Bundestrojaner entfernen Win7 64bit Standardbenutzer-Account befallen
 

Hallo an die Trojaner-Board-Forums-Helfer,

hab mir (bzw. meine Freundin wars) auf dem Laptop irgendwie den Bundestrojaner eingefangen.
Jetzt hab ich gegoogelt und da war der Ratschlag Windows neu zu installieren, da kann mir hier hoffentlich jemand mit nicht ganz so radikalen Mitteln weiterhelfen. :wtf:

Vorab befallen ist nur der Standardnutzer-Account unter Win7, d.h. darunter kann ich jetzt gar nichts mehr machen es erscheint gleich das Bundespolizei-Bild und Taskmanager und Taskleiste sind deaktivert / gesperrt. Der Admin-Account ist nicht betroffen (scheint zumindest so), damit kann ich hier zum Glück ins Forum!

Mit Avira AntiVir konnte ich gestern schon einiges (unter dem Standardnutzer-Account) entfernen und dachte ich wäre schon über Berg. Anti-Malware hab ich als admin mehrfach laufen lassen, aber da wurde leider gar nichts gefunden.
Heute kam dann das Bundestrojaner-Bild... :headbang:

Auszug aus dem Logfile von gestern:
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3H6PIA71\users_root_file_file[1].exe
[FUND] Ist das Trojanische Pferd TR/Gendal.KD.346085
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZN0CMJJQ\readme[1].exe
[FUND] Ist das Trojanische Pferd TR/Ransom.EY.8
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\a317d42-7377d9be
[0] Archivtyp: ZIP
--> mail/MailAgent.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AT
--> mail/VirtualTable.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR

Heute konnte ich noch unterm admin folgendes finden und entfernt/löschen:

C:\Users\***\AppData\Local\Mozilla\SeaMonkey\Profiles\tf4hxibc.default\Cache\4\0A\21F06d01
[0] Archivtyp: PDF
--> pdf_form_0.avp
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.zak

C:\Users\***\AppData\Local\Mozilla\SeaMonkey\Profiles\tf4hxibc.default\Cache\D\36\2F4FEd01
[FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Agent.ghi

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\5416cdcc-1e6bf8a4
[0] Archivtyp: ZIP
--> mail/MailAgent.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AT
--> mail/VirtualTable.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR

Ja gut äh wie kann ich das Teil findet und entfernen? :killpc:

Bitte trotzdem alle Logs davon posten

Anbei wie gewünscht die Logfiles von Anti-malware (ohne Fund) und Antivir (mit diversen Funden), ich hoffe es hilft etwas weiter.
Antivir hat vorhin automatisch (ohne extra den Suchlauf zu starten) die mahmud.exe gefunden, welche wohl dem Bundestrojaner zu zuordnen ist.

Da sich der Bundestrojaner unterm Standard-Nutzer-Account gleich zu Beginn von selbst gestartet hat, wie bekomme ich den da raus?

Wenn ich mich als Admin bei Windows anmelde kann ich die Registry-Einträge vom Standard-Nutzer nicht sehen, da current-user der Logik zu Folge dann die vom Admin sein müssten und die sind okay. :stirn:

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Boah der ESET-Scan hat knapp 2 Stunden gedauert, hat aber zumindestens was gefunden :Boogie:

Ist ein Fehlalarm.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Wirklich Fehlalarm? Denn seit sich der Bundestrojaner auf dem Rechner ausgebreitet hat, bekomme ich beim Samsung Wartungscenter nämlich auch eine Fehlermeldung dass die Sicherung nicht korrekt fertig gestellt werden konnte.

Anbei noch die OTL.txt als zip, war leider um ca. 20 kb zu groß :stirn:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Merci nochmal für deine gute und schnelle Unterstützung :applaus:
Soweit wie ich es aus dem OTL-File erkennen kann, müsste es sauber sein.
Oder fällt dir noch was auf?
Denke ich werde mich jetzt mal wieder trauen unter dem Standard-User Account anmelden und abchecken ob alles wieder funzt :party:

Läuft alles wieder einwandfrei auch beim Standard-User, also nochmal ein herzliches Dankeschön für deine Hilfe cosinus :applaus:

Hab gestern noch jeweils einmal mal Anti-Malware und Anti-Vir durchlaufen lassen ohne Befund. Danach hab ich den Anti-Vir deinstalliert, da ich jetzt auf G-DATA InternetSecurity 2012 umgestiegen bin.

