Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   GVU Trojaner 2.07 - Windows Vista Home Premium 32 Bit (https://www.trojaner-board.de/122374-gvu-trojaner-2-07-windows-vista-home-premium-32-bit.html)

BlackFoxx 18.08.2012 14:57
GVU Trojaner 2.07 - Windows Vista Home Premium 32 Bit
 
Hallo Trojaner-Board-Team,

ein Freund von mir hat sich auf seinem Notebook vor einiger Zeit den GVU Trojaner 2.07 eingefangen.
Vorab noch einige Informationen zum System:
  • Notebook: Fujitsu Amilo
  • Betriebssystem: Windows Vista Home Premium
  • Systemarchitektur: 32 Bit
  • Zum Zeitpunkt der Infektion installiertes Antivirusprogramm: Avira Free Antivirus (ist immer noch installiert)

Folgendes habe ich bereits vergeblich unternommen:
  • c't Desinfec't 2012 als Boot-DVD zur Malware-Untersuchung erstellt, die DVD konnte nicht gebootet werden
  • Kaspersky Rescue Disk 10 als Boot-CD erstellt, diese konnte jedoch auch nicht gebootet werden
  • mit dem Programm SARDU einen Multi-Antivirus-Boot-USB-Stick erstellt und ihr erratet es schon... auch der konnte nicht gebootet werden

Nach Recherchen im Internet scheinen diese Probleme mit dem erstellten Bootloader der Live-Systeme oder mit dem Dateisystem des USB-Sticks zusammenzuhängen, die das Notebook nicht verarbeiten kann.
Dazu beschriebene Problemlösungen erbrachten keinen Erfolg, sodass ich noch keine Untersuchung auf Malware durchführen konnte.

Ich habe auch ein Bild von dem Sperrbildschirm erhalten, der bei meinem Freund beim Hochfahren erschienen ist (daher weiß ich, um welche Trojaner-Variante es sich handelt). Der Sperrbildschirm entspricht dem folgenden Bild:

http://www.trojaner-board.de/117883-...er-webcam.html

Seltsam ist allerdings, dass, seitdem ich das Notebook habe, der Sperrbildschirm des Trojaners nicht mehr erscheint und Windows normal startet. Trotzdem sind mir während des Betriebs einige (Malware-)Symptome aufgefallen:
  • nach dem Hochfahren des Notebooks erscheint die Fehlermeldung: "Fehler in C:\Windows\System32\rundll32.exe. Folgender Eintrag fehlt: H9922"
  • nach dem Starten des Taskmanagers schließt dieser sich sofort wieder
  • wenn ich unter "Ordner- und Suchoptionen" -> "Ansicht" den Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden" entferne, ist dieses Feld nach einem Neustart wieder aktiviert (Haken ist wieder gesetzt)
  • das Notebook arbeitet kontinuierlich (Lämpchen für Festplattenaktivität leuchtet fast dauerhaft) und ist langsam, vorallem beim Hochfahren

Ich habe alle Anweisungen für Hilfesuchende genau befolgt und habe dabei jedoch einige Probleme gehabt:
  • mit dem Programm OTL (wurde als Administrator ausgeführt) wurde der Quickscan durchgeführt, allerdings wurde nach dem Quickscan keine Datei "Extra.txt" erstellt
  • das Programm GMER hängt sich im normalen Windowsbetrieb nach dem Scannen der Schattenkopien von Laufwerk C beim Scannvorgang "\Cdfs" auf und das Notebook reagiert daraufhin nicht mehr und muss ausgeschaltet werden; die angehängte Log-Datei "Gmer.txt" wurde durch das Scannen des Systems im abgesicherten Modus (hierbei hängt sich das Programm nicht auf) erstellt

Ich hoffe, dass ihr mir weiterhelfen könnt.

Danke schon mal im Vorraus für eure Mühen!

