GVU Trojaner
 

Hallo.

Ich war gestern Nacht am browsen, als plötzlich Avira Antivir meldete, dass ein Zugriff auf die Registry geblockt wurde. Kurze Zeit später hatte ich die hübsche GVU-Meldung.
Daraufhin fuhr ich meinen Rechner herunter und machte mich mittels SystemRescueCD in so manchen Verzeichnissen auf die Suche nach neuen Dateien. Ich leerte den Ordner C:\Users\***\AppData\Local\Temp startete den Rechner neu und war recht überrascht, dass es nun kein Problem mehr gab. Ein Scan mit Antivir entsorgte noch ein paar Dateien aus C:\Users\***\AppData\LocalLow\Sun\Java\Deployment. Den Java-Cache leerte ich sicherheitshalber auch mal. Außerdem zeigte mir Antivir noch an, dass C:\Users\***\AppData\Roaming\cache.dat infiziert sei und verschob diese Datei in Quarantäne. Die daneben liegende cache.ini packte ich gleich mal in Archiv.

Jetzt machte ich gerade einen Scan mit FRST:
In C:\Windows\System32 kommt mir noch etwas seltsam vor. Ich hoffe ihr könnt mir hier weiter helfen. Vielen Dank im Voraus!

Hallo und :hallo:

Ich bin Christoph alias DerJazzer. Ich werde dich durch die Bereinigung begleiten und bin währenddessen dein Ansprechpartner für dieses Thema.

Je nach Art der vorliegenden Infektion kann viel Arbeit und ein großer Zeiteinsatz auf dich (und auf mich) zukommen. Ein Neuaufsetzen ist damit meist als der schnellere, aber immer als der sicherere Weg zu betrachten.

Für den Erfolg der Bereinigung gilt:
Ich kann dir zu keinem Zeitpunkt garantieren, dass der PC nach der Bereinigung auch wirklich frei von Malware ist!

Wenn du das akzeptierst, bitte ich dich, hier so lange mitzuarbeiten, bis ich dir sage, dass der PC aus meiner Sicht malwarefrei ist.

Um die Bereinigung so effektiv und nervenschonend wie möglich zu gestalten, bitte ich dich, folgende Punkte ebenfalls zu beachten:

• Bitte arbeite alle Schritte in der von mir genannten Reihenfolge nacheinander ab.
• Bitte lies dir meine Anleitungen einmal kurz durch, bevor du beginnst. Solltest du Fragen haben, stelle sie bitte hier im Thema.
• Sollten während des Abarbeitens der Anleitungen und des Einsaztes der geforderten Tools Probleme auftauchen, stoppe bitte bei dem betreffenden Schritt und beschreibe dein Problem so genau wie möglich.
• Bitte setze keine Tools auf eigene Faust ein, sondern benutze nur von mir ausdrücklich geforderte Tools. Ebenso bitte ich dich, während der Bereinigung keine neuen Programme ohne meine Aufforderung zu installieren.
• Im Interesse der Höflichkeit (auch im "anonymen" Internet!) appelliere ich an dich, sog. Crossposting (Posten deines Problems in mehreren Foren) auch aus Wertschätzung meiner Arbeit zu unterlassen.

Um mir das Auswerten deiner Logs (Berichte der verwendeten Programme) zu erleichtern, bitte ich dich, diese zwischen Code-Tags zu posten. Dazu drückst du einfach den #-Button im Antwortfenster und fügst dort zwischen den eckigen Klammern dein Log ein. Das sieht dann so aus: [CODE] eingefügtes Log [/CODE]

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Wenn du uns jetzt noch verrätst, was dir dort komisch vorkommt, können wir vielleicht sogar helfen ;)

Schritt 1

Bitte im normalen Modus ausführen:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Ersteinmal vielen Dank für die schnelle Antwort.

Diese beiden Dateien erscheinen mir eigenartig. Ich war schon so manches mal in C:\Windows\system32 und diese Dateien sind mir da bislang noch nicht aufgefallen...


FRST Logfile:
--- --- ---


Addition.log

Also das Log ist sauber. Die Einträge, die dir aufgefallen sind, gehören zu Windows und sind nicht schädlich.

Schritt 1


Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort

• Malwarebytes-Log
• Eset-Log
• Checkup.txt

Schritt 1
Schritt 2
Schritt 3

Die Logs sind sauber. Gibts noch Probleme/Auffälligkeiten?

Wahrscheinlich hat die Tatsache, dass Avira den Zugriff auf die Registry geblockt hat, verhindert, dass Schlimmeres passiert ist.

Vielen Dank. Es gibt keine Auffälligkeiten. Ich war erst ein bisschen skeptisch, da mir netstat -ao einige Offene Ports für die PID 0, also den Leerlaufprozess angezeigt hat.

Nur aus Neugierde: Verbirgt sich in der C:\Users\***\AppData\Roaming\cache.dat die ausführbare Datei des Trojaners?

Es sieht ganz danach aus.

Die cache.dat kannst du ja mal bei Virustotal hochladen:

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Choose File
• Kopiere nun folgendes in die Suchleiste
  
  Code:

  ---

  C:\Users\***\AppData\Roaming\cache.dat

  ---

• und klicke auf Öffnen (die Sternchen natürlich wieder zurückersetzen).
• Klicke auf Scan It!.
• Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen
  
  Zitat:

  This file was already analysed by VirusTotal...

  klicke auf Reanalyse.
• Warte bis dir das Analysedatum angezeigt wird und der Scan abgeschlossen ist.
• Kopiere den Link aus deiner Adresszeile und poste ihn hier.