1udo1

Bundestrojaner bo74.js wurde nicht gelöscht

Recommended Posts

Hallo,

 

ich habe 3 Partitions. Beim Besuch der Partition G hat sich der Bundestrojaner Troj. Script 488158(B) mit der

 

Datei bo74.js trotz aktueller Emissoft Antimalware eingenistet. Partition G lässt sich auch nicht mehr im abgesicherten

 

Modus starten.

 

Von der sauberen Parition C aus hat Antimalware das infizierte Laufwerk G gescannt und den Trojaner gefunden. Ich

 

ließ den Trojaner löschen. Aber beim Start von Laufwerk G war der Trojaner immer noch im System.

 

Habe das infizierte Laufwerg G noch einmal gescannt. Der Trojaner wurde wieder gefunden. 

 

 

Ich kann mit OTL.exe nicht das infizierte Laufwerk G wählen. OTL scannt nur das Laufwerk C.

 

Nun meine Frage:

 

Wie komme ich mit OTL an das infizierte Laufwerk G heran?

 

Im Anhang sind die Dateien otl.txt und a2scan_130718-144127.txt

 

Udo Scharnitzki

 

 

Share this post


Link to post
Share on other sites

Hi und Herzlich Willkommen beim Emsisoft Support Forum!

Was ist denn auf Laufwerk G für ein Betriebssystem installiert?

Share this post


Link to post
Share on other sites

Habe Folgendes beobachtet:

 

Von LW C kann ich den Ordner auf dem infizierten Laufwerk G checken. Dabei erkennt Antimalware, dass dort in dem Ordner ein Trojaner mit der

 

Datei bo74.js. Antimalware nimmt diese Datei in Quarantäne. Die Datei verschwindet aus dem Ordner. Beim Neustart des LW G wird die Datei

 

bo74.js wieder in den Ordner kopiert.

 

Mittlerweile hat Antimalware diese Datei zum dritten Mal in Quarantäne gesteckt und beim Neustart des Laufwerkes G ist die infizierte Datei wieder

 

im selben Ordner.

 

Es muss doch wohl beim Start des LW G noch ein Programm geben, dass die Datei bo74.js immer wieder in den Ordner bringt. Es gibt in

 

demselben Ordner noch eine Datei mit ähnlichem Namen: Sie heisst bo74.pad 

 

Udo

Share this post


Link to post
Share on other sites

Hi,

Falls Du kein Brennprogramm installiert hast, lade

dir bitte ISOBurner herunter.

Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.

Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.

    Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von mit der OTLPE CD.

Hinweis: Wie boote ich von CD

  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Share this post


Link to post
Share on other sites

Hallo,

 

habe OLTPE von der Boot CD ausgeführt. Das Programm hat nicht wie erhofft das infizierte Laufwerk G gescant,

 

sondern das saubere LW C. Das gleiche hatte OTL.exe auch gemacht.

 

Kann es sein, dass OLTPE das Laufwerk scant, auf dem die MSDOS.SYS und IO.SYS sind? Die sind nämlich auf LW

 

C. Auch OLTPE fragte nicht, welche Partition gescant werden soll. Wie scanne ich an das infizierte Laufwerk G? Per

 

Explorer kann ich von LW C aus die Dateien auf LW G sehen. Wenn ich im Ordner der infizierten Datei bin, dann

 

nimmt Antimalware die Datei bo74.js in Quarantäne. Hilft aber nicht, weil beim Start des LW G die Datei immer wieder

 

neu generiert wird.

 

LW G mit WIN XP verweigert nach wie vor seinen Dienst. Hat EMISOFT eine Lösung dafür, wenn eine Partition mit dem

 

zugehörigen Betriebssystem infiziert ist? Ich bin doch bestimmt nicht der Einzige, der diesen Trojaner im System hat.

 

EMISOFT kennt doch sicherlich diesen Trojaner zu genüge, oder?

 

Was kann ich als Nächstes tun?

 

 

 

Ich poste die Dateien, die OLTPE generiert hat, trotzdem,  obwohl sie wohl wenig aussagekräftig sind. Es wurde ja

 

anstatt LW G das LW C gescant.

 

 

Share this post


Link to post
Share on other sites

Ich habe bestimmt schon 200 Rechner mit diesem Trojaner bereinigt. das Problem hier ist der Multiboot. Wenn auf C ein Betriebssystem installiert ist wird auch nur C angezogen bei den Scans.

