|
Plagegeister aller Art und deren Bekämpfung: Entfernen des GVU TrojanersWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.10.2012, 19:25 | #1 |
| Entfernen des GVU Trojaners Hallo, bin neu hier und bei der Google-Suche auf Euch aufmerksam geworden. Ein Bekannter hat einen älteren Familien-Laptop und hat sich den GVU Trojaner eingefangen. Nun wollte ich zunächst mit der Kaspersky Rescue Disk das System scannen, aber leider gibt es mit der CD Probleme. nun konnte ich über einen zweiten Account auf den Rechner und wenigstens das OTL und Malwarebytes Anti-Malware laufen lassen. Könntet ihr mal bitte schauen, was die Logs sagen und mir helfen, dieses GVU Teil wieder loszuwerden? Das wäre prima! Die logs von OTL und Anti-Malware habe ich mit hochgeladen. Danke schon mal für Eure Hilfe! Viele Grüße Micha |
20.10.2012, 03:30 | #2 |
/// Helfer-Team | Entfernen des GVU TrojanersDie Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen. Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen. Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern mede dies bitte. 1. Schritt Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code:
ATTFilter :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [2012.10.16 05:41:02 | 083,023,306 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad :Files C:\ProgramData\*.exe C:\ProgramData\TEMP C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\*.exe C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Anwendungsdaten\*.exe C:\Dokumente und Einstellungen\Micha\*.exe C:\Dokumente und Einstellungen\Micha\Startmenü\Programme\Autostart\ctfmon.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\ ipconfig /flushdns /c :Commands [emptytemp]
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! 2. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.danach: 3. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
4. Schritt
__________________ |
23.10.2012, 05:10 | #3 |
| Entfernen des GVU Trojaners Hallo t'john,
__________________vielen Dank für Deine schnelle Hilfe! Da das Problem auf demLaptop bei einem anderen Benutzer aufgetreten ist und ich nur mit meinem Hilfs-User den OTL Scan/Fix gemacht habe, habe ich danach noch einmal mit dem "betroffenen" Benutzer "Christian" das OTL Fix gemacht, dabei aber die Verweise von meinem User auf den anderen angepasst. Ist das OK? (Gefunden hat der Scan auf jeden Fall noch eine .exe ..) Hier nun die Logs aus den einzelnen Schritten. Ist da noch etwas zu tun? Code:
ATTFilter All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully. Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found. Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. C:\WINDOWS\System32\CONFIG.TMP deleted successfully. C:\WINDOWS\System32\E_S57.tmp deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad moved successfully. ========== FILES ========== File\Folder C:\ProgramData\*.exe not found. File\Folder C:\ProgramData\TEMP not found. File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found. File\Folder C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\*.exe not found. File\Folder C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Anwendungsdaten\*.exe not found. File\Folder C:\Dokumente und Einstellungen\Micha\*.exe not found. File\Folder C:\Dokumente und Einstellungen\Micha\Startmenü\Programme\Autostart\ctfmon.lnk not found. File\Folder C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk not found. Folder C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache not found. < ipconfig /flushdns /c > Windows-IP-Konfiguration Der DNS-Auflösungscache wurde geleert. C:\Dokumente und Einstellungen\Micha\Desktop\cmd.bat deleted successfully. C:\Dokumente und Einstellungen\Micha\Desktop\cmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 81598 bytes User: All Users User: Christian User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Karin User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Micha ->Temp folder emptied: 70457585 bytes ->Temporary