Windows XP SP3: GVU Trojaner

ClaraLiv · 28.08.2013, 11:56

Hallo liebe Helfer und Helferinnen!

Wie Ihr dem Titel entnehmen könnt, habe ich meinen Rechner leider mit dem GVU / BKA Trojaner infiziert. Nach wenigen Minuten bekomme ich die bekannte Meldung, dass ich böse Dinge verbrochen habe und nun auf seriösem Wege Geld bezahlen soll.

Was habe ich bisher getan:

Der Taskmanager wird direkt nach aufruf ausgeblendet und andere mir bekannte Tastenkombinationen waren ebenfalls ohne Wirkung.

Ich arbeite seitdem mit meinem Rechner im Abgeschterten Modus mit Netzwerktreibern. Als erstes ließ ich mir alle versteckten Dateien anzeigen und durchsuchte meinen Autostart Ordner nach unseriösen Verknüpfungen. Komplett gelöscht habe ich ihn jedoch nicht.

Da ich hiermit nicht sonderlich erfloglreich war, versuchte ich die Eingabeaufforderung / CMD zu öffnen, was ein direktes Herunterfahren meines Rechners zurfolge hatte. Gleiches, wenn ich den Rechner direkt im Abgesichterten Modus mit Eingabeaufforderung starten möchte.

Ab da dachte ich mir, dass es vielleicht gar nicht sinnvoll ist, wenn ich eine Systemwiederherstellung aufspiele, da der Trojaner vielleicht ausgereifter ist als ich dachte und ich das Infektionsdatum gar nicht genau festlegen kann.

Nun der letzte Schritt ist, dass ich mich an Euch wende und hoffe, dass Ihr mir ohne großen Aufwand für Euch helfen könnt. Ich habe die Checkliste so weit es ging abgearbeitet, obwohl ich mir gar nicht sicher bin, ob Euch Logs im Abgesicherten Modus helfen...aber gut.
Ich hänge nun die Logs vom Defogger und GMER an. FRST habe ich nicht ausgeführt, da ich mir nicht hundertprozentig sicher bin, ob ich nun eine 32- oder 64Bit Version habe. Logs vom Antivirus habe ich nun erst einmal auch nicht, da dieser im Abgesicherten Modus nicht mitstartet.

Sofern die Informationen hier noch nicht genügen sollten, sagt mir kurz wie und ich liefere Euch nach, was ich kann! Abschließend wäre es schön, wenn jemandem die typische Sicherheitslücke bekannt wäre die hier so gern und leider auch gut ausgenutzt wird.

Ich danke Euch im Voraus für die Hilfe!!!

Mit freundlichem Gruß

defogger_disable.txt

Code:

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 17:19 on 30/03/2013 (User)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

GMER.txt

Code:

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-03-30 17:48:07
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST960813AS rev.3.CLF 55,89GB
Running: 3o298zbm.exe; Driver: C:\DOKUME~1\User\LOKALE~1\Temp\fxtdqpoc.sys


---- Devices - GMER 2.1 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                          wdf01000.sys
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                          wdf01000.sys
AttachedDevice  \FileSystem\Fastfat \Fat                                                                         fltMgr.sys

---- Registry - GMER 2.1 ----

Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016ceeaa186 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016ceecf235 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016cfeec034 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0020e04921a1 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0020e074d166 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0020e0cb6c73 (not active ControlSet)  

---- EOF - GMER 2.1 ----

Windows XP SP3: GVU Trojaner

Log-Analyse und Auswertung: Windows XP SP3: GVU Trojaner

Windows XP SP3: GVU Trojaner

Ähnliche Themen: Windows XP SP3: GVU Trojaner