Als erfahrener Computer-Nutzer bekam ich vor zwei Wochen von einem hilfesuchenden Verwandten einen bundespolizei-trojaner-verseuchten Rechner mit Windows XP.

Ich möchte den Rechner nicht komplett bereinigen.
Stattdessen möchte ich:

1. Den Computer von einem Stick booten (, um dem Trojaner keine Chance mehr zu geben, etwas zu manipulieren.)
2. Den Trojaner (Version) identifizieren und für Euch alle Evidenzen und Beweise sichern. (Damit später anderen geholfen werden kann.)
3. Wichtige Nutzerdaten sichern. (Auf einer externen Festplatte.)
4. Den Computer mit einem neuen Betriebssystem neu aufsetzen. (Das ist einfacher als eine Bereinigung.)

Wo finde ich Tipps oder Anleitungen für meine notwendigen ersten Schritte?

1. Wo finde ich Eure Anleitung, mit der ich einen Kartenlese-Stick mit SD-Karte bootfähig mache? (Das BIOS habe ich schon auf USB-Boot vorbereitet.) All Eure Anleitungen zu den Verschlüsselungs-Trojanern erwarten, dass ich auf das System zugreifen kann, was ja nicht geht. Also kann ich sie leider zurzeit noch nicht gebrauchen und komme nicht weiter.
2. Mache ich hier alles richtig oder was sollte ich vorher noch beachten? (Die Zahl der Foren-Regeln hier ist für mich noch unüberschaubar und erscheint mir etwas überfrachtet.)

Hallo und

Zitat:

Den Computer von einem Stick booten (, um dem Trojaner keine Chance mehr zu geben, etwas zu manipulieren.)

Warum muss es unbedingt von Stick sein? Eine Rettungs-CD auf Linuxbasis wie zB Parted Magic, Knoppix oder ein *ubuntu im Ausprobiermodus tut es doch auch

Zitat:

Den Trojaner (Version) identifizieren und für Euch alle Evidenzen und Beweise sichern. (Damit später anderen geholfen werden kann.)

Und was bitte für Beweise willst du da sichern?
Und würdest du auf einem anderen Wege besser helfen, kommt aber drauf an ob Windows auf dem betroffenen Rechner komplett gesperrt ist oder noch mit anderen Benutzerkonten bzw im abgesicherten Modus mit Netzwerktreibern bedienbar ist

Zitat:

Den Computer mit einem neuen Betriebssystem neu aufsetzen. (Das ist einfacher als eine Bereinigung.)

Man kann nicht pauschal sagen welcher Weg immer der einfachere oder schnellere Weg ist.

Zitat:

`(Die Zahl der Foren-Regeln hier ist für mich noch unüberschaubar und erscheint mir etwas überfrachtet.)

Die Regeln sind aber alle notwendig, gerade in einem Hilfeforum dieser Sorte sind sehr viele genaue Informationen einfach notwendig.

Zitat:

Zitat von cosinus

(...)
Und würdest du auf einem anderen Wege besser helfen, kommt aber drauf an ob Windows auf dem betroffenen Rechner komplett gesperrt ist oder noch mit anderen Benutzerkonten bzw im abgesicherten Modus mit Netzwerktreibern bedienbar ist

Man kann nicht pauschal sagen welcher Weg immer der einfachere oder schnellere Weg ist.

Hm, Abgesicherter Modus mit Netzwerktreibern hat für 30 Sekunden funktioniert. Dann meldete sich auch der Trojaner-Bildschirm. Habe ihn fotografiert (siehe Anhang).
Abgesicherter Modus mit Eingabeaufforderung funktioniert. Ich konnte sogar taskmgr starten. Der Trojaner stört dabei bisher nicht.

Da ist auch noch ein Administrator-Konto, mit dem ich mich bisher noch nicht angemeldet habe. (Ich warte lieber vorerst, bevor ich dem Trojaner Gelegenheit gebe es auch noch zu befallen.)
Ich habe aber auch eine Knoppix 3.1 aus dem Jahr 2006.
Was wäre jetzt empfehlenswert, ohne zu große Risiken einzugehen?
Was kann ich an der Eingabeaufforderung jetzt am besten machen?

