GVU Trojaner Windows 7 64 Bit
 

Hallo liebe Community,

habe mir bereits einige der artverwandten Fälle angesehen und mich nun dazu entschlossen euch um eure fachkundige Hilfe zu bitten. Es handelt sich um den Computer eines guten Freundes von mir.

Kleinere Probleme kriege ich in der Regel auch selbst beseitigt. Allerdings musste ich feststellen, dass bei ihm noch einiges mehr im Argen lag bzw. liegt.

(In erster Linie bin ich aber schon hier wegen dem GVU-Trojaner. Der abgesicherte Modus mit Netzwerktreibern geht nicht, hatte ich gestern Abend schon kurz ausprobiert. Aber ich glaube er kann sich noch mit einem anderen Benutzer anmelden.)

Java war nicht auf dem aktuellen Stand, er besucht offenbar teils recht "ominöse" Websites, verwendet bislang sonst auch gerne nicht aktuelle Software, ... .

Konnte ihn nun tatsächlich von dem Sinn und Zweck des Leitfadens "Das sichere Windows System" von Paule (weiß nicht ob ich den Link hier posten darf) überzeugen. Der Gute hat mir versprochen in Zukunft mit Bedacht zu surfen und den Anschnallgurt anzulegen.

Fahre später direkt zu ihm und werde versuchen die Log-Files zu posten, Frage vorab:

Farbar's Recovery Scan Tool
oder
OTLPENet.exe von OldTimer ?

Bereits im Voraus vielen Dank für eure Hilfe,
Lou Schalter

Edit: Bitte entschuldigt, hatte die Punkte überlesen:

Ich habe Windows Vista, 7 oder 8
Erzeuge ein FRST-Logfile nach dieser Anleitung: Scan mit Farbar Recovery Scan Tool

Ich habe Windows XP
Erzeuge ein Logfile, das du mit OTLpe erstellt hast: Scan mit Otlpe

=> Werde mit FRST ein Logfile erstellen und gleich hier posten.

Hi,

Genau.
Sobald das Log da ist, kann ich den Rechner entsperren.

Wenn ich im Abgesicherten Modus (sowohl Netzwerktreiber als auch Eingabeaufforderung) starten will bleibt es bei WINDOWS\system32\drivers\CLASSPNP.sys hängen und danach fährt sich der Rechner automatisch wieder selbst herunter.

Bei der Auswahl von "Computer reparieren" in den erweiterten Startoptionen kommt der Fehler:

Status 0xc000000e
Info: Fehler bei der Startauswahl. Zugriff auf ein erforderliches Gerät nicht möglich.

Hm. Da ist guter Rat teuer.

Habe jetzt alles Moegliche versucht, mit OTLPE hatte ich schliesslich Erfolg.
Hoffe das ist o.k. Mit FRST ging garnichts, da bin ich einfach nicht weiter gekommen.

Hier die Logs.

Extras.txt

OTL Logfile:
--- --- ---

OLT.txt

OTL Logfile:

--- --- ---

Hallo,

und du bist dir sicher, dass hier Malware das Problem ist? (Hat man den GVU-Sperrschirm gesehen?)
In diesem Log kann ich keine Spur davon erkennen..

Hallo Leo,

der Form halber zunaechst einmal vielen Dank! Finde das toll, dass du mir bei der Sache weiter hilfst.

Ja, ich bin mir sehr sicher. Sobald ich mich unter dem Benutzer anmelde kommt der Sperrschirm. Soll ich mal so starten und dir eine Hardcopy davon einstellen?

Mit FRST habe ich es nicht hin bekommen, siehe obig beschriebene Fehlermeldung.
Dann habe ich es mit OTLPE versucht. Ging zunaechst auch nicht, dann habe ich mir eine Start-CD damit erstellt und es hin bekommen.

Sitze gerade am betroffenen Computer und nutze den InternetExplorer der Benutzeroberflaeche von der gebooteten CD.

Soll ich mal bei den Scans ueberall auf ALL einstellen?

Die Windows-Installation ist hier ein wenig merkwuerdig gestaltet ... es ist ein Raid, aber das System ist auf der Platte F so wie es aussieht.

Edit

Er hat gestern Abend offenbar noch diverse AntiMalware-Software installiert und mit einem dieser Programme drueber gebuegelt meint er gerade. Also vom Administrator-Benutzerkonto aus. Da kann man sich nach wie vor anmelden. Zudem hat er gestern Abend noch 30 Windows-Updates gestartet, welche es noch heruntergeladen hatte bevor der Rechner aus gegangen ist. Vorhin hat es mir beim Booten die ganze Zeit angezeigt, dass etwas beim Windows-Update schief gelaufen sei, es wuerde rueckgaengig gemacht werden, hernach konnte ich mich ganz normal als Admin anmelden. Habe dann mal unter dem Admin-Kondo prophylaktisch die Windows-Updates fuer den Moment wieder komplett rausgenommen, diese duerften uns jetzt gerade kaum weiterhelfen.

