Trojaner-Board - Befall mit Bundespolizeivirus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Befall mit Bundespolizeivirus (https://www.trojaner-board.de/103872-befall-bundespolizeivirus.html)

Befall mit Bundespolizeivirus

Hallo Zusammen im kompetenten Forum!

Uns hat leider auch der Bundespolizeivirus befallen.
Nach eifrigem Studium im Forum hier, habe ich mich
mit Kaspersky Cd der Sache mal genähert, aber ausser
ein paar Trojanerbereinigungen brachte mich das meinem Problem nicht näher,
das allseits beschriebene Blockierfenster bleibt erhalten.

Nach dem Booten mit der empfohlenen Reatogo-X-PE Oberfläche habe ich OTL nach Anleitung gestartet und hoffe nun, dass mir jemand mit meinen Logfiles weiterhelfen kann. Läßt sich aus den Logs etwas entnehmen? Habe ich überhaupt das infizierte System gescannt?

Gruß

falls du deinen usernamen im log verendert hast, passe ihn im script an, sonst gehts nicht
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code:

:OTL

O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\0.4658229854220858.exe ()

O4 - HKU\UserXYZ_ON_C..\Run: [svchoct.exe] C:\Dokumente und Einstellungen\UserXYZ\Anwendungsdaten\Microsoft\svchoct.exe (Company 'gora-sah')

:Files

C:\WINDOWS\system32\0.4658229854220858.exe

C:\Dokumente und Einstellungen\UserXYZ\Anwendungsdaten\Microsoft\svchoct.exe

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
falls der pc wieder normal startet:
öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Supi, da sind wir einen Schritt weiter!
Der Rechner bootet und läßt sich wieder bedienen.

Anbei die zwei Files, OTL und die moved files

Gruß

irgendwie muss ich spanisch sprechen in den letzten tagen.
ich hatte extra nen link gepostet, die moved files hier im forum hochzuladen ist natürlich nicht sonderlich gut, da ist dein trojaner drinnen und jeder der das anklickt kann sich infizieren.
in dem link den ich gepostet hatte, ist der upload channel beschrieben.
ich lass das löschen von nem admin.
weist du noch, was kaspersky gefunden hatt?

sorry, das geht auf meine Kappe!

Nach einem mittag lang Viren suchen ist man wohl a bissl rammdösig! :crazy:

Ich habe die Berichte mal gespeichert, Kaspersky hat allerdings wohl nur zwei Trojanervarianten gefunden: Trojan-Spy.Win32.Zbotgen und Virus.Win32.Suspic.gen

War das das was Du wissen wolltest?
Ich habe gerade noch einen Versuch mit Malwarebytes gemacht, da hat sich die Applikation aber seltsam verhalten, werde nochmal neu booten und einen Scan machen.

Sollte ich sonst weitere Schritte unternehmen?

Gruß

machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?
die genaue kaspersky meldung wäre gut, aber zbot lässt alle alarm glocken klingeln :-(

Das ist ein PC in unserem Netzwerk, sollte eigentlich kein Online Banking drauf gemacht werden. Ich werde das mal in Erfahrung bringen.

Malwarebytes verhält sich allerdings seltsam, denn wenn man die Oberfläche zu sehen bekommt und einen Scan anstoßen will, stürzt es ab. Trotz 2-facher Neuinstallation lies sich dieses Verhalten nicht beseitigen.

Zum BKA Virus: wäre der mit deinem tollen Fix beseitigt?

Gruß

ja, aber laut deinen aussagen ist das nicht dein hauptproblem.
deswegen, beantworte meine fragen, und versuche folgendes:
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

...so nun kommt das Combo Fix Log, hat ja auch etwas gedauert.

Ich hoffe es gibt Aufschlüsse.

Gruß

...anbei noch das Protokoll des Kaspersky Scans Schnell- und Voll- ein Avira Scan läuft gerade noch.

kannst gleich abbredchen.
machst du onlinebanking einkäufe oder sonst was wichtiges, privat oder beruflich, mit diesem pc?

... kein online banking, aber es ist ein Arbeits-PC mit dem natürlich schon anständig gearbeitet wird, evtl. auch eine Bestellung über Internet.

also, auf diesem pc befindet sich ein rootkit, (zero access oder auch max++)
dieses rootkit ist in der lage weitere malware zu laden, die wir evtl. nicht aufspüren können.
deswegen würde ich vorschlagen, daten sichern, pc neu aufsetzen, dafür gibts anleitung falls nötig, und dann den pc absichern, auch hier helfe ich gern weiter.
danach müssen alle passwörter geendert werden.

