwarebytes war sauber, Anti-Vir zeigte:

Code:

Die Datei 'C:\Windows\System32\incvdqhn0.tsp'

enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen5' [trojan].

Durchgeführte Aktion(en):

Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56f75ad8.qua' verschoben!

Hab dann defogger und OTL gezogen. Defogger erfolgreich, kein neustart.
OTL-Quickscan bricht allerdings wegen "out of memory" ab, laut Leistungsmonitor belegt OTL zuletzt aber nur 2,4 von 8 gig RAM.

edit: Falls das wichtig ist, AV-Guard und Update funktionieren nichtmehr (Abgs. Mod.?), ebenfalls kann das WIndows-Sicherheitscenter nicht aktiviert werden.

What next?

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du durch [X] oder Sternchen (*) ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)

► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
- das OTL hast Du auf Deinem Desktop gespeichert?
ggf einen Systemscan mit OTL im abgesicherten Modus probieren:
♦ PC neu starten
♦ Drücke gleich mehrmals die F8-Taste. Am besten mehrmals und schnell nacheinander drücken.
♦ Wähle in der Liste, die nun erscheint, den abgesicherten Modus aus.

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
Poste die Logfiles in Code-Tags hier in den Thread.

2.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

Download den CCleaner herunter
Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

Zuerstmal die Erfolgreichen Sachen:

Code:

7-Zip 9.20 (x64 edition)        Igor Pavlov        23.09.2011        4,53MB        9.20.00.0

Adobe Flash Player 11 ActiveX 64-bit        Adobe Systems Incorporated        06.05.2012        6,00MB        11.2.202.235

Adobe Flash Player 11 Plugin        Adobe Systems Incorporated        01.07.2012        6,00MB        11.3.300.262

Adobe Reader X (10.1.0) - Deutsch        Adobe Systems Incorporated        28.09.2011        118MB        10.1.0

Adobe Shockwave Player 11.6        Adobe Systems, Inc.        01.07.2012                11.6.5.635

Advanced Crossfading 1.7.6.1180        SqrSoft        01.07.2012                1.7.6.1180

ATI Catalyst Install Manager        ATI Technologies, Inc.        23.09.2011        22,4MB        3.0.812.0

Audiosurf        BestGameEver        01.07.2012                

Avira AntiVir Personal - Free Antivirus        Avira GmbH        01.07.2012        90,3MB        10.2.0.707

Brother MFL-Pro Suite DCP-135C        Brother Industries, Ltd.        27.01.2012                1.0.2.0

calibre        Kovid Goyal        03.10.2011        121MB        0.8.21

CCleaner        Piriform        22.06.2012                3.20

Combined Community Codec Pack 2011-07-30        CCCP Project        07.10.2011        28,5MB        2011.07.30.0

Cool & Quiet                01.07.2012                

CyberLink PowerDVD 8        CyberLink Corp.        07.10.2011        140MB        8.0.3228

Deus Ex - Human Revolution version 1.0        Square Enix        27.09.2011                1.0

DIE SIEDLER - Aufstieg eines Königreichs        Ubisoft        16.02.2012                1.00.0000

Die Siedler 7        Ubisoft        28.02.2012                1.02.1221

Drachenwald Modmanager 0.7        Drachenwald.net        01.07.2012                0.7

Dropbox        Dropbox, Inc.        05.06.2012                1.4.7

ESET Online Scanner v3                01.07.2012                

FileZilla Client 3.5.1        FileZilla Project        01.07.2012        16,5MB        3.5.1

FoxTab PDF Converter                03.10.2011                

Google Earth        Google        04.11.2011        92,7MB        6.1.0.5001

Heroes of Might & Magic V: Hammers of Fate                01.07.2012                

Heroes of Might and Magic V                01.07.2012                

Heroes of Might and Magic V - Tribes of the East                01.07.2012                

Java(TM) 6 Update 22        Oracle        28.09.2011        97,0MB        6.0.220

Java(TM) 6 Update 29        Oracle        25.09.2011        94,9MB        6.0.290

JDownloader 0.9        AppWork GmbH        01.07.2012                0.9

Logitech Webcam Software        Logitech Inc.        03.10.2011        44,4MB        12.10.1113

