GEMA-Trojaner, Java-Exploits, BDS/Sinowal.bogyo, etc. auf PC
 

Hallo, Leute!

Freundin von mir hat sich einige boese Jungs auf ihrem PC eingefangen. Das ist vor ca. 3 Wochen passiert, wo sich nach ihrer Beschreibung scheinbar der GEMA-Trojaner eingenistet hat. Sie konnte den PC also gar nicht verwenden. Vor ein paar Tagen hab ich ihren PC dann gestartet und er lief normal, hab mit Avira Antivir erst mal nen Scan laufen lassen, der dann folgendes gefunden hat:


Danach hab ich jetzt nochmal Malwarebytes remote von meinem PC ueber Teamviewer drueberlaufen lassen, der hat nix mehr gefunden. Da meine Freundin allerdings selbst mit Anleitung wenig auf ihrem PC gebacken kriegt und ich auch kein Top-Crack bin, bitte ich euch mal um Hilfestellung.

Ist es mit eurer Hilfe moeglich diesen Muell remote von meinem PC aus von ihrem runter zu schaffen?

Die fehlenden Anhaenge:

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
• Sollte ich auf diese, sowie allen weiteren Antworten, innerhalb von 3 Tagen keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.



Bitte poste in deiner nächsten Antwort
TDSSKiller Log

TDSSKiller Log
 

Hallo, Daniel! :)

Habe TDSSKiller auf dem PC meiner Freundin (wieder via TeamViewer) laufenlassen und er hat erst mal nichts gefunden. Keine Ahnung, ob das daran liegt, dass alles bei Avira in der Quarantaene sitzt, aber das wirst Du besser wissen. Hier der TDSSKiller Log:

Danke erstmal. :)
Tanya

Bringt es deine Freundin hin, selber auf eine Datei zu klicken ? ;)

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Bitte poste in deiner nächsten Antwort
Combofix.txt

Sagen wir's mal so... auf eine Datei klicken geht mit Sicherheit, aber die Deaktivierung aller Virenscanner, Antispyware, etc. da geht's dann vielleicht schon in die Hose.
Kann ich ihr Combofix runterladen, alles deaktivieren und ihr dann sagen sie soll's selbst ausfuehren? Danach dann wieder mit Teamviewer auf ihren Rechner gehen und die AVs wieder einschalten?

Ja...........

Combofix.txt
 

Combofix ist durchgelaufen, den genannten Fehler hatte sie, also hat sie das System neu gestartet, jetzt funzt es wieder. Hier die Logfile:

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:

• Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.





ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste in deiner nächsten Antwort
Combofix.txt
ESET Log
Berichte wie der Rechner läuft

Zwischenfrage
 

Kurze Frage noch... Ich hab ihr die Einstellungen von Firefox so angepasst, dass die Dateien direkt auf Desktop gespeichert werden, allerdings sind absolut keine Icons auf ihrem Desktop sichtbar. Im Windows Explorer sind beide Dateien (Combofix.exe und CFScript.txt) unter Desktop zu sehen. Demzufolge konnten wir jetzt auch das Drag & Drop vom Script auf die .exe auch nur im Explorer ausfuehren. Vollkommen gleichgueltig ob ich in Teamviewer anwesend bin oder nicht. Combofix laeuft jetzt, allerdings wollte ich bezueglich Deiner Anweisung Combofix vom Desktop aus zu starten nochmal nachfragen ob das jetzt ein Problem darstellt.

Wenn CF läuft, poste die Logfile bitte hier.



Downloade bitte Grinler's unhide.exe auf deinem Desktop
Starte das Tool mit Doppelklick.

Wenn es seine Arbeit getan hat, wir eine Nachricht mit Done aufpoppen

Combofix.txt & ESET.txt
 

Combofix ist gelaufen, allerdings noch vom Desktop via Windows Explorer:
Der ESET-Scan lief genauso bevor unhide.exe angewandt wurde:
Inzwischen pennt meine Freundin und ich bin vor Beendigung von ESET auch auf der Couch eingeknackt, daher kann ich noch keine volle Auskunft erteilen, wie der PC jetzt funzt.

1. weil er noch nicht neu gestartet wurde nach Combofix und wieder die Registrierungsschluesselaenderungswarnungen abgibt und
2. bezueglich unhide.exe (welches ich hab gerade eben laufen lassen) weil ich nicht weiss ob man Icons auf dem Desktop mit Teamviewer generell nicht sehen kann. *kein plan*
   
   Wenn ich die Ergebnisse von ESET seh, wird's mir allerdings jetzt schon flau.
   Vielen Dank auch fuer bisherige Hilfe und ich soll von Freundin ausrichten dass sie leider tatsaechlich nicht in der Lage waere, den Anweisungen allein zu folgen, sich aber trotzdem auch ganz herzlich fuer die Hilfe bedankt. :)

Kurzes Update
 

Hab den Laptop meiner Freundin fuer den Tag jetzt bei mir da Teamviewer heute morgen nicht funzen wollte. Allerdings hab ich hier kein WLAN, also ist der Lappie internetlos. Die Icons sind trotz dreimaliger Anwendung von unhide.exe also immer noch nicht aufgetaucht. Was die Performance von dem Teil angeht hat sich glaub ich nicht viel geaendert, er ging ja eigentlich wieder nach 3 Wochen Nichtbenutzung, hatte auch keine Sperrmeldungen mehr oder so, aber die infizierten Dateien sind eben immer noch da, laut ESET sogar noch mehr als laut Avira. Fuer's erste warte ich also auf weitere Instruktionen. :)

Poste bitte die C:\QooBox\ComboFix-quarantined-files.txt hier

Die Funde von ESET belasten uns erstmal so garnicht

Combofix Quarantine
 

Von Qoobox:

Geh mal auf "Start" --> COmputer --> Rechtsklick und setze einen Haken bei "Am Desktop anzeigen"

Funzt das ?