Bundestrojaner neue Variante?
 

Hallo liebe Forumsteilnehmer,

ich würde heute nicht schreiben wenn ich echt Hilfe benötigen würde. Ich kenn mich selber ein bisschen mit PCs aus, aber wie es scheint habe ich mir eine neue Variante des Bundestrojaners eingefangen. Ich hatte vor einigen Jahren schon einmal eure Hilfe aufgesucht und ihr hattet mir damals unglaublich schnell und toll geholfen, daher hoffe ich ihr könnt mir auch dieses mal helfen.

Ich hoffe es ist ok ein neues Thema zu eröffnen, ich habe bereits gegoogelt und wollte mir selbst helfen, aber habe hierzu nichts passendes gefunden.

Es ist so, ich habe nun endlich nach einigen Jahren schnelles Internet, vorher musste ich mit UMTS surfen, daher hatte ich die Updates der letzten Jahre vernachlässigt und bin dabei langsam alles zu erneuern. Doch das schnell Internet ist wohl Fluch und Segen zugleich. Vorher wäre die Leitung für solche Schädlinge zu langsam gewesen :lach:.

Nun zu meinem Problem. Ich habe eine Variante des Bundestrojaner auf dem PC, bei einem Freund habe ich diesen bereits einmal gelöscht, das ging einfach, da ich einfach das WLAN abstellte und dann ganz normal auf den PC zugreifen konnte. Mit TuneUp-Utilitys habe ich dann den Starteintrag deaktiviert und einen Virenscanner drüber laufen lassen. Der Virus wurde gefunden und der Registryeintrag gelöscht.

Meine Variante ist aber anders. Ich komme weder in den abgesicherten Modus, noch hilft es das Netzwerk auszuschalten. D.h. ich kan praktisch gar nichts mehr auf dem Rechner machen. Ich habe auch bereits 2 Boot-CDs (CureIt und Kapersky) drüber laufen lassen. Leider ohne Erfolg, der Virus/Trojaner wird nicht gefunden. Bin darum gerade ein bisschen am verzweifeln!

Als Hilfe! Ich habe eine Firewall auf dem Rechner, diese schützt auch die Registry. Es kam vor dem Bundestrojanerbildschirm die Meldung, dass (ich glaube zumindest es war diese Datei) rundll32.exe in der Registry eine Datei mit dem Namen w... (mehr weiß ich leider nicht mehr) anlegen möchte. Ich habe auf blockieren gedrückt und dachte das sei damit erledigt. Doch wenige Sekunden später kam das Fenster des Bundestrojaners. Zum Glück wurde nichts verschlüsselt, er hindert mich lediglich auf den PC zu zu greifen. ABER, es wird nicht nur der Daskmanager unterdrückt, sondern anscheinend jede Art von Programme die ich am Anfang noch starten könnte wenn ich den PC hochfahre und das Bundestrojaner Fenster noch nicht offen ist. Gut ist, dass ich aber msconfig noch ausführen kann, ich habe dann einige Sekunden Zeit bis das Bundestrojanerfenster erscheint. Ist es aber mal da und versuche in den Taskmanger zu kommen oder schaffe es anderweitig das Fenster weg zu bekommen fährt sich der PC automatisch von alleine herunter.

Habt ihr eine Idee wo der Virus genau steckt und kennt ihr schon so einen Fall?

Vielen DANK für eure Mühen und eure Hilfe.

snaetsch

PS: Sollte das Thema hier nicht hinpassen oder doch schon existieren, dann löscht das Thema einfach. DANKE.

Habe nochmals nachgeschaut um noch ein paar Infos für euch zu sammeln um euch so vielleicht noch besser zu helfen. Es ist ein GVU-Trojaner und innerhalb von 48 Stunden sollte man das Gelb bezahlt sonst geht nichts mehr auf dem PC heißt es. Ich hoffe mal nicht. Hilft es das Datum zurück zu setzen? Ich habe mich auch schon mit meinem zweiten Account bei Windows angemeldet, aber auch ohne Erfolg, nach einiger Zeit kommt erneut das GVU-Fenster.

Ich habe auch soeben einen Screenshot erstellt, vielleicht hilft der euch weiter. Aber weiß nicht wie ich ihn anfügen kann.

Mein System ist übrigens Win XP.

So mehr fällt mir dazu nicht mehr ein und kann jetzt nur noch hoffen ;).

Einen schönen Abend allen Helfern im Board.

:hallo:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hi und schon mal vielen DANK fuer die Muehen!

Hab uebrigens HitmanPro auch noch versucht gehabt, ebenfalls ohne Erfolg. Kann an meinem PC liegen oder mit dem Virus zusammen haengen. Ausserdem ist mir aufgefallen, dass jetzt eine Datei beschaedigt sein soll wenn ich hoch fahre und der Desktop sich dann oeffnet. Die Datei Recent soll unter meinem Benutzernamen beschaedigt sein.

