Bundespolizei/GVU/UKASH-Trojaner
 

Hallo,

meine Freundin hat sich nun auch den Bundespolizei/GVU-Trojaner gefangen. Ich habe mir schon einiges durchgelesen, wie er wieder zu entfernen ist, und hänge schon mal die Datei OTL.txt an. Wenn ich das richtig verstanden habe, braucht es jetzt einen (personalisierten?) Fix. Wenn mir jemand dabei helfen könnte, wäre ich (und Anhang) sehr glücklich :D

hi,
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Okay, danke für die Hilfe erst mal! Wenn ich nun allerdings die fix-Datei auf dem infizierten PC ausgewählt habe (in OTLPE), reagiert dieses nicht mehr und ich kann weder auf den "Run Fix"-Button klicken, noch sonst etwas tun. Was mache ich da?

edit: okay, manuelles Einfügen scheint zunächst zu funktionieren... war wohl etwas vorschnell, sorry :D

hi, edit :-)

Okay, nachdem ich nun Windows wieder ganz normal gestartet habe, bleibt der Bildschirm schwarz, während das cmd.exe-Fenster geöffnet ist. Dort heißt es:

Der Befehl ""C:\Users\Eckert.AS-IC\Documents\5dab6fd3.exe"" ist entweder falsch geschrieben oder konnte nicht gefunden werden.

Danach folgt die übliche Zeile C:\Windows\system32>

Hilfe! :/

edit: Windows-Taste und dergleichen funktionieren nicht..

dann noch mal neues otl log bitte

Kommt sofort, anbei. Danke!

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


wenn das klappt, Upload wie im ersten Post beschrieben durchführen

I can see a desktop :D


Und: Datei: MovedFiles.zip_1 empfangen

Vorgang erfolgreich abgeschlossen.

Sehr gut!
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

OK, daran scheitert es jetzt für heute - wir haben das Admin-PW nicht, was zur Ausführung von tdsskiller benötigt wird.

1) ist es ein Problem, den Rest morgen zu machen? (was ist denn noch so zu tun, kommt noch viel? :D)

2) geht von dem PC noch eine Gefahr für andere Rechner im Netzwerk aus?

Vielen Dank für Deine Hilfe!!

edit: 3) können die übrigen Daten gelöscht werden?

Ups... 2 Treffer (Screenshot anbei, das Log ist zu groß).

OK, gezippt funktionierts... hier auch das Log. Bitte entschuldige den Doppelpost, ich komm mir grad total deppert vor.

Hi
wieso habt ihr kein pw für den admin account, ist das n firmen pc?
und wenns ein Firmenpc ist, habt ihr ne IT-Abteilung, denn die währe dafür verantwortlich.

Das Admin-PW hat der Schwiegerpapa, von dem ich es jetzt erst bekommen habe. Habe deswegen den Scan ja auch wie beschrieben ausgeführt und im letzten Beitrag das Log gepostet. Was ist jetzt zu tun?

Log hatte ich gesehen, wollte das nur abklären bevor ich dir sage, was nun zu tun ist :-)
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

OK, also nun hakt es wieder.

Habe Combofix geladen und gestartet (Virenscanner deaktiviert) und zunächst lief es auch gut an. Dann öffnet sich kurz ein Fenster mit zwei Balken, es steht irgendwas von der Registry da, dieses Fenster schließt sich wieder und der Combofix-Fortschrittsbalken rast zu ca. 90% und ab dann hängt das Programm. Die letzten Operationen sind:
Dekomprimiere streamtools.zip
Zielverzeichnis: C:\32788R22FWJFW\N_
Zielverzeichnis: C:\32788R22FWJFW

Ab dann hängt es, es tut sich auch nach längerem Warten nichts mehr, der PC arbeitet nicht mehr, und wenn ich das Programm mit dem Taskmanager schließen will, heißt es lapidar, es reagiert nicht mehr und wird beendet.

Woran liegt's, was kann ich tun? Neustart von Combofix oder dem PC bringen nichts...

Hi,
lösche und lade combofix noch mal.
starte dann neu. gehe mit f8 bei Neustart in den abgesicherten Modus mit Netzwerk und versuchs da erneut.

Mühsam nährt sich das Eichörnchen...

Ich habe das eigentliche ComboFix jetzt starten können, leider hängt es beim vierten Durchgang fest (nach knapp 2h Warten nehme ich mal an, dass sich da nicht mehr viel tun wird). Eine Combofix.txt wird nicht angelegt :(

Wie meinst du nach dem 4ten Durchgang, nach dem 4ten Neustart oder nach Schritt 4?
wenn neustart, hast du da immer den abges. Modus mit Netzwerk gewählt?

Sorry, das war unpräzise. Nach Schritt 4.

ok, dann lassen wir das erst mal.
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.14.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16540
Administrator :: [Administrator]

Schutz: Aktiviert

14.05.2013 19:04:55
mbam-log-2013-05-14 (19-04-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 420345
Laufzeit: 50 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Hi,

lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.