GVU Trojaner unter Windows 7 mit Webcam; Admin Anmeldung war möglich
 

Guten Tag,

Angesichts der verschiedenen Anweisungen hier im Board bin ich verunsichert wie ich in meinem Fall vorgehen soll und halte mich daher an den ersten Satz oben "Am besten nichts selbst machen sondern Thema starten." was ich hiermit tue.

Der Fall:
Ich war angemeldet als Nutzer ohne Admin Rechte, Win7.
Nach klick auf das Kreuz eines unerwünschten Pop Up Fensters um es zu schliessen wird der Bildschirm zunächst weiss, dann erscheint der bekannte Text von GVU mit der Zahlungsaufforderung zum Entsperren.
Im oberen Teil des Fensters sind einige Daten von meinem Rechner eingeblendet (IP, Name, Browser etc.), oben / Mitte der Seite ist ein Foto von mir / der Webcam des Rechners eingeblendet, rechts ist das sw/ro/go Logo vom angeblichen Bundesministerium zu sehen.

Der Laptop reagiert nicht auf den Versuch den Task zu wechseln (Alt+Tab), wohl aber startet der Task Manager (Strg+Alt+Entf).
Im Task Manager konnte ich den Nutzer auf Admin wechseln, PW eingeben und bekam den normalen Admin Desktop.

Habe dann WLAN per Schalter ausgemacht und den Rechner normal heruntergefahren. Es kam die übliche Fehlermeldung, daß noch weitere Nutzer am Rechner angemeldet sind, habe ich bestätigt, der Laptop ist dann normal ausgegangen. Ob sich der Rechner erneut als Admin booten lässt habe ich nicht probiert.

Habe einen zweiten, sauberen Rechner mit XP zur Verfügung.

Herzlichen Dank für Eure Unterstützung.

Charly

Sehr gut!

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.


Gelesen und verstanden?

Scan mit Farbar's Recovery Scan Tool

Downloade dir bitte die passende Version des Tools und speichere diese auf einen USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Werter ryder,

verbindlichsten Dank für die Unterstützung.

Folgendes Ergebnis:
- 32 bit version des tools runtergeladen und auf USB kopiert.
- infizierten Laptop mit F8 etc. gestartet wie in der Anleitung.
- USB stick wurde nicht erkannt. Im notepad zwar LW F: unter Computer angezeigt aber bei Anwahl kommt eine Meldung, dass ein Speichermedium eingelegt werden soll (USB stick steckt freilich drin). Folglich war kein scan möglich.

- Habe dann als Admin normal gebootet, hat funktioniert!
- Weil der USB stick nicht funktionierte habe ich ins root der systemplatte (D: ) die FSRT.EXE kopiert, da komme ich auf jeden Fall dran.
- neu gebootet und wieder wie von Dir beschrieben F8, unter Reparieren -> DOS Fenster allerdings diesmal nicht auf den USB sondern auf LW D: gewechselt und FSRT gestartet.

Meldung im DOS Fenster:
"Das zum Unterstützen des Abbildtyps erforderliche Subsystem ist nicht vorhanden."

????

Frst geht nur von der Reparaturkonsole.

Wenn du Zugriff auf den Rechner hast, dann...

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Sorry, ich bin zu langsam. Während ich editiere hast Du schon geantwortet...

Phuu.

Geht gleich weiter.

Kein Neustart, ein Editor mit log.txt öffnet sich:
Zugriff via Admin Account möglich

Gut, dann ist es nicht mehr viel.


Schritt 1:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 3:
Scan mit MBAR

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo ryder,

anbei die beiden log files.

AdwCleaner:

mbar:
regards

Charly

Prima. Wir verschaffen uns jetzt eine 2. Meinung :)


Schritt 1:
ESET Online Scanner

• Bitte hier klicken ---> http://larusso.trojaner-board.de/Images/eset.jpg
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern! :kaffee:

Wenn der Scan beendet wurde

• Klicke http://billy-oneal.com/Canned%20Spee...istThreats.png und dann http://billy-oneal.com/Canned%20Spee...esetExport.png
• Speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 2:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck: LINK1 LINK2

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Moin ryder,

zweite Meinung ist gut ;-).