Kannst du aus dem abgesicherten Modus einen Browser starten?
taskmgr.exe geht ja. Versuch da rüber mal zB firefox.exe zu starten. Wenn das geht bitte mal ein Log mit OTL.exe machen:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Danke für die ersten Hilfen!

Morgen mache weiter.

Aber mich würde vorher interessieren, ob OTL etwas löscht. Ich würde gerne immer vorher wissen, ob die eingesetzten Hilfsprogramme nur "schauen" oder auch "verändern" bzw. "löschen". (Natürlich versuche ich auch in der Doku der Programme etwas zu finden, aber das ist mühsam.)

(Speziell wäre ich daran interessiert, des angezeigten Trojaner-Bildschirms mit der Bußgeld-Forderung habhaft zu werden - bestimmt ist das eine versteckte Bilddatei. Es wäre schade, wenn dieselbe im Zuge der Trojaner-Beseitigung verloren ginge. Ich brauche das Bild zu Demonstrations-Zwecken - natürlich habe ich schon die Fotos, aber die sind nicht gut.)

Wie gesagt - die Scan-Logs mache ich morgen (bzw. heute vormittag).
Erfahre ich immer vorher, bevor etwas gelöscht wird?

Nein, OTL macht in diesem ersten Schritt nur eine Momentaufnahme

Tools, die sofort etwas entfernen wenn sie fündig werden, sollen auch nur eingesetzt werden, wenn dazu von einem Helfer aufgefordert. Sonst ist das zu riskant, dass sich eine Laie etwas zerschießz.
Darunter fällt v.a. Combofix! Also bitte erstmal nur das Log von OTL machen wenn möglich

Zitat:

Erfahre ich immer vorher, bevor etwas gelöscht wird?

Beim Tool wie zB OTL wirst du sehen welche Fixlogs ich dir "aufgeben" werde. Sollte Combofix zum Einsatz kommen, kann es Infektionen erkennen und automatisch beseitigen, das wirst du aber im Log erkennen und ich kann es dir bei Bedarf versuchen aufzuschlüsseln. Aber das ist noch Zukunftsmusik

Das Datum auf dem betroffenen Computer hatte ich es aus Sicherheitsüberlegungen im BIOS gestern auf einen Tag nach dem Befall zurück gesetzt (d. h. am 26.03.2013 steht es auf 04.03.2013). (Der Trojaner setzt ja eine Frist - ob das nur Fake ist, weiß ich nicht sicher.)

Danke, jetzt sind die OTL-Logdateien fertig.
(RAR im Anhang, da sonst zu groß. Ich hoffe das RAR-Format ist OK, sonst könnte ich auch zippen.)

In welchen Zeilen ist etwas Auffälliges zu sehen?
(Gibt es eine sogenannte GVU-Trojaner-Version zu erkennen?)

Ich habe noch etwas probiert:
C:\Programme\Mozilla Firefox\firefox.exe ließ sich auch starten.
C:\>explorer.exe (Enter) führte jedoch zur Anzeige des Trojaners.

Nach einem Neustart half zwar die Taste F8 (für Startoptionen) nichts, Windows XP startete einfach normal, doch merkwürdigerweise lässt sich der Computer jetzt längere Zeit normal benutzen, ohne dass der Trojaner sich meldet. Ich denke aber, die Gefahr ist noch nicht vorüber.

Wie kann es weitergehen?

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
SRV - (winmgmt) -- C:\Dokumente und Einstellungen\User\6148020.dll (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\runctf.lnk = C:\WINDOWS\system32\rundll32.exe (Microsoft Corporation)
:Files
C:\Dokumente und Einstellungen\User\6148020.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0208416.js
C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\runctf.lnk
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0208416.pad
ipconfig /flushdns /c
:Commands
[resethosts]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Prüf bitte nach dem FIx ob sich Windows wieder normal starten lässt ohne Blockade

Danke - nun scheint die Gefahr schon eher gebannt zu sein!

