Guten Abend liebes Forum!

Gestern habe ich mir den GVU-Trojaner bei meiner Recherche für meine Bachelor-Arbeit eingefangen.
Es handelt sich dabei um die neue Version bei welcher man den Rechner nicht mehr im abgesicherten Modus starten kann.

Eigentlich hatte ich vor strikt nach euren Vorschlägen vorzugehen, allerdings kam ich nur selten bis zum Desktop durch und zuletzt funktioniert gar nichts mehr (exe-Dateien ausführen, überhaupt Dateien aufrufen etc.). Daraufhin schlug mir Windows eine Systemstartbereinigung vor, welche ich auch ausgeführt habe. Danach funktionierte der Laptop auch oberflächlich wieder, aber einen Scan mit Malwarebytes Anti-Malware habe ich dennoch durchgeführt und die Dateien trotz der Warnungen hier im Forum gelöscht.
Ich brauche den Laptop leider sehr dringend für meine Bachelor-Arbeit und wollte auf keinen Fall, dass mein Laptop wieder unbrauchbar wird.

Trotzdem habe ich natürlich Sorge, dass der Trojaner nicht endgültig entfernt ist und habe deshalb einen Scan mit defogger, OTL und GMER durchgeführt und die Log-Dateien gespeichert.

Ich würde mich sehr freuen, wenn ihr einen Blick darauf werfen und mir weitere Tipps für mein Vorgehen geben könntet.

Zum jetzigen Zeitpunkt erscheint mir mein Laptop um einiges langsamer und die Programme Mozilla Firefox und Thunderbird lassen sich nicht starten ("Prozess wird bereits ausgeführt"). Der Lapt ließ sich beim letzten mal auch nicht richtig herunterfahren (cold reset). Seitdem werden meine temporären AutoCad-Dateien (.dwl) dauerhaft auf meinem Desktop angezeigt.

Die Logs habe ich der Größe wegen als 7zip-Dateien in den Anhang gegeben.

Vielen Dank schon mal für eure Mühen!!

Liebe Grüße, Malina

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


danach:


Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

danach:

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

• Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Wähle Scanne Alle Benuzer
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
• Unter Extra Registrierung, wähle bitte Benutze SafeList
• Klicke nun auf Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Guten Abend nochmal!

Vielen Dank für deine Hilfe!

Ich habe alle Scans durchlaufen lassen. Anti-Rootkit hat keine infizierten Dateien finden können, genau so wie der Adw-Cleaner. Die Logfiles habe ich zusammen mit denen vom OTL in die zip-Datei getan.

Bedeutet das Ergebnis, dass der Trojaner schon von meinem Laptop gelöscht wurde?

Die erwähnten Leistungseinbußen waren zumindest subjektiv, arbeiten mit den Programmen lief wie sonst auch. Auch die temporären Dateien auf dem Laptop waren nur auf Sichtbarkeitseinstellung für versteckte Dateien zurückzuführen!

Ich hoffe auf weitere Tipps oder eine positive Antwort

Danke nochmal,

Malina

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
• Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
 
IE - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001\..\URLSearchHook: - No CLSID value found 
IE - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - No CLSID value found 
IE - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} 
IE - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?FORM=WLETDF&PC=WLEM&q={searchTerms}&src=IE-SearchBox 
IE - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001\..\SearchScopes\{3AD225F8-85E0-4B8F-A869-AE7DE41FA62E}: "URL" = http://www.amazon.de/gp/search?ie=UTF8&keywords={searchTerms}&tag=tochibade-win7-ie-search-21&index=blended&linkCode=ur2 
IE - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001\..\SearchScopes\{68AEA669-F75C-4742-BC7D-C9CBB31B0603}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050 
IE - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7TSEH_deDE351 
IE - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001\..\SearchScopes\{6AD55F8A-685C-455F-89CD-9BC041CDA464}: "URL" = http://rover.ebay.com/rover/1/707-44556-9400-9/4?satitle={searchTerms} 
IE - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001\..\SearchScopes\{BF42BEC2-B0AF-40FE-A1E9-BAF40A7BDDD3}: "URL" = http://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms} 
IE - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421; 
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX 
File not found (No name found) -- C:\PROGRAM FILES (X86)\COMMON FILES\SPIGOT\WTXPCOM 
File not found (No name found) -- C:\Users\MALINA\APPDATA\Roaming\MOZILLA\FIREFOX\PROFILES\DOVUOD1J.DEFAULT\EXTENSIONS\FFXTLBR@incrediBAR.COM 

O4 - HKLM..\Run: [] File not found 
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe () 
O4 - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001..\Run: [AdobeBridge] File not found 
O4 - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001..\Run: [Akamai NetSession Interface] C:\Users\Malina\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.) 
O4 - HKU\S-1-5-21-4182204639-3899935339-1249212929-1001..\Run: [Miranda Fusion] C:\Program Files (x86)\MirandaFusion\mfstart.exe File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 
@Alternate Data Stream - 1159 bytes -> C:\ProgramData\Microsoft:LJlKkw9AuvQGxxIY8 
@Alternate Data Stream - 1066 bytes -> C:\ProgramData\Microsoft:hgx20svwWCrTRbacT7v0M7kV 

:Files
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\Malina\*.tmp
C:\Users\Malina\AppData\Local\Temp\*.exe
C:\Users\Malina\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup unctf.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

danach:

3. Schritt
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Guten Abend!

Entschuldigung wegen der späten Antwort, aber meine Bachelorarbeit-Abgabe musste erstmal erledigt werden.

Ich habe die Scans durchgeführt und die Logs gespeichert. Beim Emisoft Anti-Malware habe ich die Dateien in Quarantäne verschoben, allerdings nicht gelöscht. Ich hoffe das war ok?

Ich hoffe trotzdem weiterhin auf eure Hilfe!

MfG, Malina

Sehr gut!

Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

dann:


Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.