Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: XP-Tower mit Bundespolizei-Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.03.2013, 13:30   #1
fmeyer
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Als erfahrener Computer-Nutzer bekam ich vor zwei Wochen von einem hilfesuchenden Verwandten einen bundespolizei-trojaner-verseuchten Rechner mit Windows XP.

Ich möchte den Rechner nicht komplett bereinigen.
Stattdessen möchte ich:
  1. Den Computer von einem Stick booten (, um dem Trojaner keine Chance mehr zu geben, etwas zu manipulieren.)
  2. Den Trojaner (Version) identifizieren und für Euch alle Evidenzen und Beweise sichern. (Damit später anderen geholfen werden kann.)
  3. Wichtige Nutzerdaten sichern. (Auf einer externen Festplatte.)
  4. Den Computer mit einem neuen Betriebssystem neu aufsetzen. (Das ist einfacher als eine Bereinigung.)

Wo finde ich Tipps oder Anleitungen für meine notwendigen ersten Schritte?
  1. Wo finde ich Eure Anleitung, mit der ich einen Kartenlese-Stick mit SD-Karte bootfähig mache? (Das BIOS habe ich schon auf USB-Boot vorbereitet.) All Eure Anleitungen zu den Verschlüsselungs-Trojanern erwarten, dass ich auf das System zugreifen kann, was ja nicht geht. Also kann ich sie leider zurzeit noch nicht gebrauchen und komme nicht weiter.
  2. Mache ich hier alles richtig oder was sollte ich vorher noch beachten? (Die Zahl der Foren-Regeln hier ist für mich noch unüberschaubar und erscheint mir etwas überfrachtet.)

Geändert von fmeyer (26.03.2013 um 13:57 Uhr) Grund: Klammern vergessen

Alt 26.03.2013, 14:04   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Hallo und

Zitat:
Den Computer von einem Stick booten (, um dem Trojaner keine Chance mehr zu geben, etwas zu manipulieren.)
Warum muss es unbedingt von Stick sein? Eine Rettungs-CD auf Linuxbasis wie zB Parted Magic, Knoppix oder ein *ubuntu im Ausprobiermodus tut es doch auch

Zitat:
Den Trojaner (Version) identifizieren und für Euch alle Evidenzen und Beweise sichern. (Damit später anderen geholfen werden kann.)
Und was bitte für Beweise willst du da sichern?
Und würdest du auf einem anderen Wege besser helfen, kommt aber drauf an ob Windows auf dem betroffenen Rechner komplett gesperrt ist oder noch mit anderen Benutzerkonten bzw im abgesicherten Modus mit Netzwerktreibern bedienbar ist

Zitat:
Den Computer mit einem neuen Betriebssystem neu aufsetzen. (Das ist einfacher als eine Bereinigung.)
Man kann nicht pauschal sagen welcher Weg immer der einfachere oder schnellere Weg ist.

Zitat:
`(Die Zahl der Foren-Regeln hier ist für mich noch unüberschaubar und erscheint mir etwas überfrachtet.)
Die Regeln sind aber alle notwendig, gerade in einem Hilfeforum dieser Sorte sind sehr viele genaue Informationen einfach notwendig.
__________________

__________________

Alt 26.03.2013, 14:39   #3
fmeyer
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Zitat:
Zitat von cosinus Beitrag anzeigen
(...)
Und würdest du auf einem anderen Wege besser helfen, kommt aber drauf an ob Windows auf dem betroffenen Rechner komplett gesperrt ist oder noch mit anderen Benutzerkonten bzw im abgesicherten Modus mit Netzwerktreibern bedienbar ist

Man kann nicht pauschal sagen welcher Weg immer der einfachere oder schnellere Weg ist.
Hm, Abgesicherter Modus mit Netzwerktreibern hat für 30 Sekunden funktioniert. Dann meldete sich auch der Trojaner-Bildschirm. Habe ihn fotografiert (siehe Anhang).
Abgesicherter Modus mit Eingabeaufforderung funktioniert. Ich konnte sogar taskmgr starten. Der Trojaner stört dabei bisher nicht.

