Trojaner-Board - PC säubern nach GVU-Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - PC säubern nach GVU-Trojaner (https://www.trojaner-board.de/138384-pc-saeubern-gvu-trojaner.html)

PC säubern nach GVU-Trojaner

Guten Abend Leute!

Habe mir gestern abend den GVU-Trojaner eingefangen.
Abgesicherter Modus wurde immer wieder runtergefahren. Nofall-CD von Computer-Bild hat mir auch nicht geholfen. Nach mehreren Versuchen habe ich nach F8 über "Windows reparieren" doch auf einen Systemwiederherstellungspunkt zurücksetzen können. Danach lief CheckDisk und hat zwei Dateien ersetzt - welche, hab`ich in der Eile nicht mitbekommen.
Danach ließ sich das Notbuch wieder booten ohne den lästigen GVU-Schirm.
Habe danach mit aktuellem G-Data Viren-Scan vorgenommen - ohne Fund.

Habe heute (nach der Arbeit) einfach manuell mit Explorer in C:\ nach verdächtigen Dateien gesucht und die
yvxndijikrerqwvxc.exe in C:\Benutzer\...\AppData\Local\Temp gefunden und gelöscht.

Dann CCleaner laufen lassen, Dateien gelöscht, Registry gesäubert und im Autostart runctf.lnk entfernt.

Habe danach mit Maleware Anti-Maleware gescannt.

Code:

Malwarebytes Anti-Malware (Test) 1.75.0.1300

www.malwarebytes.org
 

Datenbank Version: v2013.07.17.06
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Klaus F.... :: MD99060 [Administrator]
 

Schutz: Aktiviert
 

17.07.2013 19:40:55

MBAM-log-2013-07-17 (19-55-08).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 237354

Laufzeit: 7 Minute(n), 58 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Daten: explorer.exe,C:\Users\Klaus F.....\AppData\Roaming\skype.dat -> Keine Aktion durchgeführt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 8

C:\Users\Klaus F....\wgsdgsdgdsgsd.exe (Exploit.Drop.GS) -> Keine Aktion durchgeführt.

C:\ProgramData\dsgsdgdsgdsgw.bat (Exploit.Drop.GSA) -> Keine Aktion durchgeführt.

C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Keine Aktion durchgeführt.

C:\ProgramData\dsgsdgdsgdsgw.reg (Exploit.Drop.GSA) -> Keine Aktion durchgeführt.

C:\Users\Klaus F....\AppData\Roaming\skype.dat (Trojan.Agent) -> Keine Aktion durchgeführt.

C:\ProgramData\2433f433 (Trojan.Agent.TPL) -> Keine Aktion durchgeführt.

C:\Users\Klaus F....\AppData\Roaming\2433f433 (Trojan.Agent.TPL) -> Keine Aktion durchgeführt.

C:\Users\Klaus F....\AppData\Local\2433f433 (Trojan.Agent.TPL) -> Keine Aktion durchgeführt.
 

(Ende)

Habe die infizierten Dateien noch nicht gelöscht, da ich mir bei skype.dat unsicher bin.

Zur Zeit läuft noch MWB-AntiRootkit-Scan.

Meine Fragen an Euch:
1. Soll ich alle o.g. 8 Dateien löschen, oder kann ich die skype.dat rauslassen
2. Was kann ich noch tun - außer dem AntiRootkit-Scan?
(Neuinstallation mal als allerletztes Mittel hintenan)

Besten Dank für Eure Mühe!
Klaus

Zeig erstmal den Rootkitscan und dann schauen weiter.

Guten Abend!

Habe unterdessen mit MBAM die im logfile gelisteten Dateien (bis auf skype.dat !) gelöscht.