Tools dieses Rootkit zu entfernen gibt es keine sinnvollen? Um den Rechner wenigstens noch ein paar Tage betreiben zu können, bis ein Neuaufsetzen vorbereitet ist.

na betreiben kannst du ihn, solange du nicht einkaufst oder was wichtiges damit machst.
ich bin aber ab übermorgen bis dienstag nicht da.
also kann ich dir meine anweisungen zum absichern erst dann geben, oder du musst sie erst mal allein durcharbeiten, wie du möchtest :-)

Ich werde mir jetzt eine neue Festplatte besorgen und Windows 7 und dann mich daran machen den Rechner neu aufzubauen und abzusichern.

Das wird sicher noch ein paar Tage dauern.

Vielen Dank vorerst für die Hilfe! Sie hat uns die Blockade erfolgreich gelöst.

Gruß

na ne neue festplatte brauchst deswegen nicht. reicht sie zu formatieren.
das musst du sowieso machen, wenn du ne neue festplatte nutzt und die andere weiter nutzen willst.
http://www.trojaner-board.de/96344-a...-rechners.html
anmerkungen:
arbeite erst alles ab, was unter windows 7/vista zu finden ist. aus dem bereich xp folgendes abarbeiten:
Datenausführungsverhinderung:
Maßnahmen für ALLE Windows-Versionen
danach dieses abarbeiten.
als kostenlosen scanner würde ich eher zu avast raten.
in meinem tests waren sie zwar nicht so erfolgreich wie einige bezahlprogramme aber besser als kostenlose.
wenns ein kostenpflichtiger scanner sein kann, würde ich diesen nehmen:
Emsisoft Anti-Malware für besten Schutz - Gratis Malware Entfernung von Viren, Bots, Spyware, Keylogger, Trojaner und Rootkits
der blockiert alle von mir getesteten malware samples.
dies bedeutet natürlich nicht 100 %iger schutz, denn so was gibts nicht.
du hast da ne 30 tage test version zur verfügung, würd ich mir auf jeden fall mal ansehen.
als browser würde ich persönlich opera einsetzen. er hat erst mal mehr ausstattung als der ff, ist weniger fehler anfällig, heißt weniger lücken in den letzten jahren.
und er ist, meines erachtens nach, schneller.
nächste anmerkung:
sandboxie.
das programm sandboxie ist ein programm, in dem du deinen browser isuliert vom system laufen lassen kannst.
da heut zu tage häufig legitime seiten ziehl von angriffen werden, um zb so viele user mit schadcode zu infizieren damit sie teil eines botnetzes werden, muss man, auch als privat person, seinen pc best möglich schützen.
dies haben wir natürlich bereits getan, in dem wir bekannte lücken schließen und weitere maßnamen getroffen haben.
trotz alle dem, kann immer mal was "durch rutschen".
wenn du jetzt deinen browser in der sandbox gestartet hast, rutscht diese malware nur dort rein, und durch unsere gewählten einstellungen, sollte sie im bestfall überhaupt nicht startenda sie zb durch das av geblockt wird, oder, falls doch, richtet sie in der sandbox keinen schaden an.

um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. ist die lizenz dein ganzes leben lang gültig, und du kannst die auf allen pcs nutzen, die sich in deinem haushalt befinden.
2. gibts, wenn du diese lizenz hast, noch einige nützliche funktionen, wie zb, erzwungener programm start.
dies bedeutet, wenn du zb bei erzwungener programm start deine browser, mail programme etc einträgst kannst du diese direkt über das entsprechende symbol in der sandbox starten lassen.
oder, wenn du einen link in einer mail bekommst und diesen anklickst, startet der browser ebenfalls in der sandbox.
wenn du die kostenlose version nutzt, startest du deinen browser absofort immer über das symbol "sandboxed web browser"
und alle programme die du noch in der sandbox laufen lassen willst mit rechtsklick und dann auf in sandboxie starten klicken.
diese kann man also auch nutzen, um neue programme zu testen.

anmerkung 3:
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du jetzt alles umgesetzt hast.
bitte nur noch im eingeschrenkten konto arbeiten, da das admin konto nur für instalationen gedacht ist.
und, wie gesagt, nur noch in sandboxie surfen, mit klick auf "sandboxed web browser"
ich weis, viel arbeit, bei fragen, stelle sie!

Vielen Dank für die Tipps! Ich werde mich da durcharbeiten!:dankeschoen:
(Die Festplatte ist für den parallelen Aufbau des neuen Systems)

ok, bei rückfragen sagst einfach bescheid.
ich weis das is viel arbeit, aber im endefekt ist alles sehr einfach einzuhalten.
und das updaten der programme is auch in 10 minuten pro woche erledigt, ist also kaum mehr aufwand am ende.