Sind das 2 Partitionen oder auch 2 verschiedene Festplatten?

Share this post


Link to post
Share on other sites

LW C und LW G sind auf derselben Festplatte. LW E ist auf einem anderen Datenträger. Ich habe ein Multibootsystem. 

 

Hier meine boot.ini

 

[boot loader]
timeout=7
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="XP LW -C Main" /noexecute=optin /fastdetect /usepmtimer
multi(0)disk(0)rdisk(1)partition(4)\WINDOWS="XP LW - E" /noexecute=optin /fastdetect /usepmtimer
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="XP LW - G" /fastdetect /usepmtimer /NoExecute=OptOut
 
Im Anhang sind 2 sreenshots.
 
Meine Frage:
 
Der Trojaner ist nicht auf der Systempartition. Heisst das, dass der Virus nicht entfernt werden kann und demnach eine Neuinstallation auf LW G durchzuführen ist?

Share this post


Link to post
Share on other sites

Auf dem letzten Screenshot sehe ich noch viel mehr typische Malware-Dateien, solange wir aber den Startpunkt nicht sehen wird es schwierig. Bevor wir an eingemachte händische Arbeit gehen ein schneller Versuch:

 

Bitte mal auf laufwerk G in die Temp-Ordner wechseln und diese komplett leeren. Dann in den Benutzer\Programme\Startup navigieren und schauen ob dort irgendwelche .ini. und .dat Dateien liegen(skype, cache). Diese löschen.

Share this post


Link to post
Share on other sites

Hallo,

 

ich musste am Sonntagmorgen die Partition wieder neu installieren, weil sie ab Montag wieder gebraucht wurde.  

 

Konnte noch Folgendes vorher machen:

 

Habe die infizierte Parition mit LW G gestartet. Es kam der bekannte Trojaner-Bildschirm. Habe kurz die Hardware-Resettaste gedrückt. Der Tojaner-Bildschirm verschwand und es wurden die zu beendenden Tasks auf dem leeren Bildschirm angezeigt. Habe das Beenden gestoppt und per Taskmanager Antimalware gestartet.Das funktionierte! Antimalware hat nun vom infizierten LW G das System gescannt und eine Reihe von Trojaner Dateien mit Risiko "hoch" entdeckt. Das hat Antimalware von LW C nicht entdeckt. Warum eigentlich nicht???!!

 

Es wurde nur! Datei bo74.js  in Quarantäne genommen, aber mehr auch nicht! Das LW G blieb weiter infiziert.

 

Als Antimalware -- ausgeführt auf infiziertem LW G -- die Dateien angezeigt hatte, öffnete ich den Bericht und wollte ihn speichern. Hat aber nicht funktioniert, weil das System ja schon den Dienst eingestellt hatte. Habe trotzdem eine Kopie der Dateien erstellt, die als *.dat auf LW C gespeichert wurden. 

 

Diese *.dat habe ich mal mit dem Editor geöffnet. Fand aber nichts Spannendes an Info in der Datei. Soll ich die Datei mal posten? Sie hat nur 1kb

Share this post


Link to post
Share on other sites

Das Problem ist wie gesagt der versteckte Startpunkt. Und es gibt fast keine Option nicht geladene Registry-Hives zu scannen, in dem Fall vom inaktiven Laufwerk G.

Und solange der Startpunkt nicht weg ist werden auch die pad-Files wieder neu erstellt.

Bitte mal die Info-Datei anhängen :).

Share this post


Link to post
Share on other sites

Hallo,

 

im Anhang ist die Datei *.dat, die Antimalware generiert hat. Screenshots von den gefundenen Dateien konnte ich leider nicht machen. Bin mir nicht

 

sicher, ob die *.dat Datei noch eine verwertbare Information enthält. Wie schon gesagt, --- die Datei wurde während des Runterfahrens von WIN XP

 

erstellt. 

Share this post


Link to post
Share on other sites

Wollte die Datei nachreichen. Mir wird angezeigt, dass es mir nicht erlaubt ist eine Datei dieses Typs hochzuladen. Es ist eine *.dat Datei.