Hier das Ergebnis des Rootkitscans:

Code:

c:\$RECYCLE.BIN\S-1-5-18\$93832d0575e6fdfc982d8cf84e7110f2\@ (Trojan.Siredef.C)

c:\$RECYCLE.BIN\S-1-5-21-2243381172-2736932805-2273688578-

        1000\$93832d0575e6fdfc982d8cf84e7110f2\@ (Trojan.Siredef.C)

c:\Users\Klaus Franz\wgsdgsdgdsgsd.exe (Exploit.Drop.GS)

c:\ProgramData\dsgsdgdsgdsgw.bat (Exploit.Drop.GSA)

c:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA)

c:\ProgramData\dsgsdgdsgdsgw.reg (Exploit.Drop.GSA)

c:\Users\Klaus Franz\AppData\Roaming\skype.dat (Trojan.Agent)

c:\ProgramData\2433f433 (Trojan.Agent.TPL)

c:\Users\Klaus Franz\AppData\Roaming\2433f433 (Trojan.Agent.TPL)

c:\Users\Klaus Franz\AppData\Local\2433f433 (Trojan.Agent.TPL)

HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} 

          (Hijack.Trojan.Siredef.C)

HKCU\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|shell 

          (Trojan.Agent.RNS)

c:\$RECYCLE.BIN\S-1-5-18\$93832d0575e6fdfc982d8cf84e7110f2\U (Trojan.Siredef.C)

c:\$RECYCLE.BIN\S-1-5-21-2243381172-2736932805-2273688578-

            1000\$93832d0575e6fdfc982d8cf84e7110f2\U (Trojan.Siredef.C)

c:\$RECYCLE.BIN\S-1-5-18\$93832d0575e6fdfc982d8cf84e7110f2\L (Trojan.Siredef.C)

c:\$RECYCLE.BIN\S-1-5-21-2243381172-2736932805-2273688578-

             1000\$93832d0575e6fdfc982d8cf84e7110f2\L (Trojan.Siredef.C)

c:\$RECYCLE.BIN\S-1-5-18\$93832d0575e6fdfc982d8cf84e7110f2 (Trojan.Siredef.C)

c:\$RECYCLE.BIN\S-1-5-21-2243381172-2736932805-2273688578-

              1000\$93832d0575e6fdfc982d8cf84e7110f2 (Trojan.Siredef.C)

HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-

              D6A79037F57F}\INPROCSERVER32| (Trojan.0Access)

Habe auch hier allles - bis auf skype.dat - gelöscht.
(War so "fleißig", weil hier ne menge Anfragen einliefen und ich mir keine Hoffnung machte, heute abend noch eine Antwort zu bekommen. Und den Rechner brauche ich morgen vormittag. Also hab ich auf eigenes risiko "vorgearbeitet".)

Danke erst mal!
Klaus

Also ich würde diese Kiste nicht mehr benutzen:

Lesestoff:
Rootkit-Warnung
Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten, die er so sammelt, an die "bösen Jungs" weiterleiten kann. Was heißt das jetzt für dich?

Entscheide bitte ganz bewußt, ob du mit der Bereinigung fortfahren möchtest. Ein einmal derartig kompromittiertes System kann man niemals mit 100%iger Sicherheit wieder absichern. Auch wenn wir gute Chancen haben, deinen Computer zu bereinigen, kann es dennoch möglich sein, dass uns am Ende nur die Neuinstallation bleibt.
Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.
Hast du ansonsten sensible Daten auf deinem Computer, dann solltest du auch darüber nachdenken, wie du damit umgehst, dass sie sich praktisch "jeder" ansehen konnte.

Teile mir also mit, wie du dich entschieden hast.

Hallo ryder!

Muss morgen und evtl. Freitag noch damit arbeiten. Geht auch offline.
Banking brauch ich erst mal nicht.
Höchstens e-Mails checken.
Werde am WE die Kiste neu aufsetzen. Ist ja Medion und da läßt sich die "Grundausstattung" sprich: Auslieferungszustand ja problemlos herstellen. Und der Rest wird dann so 4-6h dauern. Denk' ich ;-)))

Was empfiehlst Du als regelmäßige Scans (neben den MBAM und MBAR)?

