GVU/Bundespolizei-Trojaner trotz Bitdefender Internet Security 2013

Begonnen von VerteX, 10. Juli 2013, 12:10:17 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

VerteX

Tag zusammen,

gestern habe ich mir wider Erwarten den GVU/Bundespolizei-Trojaner eingefangen, obwohl ich Bitdefender Internet Security 2013 laufen habe. Einerseits bin ich nun etwas enttäuscht vom "Marktführer", weil ich ihn für nichts anderes gekauft habe als um sowas zu verhindern, doch in dem Moment war der PC gesperrt und Bitdefender blieb tatenlos. Andrerseits muss ich das jetzt wieder los werden.

Naja, hab dann System neugestartet und mit "windowsunlocker" auf der Kaspersky Rettungs-CD, die es kostenlos im Internet gibt, schädliche Registry-Einträge entfernt (waruuuum bin ich von Kaspersky zu Bitdefender gewechselt... -.-). Mit Bitdefender danach einen Systemscan gemacht, der ergebnislos blieb und mich dann gefreut, dass Windows wieder normal startet und sauber zu sein scheint.

Die Freude hielt jedoch nur kurz, weil ich dann feststellen musste, dass jedes mal wenn ich die Eingabekonsole geöffnet habe, sich auch das Fenster des Trojaners wieder öffnete. Zwar nur kurz und ohne die anderen Programme im Hintergrund zu beenden (Bitdefender scheint da dann doch zwischen gegangen zu sein und es gekillt zu haben), aber die Konsole war nutzlos. Blöderweise brauche ich die Konsole aber des öfteren und ohnehin war mir unwohl, dass da immernoch was auf meinem PC ist, obwohl Bitdefender nichts findet.

Dann habe ich also manuell die üblichen Verzeichnisse durchforstet und aufgeräumt (AppData usw.). Alle Unbekannten Ordner und Dateien gelöscht und nebenbei auch Ordner von längst deinstallierten Programmen entfernt. Nachdem ich die temporären Dateien geleert hab, habe ich nochmal einen kompletten Systemscan mit Bitdefender und Malwarebytes' Anti-Malware gemacht, die wieder ergebnislos blieben, sodass ich dann noch einmal die Konsole ausprobiert habe.
Siehe da, die Konsole funktioniert wieder und es öffnet sich kein Fenster der "GVU" und der "Bundespolizei".

Ganz bereinigt ist die Angelegenheit aber noch nicht, weil nun beim starten der Konsole ganz oben im Konsolenfenster die unten angehängte Meldung angezeigt wird. Der Konsolen-Schädling lag also in den temporären Dateien und ist bei meiner Aufräumaktion draufgegangen, aber die Überreste sind noch vorhanden. Wo werden solche "Startbefehle" der Konsole hinterlegt??

Ich werde denke ich bald das System neu aufsetzen um wieder auf der sicheren Seite zu sein und weil es das sowieso bald mal wieder nötig hat, aber für den Moment nervt mich dieses Überbleibsel.

TMK

Wir rufst Du die Konsole auf? Evenuell per rechte Maustaste mal auf die Verknüpfung und Dir unter "Eigenschaften" die Einstellungen der "Verknüpfung" anzeigen lassen.

VerteX

Ziel der Verknüpfung ist "%windir%\system32\cmd.exe".

Ich glaube aber nicht, dass es etwas mit der Verknüpfung zu tun hat, da der besagte "Startaufruf" auch ausgeführt wird, wenn man die Konsole anders öffnet, z. B. indem man auf eine bat-Datei doppelklickt.
Sogar wenn andere Anwendungen versuchen Konsolenanwendungen zu öffnen, scheint der schädliche Aufruf ausgeführt zu werden. Z. B. "MySQL Workbench" konnte keine Datenbankbackups machen, da es mysqldump nicht ausführen konnte, weil durch den eingeschleusten Aufruf bei jedem Konsolenstart der Bundespolizei-Schädling geöffnet und die Konsole direkt danach geschlossen wurde. Seitdem ich die schädliche exe gelöscht habe und der schädliche Aufruf daher nun ins leere führt funktioniert das wieder.

TMK

Eventuell den Registrierungs-Editor (regedit) nach dem Dateinamen durchsuchen, vielleicht lässt sich da was finden.

VerteX

Ich hatte auch an irgendwas in der Registry gedacht aber kam nicht drauf dass man ja mal mit regedit danach suchen könnte... hab einen Eintrag "AutoRun" unter HKEY_USERS in Software\Microsoft\Command Processor gefunden. Nach dem Löschen ist alles wie immer ;)