Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.04.2013, 10:07   #1
Mostar
 
GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen - Unglücklich

GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen



Guten Morgen.

Ich hab mir die ganze Nacht mit Recherchen um die Ohren geschlagen und bin auf dieses Forum gestoßen. Ich habe nicht viel Ahnung von Computern und hoffe, dass ihr mir helfen könnt. Über jede Art von Hilfe wäre ich sehr dankbar.

Was ist passiert?


Gestern (15.04.2013 gegen 24 Uhr) poppte plötzlich beim normalen Surfen der BKA/GVU-Trojaner auf. Erstmal einen Schreck bekommen und reflexhaft den Laptop am Ausschalter ausgeschaltet. Dann kurz nachgedacht und schnell zu der Erkenntnis gekommen, dass es nur ein Virus oder ähnliches sein kann. Die GVU-Meldung war eine mit Webcam-Shot.


Was ich bereits unternommen habe

Nach dem Neustart ließ sich der PC wieder ohne Probleme und ohne weiteres Auftauchen des GVU-Screens bedienen. Ich hab im Internet recherchiert und verschiedene Fälle und Anleitungen gelesen, u.a. hier im Forum. Derzeit habe ich die volle Kontrolle über den Rechner, keine weitere Blockade durch den GVU-Screen (vorerst), was mich sehr verwundert hat. Ich hatte dann den PC im abgesicherten Modus gestartet (laut chip.de), aber dann doch nichts unternommen, da ich bei der Vielzahl der im Netz angepriesenen Lösungen unsicher war, welche die richtige ist.
Den PC wieder im normalen Zustand gestartet und unter C/..../Local/ ... eine EXE mit zufälliger Buchstaben-Zahlen-Kombination gelöscht, von der ich gelesen habe, das diese der Auslöser des Problems sei. In der Aufregung habe ich vergessen, mir diese aufzuschreiben, sorry.

Ich habe dann AVIRA und Malwarebytes Anti-Malware laufen lassen. Bei AVIRA ließ sich die Log nicht speichern, bei Malwarebytes liegt die Log vor. Mehrere infizierte Dateien gefunden.

Zudem habe ich den Internet Explorer entfernt, da das Problem mit diesem Browser auftrat und ich gelesen hatte, dass der Browser befallen sein kann. Jetzt nutze ich gerade Firefox. Wenn das ganze naiv oder falsch war, sorry, aber ich bin einfach grad erdrückt von so vielen Informationen und zudem recht nervös wegen dem Trojaner.

Ich habe dann beschlossen, dass es das beste wäre, mich an euch zu wenden und eure drei Schritte laufen lassen:

-defogger
-OTL
-gmer

Es folgen die Logs:


Malwarebytes:


Zitat:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.04.15.13

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Adi :: RENEGARD02 [Administrator]

16.04.2013 03:13:29
MBAM-log-2013-04-16 (09-35-19).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 245934
Laufzeit: 26 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Daten: explorer.exe,C:\Dokumente und Einstellungen\Adi\Anwendungsdaten\skype.dat -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$6044dd20cac0d6aa27ecb4f3b3de6bd6\n.) Gut: (fastprox.dll) -> Keine Aktion durchgeführt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-281820438-4166202675-1097016901-1005\$6044dd20cac0d6aa27ecb4f3b3de6bd6\n.) Gut: (shell32.dll) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Adi\Anwendungsdaten\skype.dat (Trojan.Ransom.SVD) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Adi\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.Ransom.SVD) -> Keine Aktion durchgeführt.

(Ende)
defogger

Zitat:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 09:56 on 16/04/2013 (Adi)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCUAEMON Tools Lite -> Removed

Checking for services/drivers...


-=E.O.F=-

OTL und GMER als Anhang


Edit: gmer hat sich eingefroren. Ich werde die OTL als Anhang hochladen und die GMER heute abend nachlegen.


Ich danke euch recht herzlich im Voraus für eure Hilfsbereitschaft. Ich werde heute gegen 22Uhr nach der Arbeit wieder online sein.

Meint ihr ich kann das wieder loswerden?
Angehängte Dateien
Dateityp: txt OTL.Txt (57,4 KB, 166x aufgerufen)
Dateityp: txt Extras.Txt (30,6 KB, 159x aufgerufen)
Dateityp: txt MBAM-log-2013-04-16 (09-35-19).txt (3,6 KB, 154x aufgerufen)
Dateityp: log defogger_disable.log (538 Bytes, 140x aufgerufen)

Alt 16.04.2013, 12:16   #2
aharonov
/// TB-Ausbilder
 
GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen - Standard

GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen



Hi,

ich bin etwas erstaunt, dass du diesen Rechner überhaupt aufstarten kannst ohne den Sperrbildschirm.. Der Eintrag ist nämlich noch da..
Anyway, da läuft auch noch ein Rootkit. Starte bitte so:


Schritt 1

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!


