Neuer GVU Virus? Workstation Befallen Hallo, eine Workstation (Windows XP 64 Bit) von uns wurde mit einem GVU Virus befallen. In dieser Galerie ( hxxp://bka-trojaner.de/ ) konnte ich den Virus nicht erkennen, sodass ich von einer Neuen Version ausgehe? Hier ein Screenshot von unserem: http://s14.directupload.net/images/130213/xrsmgp8a.jpg Kaspersky und Avira Rescue CD's konnten den Trojaner nicht finden. Ich selbst konnte ihn auch nicht ausfindig machen, da die Dateien ein gefälschtes Änderungs&Erstellungsdatum hatten und in meiner Suche so nicht aufgetaucht sind. (skype.ini & skype.dat) Malwarebytes musste es dann wieder richten. Habe mich dann auch weiterhin an die Anleitung hier gehalten und OTL drüberlaufen lassen. Die Logs sind im anhang. GMER stürzt auf dem Rechner immer ab (BlueScreen), sobald ich es von einem Adminkonto aus starte. Mit dem Normalen Benutzer onto ohne Adminrechte lässt es sich öffnen aber dann können keine Einstellungen vorgenommen werden. Weiß hier jemand weiter? Man kann jetzt zwar erstmal wieder an dem Client arbeiten, aber ich möchte so gut es geht sicherstellen das er wieder sauber ist. Neu Aufsetzen kommt momentan nicht in Frage. Wird aber in den nächsten Monaten durch eine Neuanschaffung von Computern sowieso geschehen. Falls in den Logs die RegbootCleaner Dateien auffallen sollten, diese hatte ich zunächst in Verdacht, da das Änderungsdatum mit dem Erscheinen des Tronjaners übereinstimmte. Ich hatte diese Dateien daher umbenannt. Grüße & Vielen Dank im Vorraus, OliverA |
hi, 1. ist das ein Firen pc? habt ihr eine it abteilung? 2. Warum hat das Gerät noch kein Servicepack 3 gesehen? |
Hallo Markus, 1.Ja ist ein Firmen Pc. IT Abteiling insofern, als dass ich mich um die IT Kümmere. 2.Es handelt sich um einen 64 Bit Client, dort ist SP2 Aktuell soweit ich weiß. |
Hi, ok asche über mein Haupt. Da das ein Firmen Gerät ist: Habt ihr kein Backup? Ich denke, in Firmen sollten besondere Sicherheitsmaßnamen gelten, dazu gehört, dass PC's die einmal mit Schadsoftware befallen waren, nicht mehr vertrauenswürdig sind, sie sollten neu aufgesetzt werden. Da man in Firmen ja mit wichtigen Daten hantiert, von firmen interna, bis Kundendaten, und diese einem besondern Schutz bedürfen, sollte man kein Risiko eingehen. Wir können eine Reinigung durchführen, diese ist aber nicht garantiert 100 %ig sicher, und ein Restrisiko bleibt. Es ist deine Entscheidung und ich helfe dir bei dem was du tun möchtest. |
Backups haben wir von den Servern selbstverständlich. Unsere Benutzerprofile liegen ebenfalls auf den Servern, sodass es davon Backups gibt. Die Lokalen daten der Clients werden aber nicht gesichert. (Außer bei einigen sehr wenigen Ausnahmen). Was möglich wäre ist also den Benutzerordner zurückzusetzen. Wie gesagt kommt das neu aufsetzen Momentan nicht in Frage, da müssen wir uns um eine Reinigung bemühen. |
Schon was herausgefunden? |
Hi, wie gesagt, die beste Möglichkeit ist das nicht, und ihr solltet euch dann um vernünftige Backups bemühen, obwohl das natürlich von einem schon mal befallenen System nicht günstig ist. schaun wir mal: [OTLFIX] |
Zur Info: Ein weiterer Malwarebytes Full Scan sowie ein Eset Online Scan konnten nichts mehr finden. GMER verursacht weiterhin Bluescreens (Page_Fault-In-Nonpaged_Area - Stop: 0x00000050) beim starten. Netzwerkkabel sowie Firewall und Virenscanner waren deaktiviert. Evtl hier eine alternative (Hijackthis?) nehmen?! |
a sorry. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
|
Logdatei im Anhang. Übrigens Vielen Dank an Dir (Euch), dass ihr euch so viel Arbeit hier macht. Selten so eine Einsatzbereitschaft im Netz gesehen. |
Hi kein Prob Scan mit Combofix
|
Combofix läuft leider nicht unter XP 64 Bit :/ |
Sorry, hast recht. HitmanPro - Download - Filepony Lade bitte Hitmanpro, sollte laufen, gehe auf Lizenz, testlizenz, dann auf Scan, weiter, aber nichts löschen, Log als XML exportieren und posten, oder packen und anhängen |
Hallo Markus, hier die Logdatei vom Scan. "HackedUser" ist der User der an dem Arbeitsplatz arbeitet. Habe den Namen daher geändert. Vielen dank nochmals für die Hilfe. |
Nur kookies, kannst du löschen. lade den CCleaner standard: CCleaner - Download - Filepony falls der CCleaner bereits instaliert, überspringen. öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:44 Uhr. |
Copyright ©2000-2024, Trojaner-Board