| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner eingefangen (Win 7)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.12.2012, 21:50
| #1 |
| |  GVU-Trojaner eingefangen (Win 7) Hallo ihr Guten, wie einige andere hier habe ich mir auch den GVU-Virus eingefangen. Das Betriebssystem (Win 7 Home Premium, 64-Bit) lässt sich nur noch im abgesicherten Modus starten, im normalen Modus wird kurz nach dem Hochfahren der Bildschirm gesperrt. Ich habe anschließend ein paar Dateien extern gesichert (muss später schauen, ob diese noch funktionieren, von besonders wichtigen hatte ich bereits Backups). Ansonsten ließ ich einmal den Virenscan von Avira Free Antivirus über C:\Windows laufen. Hier gab es drei Trojanerfunde, wobei ich nicht weiß, ob die mit dem aktuellen Problem in Zusammenhang stehen. Log ist unten lesbar. Wie sieht das Vorgehen aus? Hatte die Tipps in anderen Threads überflogen, möchte aber noch eine Antwort hier abwarten. Schönen Gruß und Danke vorab. Code:
ATTFilter Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 28. Dezember 2012 15:42
Es wird nach 4626350 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Abgesicherter Modus
Benutzername : [Name]
Computername : [Computername]
Versionsinformationen:
BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 14.11.2012 20:37:26
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 22:34:10
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 22:34:10
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 22:34:10
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 22:33:08
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 11:40:24
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 00:37:45
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:25:29
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 21:08:46
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 20:06:00
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 22:25:41
VBASE008.VDF : 7.11.50.231 2048 Bytes 22.11.2012 22:25:42
VBASE009.VDF : 7.11.50.232 2048 Bytes 22.11.2012 22:25:42
VBASE010.VDF : 7.11.50.233 2048 Bytes 22.11.2012 22:25:42
VBASE011.VDF : 7.11.50.234 2048 Bytes 22.11.2012 22:25:42
VBASE012.VDF : 7.11.50.235 2048 Bytes 22.11.2012 22:25:43
VBASE013.VDF : 7.11.50.236 2048 Bytes 22.11.2012 22:25:43
VBASE014.VDF : 7.11.51.27 133632 Bytes 23.11.2012 22:56:22
VBASE015.VDF : 7.11.51.95 140288 Bytes 26.11.2012 02:13:26
VBASE016.VDF : 7.11.51.221 164352 Bytes 29.11.2012 02:48:51
VBASE017.VDF : 7.11.52.29 158208 Bytes 01.12.2012 13:47:19
VBASE018.VDF : 7.11.52.91 116736 Bytes 03.12.2012 21:01:24
VBASE019.VDF : 7.11.52.151 137728 Bytes 05.12.2012 21:01:24
VBASE020.VDF : 7.11.52.225 157696 Bytes 06.12.2012 22:15:54
VBASE021.VDF : 7.11.53.35 126976 Bytes 08.12.2012 22:53:43
VBASE022.VDF : 7.11.53.55 225792 Bytes 09.12.2012 22:53:56
VBASE023.VDF : 7.11.53.93 157184 Bytes 10.12.2012 22:53:55
VBASE024.VDF : 7.11.53.169 153088 Bytes 12.12.2012 22:53:55
VBASE025.VDF : 7.11.53.237 152064 Bytes 14.12.2012 22:53:56
VBASE026.VDF : 7.11.54.23 149504 Bytes 17.12.2012 13:13:10
VBASE027.VDF : 7.11.54.67 130048 Bytes 18.12.2012 16:23:12
VBASE028.VDF : 7.11.54.153 292352 Bytes 21.12.2012 00:46:28
VBASE029.VDF : 7.11.54.154 2048 Bytes 21.12.2012 00:46:28
VBASE030.VDF : 7.11.54.155 2048 Bytes 21.12.2012 00:46:28
VBASE031.VDF : 7.11.54.248 276480 Bytes 27.12.2012 00:46:37
Engineversion : 8.2.10.224
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 23:46:20
AESCRIPT.DLL : 8.1.4.78 467323 Bytes 20.12.2012 20:01:07
AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 22:54:02
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 20:55:56
AERDL.DLL : 8.2.0.74 643445 Bytes 07.11.2012 11:50:59
AEPACK.DLL : 8.3.1.2 819574 Bytes 20.12.2012 20:01:06
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 06.11.2012 11:50:55
AEHEUR.DLL : 8.1.4.168 5628280 Bytes 20.12.2012 20:01:04
