Trojaner-Board - BKA-Trojaner und Folgeprobleme

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - BKA-Trojaner und Folgeprobleme (https://www.trojaner-board.de/103302-bka-trojaner-folgeprobleme.html)

BKA-Trojaner und Folgeprobleme

Hallo zusammen,

und ich habe gedacht mir könne nichts passieren wenn ich immer brav den Virenscanner (Avira) und mein BS (WinXPProf) aktuell halte.
Weit gefehlt! Da war ich wohl zu naiv und blöd.

Was ist passiert?
Am 04.09. bekam ich die berühmte Bundeskriminalamt-Vorschaltseite mit der Aufforderung 100 Euronen zu bezahlen. Statt dem nach zu kommen habe ich sofort die Netzverbindung gekappt und den Rechner hart ausgeschaltet.
Ich bin dann mit einem anderen Rechner ins WWW und habe ein wenig gegoogelt und mir die Desinfec't2011 CD, die sich bei mir im Haushalt befand, angesehen und mir überlegt wie ich vorgehen könnte.
Ich habe dann im abgesicherten Modus mein Laptop neu gestartet und nach einer Datei jashla.exe (die wurde im Netz - wo erinnere ich leider nicht - als Verursacher genannt) gesucht, diese auch gefunden und gelöscht, ebenso wie den passenden Eintrag in der Registry.
Danach habe ich rebootet und einen kompletten Avira-Suchlauf (ein Update war ca. 1 Stunde vor dem "Unfall" erfolgt) durch geführt. Als Ergebnis bekam ich folgendes:

1.)
Die Datei 'C:\Downloads\Software\SWF\FlashConv\flashconv.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.djau' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5708b0.qua' verschoben!
und
2.)
Die Datei 'C:\Downloads\Software\SWF\FlashConv\flashconv.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Buzus.djau' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei existiert nicht!

Danach musste ich das Problem aus Zeitgründen ruhen lassen.

Mit Hilfe der Desinfec't2011 CD habe ich dann einige Helferlein installiert:
mit Secunia PSI fand ich erschreckend viel Software die sich nicht auf einem aktuellen und damit in einem angreifbaren Zustand befand. (Macromedia!)

Komisch fand ich aber, dass sich Word nicht mehr öffnen lies, sondern mit Hilfe der InstallationsSource repariert werden musste.
Ein erneuter Virenscan zeigte mir dann folgendes:

1.)
In der Datei 'C:\Dokumente und Einstellungen\root\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9QIE95YF\readme[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Ransom.DU.42' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
2.)
Die Datei 'C:\Dokumente und Einstellungen\root\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9QIE95YF\readme[1].exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.DU.42' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c7770d9.qua' verschoben!
3.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
4.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
5.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
6.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
7.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
8.)
In der Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
9.)
Die Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc17.tmp'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c25f869.qua' verschoben!
10.)
Die Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c61ffe1.qua' verschoben!
11.)
Die Datei 'C:\RECYCLER\S-1-5-21-1249577084-3561767559-2625650156-1006\Dc185\plugin-1fdp.php'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pidief.adn' [exploit].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei existiert nicht!

Außerdem fallen mir einige Unregelmäßigkeiten auf:
das Hintergrundbild ist weg, hier und da gibt es farbige Veränderungen in Oberflächenelementen (z.B.: bei der cmd-Box sind die Elemente -, Kästchen und X blau) außerdem fehlen Ordner oder Files (z.B.: fehlt unter C: der Ordner RECYCLED - stattdessen existiert jetzt ein mit einem File gefüllter Ordner namens Recycle.Bi - einen neuen Ordner mit dem Namen RECYCLED darf ich allerdings nicht erstellen, angeblich existiert der ja schon)