Besten Dank!
Klaus

Ja, also ich persönlich habe die Kombination von Avast und MBAM. Ein wenig Brain.exe kann auch nicht schaden. Ich poste dir meine Tipps

Abschließend noch Tipps zu folgenden Themen:

Systemupdates

Softwareupdates

Sicherheitssoftware

Sicheres Surfen

Lesestoff:
Systemupdates
Man kann es gar nicht oft genug erwähnen, wie wichtig es ist, sein System aktuell zu halten. Dein Auto bringst du ja auch regelmässig zur Inspektion in die Werkstatt. Stelle also bitte sicher, dass die Systemupdates aktiviert sind:

Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt:
Windows Updates
- Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
- Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.

Lesestoff:
Softwareupdates
Ebenso wichtig wie die Systemprogramme ist auch die Software, die du täglich nutzt. Die folgende Liste gibt dir einen kleinen Überblick mit Links zu den Updates, welche Programme dringend aktuell gehalten werden müssen (falls du sie überhaupt installiert hast und nutzt), weil durch deren Sicherheitslücken oft Malware auf die Computer gelangen kann:

Adobe Reader (Adobe - Adobe Reader herunterladen - Alle Versionen => Kein Haken bei "Ja, McAfee ...")
Flash Plugin (Adobe - Adobe Flash Player installieren => Kein Haken bei "Ja, McAfee ...")
Java (Download der kostenlosen Java-Software -> Kein Haken für die ASK-Toolbar während der Installation)
Dein Browser inklusive aller Add-Ons. Das Trojaner-Board bietet dir auch einen Browser-Check.

Auch nicht gelistete Programme sind natürlich wichtig. Ob es für diese eine neue Version gibt, kannst du auf deren Herstellerwebseite oder ganz bequem mit diesen Tools überprüfen:

Lesestoff:
Sicherheitssoftware
Würde dich jemand nackt auf dem Motorrad auf der Autobahn überholen würdest du auch den Kopf schütteln. Dein Computer braucht auch einen Schutz vor den täglichen kleinen Angriffen durch Schädlinge. Neben hervorragenden kommerziellen Anti-Viren-Lösungen gibt es auch durchaus gute Schutzprogramme, die kostenfrei mit reduziertem Funktionsumfang erhältlich sind. Aber vorsicht, hier gilt nicht "je mehr desto besser". Was du brauchst ist genau einen Virenscanner mit Hintergrundwächter. Nicht mehr und nicht weniger. Es gibt hier viele Produkte auf dem Markt, die einem gute Dienste leisten. Ich persönlich empfehle dir Avast Free Antivirus. Es bietet relativ guten Schutz, bei wenig nerviger Werbung und installiert dir ein Browserplugin, das dich vor gefährlichen Webseiten warnt.

Wenn du deine Antivirenlösung wechseln solltest, findest du hier Tools mit denen du die Überreste nach der Deinstallation deines alten Scanners entfernen kannst.
Installiere niemals mehr als einen Virenscanner. Deren Hintergrundwächter würden sich gegenseitig behindern und dein System ausbremsen.
Ein Browserplugin, das dich vor betrügerischen Webseiten schützt, kann dir gute Dienste leisten, wenn du dich nicht gut auskennst (siehe oben).
Sorge dafür, dass deine Sicherheitslösung ständig up-to-date ist und sich automatisch Updates besorgt. Wenn du auf manuelle Updates setzt bist du meistens zu spät, da die Virendatenbanken oft täglich sogar mehrfach erneuert werden.
Einen zusätzlichen Schutz (und dieser wäre auch erlaubt) bietet ein spezieller Malwarescanner. Hier empfehle ich dir dringend Malwarebytes und einmal wöchentlich damit zu scannen. In der kostenpflichtigen Version hat es sogar einen Hintergrundwächter. Hierfür haben wir eine Anleitung für dich.

