Neuer GVU Virus? Workstation Befallen
 

Hallo,

eine Workstation (Windows XP 64 Bit) von uns wurde mit einem GVU Virus befallen.
In dieser Galerie ( hxxp://bka-trojaner.de/ ) konnte ich den Virus nicht erkennen, sodass ich von einer Neuen Version ausgehe? Hier ein Screenshot von unserem:
http://s14.directupload.net/images/130213/xrsmgp8a.jpg


Kaspersky und Avira Rescue CD's konnten den Trojaner nicht finden.
Ich selbst konnte ihn auch nicht ausfindig machen, da die Dateien ein gefälschtes Änderungs&Erstellungsdatum hatten und in meiner Suche so nicht aufgetaucht sind.
(skype.ini & skype.dat)
Malwarebytes musste es dann wieder richten.

Habe mich dann auch weiterhin an die Anleitung hier gehalten und OTL drüberlaufen lassen.
Die Logs sind im anhang.

GMER stürzt auf dem Rechner immer ab (BlueScreen), sobald ich es von einem Adminkonto aus starte. Mit dem Normalen Benutzer onto ohne Adminrechte lässt es sich öffnen aber dann können keine Einstellungen vorgenommen werden. Weiß hier jemand weiter?

Man kann jetzt zwar erstmal wieder an dem Client arbeiten, aber ich möchte so gut es geht sicherstellen das er wieder sauber ist. Neu Aufsetzen kommt momentan nicht in Frage. Wird aber in den nächsten Monaten durch eine Neuanschaffung von Computern sowieso geschehen.

Falls in den Logs die RegbootCleaner Dateien auffallen sollten, diese hatte ich zunächst in Verdacht, da das Änderungsdatum mit dem Erscheinen des Tronjaners übereinstimmte. Ich hatte diese Dateien daher umbenannt.

Grüße & Vielen Dank im Vorraus,

OliverA

hi,
1. ist das ein Firen pc? habt ihr eine it abteilung?
2. Warum hat das Gerät noch kein Servicepack 3 gesehen?

Hallo Markus,

1.Ja ist ein Firmen Pc. IT Abteiling insofern, als dass ich mich um die IT Kümmere.
2.Es handelt sich um einen 64 Bit Client, dort ist SP2 Aktuell soweit ich weiß.

Hi,
ok asche über mein Haupt.
Da das ein Firmen Gerät ist:
Habt ihr kein Backup?
Ich denke, in Firmen sollten besondere Sicherheitsmaßnamen gelten, dazu gehört, dass PC's die einmal mit Schadsoftware befallen waren, nicht mehr vertrauenswürdig sind, sie sollten neu aufgesetzt werden.
Da man in Firmen ja mit wichtigen Daten hantiert, von firmen interna, bis Kundendaten, und diese einem besondern Schutz bedürfen, sollte man kein Risiko eingehen.
Wir können eine Reinigung durchführen, diese ist aber nicht garantiert 100 %ig sicher, und ein Restrisiko bleibt.
Es ist deine Entscheidung und ich helfe dir bei dem was du tun möchtest.

Backups haben wir von den Servern selbstverständlich. Unsere Benutzerprofile liegen ebenfalls auf den Servern, sodass es davon Backups gibt. Die Lokalen daten der Clients werden aber nicht gesichert. (Außer bei einigen sehr wenigen Ausnahmen).

Was möglich wäre ist also den Benutzerordner zurückzusetzen.
Wie gesagt kommt das neu aufsetzen Momentan nicht in Frage, da müssen wir uns um eine Reinigung bemühen.

Schon was herausgefunden?

Hi,
wie gesagt, die beste Möglichkeit ist das nicht, und ihr solltet euch dann um vernünftige Backups bemühen, obwohl das natürlich von einem schon mal befallenen System nicht günstig ist.
schaun wir mal:
[OTLFIX]

Zur Info:
Ein weiterer Malwarebytes Full Scan sowie ein Eset Online Scan konnten nichts mehr finden.
GMER verursacht weiterhin Bluescreens (Page_Fault-In-Nonpaged_Area - Stop: 0x00000050) beim starten. Netzwerkkabel sowie Firewall und Virenscanner waren deaktiviert.

Evtl hier eine alternative (Hijackthis?) nehmen?!

a sorry.
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Logdatei im Anhang.

Übrigens Vielen Dank an Dir (Euch), dass ihr euch so viel Arbeit hier macht. Selten so eine Einsatzbereitschaft im Netz gesehen.

Hi
kein Prob
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Combofix läuft leider nicht unter XP 64 Bit :/

Sorry, hast recht.
HitmanPro - Download - Filepony
Lade bitte Hitmanpro, sollte laufen, gehe auf Lizenz, testlizenz,
dann auf Scan, weiter, aber nichts löschen, Log als XML exportieren und posten, oder packen und anhängen

Hallo Markus,

hier die Logdatei vom Scan.
"HackedUser" ist der User der an dem Arbeitsplatz arbeitet. Habe den Namen daher geändert.

Vielen dank nochmals für die Hilfe.

Nur kookies, kannst du löschen.
lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.