Den Parameter von ipconfig "/c" verstehe und kenne ich nicht.
Oder ist er nicht für ipconfig, sondern für OTL?

Die Logdatei "03042013 052332.log" ist im Anhang.
Die als "not found" gekennzeichneten Dateien waren vorhanden. Ich habe sie versehentlich verschoben (statt kopiert), dann zurück kopiert, also letztlich bewegt - und nun sind sie aus ihren Ursprungsordnern verschwunden. Ich habe sie noch (umbenannt) auf einem Stick.

Wurde nun schon etwas gelöscht?
(Meinen Trojaner-Bildschirm als Bilddatei brauche ich wohl nicht mehr, ich habe eine exakte Kopie (bis auf die IP-Daten) schon im Internet gefunden.)

Ein Neustart wurde nicht verlangt (ist das ein Fehler?) obwohl im Skript ja [resethosts] zu lesen war.

Ich habe trotzdem neu gestartet und der GVU-Trojaner meldet sich nicht mehr.

Vielen Dank für die Begleitung!

Ist das Problem schon gelöst oder gibt es noch weiteres zu tun / zu beachten?

Im meinem vorigen Beitrag ist das Ergebnis des Codes aus der Textbox in der OTL-Codebox.
Vielleicht ist der Schritt erfolgreich verlaufen und alles OK.

Da ich aber wohl unerlaubterweise (und schuldbewusst) selbst an den gefundenen Dateien herumgeschoben und -kopiert habe, bin ich unsicher, ob und wie ich mit Ihrer Hilfe die Trojanerbeseitigung ordentlich zuende bringen kann.

Sollte ich nochmal einen Scan mit OTL machen?
Oder ist alles OK?

Der Ordner C:\_OTL der ja auch die Malware-Dateien enthält, existiert noch.
Vielleicht sind noch weitere Scans zu machen?

Im Anhang sind die Inhalte aufgelistet (via MS-DOS Befehl "dir /s") von C:\_OTL und von dem USB-Stick, mit dem ich Dateien von und zum schadhaften PC übertrage. Damit wird transparent was von den bisher gefundenen Malware-Dateien wo noch vorhanden ist. An dem Ordner C:\_OTL habe ich nichts verändert und auch nicht an dem Skript aus der Textbox. Ich habe alle Anweisungen befolgt. Lediglich bevor ich dieses Skript bekam, hatte ich die gefundenen Dateien selbst aufgesucht und versucht auf meinen Trojanerbeseitigungs-USB-Stick (in den Ordner "Backup von ..." zu kopieren.

Ich wäre Ihnen dankbar, wenn wir (jetzt oder vielleicht erst nach Ostern) diese Aktion fortsetzen und ordentlich beenden könnten.

Bevor wir uns an die weitere Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Rootkitscan mit GMER

Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

• Probiere alternativ den abgesicherten Modus.
• Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



Und bitte die Logs nicht anhängen!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Auch ich bearbeite meine Aufgaben sehr gewissenhaft und umsichtig. Ich lese erst bevor ich handele. Ich vermeide, irgendwo "dazwischen zu funken".

Gmer:

Gmer lief problemlos unter einem zufälligem Dateinamen. Gmer.txt liegt jetzt auf dem Desktop.

Mit OK wurde GMER aber nicht beendet, sondern nur die Logdatei gespeichert. Mit der Schaltfläche "Exit" habe ich GMER beendet.

Netz-Zugang:

AVIRA ist nicht zu sehen. Ich weiß nicht, wer oder was es ausgeschaltet hat.
Ins Netz gehe ich mit dem Rechner aber noch nicht - erst nach Aufforderung oder wenn dieser Thread hier erfolgreich beendet ist. (Zum Glück konnte ich alle privaten Dateien inzwischen sichern. Neuaufsetzen wäre möglich. Aber ich habe noch mindestens eine weitere Woche Zeit, diesen Fall nach Trojaner-Board-Vorgehensweise zuende zu führen.)

