Trojaner-Board - CIBS Pol. Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - CIBS Pol. Virus (https://www.trojaner-board.de/135353-cibs-pol-virus.html)

Hallo zusammen

Gestern Abend hat sich der CIBS Pol Virus in einem Laptop Eingenistet.
Betriebssystem: Windows Vista
Symptome: Wie üblich stellt sich die gesetztesverstoss Drohung in den Vordergrund und verhindert den zugriff auf den Desktop. Desweiteren schaltet es sich beim starten im abgesichterten Modos automatisch in das normale Windows, mit ausnahme des Modi mit Eingabefunktion wodurch ich die Logs erstellen konnte.

Danke für eure Unterstützung
Patrick

Hi,

otl fix

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:OTL

O20 - HKU\S-1-5-21-4222718498-3548474415-311634151-1000 Winlogon: Shell - (C:\Users\Patrick\AppData\Roaming\skype.dat) - C:\Users\Patrick\AppData\Roaming\skype.dat ()

[2013.05.22 14:13:48 | 000,000,000 | ---- | M] () -- C:\Users\Patrick\AppData\Roaming\skype.ini
 

:files

:Commands

[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Top

Hat soweit alles funktioniert. Vielen dank für die schnelle und kompetente Hilfe.

Kannst du mir gegebenfalls noch etwas bezüglich Virenschutz- & Scansofware empfehlen um solche missetaten der dauer-Hobbylosen Virenprogramierer so gut es geht zu umgehen?

Anbei noch die MovedFiles Datei.

mfg Patrick

Hi danke fürs hochladen, zur Absicherung kommen wir noch.
Downloade dir bitte

TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Der log war bereits zu gross für eine txt, daher der Zip.

Hi,
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Code:

ComboFix 13-05-23.02 - Patrick 23.05.2013  22:50:05.1.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.41.1031.18.3032.1795 [GMT 2:00]

ausgeführt von:: c:\users\Patrick\Desktop\ComboFix.exe

AV: Microsoft Security Essentials *Disabled/Updated* {3F839487-C7A2-C958-E30C-E2825BA31FB5}

SP: Microsoft Security Essentials *Disabled/Updated* {84E27563-E198-C6D6-D9BC-D9F020245508}

SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\windows

c:\programdata\windows\dsdd.dat

c:\programdata\windows\nudr.dat

c:\users\Patrick\AppData\Local\CouponDropDown

c:\users\Patrick\AppData\Local\CouponDropDown\Chrome\CouponDropDown.crx

c:\users\Patrick\AppData\Roaming\Azokg

c:\users\Patrick\AppData\Roaming\Azokg\vaboe.ryi

c:\users\Patrick\AppData\Roaming\Imdev

c:\users\Patrick\AppData\Roaming\Imdev\ezyd.ilx

c:\users\Patrick\AppData\Roaming\Nuan

c:\users\Patrick\AppData\Roaming\Nuan\ylhy.zux

c:\users\Patrick\AppData\Roaming\Nyguz

c:\users\Patrick\AppData\Roaming\Nyguz\wiuc.aqx

c:\windows\system32\WinIo.sys

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_WINIO

-------\Service_WINIO

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-04-23 bis 2013-05-23  ))))))))))))))))))))))))))))))

.

.

2013-05-23 20:55 . 2013-05-23 20:55        --------        d-----w-        c:\users\Default\AppData\Local\temp

2013-05-22 15:39 . 2013-05-22 15:36        724464        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B1984C58-C711-4987-8992-4754508E3CE5}\gapaengine.dll

2013-05-22 15:37 . 2013-05-13 06:19        7016152        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{63D091EE-02FF-4478-A2CD-EC729B04E844}\mpengine.dll

2013-05-22 14:51 . 2013-05-22 14:51        --------        d-----w-        C:\found.000

2013-05-20 17:39 . 2013-05-13 06:19        7016152        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

2013-05-15 05:24 . 2013-05-05 19:12        2382848        ----a-w-        c:\windows\system32\mshtml.tlb

2013-05-14 18:08 . 2013-04-15 14:20        638328        ----a-w-        c:\windows\system32\drivers\dxgkrnl.sys

2013-05-14 18:08 . 2013-04-13 10:56        37376        ----a-w-        c:\windows\system32\cdd.dll

2013-05-14 18:08 . 2013-04-09 01:36        2049024        ----a-w-        c:\windows\system32\win32k.sys

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-05-14 19:37 . 2012-03-30 23:14        692104        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-05-14 19:37 . 2011-07-23 20:32        71048        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-05-02 15:28 . 2011-07-16 01:40        238872        ------w-        c:\windows\system32\MpSigStub.exe

2013-04-23 19:18 . 2012-06-13 13:21        706640        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll

2013-04-05 01:10 . 2013-04-03 15:35        207008        ----a-w-        c:\programdata\Microsoft\VBExpress\10.0\1031\ResourceCache.dll

2013-03-11 19:56 . 2013-03-11 19:56        94112        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll

2013-03-11 19:56 . 2012-07-03 23:02        861088        ----a-w-        c:\windows\system32\npdeployJava1.dll

2013-03-11 19:56 . 2011-12-04 19:53        782240        ----a-w-        c:\windows\system32\deployJava1.dll

