GVU erfolgreich bekämpft ?
 

Hallo zusammen,

nach Erscheinen des GVU-Sperrbildschirms habe ich u.a. malwarebytes laufen lassen, der drei Trojaner erkannt und bekämpft hat. Jetzt läuft er anscheinend wieder...

Wie kann ich sicher sein, dass die Kiste (Windows xp) wirklich sauber ist ?

Er hat auch ein autom. Sicherheits-up-date von Miorsoft nicht installiert, auch nicht manuell sondern es kam folgende Meldung, die anzeigt, was nicht installiert wurde

Sicherheitsupdate für Microsoft .NET Framework 1.1 SP1 unter Windows XP, Windows Vista und Windows Server 2008 x86 (KB2833941)

Liebe Grüße
Matthias

Hi

dann schauen wir uns die Ksite mal an:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Aneri,

hier bitte
FRST Logfile:

FRST Logfile:
--- --- ---


Sorry, habs irgendwie zershcossen, soll ich nochmal ?

ich seh alles was ich brauche passt soweit...

Schritt 1:
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2:
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3:

erstelle bitte ein neues FRST Logfile und poste es hier

Hallo Aneri,

hier die Fixlog.txt

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 25-11-2013 01
Ran by Matthias at 2013-11-26 17:50:05 Run:1
Running from C:\Dokumente und Einstellungen\Matthias\Desktop
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
Startup: C:\Dokumente und Einstellungen\Matthias\Startmenü\Programme\Autostart\bbrjrzj2.lnk
ShortcutTarget: bbrjrzj2.lnk -> C:\DOKUME~1\ALLUSE~1\ANWEND~1\2jzrjrbb.dss (No File)
C:\Dokumente und Einstellungen\Matthias\Startmenü\Programme\Autostart\bbrjrzj2.lnk
C:\DOKUME~1\ALLUSE~1\ANWEND~1\2jzrjrbb.dss

*****************

C:\Dokumente und Einstellungen\Matthias\Startmenü\Programme\Autostart\bbrjrzj2.lnk => Moved successfully.
C:\DOKUME~1\ALLUSE~1\ANWEND~1\2jzrjrbb.dss not found.
"C:\Dokumente und Einstellungen\Matthias\Startmenü\Programme\Autostart\bbrjrzj2.lnk" => File/Directory not found.
"C:\DOKUME~1\ALLUSE~1\ANWEND~1\2jzrjrbb.dss" => File/Directory not found.

==== End of Fixlog ====

hier vom AdwcleanerAdwCleaner Logfile:
--- --- ---

und hier das Ergebnis von FRST
FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---
LG
Matthias

Schritt 1:
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3:
Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Schritt 4:

erstelle eine neues FRST Logfile und poste es hier

Hallo Aneri,

hier das Ergebnis von mbam, Rest kommt dann

Malwarebytes Anti-Malware 1.75.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.11.27.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Matthias :: NAME-7340A84D73 [Administrator]

27.11.2013 12:02:23
mbam-log-2013-11-27 (12-02-23).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 256591
Laufzeit: 7 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

hier von EST

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=51f1ae1af889af4db2301682f75fcb7b
# engine=13187
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-02-19 08:44:13
# local_time=2013-02-19 09:44:13 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775166 100 93 481396 97800274 481698 0
# scanned=88366
# found=1
# cleaned=0
# scan_time=3958
sh=ADA7871C9F911E2D5D37FD68E70DB95EEB5874BA ft=0 fh=0000000000000000 vn="probably a variant of Win32/Agent.SNVGGP trojan" ac=I fn="C:\eGames\MahJongg_Master_2\homepage.reg"
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=51f1ae1af889af4db2301682f75fcb7b
# engine=16042
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-11-27 12:19:13
# local_time=2013-11-27 01:19:13 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1799 16775165 100 97 9719 24285945 2468 0
# scanned=89056
# found=2
# cleaned=0
# scan_time=3815
sh=ACB2BE930DE1B1A36BEBC0584A5B2153758043CD ft=0 fh=0000000000000000 vn="JS/Tivso.Gen trojan" ac=I fn="C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PDSLATWN\920abdb9[1].txt"
sh=CF3F55B5AD2C3AEE10448AEB2416EF23E514E2A4 ft=0 fh=0000000000000000 vn="JS/Tivso.Gen trojan" ac=I fn="C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XMLKQAIH\39a8e099[1].txt"

und hier der Schritt 3 - habe dazwischen den Virenscanner wieder aktiviert...

Results of screen317's Security Check version 0.99.76
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Avira Free Antivirus
Avira successfully updated!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Adobe Reader XI
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

und hier FRST
FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Viele Grüße
Matthias

Macht dein System noch wirgendwelche Probleme?

Hallo Aneri,

läuft stabil, bringt nur beim Aufbau des Desktops eine Fehlermeldung, dass er eine Datei nicht findet. Den genauen Text kann ich erst später liefern, bin nicht am meinem PC. Außerdem kann ich das Microsoft-Sicherheitsupdate auch manuell nicht installieren...

