Bundespolizei Trojaner sperrt Rechner
 

Hallo,

eine Bekannte hat mir gerade angerufen und erzählt, daß sie diesen Bundespolizei Trojaner (GVU) hat, der den Desktop sperrt und Geld haben will.

Ich habe mich dann versucht im Internet schlau zu machen und bin bei euch gelandet. Ich habe bei euch einige Lösungswege angeschaut und habe großes Vertrauen daß ihr mir helfen könnt.

Die Bekannte hat den Rechner zu mir gebracht, damit ich mit eurer Hilfe das Ding wieder sauber bekomme.

Die Anleitungen habe ich auch schon durchgelesen. Defogger und OTL habe ich schon mal runtergeladen. Combofix noch nicht.

Meine erste Frage ist, kann ich den infizierten Rechner per LAN in mein Netzwerk lassen (ich glaube lieber nicht) oder soll ich offline erstmal OTL auf dem Desktop laufen lassen?
Kann ich die USB-Sticks bedenkenlos auf dem infizierten Rechner und meinem benutzen, oder hol ich mir auf dem Weg das Chaos auch auf meinen Rechner?

Grüße Tscho

Hallo,

habe hier noch die Log's:

Malwarebytes:

OTL-TXT:

Extras-TXT:

Grüße

Tscho

Hallo, hallo,

kann mir jemand helfen ??? Ich möchte den Rechner gerne wieder sauber bekommen.

Danke !!!

Hallo, wie schaffe ich es, das mir jemand hilft?
Bitte wenigstens um eine Mitteilung wenn ich irgendeine Boardregel verletzt habe.

Bitte erstmal routinemäßig einen neuen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hallo cosinus,
danke für die Antwort, werde es für's nächste mal beachten.

MalwareBytes läuft gerade. Der Rechner ist offline und ich habe den Update der Rules mit mbam-rules.exe gemacht.
Die Posts hier schreibe ich von einem zweiten Rechner der online ist.

Solange noch eine Frage zu dem online Scanner:
Kann ich den infizierten Rechner per LAN in mein Netzwerk lassen (ich glaube lieber nicht)?
Kann ich USB-Sticks bedenkenlos auf dem infizierten Rechner und meinem benutzen, oder hol ich mir auf dem Weg das Chaos auch auf meinen Rechner?

Grüße Tscho

Ich will erstmal die Ergebnisse sehen aber für ESET braucht der Rechner eine Internetverbindung

Hallo cosinus,

vergess die Frage von vorher, bin mit dem Rechner online.

anbei die Logs:

mbam-log-2012-09-16 (16-53-09).txt

mbam-log-2012-09-23 (17-22-34).txt

ESET log.txt

Grüße
Tscho

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen neuen Vollscan machen.

Sorry, das war noch vom offline-scannen.

Jetzt aber:

mbam-log-2012-09-23 (20-57-10).txt

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hallo cosinus,
der Lauf war echt schnell nur ein paar Sekunden, hier das Egebnis:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Hallo cosinus,

hatte etwas Probleme damit.
Habe das erste mal vergessen den Virenscanner (AVG) abzuschalten.
Der hat adwcleaner in quarantäne geschoben.
Das habe ich dann Rückgängig gemacht.
Dann wie von dir beschrieben adwcleaner.exe gestartet und nach Neustart auf dem ganzen Rechner keine adw*.txt gefunden.

Dann habe ich adwcleaner neu runtergeladen und nochmal laufen gelassen.
Nach dem Neustart war die AdwCleaner[S1].txt da:
Seid dem Neustart bekomme ich eine Fehlermeldung
ANIWZCSds.exe Fehler in Anwendung -> ANIWZCS2 Service Launcher hat einen Fehler ermittelt und musste beendet werden.
Da ich nicht weiss, ob das auch damit zu tun hat, anbei die beim Dump erzeugte Datei appcompat.txt:
Gruß
Tscho

Seh ich so keinen Zusammenhang mit dem adwCleaner

Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Zu deinen Fragen:

1.) Ich habe den Eindruck, es geht wieder alles normal und uneingeschränkt.
2.) Es fehlt ein Eintrag unter Alle Programme von Firefly Studios -> Stronghold Crusaders, obwohl die .exe unter c:\Programme da ist.
Es sind noch ein paar andere Einträge (FreeFLV Converter, Quicktime) unter Alle Programme leer oder nicht erreichbar, aber da finde ich auch keine .exe unter c:\Programme.
Ansonsten habe ich das Gefühl es ist alles vorhanden.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Wie gewünscht die OTL.TXT mit obigen Optionen gescannt:

Wer hat dir den Rechner installiert?
FAT32 als Systempartition (Laufwerk C: ) ist ziemlich schlecht, müssen wir jetzt erstmal ändern