Siehe da, bei der Systemüberprüfung mit G-DATA sind nochmal zwei Trojaner im Seamonkey Browser-Cache aufgetaucht :twak:
Werde jetzt sicherheitshalber den Browser-Cache mal leeren/löschen sofern möglich, dürfte i.d. Regel ja kein Problem sein bzw. machen, oder hast du noch einen anderen Tipp auf Lager?

Warum nur ne Suite :(
Die Dinger sind fette und idR kontraproduktive Systembremsen. Ein reiner Virenscanner plus Windows-Firewall ist da deutlich beser.


Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Wie ich schon im ersten Post geschrieben habe nutze ich den Laptop nicht selbst, deswegen habe ich bewusst auf eine Suite zurück gegriffen.
Da dies für mich einige wesentliche Vorteile bringt, aber nur wenn man als User für Malwareprogramme nicht so wirklich sensibel ist, sonst bin ich da deiner meiner das ein Antiviren-Programm in der Regel ausreicht:
- Firewall ist etwas "schärfer" als die Windows hauseigene
- Emails werden mit gescannt
- Zusätzlich noch ein Webschutz der z.B. auch übern Messenger wacht

Antivir hatte zwar auch immer was gefunden, aber leider erst immer nach dem Befall und da läuft lieber das System etwas langsamer was eh nicht auffallen dürfte :pfeiff:

Was für ein Antiviren-Programm nutzt du denn?
Gibts deiner Meinung nach Unterschiede zwischen den Free und kostenpflichtigen Versionen? z.B. Free-AV und Antivir-Premium (ohne Suite)?

Unten anbei noch das Logfile vom tdssskiller, wobei der aber nichts gefunden hatte bis auf einen nicht zertifizierten USB-Modemtreiber, welcher vermutlich noch ein Relikt aus dem Urlaub ist wo wir einen GSM-USB-Stick zum laufen bekommen wollten, ging aber leider nicht da es fürs 64-bit keine Treiber gab.

Achso hätte ich fast vergessen, sollte ich denn tdsskiller auch mal unterm Standard-User, welcher ursprünglich auch befallen war, laufen lassen oder checkt der tdsskiller das auch vom admin-Benutzer aus? :crazy:

Und? Deswegen wird sie nicht sinnvoller.

Die in Suites enthaltenen Firewalls sind idR kontraproduktiv, hier mal lesen => Editorial | c't

Naja wirklich wichtig ist das nicht. Und auch kein Garant dafür, dass jeder schädliche Anhang erkannt wird. Außerdem bieten schon fast alle Freemailprovider E-Mail-Scanning an, ist imho ziemlich überflüssig das auch nochmal auf dem heimischen Rechner machen zu müssen.

Wer es braucht. :pfeiff:
Sinnvolle Konfiguration, ständiges Aktuellhalten der verwendeten Software, Nutzen eingeschränkter Rechter find ich da deutlich sinnvoller und dann ist so ein von Featuritis vollgestopftes Softwareprodukt arbeitslos.

Unter Windows maximal Malwarebytes. Meinem Vater hab ich auf seinem Win7-Notebook MSE installiert, aber er berichtete mir gestern, dass er den "Quatsch" eigentlich nicht braucht, er sei mit Malwarebytes allein hochzufrieden.
Unter Ubuntu hab ich logischerweise keinen Virenscanner, warum auch. :D

Sicher gibt es da Unterschiede, aber als Privatperson ist ein Bezahlversion nicht wirklich nötig.




Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

War da eigentlich bisher genau deiner Ansicht,
aber wenn trotz Einschränkung der Nutzerrechte als Win-Standard-User (Software Aktualisieren ist für mich selbstverständlich!) sich mal wieder Malware einschleicht, wie jetzt der Bundestrojaner, probier ich jetzt diese Variante.
Solange es funktioniert, d.h. Malware vor der Infektion/Ausbreitung gefunden wird, ist es mir die paar Euros wert und wer es nicht selbst mal ausprobiert (c't ?) kann es meines Erachtens auch nicht richtig Beurteilen. :wtf:
Außerdem ist die ganze Thematik schwer abhängig vom Nutzerverhalten und wenn man dies nur bedingt beeinflussen kann muss man sich halt was anderes einfallen lassen :twak:

Zu guter letzt im Anhang noch das Combofix-Log, dürfte sauber sein ?!?

Und da soll ein Virenscanner wie genau vor schützen? Wenn da ein geheimes Abkommen ist wird wohl kein Scanner dieses Bundestrojaner irgendwie erkennen können. Und zu hoffen, dass der Scanner den erkennt, ist blauäugig.