Edit 2

Auf der Festplatte E sitzt auch noch ein Betriebtssystem, vielleicht hat es sich ja dort versteckt ... ?

Hier die OLT.txt

OTL Logfile:
--- --- ---

[/CODE]

Hallo,

Ach so, dann müssen wir nicht von der Boot-CD scannen.
Gehe bitte in diesen Admin-Account und mach dort einen FRST-Scan wie folgt:


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Das hatte ich vorhin bereits probiert. Da hatte es dann als es bei SCHEDLGU.txt war erstmal gehangen, danach kam die Fehlermeldung

Line 11324 File G{backslash}FRST64.exe

Error in expression

EDIT

Bin gerade als Administrator angemeldet, habe mit FRST64 gescannt, hier die (leere) Logdatei:

Es kam wieder die Fehlermeldung:

AutoIt Error

Line 11324 (File "C:\Users\Administrator\Desktop\FRST64.exe"):

Error: Error in Expression

Und vorher, während dem Scannen hat sich Microsoft Security Essentials gemeldet und angezeigt:

Von Security Essentials wurden unbekannte Elemente auf dem PC gefunden. (...)
Dateipfad: C:\ProgramData\4wcl7hv.plz

EDIT 2

Hier noch der Log von Gmer (auch auf dem Admin-Konto ausgeführt)

EDIT 3

Es ist spaet, frage mich gerade wo diese ominoese Partition G auf einmal herkommt ... jedenfalls ist hier auch ein Betriebssystem installiert. Hier die Logfiles.

OTL.txt

Extras.txt

Zwischenfrage: Ist das richtig, dass hier beim OTLPE bei Use No-Company-Name WhiteList bislang immer ein Haekchen gesetzt war? In eurer Anleitung existiert dieses Feld garnicht. Im Tutorial ist die Version 3.1.30.3, ich nutze gerade Version 3.1.48.0.

Hallo,

Das gehört eindeutig zum GVU-Sperrschirm.

Wenn FRST nicht läuft, dann versuch bitte, im Admin-Account mit OTL (nicht OTLpe..) zu scannen wie folgt:


Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Hi Leo,

hier die Logs von OTL:
(danke fürs nochmalige Erwähnen: "nicht OTLpe", sonst hätt' ich letzteres genommen)

Info: Habe erst während des Scans festgestellt, dass Security Essentials noch aktiv war. Hätte ich das besser ausgeschaltet / soll ichs nochmal mit deaktiviertem SE scannen?

Ok, das passt. Dann im Admin-Konto weiter wie folgt:


Schritt 1

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Hi Leo,

hier die Logfiles:

Und hier mal die bei "Erkanntes Element" in Microsoft Security Essentials aufgeführten letzten Positionen (hatte SE ausgeschaltet, dabei waren mir die Einträge aufgefallen. Steht bestimmt auch irgendwo in den Logs, aber schaden kanns ja nicht ^^):

Hi,

ich seh da einen Hinweis im Log, dass auch noch ein Bootkit (schätzungsweise Wistler; ein Befall des MBR = Masterbootsektors) vorliegt... Dem müssen wir danach auch unbedingt noch nachgehen.
Aber zuerst zum Sperrbildschirm: Mach bitte folgenden OTL-Fix im Admin-Konto. Kannst du danach den Rechner wieder normal in das betroffene Benutzerkonto starten, ohne dass dir irgendwas den Weg versperrt?

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch *****), dann mach das hier im Skript wieder rückgängig.

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Hier der Log vom OTL Fix:

EDIT:

Jawoll, bin jetzt wieder unter dem normalen Benutzer angemeldet. :)

Ok, dann ab jetzt im betroffenen Konto weitermachen:


Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Er frägt mich ob ich von Version 2.8.13.0 auf Version 3.0.0.12 updaten will. Denke das dürfte nix schaden, ich update mal.

Ja lass ihn updaten. :)

Da gibts bei "Additional options" ein Feld mehr als in der Anleitung.

Also neben

-Verify file digital signatures
-Detect TDLFS file system

ist da noch

-Use KSN to scan objects (ist serienmäßig ein Häkchen gesetzt)

Soll ich das auch lassen?

Ja lass den Haken dort stehen und starte den Scan.

