Trojaner-Board - GVU-Trojaner auf Win XP Notebook ohne CD-ROM-Laufwerk

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU-Trojaner auf Win XP Notebook ohne CD-ROM-Laufwerk (https://www.trojaner-board.de/138842-gvu-trojaner-win-xp-notebook-ohne-cd-rom-laufwerk.html)

GVU-Trojaner auf Win XP Notebook ohne CD-ROM-Laufwerk

Hallo allerseits,

seite heute morgen habe ich den GVU-Trojaner auf meinem Notebook (WinXP SP3 - ohne CD-ROM-Laufwerk).

Wenn ich im abgesicherten Modus starte, fährt der Rechner hoch, um dann wieder neuzustarten.

Kann jemand helfen?

Hi, ich möchte dir in diesem Fall wenig Hoffnung machen, dass wir das Ding einfach Knacken können. Die Variante die es wohl hier ist, ist wirklich sehr gut im "Sperren". Es gibt aber evtl eine Möglichkeit, bei der du etwas Geduld haben mußt.

Computer entsperren mit HitmanPro.Kickstart

Du brauchst hierfür einen USB-Stick. Achtung: Alle Daten darauf werden verloren gehen!

Bereite deinen USB-Stick wie folgt vor: Anleitung: HitmanPro.Kickstart

Schliesse deinen präparierten Stick an den infizierten Rechner an und starte ihn vom Stick: Anleitung: Starten vom USB-Stick

Es erscheint ein Bootmenü von HitmanPro - wähle zunächst Methode 1 aus und wenn das nicht klappen sollte, dann Methode 2.

Windows wird jetzt ganz normal starten. Wenn der Sperrschirm des Trojaners erscheint warte einfach ab. HitmanPro sollte in wenigen Sekunden gestartet werden (grünes Fenster).

Klicke jetzt: Weiter > "Nein, ich möchte nur einen Einmalscan ..." > Weiter

Der Computer wird jetzt untersucht, mache in dieser Zeit bitte nichts.

Klicke dann weiter, um die Funde in die Quarantäne zu verschieben.

Klicke jetzt unten links auf "Logfile speichern" und lege es auf dem Desktop ab.

Lasse den Rechner neu starten, berichte ob alles geklappt hat und poste mir hier das Logfile von HitmanPro.

Video-Anleitung: HitmanPro.Kickstart in Aktion (englisch)

Vielen Dank für die schnelle Antwort! Das Hochfahren hat geklappt - dann erscheint der Sperrschirm, ohne dass HitmanPro dann startet. Ich habe alle Methoden ausprobiert und jeweils mehrere Minuten gewartet :-/

Und du hast sichergestellt, dass du auch wirklich über den Stick gebootet hast?

Hallo ryder,

ja, das HitmanPro-Bootmenü mit den Auswahloptionen ist zu sehen gewesen. Nach der Auswahl war "Kickstart booting...MBR read" zu lesen - Windows ist dann hochgefahren, aber nach dem Sperrbild passiert nichts mehr.

Falls ich Windows neu aufspiele (worauf ich mich schon eingestellt habe) - was muss ich dabei beachten? Muss ich z.B. nur die System-Partition formatieren - oder besser auch die andere(n)?

Wie willst du das denn aufspielen ohne CD-Laufwerk? :)

Hast du eine Windows XP CD, einen sauberen Rechner und ggf. Lust ein wenig zu experimentieren?

...hatte seinerzeit WinXP von einem bootfähigen USB-Stick aufgespielt und würde es diesmal mit Win7 probieren.

Insofern: Habe eine Win7-CD, einen sauberen Rechner und - experimentieren hört sich gut an :-)

Hmmmm versuche mal bitte folgendes .... ist zwar verrückt, aber könnte klappen ...

Mache einen USB Stick mit Win 7 Installation und dann benutzten wir diese zum Scannen:

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Alle anderen Windowsversionen ab hier:
Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:
Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):
Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung
Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

:-) ...hat nach mehreren Umwegen tatsächlich geklappt (nach *Computer reparieren* konnte ich weder ein Betriebssystem noch ein Benutzerkonto auswählen, da keine Optionen angezeigt wurden).

