Startseite

[HWE-News] [HWE-FAQ] [Tests] [Artikel] [Softwareecke] [RC5-Proxy] [Overclocking] [TreiberEcke] [HWE-FanShop] [Links]

Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
22. September 2018, 10:16:53 Uhr

Einloggen mit Benutzername, Passwort und Sitzungslänge
Suche:     Erweiterte Suche
223521 Beiträge in 24106 Themen von 18385 Mitglieder, Neuestes Mitglied: Harrys

RC5-Teamstats: Gestern: 0 WUs, . Platz,
Gesamt: 0 WUs, . Platz ( Members)

Übersicht Hilfe Suche Kalender Einloggen Registrieren
HWE-Forum.de  |  Internet und Co.  |  Schutz & Sicherheit (Moderatoren: TMK, American, gandal)  |  Thema: GVU/Bundespolizei-Trojaner trotz Bitdefender Internet Security 2013
0 Mitglieder und 1 Gast betrachten dieses Thema. « vorheriges nächstes »
Seiten: [1] Nach unten Thema versenden Drucken
Autor Thema: GVU/Bundespolizei-Trojaner trotz Bitdefender Internet Security 2013  (Gelesen 2757 mal)
VerteX
800x600 Surfer
***

Ranking: 0
Offline Offline

Geschlecht: Männlich
Beiträge: 226


« am: 10. Juli 2013, 12:10:17 Uhr »

Tag zusammen,

gestern habe ich mir wider Erwarten den GVU/Bundespolizei-Trojaner eingefangen, obwohl ich Bitdefender Internet Security 2013 laufen habe. Einerseits bin ich nun etwas enttäuscht vom "Marktführer", weil ich ihn für nichts anderes gekauft habe als um sowas zu verhindern, doch in dem Moment war der PC gesperrt und Bitdefender blieb tatenlos. Andrerseits muss ich das jetzt wieder los werden.

Naja, hab dann System neugestartet und mit "windowsunlocker" auf der Kaspersky Rettungs-CD, die es kostenlos im Internet gibt, schädliche Registry-Einträge entfernt (waruuuum bin ich von Kaspersky zu Bitdefender gewechselt... -.-). Mit Bitdefender danach einen Systemscan gemacht, der ergebnislos blieb und mich dann gefreut, dass Windows wieder normal startet und sauber zu sein scheint.

Die Freude hielt jedoch nur kurz, weil ich dann feststellen musste, dass jedes mal wenn ich die Eingabekonsole geöffnet habe, sich auch das Fenster des Trojaners wieder öffnete. Zwar nur kurz und ohne die anderen Programme im Hintergrund zu beenden (Bitdefender scheint da dann doch zwischen gegangen zu sein und es gekillt zu haben), aber die Konsole war nutzlos. Blöderweise brauche ich die Konsole aber des öfteren und ohnehin war mir unwohl, dass da immernoch was auf meinem PC ist, obwohl Bitdefender nichts findet.

Dann habe ich also manuell die üblichen Verzeichnisse durchforstet und aufgeräumt (AppData usw.). Alle Unbekannten Ordner und Dateien gelöscht und nebenbei auch Ordner von längst deinstallierten Programmen entfernt. Nachdem ich die temporären Dateien geleert hab, habe ich nochmal einen kompletten Systemscan mit Bitdefender und Malwarebytes' Anti-Malware gemacht, die wieder ergebnislos blieben, sodass ich dann noch einmal die Konsole ausprobiert habe.
Siehe da, die Konsole funktioniert wieder und es öffnet sich kein Fenster der "GVU" und der "Bundespolizei".

Ganz bereinigt ist die Angelegenheit aber noch nicht, weil nun beim starten der Konsole ganz oben im Konsolenfenster die unten angehängte Meldung angezeigt wird. Der Konsolen-Schädling lag also in den temporären Dateien und ist bei meiner Aufräumaktion draufgegangen, aber die Überreste sind noch vorhanden. Wo werden solche "Startbefehle" der Konsole hinterlegt??

Ich werde denke ich bald das System neu aufsetzen um wieder auf der sicheren Seite zu sein und weil es das sowieso bald mal wieder nötig hat, aber für den Moment nervt mich dieses Überbleibsel.
Gespeichert
TMK
Administrator
Admin
******

Ranking: 378
Offline Offline

Geschlecht: Männlich
Beiträge: 13192


HardwareEcke.de
« Antwort #1 am: 10. Juli 2013, 17:20:07 Uhr »

Wir rufst Du die Konsole auf? Evenuell per rechte Maustaste mal auf die Verknüpfung und Dir unter "Eigenschaften" die Einstellungen der "Verknüpfung" anzeigen lassen.
Gespeichert
VerteX
800x600 Surfer
***

Ranking: 0
Offline Offline

Geschlecht: Männlich
Beiträge: 226


« Antwort #2 am: 10. Juli 2013, 18:00:01 Uhr »

Ziel der Verknüpfung ist "%windir%\system32\cmd.exe".

Ich glaube aber nicht, dass es etwas mit der Verknüpfung zu tun hat, da der besagte "Startaufruf" auch ausgeführt wird, wenn man die Konsole anders öffnet, z. B. indem man auf eine bat-Datei doppelklickt.
Sogar wenn andere Anwendungen versuchen Konsolenanwendungen zu öffnen, scheint der schädliche Aufruf ausgeführt zu werden. Z. B. "MySQL Workbench" konnte keine Datenbankbackups machen, da es mysqldump nicht ausführen konnte, weil durch den eingeschleusten Aufruf bei jedem Konsolenstart der Bundespolizei-Schädling geöffnet und die Konsole direkt danach geschlossen wurde. Seitdem ich die schädliche exe gelöscht habe und der schädliche Aufruf daher nun ins leere führt funktioniert das wieder.
« Letzte Änderung: 10. Juli 2013, 18:07:20 Uhr von VerteX » Gespeichert
TMK
Administrator
Admin
******

Ranking: 378
Offline Offline

Geschlecht: Männlich
Beiträge: 13192


HardwareEcke.de
« Antwort #3 am: 13. Juli 2013, 14:54:52 Uhr »

Eventuell den Registrierungs-Editor (regedit) nach dem Dateinamen durchsuchen, vielleicht lässt sich da was finden.
Gespeichert
VerteX
800x600 Surfer
***

Ranking: 0
Offline Offline

Geschlecht: Männlich
Beiträge: 226


« Antwort #4 am: 13. Juli 2013, 16:47:05 Uhr »

Ich hatte auch an irgendwas in der Registry gedacht aber kam nicht drauf dass man ja mal mit regedit danach suchen könnte... hab einen Eintrag "AutoRun" unter HKEY_USERS in Software\Microsoft\Command Processor gefunden. Nach dem Löschen ist alles wie immer ;)
Gespeichert
Seiten: [1] Nach oben Thema versenden Drucken 
HWE-Forum.de  |  Internet und Co.  |  Schutz & Sicherheit (Moderatoren: TMK, American, gandal)  |  Thema: GVU/Bundespolizei-Trojaner trotz Bitdefender Internet Security 2013 « vorheriges nächstes »
 

Impressum | SMF 2.0.15 | SMF © 2011, Simple Machines
Seite erstellt in 1.036 Sekunden mit 25 Abfragen.