Hier nun aber das Ergebnis von OTL. Das Programm hat mir uebrigens nur eine OTL.txt angelegt, aber keine Extras.txt. Schlimm oder nicht.

Marco

OTL Logfile:
--- --- ---

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Erneut danke. Hast ja ganz schoen ausgemistet :lach:.

Als OTLPE das ueberschrieben hat, kam unten die Meldung, dass in nem Tempordner ne .jpg nen Fehler produziert. Das war unten bei der Uhr gestanden.

Im uebrigen passt eure Beschreibung fuer OTLPE nicht mehr exakt, es gab keinen OK Button, ich werde stattdessen gefragt ob ich jetzt Win neu starten will, ich geh mal davon aus ja. Ich habe davor noch schnell im Explorer die von dir genannte Datei kopiert und fuege sie dir jetzt an.

Schreibe dir gleich noch ob PC wieder ohne Fehler hochfaert.


So, als ich Win hoch gefahren hab ging von OTL selber nochmals der Log auf, ich denk den brauchst du und nicht den ich vorher gepostet hab und den ich kopiert habe nachdem der Fix geschrieben war.

Der war also jetzt nach dem Start von WIN

Also, WIN wurde wieder ohne diesen GVU Trojaner geladen! Schon mal klasse. Bevor ich den Benutzer waehlen konnte kam noch ne Fehlermeldung, dass diese .jpg Datei im Tempordner nicht zu finden ist.

WIN sieht aktuell hat spartanisch aus. Fast wie 98, ohne die aufgehuebschte Taskleiste und Netzwerk und viele weitere Programme wurden nicht geladen, aber ich nehme mal stark an das war ja deine Absicht. Also so gesehen alles super bis hierhin. Ein Fenster ist uebrigens noch aufgegangen, dass MWV nicht geladen werden konnte. Glaub hiess Windows Management .... und danach ging was mit nem Registryfenster auf wo ich das wohl haette einstellen sollen.

Im Uebrigen hab ich ne Vermutung wo der Virus sitzt. Ich hatte gestern ja noch 2 mal den PC normal gestartet und hab dann ueber den Tastmanager ja das Starten des Trojaners ein bisschen verlangsamen koenne. Er wird ja erst sehr spaet geladen und viele Programme vor ihm werden zu erst geladen. So konnte ich dabei zusehen wie ein Programm nach dem anderen im Taskmanager erschien. Die Meldung kam nachdem folgende Dateien geladen wurden

hdservice.exe glaub die muesste aber noch ok sein
danach wurde wdfmgr.exe geladen danach wuaudt.exe danach wmiapsrv.exe und danach rundll32.exe und das zwei mal, danach der iexplorer.exe mit dem wohl die Nachricht des GVU angezeigt wird und danach nochmals rundll32.exe und dann hat sich der PC runtergefahren.

Als sich der Virus ja installierte hat ja meine Firewall geblockt, dass rundll.32 eine datei mit dem Namen w.... in der Registry erstellen wollte. Hm..., vielleicht hilft das ebenfalls weiter.

Noch einen schoenen Abend und einen Guten Rutsch euch allen.

Marco

Binds nochmals kurz, habe jetzt noch schnell mit CCCleaner alle TempDateien entfernt und in meinem FirefoxPortable ebenfalls alles gelöscht (Cache, Cookies,...).

Beim zweiten mal hochfahren von WIN kam nun nicht mehr vor der Auswahl des Benutzerbildschirms dass eine .jpg geladen werden sollte und fehlt. Vielleicht war da der Trojaner drin?

ABER, weiß nicht ob das wegen dem Skript ist dass ich fixen sollte, aber ich kann nach wie vor nicht auf meine Uhrzeit zugreifen, dann bekomme ich nach wie vor die Meldung dass mir dafür die Rechte fehlen! Das war genau so als noch der GVU aktiv war, da konnte ich dies ebenfalls nicht.

Aber weiß nicht ob du mir diese "Recht" einfach nicht gegeben hast mit dem Fix und es deshalb jetzt nicht geht. Ich kann aktuell auch keine USB-Geräte anschließen, für diese läd er aktuell keine Treiber, aber das sollte definitiv mit dem Skript von dir zusammen hängen.

Programme lassen sich aber jetzt wieder problemlos starten und auch der Taskmanager kann wieder geöffnet werden.

Das war alles was mir jetzt aufgefallen ist.

Ach ja, die Meldung dass der Dienst WMI noch geladen werden sollte kommt immer noch und es geht dann immer noch ein Fenster mit Registry auf. Aber denk auch das war von dir so gewollt.

Hm..., hoffe das hilft dir alles weiter und habs für dich verständlich erklärt.

Nochmals einen guten Rutsch euch allen.

Marco

Bitte unterlasse es selbst was auszufuehren, bis wir hier fertig sind.
Damit kannst du deine Installation vollstaendig schrotten.


1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Dann kuemmern wir uns um die Fehler.

Alles klar! Werd ich befolgen.

Nochmals wegen dem Programm. Ich habs eh auf dem PC und sogar in der aktuellen Version, aber da ich mit den aktuell geladenen Programmen aus dem Autostart nicht ins Netz komm kann ich die Datenbank nicht aktuallisieren. Oder kann ich den Netzwerkdienst wieder unter Systemsteuerung freischalten? Auch USB-Sticks werden ja aktuell nicht mehr installiert und erkannt, also kann ich so die Datenbank auch nicht auf das System bringen. Ich hab mir darum jetzt Mama-Rules.exe gezogen, damit sollte man die Datenbank ja aktuallisieren können, aber wohl ist die nicht immer die aktuellste? Ich hoffe ich hab Glück und sie ist relativ aktuell. Diese Datei brenne ich jetzt auf ne CD und hoff dass mein XP zumindest von CDs liest. Melde mich dann später wenn ich alles durchlaufen habe lassen.

Marco

Kannst du die zwei Scans durchfuehren oder nicht?

Sorry, war bis eben arbeiten und bin jetzt erst Heim gekommen. Habs noch kurz getestet, hatte mir nachmittags alles auf ne CD gebrannt und jetzt eben installiert. Klappt! Poste heute die Logs, lass es gleich nach'm Aufstehn drüber laufn. Dauert aber sicher ein paar Stunden da ich viele kleine Files aufm PC hab.

Ach ja und soll ich den AdwCleaner gleich nach MalwareBytes durchführen oder zuerst das Logfile von Malewarebytes posten?

Wie immer Danke und Gute Nacht.

Marco

Bitte beide Logs zusammen posten ;)

Hallo, hat jetzt gut 8 Std. gedauert, jetzt ist es aber endlich geschafft.

Zunaechst kurz was wichtiges. Nachdem MalwareBytes fertig war und ich das hab in Quarantaene schicken lassen hat der Rechner neu gestartet und wollte dann die Dateien wohl entfernen, das hat er letztlich auch das sie in Quarantaene zu finden sind, ABER, nach dem Start kam erst mal ein Bluescreen als ich mich unter meinem Benutzer anmeldete und dann hat der Rechner erneut neu gestartet, dieses mal zwar kein Bluscreen mehr, aber eine Infobox mit dem Inhalt, dass es Probleme beim laden des Moduls cleanup.dll gab von MalwareBytes. Diese Datei wurde nicht gefunde hiess es.

Danach hab ich dennoch AdwCleaner laufen lassen und auf loeschen gedrueckt. Hab also jetzt beide Logfiles.

Zunaechst MalwareBytes

Hat wohl auch was von OTL geloescht wie es aussieht.

Ach ja und das Programm zeigte 10 Funde, aber nur 9 sind im Logfile.


Dann das Logfile des AdwCleaner

Nen schoenen Abend noch.

Marco

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo,

habe das Programm wieder auf eine CD gebrannt und dann auf den PC kopiert. Das Update konnte ich aber nicht machen, da ich ja keine Netzwerke aktuell habe. Ich habe dann mit dem Mini PE das Programm gestartet und bin bis zum Punkt Update gegangen und habe es dann wieder geschlossen. Hoffe das Update wurde gespeichert wenn ich das Programm wieder mit dem richtigen Windows ausfuere.

Nun meine eigentliche Frage. Wenn ich das Programm auf dem richtigen Win starte kommt folgende Meldung nach dem ausfuehren der EXE.

Registry value appInit dlls has been found, which may be caused by rootkit activiy.

Note Press No button in you re not sure. If the tool crashes or terminates unexpectedly during a system scan, restart the tool and press Yes should this message appear again.

Do you want to remove this value and restart the tool


Sorry kann mit dem Mini PE keine Sonderzeichen machen, da es ja auf englische Tastatur eingestellt ist.

Soll ich Ja oder Nein waehlen. Haette Nein nehmen wollen, aber war mir nicht sicher.

Schoenen Abend.

Marco

Hast du kein USB Stick?

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte fragen.

• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

• Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
• Während des Laufs von Combofix nichts anderes am Computer machen!
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

• Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
• Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
• Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
• Bitte nicht in dieses Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es wird ein Backup Deiner Registry erstellt.
• Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

• Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
• Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
• Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

• Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
• Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Doch hab Sticks, aber mit dem aktuellen OTL der Startprogramme lädt er mir weder Netzwerke noch externe Speichermedien! Die werden einfach nicht erkannt und nicht installiert!

Soll ich Malwarebytes noch durchführen oder bleiben lassen da ja die Meldung kam? Und wenn durchführen Ja oder Nein drücken?

Oder aber gleich das neue Programm verwenden welches nun vorgeschlagen wurde?

Erneut danke!

Marco