LG
Matthias

Hallo und guten Morgen, Aneri,

die Fehlermeldung kam jetzt nicht mehr, er wollte nur ein Adobe-update installieren. Das habe ich aber nicht gemacht, wollte erst mit Dir klären, ob der PC auch sauber ist....Nur das Sicherheitsupdate von Microsoft kriegt er nicht gebacken :-)

Gruß
Matthias

Hi

dann schauen wir uns mal die Windows-Dienste an, evtl hängt hier noch was falsch:

Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hallo Aneri,

hier bitte das FSS.txt

Farbar Service Scanner Version: 23-11-2013
Ran by Matthias (administrator) on 29-11-2013 at 11:34:24
Running from "C:\Dokumente und Einstellungen\Matthias\Desktop"
Microsoft Windows XP Home Edition Service Pack 3 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================


System Restore:
============
Srservice Service is not running. Checking service configuration:
The start type of Srservice service is OK.
The ImagePath of Srservice service is OK.
The ServiceDll of Srservice service is OK.

sr Service is not running. Checking service configuration:
The start type of sr service is set to Disabled. The default start type is Boot.
The ImagePath of sr: "\SystemRoot\system32\DRIVERS\sr.sys".


System Restore Disabled Policy:
========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR"=DWORD:1


Security Center:
============


Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Other Services:
==============


File Check:
========
C:\WINDOWS\system32\dhcpcsvc.dll
[2005-01-27 04:59] - [2008-04-14 03:22] - 0127488 ____A (Microsoft Corporation) C29A1C9B75BA38FA37F8C44405DEC360

C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2005-01-27 04:59] - [2009-04-20 18:17] - 0045568 ____A (Microsoft Corporation) 407F3227AC618FD1CA54B335B083DE07

C:\WINDOWS\system32\ipnathlp.dll
[2005-01-27 04:59] - [2008-04-14 03:22] - 0334336 ____A (Microsoft Corporation) CAD058D5F8B889A87CA3EB3CF624DCEF

C:\WINDOWS\system32\netman.dll
[2005-01-27 04:59] - [2008-04-14 03:22] - 0198144 ____A (Microsoft Corporation) E6D88F1F6745BF00B57E7855A2AB696C

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2005-01-26 21:08] - [2008-04-14 03:22] - 0145408 ____A (Microsoft Corporation) 6F3F3973D97714CC5F906A19FE883729

C:\WINDOWS\system32\srsvc.dll
[2005-01-26 21:09] - [2008-04-14 03:22] - 0171520 ____A (Microsoft Corporation) FE77A85495065F3AD59C5C65B6C54182

C:\WINDOWS\system32\Drivers\sr.sys
[2005-01-26 21:09] - [2008-04-14 03:02] - 0073472 ____A (Microsoft Corporation) 50FA898F8C032796D3B1B9951BB5A90F

C:\WINDOWS\system32\wscsvc.dll
[2005-01-27 04:59] - [2008-04-14 03:22] - 0080896 ____A (Microsoft Corporation) 300B3E84FAF1A5C1F791C159BA28035D

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2005-01-26 21:08] - [2008-04-14 03:22] - 0145408 ____A (Microsoft Corporation) 6F3F3973D97714CC5F906A19FE883729

C:\WINDOWS\system32\wuauserv.dll
[2005-01-26 21:09] - [2008-04-14 03:22] - 0006656 ____A (Microsoft Corporation) 7B4FE05202AA6BF9F4DFD0E6A0D8A085

C:\WINDOWS\system32\qmgr.dll
[2005-01-26 21:09] - [2008-04-14 03:22] - 0409088 ____A (Microsoft Corporation) D6F603772A789BB3228F310D650B8BD1

C:\WINDOWS\system32\es.dll
[2005-01-27 04:59] - [2008-07-07 21:26] - 0253952 ____A (Microsoft Corporation) AF4F6B5739D18CA7972AB53E091CBC74

C:\WINDOWS\system32\cryptsvc.dll
[2005-01-27 04:59] - [2008-04-14 03:22] - 0062464 ____A (Microsoft Corporation) 611F824E5C703A5A899F84C5F1699E4D

C:\WINDOWS\system32\svchost.exe
[2005-01-27 04:59] - [2008-04-14 03:23] - 0014336 ____A (Microsoft Corporation) 4FBC75B74479C7A6F829E0CA19DF3366

C:\WINDOWS\system32\rpcss.dll
[2005-01-27 04:59] - [2009-02-09 11:51] - 0401408 ____A (Microsoft Corporation) 3127AFBF2C1ED0AB14A1BBB7AAECB85B

C:\WINDOWS\system32\services.exe
[2005-01-27 04:59] - [2009-02-09 12:21] - 0111104 ____A (Microsoft Corporation) A3EDBE9053889FB24AB22492472B39DC


Extra List:
=======
AegisP(8) Gpc(6) IPSec(4) NetBT(5) Tcpip(3)
0x09000000040000000100000002000000030000000A00000005000000060000000700000008000000
IpSec Tag value is correct.

**** End of log ****

Gruß
Matthias

Hi hast du die Systemwiederherstellung selbst deaktiviert?

Seitens der Windows Update Funktionen sehe ich keine Fehler bei den Diensten.

Gib mir kurz Rückmeldung, danke

Hallo Aneri,

die Systemwiederherstellung habe ich nicht selbst deaktiviert.

Soll ich mich mal direkt an Microsoft wenden? Die Fehlermeldung wird zwar an MS gemeldet, aber passiert ist nix.

Gruß
Matthias

Das Update scheint generell Probleme zu machen und ist bekannt.

Die beiden Funde von ESET sind Temp Files die wir jetzt alle löschen

Lade dir TFC (TempFileCleaner von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schließe alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

bitte poste ein letztes FRST Logfile, dannach räumen wir noch auf

Hallo Aneri,

TFC läuft aber nix tut sich, zumindest nicht ersichtlich. Der Balken zeigt auch nichts an. Ist das normal bzw.. bin ich zu ungeduldig ?

Gruß
Matthias