2013-03-11 13:25 . 2013-04-10 05:10        3603816        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2013-03-11 13:25 . 2013-04-10 05:10        3551080        ----a-w-        c:\windows\system32\ntoskrnl.exe

2013-03-09 03:45 . 2013-04-10 05:10        49152        ----a-w-        c:\windows\system32\csrsrv.dll

2013-03-09 01:28 . 2013-04-10 05:10        64000        ----a-w-        c:\windows\system32\smss.exe

2013-03-08 03:53 . 2013-04-10 05:10        376320        ----a-w-        c:\windows\system32\winsrv.dll

2013-03-08 03:52 . 2013-04-10 05:10        2067968        ----a-w-        c:\windows\system32\mstscax.dll

2013-03-03 19:07 . 2013-04-10 05:10        1082232        ----a-w-        c:\windows\system32\drivers\ntfs.sys

2013-04-11 21:31 . 2013-04-11 21:31        263064        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]

"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]

"VeohPlugin"="c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" [2011-08-25 2816328]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

"Steam"="d:\steam\steam.exe" [2013-05-03 1635752]

"UEL Start"="c:\programdata\VJJ\UEL.exe" [2013-03-05 2069100]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-12 150040]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-12 170520]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-12 145944]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-17 13531680]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-17 92704]

"RtHDVCpl"="RtHDVCpl.exe" [2008-05-08 6139904]

"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2008-01-25 159744]

"FIC HotKey"="c:\program files\Hotkey Utility\tray.exe" [2008-06-05 520192]

"LaunchPad"="c:\program files\Launch Pad\LaunchPad.exe" [2008-07-12 2260992]

"PowerManager"="c:\program files\Power Manager\PM.exe" [2008-05-22 1675264]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"FSCRecovery"="c:\program files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe" [2008-06-18 268096]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-04-20 178712]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]

"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]

"iTunesHelper"="D:\iTunesHelper.exe" [2012-01-16 421736]

"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]

"Skytel"="Skytel.exe" [2007-11-21 1826816]

"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2013-01-27 947152]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs        REG_MULTI_SZ           BthServ

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

Inhalt des "geplante Tasks" Ordners

.

2013-05-23 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 19:37]

.

2013-05-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-07-15 10:53]

.

2013-05-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2011-07-15 10:53]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://start.facemoods.com/?a=ddrnw

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\users\Patrick\AppData\Roaming\Mozilla\Firefox\Profiles\7g1ix9b9.default\

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKCU-Run-Ohaksuc - c:\users\Patrick\AppData\Roaming\Kaokly\ogot.exe

HKLM-Run-NPCTray - c:\program files\Norman\npc\bin\npc_tray.exe

HKLM-Run-NBKeyScan - c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

HKU-Default-Run-fsc-reg - c:\fsc-reg\fscreg.exe

AddRemove-CouponDropDown - c:\program files\CouponDropDown\Uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-05-23 22:57

Windows 6.0.6002 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'Explorer.exe'(3292)

c:\windows\system32\NVSVC.DLL

c:\programdata\VJJ\UEL.01

c:\program files\RhinoSoft.com\FTP Voyager\ftpshext.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\nvvsvc.exe

c:\program files\Microsoft Security Client\MsMpEng.exe

c:\windows\system32\rundll32.exe

c:\windows\System32\lpksetup.exe

c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

c:\program files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe

c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

c:\windows\servicing\TrustedInstaller.exe

c:\windows\system32\conime.exe

c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe

c:\windows\RtHDVCpl.exe

c:\windows\system32\igfxsrvc.exe

c:\program files\Apoint2K\ApMsgFwd.exe

c:\windows\system32\wbem\unsecapp.exe

c:\program files\Apoint2K\Apntex.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\program files\iPod\bin\iPodService.exe

c:\\?\c:\windows\system32\wbem\WMIADAP.EXE

.

**************************************************************************

.

Zeit der Fertigstellung: 2013-05-23  23:02:46 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2013-05-23 21:02

.

Vor Suchlauf: 14 Verzeichnis(se), 14.710.882.304 Bytes frei

Nach Suchlauf: 20 Verzeichnis(se), 14.187.515.904 Bytes frei

.

- - End Of File - - 839CB9E34680E134CB9B7D4D1AC3B713

hi
malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hier das logfile
Wobei ich anmerken muss dass VJJ und Refrog beabsichtig drauf waren, welche ich nun aber nicht mehr benötige und somit auch gleich fort sind.

Code:

Malwarebytes Anti-Malware (Test) 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2013.05.25.04
 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 9.0.8112.16421

Patrick :: PATRICK-PC [Administrator]
 

Schutz: Aktiviert
 

25.05.2013 14:30:25

mbam-log-2013-05-25 (14-30-25).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 380805

Laufzeit: 1 Stunde(n), 12 Minute(n), 46 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 1

HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Registrierungswerte: 1

HKCU\Software\InstalledBrowserExtensions\215 Apps|4352 (PUP.CrossFire.SA) -> Daten: CouponDropDown -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 2

C:\ProgramData\VJJ\VJJ.exe (Trojan.Keylogger) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Patrick\Downloads\setup.exe (Keylogger.Refog) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Hi,

lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.