Hier nun der Inhalt der FRST.exe:

FRST Logfile:

FRST Logfile:

Code:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 27-07-2013

Ran by SYSTEM on 28-07-2013 13:49:26

Running from E:\

Microsoft Windows XP (X86) OS Language: German Standard

Internet Explorer Version 6

Boot Mode: Recovery
 

The current controlset is ControlSet003
 ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.
 

==================== Registry (Whitelisted) ==================
 

HKLM\...\Run: [BatteryManager] - C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe [2768896 2007-10-31] ()

HKLM\...\Run: [SynTPEnh] - C:\Programme\Synaptics\SynTP\SynTPEnh.exe [1044480 2008-12-29] (Synaptics, Inc.)
 

========================== Services (Whitelisted) =================
 

S2 Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe [37664 2011-02-18] (Apple Inc.)

S2 ClipInc001; C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe [2225416 2009-03-16] ()

S3 iPod Service; C:\Programme\iPod\bin\iPodService.exe [820520 2011-03-07] (Apple Inc.)

S3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe [115168 2012-11-15] (Mozilla Foundation)

S4 Samsung Update Plus; C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe [77480 2008-05-13] ()

S4 ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [620544 2008-11-11] (Nokia.)

S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [160944 2012-11-09] (Skype Technologies)

S3 SNM WLAN Service; C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe [36864 2006-10-30] ()

S4 AppMgmt; %SystemRoot%\System32\appmgmts.dll [x]

S4 HidServ; %SystemRoot%\System32\hidserv.dll [x]

S2 JavaQuickStarterService; "C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf" [x]
 

==================== Drivers (Whitelisted) ====================
 

S3 AR5416; C:\Windows\System32\DRIVERS\athw.sys [1606368 2010-08-08] (Atheros Communications, Inc.)

S3 BTWUSB; C:\Windows\System32\Drivers\btwusb.sys [67960 2007-03-23] (Broadcom Corporation.)

S3 CCDECODE; C:\Windows\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation)

S3 DNSeFilter; C:\Windows\System32\drivers\SamsungEDS.sys [30208 2008-01-14] (Samsung Electronics,.LTD)

S2 DOSMEMIO; C:\WINDOWS\system32\MEMIO.SYS [4300 2005-10-27] ()

S3 HDAudBus; C:\Windows\System32\DRIVERS\HDAudBus.sys [144384 2008-04-14] (Windows (R) Server 2003 DDK provider)

S3 NABTSFEC; C:\Windows\System32\DRIVERS\NABTSFEC.sys [85248 2008-04-14] (Microsoft Corporation)

S3 NdisIP; C:\Windows\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation)

S3 SLIP; C:\Windows\System32\DRIVERS\SLIP.sys [11136 2008-04-14] (Microsoft Corporation)

S3 streamip; C:\Windows\System32\DRIVERS\StreamIP.sys [15232 2008-04-14] (Microsoft Corporation)

S3 TIEHDUSB; C:\Windows\System32\drivers\tiehdusb.sys [49536 2004-02-04] (Texas Instruments Incorporated)

S3 VMC326; C:\Windows\System32\Drivers\VMC326.sys [238464 2008-09-04] (Vimicro Corporation)

S3 WSTCODEC; C:\Windows\System32\DRIVERS\WSTCODEC.SYS [19200 2008-04-14] (Microsoft Corporation)

S3 yukonwxp; C:\Windows\System32\DRIVERS\yk51x86.sys [289024 2008-06-27] (Marvell)

S3 ADDMEM; \??\C:\DOKUME~1\UNBEKA~1\LOKALE~1\Temp\__Samsung_Update\ADDMEM.SYS [x]

S4 IntelIde; No ImagePath

S1 WS2IFSL; 
 

==================== NetSvcs (Whitelisted) ===================
 
 

==================== One Month Created Files and Folders ========
 

2013-07-28 13:49 - 2013-07-28 13:49 - 00000000 ____D C:\FRST
 

==================== One Month Modified Files and Folders =======
 

2013-07-28 13:49 - 2013-07-28 13:49 - 00000000 ____D C:\FRST

2013-07-28 09:14 - 2008-10-06 12:52 - 00444433 _____ C:\Windows\WindowsUpdate.log