Magicka        Arrowhead Game Studios AB        01.07.2012                

Malwarebytes Anti-Malware Version 1.61.0.1400        Malwarebytes Corporation        19.06.2012        18,0MB        1.61.0.1400

Medieval II Total War        SEGA        29.01.2012                1.03.000

Medieval II Total War : Kingdoms : Americas        SEGA        29.01.2012                1.03.000

Medieval II Total War : Kingdoms : Britannia        SEGA        29.01.2012                1.03.000

Medieval II Total War : Kingdoms : Crusades        SEGA        29.01.2012                1.03.000

Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        27.09.2011        38,8MB        4.0.30319

Microsoft .NET Framework 4 Client Profile DEU Language Pack        Microsoft Corporation        27.09.2011        2,93MB        4.0.30319

Microsoft Games for Windows - LIVE        Microsoft Corporation        03.02.2012        8,19MB        3.0.89.0

Microsoft Games for Windows - LIVE Redistributable        Microsoft Corporation        03.02.2012        33,5MB        3.0.19.0

Microsoft Office Professional Plus 2010        Microsoft Corporation        01.07.2012                14.0.4763.1000

Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        07.10.2011        2,69MB        8.0.59193

Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148        Microsoft Corporation        28.09.2011        788KB        9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022        Microsoft Corporation        28.02.2012        1,41MB        9.0.21022

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        09.11.2011        240KB        9.0.30729

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        27.09.2011        596KB        9.0.30729.4148

Microsoft XNA Framework Redistributable 3.1        Microsoft Corporation        06.11.2011        7,55MB        3.1.10527.0

Mplayer.com                01.07.2012                

NVIDIA PhysX        NVIDIA Corporation        16.05.2012        78,9MB        9.10.0513

OpenOffice.org 3.3        OpenOffice.org        28.09.2011        414MB        3.3.9567

Opera 12.00        Opera Software ASA        01.07.2012                12.00.1467

Orcs Must Die!                01.07.2012                

Portal 2        Valve        01.07.2012                

Portal 2 Publishing Tool                01.07.2012                

Prototype(TM)        Activision        29.05.2012        7,78GB        1.0

PSPP        GNU        27.09.2011                20100611

Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        25.09.2011                6.0.1.6251

Risen 2 Dark Waters                16.05.2012                

Shockwave                01.07.2012                

Skype Click to Call        Skype Technologies S.A.        29.06.2012        14,0MB        6.0.10297

Skype™ 5.9        Skype Technologies S.A.        13.06.2012        19,2MB        5.9.123

Smart Data Recovery v4.3        Smart PC Solutions        01.07.2012                4.3

SqrSoft® Advanced Crossfading (remove only)                01.07.2012                

Steam        Valve Corporation        06.11.2011        35,4MB        1.0.0.0

Ubisoft Game Launcher        UBISOFT        13.03.2012                1.0.0.0

VLC media player 1.1.11        VideoLAN        01.07.2012                1.1.11

Warhammer 40,000: Dawn of War Gold Edition        Relic        01.07.2012                

Warhammer 40,000: Dawn of War – Dark Crusade        Relic        01.07.2012                

Warhammer 40,000: Dawn of War – Soulstorm        Relic        01.07.2012                

Warhammer 40,000: Dawn of War – Winter Assault        Relic        01.07.2012                

Warhammer® 40,000®: Dawn of War® II – Retribution™        Relic        01.07.2012                

Warhammer® 40,000™: Dawn of War® II        Relic        01.07.2012                

Warhammer® 40,000™: Dawn of War® II – Chaos Rising™        Relic        01.07.2012                

Winamp        Nullsoft, Inc        01.07.2012                5.621 

Winamp Erkennungs-Plug-in        Nullsoft, Inc        23.09.2011        63,0KB        1.0.0.1

