Hallo an die Trojaner-Board-Forums-Helfer,

hab mir (bzw. meine Freundin wars) auf dem Laptop irgendwie den Bundestrojaner eingefangen.
Jetzt hab ich gegoogelt und da war der Ratschlag Windows neu zu installieren, da kann mir hier hoffentlich jemand mit nicht ganz so radikalen Mitteln weiterhelfen.

Vorab befallen ist nur der Standardnutzer-Account unter Win7, d.h. darunter kann ich jetzt gar nichts mehr machen es erscheint gleich das Bundespolizei-Bild und Taskmanager und Taskleiste sind deaktivert / gesperrt. Der Admin-Account ist nicht betroffen (scheint zumindest so), damit kann ich hier zum Glück ins Forum!

Mit Avira AntiVir konnte ich gestern schon einiges (unter dem Standardnutzer-Account) entfernen und dachte ich wäre schon über Berg. Anti-Malware hab ich als admin mehrfach laufen lassen, aber da wurde leider gar nichts gefunden.
Heute kam dann das Bundestrojaner-Bild...

Auszug aus dem Logfile von gestern:
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3H6PIA71\users_root_file_file[1].exe
[FUND] Ist das Trojanische Pferd TR/Gendal.KD.346085
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZN0CMJJQ\readme[1].exe
[FUND] Ist das Trojanische Pferd TR/Ransom.EY.8
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\a317d42-7377d9be
[0] Archivtyp: ZIP
--> mail/MailAgent.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AT
--> mail/VirtualTable.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR

Heute konnte ich noch unterm admin folgendes finden und entfernt/löschen:

C:\Users\***\AppData\Local\Mozilla\SeaMonkey\Profiles\tf4hxibc.default\Cache\4\0A\21F06d01
[0] Archivtyp: PDF
--> pdf_form_0.avp
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.zak

C:\Users\***\AppData\Local\Mozilla\SeaMonkey\Profiles\tf4hxibc.default\Cache\D\36\2F4FEd01
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Agent.ghi

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\5416cdcc-1e6bf8a4
[0] Archivtyp: ZIP
--> mail/MailAgent.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AT
--> mail/VirtualTable.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR

Ja gut äh wie kann ich das Teil findet und entfernen?

Zitat:

Anti-Malware hab ich als admin mehrfach laufen lassen, aber da wurde leider gar nichts gefunden.

Bitte trotzdem alle Logs davon posten

Anbei wie gewünscht die Logfiles von Anti-malware (ohne Fund) und Antivir (mit diversen Funden), ich hoffe es hilft etwas weiter.
Antivir hat vorhin automatisch (ohne extra den Suchlauf zu starten) die mahmud.exe gefunden, welche wohl dem Bundestrojaner zu zuordnen ist.

Da sich der Bundestrojaner unterm Standard-Nutzer-Account gleich zu Beginn von selbst gestartet hat, wie bekomme ich den da raus?

Wenn ich mich als Admin bei Windows anmelde kann ich die Registry-Einträge vom Standard-Nutzer nicht sehen, da current-user der Logik zu Folge dann die vom Admin sein müssten und die sind okay.

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Boah der ESET-Scan hat knapp 2 Stunden gedauert, hat aber zumindestens was gefunden

Ist ein Fehlalarm.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Wirklich Fehlalarm? Denn seit sich der Bundestrojaner auf dem Rechner ausgebreitet hat, bekomme ich beim Samsung Wartungscenter nämlich auch eine Fehlermeldung dass die Sicherung nicht korrekt fertig gestellt werden konnte.

Anbei noch die OTL.txt als zip, war leider um ca. 20 kb zu groß

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
[2010/12/25 00:37:35 | 000,131,368 | ---- | C] () -- C:\ProgramData\FullRemove.exe
[2010/08/04 04:27:22 | 000,311,296 | ---- | C] () -- C:\windows\SysWow64\Rezip.exe
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:268F887D
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:2430E4FC
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:8530A643
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Merci nochmal für deine gute und schnelle Unterstützung
Soweit wie ich es aus dem OTL-File erkennen kann, müsste es sauber sein.
Oder fällt dir noch was auf?
Denke ich werde mich jetzt mal wieder trauen unter dem Standard-User Account anmelden und abchecken ob alles wieder funzt

Läuft alles wieder einwandfrei auch beim Standard-User, also nochmal ein herzliches Dankeschön für deine Hilfe cosinus

Hab gestern noch jeweils einmal mal Anti-Malware und Anti-Vir durchlaufen lassen ohne Befund. Danach hab ich den Anti-Vir deinstalliert, da ich jetzt auf G-DATA InternetSecurity 2012 umgestiegen bin.

Siehe da, bei der Systemüberprüfung mit G-DATA sind nochmal zwei Trojaner im Seamonkey Browser-Cache aufgetaucht
Werde jetzt sicherheitshalber den Browser-Cache mal leeren/löschen sofern möglich, dürfte i.d. Regel ja kein Problem sein bzw. machen, oder hast du noch einen anderen Tipp auf Lager?

Zitat:

da ich jetzt auf G-DATA InternetSecurity 2012 umgestiegen bin.

Warum nur ne Suite
Die Dinger sind fette und idR kontraproduktive Systembremsen. Ein reiner Virenscanner plus Windows-Firewall ist da deutlich beser.


Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Wie ich schon im ersten Post geschrieben habe nutze ich den Laptop nicht selbst, deswegen habe ich bewusst auf eine Suite zurück gegriffen.
Da dies für mich einige wesentliche Vorteile bringt, aber nur wenn man als User für Malwareprogramme nicht so wirklich sensibel ist, sonst bin ich da deiner meiner das ein Antiviren-Programm in der Regel ausreicht:
- Firewall ist etwas "schärfer" als die Windows hauseigene
- Emails werden mit gescannt
- Zusätzlich noch ein Webschutz der z.B. auch übern Messenger wacht

Antivir hatte zwar auch immer was gefunden, aber leider erst immer nach dem Befall und da läuft lieber das System etwas langsamer was eh nicht auffallen dürfte

Was für ein Antiviren-Programm nutzt du denn?
Gibts deiner Meinung nach Unterschiede zwischen den Free und kostenpflichtigen Versionen? z.B. Free-AV und Antivir-Premium (ohne Suite)?

Unten anbei noch das Logfile vom tdssskiller, wobei der aber nichts gefunden hatte bis auf einen nicht zertifizierten USB-Modemtreiber, welcher vermutlich noch ein Relikt aus dem Urlaub ist wo wir einen GSM-USB-Stick zum laufen bekommen wollten, ging aber leider nicht da es fürs 64-bit keine Treiber gab.

Achso hätte ich fast vergessen, sollte ich denn tdsskiller auch mal unterm Standard-User, welcher ursprünglich auch befallen war, laufen lassen oder checkt der tdsskiller das auch vom admin-Benutzer aus?

Zitat:

deswegen habe ich bewusst auf eine Suite zurück gegriffen.

Und? Deswegen wird sie nicht sinnvoller.

Zitat:

- Firewall ist etwas "schärfer" als die Windows hauseigene

Die in Suites enthaltenen Firewalls sind idR kontraproduktiv, hier mal lesen => Editorial | c't

Zitat:

- Emails werden mit gescannt

Naja wirklich wichtig ist das nicht. Und auch kein Garant dafür, dass jeder schädliche Anhang erkannt wird. Außerdem bieten schon fast alle Freemailprovider E-Mail-Scanning an, ist imho ziemlich überflüssig das auch nochmal auf dem heimischen Rechner machen zu müssen.

Zitat:

- Zusätzlich noch ein Webschutz der z.B. auch übern Messenger wacht

Wer es braucht.
Sinnvolle Konfiguration, ständiges Aktuellhalten der verwendeten Software, Nutzen eingeschränkter Rechter find ich da deutlich sinnvoller und dann ist so ein von Featuritis vollgestopftes Softwareprodukt arbeitslos.

Zitat:

Was für ein Antiviren-Programm nutzt du denn?

Unter Windows maximal Malwarebytes. Meinem Vater hab ich auf seinem Win7-Notebook MSE installiert, aber er berichtete mir gestern, dass er den "Quatsch" eigentlich nicht braucht, er sei mit Malwarebytes allein hochzufrieden.
Unter Ubuntu hab ich logischerweise keinen Virenscanner, warum auch.

Zitat:

Gibts deiner Meinung nach Unterschiede zwischen den Free und kostenpflichtigen Versionen? z.B. Free-AV und Antivir-Premium (ohne Suite)?

Sicher gibt es da Unterschiede, aber als Privatperson ist ein Bezahlversion nicht wirklich nötig.




Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

War da eigentlich bisher genau deiner Ansicht,
aber wenn trotz Einschränkung der Nutzerrechte als Win-Standard-User (Software Aktualisieren ist für mich selbstverständlich!) sich mal wieder Malware einschleicht, wie jetzt der Bundestrojaner, probier ich jetzt diese Variante.
Solange es funktioniert, d.h. Malware vor der Infektion/Ausbreitung gefunden wird, ist es mir die paar Euros wert und wer es nicht selbst mal ausprobiert (c't ?) kann es meines Erachtens auch nicht richtig Beurteilen.
Außerdem ist die ganze Thematik schwer abhängig vom Nutzerverhalten und wenn man dies nur bedingt beeinflussen kann muss man sich halt was anderes einfallen lassen

Zu guter letzt im Anhang noch das Combofix-Log, dürfte sauber sein ?!?

Zitat:

sich mal wieder Malware einschleicht, wie jetzt der Bundestrojaner

Und da soll ein Virenscanner wie genau vor schützen? Wenn da ein geheimes Abkommen ist wird wohl kein Scanner dieses Bundestrojaner irgendwie erkennen können. Und zu hoffen, dass der Scanner den erkennt, ist blauäugig.

Zitat:

ist es mir die paar Euros wert und wer es nicht selbst mal ausprobiert (c't ?) kann es meines Erachtens auch nicht richtig Beurteilen.

Die Suites haben auf ganzer Linie versagt, das hat nichts mir dem Urteil einer Person zu tun, die so eine Software nicht nutzt oder nichtmal nutzen will. Diese Software hat einfach keinen echten Mehrwert, der Einsatz ist doch noch fast nur ein verzeifelter Versuch Sicherheit aus Pappschachteln zu bekommen


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Filelook::
c:\windows\SysWow64\sig.bin

File::
c:\windows\SysWOW64\Rezip.exe

Driver::
rezip
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!