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 10:59:37
AEGEN.DLL : 8.1.6.12 434549 Bytes 13.12.2012 22:54:00
AEEXP.DLL : 8.3.0.4 184692 Bytes 20.12.2012 20:01:07
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 23:46:18
AECORE.DLL : 8.1.30.0 201079 Bytes 13.12.2012 22:53:59
AEBB.DLL : 8.1.1.4 53619 Bytes 06.11.2012 11:50:51
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 22:34:09
AVPREF.DLL : 12.3.0.32 50720 Bytes 14.11.2012 20:37:25
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 22:34:10
AVARKT.DLL : 12.3.0.33 209696 Bytes 14.11.2012 20:37:23
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 22:34:10
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 22:34:10
AVSMTP.DLL : 12.3.0.32 63480 Bytes 08.08.2012 13:40:41
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 22:34:10
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 08.08.2012 13:40:36
RCTEXT.DLL : 12.3.0.32 98848 Bytes 14.11.2012 20:37:22
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\[Name]\AppData\Local\Temp\e4cd890e.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,
Beginn des Suchlaufs: Freitag, 28. Dezember 2012 15:42
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Windows'
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\MSI6660.tmp
[FUND] Ist das Trojanische Pferd TR/Mediyes.Gen
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\MSI6661.tmp
[FUND] Ist das Trojanische Pferd TR/Mediyes.Gen
C:\Windows\System32\xpt2f8ll.tsp
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
Beginne mit der Desinfektion:
C:\Windows\System32\xpt2f8ll.tsp
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5739195a.qua' verschoben!
[WARNUNG] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Telephony\Providers\ProviderFileName4> konnte nicht repariert werden.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\MSI6661.tmp
[FUND] Ist das Trojanische Pferd TR/Mediyes.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fd93618.qua' verschoben!
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\MSI6660.tmp
[FUND] Ist das Trojanische Pferd TR/Mediyes.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1d866cf0.qua' verschoben!
Ende des Suchlaufs: Freitag, 28. Dezember 2012 16:09
Benötigte Zeit: 22:08 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
17965 Verzeichnisse wurden überprüft
153898 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
153895 Dateien ohne Befall
703 Archive wurden durchsucht
1 Warnungen
3 Hinweise
Code:
ATTFilter
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Abgesicherter Modus mit Netzwerk Support
Benutzername : [Name]
Computername : [Computername]
Versionsinformationen:
BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 14.11.2012 20:37:26
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 22:34:10
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 22:34:10
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 22:34:10
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 22:33:08
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 11:40:24
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 00:37:45
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 20:25:29
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 21:08:46
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 20:06:00
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 22:25:41
VBASE008.VDF : 7.11.50.231 2048 Bytes 22.11.2012 22:25:42
VBASE009.VDF : 7.11.50.232 2048 Bytes 22.11.2012 22:25:42
VBASE010.VDF : 7.11.50.233 2048 Bytes 22.11.2012 22:25:42
VBASE011.VDF : 7.11.50.234 2048 Bytes 22.11.2012 22:25:42
VBASE012.VDF : 7.11.50.235 2048 Bytes 22.11.2012 22:25:43
VBASE013.VDF : 7.11.50.236 2048 Bytes 22.11.2012 22:25:43
VBASE014.VDF : 7.11.51.27 133632 Bytes 23.11.2012 22:56:22
VBASE015.VDF : 7.11.51.95 140288 Bytes 26.11.2012 02:13:26
VBASE016.VDF : 7.11.51.221 164352 Bytes 29.11.2012 02:48:51
