WinXP: BKA/GVU-Trojaner; teilweise entfernt
 

Hallo,

ich hatte mir eine dieser Ransomware-Viren eingefangen (Sperrbildschirm über dem Desktop etc.). Weg hatte ich ihn gleich bekommen, weil ich beim runterfahren noch kurz auf den Desktop zugreifen konnte. MS Security Essentials sagte dies; Win32/Cbeplay.R, außerdem war die .exe mit dem zufälligen Namen im Systemstart, die ich dort rausgekickt und dann gelöscht hatte (v3gYKbB.exe, in meinem Fall). Beim Löschen der temporären Dateien tauchte außerdem noch Win32/Reveton.N auf (war aber, soweit ich sehen konnte, nicht aktiv).

Das hatte ich also schon erledigt bevor ich das Forum gefunden hatte, sonst hätte ich gewartet ;)

Jedenfalls ist der Sperrbildschirm weg, aber mir fiel gerade auf, dass der abgesicherte Modus mit Bluescreen crasht, und das Laden des Desktops im normalen Modus dauert rein nach Gefühl zu lange. Also ist da immer noch irgendwo ein Problem ... FRST und Anti-Malware (beide direkt unter Windows) zeigten mir jetzt nichts; die Logs sind trotzdem unten angehängt. Irgendwelche Ideen?

hi,

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Mensch, das ging ja fix :daumenhoc

Wiederherstellungskonsole war nicht installiert, hat er nachgeladen. Dann gute 20 Minuten gescannt, hier ist das log:

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Anti-Malware war ja schon installiert. Da hat sich auch nichts geändert; ich hab trotzdem noch mal die Version aktualisiert und ein neues Log gemacht.

Bei AdwCleaner war er ein wenig übereifrig; ich die Inbox rausgenommen (da landen Dateien die mit Blutooth z.B. zwischen Handy und Netbook transferiert werden), und warum der der Documentation-Link beim Visual Studio weg sollte, wusste ich auch nicht. Allgemein gab's eher wenig; Internet Explorer und Firefox nutze ich auch nie, immer Opera.

Und anscheinend gibt es eine neue Version bei FRST; das Log unten ist aber noch mit der alten Version. Bei den zu löschenden Dateien würde ich jetzt normalerweise den gesamten Inhalt des Temp-Verzeichnisses löschen; da ist nichts drin, was ich bräuchte. Ist das in Ordnung?


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Nun. Der abgesicherte Modus scheint wieder zu gehen, das ist schon mal schön. :)

Beim starten in den normalen Modus gab's beim ersten mal den Bluescreen und reboot, beim zweiten Mal ging es. Das Laden des Desktops erscheint mir nach wie vor ziemlich verzögert.

Das die Viren über Java Exploits reingekommen sind irritiert mich, weil ich aus genau dem Grund normalerweise mit deaktivierten Plugins surfe, außer eine Seite braucht Flash. Da mach ich's dann an, und Java geht natürlich mit an, obwohl das kein Mensch braucht. Hätte ich dran denken müssen, jetzt sind sie manuell deaktiviert. Besser wär's noch, wenn ich sie ganz wegbekäme, ich brauch die Laufzeitumgebung nur normal für Programme, nicht als Plugin im Browser.

Hier sind die Logs (Security Essentials sind im übrigen wieder an):

und

Results of screen317's Security Check version 0.99.72
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Microsoft Security Essentials
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java(TM) 6 Update 22
Java version out of Date!
Adobe Flash Player 10 Flash Player out of Date!
Adobe Flash Player 11.7.700.202
Mozilla Firefox (23.0.1)
````````Process Check: objlist.exe by Laurent````````
Microsoft Security Essentials msseces.exe
Windows Defender MSMpEng.exe
Microsoft Security Client Antimalware MsMpEng.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

Java und Adobe updaten.

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Frisches FRST Log bitte.

Java und Flash sind neu. TFC hat beim ersten Mal den Rechner gecrasht, weil die Security Essentials aktiviert waren. Beim zweiten mal hab ich's selbst versemmelt, weil ich dachte, dass es hängt (der Statusbalken ist ein wenig merkwürdig). Das dritte Mal lief glatt durch.

Bluescreen und reboot sind bisher nicht mehr aufgetaucht; das Laden des Desktops dauert länger denn je (bis auf ein Mal, nämlich nach dem zweiten abgebrochen TFC Scan. Da ging's fix, warum auch immer).


FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


deinstallier mal dein AV Programm und installier es neu.

Danke, sieht so aus, als ob's an Anti-Malware liegt. Ich hab alles Viren-bezogene runtergeschmissen, und nachdem MBAM weg war, lief's wieder vernünftig. Neu installiert hab ich das jetzt noch nicht, bin mir nicht sicher, ob ich's wirklich brauche.

Wenn wir damit mit einigermaßen großer Sicherheit irgendwelche Virenreste beim booten ausschließen können, wäre ich ja schon erstmal zufrieden ...

Also bestehen keine weitren Probleme derzeit?