Trojaner-Board - GVU / Polizeivirus

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GVU / Polizeivirus - neue Infektion (https://www.trojaner-board.de/135948-gvu-polizeivirus-neue-infektion.html)

GVU / Polizeivirus - neue Infektion

Hello @all,

jetzt ist es soweit, ich muss doch einmal ein forum zum entfernen eines virus verwenden,

ich bin mir zwar schon fast sicher, wie ich den virus entfernen muss, aber möchte sicher gehen.

Ich habe von einem Bekannten einen PC bekommen - der erste Virus, den ich nicht selber löschen kann :(

Daher bitte ich um Eure Mithilfe.

Anbei die Log-Files, welche durch OTL erstellt wurden.

(Natürlich müssen dann die Virus..... mit dem Usernamen getauscht werden)

Vielen Dank
fibsi

Hi
kommst du an nen pc mit brenner?
download:
http://filepony.de/download-otlpe/
und brenne es mit ISOBurner auf eine CD.
ISO Burner - Download - Filepony
isoburner anleitung:
http://www.trojaner-board.de/83208-b...ei-cd-dvd.html
• Wenn der Download fertig ist mache ein doppel Klick auf die OTLPENet.exe, was ISOBurner öffnet um es auf die CD zu brennen.
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
http://www.trojaner-board.de/81857-c...cd-booten.html

• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

ups, das ging aber rasch, habe schon die logfiles - sorry, war grad am editieren, bin grad am upload

reatagor xp funktioniert nicht, bluescreen

Anbei die Logs - ich hoffe das passt so, lg fibsi

dann machs beim nächsten Mal bitte so, dass du erst alle Infos sammelst und dann postest, danke
warte dann mal auf die Logs

sorry, habe mich beim Upload verklickt :)

Der Upload war schon ein Eintrag vor dir oberhalb

wie analysierst du die textfiles? Ich gehe mal von diesen zeilen aus:

FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_202.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)

Hi,

otl fix

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:OTL

O20 - HKU\S-1-5-21-3137141778-65262293-2770879185-1000 Winlogon: Shell - (C:\Users\sichervirus\AppData\Roaming\skype.dat) - C:\Users\sichervirus\AppData\Roaming\skype.dat ()

[2013/06/02 19:14:10 | 000,000,004 | ---- | M] () -- C:\Users\sichervirus\AppData\Roaming\skype.ini

:files

:Commands

[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Hat super funktioniert, Danke

Upload der Datei erfolgt - jedoch wurde im Pfad und in der Textdatei der "User" auf USERNAME umbenannt.

lg
fibsi

ps: war aber auf einem USB - Stick und nicht am Desktop - hatte die Variante mit dem Stick und Reparaturkonsole durchgespielt.

7468782061206c6f74
01100110 01101001 01100010 01110011 01101001

Danke fürs hochladen
Downloade dir bitte

TDSSKiller.exe und speichere diese Datei auf dem Desktop

Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
Drücke Start Scan
Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Ich habe den PC schon zurückgebracht, werde aber noch versuchen, heute das Logfile von meinem Bekannten ausführen zu lassen, bzw. Remote dann ausführen.

wieso arbeitet man nur halb bis zum ende, is ja nich mal halb, evtl. erst n viertel. nicht mal sicherheitslücken sind geschlossen, womit ne Neuinfektion leicht möglich ist, und wir dann die doppelte Arbeit haben...

Jetzt hat mein Bekannter das Programm nicht mehr ausführen können und hat schon wieder den Virus drauf - seit Freitag beim surfen wieder PopUp Fenster mit Casions und seit Montag startet er nicht mehr - soll ich das gleiche Skript wieder ausführen, oder vorher wieder eine Analyse starten?

hab jetzt erst deine Signatur bzgl. Urlaub gelesen

Habs mit FRST entfernen können, alle Windows, Java usw. Updates eingespielt.
Anschließend Kontrolle mit tdsskiller = OK, Kontrolle mit OTL = OK.

Danke nochmals