Downloade dir bitte Combofix.
  • WICHTIG: Speichere Combofix auf deinen Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und akzeptiere die Endbenutzer-Lizenz.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
  • Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 2

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
  • Schliesse alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.



Schritt 3
  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
reg query "HKLM\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0" /c
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}" /s /c
         
  • Schliesse bitte alle anderen Programme.
  • Setze den Haken bei Scan all Users.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von Combofix
  • Log von AdwCleaner
  • Log von OTL
__________________

__________________

Alt 20.04.2013, 18:11   #3
aharonov
/// TB-Ausbilder
 
GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen - Standard

GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen



Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.
__________________
__________________

Alt 25.04.2013, 02:31   #4
aharonov
/// TB-Ausbilder
 
GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen - Standard

GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen



Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.
__________________
cheers,
Leo

Antwort

Themen zu GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen
administrator, autostart, browser, chip.de, computer, computern, dateien, explorer, explorer.exe, gelöscht, infizierte, internet, internet explorer, loswerden, malwarebytes, microsoft, neustart, registry, software, trojan.0access, trojan.agent.rns, trojan.ransom.svd, virus, webcam



Ähnliche Themen: GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen


  1. Skype Trojaner
    Plagegeister aller Art und deren Bekämpfung - 16.08.2015 (1)
  2. Skype Virus "Your skype does not support extended icons"
    Log-Analyse und Auswertung - 10.10.2014 (15)
  3. Windows 7 - Skype Update - Umleitung auf skype.gmw.cn
    Alles rund um Windows - 12.08.2014 (9)
  4. Skype Zertifikat Problem a248.e.akamai.net wegen Werbung in Skype?
    Plagegeister aller Art und deren Bekämpfung - 05.03.2014 (3)
  5. Skype.exe wird ausgeführt obwohl Skype gar nicht installiert ist
    Plagegeister aller Art und deren Bekämpfung - 28.01.2014 (4)
  6. Registry Monitor Fenster Labtec Webcam 1200-monitor.exe Virus?
    Plagegeister aller Art und deren Bekämpfung - 17.01.2014 (7)
  7. Avira Meldet "C:\WINDOWS\system32\Skype.scr\Skype.exe" und kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.05.2013 (11)
  8. Probleme mit Skype, Dev-C ++ und Internet, z.B. friert der Bildschirm während der Benutzung von Skype ein
    Plagegeister aller Art und deren Bekämpfung - 21.03.2013 (17)
  9. TR/Crypt.ZPACK.Gen2 Virus in Program Files (x86)/Skype/Phone/Skype.exe
    Plagegeister aller Art und deren Bekämpfung - 10.03.2013 (1)
  10. TR/Crypt.ZPACK.Gen 2 in C:\Programm Files (x86)\Skype\Phone\Skype.exe
    Log-Analyse und Auswertung - 27.02.2013 (15)
  11. Avira meldet: 'TR/Crypt.ZPACK.Gen2' [trojan] in der Datei 'C:\Program Files\Skype\Phone\Skype.exe'
    Plagegeister aller Art und deren Bekämpfung - 08.12.2012 (2)
  12. Skype-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 29.11.2012 (12)
  13. Skype Trojaner
    Log-Analyse und Auswertung - 01.10.2012 (3)
  14. Skype Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 30.09.2012 (9)
  15. TR/Crypt.ZPACK.Gen2 in C:\Program Files\Skype\Phone\Skype.exe
    Plagegeister aller Art und deren Bekämpfung - 27.07.2012 (2)
  16. TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe
    Plagegeister aller Art und deren Bekämpfung - 12.10.2011 (9)
  17. TR/Crypt.XPACK.Gen in C:\Programme\Skype\Phone\Skype.exe
    Plagegeister aller Art und deren Bekämpfung - 24.10.2010 (2)

Zum Thema GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen - Guten Morgen. Ich hab mir die ganze Nacht mit Recherchen um die Ohren geschlagen und bin auf dieses Forum gestoßen. Ich habe nicht viel Ahnung von Computern und hoffe, dass - GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen...
Archiv
Du betrachtest: GVU-Trojaner mit Webcam, Registry und u.a. Skype befallen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.