Internet Files folder emptied: 19192659 bytes ->Java cache emptied: 38545063 bytes ->Flash cache emptied: 563 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Ulrike ->Temp folder emptied: 832529 bytes ->Temporary Internet Files folder emptied: 1474528 bytes ->Java cache emptied: 10680297 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1139177 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 9981719 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 145,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 10202012_142416 Files\Folders moved on Reboot... File\Folder C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\~DF31FF.tmp not found! File\Folder C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\~DF32E1.tmp not found! File\Folder C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\~DF3764.tmp not found! File\Folder C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\~DF3796.tmp not found! File\Folder C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\~DF3ABA.tmp not found! File\Folder C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\~DF3BEA.tmp not found! C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CLS6CXEG\125910-entfernen-gvu-trojaners[1].html moved successfully. C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\764OI0US\ads[3].htm moved successfully. C:\WINDOWS\temp\Perflib_Perfdata_1d8.dat moved successfully. PendingFileRenameOperations files... Registry entries deleted on Reboot... Ist es sinnvoll, den AdwCleaner als "betroffener" benutzer oder von meinem Hilfs-User aus auszuführen? Den AdwCleaner-Delete habe ich noch nicht gemacht aufgrund meiner Unsicherheit, von wo aus man das am besten ausführt (wenn man schon den Komfort eines Reserve-Benutzers hat). Sollte das am besten auch von jedem Benutzer aus ausgeführt werden? Die Frage zu den Benutzern kam bei mir, als ich nach einem Scan (ich weiß nicht mehr ob AdwCleaner oder Malwarebytes) von meinem (administrativen) Benutzer nicht mehr auf as Benutzerverzeichnis des betroffenen Benutzers zugreifen konnte. Umgekehrt ging es aber... Vielen Dank für Deine Hilfe schon mal! Micha |
24.10.2012, 07:50 | #4 |
/// Helfer-Team | Entfernen des GVU Trojaners Sehr gut! Wie laeuft der Rechner? Malware-Scan mit Emsisoft Anti-Malware Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm. Lade über Jetzt Updaten die aktuellen Signaturen herunter. Wähle den Freeware-Modus aus. Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers. Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten. Anleitung: http://www.trojaner-board.de/103809-...i-malware.html |
26.10.2012, 05:20 | #5 |
| Entfernen des GVU Trojaners Hallo t'john, Danke für Deine Antwort und Unterstützung! Der Rechner läuft aus meiner Sicht wie gewohnt - langsam. Die Schiegermutter hat das Gefühl, er würde insgesamt noch langsamer als vorher laufen. Sie sitzt öfter dran. Bei einem alten Rechner mit Athlon-XP 3000+ mit 1,4 GHz und 512MB RAM ist Geschwindigkeit aber relativ. Das Laden der Scan Engine der Emsisoft dauerte 4 Minuten. Von meiner Seite her würde ich aber die Geschwindigkeit als normal bezeichnen. Hier das Logfile des Scans. Die eine gefundene Datei bezieht sich auf ein Objekt in Quarantäne des Virenscanners und sollte damit ungefährlich sein, stimmt's? Code:
ATTFilter Emsisoft Anti-Malware - Version 7.0 Letztes Update: 25.10.2012 20:22:28 Scan Einstellungen: Scan Methode: Detail Scan Objekte: Rootkits, Speicher, Traces, C:\ Riskware-Erkennung: Aus Archiv Scan: An ADS Scan: An Dateitypen-Filter: Aus Erweitertes Caching: An Direkter Festplattenzugriff: Aus Scan Beginn: 25.10.2012 20:37:37 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\53f1662b.qua -> (Quarantine-8) gefunden: Exploit.PDF-JS.GX (B) Gescannt 588787 Gefunden 1 Scan Ende: 26.10.2012 04:27:59 Scan Zeit: 7:50:22 Viele Grüße Micha |
26.10.2012, 16:37 | #6 |
/// Helfer-Team | Entfernen des GVU Trojaners Sehr gut! Deinstalliere: Emsisoft Anti-Malware ESET Online Scanner Vorbereitung
__________________ --> Entfernen des GVU Trojaners |
27.10.2012, 15:08 | #7 |
| Entfernen des GVU Trojaners Hallo t'john, habe den ESET Scanner installiert. dassieht ja mal richtig gut aus.. Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=46f14fe9f979194eb5b5798444ed4df9 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-10-27 01:22:27 # local_time=2012-10-27 03:22:27 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1792 16777191 100 0 8112945 8112945 0 0 # compatibility_mode=8192 67108863 100 0 199 199 0 0 # scanned=275932 # found=0 # cleaned=0 # scan_time=11410 Vielen Dank für Deine Hilfe! Micha |
28.10.2012, 21:05 | #8 |
/// Helfer-Team | Entfernen des GVU Trojaners Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck Java deaktivieren Aufgrund derezeitigen Sicherheitsluecke: http://www.trojaner-board.de/122961-...ktivieren.html Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck |
29.10.2012, 21:06 | #9 |
| Entfernen des GVU Trojaners Hallo t'john, besten Dank für die Hinweise. aufgrund des Rechneralters hatte ich bisher (nach dem GVU Trojaner) die Java Version von 1.6.29 auf 1.6.37 angehoben. Naja- nun habe ich doch noch die 7er Version installiert und die alten Java-Versionen deinstalliert. Beim Plugin Check habe ich dann auch den Acrobat Reader noch aktualisiert. Hier das Ergebnis: Code:
ATTFilter PluginCheck Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. Internet Explorer 8.0 ist aktuell Flash (11,4,402,287) ist aktuell. Java (1,7,0,9) ist aktuell. Adobe Reader 11,0,0,0 ist aktuell. Es wird auf dem Rechner nur der IE8 verwendet. Nach der Hinweisseite zum Deaktivieren des Java Plugins sollte man Java bei IE( Verwendung ja komplett deinstallieren. Das ist aber nicht möglich, weil es von anderen Applikationen benötigt wird. Sollte es trotzdem erst einmal deaktiviert werden wie z.B. in "hxxp://support.microsoft.com/kb/2751647/de" beschrieben? Viele Grüße Micha |
30.10.2012, 10:24 | #10 | ||
/// Helfer-Team | Entfernen des GVU TrojanersZitat:
Zitat:
Wie waere es mit einem anderen Browser? Chrome vielleicht? |
30.10.2012, 15:32 | #11 |
| Entfernen des GVU Trojaners Hallo t'john, Ich hatte schon etwas vermutet, daß man einen anderen Browser benutzen sollte, wenn es beim IE Probleme gibt. Ich kann es vorschlagen, aber ich weiß nicht, wie die Akzeptanz sein wird... Viele Grüße Micha |
31.10.2012, 04:46 | #12 |
/// Helfer-Team | Entfernen des GVU Trojaners Probieren geht ueber studieren: Browsers and Plugins - FilePony.de |
04.11.2012, 12:12 | #13 |
| Entfernen des GVU Trojaners Hallo t'john, eshat etwas gedauert, aber ich habe jetzt Google Chrome als Standardbrowser installiert und Java deaktiviert. Auf der PluginCheck Seite sieht es damit so aus: Code:
ATTFilter PluginCheck Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. Chrome 22.0.1229.96 ist aktuell Flash 11,4,31,110 ist veraltet! Aktualisieren Sie bitte auf die neueste Version! Java ist nicht Installiert oder nicht aktiviert. Adobe Reader ist nicht installiert oder aktiviert. Viele Grüße Micha |
05.11.2012, 14:46 | #14 | |
/// Helfer-Team | Entfernen des GVU TrojanersZitat:
Reader gibt es glaube ich bei Chrome nicht, da es einen eigenen verwendet. Sehr gut! damit bist Du sauber und entlassen! adwCleaner entfernen
Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Systemwiederherstellungen leeren Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein: Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7 Danach wieder aktivieren. Aufräumen mit CCleaner Lasse mit CCleaner (Download) (Anleitung) Fehler in der
Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html http://www.trojaner-board.de/109844-...ren-seite.html PC wird immer langsamer - was tun? |
Themen zu Entfernen des GVU Trojaners |
account, adware.180solutions, anti-malware, bekannter, entferne, entfernen, kaspersky, konnte, laufen, loszuwerden, malwarebytes, malwarebytes anti-malware, prima, rechner, rescue, scan, scanne, scannen, system, trojaner, trojaners, zunächst, ältere |