Von GVU-Trojaner befallen (Win7)
 

Hallo,

ich habe das Problem, dass am 17.07 beim Einloggen in ein Benutzer-Konto (nicht der Admin) der GVU-Trojaner erschien. Glücklicherweise konnte ich mich mit dem Admin normal einloggen.

Ich habe den PC die letzten drei Tage vom Strom getrennt und mich heute gleich hier registriert. Was ich bisher auf eigene Faust unternommen habe:

1. Eine .exe vom 17.07 gelöscht, was dazu führte, dass die Meldung der "GVU" nicht mehr nach dem Einloggen erschien, sondern der Vorgang dort stoppte, wo eine Art Windows-Fenster (schwarzer Hintergrund, weiße Schrift) erscheint. Dort stand dann irgendwas davon, dass X.exe (X= willkürliche Buchstabenkombination) nicht ausgeführt werden konnte.

2. Malware Bytes scannen lassen, jedoch abgebrochen um mit den benötigten Schritten für einen Forenpost zu beginnen, damit ich den Thread heute noch fertig bekomme.

Ich frage mich nun, wie ich diesen Trojaner(?) vollständig entfernen kann, welche Risiken dadurch entstanden sind und wie ich mich wieder vollkommen sicher fühlen kann.

Danke für eure Hilfe !

Anhang 58052

Hi,

Logfiles bitte in den thread posten und nicht anhängen :)

Das sind allerdings zuviele Zeichen und ich bekomme die Info, die Logs als Archiv anzuhängen ? Ich mache nun einfach zwei Posts draus.
Kann ich den PC übrigens nutzen, solange das Problem bearbeitet wird, oder laufe ich Gefahr, das z.B. Log-in Passwörter etc in falsche Hände gelangen ?

Extras

OTL

Gmer

Malware Bytes

Falls der Reinigungsvorgang sehr aufwändig ist und man sich auch danach nicht ganz sicher sein kann, hätte ich folgende Fragen:

1. Kann man den Trojaner (und alles was er ggf. mitgeschleppt hat) durch eine Formatierung aller Festplatten vollständig entfernen ?

2. Falls ja, gibt es eine Möglichkeit meine eigenen Dateien (Musik, Dokumente, etc.) zu sichern, ohne die Gefahr eine Schadsoftware mitzuschleppen ? Dafür ist vllt noch wichtig zu wissen, dass ich die Ordner Download/Musik/Bilder/Dokumente/Videos auf einer anderen Festplatte habe wie mein Betriebssystem und meine Programme.

Wenn Du formatierst ist alles sauber, Daten kannste sichern, da passiert nix.
Passwörter würde ich ändern.

Wir können den aber bereinigen.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Sind Passwörter auch zu ändern, falls ich sie seit dem ersten visuellen Erscheinen des Trojaners nie benutzt habe ? Gespeichert sind sie lediglich in meinem Kopf.
Und meine eigenen Dateien sind und waren also zu jeder Zeit unbeeinträchtigt von der Schadsoftware ?
Zusätzlich würde mich noch interessieren, ob ich irgendwie prüfen kann (oder du es schon tust), ob auf meinem System noch irgendwelche Schadsoftware, unabhängig von dem GVU-Trojaner, vorhanden ist.

Hier nun die vier Logfiles.

AdwCleaner

JRT
FRST

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Addition

Ich prüfe das komplette System :)
Deine Daten wie Dokumente, Musik und Videos sind sicher, da es keine Infektion mit einem File Infector ist.

Noch nen Onlinescan, dann entfernen wir Reste und sollten durch sein :)


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. noch Probleme? :)

ESET Logfile

Security Check

FRST


FRST Logfile:
--- --- ---

--- --- ---



Was hat denn dieses virut.NBP in den eigenen Dokumenten zu bedeuten ? (Ich erinnere mich diesen Ordner vor Monaten von der externen Festplatte eines Kumpels kopiert zu haben)
Hab mir grade das hier durchgelesen: hxxp://www.eset.com/us/threat-center/encyclopedia/threats/win32virutnbp/
Klingt garnicht gut ? Können wir meinen PC gleich rundum von jedweder Malware befreien ?

Java, Adobe und Firefox updaten. Fallout löschen.

Haben wir schon :)

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

und ein frisches FRST log bitte. Noch probleme? :)

Also vor dem Durchführen der folgenden Schritte kann ich immer noch nicht auf den befallenen Benutzeraccount, dort kommt noch "...exe" konnte nicht ausgeführt werden (.. erneut irgendeine Kombination) auf schwarzem Hintergrund mit weißer Schrift.

Nun die zwei *.txt nach den ausgeführten Schritten:



FRST Logfile:
--- --- ---



Ich habe nun nochmal nachgeschaut, es öffnet sich die cmd.exe, wenn ich mich in das Benutzerkonto einlogge.
Inhalt:

"...
Der Befehl ""C:\Users\SCHNIT~1\AppData\Local\Temp\jbrnvgjlmqshblywb.exe"" ist entweder falsch geschrieben oder konnte nicht gefunden werden.
C:\Windows\system32>
"

diese *.exe ist die Datei, welche ich wie beschrieben ganz am Anfang einfach gelöscht habe.

Edit:
Sry, vergessen Java, Adobe und Firefox zu updaten, mache ich grade noch.
Hier nochmal der FRST Log nach dem Updaten von Java, Adobe und Firefox.



FRST Logfile:
--- --- ---

--- --- ---

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Geht es jetzt?

Frisches FRST log bitte.

Es ist wieder möglich sich auf dem befallenen Benutzerkonto anzumelden. Sind damit aber wirklich alle Malwares und Reste entfernt, oder sollte ich noch irgendwelche Schritte einleiten ?

Um ehrlich zu sein habe ich trotz allem ein mulmiges Gefühl und möchte den PC, wenn er sauber ist, formatieren und mein System neu installieren.
Zuvor möchte ich jedoch noch einige eigene Dokumente auf meine externe Festplatte sichern, allerdings diesmal nicht als Image, sondern einfach den Inhalt meiner vier Ordner (also Musik, Dokumente, Videos, Bilder).
Wie kann ich denn komplett sicher gehen, dass ich keine ungewollte Schadsoftware mitziehe und wie kann ich dann, sobald ich Win7 neu installiert habe, meine externe Festplatte + meinen USB erneut überprüfen um nochmal völlig sicher zu gehen ?
Das klingt jetzt vielleicht ein bisschen Paranoid, aber ich will einfach ein sauberes System ohne Probleme tief im System.



FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

Einfach rüberkopieren, die Dateien sollten in Ordnung sein. Vor dem Zurückspielen einmal mit deinem AV Programm scannen, evtl ESET Onlinescan.

Von den Treibern alle installieren die für das Betriebssystem angeboten werden.

Okay, danke.

Was sie scanns angeht, einfach mit Rechtsklick auf die angeschlossene Festplatte und Scan starten, oder was beachten ?

Nö genau so einfach scannen :)