Trojaner-Board - GVU - Trojaner eingefangen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU - Trojaner eingefangen (https://www.trojaner-board.de/118631-gvu-trojaner-eingefangen.html)

GVU - Trojaner eingefangen

Hallo liebes Forum,

ich habe mir leider auch den GVU Trojaner eingefangen.
Im Netz habe ich ein paar Lösungsvorschläge gefunden, bevor ich hier gelandet bin.

Das erste was ich versucht habe ist folgendes gewesen:
hxxp://www.youtube.com/watch?v=J3A1KhaQYik
Hier bin ich allerdings nicht dem Video gefolgt sondern der Anleitung in den Kommentaren und habe schlicht die datei "ctfmon.lnk" per cmd gelöscht.

Nachdem das nichts gebracht hatte, habe ich es mit kaspersky rescue versucht.
Dort wurde aber leider nichts gefunden. (vllt weil ich die datei vorher gelöscht hatte?)

Das Problem ist auf meinem Laptop aufgetreten.
Ist ein Acer und hat dementsprechend ein eigenes Setup bzw. Bootmenü.
Betriebssystem ist Win7 Home Premium 64Bit.
Die GVU-Meldung kommt nur wenn ich mit dem Internet verbunden bin, d.h. wenn ich beim Hochfahren rechtzeitig das WLAN ausschalte, bekomm ich keine Meldung.

Ich hab zum Glück noch einen Festrechner daneben stehen.
Der hat einen Internetzugang, allerdings ist das Betriebsystem WinXP.
Ich habe damit auch schonmal Defogger, OTL und ISOBurner runtergeladen, falls die für die Lösung benötigt werden sollten. Ich habe allerdings noch nichts ausgeführt, weil ich nicht besonders viel Ahnung von Pc's habe und lieber erst einmal auf Anweisung warten wollte.

Ich weiß natürlich, dass ihr gerad viel zu tun habt, nicht zuletzt gerade wegen diesem Trojaner. Deshalb schon einmal vielen Dank im Voraus!

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Danke erstmal fürs Antworten!

Hab es gerad probiert.
Der abgesicherte Modus funktioniert noch.
Er fährt hoch und ich kann auch ohne Probleme ins Netz.

Wenn dieser Modus funktioniert, kannst du erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

also hier zuerst das alte malwarebytes log (von gestern):

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.04.04.08
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Matte :: FLAGGSCHIFF [Administrator]
 

11.07.2012 18:16:09

mbam-log-2012-07-11 (18-16-09).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 197862

Laufzeit: 3 Minute(n), 23 Sekunde(n)
 

Infizierte Speicherprozesse: 1

C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 1992 -> Löschen bei Neustart.
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Löschen bei Neustart.
 

(Ende)

hier der aktuelle log:

Code:

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.07.12.08
 

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)

Internet Explorer 9.0.8112.16421

Matte :: FLAGGSCHIFF [Administrator]
 

12.07.2012 20:03:29

mbam-log-2012-07-12 (20-03-29).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|G:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 382558

Laufzeit: 40 Minute(n), 48 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 2

C:\Users\Matte\AppData\Local\Temp\roper0dun.exe (Spyware.Zbot.DG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Matte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

und der eset log:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=2f58e848723eab4e8d76caf2ef8eed7d

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-07-12 08:36:17

# local_time=2012-07-12 10:36:17 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1031

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1792 16777215 100 0 10288788 10288788 0 0

# compatibility_mode=5893 16776573 100 94 678377 93750091 0 0

# compatibility_mode=8192 67108863 100 0 585 585 0 0

# scanned=181583

# found=2

# cleaned=0

# scan_time=5135

C:\Users\Matte\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\4ab8ad9-5455a201        Mehrere Bedrohungen (Säubern nicht möglich)        00000000000000000000000000000000        I

E:\Läufer\Setups\PDFCreator-1_2_3_setup.exe        Win32/Toolbar.Widgi Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I

so, das waren die log-dateien.

noch so als info: ich werd von morgen mittag bis sonntag abend nicht an einen rechner kommen, weil ich auswärts arbeiten muss.
will ich nur gesagt haben wegen deinem zeitmanagement und so^^
habt ja generell gerad viele anfragen

Code:

C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Löschen bei Neustart.

KMService ist ein Office 2010 Crack/Hack! :pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

Achso. GUt zu wissen.
Dann als letzte Frage: Kann ich diese KM Datei einfach löschen und mir ne andere Office Version holen oder geht die neue dann nichT und ich muss vorher formatieren oder so?

Was soll die Frage? Meinen Beitrag nicht gelesen? :confused:

Sry, hatte das "Support eingestellt" schon verstanden.
Wollte halt nur ne Empfehlung obs durch einfaches Löschen der KM Datei zu Problemen kommen kann oder ob mehr nötig ist.
Dann geh ich mal davon aus, dass nichts mehr kommt.
Trotzdem danke fürs Zeit nehmen und noch viel Erfolg!

Dein System ist verseucht, was soll da ein Löschen einer einzelnen Datei bringen? :balla:
Wenn dein Auto einen Motorschaden hat, wird's durch einen Reifenwechsel auch nicht wieder fahrtüchtig
Und Bereinigungshilfe gibt es hier wegen der illegalen Software nicht mehr außer eben Hilfe bei Neuinstallation - wenn du Fragen zum Backup hast werden die auch beantwortet

Tut mir leid, wenn die Frage für dich dumm erscheint.
Hab, wie schon erwähnt keine große Ahnung davon.
Schließ das Thema einfach. Passt schon.

Das ist ja auch nicht schlimm keine Ahnung zu haben, ich versteh von manchen Sachen auch nichts bzw. nicht viel. Jeder hat halt eben sein Gebiet wo er gut ist.
Was ich nur nur nicht mag ist, dass trotz klarer Ansagen und Hinweise wieder in die andere Richtung gefragt wird - das lässt eigentlich nur zwei Schlüsse zu

a) du hast meinen Text nicht gelesen
b) du nervst so lange mit Fragen bis du das bekommst was du willst

verrat mir mal bitte warum du nach diesen klaren Hinweisen trotzdem noch gefragt hast! :wtf:

weil die hinweise für mich zwar klar waren, ich das "support eingestellt" und "system neu auflegen" aber nur auf GVU bezogen hab, da sich der thread ja darum dreht. und ich wie gesagt gehofft hatte dass es in bezug auf das KM ding noch nen hinweis gibt.
kann ja nicht von vornherein ahnen, dass sich der "support eingestellt" gleich aufs gesamte vorum bezieht.
durch deine folgenachrichten, hab ich dann schon mitbekommen, dass system neu auflegen dein einziger tip für alle erwähnten daten ist.
hoffe das reicht dir als antwort

Du bekommst schon noch Support, aber JETZT musst du erstmal alles plätten und neumachen. Wenn danach noch was sein sollte, dann gibt es wieder Support, der über den Hinweis von Neuinstallation hinausgeht.

Ist schon in der mache.
Hab den Laptop nem Kollegen gegeben, allerdings mit Link zu eurer Anleitung.
Da lernt er vllt auch nochwas. :)
Wenn dann nochwas sein sollte, meld ich mich nochmal.
Danke erstmal!