GVU Bundespolizei Trojaner
 

Hallo, ich habe mir heute Nacht den GVU Bundespolizei Trojaner eingefangen. Der Abgesicherte Modus geht nicht, dort tritt die Bildschirmsperre auch ein. Das System auf einen Zeitpunkt vor der Infizierung zurücksetzen habe ich probiert, geht auch nicht, es tritt trotzdem auf.
Habe von einem Trick in einem Kommentar eines Youtube Videos gelesen, und dieser funktioniert auch. So kann ich jetzt auf mein Notebook wieder voll zugreifen. Beim Starten sieht man kurz den Desktop und zwei Fenster mit Befehlsausführungen poppen auf. Habe dann direkt "strg alt entf" gedrückt und dann auf "abmelden". Mit dem richtigen timing danach schnell auf "abbrechen", bevor er sich wirklich abmeldet. Wenn man den richtigen Zeitpunkt erwischt hat man wieder vollen Zugriff weil sich der Trojaner wohl vorher abmeldet. So hab ich meine Daten extern gesichert und die Schritte aus der Checkliste ausgeführt. Erstaunlich ist, dass nach einer gewissen Zeit der Benutzung der Mauszeiger springt und sich Browser und manchmal auch was anderes öffnen. Das ist wohl ein Zeichen der Hintergrundaktivität des Trojaners.
Beim Starten wenn man den Desktop kurz sieht kam auch "einige Male, nicht jedes Mal" eine Fehlermeldung von OpenOffice (hab den genauen Wortlaut vergessen), vielleicht ist das ein Zeichen, dass sich dort der Trojaner verkrochen hat?
Ich hoffe mir kann jemand helfen, brauch das Notebook schnell wieder regulär für meine Bachelorarbeit :/
Vielen Dank schon einmal im Voraus.

sehe es mir an

Hi,
solche komischen youtubetipps oder "Nutze die Systemwiederherstellung" sollte man gleich vergessen und niemehr nutzen
1. bekämpfst du damit vllt das Symtom, weitere Malware kann aber noch aktiv sein.
2. kannst du damit der Funktionsweise anderer Programme schaden, zb avira, bei denen es dann ein Problem geben kann, da es dann nicht mehr läuft.


otl fix

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Soweit hat alles funktioniert. Der Upload war auch erfolgreich.
Nach dem Neustart kam nicht mehr der weiße Bildschirm, jedoch wieder diese seltsame Nachricht von OpenOffice: Eine andere Instanz von OpenOffice.org greift auf ihre persönlichen Einstellungen zu oder hat diese nicht wieder freigegeben.
Der gleichzeitige Zugriff kann zu Inkonsistenzen in ihren persönlichen Einstellungen führen. Bevor sie fortfahren sollten sie sicher stellen, dass OpenOffice.org auf dem Host "vom Benutzer" beendet wird. Möchten sie wirklich fortfahren? (JA) (NEIN)

Ansonsten bin ich total begeistert von der schnellen Unterstützung, vielen vielen Dank.

Hi
du hast dir zusätzlich noch n Backdoor geholt, also später, passwörter ändrn
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Danke

Hi,
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Während des Ausführens hat sich der Trojaner wieder gezuckt und Werbung im Browser geladen bzw ist die Maus wieder ein wenig durchgedreht und hat sich bewegt. Ich habe während des Vorgangs absolut nichts getan.
Hoffe der Combofix Durchlauf hat trotzdem seine Wirkung erzielt.

Hi,
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hey,
so endlich ist es durchgelaufen und ich habe die Dateien entfernt. Ich musste einen Neustart machen und das OpenOffice Fenster ist wieder aufgepoppt, wenn das eine hilfreiche Information ist.

Dabei hab ich vergessen anzumerken, dass ständig jucheck.exe von oracle america ein JA haben möchte bei der Ausführung. Habe immer nein geklickt. Jetzt wo ich hier bin wollte ich fragen ob ich auch auf JA klicken kann, weil es wirklich nur ein Java Update Checker ist? Oder hat es was mit der andere Sache zutun? Danke.

hi,
Frage, woher stammt diese Version:
Photoshop\Photoshop CS3\Files\asneu.dll

Achso und die gleiche Frage habe ich bezüglich des Sicherheitshinweisfensters im Internet Explorer, das ständig auftaucht.

Hey, das kann ich leider nicht beantworten mit der Datei kA :/

hi
welches hinweisfenster im Browser?

lade den CCleaner standard:
http://filepony.de/download-ccleaner/
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Über sichere und unsichere Verbindungen auf unterschiedlichen Seiten. Aber das ist wohl nur ein IE Ding, da ich ihn selten benutze.