Share this post


Link to post
Share on other sites

Hallo,

 

der Trojaner ist weg, weil ich die Startpartition neu installieren musste. Das ist nicht das Ziel von Emsisoft sich so zu helfen. Es war ungewiss,

 

wielange es dauern könnte, bis Emsisoft den Virus hätte eliminieren können. Die Partition wurde schnell wieder gebraucht.

 

Antimalware konnte den Virus auf einer Startpartition nicht entfernen. Allenfalls wurde nur eine Datei gefunden und in Quarantäne gesteckt. Die

 

anderen Dateien blieben unentdeckt. OTL scannt nur eine Systempartition, aber nicht das infizierte  Startlaufwerk. 

 

Deshalb meine Frage 1 zum Schutz von Multibootsystemen:

 

Kann ein Virus auf einer Startpartition nur mit individueller und aufwändiger Hilfe eines Supporters von Emsisoft eliminiert werden?

 

 

Du hast ja gesagt, ich zitiere: 

 

 

Das Problem ist wie gesagt der versteckte Startpunkt. Und es gibt fast keine Option nicht geladene Registry-Hives zu scannen, in dem Fall vom

 

inaktiven Laufwerk G. Und solange der Startpunkt nicht weg ist werden auch die pad-Files wieder neu erstellt.

 

 

Der Bundestrojaner oder ein anderer Virus kann ja jederzeit wieder eine Partition infizieren. Der Trojaner bleibt ja im Netz.

 

Frage 2:

 

Warum hat Antimalware, --- der Wächter, --- beim Betrieb des Startlaufwerkes den Trojaner nicht sofort eliminiert? Der Trojaner ist doch Emsisoft

 

bekannt.

Share this post


Link to post
Share on other sites

Kann ein Virus auf einer Startpartition nur mit individueller und aufwändiger Hilfe eines Supporters von Emsisoft eliminiert werden?

Generell ist das Problem, dass nahezu alle Removal Tools darauf ausgelegt sind, innerhalb des infizierten Systems ausgefuehrt zu werden. Die wenigsten Tools erlauben es ein externes System zu scannen. Die wenigen Tools die es gibt, machen zudem noch gewisse Annahmen, wie z.B. dass C:\ das Laufwerk ist, auf dem das infizierte System zu finden ist.

Warum hat Antimalware, --- der Wächter, --- beim Betrieb des Startlaufwerkes den Trojaner nicht sofort eliminiert? Der Trojaner ist doch Emsisoft bekannt.

Die Frage laesst sich ohne die Malware Datei leider nicht beantworten. Es gibt nicht "den Bundestrojaner", sondern eine ganze Reihe von Malware Familien, die sich diesen Namen zu nutze machen. Jede dieser Familien besteht dazu dann noch aus mehreren hunderttausenden, teilweise sogar Millionen Varianten. Ohne die Datei kommt die Suche nach der exakten Variante die Dein System infiziert hat, der Suche einer Stecknadel in einem riesigen Berg von Stecknadeln gleich. Ohne zu wissen was auf Deinem System passiert ist und welche Malwarevariante fuer die Infektion verantwortlich war, ist es entsprechend schwer konkrete Antworten zu liefern.

Share this post


Link to post
Share on other sites

Danke für die Antwort. Noch eine abschließende Frage:

 

Annahme: Startlaufwerk ist nicht Systempartition

 

Sollte man wegen der Infektionsgefahr und der schwierigen Malwareentfernung es grundsätzlich unterlassen von solchen Laufwerken ins Internet zu gehen?

Share this post


Link to post
Share on other sites

Danke für die Antwort. Noch eine abschließende Frage:

 

Annahme: Startlaufwerk ist nicht Systempartition

 

Sollte man wegen der Infektionsgefahr und der schwierigen Malwareentfernung es grundsätzlich unterlassen von solchen Laufwerken ins Internet zu gehen?

Letztlich sollte es egal sein. Ein zusaetzlicher Benutzeraccount, auf dem man sich einloggt wenn der Rechner doch mal verseucht sein sollte, waere allerdings recht hilfreich in dem Fall. Die meiste Malware infiziert letztlich nur das zur Infektion aktive User Profil. Bedeutet ein "Reserve Benutzer" kann malware-frei Diagnosetools laufen lassen :).

Share this post


Link to post
Share on other sites

Dieses Thema scheint erledigt und wird geschlossen.

Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

  • Recently Browsing   0 members

    No registered users viewing this page.