VBASE017.VDF : 7.11.52.29 158208 Bytes 01.12.2012 13:47:19
VBASE018.VDF : 7.11.52.91 116736 Bytes 03.12.2012 21:01:24
VBASE019.VDF : 7.11.52.151 137728 Bytes 05.12.2012 21:01:24
VBASE020.VDF : 7.11.52.225 157696 Bytes 06.12.2012 22:15:54
VBASE021.VDF : 7.11.53.35 126976 Bytes 08.12.2012 22:53:43
VBASE022.VDF : 7.11.53.55 225792 Bytes 09.12.2012 22:53:56
VBASE023.VDF : 7.11.53.93 157184 Bytes 10.12.2012 22:53:55
VBASE024.VDF : 7.11.53.169 153088 Bytes 12.12.2012 22:53:55
VBASE025.VDF : 7.11.53.237 152064 Bytes 14.12.2012 22:53:56
VBASE026.VDF : 7.11.54.23 149504 Bytes 17.12.2012 13:13:10
VBASE027.VDF : 7.11.54.67 130048 Bytes 18.12.2012 16:23:12
VBASE028.VDF : 7.11.54.153 292352 Bytes 21.12.2012 00:46:28
VBASE029.VDF : 7.11.54.154 2048 Bytes 21.12.2012 00:46:28
VBASE030.VDF : 7.11.54.155 2048 Bytes 21.12.2012 00:46:28
VBASE031.VDF : 7.11.54.248 276480 Bytes 27.12.2012 00:46:37
Engineversion : 8.2.10.224
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 23:46:20
AESCRIPT.DLL : 8.1.4.78 467323 Bytes 20.12.2012 20:01:07
AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 22:54:02
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 20:55:56
AERDL.DLL : 8.2.0.74 643445 Bytes 07.11.2012 11:50:59
AEPACK.DLL : 8.3.1.2 819574 Bytes 20.12.2012 20:01:06
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 06.11.2012 11:50:55
AEHEUR.DLL : 8.1.4.168 5628280 Bytes 20.12.2012 20:01:04
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 10:59:37
AEGEN.DLL : 8.1.6.12 434549 Bytes 13.12.2012 22:54:00
AEEXP.DLL : 8.3.0.4 184692 Bytes 20.12.2012 20:01:07
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 23:46:18
AECORE.DLL : 8.1.30.0 201079 Bytes 13.12.2012 22:53:59
AEBB.DLL : 8.1.1.4 53619 Bytes 06.11.2012 11:50:51
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 22:34:09
AVPREF.DLL : 12.3.0.32 50720 Bytes 14.11.2012 20:37:25
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 22:34:10
AVARKT.DLL : 12.3.0.33 209696 Bytes 14.11.2012 20:37:23
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 22:34:10
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 22:34:10
AVSMTP.DLL : 12.3.0.32 63480 Bytes 08.08.2012 13:40:41
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 22:34:10
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 08.08.2012 13:40:36
RCTEXT.DLL : 12.3.0.32 98848 Bytes 14.11.2012 20:37:22
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,
Beginn des Suchlaufs: Freitag, 28. Dezember 2012 21:02
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '88' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '6192' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Users\[Name]\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\58022b3d-418a6190
[0] Archivtyp: ZIP
--> ewjvaiwebvhtuai124a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.QJ
--> test.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.QK
Beginne mit der Suche in 'D:\' <LENOVO>
Beginne mit der Desinfektion:
C:\User\[Name]\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\58022b3d-418a6190
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.QK
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '570bb5c6.qua' verschoben!
Ende des Suchlaufs: Freitag, 28. Dezember 2012 23:18
Benötigte Zeit: 1:49:10 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
42147 Verzeichnisse wurden überprüft
762472 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
762470 Dateien ohne Befall
10713 Archive wurden durchsucht
0 Warnungen
1 Hinweise
|
| Themen zu GVU-Trojaner eingefangen (Win 7) |
| antivirus, bildschirm, exploit.drop.gsa, gvu trojaner, java/jogek.qj, java/jogek.qk, lenovo, microsoft, neustart, problem, programm, pup.offerbundler.st, starten, system32, tr/crypt.zpack.gen, tr/crypt.zpack.gen2, tr/mediyes.gen, trojan.fakems, trojan.ransom.sugen, trojanische pferd, virus 100€ zahlen, warnung, windows |
Baum-Darstellung