Nachdem ich gestern Abend einen Scan mit "Malwarebytes Anti-Malware" durchgeführt habe war ich deutlich verunsichert: mir wurden folgende Ergebnisse geliefert:
1.)
Trojan.Agent Folder c:/programme/premieropinion No action taken
2.)
Trojan.Agent File c:/programme/premieropinion/pmls.dll No action taken
3.)
PUM.Hijack.StartMenu RegistryData HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs Bad: (0)Good:(1) No action taken

Beim erneuten Recherchieren bin ich hier beim Trojaner-Board gelandet.
Ich habe mir srep.exe geladen und erhalte folgende shell.txt-Datei:

Was kann/sollte ich tun um mein System wieder sauber zu bekommen?
Ich weiß neu Aufsetzen wäre prima, möchte ich aber aus diversen Gründen vermeiden.

Ich sage jetzt schon mal "Vielen Dank" für Eure Hilfe
Rolf

Zitat:

Weit gefehlt! Da war ich wohl zu naiv und blöd.

Updates für Windows sind natürlich sehr wichtig, aber eben nicht alles. Wie du ja über Secunia PSI gesehen hast, muss man für JEDE installierte Software Updates einspielen. Besonders kritisch sind die Programme von Adobe! Also Flashplayer und PDF-Reader. Ebenfalls besonders wichtig sind die Updates bei Java.

Zitat:

Nachdem ich gestern Abend einen Scan mit " Malwarebytes Anti-Malware " durchgeführt habe war ich deutlich verunsichert: mir wurden folgende Ergebnisse geliefert:

So eine Zusammenfassung hilft nicht. Du musst alle Logs schon komplett posten.

Hallo Arne,

hier das Malwarebytes-Log:
Was brauchst Du noch?

Danke und Grüße
Rolf

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo Arne,
vielen Dank für Deine Geduld!
Hier die Logs (habe eben noch nach Update von Malwarebytes ein frisches gezogen)

Grüße
Rolf

Zitat:

-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Hallo Arne,

ist erledigt.

Ein erneuter Scan mit frischem Malwarebytes brachte 0 Meldungen.
Ein kompletter Scan mit ebenso frischem Avira brachte auch keinen Anschlag mehr.
Und trotzdem traue ich der Sache noch nicht.
Was kann ich noch tun?

Besten Dank und schöne Grüße
Rolf

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

hat etwas gedauert weil ich jobtechnisch keine Zeit hatte und dann musste ich einen Scan nach knapp 5 Stunden abbrechen, da ich ins Bett musste...

jetzt, nach gut 10 Stunden, ist der Scan aber komplett durch gelaufen.

Vielen Dank für Deine Hilfe!
Schöne Grüße und schönes WE
Rolf

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne,

ich habe mir die OTL.exe geladen und bin nach Deiner Vorschrift vor gegangen.
(Es ist weder ein Virenscanner noch eine Firewall aktiv. Einkopieren der Parameter, Programme schließen, QuickScan, ... )
Aber irgendwas scheine ich noch falsch zu machen.

Nach dem Start des OTL-Scans geht es erst ganz fluffig los:
getting drive info
scanning process
scanning modules
scanning service
scanning driver
Pattern Search ...
Scanning Firefox settings

das ist der Status nach ca 2 Minuten
aber auch noch nach 2 Stunden.
Dabei geht die CPU-Auslastung über 90%!

Ist das ok?
Was kann ich tun?

Schöne Grüße
Rolf

Brich das mal ab, starte Windows neu und versuch es nochmal.

Hallo Arne,

gemacht, aber leider mit dem gleichen Ergebnis:
beim Firefox bleibt der Scan hängen.
Kann das evtl. an irgendwelchen FF-Plugins liegen die installiert sind?

Danke für Deine Unterstützung!
Schöne Grüße
Rolf

Dann mach das Log erstmal nur so:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo Arne,

ich würde Dir hier ja gerne was anderes schreiben,
aber es bleibt dabei:
beim Firefox bleibt der Scan hängen
:-(

Was rätst Du mir?

Schöne Grüße
Rolf

PS:
ich schaue mir in der Zwischenzeit mal die FF-AddOns an