|
Log-Analyse und Auswertung: PC säubern nach GVU-TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.07.2013, 20:05 | #1 |
| PC säubern nach GVU-Trojaner Guten Abend Leute! Habe mir gestern abend den GVU-Trojaner eingefangen. Abgesicherter Modus wurde immer wieder runtergefahren. Nofall-CD von Computer-Bild hat mir auch nicht geholfen. Nach mehreren Versuchen habe ich nach F8 über "Windows reparieren" doch auf einen Systemwiederherstellungspunkt zurücksetzen können. Danach lief CheckDisk und hat zwei Dateien ersetzt - welche, hab`ich in der Eile nicht mitbekommen. Danach ließ sich das Notbuch wieder booten ohne den lästigen GVU-Schirm. Habe danach mit aktuellem G-Data Viren-Scan vorgenommen - ohne Fund. Habe heute (nach der Arbeit) einfach manuell mit Explorer in C:\ nach verdächtigen Dateien gesucht und die yvxndijikrerqwvxc.exe in C:\Benutzer\...\AppData\Local\Temp gefunden und gelöscht. Dann CCleaner laufen lassen, Dateien gelöscht, Registry gesäubert und im Autostart runctf.lnk entfernt. Habe danach mit Maleware Anti-Maleware gescannt. Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.07.17.06 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Klaus F.... :: MD99060 [Administrator] Schutz: Aktiviert 17.07.2013 19:40:55 MBAM-log-2013-07-17 (19-55-08).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 237354 Laufzeit: 7 Minute(n), 58 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Daten: explorer.exe,C:\Users\Klaus F.....\AppData\Roaming\skype.dat -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 8 C:\Users\Klaus F....\wgsdgsdgdsgsd.exe (Exploit.Drop.GS) -> Keine Aktion durchgeführt. C:\ProgramData\dsgsdgdsgdsgw.bat (Exploit.Drop.GSA) -> Keine Aktion durchgeführt. C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Keine Aktion durchgeführt. C:\ProgramData\dsgsdgdsgdsgw.reg (Exploit.Drop.GSA) -> Keine Aktion durchgeführt. C:\Users\Klaus F....\AppData\Roaming\skype.dat (Trojan.Agent) -> Keine Aktion durchgeführt. C:\ProgramData\2433f433 (Trojan.Agent.TPL) -> Keine Aktion durchgeführt. C:\Users\Klaus F....\AppData\Roaming\2433f433 (Trojan.Agent.TPL) -> Keine Aktion durchgeführt. C:\Users\Klaus F....\AppData\Local\2433f433 (Trojan.Agent.TPL) -> Keine Aktion durchgeführt. (Ende) Zur Zeit läuft noch MWB-AntiRootkit-Scan. Meine Fragen an Euch: 1. Soll ich alle o.g. 8 Dateien löschen, oder kann ich die skype.dat rauslassen 2. Was kann ich noch tun - außer dem AntiRootkit-Scan? (Neuinstallation mal als allerletztes Mittel hintenan) Besten Dank für Eure Mühe! Klaus |
17.07.2013, 20:43 | #2 |
/// TB-Ausbilder | PC säubern nach GVU-Trojaner Zeig erstmal den Rootkitscan und dann schauen weiter.
__________________
__________________ |
17.07.2013, 21:16 | #3 |
| PC säubern nach GVU-Trojaner Guten Abend!