Systempartition nach NTFS konvertieren

1. Start, Ausführen, cmd eintippen und ok
   
   
2. Diesen Befehl eintippen und mit der Eingabetaste ausführen => convert %systemdrive% /fs:ntfs
   
   
3. Die aktuelle Bezeichnung der Systempartition (idR ist das C: ) eintippen (siehst Du im Arbeitsplatz - wenn "Lokaler Datenträger" da nur steht hat die Systempartition keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung) - notfalls einen einfachen Namen für diese Partition vergeben im Arbeitsplatz über Rechtsklick => Eigenschaften und diesen dann eintippen bei der Abfrage
   
   
4. Bestätigen, dass das Laufwerk für den exklusiven Zugriff gesperrt werden muss mit J
   
   
5. Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neu starten, geduldig sein, denn das Konvertieren dauertn einen Moment!

Mach wieder ein neues OTL-Log wie o.g. wenn Windows mit der Konvertierung durch ist.

auf NTFS umgestellt und neuen OTL-Log erstellt:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ergebnis aus OTL-Fix:

Ach ja, hab noch was vergessen:
- Kann ein Sicherheitsupdate Windows XP (KB2686509) nicht installieren. Hat das auch mit dem Trojaner zu tun? Wenn nicht, kann ich das jetzt beheben oder soll ich lieber warten, bis du mit mir "fertig" bist?

- Bei Malwarebytes ist der Testzeitraum abgelaufen. Kann ich das Programm deinstallieren?

Bitte keine voreiligen Sachen machen! Auch nichts deinstallieren

Ich möchte erstmal die Bereinigung durchziehen, falls dann noch was an Themen oder Fragen offen sind, werden die beantwortet weil sich dann einiges vorher schon erübrigt

Ich brauch ein neues OTL-Log zur Kontrolle, mach bitte wie schon o.g. ein neues OTL-Log

Ok, habe nix gemacht oder deinstalliert.
Anbei die OTL.TXT die ich wieder mit den benutzerdefinierten Scanoptionen gemacht hab (ich hoffe, das war richtig):

Du hast OTL vorher nicht neu runtergeladen, warum?
Grund ist, dass es Bugs in den Versionen 3.2.70.x gibt, wir sind wieder bei 3.2.69.0 - mach damit bitte ein neues Log wie o.g.

Ok, jetzt mit OTL mit Version 3.2.69.0:

OTL.TXT:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Log nach OTL-Fix:

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Hallo,
anbei der TDSS-Log:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo
habe ComboFix ausgeführt.
Wiederherstellungssoftware wurde downgeloaded und installiert.
Dann hat der Scan angefangen und bei Schritt 2 bin ich kurz vom Bildschirm weg.
Als ich wieder kam hatte der Rechner neu gebootet.
Nach Anmeldung kam die Meldung von Windows, daß das System nach einem schweren Fehler wieder ausgeführt wird, und ob ich den Fahler an Microsoft berichten möchte.
Das hab ich verneint.
Dann hab ich unter LW C: nachgeschaut und keine Combofix.TXT gefunden.
Allerdings gibt es einen Ordner Combofix, der den Arbeitsplatz enthält.

Was soll ich tun?

Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal.

Also Combofix neu geladen. Ausgeführt und diesmal dabei geblieben.

Scan läuft bis Schritt 50 oder so.
Dann findet er eine infected ntdll.dll im system32-Ordner.
Die wird laut Meldung erfolgreich restauriert.

Danach startet der Rechner neu (ganz normal) und dann wieder die Meldung, daß Windows nach einem schwerwiegenden Fehler wieder ausgeführt wird und ob ich das melden will. Wieder verneint und wieder unter C: keine Combofix.txt gefunden.

Was soll ich machen?

Letzter Versuch: starte im abgesicherten Modus mit Netzwerktreibern, lade die combofix.exe wieder neu auf den Desktop runter und starte cf nochmal.

Na endlich, jetzt hat es geklappt.
Start im Abgesicherten Modus ging nicht per F-Taste. Ich muust den Rechner "abwürgen" um dann das Menue zur Auswahl des abgesichterten Modus zu bekommen.

Im abgesicherten Modus dann ComboFix neu runtergeladen und gestartet.
Dann kam die Meldung, dass mein Virenscanner läuft. In der Taskleiste war er aber nicht sichtbar. Also im Taskmanager nachgeschaut und auch da nix gefunden.

In der Verzweiflung habe ich dann halt auf eigenes Risiko trotz Virenscanner Combofix laufen lassen und siehe da, es ist durchgelaufen und nach dem Neustart geht alles wie vorher. Anbei das ComboFix-log: