Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.12.2012, 15:23   #1
cameo
 
GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js - Standard

GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js



Hallo, ich habe/hatte mir gestern Abend die neueste (?) Version des GVU-Virus' ("Ihr PC ist gesperrt, zahlen sie 100EUR") auf dem Laptop eingehandelt - der zudem auch noch meinem Bruder gehört, der einen Tag zuvor in den Silvesterurlaub gefahren ist. Deswegen ist das Problem besonders schwerwiegend für mich, er wird echt böse sein, wenn ich das nicht wieder hinbekomme :-(
Nach ein bisschen googeln an meinem eigenen, nicht infizierten PC (der jedoch alt und lahm ist, deswegen habe ich auch den Laptop meines Bruders benutzt) wollte ich seinen Laptop zunächst mal im abgesicherten Modus neustarten, weil das überall als erster Schritt angegeben war. Während des Herunterfahrens, als Windows die noch im Hintergrund laufenden Programme (Browser und so) schließen wollte, verschwand aber plötzlich der Virus-Bildschirm, so dass ich das Herunterfahren/Programmschließen schnell beendet habe und nun plötzlich den Laptop ganz normal benutzen konnte (was ich komisch fand und hier in dieser Form bei anderen Betroffenen auch nirgends lesen konnte)

Habe dann Malwarebytes runtergeladen und den Laptop gescannt, dabei wurden folgende infizierte Dateien gefunden, die ich dann das Programm auch in Quarantäne verschieben und löschen ließ:

C:\Users\Admin\wgsdgsdgdsgsd.dll (Exploit.Drop.GS)
C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA)


Außerdem habe ich im selben Pfad wie die dsgsdgdsgdsgw.pad noch die dsgsdgdsgdsgw.js gefunden und runctf.lnk im Autostart.

Bei ersterer habe ich zunächst mal nur die Dateiendung umbenannt, um sie unschädlich zu machen, sonst nichts weiter. Zweitere hab ich mittels CCleaner deaktiviert und aus dem Autostart gelöscht.

Jetzt würde ich aber gern den Laptop noch professionell "bereinigen", damit mein Bruder nicht sauer wird. Ich hoffe, ein Profi von hier kann mir dabei helfen, ich bin ziemlich verzweifelt. Vielen, vielen Dank schonmal vorab!

Edit: Ach ja, die neueste Java-Version habe ich hinterher auch gleich noch installiert.
Edit 2: Den (dann abgebrochenen) Neustart habe ich übrigens über ALT+STRG+ENTF realisieren können, ich nehme deshalb an, dass sich der Taskmanager trotz Virus auch hätte aufrufen lassen, zumindest gelangte ich zu dem entsprechenden blaun Auswahlbildschirm. Nur falls das wichtig ist, da ja bei vielen offenbar der TaskManager auch nicht funktionierte

Geändert von cameo (29.12.2012 um 16:23 Uhr)

Alt 29.12.2012, 18:31   #2
markusg
/// Malware-holic
 
GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js - Standard

GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js



hi,
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
danach poste bitte alle Malwarebytes logs mit funden:
http://www.trojaner-board.de/125889-...en-posten.html
__________________

__________________

Alt 29.12.2012, 21:07   #3
cameo
 
GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js - Standard

GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js



Hallo, Danke für die schnelle Antwort.

Folgendes Problem: Beim OTL-Scan bekomme ich keine Extras.Txt geliefert, nur OTL.Txt. Kann es daran liegen, dass ich an den Einstellungen nach Programmstart außer dem Einfügen deines Benutzerdefinierten Scans nichts verändert habe? Du hast nicht erwähnt, dass ich irgendwas explizit anklicken soll, daher hab ich auch nichts verändert, insb. die "Extra-Registrierung" steht auf "AUS" und nicht auf "Benutze SafeList" wie bei den anderen Auswahlmodulen.
Ich befürchte, ich muss das nochmals machen, oder reicht die OTL.Txt?