__________________Habe unterdessen mit MBAM die im logfile gelisteten Dateien (bis auf skype.dat !) gelöscht. Hier das Ergebnis des Rootkitscans: Code:
ATTFilter c:\$RECYCLE.BIN\S-1-5-18\$93832d0575e6fdfc982d8cf84e7110f2\@ (Trojan.Siredef.C) c:\$RECYCLE.BIN\S-1-5-21-2243381172-2736932805-2273688578- 1000\$93832d0575e6fdfc982d8cf84e7110f2\@ (Trojan.Siredef.C) c:\Users\Klaus Franz\wgsdgsdgdsgsd.exe (Exploit.Drop.GS) c:\ProgramData\dsgsdgdsgdsgw.bat (Exploit.Drop.GSA) c:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) c:\ProgramData\dsgsdgdsgdsgw.reg (Exploit.Drop.GSA) c:\Users\Klaus Franz\AppData\Roaming\skype.dat (Trojan.Agent) c:\ProgramData\2433f433 (Trojan.Agent.TPL) c:\Users\Klaus Franz\AppData\Roaming\2433f433 (Trojan.Agent.TPL) c:\Users\Klaus Franz\AppData\Local\2433f433 (Trojan.Agent.TPL) HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) HKCU\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|shell (Trojan.Agent.RNS) c:\$RECYCLE.BIN\S-1-5-18\$93832d0575e6fdfc982d8cf84e7110f2\U (Trojan.Siredef.C) c:\$RECYCLE.BIN\S-1-5-21-2243381172-2736932805-2273688578- 1000\$93832d0575e6fdfc982d8cf84e7110f2\U (Trojan.Siredef.C) c:\$RECYCLE.BIN\S-1-5-18\$93832d0575e6fdfc982d8cf84e7110f2\L (Trojan.Siredef.C) c:\$RECYCLE.BIN\S-1-5-21-2243381172-2736932805-2273688578- 1000\$93832d0575e6fdfc982d8cf84e7110f2\L (Trojan.Siredef.C) c:\$RECYCLE.BIN\S-1-5-18\$93832d0575e6fdfc982d8cf84e7110f2 (Trojan.Siredef.C) c:\$RECYCLE.BIN\S-1-5-21-2243381172-2736932805-2273688578- 1000\$93832d0575e6fdfc982d8cf84e7110f2 (Trojan.Siredef.C) HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA- D6A79037F57F}\INPROCSERVER32| (Trojan.0Access) (War so "fleißig", weil hier ne menge Anfragen einliefen und ich mir keine Hoffnung machte, heute abend noch eine Antwort zu bekommen. Und den Rechner brauche ich morgen vormittag. Also hab ich auf eigenes risiko "vorgearbeitet".) Danke erst mal! Klaus |
17.07.2013, 22:02 | #4 |
/// TB-Ausbilder | PC säubern nach GVU-Trojaner Also ich würde diese Kiste nicht mehr benutzen: Lesestoff: Rootkit-Warnung Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten, die er so sammelt, an die "bösen Jungs" weiterleiten kann. Was heißt das jetzt für dich?
Teile mir also mit, wie du dich entschieden hast.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
17.07.2013, 22:24 | #5 |
| PC säubern nach GVU-Trojaner Hallo ryder! Muss morgen und evtl. Freitag noch damit arbeiten. Geht auch offline. Banking brauch ich erst mal nicht. Höchstens e-Mails checken. Werde am WE die Kiste neu aufsetzen. Ist ja Medion und da läßt sich die "Grundausstattung" sprich: Auslieferungszustand ja problemlos herstellen. Und der Rest wird dann so 4-6h dauern. Denk' ich ;-))) Was empfiehlst Du als regelmäßige Scans (neben den MBAM und MBAR)? Besten Dank! Klaus |
18.07.2013, 18:19 | #6 |
/// TB-Ausbilder | PC säubern nach GVU-Trojaner Ja, also ich persönlich habe die Kombination von Avast und MBAM. Ein wenig Brain.exe kann auch nicht schaden. Ich poste dir meine Tipps Abschließend noch Tipps zu folgenden Themen:
Lesestoff: Systemupdates Man kann es gar nicht oft genug erwähnen, wie wichtig es ist, sein System aktuell zu halten. Dein Auto bringst du ja auch regelmässig zur Inspektion in die Werkstatt. Stelle also bitte sicher, dass die Systemupdates aktiviert sind:
