Trojaner-Board - GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen (https://www.trojaner-board.de/133788-gvu-trojaner-webcam-registry-u-a-skype-befallen.html)

GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen

Guten Morgen.

Ich hab mir die ganze Nacht mit Recherchen um die Ohren geschlagen und bin auf dieses Forum gestoßen. Ich habe nicht viel Ahnung von Computern und hoffe, dass ihr mir helfen könnt. Über jede Art von Hilfe wäre ich sehr dankbar.

Was ist passiert?

Gestern (15.04.2013 gegen 24 Uhr) poppte plötzlich beim normalen Surfen der BKA/GVU-Trojaner auf. Erstmal einen Schreck bekommen und reflexhaft den Laptop am Ausschalter ausgeschaltet. Dann kurz nachgedacht und schnell zu der Erkenntnis gekommen, dass es nur ein Virus oder ähnliches sein kann. Die GVU-Meldung war eine mit Webcam-Shot.

Was ich bereits unternommen habe

Nach dem Neustart ließ sich der PC wieder ohne Probleme und ohne weiteres Auftauchen des GVU-Screens bedienen. Ich hab im Internet recherchiert und verschiedene Fälle und Anleitungen gelesen, u.a. hier im Forum. Derzeit habe ich die volle Kontrolle über den Rechner, keine weitere Blockade durch den GVU-Screen (vorerst), was mich sehr verwundert hat. Ich hatte dann den PC im abgesicherten Modus gestartet (laut chip.de), aber dann doch nichts unternommen, da ich bei der Vielzahl der im Netz angepriesenen Lösungen unsicher war, welche die richtige ist.
Den PC wieder im normalen Zustand gestartet und unter C/..../Local/ ... eine EXE mit zufälliger Buchstaben-Zahlen-Kombination gelöscht, von der ich gelesen habe, das diese der Auslöser des Problems sei. In der Aufregung habe ich vergessen, mir diese aufzuschreiben, sorry.

Ich habe dann AVIRA und Malwarebytes Anti-Malware laufen lassen. Bei AVIRA ließ sich die Log nicht speichern, bei Malwarebytes liegt die Log vor. Mehrere infizierte Dateien gefunden.

Zudem habe ich den Internet Explorer entfernt, da das Problem mit diesem Browser auftrat und ich gelesen hatte, dass der Browser befallen sein kann. Jetzt nutze ich gerade Firefox. Wenn das ganze naiv oder falsch war, sorry, aber ich bin einfach grad erdrückt von so vielen Informationen und zudem recht nervös wegen dem Trojaner.

Ich habe dann beschlossen, dass es das beste wäre, mich an euch zu wenden und eure drei Schritte laufen lassen:

-defogger
-OTL
-gmer

Es folgen die Logs:

Malwarebytes:

Zitat:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.04.15.13

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Adi :: RENEGARD02 [Administrator]

16.04.2013 03:13:29
MBAM-log-2013-04-16 (09-35-19).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 245934
Laufzeit: 26 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Daten: explorer.exe,C:\Dokumente und Einstellungen\Adi\Anwendungsdaten\skype.dat -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$6044dd20cac0d6aa27ecb4f3b3de6bd6\n.) Gut: (fastprox.dll) -> Keine Aktion durchgeführt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-281820438-4166202675-1097016901-1005\$6044dd20cac0d6aa27ecb4f3b3de6bd6\n.) Gut: (shell32.dll) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Adi\Anwendungsdaten\skype.dat (Trojan.Ransom.SVD) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Adi\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.Ransom.SVD) -> Keine Aktion durchgeführt.

(Ende)

defogger

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 09:56 on 16/04/2013 (Adi)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed

Checking for services/drivers...

-=E.O.F=-

OTL und gmer als Anhang

Edit: gmer hat sich eingefroren. Ich werde die OTL als Anhang hochladen und die gmer heute abend nachlegen.

Ich danke euch recht herzlich im Voraus für eure Hilfsbereitschaft. Ich werde heute gegen 22Uhr nach der Arbeit wieder online sein.

Meint ihr ich kann das wieder loswerden?

Hi,

ich bin etwas erstaunt, dass du diesen Rechner überhaupt aufstarten kannst ohne den Sperrbildschirm.. Der Eintrag ist nämlich noch da..
Anyway, da läuft auch noch ein Rootkit. Starte bitte so:

Schritt 1

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

WICHTIG: Speichere Combofix auf deinen Desktop.
Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und akzeptiere die Endbenutzer-Lizenz.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

Schliesse alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

reg query "HKLM\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0" /c

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}" /s /c

Schliesse bitte alle anderen Programme.
Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von Combofix
Log von AdwCleaner
Log von OTL

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.