Malwarebytes:

Ich möchte mit dem verseuchten Rechner noch nicht ins Netz, weil AVIRA von Unbekannten ausgeschaltet wurde. Daher möchte ich Malwarebytes aktualisieren, bevor ich es auf den betroffenen PC transferiere. Anderslautenden Anweisungen hierzu werde ich aber Folge leisten.

Ich versuche jetzt mit der mbar-ZIP-Datei erstmal auf meinem Internet-Rechner klar zu kommen. Leider meldet schon der Start auf meinem Internet-Rechner ein Problem:
"DDA driver was not installed which may be caused by rootkit activity. Do you want to reboot the computer to install DDA driver (Scan will continue after reboot)?"
Ich melde mich, wenn ich weiter weiß. Wenn ich AVIRA problemlos einschalten kann, werde ich vielleicht doch schon jetzt mit dem betroffenen Rechner für das benötigte Update von mbar kurz ins Netz gehen.

Bitte das Log von GMER posten

Den betroffenen Rechner komplett ohne Internetzugang zu analysieren geschweige denn zu bereinigen ist eine aufwändige und umständliche Sache, wenn du diesem System eh nicht mehr vorn und hinten nicht mehr traust dann setze es bitte einfach neu auf.

Ach so, es hatte den Anschein, das Gmer-Log soll nur auf den Desktop abgelegt werden. Hier ist es:
[CODE]
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 2.1.19155 - hxxp://www.gmer.net
Rootkit scan 2013-03-05 05:08:44
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-c HDT722516DLAT80 rev.V43OA96A 153,39GB
Running: sc8t0rs5.exe; Driver: C:\DOKUME~1\User\LOKALE~1\Temp\kggyypoc.sys


---- Kernel code sections - GMER 2.1 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys  section is writeable [0xF5A80360, 0x354C5F, 0xE8000020]
?               System32\Drivers\hiber_WMILIB.SYS         Das System kann den angegebenen Pfad nicht finden. !

---- Devices - GMER 2.1 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                    PGPsdk.sys
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0   PGPsdk.sys
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1   PGPsdk.sys
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1    snapman.sys
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2    snapman.sys
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3    snapman.sys

---- Disk sectors - GMER 2.1 ----

Disk            \Device\Harddisk0\DR0                     unknown MBR code

---- EOF - GMER 2.1 ----
         

--- --- ---


Ebenso habe ich jetzt eine Mbar Logdatei erstellt. (Hierfür habe ich ein MBAR verwendet, dass zuvor auf einem anderen Computer auf den neuesten Stand gebracht wurde):

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.29.14

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
User :: USER-1F0F481DC8 [administrator]

07.03.2013 01:13:03
mbar-log-2013-03-07 (01-13-03).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25894
Time elapsed: 54 minute(s), 17 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

Es ist nicht so, dass ich dem betroffenen Computer nicht mehr traue. Ich glaube sogar, der GVU-Trojaner war die einzige Infektion. Jedoch wundert mich, dass auf dem Computer kein AVIRA mehr installiert war.

(Es wäre allerdings vorstellbar, dass der Besitzer bei einem Produkt-Update auf die neue AVIRA-Version 2013 nach Deinstallation der alten Version 2012 unterbrochen wurde, den Computer nach halb fertiger Arbeit in ungeschütztem Zustand verließ und dann vergessen hatte, die neue AVIRA-Version zu installieren bevor er das Internet benutzte.)

Soll ich AVIRA jetzt installieren, bevor alles fertig ist? Oder lieber abwarten, was noch zu scannen / zu untersuchen ist? (Ganz ohne AVIRA gehe ich damit wirklich ungern ins Internet.)

Nein nichts installieren bevor wir hier fertig nicht sind

aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.