2013-07-27 16:20 - 2008-10-06 13:45 - 01032831 ____C C:\Windows\setupapi.log
 

==================== Known DLLs (Whitelisted) ============
 
 

==================== Bamital & volsnap Check =================
 

C:\Windows\explorer.exe

[2008-10-06 17:59] - [2008-04-14 13:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e 
 

C:\Windows\System32\winlogon.exe

[2008-10-06 18:00] - [2008-04-14 13:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a 
 

C:\Windows\System32\svchost.exe

[2008-10-06 18:00] - [2008-04-14 13:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 
 

C:\Windows\System32\services.exe

[2008-10-06 18:00] - [2008-04-14 13:00] - 0109056 ____A (Microsoft Corporation) 4bb6a83640f1d1792ad21ce767b621c6 
 

C:\Windows\System32\User32.dll

[2008-10-06 18:00] - [2008-04-14 13:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd 
 

C:\Windows\System32\userinit.exe

[2008-10-06 18:00] - [2008-04-14 13:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 
 

C:\Windows\System32\Drivers\volsnap.sys

[2008-10-06 18:00] - [2008-04-14 13:00] - 0053760 ___AC (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d 
 
 

==================== EXE ASSOCIATION =====================
 

HKLM\...\.exe: exefile => OK

HKLM\...\exefile\DefaultIcon: %1 => OK

HKLM\...\exefile\open\command: "%1" %* => OK
 

==================== Restore Points (XP) =====================
 
 

==================== Memory info =========================== 
 

Percentage of memory in use: 18%

Total physical RAM: 2038.43 MB

Available physical RAM: 1652.15 MB

Total Pagefile: 2038.43 MB

Available Pagefile: 1653.83 MB

Total Virtual: 2047.88 MB

Available Virtual: 1926.67 MB
 

==================== Drives ================================
 

Drive c: () (Fixed) (Total:71.04 GB) (Free:61.9 GB) NTFS ==>[Drive with boot components (Windows XP)]

Drive d: () (Fixed) (Total:72 GB) (Free:66.56 GB) NTFS

Drive e: (LEXAR) (Removable) (Total:7.34 GB) (Free:4.96 GB) NTFS

Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
 

==================== MBR & Partition Table ==================
 

========================================================

Disk: 0 (Size: 149 GB) (Disk ID: 2BE04D92)

Partition 1: (Not Active) - (Size=6 GB) - (Type=12)

Partition 2: (Active) - (Size=71 GB) - (Type=07 NTFS)

Partition 3: (Not Active) - (Size=72 GB) - (Type=07 NTFS)
 

========================================================

Disk: 1 (MBR Code: Windows XP) (Size: 7 GB) (Disk ID: C3072E18)

Partition 1: (Active) - (Size=7 GB) - (Type=07 NTFS)
 

==================== End Of Log ============================

--- --- ---

--- --- ---

Ja, hast du prima gemacht, nur zeigt mir das Tool so leider nicht das an, was ich dringend sehen müßte ...

Ich bewege mich jetzt auf unbekanntem Terrain ... hehe ... lass uns mal das probieren, evtl weiß ich dann schon mehr.

Die **** mußt du hierbei durch deinen Benutzernamen ersetzen, den du in Windows hast.

Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

Folder: C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Temp Folder: C:\Dokumente und Einstellungen\All Users Search: cmd.exe;userinit.exe

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
Starte deinen Rechner erneut in die Reparaturoptionen

Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Ich weiß nicht, ob dir das jetzt weiterhilft :-/

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 27-07-2013

Ran by SYSTEM at 2013-07-28 15:54:23 Run:1

Running from E:\

Boot Mode: Recovery
 

==============================================
 
 

========================= Folder: C:\Dokumente und Einstellungen\Unbekannter Benutzer\Anwendungsdaten\Temp ========================
 

Directory Not Found
 

====== End of Folder: ======
 

========================= Folder: C:\Dokumente und Einstellungen\All Users ========================
 
 

====== End of Folder: ======
 

==== End of Fixlog ====

Japp hilft gar nichts. Das war der richtige Benutzername?

