GVU trojaner
 

Hallo zusammen,
Please excuse me for writing in English but I can speak and read it. It is no problem if you respond in German to my problem.

A GVU trojan has entered into the laptop I use for my self employment business and I need some help to deleting it. When I scanned the internet for solutions, I came across this forum and noticed another person described exactly my problem and was able to solve it with the help of this forum. See the following link for the exact problem description.

http://www.trojaner-board.de/138004-...artet-neu.html

I used Farbar to compile the logfile in this .TXT attachment. Can someone help me by changing the logfile as it was done for chrisdee? I use windows vista and would really appreciate any help.

Gruß,
hloy

Hi, if you need some translations ... please ask.



:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:






Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

---

S2 *etadpug; "C:\Program Files\Google\Desktop\Install\{914f588d-cc9d-b536-5fbd-731be0689f6f}\  \...\???\{914f588d-cc9d-b536-5fbd-731be0689f6f}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,,C:\Program Files\Sony Ericsson\fYbXpvVP.exe
C:\Program Files\Google\Desktop\Install\{914f588d-cc9d-b536-5fbd-731be0689f6f}
C:\ProgramData\mcdefender.exe
C:\Users\admin_007\AppData\Local\Google\Desktop\Install\{914f588d-cc9d-b536-5fbd-731be0689f6f}
DeleteJunctionsIndirectory: C:\Program Files\Windows Defender

---

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Tell how that went and if you can boot. You are still heavy infected.

Thanks for responding so fast.

I was able to transfer and install the fixlist.txt as you described. The desktop screen appeared with all of the icons until the computer was completely finished booting. Then the Bildschirm was blocked again.

I have attached the Fixlog.txt.

Okay you have a very nasty infection. Personally I would recommend to reinstall, but we can still try to unlock. Please check for me if you can boot into safemode with command prompt.

Sorry I could not respond sooner. It would be an absolute tragedy to reinstall everything new. I REALLY appreciate your offer to still help me unlock. It would be best for me to reinstall everything if I could get my system running again and retrieve a backup.

Just before my computer was blocked, I noticed that a software was installed without my consent. It is called "Internet Securtity Pro". I was unable to deinstall or stop it.

There are several "Benutzerkonten" on my laptop. I can begin "Safe Mode with prompt" but shortly after booting, the monitor is blocked and I come no further. Is this what you mean? Task Manager has been disabled in all of them.

If I use Farbar to boot, then I choose "Computer Reparieren" and come to "Systemwiederherstellungsoptionen" and get a prompt with "Eingabeaufforderung". This is no problem and I can see every drive and all directories.

Alright - please give me a new FRST logfile from recovery command prompt. It really would be better to reinstall. Fetching your data from the drive before you do so is easy if you use the Kaspersky Rescue Disk to mount your drives and then backup all your data.

I can send you the new logfile in about an hour since I am currently in the process of trying to copy my files onto an external hard drive.

yeah better back it all up :)

Attached is a logfile from today.

Alright, please try this frst-fix in the recovery mode - after that ... ONLY boot into safemode with command prompt - do nothing else. Report how it went.

I installed the fixlist file and rebooted into the "Safe Mode with command prompt" and have a black window open. What should I do now?

Try to run Combofix like this:


Computer mit Combofix entsperren

1. Combofix kopieren
   • Lade dir Combofix von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
2. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
3. Laufwerksbuchstaben finden und Combofix starten
   • Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
   • Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
   • Wenn du es gefunden hast tippe combofix (Enter)
   • Combofix sollte jetzt starten.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle Warnungen mit OK.
4. Logfile posten
   • Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

I have rebooted as you recommended with "Safe Mode with command prompt". It went well and I now have a black screen. What should I do next?

Ignore my last entry. I did not see your latest response. I will get back with you soon after trying your latest suggestion.

Thanks a million from the bottom of my heart. My system is running again. At the moment everything appears fine except for data files that were laying on my desktop like Excel and PDF files. When I open them, I get a damaged error message for the PDFs and DirtyDecrypt.exe message for the Excel files. Are you familiar with DirtyDecrypt.exe ?

Thank you, thank you, thank you again for your help.

We are not finished yet! Please show your combofix logfile here.

Refer to the attachment.

Okay, we need a double check for this.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Scan mit MBAR
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers




Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:


Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

I installed the fixlist and rebooted in "Safe Mode with command prompt". Everything went well. What is the next step?

I posted them for you ... MBAM, ESET and SecurityCheck

Sorry, I forgot to go to page 2 where your latest response was posted.

I have completed all 3 steps now and attached them as you instructed.

Here are the bad news ... you HAVE to run ESET again and let it remove the crypted files with Filecoder - there seems to be no way to get them back.

Also:
Uninstall Java SE and the other Java - install the new Version.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Windows Vista Service Pack 2 installieren

• Für die Installation des Service Pack 2 ist das installierte Service Pack 1 erforderlich.
• Lade dir das Service Pack 1 (32bit) von der Microsoft Webseite.
• Starte die Installation.
• Hinweis: Das Update kann wenige Minuten bis über eine Stunde dauern und wird einen Neustart erfordern.
• Lade dir das Service Pack 2 (32bit) von der Microsoft Webseite.
• Starte die Installation.
• Hinweis: Das Update kann wenige Minuten bis über eine Stunde dauern und wird einen Neustart erfordern.

Schritt 2:
Java Update (Windows XP, Vista, 7)

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version und speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version (Java 7 Update 25) herunter laden.
• Während der Installation entferne den Haken bei:
  http://www.trojaner-board.de/picture...&pictureid=319

Wenn die Installation beendet wurde:

• Start > Systemsteuerung > Programme und deinstalliere alle älteren Java Versionen, falls vorhanden, und starte deinen Rechner neu.

Nach dem Neustart:

• Öffne erneut die Systemsteuerung > Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen...
• Gehe sicher, dass überall ein Haken gesetzt ist und klicke zweimal OK.

Schritt 3:
Update: Firefox, Addons und Plugins

• Klicke auf http://www.trojaner-board.de/picture...&pictureid=324 > Hilfe > Über Firefox
• Warte bis das Update geladen ist, klicke auf Update installieren und lasse Firefox neu starten.
• Prüfe bitte, ob weitere Updates vorliegen oder ob Firefox aktuell ist.
• Klicke nun auf http://www.trojaner-board.de/picture...&pictureid=324 > Add-ons > http://www.trojaner-board.de/picture...&pictureid=326 > Auf Updates überprüfen
• Nach einem weiteren Neustart von Firefox sollte alles aktuell sein.

Prüfe bitte auch (regelmässig), ob folgende Links fehlende Updates bei deinen Plugins zeigen:

• PluginCheck-Schnelltest
• Mozilla Plugin-Check

Schritt 4:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

I will proceed as you instructed but do you mean that I will not be able to rescue any xls, pdf, doc, etc. files from my C: and D: drives? If so, then my file backup that I did before we began this recovery process is useless.

It's just the files ESET found as infected. Those are likely to be lost.

My computer skills are a bit elementary and my questions may be also. Sorry for these questions. I tried to open a pdf file from my backup, on another computer but it would not open. Is the problem or infection in each data file?

The ESET scan is currently running so it may be a while before I can give you an update.

Yes those data files are encrypted by this infektion and useless. There is NO WAY to decrypt them.

I have attached the newest logfile. How does it look now?

You should have updated your virusscanner as well and please remove the Java SE Runtime.

Otherwise ....

Prima! :daumenhoc

Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich.

Schritt 1:
Tools deinstallieren

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde:
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2:

Falls du mich jetzt fragen willst, was mit den noch gefundenen Bedrohungen von Eset ist ... lies bitte jetzt nochmal meinen Hinweis zu delfix einige wenige Zeilen weiter oben.

Schritt 3:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen und dabei gefundene Bedrohungen einfach entfernen zu lassen. Meist ist es ohnehin nur Werbung oder manipulierte Webseiten im Browsercache. Also bitte keine Panik, wenn mal ein Fund auftaucht! Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.

Code:

---

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

---

And we are done :)

Thank you so much for your help.

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board