GVU vollstädig entfernt?

-dilbert- · 13.07.2012, 16:07

Hallo zusammen,

also, wie in meinem ersten Post (http://www.trojaner-board.de/118981-...e-tool-ck.html) bereits geschrieben: "Nachdem ich feststellen musste, dass mein Rechner, mit dem ich standardmässig im Internet unterwegs bin, von einem Virus befallen ist, der von McAfee nicht gefunden wurde..." - und der mir wichtigere zweite Rechner bereits in "Behandlung" ist, hier die Geschichte zum ersten Rechner:

Ich hatte mir den GVU-Trojaner eingefangen. Als der Rechner blockierte, hab ich ihn vom Netz genommen und ausgeschaltet. Danach dann an meinem zweiten Rechner ein wenig gegoogelt und bin auf der Seite des BSI gelandet. Hab dort und unter h**p://www.bka-trojaner.de/ ein wenig gelesen und mir dann die Kasperski CD gebrannt, den Rechner vom Lock befreit, danach an einem passenden Restorepoint wieder aufgesetzt und mit Avira gescannt.

Code:

ATTFilter

 Avira / Linux Version 1.9.152.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.
engine set:         8.2.10.106
VDF Version:        7.11.35.120
Scan start time: Sat Jul  7 17:07:46 2012
configuration file: /etc/avira/scancl.conf
WARNING: [Unexpected end of file] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Anwendungsdaten/Juniper Networks/setup/uninstall.exe


WARNING: [Error writing file] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Eigene Dateien/Downloads/Wanderkarte_raw.tar.gz


WARNING: [Unexpected end of block read] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Eigene Dateien/Downloads/eu_rout.tgz.part --> object


WARNING: [File is encrypted] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Eigene Dateien/Dropbox/mine/Caches.zip


ALERT: [EXP/2012-0507.AW] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temp/V.class <<< Contains signature of the exploits EXP/2012-0507.AW [renamed]


ALERT: [TR/Drop.Injector.fhlh] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temp/0_0u_l.exe <<< Is the Trojan horse TR/Drop.Injector.fhlh [renamed]


WARNING: [Unexpected end of file] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temporary Internet Files/Content.IE5/8PRCYK0W/39-dll_6310a215c4745447b0d38f267872ce28[1].zip


WARNING: [Unexpected end of block read] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temporary Internet Files/Content.IE5/UOC2OTDI/SafeCD[1].iso


WARNING: [Unexpected end of block read] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temporary Internet Files/Content.IE5/Z1DIC0DA/escanrd[1].iso


WARNING: [Unexpected end of block read] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temporary Internet Files/Content.IE5/Z1DIC0DA/AOSS[1].iso


WARNING: [Unexpected end of block read] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temporary Internet Files/Content.IE5/Z1DIC0DA/bitdefender-rescue-cd[2].iso


WARNING: [Unexpected end of file] /media/Devices/sda1/Programme/Object/facetheme_uninstall.exe


WARNING: [Unexpected end of file] /media/Devices/sda1/Programme/gs/gs9.05/uninstgs.exe


WARNING: [Unexpected end of block read] /media/Devices/sda1/Sardu/ISO/AOSS.iso


WARNING: [Unexpected end of block read] /media/Devices/sda1/Sardu/ISO/drweb-livecd-600.iso


WARNING: [Unexpected end of block read] /media/Devices/sda1/Sardu/ISO/rescue_system-common-en.iso


Statistics :
Directories............... : 9889
Archives.................. : 8295
Files..................... : 581106
Infected.............. : 2
Renamed........... : 2
Warnings.............. : 14
Suspicious............ : 0
Infections................ : 2

Soweit so gut, der Rechner läuft wieder, ich vermisse keine Daten, aber... ein ungutes Gefühl ist da.
Bei meiner weiteren Recherche bin ich dann hier gelandet. Nachdem ich ein wenig gelesen und gestöbert habe, habe ich wie bereits gesagt meinen zweiten Rechner bei Euch "in Behandlung" gegeben.

Damit war aber klar, dass der erste Rechner auch komplett durchgecheckt werden muß:

Da am zweiten Rechner gerade der ESET läuft, die Zeit genutzt auf dem anderen Malewarebytes laufen zu lassen

Hier das Ergebnis nach defogger:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.12.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Dilbert :: DILBERT-D820 [Administrator]

12.07.2012 17:01:31
mbam-log-2012-07-12 (17-01-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 309029
Laufzeit: 46 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKCR\CLSID\{cbc5b60a-aa4d-45f6-84c2-d086f320299a} (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBC5B60A-AA4D-45F6-84C2-D086F320299A} (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBC5B60A-AA4D-45F6-84C2-D086F320299A} (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{CBC5B60A-AA4D-45F6-84C2-D086F320299A} (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\facetheme (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 9
C:\Programme\Object (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\chromeaddon (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\content (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\defaults (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\defaults\preferences (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\locale (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\locale\en-US (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\skin (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 31
C:\Programme\Object\status.txt (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\bho_project.dll (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\ChromeAddon.pem (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\config.ini (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\enable.txt (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme_uninstall.exe (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\status2.txt (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\chromeaddon\._included.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\chromeaddon\background.html (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\chromeaddon\included.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\chromeaddon\manifest.json (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\build.sh (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\chrome.manifest (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\config_build.sh (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\files (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\install.rdf (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\readme.txt (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\content\.DS_Store (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\content\firefoxOverlay.xul (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\content\installid.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\content\overlay.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\content\sudoku.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\defaults\.DS_Store (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\defaults\preferences\.DS_Store (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\defaults\preferences\._sudoku.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\defaults\preferences\sudoku.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\locale\.DS_Store (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\locale\en-US\.DS_Store (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\locale\en-US\sudoku.dtd (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\locale\en-US\sudoku.properties (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\skin\overlay.css (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Kann es sein, dass MBAM die Reste einer Google Chrome Installation nicht mag? Den hatte meine Frau mal unbeabsichtigt draufgepackt und ich hab ihn
wohl nicht anständig wieder runtergeschmissen...

Ich will sicherstellen, dass sich da nicht noch irgendetwas anderes eingenistet hat.

Das Log von GMER und OTL gibt's auch noch.

Gruß
D

GVU vollstädig entfernt?

Log-Analyse und Auswertung: GVU vollstädig entfernt?

GVU vollstädig entfernt?

Ähnliche Themen: GVU vollstädig entfernt?