Gib mal in das Search Feld ein:

cmd.exe;userinit.exe

und klicke Search. Evtl gibt mir das noch einen Tipp.

Ja, Benutzername ist korrekt.

So...hier der Inhalt der Search.txt:

Code:

 Farbar Recovery Scan Tool (x86) Version: 27-07-2013

Ran by SYSTEM at 2013-07-28 18:15:21

Running from E:\

Boot Mode: Recovery
 

================== Search: "cmd.exe;userinit.exe" ===================
 

C:\WINDOWS\system32\cmd.exe

[2008-10-06 17:59] - [2008-04-14 13:00] - 0401920 ___AC (Microsoft Corporation) 9b890f756d087991322464912fe68e75 
 

C:\WINDOWS\system32\userinit.exe

[2008-10-06 18:00] - [2008-04-14 13:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 
 

C:\WINDOWS\system32\dllcache\cmd.exe

[2008-10-06 17:59] - [2008-04-14 13:00] - 0401920 ___AC (Microsoft Corporation) 9b890f756d087991322464912fe68e75 
 

C:\WINDOWS\system32\dllcache\userinit.exe

[2008-10-06 18:00] - [2008-04-14 13:00] - 0026624 ___AC (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 
 

=== End Of Search ===

Okay, wir müssen da leider nochmal anders ran:

Bitte stelle dir folgenden Stick her und prüfe ob er korrekt arbeitet.

Herstellen eines USB-Sticks mit der Kaspersky-Rescue-Disk

Du braucht dazu einen USB-Stick (am besten leer) mit mindestens 1 GB Platz.

Bitte downloade dir YUMI von dieser Webseite auf deinen Desktop.
Schliesse deinen USB-Stick an, starte YUMI und akzeptiere die Lizenzvereinbarung.
Step 1: Wähle den Laufwerksbuchstaben deines Sticks aus.
Step 2: Wähle aus der Liste "Kaspersky Rescue Disk (Antivirus Scanner)" aus (relativ weit unten)
Hake an "Download the img (Optional)", YUMI fragt dich ob du jetzt herunterladen willst. Klicke Ja.
Speichere die *.iso auf deinem Desktop.
Step 3: Falls das *.iso nicht schon ausgewählt wurde (grüne Farbe) klicke Browse, suche das Image und wähle es aus.
Klicke jetzt auf Create und beantworte die Sicherheitsabfrage mit Ja. Dein USB-Stick wird jetzt vollautomatisch vorbereitet. Warte bis der Vorgangabgeschlossen ist.

Starten des Kaspersky Rescue Sticks zur Datensicherung

Schliesse den USB-Stick an das infizierte System an. Starte den Rechner (neu).
Während des Starts drücke die Taste mit der du das Bootmenü aufrufen kannst (oft ist das F8) und wähle den USB-Stick zum booten aus.
Es erscheint das YUMI-Menü. Wähle hier Antivirus Tools >Kaspersky Rescue CD > Run ... from this USB
Das Rettungssystem startet jetzt. Wenn du mehrere Betriebssysteme installiert hast erscheint ein Menü in dem du auswählen kannst auf welches du zugreifen willst.
Deine Windowslaufwerke C: bis Z: (wenn vorhanden) werden als Ordner auf dem Desktop erzeugt.
Kopiere also alle wichtigen Dateien von deinen Windowslaufwerken auf deinen USB-Stick zur Sicherung.
Zum Herunterfahren klicke auf das K-Symbol unten links und wähle shutdown.

Und jetzt schaust du bitte, ob a) die Kasperskysuche evtl den Rechner entsperrt. Falls nicht: b) ob du es dir zutraust mit dem Tool die Registry zu manimulieren.

So...die Kasperskysuche hat folgenden Trojaner gefunden und gelöscht:

Backdoor.Win32.Androm.aggu

Der Rechner bleibt aber gesperrt.

Also jetzt an die Registry?

Hab Kaspersky mehrere Male durchlaufen lassen. Nach jedem Löschen ist der Backdoor.Win32.Androm.aggu beim Scannen wieder gefunden worden...