Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GVU/BSI-Trojaner wirklich weg? (https://www.trojaner-board.de/128955-gvu-bsi-trojaner-wirklich-weg.html)

alphacast 02.01.2013 14:16
GVU/BSI-Trojaner wirklich weg?
 
Hallo liebe Trojaner-Experten!

Ich habe mir kürzlich einen ähnlichen Trojaner eingefangen, wie der Kollege in folgendem Thread:

http://www.trojaner-board.de/128843-...dsgw-js-2.html

Momentan läuft mein System scheinbar wieder, da ich selbst schon einige Schritte unternommen habe, es bleiben aber Zweifel, ob wirklich alles von dem Teil runter ist.

Bei mir war der Ablauf wie folgt:
  • Beim Surfen meldet Antivir einen Trojaner-Fund (Name weiß ich leider nicht mehr). Ich klicke auf entfernen.
  • Nach einem späteren Rechnerneustart fragt Windows nach der üblichen Berechtigung eine Datei auszuführen, ein Klick auf Details verrät mir das es scheinbar eine Microsoft-Datei ist (allerdings mit 2010 abgelaufenem Zertifikat).
  • Ich war irgendwie naiv und klickte auf "OK", obwohl ich - noch dümmer - mit Adminrechten unterwegs war.
  • Full-Screen-Bildschirmsperre des GVU/BSI-Trojaners mit Webcam und 100 EUR Zahlungswunsch.
  • Neustart im abgesicherten Modus. Gleiches Verhalten.
  • Unter anderem OS hochgefahren, gegoogelt und Kaspersky Rescue 10 CD heruntergeladen.
  • Von Kaspersky Rescue 10 CD gestartet. Grafischer Modus. 30 Minuten passiert nichts. Harter Reset. Kein Bluetooth mehr, kann kein OS starten (da iMac). Rücksetzen des PRAM bringt nichts. Besorge USB-Tastatur/Maus. Nach einmaligem Hochfahren von MacOSX geht Bluetooth wieder.
  • Von Kaspersky Rescue 10 CD gestartet. Textmodus. Update der Signaturen über Internet. Kompletter Scan der Windows-Partition. Kein Fund. Windows Unlocker durchgeführt.
  • Start von Windows im normalen Modus. Gleiches Verhalten (gesperrt).
  • Abmelden. Anmelden. Kann Rechner bedienen.
  • Sehe gleichen Link im Autostart wie der o. g. Leidensgenosse. Ruft rundll32.exe mit wgsdgsdgdsgsd.dll als Parameter auf. Die DLL liegt in meinem Benutzerordner. Kann beides nicht löschen.
  • Starte erneut von Kaspersky Rescue 10 im Textmodus und lösche die besagte DLL.
  • Windows-Start erfolgreich. Fehlermeldung das wgsdgsdgdsgsd.dll nicht geladen werden kann.
  • Versuche Systemwiederherstellung mit letztem Punkt vor dem Befall. Fehlermeldung, da Einsprungadresse ungültig. Vorletzter Sicherungspunkt, gleiches Verhalten.
  • Start von Windows-DVD, Systemwiederherstellung mit letztem Sicherungspunkt. Gleicher Fehler. Vorletzter Punkt. Gleicher Fehler. Vorvorletzter Punkt. Erfolgreich.
  • Windows-Neustart. Alles sieht gut aus. Lösche dsgsdgdsgdsgw.pad aus Benutzerordner von "Alle Benutzer".
  • Aktualisierung von Java, Adobe Flash, Adobe Reader, Installation von Microsoft Tools zur Entfernung bösartiger Software (kein Fund), Tausch von Antivir gegen Avast und kompletter Scan (kein Fund)
  • Installation CCleaner + Komplettreinigung.
  • Umstellung der Benutzerrechte auf Standardbenutzer.
  • Installation ProcessExplorer.
  • Installation von Programmen nach Sicherungspunkt (Spiel über Steam).

Habe dann mit Adminrechten die folgenden Logs mit OTL und Gmer erstellt.

Wäre schön, wenn Ihr mir helfen könntet herauszufinden, ob meine Kiste nun wirklich sauber ist.

Danke und ein schönes neues Jahr!

markusg 02.01.2013 15:59
Hi
und auch hier sag ichs noch mal, keine Systemwiederherstellung bei Befall nutzen, am besten gar nicht selbst reinigen.
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

alphacast 02.01.2013 17:16
Danke für die schnelle Antwort. Habe ich runtergeladen und so gemacht. Log anbei.

markusg 02.01.2013 20:22
Hi,
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

alphacast 04.01.2013 00:47
Hab es probiert. Irgendwie habe ich mit ComboFix jedoch meine Probleme.

Runtergeladen. Avast Scannermodule entladen. Windows Firewall aus. Combofix gestartet. Er kommt bis zu der Meldung "Scanne nach infizierten Dateien. Dieser Vorgang sollte normalerweise nicht länger als 10 Minuten dauern. Bei stark infizierten System verdoppelt sich diese Zeit auch leicht einmal." Selbst nach einer guten halben Stunde habe ich keine weitere Meldung (Fortschritt, Fehler, ...) gesehen. Ich kann auch nichts anderes mehr starten, inkl. Taskmanager. Hilft nur harter Reset. Habs zweimal probiert. Was mache ich hier falsch? Danke.

markusg 04.01.2013 15:03
Hi
starte neu, drücke f8 wähle abgesicherter Modus mit Netzwerk, melde dich in deinem Konto an, scanne erneut.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19