Hier ist erstmal mein Malwarebytes-Log von heute Nacht nach Löschung der infizierten Files (Fullscan, wobei D,E,F lediglich CD/DVD-Laufwerke sind):

Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2012.12.28.12

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Admin :: BABY [Administrator]

29.12.2012 01:01:52
mbam-log-2012-12-29 (01-01-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 389061
Laufzeit: 1 Stunde(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Admin\wgsdgsdgdsgsd.dll (Exploit.Drop.GS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
So, um die Sache zu beschleunigen, habe ich jetzt noch einmal einen Scan probiert mit den auf http://www.trojaner-board.de/85104-o...-oldtimer.html angegebenen Parametern, wenn ich dann jedoch auf Quickscan drücke, schaltet die "Extra-Registrierung" immer von "Benutze SafeList" automatisch auf "AUS" um, und am Ende bekomme ich dann auch keine Extras.Txt-Datei. Es gibt also mE nur die Möglichkeiten, einen vollständigen Scan durchzuführen und dann die Extras.Txt als Log zu haben, oder eben den QuickScan, da ist dann aber keine Extras.Txt dabei.

Liege ich da richtig oder bin ich zu doof?
Was soll ich machen?
Danke schonmal
__________________

Alt 02.01.2013, 20:58   #4
markusg
/// Malware-holic
 
GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js - Standard

GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js



Scanne bitte so wie oben angegeben, bzw in der verlinkten OTL anleitung
poste dann die OTL.txt
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js
aufrufe, autostart, beendet, browser, bruder, ccleaner, dateien, deaktiviert, dsgsdgdsgdsgw.js, dsgsdgdsgdsgw.pad, folge, gesperrt, hintergrund, infizierte, java-version, lahm, laptop, löschen, malwarebytes, neustarten, plötzlich, problem, profi, programme, quarantäne, runctf.lnk, schließen, schnell, virus, windows



Ähnliche Themen: GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js


  1. Exploit.Drop.GS
    Log-Analyse und Auswertung - 07.10.2013 (9)
  2. exploit.drop
    Log-Analyse und Auswertung - 26.03.2013 (31)
  3. GVU Trojaner-Problem!(Exploit.Drop.GS;Exploit.drop.GSA;trojan.ransom.SUGen;--->Malwarebytes-Funde)
    Plagegeister aller Art und deren Bekämpfung - 02.03.2013 (6)
  4. GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll
    Plagegeister aller Art und deren Bekämpfung - 24.02.2013 (4)
  5. C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA)
    Plagegeister aller Art und deren Bekämpfung - 02.02.2013 (1)
  6. Exploit Drop GSA
    Log-Analyse und Auswertung - 29.01.2013 (7)
  7. exploit.drop.gsa eingefangen
    Log-Analyse und Auswertung - 22.01.2013 (22)
  8. Exploit.Drop.GSA
    Plagegeister aller Art und deren Bekämpfung - 17.01.2013 (32)
  9. GVU Trojaner, runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll, dsgsdgdsgdsgw.pad und dsgsdgdsgdsgw.js
    Plagegeister aller Art und deren Bekämpfung - 01.01.2013 (11)
  10. C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA)
    Log-Analyse und Auswertung - 31.12.2012 (5)
  11. Exploit.Drop.GS eingefangen
    Plagegeister aller Art und deren Bekämpfung - 29.12.2012 (1)
  12. GVU Trojaner (Exploit.drop.gsa)
    Plagegeister aller Art und deren Bekämpfung - 28.12.2012 (12)
  13. exploit.drop.gs
    Log-Analyse und Auswertung - 29.10.2012 (27)
  14. Exploit.Drop.UR2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 09.10.2012 (32)
  15. exploit.drop.ur.2
    Log-Analyse und Auswertung - 20.08.2012 (5)
  16. Exploit.Drop - Trojaner
    Log-Analyse und Auswertung - 03.07.2012 (3)
  17. BKA Virus einmal anders ? Exploit.drop
    Plagegeister aller Art und deren Bekämpfung - 12.03.2012 (32)

Zum Thema GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js - Hallo, ich habe/hatte mir gestern Abend die neueste (?) Version des GVU-Virus ' ("Ihr PC ist gesperrt, zahlen sie 100EUR") auf dem Laptop eingehandelt - der zudem auch noch meinem - GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js...
Archiv
Du betrachtest: GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.