GVU-Trojaner mit Windowsblockierung nach Anschluss mit Internet
 

Hallo,

ich bin neu hier und habe auch gleich folgendes Problem: Wenn ich meinen PC an das Internet anschließe und Firefox öffne, wird mein PC (Win XP) blockiert von einem GVU-Trojaner. Nach dem Hochfahren ist noch alles ok.

hxxp://img.trojaner-board.de/GVU-Trojaner-Webcam.png

einen Screenshot von dem Programm hab ich hier im Forum schon gefunden.

Kann mir da bitte jemand dabei helfen, das Ding wieder von meinem PC zu löschen?? der erste Schritt ist ein OTL Log ja? Danke schon mal.

Kia

Ich hab jetzt auch noch den OTL Scan gemacht und kopier das mal hier rein. Das Malwarebytes hab ich jetzt zwar installiert und gestartet, aber da stand, die Dateien wären vor 49Tagen das letzte mal aktualisiert worden.. ich trau mich mit dem anderen PC aber im Moment nicht ins Netz >,< - vielleicht hilfts ja trotzdem. Tschuldigung dass die Logs so lang sind :-(OTL Logfile:
--- --- ---

okay, hier ist noch der Log vom Malewarebytes (vollständiger Scan).. da wurde gefunden:

und

Diese wurden entfernt; und dann wurden noch zwei andere Sachen gefunden, die nicht entfernt wurden. Ich häng den vollständigen log an den Beitrag hier drann. Dann hoffe ich mal dass ihr mir helfen könnt mit den Informationen die ihr jetzt hab o.Ô

Danke schon mal
Kia

entschuldigt bitte, dass ich mich vor ablauf von drei vollen Tagen schon wieder melde.. ich komme mir ein bisschen vergessen vor :kaffee:

ich hoff mal ich hab nix falsch gemacht oder so o.Ô wenn doch kann mir das ja mal einer sagen ^^... aber ich sehe auch dass euer Team hier voll viel zu tun hat. Machst du übrigens toll t`john :daumenhoc bearbeitest du die Themen wirklich alle selber??

Das tun:

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. bitte einen Rechtsklick auf diesen Ordner, mit Winrar packen und als Anhang hochladen.
• Heute Nachmittag gibt's Antwort.

Ist mir zu wenig, was OTL listet. Möchte gerne den genauen Namen der getarnten DLL haben, die da gestartet wird.

Jippii, eine Antwort =) Danke!

Die gewünschten verpackten Dateien sind beiliegend. Beim Scan gab es mehrfach die Nachricht: kein Datenträger. Ich denk mal das ist irrelevant (es wurde auf `Weiter` geklickt).

Warte gespannt auf Rückmeldung =)
Kia

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Klappt alles, startet sich der Rechner neu.
• Starte ihn normal und melde dich, ob die Meldung noch erscheint - es geht dann gleich weiter.

Der Trojaner startet sich über folgende Verlinkung im Autostartordner deiner Rechners: ctfmon.lnk
Diese Verlinkung startet einen rundll32.exe Prozess.
Die Rundll32 lädt folgende als exe getarnte DLL in ihren Speicher: install_0_msi.exe
In der DLL sitzt eine Funktion mit dem Namen FQ10, die RUNDLL32.exe nach dem Laden aufruft und ausführt. In dieser Funktion befindet sich der Schadcode des Trojaners.

eine kurze Frage:

ist damit gemeint ich soll den PC an das Internet anschließen und schauen ob der PC wieder gesperrt wird?

Edit: Okay hab das Script ausgeführt, der PC hat planmäßig einen Neustart durchgeführt und das Internet Funktioniert soweit - ohne dass der PC gesperrt wird. Danke schon einmal dafür :D

Wie geht es weiter?

Auf deinem Rechner befindet sich jetzt ein Ordner C:\PPFS_Sicherung.
Packe alle Dateien in dem Ordner in eine ZIP. Versehe die ZIP mit einem Passwort und lade die ZIP bei File-Upload.net - Ihr kostenloser File Hoster! hoch. Schicke mir Downloadlink, Löschlink und das Passwort per PM zu. Keinen Link davon anklicken!
Lösche danach den Ordner C:\PPFS_Sicherung und leere den Papierkorb.

Mache danach das:

• ESET Onlinescanner auf dem Rechner ausführen: ESET :: Finden Sie die richtige Sicherheitslöung für Ihre Bedürfnisse! :: ESET Online Scanner
• Stelle ESET so ein, das auch Archive durchsucht werden.
• Eset nach dem Scan nicht deinstallieren!
• LOG danach posten (wieder hochladen) - befindet sich dort:

C:\Program Files\ESET\ESET Online Scanner\log.txt

ich habe zwar jetzt eine ZIP-Datei mit Pass erstellt bekommen, kann sie da aber nicht hochladen.

Warte einen Moment, ich versuche anders and die Dateien zu kommen.

OK, geht weiter.
Mache das:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.
• Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter.

Bitte PM lesen.

Ich mach weiter mit ESET
Edit1: soll ich Avira für den Scan deaktivieren? Da steht, dass der Echtzeitscan von Avira den ESETscan beeinträchtigen kann.

Muss nicht unbedingt deaktiviert werden.
Ich suche noch was im Java Cache.

der Scan läuft jetzt seit 35 Minuten, ist aber erst bei 34%. Es gab aber bereits zwei Funde (ich hab aber vergessen den Papierkorb mit der ZIP-Datei noch mal zu löschen..also evtl. ist eine Datei davon diese ZIP - das sehen wir ja dann später) das andere ist: Java/Exploit.Blacole.EO Trojaner.

Ich hab dann auch noch mal eine Frage: Wenn ich als User (und nicht als Admin) im Netz unterwegs bin, kann ich mir dann trotzdem Trojaner, Würmer o.ä. zuziehen? Ich habe im Netz gesehen, dass sich jemand ohne Admin-Konto einen GVU-Trojaner eingefangen hat. Dachte das geht nicht?! Kann da was drann sein?

beste Grüße
Kia

Ja, kannst du. Surfe mit Sandbox, das ist sehr sicher.