Hallo,
ich habe mir gestern leider auch den neuen GVU Trojaner eingefangen, allerdings konnte ich ihn mit dieser Anleitung entfernen bzw meinen PC wieder zum laufen bekommen:

hxxp://forum.avira.com/wbb/index.php?page=Thread&postID=1193877#post1193877

Danach hab ich noch einen Live CD Virus Scan gemacht + im System nochmal mit Avira gescanned, beide male wurde allerdings nichts mehr gefunden. Nun war ich mir aber noch nicht sicher ob ich wirklich alles entfernt hatte und habe mich deswegen mal an euer Forum gehalten und auch den Malwarebytes Scan durchgeführt, wieder ohne Fund.
Daraufhin habe ich den ESET Scanner gestartet und dieser hat tatsächlich noch etwas gefunden, Inhalt der log.txt:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=fef1454f006c574aac1ec78ec9d7578a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-08 03:32:56
# local_time=2012-07-08 05:32:56 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 8713959 8713959 0 0
# compatibility_mode=5893 16776573 100 94 65035 93387004 0 0
# compatibility_mode=8192 67108863 100 0 98 98 0 0
# scanned=150319
# found=3
# cleaned=0
# scan_time=4422
C:\.Trash-999\files\glom0_og.exe	Win32/Reveton.H trojan (unable to clean)	00000000000000000000000000000000	I
C:\.Trash-999\files\is1070216317\MyBabylonTB.exe	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Matthias\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\2380a913-2899d0c1	Java/Exploit.CVE-2012-0507.CU trojan (unable to clean)	00000000000000000000000000000000	I
         

Haben diese Funde was mit den GVU Trojaner zutun? Sollte ich meine Passwörter ändern? Was sind die weiteren Schritte?
Die .Trash-999 Dateien sind wohl die mit dem Live Linux gelöscht wurden, sind diese in diesem Trash ordner noch gefährlich?
Danke für die Hilfe
Grüße

Ich möchte nicht unhöflich sein, aber ich hoffe mein Thread wurde nicht übersehen.
Gruß

Zitat:

Zitat von DamnTrojans

Hallo,
ich habe mir gestern leider auch den neuen GVU Trojaner eingefangen, allerdings konnte ich ihn mit dieser Anleitung entfernen bzw meinen PC wieder zum laufen bekommen:

hxxp://forum.avira.com/wbb/index.php?page=Thread&postID=1193877#post1193877

Danach hab ich noch einen Live CD Virus Scan gemacht + im System nochmal mit Avira gescanned, beide male wurde allerdings nichts mehr gefunden. Nun war ich mir aber noch nicht sicher ob ich wirklich alles entfernt hatte und habe mich deswegen mal an euer Forum gehalten und auch den Malwarebytes Scan durchgeführt, wieder ohne Fund.
Daraufhin habe ich den ESET Scanner gestartet und dieser hat tatsächlich noch etwas gefunden, Inhalt der log.txt:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=fef1454f006c574aac1ec78ec9d7578a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-08 03:32:56
# local_time=2012-07-08 05:32:56 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 8713959 8713959 0 0
# compatibility_mode=5893 16776573 100 94 65035 93387004 0 0
# compatibility_mode=8192 67108863 100 0 98 98 0 0
# scanned=150319
# found=3
# cleaned=0
# scan_time=4422
C:\.Trash-999\files\glom0_og.exe	Win32/Reveton.H trojan (unable to clean)	00000000000000000000000000000000	I
C:\.Trash-999\files\is1070216317\MyBabylonTB.exe	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Matthias\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\2380a913-2899d0c1	Java/Exploit.CVE-2012-0507.CU trojan (unable to clean)	00000000000000000000000000000000	I
         

Haben diese Funde was mit den GVU Trojaner zutun? Sollte ich meine Passwörter ändern? Was sind die weiteren Schritte?
Die .Trash-999 Dateien sind wohl die mit dem Live Linux gelöscht wurden, sind diese in diesem Trash ordner noch gefährlich?
Danke für die Hilfe
Grüße

Update: ich habe nochmals einen eset scan gemacht und dabei versehentlich den haken vergessen rauszunehmen, d.h. die 3 gefundenen Dateien wurden jetzt in die Quarantäne verschoben, allerdings kann man diese von dort ja wieder herstellen(?)

hatte avira funde, falls ja poste sie.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread