Trojaner-Board - Bundespolizei Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bundespolizei Trojaner (https://www.trojaner-board.de/102530-bundespolizei-trojaner.html)

Bundespolizei Trojaner

Hallo Liebes Trojaner-Board Team,

meine Mutter ist im Internet gesurft und auf einmal kam diese Fake-Meldung der Bundespolizei, welche auffordert 100€ per Ukash oder Paysafecard zu bezahlen.
Wir haben erstmal nichts unternommen außer Firefox über den Taskmanager zu schließen.
Anschließend habe ich mich hier informiert und diverse Bereinigungswege gefunden.

Da ich jedoch nicht weiß welcher der aktuelle und in unserem Fall richtige Bereinigungsweg ist und ihr empfehlt, andere Lösungswege nicht einfach zu übernehmen, habe ich bisher nichts unternommen und bitte euch uns bei der Bereinigung dieses Trojaners zu helfen.

Das Betriebssystem ist Windows XP Professional.

Viele Grüße
RICARDOZ

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

Starte den infizierten Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
Logge dich nun in das infizierte Benutzerkonto ein.
Schließe den USB Stick an den infizierten Rechner an.
Nun ist etwas Handarbeit gefragt.
- Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
- Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
  
  Zitat:
  
  Das System kann das angegeben Laufwerk nicht finden
  
  versuche einen anderen Laufwerksbuchstaben. ( zB F: )
Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
start srep.exe
Bestätige den Disclaimer mit OK.
Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Vielen Dank Arne schonmal für deine erste Hilfe.

Hier der Text aus der shell.txt:

Code:

WIN_XP X86
 

Modified HKLM shell extension. Current Shell File = C:\Dokumente und Einstellungen\***\Anwendungsdaten\jashla.exe

File C:\Dokumente und Einstellungen\***\Anwendungsdaten\jashla.exe moved to H:\ infected or not found

HKCU\..\Winlogon; Shell not found

No action taken
 
 

HKLM\..\Run[PMXInit] = C:\WINDOWS\system32\pmxinit.exe

HKLM\..\Run[NeroCheck] = C:\WINDOWS\system32\NeroCheck.exe

HKLM\..\Run[Lexmark_X79-55] = C:\WINDOWS\system32\lsasss.exe

HKLM\..\Run[TkBellExe] = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

HKLM\..\Run[QuickTime Task] = "C:\Programme\QuickTime\QTTask.exe" -atboottime

HKLM\..\Run[iTunesHelper] = "D:\Programme\iTunes und QuickTime\iTunesHelper.exe"

HKLM\..\Run[FlashGuard] = "C:\Programme\FlashGuard\FlashGuard.exe" -run

HKLM\..\Run[SunJavaUpdateSched] = "C:\Programme\Java\jre6\bin\jusched.exe"

HKLM\..\Run[KernelFaultCheck] = %systemroot%\system32\dumprep 0 -k

HKLM\..\Run[avgnt] = "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
 

HKCU\..\Run[Regscan] = C:\WINDOWS\system32\regscan.exe
 

HKU\.DEFAULT\Winlogon; Shell = 

HKU\S-1-5-20\Winlogon; Shell = 

HKU\S-1-5-20_Classes\Winlogon; Shell = 

HKU\S-1-5-21-1390067357-1580818891-1708537768-1003\Winlogon; Shell = explorer.exe,I:\KAZAN\marijana.exe

HKU\S-1-5-21-1390067357-1580818891-1708537768-1003_Classes\Winlogon; Shell = 

HKU\S-1-5-18\Winlogon; Shell =

Ich warte auf weitere Instruktionen :heilig:

Viele Grüße
RICARDOZ

Startet Windows wieder normal?

Ja Windows startet wieder normal.
Beudetet das jetzt, dass der PC "clean" ist?

Viele Grüße
RICARDOZ

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Vielen Dank schonmal für deine weiteren Instruktionen.

Hier der Log des Scans mit Malwarebytes (bei diesem Scan war AntiVir aktiv und hat sich teilweise auch gemeldet. Beim OTL Scan hatte ich AntiVir deaktiviert.):

Code:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org
 

Datenbank Version: 7489
 

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180
 

17.08.2011 22:12:57

mbam-log-2011-08-17 (22-12-57).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)

Durchsuchte Objekte: 206503

Laufzeit: 2 Stunde(n), 6 Minute(n), 10 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 9
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\dokumente und einstellungen\***\lokale einstellungen\temp\jar_cache515694225316585547.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.

c:\dokumente und einstellungen\***\lokale einstellungen\temp\jar_cache6127163292000287266.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.

d:\*** (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

c:\programme\lame_enc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

c:\programme\no23xwrapper.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

c:\programme\ogg.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

c:\programme\vorbis.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

c:\programme\vorbisenc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

c:\programme\vorbisfile.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Der Inhalt des OTL Logs folgt in der nächsten Antwort, weil es sonst zu viele Zeichen wären.

Und hier der Log des OTL Scans. Habe es angehängt, weil es doch noch zu viele Zeichen waren.

Vielen Dank und viele Grüße
RICARDOZ

Zitat:

d:\*** (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

Auch ein zensierter Crack/Keygen bleibt illegal und ist als solcher anhand der Einstufung (Riskware) von Malwarebytes zu erkennen :stirn:

:pfui:

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!