Here we go:

ESET:
SecurityCheck:

So sehe ich das auch :)


Schritt 1:
Deinstalliere: Java (alle), FLash Player 10


Schritt 2:
Update: Internetexplorer

Auch wenn du einen anderen Browser benutzt, Windows benutzt intern den Internetexplorer!

• Lade dir bitte die neueste Version des Internetexplorers
• Entferne den Haken bei "Ich möchte Bing ...".
• Starte die Installation und folge den Anweisungen des Setups.

Schritt 3:
Java Update (Windows XP, Vista, 7)

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version und speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version (Java 7 Update 11) herunter laden.
• Während der Installation entferne den Haken bei:
  http://www.trojaner-board.de/picture...&pictureid=319

Wenn die Installation beendet wurde:

• Start > Systemsteuerung > Programme und deinstalliere alle älteren Java Versionen, falls vorhanden, und starte deinen Rechner neu.

Nach dem Neustart:

• Öffne erneut die Systemsteuerung > Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen...
• Gehe sicher, dass überall ein Haken gesetzt ist und klicke zweimal OK.

Schritt 4:
Mache bitte ein Update deines Virenscanners auf die aktuelle Version.

Schritt 5:
Update: Firefox, Addons und Plugins

• Klicke auf http://www.trojaner-board.de/picture...&pictureid=324 > Hilfe > Über Firefox
• Warte bis das Update geladen ist, klicke auf Update installieren und lasse Firefox neu starten.
• Prüfe bitte, ob weitere Updates vorliegen oder ob Firefox aktuell ist.
• Klicke nun auf http://www.trojaner-board.de/picture...&pictureid=324 > Add-ons > http://www.trojaner-board.de/picture...&pictureid=326 > Auf Updates überprüfen
• Nach einem weiteren Neustart von Firefox sollte alles aktuell sein.

Prüfe bitte auch (regelmässig), ob folgende Links fehlende Updates bei deinen Plugins zeigen:

• PluginCheck-Schnelltest
• Mozilla Plugin-Check

Schritt 6:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck: LINK1 LINK2

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo ryder,

so langsam bewegen wir uns wieder auf vertrautem Gelände; Java Update, Virenscanner, Firefox Updates - das ist ja gottseidank nicht mehr so Voodoo wie Malwarekits oder ComboFix...

Hier der Security Scan
Tx

Genau :)

Prima! :daumenhoc

Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich.

Schritt 1:
Tools deinstallieren

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: jetzt auf re-enable klicken.
2. Falls Combofix benutzt wurde: Windowstaste + R > Combofix /Uninstall (eingeben) > OK
3. Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen. Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.

Code:

---

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

---

Abschließend noch Tipps zu folgenden Themen:

• Systemupdates
• Softwareupdates
• Sicherheitssoftware
• Sicheres Surfen

Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc

... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Werter ryder,

"... und vielleicht möchtest du ja das Trojaner-Board unterstützen?"

Klaro, 20,- EUR sind die euren.
Spenden Nr. xxxx

Laptop sieht wieder gut aus. Anmeldung unter dem normalen user account einwandfrei.

Fragen zur Problemlösung also keine, wohl aber zum Problem (Lessons learned...):

Was genau hat meinen Rechner eigentlich befallen? Wieso war der Admin account scheinbar nicht betroffen?
Wieso hat der Trojaner keine Dateien verschlüsselt?

War der Umstand, dass ich bei der Infektion ohne Admin Rechte unterwegs war schadensmildernd?

Wie hätte ich das nervige PopUp "...Click hier zum chatten..." wegkriegen können ohne auf das Schliessen Kreuz zu klicken (was offenbar den Befall ausgelöst hat).

Tausend Dank auf jeden Fall an Dich, ryder.

Charly

Was es genau war kann man nie so genau sagen. Meist ungeschickt geklickt oder alte Software.

Das mit Admin oder nicht macht manchmal was aus, aber nicht immer. Leider.

Evtl hätte es was geholfen, diesen Prozess über den Taskmanager abzuschiessen aber auch das ist ungewiss.

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/