Trojaner-Board - GVU Trojaner mit Webcam (64 bit System, Windows 7)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GVU Trojaner mit Webcam (64 bit System, Windows 7) (https://www.trojaner-board.de/118206-gvu-trojaner-webcam-64-bit-system-windows-7-a.html)

GVU Trojaner mit Webcam (64 bit System, Windows 7)

Hallo liebe Leute,
ich habe einen Windows 7 laptop mit 4 accounts (meiner, meine Frau, meine Kinder, Administrator = User1).
Beim Öffnen meines Accounts konnte ich zunächst Programme ausführen. Dann kam ein Screen mit "GVU" und "Bundesministerium" Logos. Offensichtlich der o.g. Trojaner. Nachdem ich hier die Anleitungen gelesen habe, habe ich folgende Schritte (im Administrator-Account) ausgeführt und bitte Euch nun um weitere Handlungsempfehlungen. Jetzt schon einmal ein herzliches Dankeschön für Eure Hilfsbereitschaft.

1. Scan mit Malwarebytes Anti-Malware ausgeführt - einmal vollständig, einmal Quickscan. Das Ergebnis war jeweils gleich.
Ein Screenshot und das Logfile sind im Anhang
mbam-log-2012-06-29 (17-27-16).zip

Ich kam jedoch nicht in das Quarantäneverzeichnis von Malwarebytes und musste dann jedes Mal auf „Verlassen“ klicken. Die infizierten Dateien sind also noch an ihrem Platz. Auf das angegebene Verzeichnis habe ich keinen Zugriff, es ist gesperrt.

2. Defogger ausgeführt („Disable“ + „OK“, läuft nun im Hintergrund)

3. OTL.exe auf Desktop gespeichert und Quick Scan (alle Benutzer) durchgeführt.
Die erzeugten Textfiles sind im Anhang OTL-Textfiles.zip.

Ich habe bisher keine weiteren Schritte durchgeführt. Als ich vorhin in meinen befallenen Account gewechselt habe, erschien der Screen von GVU noch kurz, dann verschwand er und ich hatte nur einen leeren Windowsdesktop (ohne Explorerleiste, ohne Icons). Über den Task-Manager habe ich diesen Account dann geschlossen.

Über Eure Empfehlungen zu weiter erforderlichen Schritten freue ich mich.

Viele Grüße,
Euer "Halbwissender" DAU

Ergänzung:
Soeben habe ich noch einmal zwischen den Accounts gewechselt: In den Accounts schlägt Malware-Bytes nun sofort an. Die Meldung habe ich angehängt (Malwarebytes-Block.jpg). Nun konnte ich dort auch auf "Quarantäne" klicken. Die übrigen Programme funktionieren dann, das Fenster von GVU erscheint nicht mehr. ... Kann aber so natürlich keine Dauerlösung sein. Ich will das "Ding" runter haben :-).

hi
also kannst du den betroffenen user im moment starten, oder ist da nen leerer desktop?

Nachdem Malware und Antivir (Avira) den Schädling erkennen, bekomme ich wieder den normalen Desktop und habe auch wieder ZUgriffsrechte auf den Ablageort der Schädlings-Exe - bei allen Accounts (auch dem ursprünglich betroffenen).
Ich habe aber noch nichts gelöscht.

Hi, noch eine Info:
Die gefundene „er_00_0_I.exe“ wurde von Antivir als Programm „TR/Drop.Injector.fgfc.1“ bezeichnet.
LG

Noch eine Ergänzung: Ich ´vermute, dass sich die MAlware gestern (28.06.)eingenistet hat, denn erst nach dem Rechnerneustart heute morgen (29.06.) hatte ich das Problem. Hierzu ist mir die folgende Datein in C:\Programdata aufgefallen: "l_0_00_re.pad", die wohl erst gestern erstellt wurde und deren Funktion ich nicht "ergoogeln" kann.
Ist vielleicht aber jetzt unnötige Panik.
Warte jetzt definitiv erst mal Eure Meinung ab.
Viele Grüße

hi, kannst du mir mal folgendes hochladen:
hi
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
wenn fertig kurz bescheid geben
den malwarebytes fund löschen.

Ich habe die Datei hochgeladen, zusätzlich noch die Datei "deployment.properties" aus dem übergeordenten Ordner "Deployment".
Mir fällt die Uhrzeit vieler Dateien unter dem Ordner "cache" auf: 17.40 Uhr am 28.06.. Diese Zeit taucht auch bei der Datei in C:\Programdata "l_0_00_re.pad" auf. Diese ergibt rückwärts den Namen der identifizierten Malware "er_00_0_i.exe". Ich habe die Datei auch mit hochgeladen (als Zip).

Werde nun mit Malwarebytes den Fund löschen.

DANKE!
DANKE!

Ergebnis Malware: siehe Screenshot
Dann habe ich mir das Antivir log angeschaut:
"Die identifizierte Datei konnte nicht in Quarantäne verschoben werden"
HIer der Bericht:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 29. Juni 2012 21:06

Es wird nach 3816284 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : USER1-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 09.05.2012 07:38:35
AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 07:38:35
LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 07:38:35
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 07:38:35
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 18:57:15
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 18:53:39
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:51:14
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 18:11:41
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 15:35:41
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 15:35:41
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 15:35:41
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 15:35:41
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 15:35:41
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 15:35:41
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 15:35:41
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 15:35:41
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 15:35:41
VBASE014.VDF : 7.11.34.125 2048 Bytes 29.06.2012 15:35:41
VBASE015.VDF : 7.11.34.126 2048 Bytes 29.06.2012 15:35:41
VBASE016.VDF : 7.11.34.127 2048 Bytes 29.06.2012 15:35:41
VBASE017.VDF : 7.11.34.128 2048 Bytes 29.06.2012 15:35:41
VBASE018.VDF : 7.11.34.129 2048 Bytes 29.06.2012 15:35:41
VBASE019.VDF : 7.11.34.130 2048 Bytes 29.06.2012 15:35:41
VBASE020.VDF : 7.11.34.131 2048 Bytes 29.06.2012 15:35:41
VBASE021.VDF : 7.11.34.132 2048 Bytes 29.06.2012 15:35:41
VBASE022.VDF : 7.11.34.133 2048 Bytes 29.06.2012 15:35:41
VBASE023.VDF : 7.11.34.134 2048 Bytes 29.06.2012 15:35:41
VBASE024.VDF : 7.11.34.135 2048 Bytes 29.06.2012 15:35:41
VBASE025.VDF : 7.11.34.136 2048 Bytes 29.06.2012 15:35:41
VBASE026.VDF : 7.11.34.137 2048 Bytes 29.06.2012 15:35:41
VBASE027.VDF : 7.11.34.138 2048 Bytes 29.06.2012 15:35:41
VBASE028.VDF : 7.11.34.139 2048 Bytes 29.06.2012 15:35:41
VBASE029.VDF : 7.11.34.140 2048 Bytes 29.06.2012 15:35:41
VBASE030.VDF : 7.11.34.141 2048 Bytes 29.06.2012 15:35:41
VBASE031.VDF : 7.11.34.148 13824 Bytes 29.06.2012 15:35:41
Engineversion : 8.2.10.102
AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 19:11:33
AESCRIPT.DLL : 8.1.4.28 455035 Bytes 21.06.2012 18:22:23
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 19:02:23
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 17:20:32
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.16.22 807288 Bytes 21.06.2012 18:22:15
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 28.06.2012 15:35:38
AEHEUR.DLL : 8.1.4.58 4993399 Bytes 28.06.2012 15:35:38
AEHELP.DLL : 8.1.23.2 258422 Bytes 28.06.2012 15:35:36
AEGEN.DLL : 8.1.5.30 422261 Bytes 14.06.2012 17:18:40
AEEXP.DLL : 8.1.0.58 82292 Bytes 28.06.2012 15:35:38
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 18:23:45
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 07:38:34
AVPREF.DLL : 12.3.0.15 51920 Bytes 09.05.2012 07:38:35
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 07:38:35
AVARKT.DLL : 12.3.0.15 211408 Bytes 09.05.2012 07:38:34
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 07:38:34
SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 07:38:35
AVSMTP.DLL : 12.3.0.15 63440 Bytes 09.05.2012 07:38:35
NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 07:38:35
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 09.05.2012 07:38:34
RCTEXT.DLL : 12.3.0.15 98512 Bytes 09.05.2012 07:38:34

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4fec85c7\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660,
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 29. Juni 2012 21:06

Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Users\Dirk\AppData\Local\Temp\er_00_0_l.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Injector.fgfc.1

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OTL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Defogger.exe' - '1' Modul(e) wurden durchsucht
Modul ist OK -> <C:\Users\User1\Downloads\Defogger.exe>
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Die Datei existiert nicht!
[WARNUNG] Der Prozess <Defogger.exe> konnte nicht beendet werden. Mögliche Ursache: Systemfehler [87]: Falscher Parameter.
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarMoneyOnlineUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\***\AppData\Local\Temp\er_00_0_l.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Injector.fgfc.1
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3349264492-686821453-4030865468-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3349264492-686821453-4030865468-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Programs> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3349264492-686821453-4030865468-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3349264492-686821453-4030865468-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Start Menu> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3349264492-686821453-4030865468-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3349264492-686821453-4030865468-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup> wurde erfolgreich repariert.

Ende des Suchlaufs: Freitag, 29. Juni 2012 21:22
Benötigte Zeit: 15:37 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

16 Verzeichnisse wurden überprüft
11083 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
11081 Dateien ohne Befall
101 Archive wurden durchsucht
1 Warnungen
2 Hinweise
17853 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Hallo und Entschuldigung: DIe Datei war bereits in Malwarebytes Quarantäne und daher gesperrt. Ich konnte sie über Malwarebytes nun löschen (siehe Screenshot).
Der neue Antivir Suchlauf läuft noch (auch dort war die Datei in Quarantäne, habe sie auch dort gelöscht).

hi, danke hab die infektionsquelle gefunden denke ich
poste dann das avira log bitte

Antivir läuft immer noch, ich mache einen kompletten suchlauf. Bis jetzt habe ich 68 (!!) Funde, alles in den riesigen outlook.pst dateien vermute ich. Ich poste das komplette log morgen. Danke schon mal für deinen Einsatz!

Hallo,
der vollständige AV Scan ist jetzt über Nacht durchgelaufen und ich bin ziemlich schockiert.
Antivir hat einige Schädlinge in Isolierhaft genommen (habe sie noch nicht gelöscht). Einer ist evtl. noch aktiv (vielleicht hat der das Türchen für den Rest geöffnet?):
D:\+++\Outlook_+++\Outlook.pst
[FUND] Ist das Trojanische Pferd TR/Cridex.EB.5
[WARNUNG] Die Datei wurde ignoriert.
Der vollständige Scan ist im Anhang. +++ und *** sind zwei verschiedene Accounts (kein Administrator).

hatt das nen grund das die pst auf d: liegt, ist das ne sicherung oder die original outlook datei
hast du schon mal den spam ordner geleert, alle unnötigen mails gelöscht + den papierkorb?
dann mal komprimieren:
Komprimieren von PST- und OST-Dateien in Outlook, um gelöschte Elemente zu entfernen und Speicherplatz freizugeben

Hallo,
ich versuche, "sicherungswürdige" User-Daten alle auf D unterzubringen und C nur für Anwendungen zu nutzen.
Die Schritte "Leeren der gelöschten Mails und der Junk-Mails" sowie "Komprimieren" habe ich ausgeführt. Die Datei habe ich dann noch einmal von Avira checken lassen: Sie ist jetzt sauber (log im Anhang).

hi, solange d: eine eigene festplatte ist, bringt das was, wenn d: nur ne partition ist, ists sinnlos, was machst du wenn die festplatte mal kaputt ist?
lade den CCleaner standard:
CCleaner Download - CCleaner 3.20.1750
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hi, ist natürlich nur eine Partitionsaufteilung mit C und D. Du hast natülich Recht, macht bei Crash der Festplatte keinen Unterschied. Ich werde das aber trotzdem aus Gründen der Übersichtlichkeit so beibehalten.
Die Liste der installierten Programme habe ich beigefügt.

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Google Earth
Java
Download der kostenlosen Java-Software
downloade java jre, instalieren

deinstaliere:
McAfee
Winamp: beide
öffne ccleaner analysieren, ccleaner starten, pc neustarten testen wie der pc läuft