Worms2                01.07.2012

Nun der Rest:
Interessanterweise ist OTL.exe von meinem Desktop verschwunden o.O
Habs neu gezogen, ebendort hin.
OTL gibt, auch als admin ausgeführt (im Abgesicherten modus bin ich ohnehin schon die ganze Zeit) einen out-of memory fehler.
Hab den leistungsmonitor mal genauer angeschaut: Von acht gig die eingebaut sind steht dort ~4800 im Cache, ~6400 Verfügbar und ~1700 Frei. Die 1700 braucht der OTL-suchlauf zügig auf, dann schaufelt er noch ein bisschen hin und her aber bricht schließlich ab. In dem Visualisierungskasten steht übrigens permanent 1,75GB und er geht maximal bis 3,5GB auslastung hoch, bevor er abbricht.

hast Du Verwandte oder Bekannte die dir helfen können, oder ein "Zweit-PC "?? das genannte Programm auf CD brennen:

Werden benötigt:
Zweit PC
1 CD
1 Brennprogramm

Unbootbares System mit OTLPE Network scannen

Du kannst versuchen, den Computer mit OTLPE zu booten, denn offensichtlich hast Du ja noch einen zweiten Rechner zur Verfügung. Mit diesem kannst Du die nötige Boot-CD mit OTLPE brennen, die eine Art Notfall-Boot-CD darstellt, mit der wir erstens das System booten können und zweitens die zur Analyse nötigen Scans durchführen können. Sollte das System auch mithilfe dieser CD nicht bootbar sein, kannst Du von einem technischen Problem ausgehen.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.
Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hier.
Dein System sollte nach einigen Minuten diesen REATOGO-X-PE Desktop anzeigen.

http://image.hijackthis.de/upload/otlpe.jpg
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" angehakt ist und drücke OK.
OTLpe sollte nun starten.

http://image.hijackthis.de/upload/otlpe2.jpg
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.
Anonymisiere Realnachnamen durch 5 Sternchen *****, am besten im Editor durch "Suchen und Ersetzen".
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Falls Du kein Brennprogramm hast:

ISOBurner
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Also OTL funktioniert auch als gebootetes system nicht. Werde mal einen Speichertest laufen lassen. Hast du ne idee warum nur 2GB in gebrauch angezeigt werden und 3GB Frei sind, Obwohl er selbst sagt es seien 8 Installiert?

Ein unbootbares System hatte ich auch die ganze Zeit nicht, wie mehrfach gesagt. Bin im abgesicherten Modus unterwegs gewesen. Da der AV-Guard nicht aktiviert oder geupdatet werden konnte habe ich jetzt Antivir neu heruntergeladen und drüberlaufen lassen. System geht wieder, auch der Windows defender schaltet sich wieder ein. Allerdings findet er immer wieder TR/Crypt.XPACK.Gen5 in: C:\Windows\SysWOW64\tnnsibnpf.dll und wird die scheinbar nicht von selbst los.

Gibt es noch was anderes als OTL, um sicherzugehen dass das system sauber ist?

Zitat:

Zitat von Zathuras (Beitrag 857098)

Gibt es noch was anderes als OTL, um sicherzugehen dass das system sauber ist?

ja natürlich:
Tipps & Hilfe:
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Neuaufsetzen (Windows XP, Vista und Windows 7) - Anleitungen
PC neu aufsetzen kann nur ein paar Stunden dauern und die Festplatte 100%ig frei von Viren oder sonstiger Malware.
Die Systembereinigung dauert ein paar Tage, eine Säuberung ist sehr aufwendig, es ist nicht sicher ob es vollständig gelingt dies zu säubern und ob der Computer ansonsten einwandfrei läuft...

Zitat:

Zitat von Zathuras (Beitrag 857098)

Also OTL funktioniert auch als gebootetes system nicht. Werde mal einen Speichertest laufen lassen.

ich würde erstmal die Festplatte formatieren, Windows neu einrichten und schauen, ob einwandfrei läuft? Das System muss malwarefrei sein! Dann nach technische Probleme suchen falls die Probleme weiterhin bestehen sollten...

Nach ein bisschen Recherche würde ich bisher sagen die limitierung des speichers auf 3/8 des insgesamt verfügbaren für ein einziges programm durch windows ist normal. obwohl ich dass gern erweitern würde.

danke auf jeden fall für deine mühe!
neu draufziehen überlege ich mir noch, momentan wäre der schade nicht soo groß..