Super, danke. Wollte nichts falsch machen, da hab' ich lieber mal auf deine Antwort gewartet bevor ich was klicke :D.

Hier die Logdatei:

EDIT:

Der Kandidat erhält im Übrigen 100 Punkte! Hast nen Volltreffer gelandet mit deiner Vermutung. Er hat tatsächlich Wistler drauf. Habe natürlich fein artig geskipped (:

Aber jetzt darfst du ihn löschen. :kloppen:


Schritt 1

Starte bitte TDSSkiller.exe.
Vista und Win7 User mit Rechtsklick "als Administrator ausführen".

• Drücke auf Start Scan.
  Mache während des Scans nichts am Rechner!
• Gehe sicher, dass bei Rootkit.Boot.Wistler.a die Option Cure (default) angehakt ist.
• Drücke Continue --> Reboot.
• TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
• Poste bitte den Inhalt dieses Logfiles in deinen Thread.

Schritt 2

Bringst du jetzt FRST zum Laufen, oder klappt das immer noch nicht?
Lade dazu bitte eine Version von FRST herunter:


Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere es auf den Desktop.

• Starte die FRST64.exe.
• Setze den Haken bei Addition.txt und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieser beiden Logfiles bitte hier in deinen Thread.

Cure (default) war angehakt, habe auf Continue geklickt, jetzt kommt ein Fenster:

Warning

Can't cure MBR. Write standard boot code?

If you have installed custom bootloader (eg Acronis, Grub, Lilo), you will need to reinstall them after the treatment.

EDIT:

Wenn ich jetzt wüsste für was das Akronym "MBR" steht könnte ich auch selbst schlussfolgern ob "Yes" oder "No" zu klicken ist ... hmmm. Also ganz sicher steht es weder für "durch Menstruationskrämpfe bedingte Rückenbeschwerden", noch für "Mercedes Benz Rückrufaktion" ... http://www.trojaner-board.de/images/smilies/kloppen.gif

EDIT 2:

Hier eine Hardcopy von der Meldung:
http://s7.directupload.net/images/131010/snadihwg.jpg

Es steht für Master Boot Record (deutsch: Masterbootsektor); siehe z.B. hier.
Es bleibt keine Alternative, als "Yes" zu drücken und den bösartigen Code durch einen Standard-Windows-MBR zu überschreiben.

O.k. Habe ich geklickt. Reboote jetzt. BRB.

Ok. Ich verabschiede mich für heute und bin morgen wieder da.
Poste dann noch das neue Log des TDSSKillers und versuche einen FRST-Scan wie beschrieben.

Hier der TDSS-Log:

FRST-Versuch ist am Laufen

Hat geklappt. Hier die Logs:


FRST Logfile:
--- --- ---


Kurze Frage: Kann man denn auf dem PC schon wieder schalten und walten? Wurde bisher garnichts mehr gemacht, also keine Mails gecheckt, kein Banking usw.

EDIT:

Habe jetzt mal folgende Maßnahmen durchgeführt:

- alle noch ausstehenden Windows-Updates gemacht
- Microsoft Security Essentials auf den neuesten Stand gebracht (aber keinen Scan durchgeführt, mit derartiger Software warte ich mal besser bis wir hier fertig sind)
- die Rechte seines Benutzerkontos von "Admin" auf "Standardnutzer" degradiert und die Geschichte mit Passwort versehen
- Adminkonto mit Passwort versehen
- Sandboxie installiert und ihm erklärt wie man es am sinnvollsten benutzt
- Benutzerkontensteuerung aktiviert (Regler ganz nach oben!!)
- Browser (IE und Firefox werde ich wohl beiseite schieben bzw. deinstallieren, er soll Chrome nutzen) geupdated also folgende Addons installiert:

https://chrome.google.com/webstore/detail/adblock/gighmmpiobklfepjocnamgkkbiglidom?hl=de
https://chrome.google.com/webstore/detail/ghostery/mlomiejdfkolichcflejclcbmpeaniij

Ich hoffe nichts davon beeinträchtigt in irgendeiner Form das weitere Vorgehen nach deinen Anweisungen. Falls doch mache ich betreffende Aktion natürlich direkt wieder rückgängig.

Bezüglich des Malwareprogramms bin ich mir noch unschlüssig. Vielleicht kannst du mir ja später einen Tip geben. Ich weiß, "das Beste" gibts nicht. Soweit bin ich immerhin schonmal :crazy:.

Auch falls ich deiner Meinung nach noch eine sinnvolle Maßnahme vergessen haben sollte (macht Secunia PSI z.B. Sinn?) bitte ich um einen dezenten Hinweis ^^.