Hallo Liebes Team,

ich habe mir gestern den GVU Trojaner auf meinem Rechner eingefangen. Bis dato wusste ich so gut wie nichts darüber. Auch bin ich eher ein "normaler" User von Computern und Internet und habe nicht die beste Ahnung darüber.

Nach dem ersten Schock habe ich mich über einen anderen Rechner über Möglichkeiten zur Entfernung/Behebung des Trojaners erkundigt und folgende Schritte ausgeführt:

-Kasperski Rescue Disk gebrannt und das System damit neu gebootet
-dann Windowsunlocker gestartet mit dem Ergebnis, dass alles auf OK war (es wurde nichts repariert)
-dann habe ich ein Update vor dem Virenscan mit Kaspersky gemacht,
um dann einen vollständigen Systemscan zu machen
- Es wurden 14 Trojaner gemeldet, die ich zunächst nicht weiter bearbeitet habe.(Es wurden aber nur 6 im Bearbeitungsfenster angezeigt)

Danach habe ich versucht, das System neu zu starten, aber der GVU Trojaner war immer noch da, also hat der windowsunlocker nichts gebracht.

Danach habe ich eine andere Methode gewählt, die ich in einem Forum gefunden habe:

-zunächst den Computer im abgesicherten Modus gestartet.
-dann Systemkonfiguration gestartet und nach Anleitung im Reiter Systemstart unter Befehl eine Datei lokalisiert die der besagte Trojaner sein sollte
Pfad: C:\progra~3\sass.exeC:\users\michel\appdata\local\temp\wgsdgsdgdsgsd.exe,GOF1

-Diese habe ich dann per Hacken deaktiviert und anschliessend im Explorer gesucht und gelöscht.
-danach habe ich einen Neustart gemacht und der GVU Bildschirm war weg.

soweit so gut.

Meine Antiviren Software Norton360 hat bis dato nichts gemeldet. Danach habe ich mit Norton360 einen vollständigen Systemscan gemacht ohne, dass etwas gefunden worden wäre.
Beim Kaspersky rescue disc Scan wurden aber 14 Trojaner gemeldet!

So, heute habe ich nun nochmals den Computer mit der Kaspersky rescue disk gestartet und die gefundenen Trojaner mit desinfect behandelt.

Danach habe ich den Computer neu gestartet und mir Malwarebytes Anti-Malware herunter geladen und einen Quicksacan ausgeführt, bei dem schon wieder 1 Trojaner gemeldet wurde.

Log ist:

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.29.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Michel :: MICHEL-PC [Administrator]

29.10.2012 14:26:39
mbam-log-2012-10-29 (14-31-40).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 219730
Laufzeit: 2 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\ProgramData\lsass.exe (Trojan.Delf) -> Keine Aktion durchgeführt.

(Ende)

Da ich mich nicht wirklich auskenne und ich nun schon viel "so" gemacht habe, würde ich mich über eine professionelle Hilfestellung beim weiteren Vorgehen sehr freuen und hoffe auf eine schnelle Antwort.

Beste Grüße

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du durch [X] oder Sternchen (*) ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

► Hilfeleistung - geplante Vorgehensweise:

• Problemsuche
• Problembeseitigung/Systembereinigung
• Verwendete Programme deinstallieren/entfernen
• Thema abschließen: Tipps zur Computersicherheit

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Lade Dir Malwarebytes Anti-Malware Lade Dir Malwarebytes Anti-Malware → von hier herunter

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Mache Häckchen bei LOP- und Purity-Prüfung
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

3.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira