Trojaner-Board - Bundespolizei-Virus, hier die OTL

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bundespolizei-Virus, hier die OTL (https://www.trojaner-board.de/102033-bundespolizei-virus-otl.html)

Bundespolizei-Virus, hier die OTL

Hi, gestern hat mein Schwiegervater sein Rechner zur Virenbereinigung vorbeigebracht. Es handelt sich um den Bundespolizei-Virus (100 Euro), der ist ja hier im Board bekannt. Habe bereits vorgestern eifrig den einen und anderen Threat verfolgt und bin über den allg. Workflow zur mögl. Beseitigung diesen bösartigen Virus im Bilde. Deshalb hier gleich die otl.txt in der Hoffnung das Arne oder ein anderer Spezialist mir helfen kann.

VG, Toni

die otl.txt befindet sich im Anhang

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O20 - HKLM Winlogon: Shell - (C:\DOKUME~1\dieter1\LOKALE~1\Temp\6eldg.exe) - C:\Dokumente und Einstellungen\dieter1\Lokale Einstellungen\Temp\6eldg.exe ()

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\appconf32.exe) - C:\WINDOWS\system32\appconf32.exe ()

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2007/12/30 09:58:13 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

[2011/07/31 12:05:45 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5021

[2011/07/31 12:05:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xmldm

[2011/07/31 12:05:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\kock

[2008/12/09 11:23:13 | 000,048,176 | RHS- | C] () -- C:\WINDOWS\System32\appconf32.exe

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hi Arne, na wunderbar...good work ! Der Rechner bootet wieder hoch

vielen Dank!

hier erstmal das Log-File

Code:

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\DOKUME~1\dieter1\LOKALE~1\Temp\6eldg.exe deleted successfully.

C:\Dokumente und Einstellungen\dieter1\Lokale Einstellungen\Temp\6eldg.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\appconf32.exe deleted successfully.

C:\WINDOWS\system32\appconf32.exe moved successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

C:\AUTOEXEC.BAT moved successfully.

C:\WINDOWS\System32\5021\components folder moved successfully.

C:\WINDOWS\System32\5021 folder moved successfully.

C:\WINDOWS\System32\xmldm folder moved successfully.

C:\WINDOWS\System32\kock folder moved successfully.

File C:\WINDOWS\System32\appconf32.exe not found.

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 08052011_022331

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hier das .log von Malwarebytes

einen OTL-Costum-Scan konnte ich nicht mehr durchführen weil der Rechner wieder im Besitz vom Schwiegervater ist. Habe aber auch mit AntiVir (Premium) einen Vollscan durchgeführt. Der Rechner müßte wieder sauber sein...

Gruß, Toni

Code:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org
 

Datenbank Version: 7378
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13
 

05.08.2011 01:52:42

mbam-log-2011-08-05 (01-52-29).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 210243

Laufzeit: 1 Stunde(n), 49 Minute(n), 5 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 6

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 1

Infizierte Dateien: 5
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> No action taken.

HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Trojan.Banker) -> No action taken.

HKEY_CLASSES_ROOT\linkrdr.AIEbho (Trojan.Banker) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

c:\Recycle.Bin (Trojan.Spyeyes) -> No action taken.
 

Infizierte Dateien:

c:\WINDOWS\system32\acroiehelpe.dll (Trojan.Banker) -> No action taken.

c:\_OTL\movedfiles\08052011_022331\c_dokumente und einstellungen\dieter1\lokale einstellungen\Temp\6eldg.exe (Rogue.MalwareProtection) -> No action taken.

c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> No action taken.

c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> No action taken.

c:\Recycle.Bin\d87f7a667a2e2cc (Trojan.Spyeyes) -> No action taken.

Zitat:

Der Rechner müßte wieder sauber sein...

Vorsicht! Auf diesem Rechner werkelte SpyEyes, ein gefährlicher Datenklauer! Macht dein Schweigervater damit Onlinebanking?

Hi Arne,

ich fürchte schon :) Am Sonntag bin ich nochmal bei ihm, wohnt halt weit weg... da mach ich nochmal einen Custom-Scan

Gruß, Toni

Tja mit einem CustomScan wirds nicht getan sein.
Wenn dein Vater weiterhi sicher banken will mit diesem Rechner, wird er dies wohl nur noch per Live-CD machen können oder er setzt sein Windows komplett neu auf.

Hallo Arne, also mein Schwiegervater macht kein Banking an diesem Rechner, hat er bisher auch nie gemacht. Jedenfalls würde ich Dir nochmal das OTL-Log vom Customscan zeigen. Habe ihm empfohlen einen neuen Rechner zu kaufen. Dieser ist über 10 Jahre alt (P4 1,73Ghz, 512MB ram).

voila und thx,
Toni

Zitat:

Habe ihm empfohlen einen neuen Rechner zu kaufen.

Will er das denn auch tun? Wenn ja, seh ich keinen großen Sinn mehr Arbeit in das Uraltsystem zu stecken.

Hi Arne,

Recht haste ! Ja, er will sich in diesem Jahr (bald) einen neuen Rechner kaufen. Bis dahin kann er mit dem alten ja noch wenigstens ein wenig "emailen", dafür langt das Teil ja noch. Ich danke Dir nochmal herzlich für Deine Bemühungen hier im Forum, die ja auch letztendlich zum Erfolg geführt haben !

Viele Grüße, Toni