Die Suites haben auf ganzer Linie versagt, das hat nichts mir dem Urteil einer Person zu tun, die so eine Software nicht nutzt oder nichtmal nutzen will. Diese Software hat einfach keinen echten Mehrwert, der Einsatz ist doch noch fast nur ein verzeifelter Versuch Sicherheit aus Pappschachteln zu bekommen :pfeiff:


Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Ich hab eigentlich den Bundespolizei-Trojaner (der wegen dem ich den Thread hier gestartet habe) gemeint und nicht den "Bundestrojaner" welcher aktuell durch die Presse gegangen ist,
wobei der angeblich von diversen Anti-Viren-Scannern als Trojaner erkannt wurde :rofl:
Immerhin zeigt bzw. blockt eine nicht-Microsoft-Firewall auch die Windows eigenen Dienst und Anwendungen,
(oder solche die sich dafür ausgeben) welche alle so nach Hause funken wollen aber bestimmt nicht müssen :glaskugel2:
Etwas mehr Sicherheit hab ich mir aus der Pappschachtel schon erhofft :abklatsch:
und nachdem ich jetzt zum zweiten Mal so eine Aktion mache setzte ich jetzt auf die G-DATA-Suite (aus der Pappschachtel :singsing:)

Das Combifix-Logfile ist unten anbei, hat jetzt leider etwas länger gedauert aber ich denke es passt oder wie siehst du das cosinus? :dankeschoen:

Und genau das entspricht NICHT meinen Empfehlungen - warum fragst du hier denn nach wenn du eh was ganz anderes umsetzt? :balla:

Wer sagt denn das ich dass bisher nicht gemäß deinen Empfehlungen gemacht habe? Du interpretierst da irgendwas völlig anders !

Habe nur neben dem Abarbeiten deiner Empfehlungsschritte versucht deine Sichtweise bzgl. Malware-Prävention zu verstehen und dir meine etwas näher zu bringen aber scheinbar interpretierst du das anders als ich es geschrieben und gemeint habe.

Versuche jetzt den Smalltalk nochmal zusammen zu fassen:
1. Der Laptop meiner Freundin ist durch den BKA-Trojaner infiziert
Hierdurch ist das Nutzerverhalten durch mich nur bedingt beeinflussbar!
2. Hatte sie vorher ein Netbook, auf dem sich vor ca. 1 Jahr auch mal Malware eingeschlichen hatte, deswegen meinte ich zum zweiten Mal (nicht der BKA-Trojaner !!)
3. Da bisher immer Free-Av von Avira im Einsatz war (auf allen PCs) und leider diesmal auch wieder zu spät Alarm geschlagen hat, gab es den Wechsel auf G-DATA InternetSecurity 2012.
4. Meiner Meinung nach ist die "Suite" ein Versucht wert, da ich es vermeiden will wieder einen infizierten Laptop zum Laufen zu bringen zu müssen (wäre dann zum 3. Mal). Es ist immer recht aufwändig und wie in diesem Fall nur durch (deine :abklatsch:) Hilfe möglich :dankeschoen:
5. Soweit ich verstanden habe entspricht dies nicht deiner Philosophie, aber ich hoffe du kannst dieses eine Mal über deinen Schatten springen und wir können das Ganze hier noch mit Erfolg abschließen :daumenhoc

Bin ich jetzt gemäß deinen Empfehlungen durch, d.h. den BKA-Trojaner erfolgreich los geworden? :glaskugel:

Das kann prinzipiell BEI JEDEM Virenscanner auftreten, es ist daher auch fast völlig egal welchen Virenscanner du einsetzt! Ich hab dir einen Artikel verlinkt, wo die groben Patzer der Suites erläutert wurden, dennoch hast du diesem Rechner eine Suite und keinen reinen Virenscanner verpasst. Das verstehe wer will.


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hat alles geklappt Logfile ist unten anbei :D

Ist richtig, allerdings war der Kauf/Installation der G-DATA-Suite (inkl. meinem Post hier) vor deinem Post mit dem LINK zum c´t-Artikel.
Ich verstehe auch nicht immer alles was meine Freundin am Laptop so alles um- bzw. verstellen kann :balla:

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.
Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

So jetzt hab ichs, hat leider etwas gedauert...
Der MBRFix scheint geklappt zu haben, anbei das FIX-Logfile aus dem neuen Scan nach dem Fix. :daumenhoc
Alles paletti, oder ?

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset