GVU-Trojaner erkannt und z. T. gelöscht
 

Hi,

es ist schon ein paar Tage her (23.12.), da erwischte mich der GVU-Trojaner wahrscheinlich beim Surfen innerhalb des Programms "The Godfather". Der Laptop-PC wurde gesperrt und gleichzeitig die Kamera aktiviert. Mein erstes
Handeln lief darauf hinaus, dass ich zunächst versuchte, durch einen Neustart
das Problem zu lösen. Ein Fehlschlag. Nach minimaler Normalsequenz bei der
Bildschirmanzeige versperrte mir wieder der GVU-Hinweis mit aktivierter Kamera
jegliche Aktion.

Ich ging nun her und fotografierte den Bildschirm mit meiner Kamera und als
nächstes bedeckte ich das Laptop-Kameraobjektiv mit einem Klebestreifen.
Nun ging ich er und lud von einem anderen PC eine Rescue-Disk von F-Secure
herunter und ließ sie im abgesicherten Modus laufen. Damit erreichte ich den
Zugang zum Bildschirm, allerding kam kurze Zeit später die Nachricht "wgsdgsdgdsgsd.exe Modul nicht gefunden".

Jetzt ging ich davon aus, daß nur ein Teil des "Ungemachs" gelöscht worden
ist. Ich ließ nacheinander meinen Virenscanner von F-Secure laufen mit dem
Ergebnis 2 Trojaner und 1 Exploit und Malwarebyte mit dem Ergebnis 2 Trojaner, 1 Exploit und 1 PUPWireless (s.Protokoll-jpeg). Dies erschütterte
mich so sehr, daß ich noch ein bis zwei andere, u. a. ESET, Programme laufen ließ, um noch mehr zu finden.

Anscheinend jedoch ist die Sache mittlerweile "im Griff". Nur traue ich dem
Braten nicht so recht. Ich bin leider auch nicht der EDV-Experte, der mit den vielen Logs etwas anfangen kann.

Insofern hoffe ich ab hier auch auf Ihre/Eure/Deine Hilfe und bin dafür sehr
dankbar, dass sich jemand meines Problems annimmt.

Schöne Grüße

wolfk

Hallo und :hallo:

Mal eine kurze Frage, das ist jetzt nichts speziell gegen dich, ich hätte auch jeden anderen fragen können der die Logs so postet - wo bitte steht, dass die Logs in den Anhang gelegt werden sollen bzw. wo genau hast du das herausgelesen?

Logfiles im Anhang erschweren die Auswertung massivst

Bitte um Erläuterung damit man die Textstelle in der Anleitung für alle Neulinge mal gezielt ändern/verbessern kann. Danke.

Zudem versteh ich nicht, warum die Logs von Malwarebytes und das OTL.txt weglässt. Logfiles in Screenshots sind noch schlimmer als die, die in den Anhang gelegt worden.

Bitte beachten => http://www.trojaner-board.de/125889-...tml#post941520

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Zitat:

Lesestoff: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor: Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C. Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE]. Setze den Curser zwischen die CODE-Tags und drücke STRG+V. Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten. http://www.trojaner-board.de/picture...&pictureid=307

Hallo Cosinus,

vielen Dank für Deine Antwort und die Hinweise. Die Weitergabe der Logs habe ich von "DaGuRu vom 12.09.2010", der sagt "Logfiles als Anhang posten" und letztlich auch intuitiv
gemacht, als ich die linke Seite Anlagen versenden sah. Ich gebe zu, ich habe es mir ein
wenig einfach gemacht. Allerdings war auch so viel zu lesen, dass mir der Kopf schwirrte.

Die Logs von Malwarebyte habe ich schlichtweg vergessen zu senden und die OTL.txt
war wegen der Größe nicht als Anlage beizufügen. Dies hätte mir allerdings zu denken
geben sollen.

Nun als Anlage die fehlenden Logs. Bitte sieh mir nach, dass ich mit den Code-Tags nicht
klar komme. Ich habe konventionell gearbeitet.

Vielen Dank für Dein Verständnis.

wolfk

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

1. aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.


2. TDSS-Killer

Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Hallo Cosinus,

zunächst grundsätzliches. Ich werde künftig nur das tun wozu ich aufgefordert werde,
also keine eigenmächtigen Aktionen. Nur so ist ein erfolgreiches Arbeiten möglich.
Mittlerweile habe ich den Begriff "Code-Tags" auch untergebracht.

Nun zu Punkt 1:

-Download aswMBR.exe und Datei auf Desktop gespeichert
Virenscanner abgstellt
-Start aswMBR.exe als Administrator mit der aktuellen Virendefinition
-Scan finished successfully
-Save Log und speichern des Logs auf dem Desktop.
-Posten der aswMBR.txt in der nächsten Antwort.

Punkt 2

-Download TDSS-Killer auf Desktop (Virenscanner abgestellt)
-Das Tool so eingestellt wie unten im Bild angegeben
-Start Scan geklickt und nach Durchlauf auf den Button Report geklickt
um das Log anzuzeigen. Dieses ist zu posten.

Anbei die Logs.

Vielen Dank für die Hilfe.

wolfk

Wie viele Partitionen hast du denn da eingerichtet? :wtf:
Hast du Linux parallel installiert? Warum soo viele Partitionen? :confused:

Hallo Cosinus,

ich habe den PC mit der neuen Festplatte vor ca. 2 Jahren so eingerichtet, dass ich mehrere Betriebssysteme parallel installieren kann. Ich habe z. Z. Windows XP,
Windows 7 und als Linuxfan Ubuntu, Debian, OpenSuse und Linux Mint parallel
installiert. Es sollte einfach sein, die Programme sollten jederzeit im Zugriff sein.
Die Windows-Systeme belegen die Partition Nr. 1 bis 5 des aswMBR-Logs und
die Linux-Programme die Partition Nr. 6 bis einschließlich Nr. 13

Wie gesagt, die Installationen dienten der "Einfachheit". Heute würde ich mich
sicher auf zwei Linux-Programme beschränken. Es ist ja auch so, dass jedes
Programm gewartet und auf den neuesten Stand gebracht werden muss. Der
Zeitaufwand ist einfach enorm. Zusätzlich kann ich mir vorstellen dass die
Vielzahl der Installationen meine Situation nicht gerade vereinfacht.

Gruß

wolfk

Achso du hast mehrere Linuxe drauf, ja dann ist das folgerichtig

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hi Cosinus,

wie von Dir beschrieben, habe ich

-ComboFix auf meinen Desktop heruntergeladen
-alle Programme incl. Antivirenprogramm und Browser geschlossen
-ComboFix gestartet und die Warnmeldungen bestätigt
-die Wiederherstellungskonsole installieren lassen und das System
durchsuchen lassen
-Während des Scans vermied ich alle Aktionen
-Anbei nun der Inhalt der ComboFix.txt

Vielen Dank für Deine Bemühungen.

Gruß

wolfk

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Cosinus,

zunächst habe ich

-das Notepad gestartet und den Inhalt der
Codebox in das Notepad Fenster eingefügt.
-Die Datei wurde anschließend als SFScript.txt
auf dem Desktop gespeichert.
-Nun erfolgte das Deaktivieren des Antivirenprogramms
und der Software-Firewall.
-Dann habe ich die SFScript.txt auf die cofi.exe gezogen
(wie im Bild beschrieben). Damit wurde Combofix neu
gestartet.
-Nach dem Neustart ist die LogDatei Combofix.txt zu posten
(anbei).

Weiterhin habe ich eine ganz andere Frage. Hat das Trojaner-Board
auch eine offizielle Bankverbindung? "Paypal" ist nicht meine Welt.
Die Frage hat sich schon erledigt, ich habe die Veröffentlichung
gesehen.

Wie immer vielen Dank für das Geleistete und das Verständnis

wolfk

Malwarebytes Anti-Rootkit http://img.trojaner-board.de/malware...otkit/logo.png

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo Cosinus,

ich habe

-den Download von Malwarenbytes Anti-Rootkit
und die Speicherung auf dem Desktop vorgenommen.
-Das Archiv wurde entpackt und in dem neu
erstellten Ordner die mbar.exe gestartet.
-Den Anweisungen auf dem Bildschirm folgend,
habe ich dem Tool erlaubt, upzudaten und
anschließend mein System zu scannen.
-Der Scan wurde beendet mit dem Hinweis, daß
keine Malware gefunden wurde. Insofern ist
auch kein Neustart programmseitig erforderlich
geworden.

-Anbei das vom Tool erstellte Logfile
( mbar-log-<Jahr-Monat-Tag>.txt ).
-Es wurde keine andere Datei in dem Ordner
gestartet.

Vielen Dank

wolfk

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hallo Cosinus,

habe mir den

-AdwCleaner auf den Desktop geladen
(alte adwcleaner.exe wurde gelöscht).
-AdwCleaner.exe mit Doppelklick gestartet
und auf "Suche" geklickt.
-Die sich öffnende Textdatei ist mit der
nächsten Antwort zu posten (anbei)

Herzlichen Dank für Deine Mühen

wolfk