Guten Tag,
nachdem ich "meinen" Bundestrojaner wieder los geworden bin, wollte ich ein Backup mitn Nero machen. Beim Laden einer "kosternlosen" Variante habe ich mir allerdings lediglich den "qvo6" eingefangen...
Ich schreibe jetzt vom Laptop, da ich mich nicht mehr traue bei dem (befallenen) "Hauptrechner" irgendetwas über einen Browser zu tun!

Dort läuft Kaspersky 2012 (um so erstaunlicher, dass das nicht geblockt wurde!), das System ist ein Windows XP.

Was soll ich jetzt machen? Die angegebene Software mit dem infizierten Rechner runterladen? Doch wohl kaum.

Also, was muss ich jetzt tun?

Vielen Dank für eure Hilfe im Voraus und Gruß
Alu-Paul

Hallo,

Zitat:

nachdem ich "meinen" Bundestrojaner wieder los geworden bin

Wie oder wo bist du ihn denn losgeworden..?

Zitat:

um so erstaunlicher, dass das nicht geblockt wurde!

Das ist in keinster Weise erstaunlich. Wie sollte denn solche Antiviren-Software alles erkennen und blocken können?!

Zitat:

Was soll ich jetzt machen? Die angegebene Software mit dem infizierten Rechner runterladen? Doch wohl kaum.

Das sollte eigentlich kein Problem sein. Du kannst aber die folgenden Tools auch auf deinem Laptop herunterladen und per USB-Stick auf den infizierten Rechner bringen.


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Gmer
• Logs von OTL

Guten Morgen!
Zur Frage 1): Ich bin den Bundestrojaner "losgeworden" durchn eine "Profi-Firma"... hat auch 3-stellig gekostet! Als ich den Rechner dorthin gab, kannte ich dieses Forum noch nicht!

Nun die gewünschten Anhänge (hoffentlich klappt das...):

Hallo,

Zitat:

hat auch 3-stellig gekostet!

Und das waren sie nicht wert..
(Die Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)


Schritt 1

• Gehe zu Start --> Systemsteuerung und öffne Software.
• Suche und deinstalliere dort folgenden Eintrag:
  • Java(TM) 6 Update 35
• Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

Schritt 2

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

reg query "HKLM\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0" /c
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}" /s /c
         

• Schliesse bitte alle anderen Programme.
• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von OTL

Hallo,
beim Versuch "Java(TM) 6 Update 35" zu deinstallieren kommt die Fehlermeldung: "Schwerwiegender Fehler bei der Installation"! Soll ich jetzt dort auf "OK" drücken?

Gruß Alu-Paul

Ja, drück auf OK.
Und wenn die Deinstallation nicht klappt, mach einfach mit Schritt 2 weiter.

Deinstallation hat nicht geklappt!

Anbei die gewünschten Anhänge. Ich habe deine letzte AussageDie Logfiles bitte nicht anhängen (das erschwert mir das Auswerten massiv), sondern deren Inhalt direkt innerhalb von Codetags einfügen:

Code: Alles auswählenAufklappen

ATTFilter

Inhalt Logfile
         

.)

nicht wirklich verstanden. Was soll ich machen und was soll ich nicht machen? Mir dreht der Kopf!

Gruß
Alu-Paul

Und jetzt ist für mich erst einmal die Mätresse (äh... Matratze) drann...

Gruß Alu-Paul

Ja, bei mir auch.

Kurze Zwischenfrage, bevor wir dann weitermachen: Ist im Moment noch irgendwo etwas von diesem "qvo6" zu sehen oder nicht?

Coole Frage! Habe gerade mal nachgesehen: IE startet völlig normal, Firefox hat den Bösewicht noch!

Gruß
Alu-Paul

P.S.: Wie geht es weiter?

Lade SystemLook (von jpshortstuff) herunter und speichere das Tool auf dem Desktop.

• Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
  Vista und Win7 User: Rechtsklick und "als Administrator starten".
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  :filefind
  *qvo6*
  
  :folderfind
  *qvo6*
  
  :regfind
  qvo6
           

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen. Poste diese in deinen Thread.
• Das Log-File wird auch auf dem Desktop als SystemLook.txt gespeichert.

Guten Tag,
das Gewünschte anbei. Jetzt habe ich auch verstanden, was du mit der Äußerung über die Logfiles meintest... So recht?

Code: Alles auswählenAufklappen

ATTFilter

 SystemLook 30.07.11 by jpshortstuff
Log created at 12:48 on 20/04/2013 by User
Administrator - Elevation successful

========== filefind ==========

Searching for "*qvo6*"
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\qvo6.exe	--a---- 105040 bytes	[13:28 19/02/2013]	[13:28 19/02/2013] 2ABCD4B961A059517A46322B2EC3FB6E
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\615740aeb16670034e62aed0449c4dfd\qvo6.exe	--a---- 105040 bytes	[13:28 19/02/2013]	[13:28 19/02/2013] 2ABCD4B961A059517A46322B2EC3FB6E

========== folderfind ==========

Searching for "*qvo6*"
No folders found.

========== regfind ==========

Searching for "qvo6"
[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="qvo6"
[HKEY_USERS\S-1-5-21-1844237615-2025429265-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="qvo6"

-= EOF =-
         

Gruß
Alu-Paul

Genau so.
Wo siehst du denn diese qvo6 noch genau im Firefox?

OHHH, Mist! Entschuldigung! War noch als Startseite festgelegt. Als ich das "qvo6" sah, habe ich schnell wieder zugemacht. Jetzt habe ich noch einmal nachgesehen, die Startseite auf "leer" gesetzt. Jetzt ist auch hier nichts mehr vom qvo6 zu sehen!

Gruß
Alu-Paul
P.S.: und nun?

Gut, dann machen wir noch eine Kontrolle:


Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2013.04.17 10:34:47 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\skype.ini
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 10.21.2)
O16 - DPF: {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 1.6.0_35)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab (Java Plug-in 10.21.2)
IE - HKU\S-1-5-21-1844237615-2025429265-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 50.131.19.231:1674

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\CLASS\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0004]
"MasterIdDataCheckSum"=-

:commands
[emptytemp]
         

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Downloade dir bitte Malwarebytes Anti-Malware .

• Installiere das Programm in den vorgegebenen Pfad.
• Starte nun Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

• Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
• Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
  (Danach nicht vergessen, sie wieder einzuschalten.)
• Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
• Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
• Warte bis die Komponenten heruntergeladen sind.
• Setze den Haken bei Scan archives.
• Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
• Drücke dann auf Start.
• Die Signaturen werden heruntergeladen und der Scan startet automatisch.
  Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
• Falls nach Beendigung des Scans Funde angezeigt werden, dann:
  • Drücke auf List of found threats.
  • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
  • Drücke danach auf << Back.
• Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Downloade dir bitte SecurityCheck (Link 2).

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Schritt 5

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

reg query "HKLM\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0" /c
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}" /s /c
         

• Schliesse bitte alle anderen Programme.
• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von MBAM
• Log von ESET
• Log von SecurityCheck
• Log von OTL