Trojaner-Board - Bundespolizei-Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bundespolizei-Trojaner (https://www.trojaner-board.de/106091-bundespolizei-trojaner.html)

Bundespolizei-Trojaner

Liebe Leser,
heute Nacht bin ich stolzer Besitzer dieses Trojaners geworden (Ukash blabla... näheres auch hier http://www.trojaner-board.de/106085-...tml#post732628 ) und habe mich mit Informationen, die ich hier im Forum gefunden habe, daran gemacht, dem Burschen den Garaus zu machen.
Ich habe mir das hier oft empfohlene MAM besorgt und gescannt. Erst QuickScan, dann Vollständig und dann noch den TDSS genutzt. Nur beim QuickScan wurde etwas gefunden und entfernt. Hier das Log:

Zitat:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8349

Windows 6.1.7601 Service Pack 1 (Safe Mode)
Internet Explorer 9.0.8112.16421

11.12.2011 00:57:59
mbam-log-2011-12-11 (00-57-51).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 183465
Laufzeit: 2 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
c:\Users\Benny\AppData\Roaming\microsoft\Windows\start menu\Programs\AntiSpy (Rogue.Antispy) -> No action taken.

Infizierte Dateien:
c:\Users\Benny\AppData\Local\Temp\0.1483570871797194.exe (Exploit.Drop.2) -> No action taken.
c:\Users\Benny\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\0.1483570871797194.exe.lnk (Backdoor.Agent) -> No action taken.
c:\Users\Benny\AppData\Roaming\microsoft\Windows\start menu\Programs\AntiSpy\bedienungsanleitung.lnk (Rogue.Antispy) -> No action taken.
c:\Users\Benny\AppData\Roaming\microsoft\Windows\start menu\Programs\AntiSpy\deinstallieren.lnk (Rogue.Antispy) -> No action taken.
c:\Users\Benny\AppData\Roaming\microsoft\Windows\start menu\Programs\AntiSpy\Homepage.lnk (Rogue.Antispy) -> No action taken.
c:\Users\Benny\AppData\Roaming\microsoft\Windows\start menu\Programs\AntiSpy\xp-antispy.lnk (Rogue.Antispy) -> No action taken.

Alle Dateien sind in der Quarantäne von MAM. Hat noch jemand irgendwelche Hinweise für mich, bevor ich das System neu installiere? Sollte man noch etwas anderes machen?

Hi,

wenn Du installierst, auch die Festplatte neu formatieren... Kannst prüfen ob eine versteckte, extrem kleine Boot-Partition drauf ist (so ca. 8-10MB)....

chris

Ich habe Daten auf der externen Platte, welche ich gerne sicher würde. Die Gefahr, den Trojaner dabei auch "zu sichern", ist aber wohl zu groß, oder? Ich habe zwar ein Backup der externen Platte, aber es ist ca. 2 Wochen alt.

Unter "Eigenschaften" sehe ich keine Partion, mit einer Partionssoftware (Easeus) sehe ich auch keine. Hast du einen Tipp, wie man eine solche Partion sicher findet?

Hi,

wenn Du keine siehst ist das OK; Die eigentliche Bootplatte muß als solche gekennzeichnet sein (Gegenprobe)...

Chris

Ich habe noch einmal mit Paragon geschaut und auch diese Software zeigt keine weiteren Partionen. Ich gehe davon aus, dass versteckte Partionen bei den genannten Programmen angezeigt werden, zumindests habe ich keine Option gefunden, unter der man nach versteckten Partionen hätte suchen können. Unter Paragon wird der Datenträger an sich angezeigt und darunter die Partionen. Um auszuschließen, dass es eventuell eine versteckte Partionen gibt, habe ich die Größen vergleichen. Da gibt es einen Unterschied von ca. 3 MB, das ist doch aber sicherlich normal.

Fazit: Beide Festplatten (sprich Bootsystem und externe Platte) haben offensichtlich keine Partionen.

Ich würde jetzt die Bootplatte formatieren, die externe Platte nicht. Dann das System neu aufspielen. Ist dann davon auszugehen, dass ich wieder auf der sicheren Seite bin?