Lesestoff: Softwareupdates Ebenso wichtig wie die Systemprogramme ist auch die Software, die du täglich nutzt. Die folgende Liste gibt dir einen kleinen Überblick mit Links zu den Updates, welche Programme dringend aktuell gehalten werden müssen (falls du sie überhaupt installiert hast und nutzt), weil durch deren Sicherheitslücken oft Malware auf die Computer gelangen kann:
Lesestoff: Sicherheitssoftware Würde dich jemand nackt auf dem Motorrad auf der Autobahn überholen würdest du auch den Kopf schütteln. Dein Computer braucht auch einen Schutz vor den täglichen kleinen Angriffen durch Schädlinge. Neben hervorragenden kommerziellen Anti-Viren-Lösungen gibt es auch durchaus gute Schutzprogramme, die kostenfrei mit reduziertem Funktionsumfang erhältlich sind. Aber vorsicht, hier gilt nicht "je mehr desto besser". Was du brauchst ist genau einen Virenscanner mit Hintergrundwächter. Nicht mehr und nicht weniger. Es gibt hier viele Produkte auf dem Markt, die einem gute Dienste leisten. Ich persönlich empfehle dir Avast Free Antivirus. Es bietet relativ guten Schutz, bei wenig nerviger Werbung und installiert dir ein Browserplugin, das dich vor gefährlichen Webseiten warnt.
Lesestoff: Sicheres Surfen Zunächst muss man sagen, dass es üblicherweise immer der menschliche Faktor ist, der es Malware ermöglicht auf einen Computer zu gelangen. Kaufst du Leuten, die an deiner Haustür klingeln, auch sofort ohne nachzudenken irgendwelches Zeug ab? Gewöhne dir daher zunächst einige Verhaltensregeln beim Surfen im Internet an:
Aber selbst bei der peinlichen Einhaltung dieser Regeln kann es dennoch zu einer sogenannten Drive-By-Infektion kommen, bei der ein Schädling aus dem Schutzmechanismus des Webbrowsers ausbricht. Um die Sicherheit noch weiter zu erhöhen gibt es spezielle Schutzsoftware, die deinen Browser noch weiter absichert.
Zuletzt denke bitte über die Benutzung eines alternativen Browsers nach. Programme, die nicht so oft verwendet werden, sind auch nicht so sehr im Focus der "bösen Jungs". D.h. du bist mit einem exotischen Browser eher auf der sicheren Seite. Grundsätzlich bist du erst einmal deutlich sicherer, wenn du nicht den Internet Explorer benutzt.
__________________ --> PC säubern nach GVU-Trojaner |
18.07.2013, 18:43 | #7 |
| PC säubern nach GVU-Trojaner Hallo ryder, besten Dank für Deine Mühe unD Deine Tipps. Mein System incl. Java &Co. wird automatisch geupdated. Aber G-Data Internetsuite scheint doch nicht das Gelbe vom Ei zu sein. Werde jetzt öfter "per Hand" mit MBAM+AR "putzen". Noch mal besten Dank für die Hilfe; Ihr habt jetzt einen mehr, der für Euch Werbung macht - Klasse Seite - fundierte Analysen und promte sachkundige Hilfe - tolle Leistung von Euch! Gruß! Klaus |
18.07.2013, 18:47 | #8 |
/// TB-Ausbilder | PC säubern nach GVU-Trojaner Schön, dass wir helfen konnten Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
Themen zu PC säubern nach GVU-Trojaner |
administrator, anti-malware, autostart, booten, dateien, dateien gelöscht, exploit.drop.gs, exploit.drop.gsa, explorer.exe, frage, maleware, malwarebytes, neuinstallation, registry, reparieren, roaming, software, temp, trojan.agent, trojan.agent.rns, trojan.agent.tpl, windows, windows reparieren, zurücksetzen |