Da ist auch noch ein Administrator-Konto, mit dem ich mich bisher noch nicht angemeldet habe. (Ich warte lieber vorerst, bevor ich dem Trojaner Gelegenheit gebe es auch noch zu befallen.)
Ich habe aber auch eine Knoppix 3.1 aus dem Jahr 2006.
Was wäre jetzt empfehlenswert, ohne zu große Risiken einzugehen?
Was kann ich an der Eingabeaufforderung jetzt am besten machen?
__________________
Miniaturansicht angehängter Grafiken
XP-Tower mit Bundespolizei-Trojaner-20130303-trojaner-foto-oberer-teil.jpg   XP-Tower mit Bundespolizei-Trojaner-20130303-trojaner-foto-unterer-teil.jpg  

Geändert von fmeyer (26.03.2013 um 15:31 Uhr) Grund: Neuer Ansatz - Eingabeaufforderung nutzen.

Alt 26.03.2013, 16:08   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Kannst du aus dem abgesicherten Modus einen Browser starten?
taskmgr.exe geht ja. Versuch da rüber mal zB firefox.exe zu starten. Wenn das geht bitte mal ein Log mit OTL.exe machen:
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in CODE-Tags in den Thread.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.03.2013, 02:02   #5
fmeyer
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Danke für die ersten Hilfen!

Morgen mache weiter.

Aber mich würde vorher interessieren, ob OTL etwas löscht. Ich würde gerne immer vorher wissen, ob die eingesetzten Hilfsprogramme nur "schauen" oder auch "verändern" bzw. "löschen". (Natürlich versuche ich auch in der Doku der Programme etwas zu finden, aber das ist mühsam.)

(Speziell wäre ich daran interessiert, des angezeigten Trojaner-Bildschirms mit der Bußgeld-Forderung habhaft zu werden - bestimmt ist das eine versteckte Bilddatei. Es wäre schade, wenn dieselbe im Zuge der Trojaner-Beseitigung verloren ginge. Ich brauche das Bild zu Demonstrations-Zwecken - natürlich habe ich schon die Fotos, aber die sind nicht gut.)

Wie gesagt - die Scan-Logs mache ich morgen (bzw. heute vormittag).
Erfahre ich immer vorher, bevor etwas gelöscht wird?


Alt 27.03.2013, 02:09   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Nein, OTL macht in diesem ersten Schritt nur eine Momentaufnahme

Tools, die sofort etwas entfernen wenn sie fündig werden, sollen auch nur eingesetzt werden, wenn dazu von einem Helfer aufgefordert. Sonst ist das zu riskant, dass sich eine Laie etwas zerschießz.
Darunter fällt v.a. Combofix! Also bitte erstmal nur das Log von OTL machen wenn möglich

Zitat:
Erfahre ich immer vorher, bevor etwas gelöscht wird?
Beim Tool wie zB OTL wirst du sehen welche Fixlogs ich dir "aufgeben" werde. Sollte Combofix zum Einsatz kommen, kann es Infektionen erkennen und automatisch beseitigen, das wirst du aber im Log erkennen und ich kann es dir bei Bedarf versuchen aufzuschlüsseln. Aber das ist noch Zukunftsmusik
__________________
--> XP-Tower mit Bundespolizei-Trojaner

Alt 27.03.2013, 12:37   #7
fmeyer
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Das Datum auf dem betroffenen Computer hatte ich es aus Sicherheitsüberlegungen im BIOS gestern auf einen Tag nach dem Befall zurück gesetzt (d. h. am 26.03.2013 steht es auf 04.03.2013). (Der Trojaner setzt ja eine Frist - ob das nur Fake ist, weiß ich nicht sicher.)

Danke, jetzt sind die OTL-Logdateien fertig.
(RAR im Anhang, da sonst zu groß. Ich hoffe das RAR-Format ist OK, sonst könnte ich auch zippen.)

In welchen Zeilen ist etwas Auffälliges zu sehen?
(Gibt es eine sogenannte GVU-Trojaner-Version zu erkennen?)

Ich habe noch etwas probiert:
C:\Programme\Mozilla Firefox\firefox.exe ließ sich auch starten.
C:\>explorer.exe (Enter) führte jedoch zur Anzeige des Trojaners.