Ich lade mir jetzt den CCleaner und poste gleich das Ergebnis

aso. da müsste es doch einen haken geben, meldung nicht anzeigen oder ähnlichb.

Bei manchen, vor allem Windows basierten, weiß ich einfach nicht ob ich sie benötige oder nicht.

Hi,
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen
bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
Sicherheit (erweitert)
Erweiterte Sicherheit anhaken
und alle Dateien auswählen.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Audacity
Avira
Crazy
Desktop Icon
DivX : alle
Express
Facebook
Free Audio
ICQ7
Java : alle
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:
My
Müller
OpenOffice
PDFCreator
Pulleralarm

Öffne CCleaner, analysieren, starten, PC neustarten
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Adobe und Java installiere ich dann die nächste Zeit wieder, aber danke auch da für die Tipps.

Hi
neustarten.
lade Hitmanpro.
HitmanPro - Download - Filepony

doppelklicken, scan.
Nichts löschen, auf weiter.
Log als xml speichern und posten, bzw packen und anhängen.

Hey,
das Programm will jetzt dass ich auf "weiter" klicke um die 4 Bedrohungen zu löschen, habe es aber erstmal hier posten wollen.

Hi
alle löschen bitte, neustarten und neues otl log posten bitte

Wenns nich zu viel verlangt is, möchte ich schon vollständige logs :-)
otl.txt ist unvollständig

Ah verdammt, das war natürlich keine Absicht, sry :)

Hi,


otl fix

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

bitte teste, ob es im Firefox, internet explorer, und sonstigen
evtl. instalierte Browser, irgendwelche ungewollten toolbars, umleitungen oder sonstigen Probleme gibt.
Teste wie pc und programme allgemein laufen.

Alles läuft soweit ohne Probleme oder Besonderheiten :)

Hey,
ich weiß nicht ob ich noch weiteres ausführen muss nach dem OTL Durchlauf.
Jedoch hätte ich da noch ne Frage bezüglich Sandboxie, habe ich hier in einem anderen Thread gelesen und wollte fragen ob es eventuell vorteilhaft wäre das zu installieren.
Außerdem wollte ich noch wissen was ich mit meinen "geretteten" Daten auf einem externen Speicher machen soll. Einfach löschen oder avast oder ein sonstiges Programm drüberlaufen lassen? Danke

Hi
na brauchst du die geretten Daten noch? sind noch probleme aufgetreten? absichern werden wir noch, dafür muss ich von dir dann aber wissen ob alles läuft oder ob noch fragen sind.

Hey,
also bis jetzt läuft alles die letzten Stunden. Die Daten, die ich auf die externe Festplatte gezogen hab sind ja allesamt noch auf dem Rechner, also können die ruhig weg von der externen Festplatte. Ansonsten fällt mir jetzt grade eigentlich keine Frage mehr ein.

Ok,
öffne otl, bereinigen, PC startet neu, Remover werden gelöscht.
Lösche übrig gebliebene Logs, Setups, und von uns verwendete Programme.
PC absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
Computeractive Software Store - Emsisoft Anti-Malware 7 [1-PC] - 63% off RRP
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut währe avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
http://support.google.com/chrome/bin...&answer=118663
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung anpassen.


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie - Download - Filepony

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

passwort sicherheit:
jeder dienst benötigt ein eigenes, mindestens 12-stelliges passwort
bei der passwort verwaltung und erstellung hilft roboform
Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager
anleitung:
RoboForm-Bedienungsanleitung: Passwort-Manager, Verwalten von Passwörtern und persönlichen Daten

Hey,
soooooo jetzt hab ich mich da durchgehangelt. Danke für die umfassenden Schutzhilfen.
Probleme hab ich nur mit dem Backup, da meine externe Festplatte nicht NTFS formatiert ist und beim Standardbenutzerkonto kann ich nicht auf meine gesamten Daten zugreifen, was ich aber müsste. So ists dann doch ziemlich umständlich.
Zuletzt wollte ich noch fragen wie schlimm es wirklich wäre wenn ich meine Passwörter nicht ändere? Frage vor allem aus Gründen des Erinnerns und der Gewohnheit.
Achso und ich würde wieder avast! benutzen und chrome habe ich als Standardbrowser, daneben noch Firefox und natürlich den IE.

passwörter bitte ändern, geklaute passwörter sind halt schon schlimm...
hast du den link gelesen, dateien für alle sichtbar machen.
brauchst du den ff tatsächlich noch, müsste man dann die sandbox noch anders konfigurieren.