Beste Grüße

t'john 18.08.2012 15:26
:hallo:

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
MOD - [2012.06.25 22:21:54 | 000,225,256 | ---- | M] () -- C:\Users\ANDREA~1\AppData\Local\Temp\wpbt0.dll
IE - HKLM\..\URLSearchHook: {5786d022-540e-4699-b350-b4be0ae94b79} - C:\Programme\Ashampoo_DE\prxtbAsha.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481020
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2481020
IE - HKCU\..\URLSearchHook: {5786d022-540e-4699-b350-b4be0ae94b79} - C:\Programme\Ashampoo_DE\prxtbAsha.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481020
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..CT2481020.browser.search.defaultthis.engineName: true
FF - prefs.js..browser.startup.homepage: "http://www.google.de/"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?SSPV=FFSB8&ctid=CT2481020&SearchSource=2&q="
FF - user.js - File not found
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Ashampoo DE Toolbar) - {5786d022-540e-4699-b350-b4be0ae94b79} - C:\Programme\Ashampoo_DE\prxtbAsha.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Ashampoo DE Toolbar) - {5786d022-540e-4699-b350-b4be0ae94b79} - C:\Programme\Ashampoo_DE\prxtbAsha.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Ashampoo DE Toolbar) - {5786D022-540E-4699-B350-B4BE0AE94B79} - C:\Programme\Ashampoo_DE\prxtbAsha.dll (Conduit Ltd.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{c5158c22-9f1b-11df-8e37-001060d12a9a}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Play.exe
[2012.08.18 13:44:31 | 000,028,095 | ---- | M] () -- C:\Users\Andreas Braun\AppData\Roaming\nvModes.001
[2008.02.18 20:23:33 | 000,028,095 | ---- | C] () -- C:\Users\Andreas Braun\AppData\Roaming\nvModes.dat
[2012.05.05 18:38:14 | 000,000,945 | ---- | M] () -- C:\Users\Andreas Braun\AppData\Roaming\Mozilla\Firefox\Profiles\pmb3fxkx.default\searchplugins\conduit.xml
[2012.08.18 13:44:22 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.08.18 13:44:22 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.08.18 13:44:18 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.06.25 22:21:55 | 004,503,728 | ---- | C] () -- C:\ProgramData\0tbpw.pad
:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

3. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.



4. Schritt
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

BlackFoxx 22.08.2012 11:58
Zunächst vielen Dank für die schnelle Antwort und Hilfe!

Ich habe die gegebene Hilfestellung genau befolgt und die vier Logdateien wurden erstellt und sind im Anhang enthalten.

Beim Fixen, Suchen und Bereinigen ist mir Folgendes aufgefallen:
  • nach der Untersuchung mit Malwarebytes Anti-Malware wurden zwei infizierte Dateien gefunden, entfernt und in die Quaratäne verschoben: "Spyware.Zbot.DG" in "wpbt0.dll" und "Trojan.Ransom.Gen" in "ctfmon.lnk"
  • nach dem Hochfahren des Notebooks erscheint weiterhin die Fehlermeldung: "Fehler in C:\Windows\System32\rundll32.exe. Folgender Eintrag fehlt: H9922"
  • das Programm AdwCleaner hat einige auffällige Programme gefunden und entfernt

Nach dem Fixen mit dem Programm OTL und bevor ich das Programm Malwarebytes Anti-Malware installiert habe, habe ich das aktuell installierte Antivirus-Programm Avira Free Antivirus deinstalliert und das Notebook musste nach der Deinstallation neugestartet werden; beim nächsten Hochfahren erschien eine Fehlermeldung:
  • "Es wurde eine nicht autorisierte Änderung an Windows festgestellt."

Danach konnte ich nur noch ins Internet, um mir Informationen auf der Micrsosoft Homepage zu Original Microsoft Windows Software durchzulesen. Windows war bis zum nächsten Neustart in einem eingeschränkten Modus und ich musste den 25-stelligen Windows Product-Key erneut eingeben, um Windows wieder freizuschalten.

Meine Frage diesbezüglich:
Hängt diese Windows-Deaktivierung mit dem Fixen von Systemeinstellungen durch das Programm OTL zusammen?
Ich kann mir nicht vorstellen, dass dies durch die Deinstallation von Avira Free Antivirus verursacht wurde.

Vielen Dank für weitere Hilfe!

Beste Grüße

t'john 22.08.2012 18:18
Zitat:
Hängt diese Windows-Deaktivierung mit dem Fixen von Systemeinstellungen durch das Programm OTL zusammen?
ja.

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

BlackFoxx 25.08.2012 18:17
Das Notebook läuft wieder stabil und auch alle Fehlermeldungen beim Hochfahren habe ich beseitigt.

Ich habe, wie angegeben, eine Malware-Untersuchung mit dem Programm Emsisoft Anti-Malware durchgeführt und die gefundenen fünf Objekte noch nicht gelöscht.
Die Log-Datei befindet sich im Anhang.

Beste Grüße

t'john 26.08.2012 01:20
Sehr gut! :daumenhoc


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

t'john 07.10.2012 00:26
Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131