GVU Bundespolizei Trojaner
 

Hallo, ich habe mir heute Nacht den GVU Bundespolizei Trojaner eingefangen. Der Abgesicherte Modus geht nicht, dort tritt die Bildschirmsperre auch ein. Das System auf einen Zeitpunkt vor der Infizierung zurücksetzen habe ich probiert, geht auch nicht, es tritt trotzdem auf.
Habe von einem Trick in einem Kommentar eines Youtube Videos gelesen, und dieser funktioniert auch. So kann ich jetzt auf mein Notebook wieder voll zugreifen. Beim Starten sieht man kurz den Desktop und zwei Fenster mit Befehlsausführungen poppen auf. Habe dann direkt "strg alt entf" gedrückt und dann auf "abmelden". Mit dem richtigen timing danach schnell auf "abbrechen", bevor er sich wirklich abmeldet. Wenn man den richtigen Zeitpunkt erwischt hat man wieder vollen Zugriff weil sich der Trojaner wohl vorher abmeldet. So hab ich meine Daten extern gesichert und die Schritte aus der Checkliste ausgeführt. Erstaunlich ist, dass nach einer gewissen Zeit der Benutzung der Mauszeiger springt und sich Browser und manchmal auch was anderes öffnen. Das ist wohl ein Zeichen der Hintergrundaktivität des Trojaners.
Beim Starten wenn man den Desktop kurz sieht kam auch "einige Male, nicht jedes Mal" eine Fehlermeldung von OpenOffice (hab den genauen Wortlaut vergessen), vielleicht ist das ein Zeichen, dass sich dort der Trojaner verkrochen hat?
Ich hoffe mir kann jemand helfen, brauch das Notebook schnell wieder regulär für meine Bachelorarbeit :/
Vielen Dank schon einmal im Voraus.

sehe es mir an

Hi,
solche komischen youtubetipps oder "Nutze die Systemwiederherstellung" sollte man gleich vergessen und niemehr nutzen
1. bekämpfst du damit vllt das Symtom, weitere Malware kann aber noch aktiv sein.
2. kannst du damit der Funktionsweise anderer Programme schaden, zb avira, bei denen es dann ein Problem geben kann, da es dann nicht mehr läuft.


otl fix

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Soweit hat alles funktioniert. Der Upload war auch erfolgreich.
Nach dem Neustart kam nicht mehr der weiße Bildschirm, jedoch wieder diese seltsame Nachricht von OpenOffice: Eine andere Instanz von OpenOffice.org greift auf ihre persönlichen Einstellungen zu oder hat diese nicht wieder freigegeben.
Der gleichzeitige Zugriff kann zu Inkonsistenzen in ihren persönlichen Einstellungen führen. Bevor sie fortfahren sollten sie sicher stellen, dass OpenOffice.org auf dem Host "vom Benutzer" beendet wird. Möchten sie wirklich fortfahren? (JA) (NEIN)

Ansonsten bin ich total begeistert von der schnellen Unterstützung, vielen vielen Dank.

Hi
du hast dir zusätzlich noch n Backdoor geholt, also später, passwörter ändrn
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Danke

Hi,
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Während des Ausführens hat sich der Trojaner wieder gezuckt und Werbung im Browser geladen bzw ist die Maus wieder ein wenig durchgedreht und hat sich bewegt. Ich habe während des Vorgangs absolut nichts getan.
Hoffe der Combofix Durchlauf hat trotzdem seine Wirkung erzielt.

Hi,
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hey,
so endlich ist es durchgelaufen und ich habe die Dateien entfernt. Ich musste einen Neustart machen und das OpenOffice Fenster ist wieder aufgepoppt, wenn das eine hilfreiche Information ist.

Dabei hab ich vergessen anzumerken, dass ständig jucheck.exe von oracle america ein JA haben möchte bei der Ausführung. Habe immer nein geklickt. Jetzt wo ich hier bin wollte ich fragen ob ich auch auf JA klicken kann, weil es wirklich nur ein Java Update Checker ist? Oder hat es was mit der andere Sache zutun? Danke.

hi,
Frage, woher stammt diese Version:
Photoshop\Photoshop CS3\Files\asneu.dll

Achso und die gleiche Frage habe ich bezüglich des Sicherheitshinweisfensters im Internet Explorer, das ständig auftaucht.

Hey, das kann ich leider nicht beantworten mit der Datei kA :/

hi
welches hinweisfenster im Browser?

lade den CCleaner standard:
http://filepony.de/download-ccleaner/
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Über sichere und unsichere Verbindungen auf unterschiedlichen Seiten. Aber das ist wohl nur ein IE Ding, da ich ihn selten benutze.

Ich lade mir jetzt den CCleaner und poste gleich das Ergebnis

aso. da müsste es doch einen haken geben, meldung nicht anzeigen oder ähnlichb.