GVU Trojaner mit angeblicher Webcam Überwachung
 

Sehr geehrtes Trojaner Board Team

Ich habe mir gestern auf der Arbeit (30.01.2013 ungefähr 9:15 Uhr) den GVU Trojaner eingefangen. Das Viren Programm Antivir hat es zwar noch gemeldet das dass Notebook von einen Trojanischen Pferd angegriffen wird aber leider hatte ich keine Chance es in Quarantäne zu veschieben oder zu löschen da alles so schnell ging. Habe aber direkt nach dem Angriff die Internetleitung gekappt so das keine Verbindung mehr bestand. Das Notebook lässt sich jetzt nicht mehr richtig Starten. Es kommt: "Ihr Computer ist gesperrt" und ich soll per paysafe card 100€ zahlen. Zudem wird alles angeblich mit der Webcam aufgezeichnet (Das lustige ist, das Notebook besitzt gar keine Webcam :crazy:) Habe schon versucht mit anderen Benutzerkonten zu starten doch auch dort kommt die Meldung "Ihr Computer ist gesperrt". Im abgesicherten Modus das selbe Spiel.
Versuch 1:
Ich habe eine bootbare CD mit Avira AntiVir Rescue System erstellt und das ganze durchlaufen lassen. Das Programm hat auch mehrere Sachen gefunden wo ich anschließend eine Log Datei erstellt habe. Leider konnte ich die Log Datei nur auf dem befallenen Computer speichern. In meinen Augen vollkommender schwachsinn, da ich ja nicht an die Datei komme. :stirn: Naja habe das dann ein 2. mal durchlaufen lassen und anschließend die Infizierten Dateien löschen lassen. Leider ohne Erfolg beim hochfahren erscheint immer noch "Ihr Computer ist gesperrt".
Versuch 2:
Habe dann von Kaspersky die Kaspersky Rescue Disk erstellt und versucht mit dem Windows Unlocker das ganze zu beheben. Ich habe anschließend den Viren Scan mit der Kaspersky Rescue Disk gemacht, leider auch alles ohne Erfolg. Habe bei dem Scan von Kaspersky keine LOG Datei erstellt da man ja eh nicht darauf zugreifen kann.
Vielleicht könnt ihr mir ja jetzt noch helfen da ich mit meinem Latein am Ende bin.
Habe im anderen Thema hier auf Trojaner Board gelesen das man eine OTLPE CD von Oldtimer erstellen und von dieser booten soll. Ich warte aber erst auf grünes Licht eurer Seite da ich nicht weis was das für Auswirkungen auf mein System hat.
Das Notebook ist sehr wichtig für mich da dort viele wichtige Daten abgespeichert wurden und ich es deshalb vermeiden möchte alles zu Formatieren.

Die Daten des Notebooks : DELL Latitude D530
Intel Core 2 Duo
2 GB Ram
CD/DVD Brenner
Windows XP Professionell

Mit freundlichen Grüßen und vielen Dank schon mal im Vorraus

Hallo und :hallo:

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Also habe jetzt den Scan gemacht und folgende dateien bekommen.

OTL Datei


Hier die Extra Datei

Wie soll ich jetzt weiter vorgehen?

Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Das Notebook ist aber Privatbesitz. Ich habe in der Firma einen großen Desktop PC.
Die Domäne habe ich eingerichtet weil ich hin und wieder mit dem Notebook was in der Firma erledige und damit Zuhause weiter arbeiten kann. Deshalb sind auf dem Notebook auch viele Dateien und Programme von der Firma etc.
Ist es denn möglich die Festplatte auszubauen und die wichtigsten Dateien über einen anderen PC auszulesen? Es sind nämlich zu viele Private Bilder dabei.

MfG

Wenn das ein Domänenrechner ist, ist nach meinem Verständnis die EDV-Abteilung deiner Firma dafür zuständig. Nur mal als Tipp, denk an Gruppenrichtlinien und so. Außerdem muss die EDV Bescheid wissen, dass da ein infizierter Rechner in ihrer Domäne hängt.

Leider haben wir keine EDV Abteilung bei uns (wahrscheinlich ist die Firma zu klein). Das läuft soweit ich weis über eine externe Firma die maximal 2 mal im Jahr da ist. Nagut dann muss ich halt versuchen anders an meine Daten zu kommen.
Trotzdem vielen Danke für die bisherige Hilfe

Wenn ihr wirklich keine eigenen EDV habt, machen wir natürlich gern auch hier eine Ausnahme :)

Wenn ihr das machen würdet wäre das echt TOP :applaus:

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo
Super das Notebook startet erst mal wieder. Leider kommen beim Start 2 Fehler.
Erster Fehler: "Error 80070424 in ConnectServer: Der angegebene Dienst ist kein installierter Dienst".
Zweiter Fehler: "Fehler beim Laden von C:\DOKUME~1\ALLUSE~1\ms0071364C.dat Das angegebene Modul wurde nicht gefunden"
Beim 2 Hochfahren von Windows, schlägt jetzt immer Avira Alarm das es 2 Viren oder unerwünschte Programme gefunden hat und das der Zugriff verweigert wurde. Die Dateien heißen "TR/ATRAPS.Gen2" und "TR/ATRAPS.Gen". Habe diese beiden erstmal in Quarantäne verschoben.
Den Ordner Movedfiles habe ich natürlich vorher als ZIP-Datei erstellt und hier, wie beschrieben hoch geladen.

Hier die Fix-Logfiles

Wie sollte ich weiter vorgehen?

Mit freundlichen Grüßen

Super, :( hast wahrscheinlich auch noch einen ZeroAccess :(
Poste bitte mal alle Logs von AntiVir und wenn vorhanden anderen Scannern siehe http://www.trojaner-board.de/125889-...tml#post941520
(bitte KEINE neuen Scans machen!!! nur schon vorhandene Logs posten)

Machst du OnlineBanking mit diesem Rechner unter Windows bzw. hast du das noch vor?

Die Datei ist im Upchannel leider nicht angekommen, ich vermute sie ist zu groß, lad sie bitte bei http://file-upload.net hoch und verlink es hier

Habe ebend gerade erst die ZIP-Datei Hochgeladen... Müsste jetzt da sein.
Nein Online Banking mache ich nicht.

Ok, ich kann dir aber beim ZAccess nicht versprechen, dass wir den sicher weg kriegen. Willst du trotzdem bereinigen oder lieber formatieren und neu installieren?

Also ich mache jetzt erst mal einen Scan mit Avira. Leider dauert das immer eine Weile. Versuche dann die LOGFiles zu posten Kann ich denn meine Dateien auf einen anderen PC Speichern? Oder wird der andere PC dann auch Infiziert?
Also denke mal wenn das nicht anders geht, werde ich wohl das Sytem neu aufsetzen.

Hast du mein Posting nicht komplett gelesen?? :(
Du sollst nur vorhandene Log posten nicht neue erstellen!

OH misst da habe ich wohl was überlesen... kann ich den Scan den jetzt noch stoppen und das dann posten? Ich halte den Scan erst mal an.

Ja, anhalten, alle bisherigen Logs bitte posten :)

Wie ich gerade gesehen habe kann ich aber auf die Berichte der letzen 30 Tagen zugreifen. Bringt uns das weiter?

Ja, was steht denn in meinem verlinkten Artikel??
Poste einfach alles was gefunden wurde!

Hier vom 30.01.2013 9:34 Uhr (Müsste der Zeitpunkt der Infizierung sein)
Hier vom 02.02.2013 um 18:11 Uhr

02.02.2013 um 18:23 Uhr
02.02.2013 um 18:41 Uhr
Das andere bis zum 08.01.2013 waren nur immer Update versuche.

Sorry waren nur die Berichte hatte mich verklickt moment noch.

Hier die Richtigen

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo

Habe alle Schritte soweit gemacht. Leider konnte er keinen Wiederherstellungspunkt setzen da er Probleme mit dem Verbinden ins Internet hatte (herunterladen der Wiederherstellungskonsole). Nach einem Neustart von Windows geht es aber wieder. Windows läuft auch erstmal nur das er immer noch diesen einen Fehler "Fehler beim Laden von C:\DOKUME~1\ALLUSE~1\ms0071364C.dat Das angegebene Modul wurde nicht gefunden" anzeigt. Der andere Fehler scheint aber verschwunden zu sein. Avira schlägt auch nicht mehr Alarm.
Bekomme ich den einen Fehler vielleicht mit dem Reparieren von Windows weg (Windows Installation CD).

Hier die Logfile von Combofix

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo

Hier die erzeugte Logdatei

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hallo

Konnte beide Programme ohne Probleme ausführen und Log's erstellen.
Habe jetzt mitbekommen das kein Sound mehr geht. Beim Versuch die Einstellung zu ändern (Klick auf die linke untere Ecke in der Taskleiste im Infobereich) kommt: "IntelliSonic benötigt ein Re-Installation". Im Geräte-Manager ist ein Ausrufezeichen hinter der Soundkarte gesetzt und in den Eigenschaften steht "Der Gerätetreiber wurde für die Hardware geladen, aber das Gerät wurde nicht gefunden. (Code 41)". Denke mal das ist nach dem ComboFIX passiert.
Kann ich ohne Probleme die Treiber/Software für die Soundkarte Neu installieren?

Der Fehler beim Start von Windows ist leider auch noch da :(

Hier die Log von gmer
Hier der Log von aswMBR

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehlalarm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Hallo

Hier die Informationen von TDSSKiller

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Danach eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in CODE-Tags hier in den Thread.