Nach einem Neustart half zwar die Taste F8 (für Startoptionen) nichts, Windows XP startete einfach normal, doch merkwürdigerweise lässt sich der Computer jetzt längere Zeit normal benutzen, ohne dass der Trojaner sich meldet. Ich denke aber, die Gefahr ist noch nicht vorüber.

Wie kann es weitergehen?

Geändert von fmeyer (27.03.2013 um 13:11 Uhr)

Alt 27.03.2013, 16:04   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
:OTL
SRV - (winmgmt) -- C:\Dokumente und Einstellungen\User\6148020.dll (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\runctf.lnk = C:\WINDOWS\system32\rundll32.exe (Microsoft Corporation)
:Files
C:\Dokumente und Einstellungen\User\6148020.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0208416.js
C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\runctf.lnk
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0208416.pad
ipconfig /flushdns /c
:Commands
[resethosts]
         
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


Prüf bitte nach dem FIx ob sich Windows wieder normal starten lässt ohne Blockade
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.03.2013, 18:54   #9
fmeyer
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Danke - nun scheint die Gefahr schon eher gebannt zu sein!

Den Parameter von ipconfig "/c" verstehe und kenne ich nicht.
Oder ist er nicht für ipconfig, sondern für OTL?

Die Logdatei "03042013 052332.log" ist im Anhang.
Die als "not found" gekennzeichneten Dateien waren vorhanden. Ich habe sie versehentlich verschoben (statt kopiert), dann zurück kopiert, also letztlich bewegt - und nun sind sie aus ihren Ursprungsordnern verschwunden. Ich habe sie noch (umbenannt) auf einem Stick.

Wurde nun schon etwas gelöscht?
(Meinen Trojaner-Bildschirm als Bilddatei brauche ich wohl nicht mehr, ich habe eine exakte Kopie (bis auf die IP-Daten) schon im Internet gefunden.)

Ein Neustart wurde nicht verlangt (ist das ein Fehler?) obwohl im Skript ja [resethosts] zu lesen war.

Ich habe trotzdem neu gestartet und der GVU-Trojaner meldet sich nicht mehr.

Vielen Dank für die Begleitung!

Ist das Problem schon gelöst oder gibt es noch weiteres zu tun / zu beachten?
Angehängte Dateien
Dateityp: log 03042013_052332.log (2,3 KB, 137x aufgerufen)

Alt 28.03.2013, 07:34   #10
fmeyer
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Im meinem vorigen Beitrag ist das Ergebnis des Codes aus der Textbox in der OTL-Codebox.
Vielleicht ist der Schritt erfolgreich verlaufen und alles OK.

Da ich aber wohl unerlaubterweise (und schuldbewusst) selbst an den gefundenen Dateien herumgeschoben und -kopiert habe, bin ich unsicher, ob und wie ich mit Ihrer Hilfe die Trojanerbeseitigung ordentlich zuende bringen kann.

Sollte ich nochmal einen Scan mit OTL machen?
Oder ist alles OK?

Der Ordner C:\_OTL der ja auch die Malware-Dateien enthält, existiert noch.
Vielleicht sind noch weitere Scans zu machen?

Im Anhang sind die Inhalte aufgelistet (via MS-DOS Befehl "dir /s") von C:\_OTL und von dem USB-Stick, mit dem ich Dateien von und zum schadhaften PC übertrage. Damit wird transparent was von den bisher gefundenen Malware-Dateien wo noch vorhanden ist. An dem Ordner C:\_OTL habe ich nichts verändert und auch nicht an dem Skript aus der Textbox. Ich habe alle Anweisungen befolgt. Lediglich bevor ich dieses Skript bekam, hatte ich die gefundenen Dateien selbst aufgesucht und versucht auf meinen Trojanerbeseitigungs-USB-Stick (in den Ordner "Backup von ..." zu kopieren.

Ich wäre Ihnen dankbar, wenn wir (jetzt oder vielleicht erst nach Ostern) diese Aktion fortsetzen und ordentlich beenden könnten.
Angehängte Dateien
Dateityp: txt Inhalte Verzeichnis C___OTL.txt (4,1 KB, 126x aufgerufen)
Dateityp: txt Inhalt des USB-Sticks.txt (8,2 KB, 139x aufgerufen)

Alt 28.03.2013, 12:47   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Bevor wir uns an die weitere Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Rootkitscan mit GMER

Bitte lade dir GMER Rootkit Scanner GMER herunter: (Dateiname zufällig)
  • Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
  • Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei: IAT/EAT und Show All
  • Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
  • Starte den Scan mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Tauchen Probleme auf?
  • Probiere alternativ den abgesicherten Modus.
  • Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.


Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



Und bitte die Logs nicht anhängen!


Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.03.2013, 18:46   #12
fmeyer
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Auch ich bearbeite meine Aufgaben sehr gewissenhaft und umsichtig. Ich lese erst bevor ich handele. Ich vermeide, irgendwo "dazwischen zu funken".

Gmer:

Gmer lief problemlos unter einem zufälligem Dateinamen. Gmer.txt liegt jetzt auf dem Desktop.

Mit OK wurde GMER aber nicht beendet, sondern nur die Logdatei gespeichert. Mit der Schaltfläche "Exit" habe ich GMER beendet.

Netz-Zugang:

AVIRA ist nicht zu sehen. Ich weiß nicht, wer oder was es ausgeschaltet hat.
Ins Netz gehe ich mit dem Rechner aber noch nicht - erst nach Aufforderung oder wenn dieser Thread hier erfolgreich beendet ist. (Zum Glück konnte ich alle privaten Dateien inzwischen sichern. Neuaufsetzen wäre möglich. Aber ich habe noch mindestens eine weitere Woche Zeit, diesen Fall nach Trojaner-Board-Vorgehensweise zuende zu führen.)

Malwarebytes:

Ich möchte mit dem verseuchten Rechner noch nicht ins Netz, weil AVIRA von Unbekannten ausgeschaltet wurde. Daher möchte ich Malwarebytes aktualisieren, bevor ich es auf den betroffenen PC transferiere. Anderslautenden Anweisungen hierzu werde ich aber Folge leisten.

Ich versuche jetzt mit der mbar-ZIP-Datei erstmal auf meinem Internet-Rechner klar zu kommen. Leider meldet schon der Start auf meinem Internet-Rechner ein Problem:
"DDA driver was not installed which may be caused by rootkit activity. Do you want to reboot the computer to install DDA driver (Scan will continue after reboot)?"
Ich melde mich, wenn ich weiter weiß. Wenn ich AVIRA problemlos einschalten kann, werde ich vielleicht doch schon jetzt mit dem betroffenen Rechner für das benötigte Update von mbar kurz ins Netz gehen.

Geändert von fmeyer (28.03.2013 um 19:30 Uhr) Grund: Irrtum und Tippfehler beseitigt.

Alt 29.03.2013, 01:11   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Bitte das Log von GMER posten

Den betroffenen Rechner komplett ohne Internetzugang zu analysieren geschweige denn zu bereinigen ist eine aufwändige und umständliche Sache, wenn du diesem System eh nicht mehr vorn und hinten nicht mehr traust dann setze es bitte einfach neu auf.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.03.2013, 14:45   #14
fmeyer
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Ach so, es hatte den Anschein, das Gmer-Log soll nur auf den Desktop abgelegt werden. Hier ist es:
[CODE]
GMER Logfile:
Code:
ATTFilter
GMER 2.1.19155 - hxxp://www.gmer.net
Rootkit scan 2013-03-05 05:08:44
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-c HDT722516DLAT80 rev.V43OA96A 153,39GB
Running: sc8t0rs5.exe; Driver: C:\DOKUME~1\User\LOKALE~1\Temp\kggyypoc.sys


---- Kernel code sections - GMER 2.1 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys  section is writeable [0xF5A80360, 0x354C5F, 0xE8000020]
?               System32\Drivers\hiber_WMILIB.SYS         Das System kann den angegebenen Pfad nicht finden. !

---- Devices - GMER 2.1 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                    PGPsdk.sys
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0   PGPsdk.sys
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1   PGPsdk.sys
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1    snapman.sys
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2    snapman.sys
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3    snapman.sys

---- Disk sectors - GMER 2.1 ----

Disk            \Device\Harddisk0\DR0                     unknown MBR code

---- EOF - GMER 2.1 ----
         
--- --- ---


Ebenso habe ich jetzt eine Mbar Logdatei erstellt. (Hierfür habe ich ein MBAR verwendet, dass zuvor auf einem anderen Computer auf den neuesten Stand gebracht wurde):
Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.29.14

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
User :: USER-1F0F481DC8 [administrator]

07.03.2013 01:13:03
mbar-log-2013-03-07 (01-13-03).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25894
Time elapsed: 54 minute(s), 17 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         
Es ist nicht so, dass ich dem betroffenen Computer nicht mehr traue. Ich glaube sogar, der GVU-Trojaner war die einzige Infektion. Jedoch wundert mich, dass auf dem Computer kein AVIRA mehr installiert war.

(Es wäre allerdings vorstellbar, dass der Besitzer bei einem Produkt-Update auf die neue AVIRA-Version 2013 nach Deinstallation der alten Version 2012 unterbrochen wurde, den Computer nach halb fertiger Arbeit in ungeschütztem Zustand verließ und dann vergessen hatte, die neue AVIRA-Version zu installieren bevor er das Internet benutzte.)

Soll ich AVIRA jetzt installieren, bevor alles fertig ist? Oder lieber abwarten, was noch zu scannen / zu untersuchen ist? (Ganz ohne AVIRA gehe ich damit wirklich ungern ins Internet.)

Alt 30.03.2013, 16:08   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
XP-Tower mit Bundespolizei-Trojaner - Standard

XP-Tower mit Bundespolizei-Trojaner



Nein nichts installieren bevor wir hier fertig nicht sind

aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




TDSS-Killer

Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu XP-Tower mit Bundespolizei-Trojaner
alter, anderen, anleitung, aufsetzen, betriebssystem, bios, boot-stick, booten, einfach, festplatte, gelöscht, ide, karte, komplett, löschen, neue, neuen, platte, rechner, stick, system, tipps, trojaneridentifikation, version, windows, woche, wochen



Ähnliche Themen: XP-Tower mit Bundespolizei-Trojaner


  1. Win7 hängt sich auf & im Tower rödelt es dabei komisch...
    Plagegeister aller Art und deren Bekämpfung - 06.08.2015 (5)
  2. Win7 hängt sich auf & im Tower rödelt es dabei komisch...
    Plagegeister aller Art und deren Bekämpfung - 03.08.2015 (7)
  3. 1 Woche Alter Tower Pc aufeinmal Langsam
    Alles rund um Windows - 13.02.2015 (1)
  4. BundesPolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (13)
  5. Tower und externe Laufwerke infiziert
    Plagegeister aller Art und deren Bekämpfung - 10.10.2012 (5)
  6. Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (10)
  7. Bundespolizei-Trojaner 26.7.
    Plagegeister aller Art und deren Bekämpfung - 29.07.2012 (23)
  8. Virus auf Notebook, was ist mit Homeserver und Tower-PC
    Plagegeister aller Art und deren Bekämpfung - 21.03.2012 (5)
  9. Bundespolizei Trojaner
    Log-Analyse und Auswertung - 15.03.2012 (38)
  10. Bundespolizei-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.03.2012 (25)
  11. Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.03.2012 (2)
  12. Trojaner der Bundespolizei
    Plagegeister aller Art und deren Bekämpfung - 04.03.2012 (3)
  13. Bundespolizei-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 02.03.2012 (1)
  14. Bundespolizei Trojaner!
    Log-Analyse und Auswertung - 29.02.2012 (11)
  15. Bundespolizei-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.02.2012 (11)
  16. Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 31.01.2012 (13)
  17. Gibt es einen Farbcode für Kabel, die Bord mit ATX-Tower verbinden?
    Netzwerk und Hardware - 27.11.2003 (11)

Zum Thema XP-Tower mit Bundespolizei-Trojaner - Als erfahrener Computer-Nutzer bekam ich vor zwei Wochen von einem hilfesuchenden Verwandten einen bundespolizei-trojaner-verseuchten Rechner mit Windows XP. Ich möchte den Rechner nicht komplett bereinigen. Stattdessen möchte ich: Den Computer - XP-Tower mit Bundespolizei-Trojaner...
Archiv
Du betrachtest: XP-Tower mit Bundespolizei-Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.