Zuletzt empfehle ich dir deine Daten regelmässig (am besten automatisch) zu sichern. Dies kann eine professionelle Backuplösung, externe Festplatten, Brennen auf DVDs oder Überspielen auf ein Online-Laufwerk wie z.B. Dropbox sein. Erzeuge so viele Kopien wie möglich und halte sie aktuell. Nur so bist du auf den schlimmsten Fall vorbereitet, wenn dein Computer - wodurch auch immer - unbrauchbar werden sollte. Leider passiert das ja immer unangekündigt und immer dann wenn man ihn am Nötigsten braucht. Also sorge vor! :)

Lesestoff:
Sicheres Surfen
Zunächst muss man sagen, dass es üblicherweise immer der menschliche Faktor ist, der es Malware ermöglicht auf einen Computer zu gelangen. Kaufst du Leuten, die an deiner Haustür klingeln, auch sofort ohne nachzudenken irgendwelches Zeug ab? Gewöhne dir daher zunächst einige Verhaltensregeln beim Surfen im Internet an:

Klicke nicht irgendwo hin, nur weil es bunt ist und leuchtet, in einer Ecke aufpoppt oder so aussieht, als wäre es eine Systemmeldung.
Lade dir keine illegale Software, keine Cracks, keine Keygens, keine Gametrainer usw ... die Webseiten, die so etwas anbieten, sind meist nicht seriös und die angeblichen Helfer sind meist verseuchter als du es dir ausmalen würdest. Es spielt dabei keine Rolle, ob du diese Dateien über einen Browser oder Filesharingprogramme beziehst.
Öffne keine Emailanhänge von Leuten, die du nicht kennst, Emails mit seltsamen Rechtschreibfehlern oder starte Dateien, die dir eine Webseite anbietet, ohne dass du sie wolltest.
Lasse niemand an deinem Computer surfen, der diese Regeln nicht auch befolgt.
Verlasse dich nicht darauf, dass dein Virenscanner schon alles findet. Keine Sicherheitslösung ist 100% sicher!

Aber selbst bei der peinlichen Einhaltung dieser Regeln kann es dennoch zu einer sogenannten Drive-By-Infektion kommen, bei der ein Schädling aus dem Schutzmechanismus des Webbrowsers ausbricht. Um die Sicherheit noch weiter zu erhöhen gibt es spezielle Schutzsoftware, die deinen Browser noch weiter absichert.

WOT (Web of trust) Dieses Add-On warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst. Hinweis: Avast enthält ein solches Plugin bereits.
Sandboxie schafft eine zusätzliche isolierte Programmumgebung, damit dein Browser wie ein Kleinkind im Sandkasten sicher ist. (Anleitung: Sandboxie)
Securebanking ist ein Software, die Verbindungen untersucht und dir meldet, wenn jemand "mithört". Wie der Name sagt, wurde es entwickelt, damit Onlinebanking wirklich sicher ist. Mehr Infos auf der Homepage: Secure Banking

Zuletzt denke bitte über die Benutzung eines alternativen Browsers nach. Programme, die nicht so oft verwendet werden, sind auch nicht so sehr im Focus der "bösen Jungs". D.h. du bist mit einem exotischen Browser eher auf der sicheren Seite. Grundsätzlich bist du erst einmal deutlich sicherer, wenn du nicht den Internet Explorer benutzt.

Firefox, Opera, Chrome, ...
... mehr findest du auf Microsofts eigener Browserauswahlwebseite.

Hallo ryder,

besten Dank für Deine Mühe unD Deine Tipps.
Mein System incl. Java &Co. wird automatisch geupdated.
Aber G-Data Internetsuite scheint doch nicht das Gelbe vom Ei zu sein.
Werde jetzt öfter "per Hand" mit MBAM+AR "putzen".

Noch mal besten Dank für die Hilfe;
Ihr habt jetzt einen mehr, der für Euch Werbung macht - Klasse Seite - fundierte Analysen und promte sachkundige Hilfe - tolle Leistung von Euch!

Gruß!
Klaus

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board