GVU Virus, abgesicherter Modus mit Eingabeaufforderung funktioniert nicht
 

Hallo zusammen,


habe mir den GVU-Virus eingefangen. Beim Starten im abgesicherten Modus fährt der Rechner nach ganz kurzem Auftauchen des Terminals direkt wieder runter. Windows 7 Premium Home 64bit.


Hab mir eine OTLPE CD erstellt (nach Suchen hier im Forum) aber nachdem der Ladescrollbar für OTL beim Booten voll war, kam nach ein paar Sekunden komischerweise das Windowslogo und dann ein Bluescreen ("A problem has been detected and windows has been shut down to prevent damage to your computer").

Ich habe auch eine Ubuntu Boot Cd erstellt, mit der ich zumindest booten konnte.

Habe vorher ein paar komische Probleme gehabt (Hinweise auf Fehler in der AVG.exe, Probleme mit dem Router Login, Hohen Ramverbrauch der Browser), Scans mit Malware und AVG haben aber nie auch nur einen Fund ausgespuckt.


Für Hilfe wäre ich sehr dankbar.

Hallo,

dann versuchen wir es so:


Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager

• Starte den Rechner neu auf.
• Während des Hochfahrens drücke mehrmals die F8 Taste.
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und boote von der CD.
• Wähle die Spracheinstellungen und klicke Weiter.
• Klicke auf Computerreparaturoptionen.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.

• Gib nun bitte notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
  • Lese nun hier den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl ein und drücke Enter:

  e:\frst64.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
• Akzeptiere den Disclaimer mit Yes und klicke Scan.

Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.

Hi Leo,

das hat soweit geklappt. .txt file im anhang

Hi,

startet der Rechner nach diesem Fix wieder normal?


Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Hi Leo,

ja der Rechner startet jetzt normal.

Hier das Log

Prima. Dann verschiebe die frst64.exe vom USB-Stick auf den Desktop.

• Starte dann FRST.
• Setze bei Optional Scan den Haken bei Addition.txt und drücke Scan.
• Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieser beiden Logfiles bitte hier in deinen Thread.

FRST:

FRST Logfile:
--- --- ---

--- --- ---


Addition:

Hm, wir müssen nochmals in die Reperaturoptionen, um etwas zu überprüfen:


Verschiebe die frst64.exe nochmals auf den USB-Stick und schliesse ihn an den infizierten Rechner an.

• Starte dann den Rechner wieder in die System Reperatur Optionen.
• Finde den Laufwerksbuchstaben des USB-Stick raus (könnte sich geändert haben).
• Gib nun bitte folgenden Befehl ein und drücke Enter:

  e:\frst.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
• Schreibe dann folgendes in die "Search:" Textbox:
  
  Code:

  ---

  ae1lbxia.sys

  ---

• Drücke auf den Button Search File(s) und warte, bis der Scan beendet ist.

Das Tool erstellt eine Datei Search.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.

Hm, dann bitte im normalen Modus nochmals einen Scan machen:


Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hier das neue Frst:


FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

The last line of drivers with the former ae1lbxia.sys has changed to sth completely different(ayeb0osm.sys)? So the search couldnt find it. Is that what is wrong?

edit:

Zitat:

The last line of drivers with the former ae1lbxia.sys has changed to sth completely different(ayeb0osm.sys)? So the search couldnt find it. Is that what is wrong?

Genau.



Da ist was faul.
Wir müssen nochmals in die Reperaturoptionen. Belasse danach den infizierten Rechner wenn möglich noch in diesen Reperaturoptionen (bis wir den nächsten Schritt gemacht haben) und starte ihn noch nicht nach Windows.


Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Yo leo,

hier das fixlog. Sry für den englischen Satz oben, arbeite gerade parallel am anderen Computer auf Englisch und bin durcheinandergekommen.

Hm, seh ich da nichts..
Bitte trotzdem wieder in den normalen Modus von Windows starten und einen neuen Scan machen.
Entschuldige das hin und her. Irgendwas passt da nicht und ich bin grad dabei, dem nachzugehen.
(Wenn du es nicht erwähnt hättest, wäre mir gar nicht aufgefallen, dass der Satz englisch war. :D)


Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Haha, dann gehts dir so wie mir.

Und hör auf dich für das hin und her zu entschuldigen, du tust hier was für mich!:abklatsch: Also Danke!!!

zum File: Jetzt ist es a4u8rxoc.sys :(




FRST Logfile:
--- --- ---

Mal schauen, was Gmer sieht...


Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Yo Leo,

mach ich morgen, hab grade keinen 2ten Rechner zur Hand, um deine Tips im Blick zu haben!

Die Uhr meines Rechners hat sich übrigens bei der ganzen Prozedur um 3 Stunden verstellt. Ist das normal?

Bis morgen und vielen vielen Dank schonmal!

Ok, alles klar.
(Warum die Uhr verstellt wurde, kann ich noch nicht sagen. Das sollte eigentlich nicht passieren.)

Ok,

hier das gmer Log (Konnte ich nur als log File saven nicht als txt, weiß nicht , ob das nen Unterschied macht)


Ich hab mal auf google nach den drivern geschaut. Zu "ab7gaxxg" gibts da nichts und der Name fällt auch irgendwie raus. Weiß nicht, ob das was heißt.

Hallo,

das passt so.
Aber da stört noch ein Emulator, den müssen wir zuerst temporär mit defogger deaktivieren und dann den Gmer-Scan wiederholen.

Ja die Namen sind auf jeden Fall zufällig generiert, das ist klar.
Die Frage ist nur, wovon es stammt. Könnte auch mit einem Emulator oder so zusammenhängen..


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!





Bitte poste in deiner nächsten Antwort:

• Log von Gmer

So neues Gmer Log:

Sehr gut, da kann man Entwarnung geben, dieser Treiber gehört klar zu den Daemon Tools.
Wie läuft der Rechner jetzt? Alles normal?
Noch eine Kontrolle:



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi Leo,

sry, der Scan hat ewig lange gedauert, gab auch 3 Funde.

Hi,

die Funde von ESET sind nicht aktiv und somit kein Problem. Der erste sitzt in unserer Quarantäne und die anderen beiden sind im Java-Cache - beides löschen wir jetzt noch.


Schritt 1

Lade dir TFC (von Oldtimer) herunter und speichere es auf den Desktop.

• Öffne die TFC.exe.
  Vista und Win 7 User mit Rechtsklick "als Administrator starten".
• Schliesse alle anderen Programme.
• Drücke auf den Button Start.
• Falls du zu einem Neustart aufgefordert wirst, bestätige diesen.

Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 25.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 3

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

• Deinstalliere bitte deine aktuelle Version von Adobe Reader über

  Start --> Systemsteuerung --> Software (bei Windows XP)
  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Windows 7)

• Besuche diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Cleanup

Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.

1. Starte defogger und drücke den Button Re-enable.
2. Den ESET Online Scanner kannst du behalten, um ab und zu (monatlich) für eine Zweitmeinung dein System damit zu scannen. Falls du ESET deinstallieren möchtest, dann kannst du das ebenfalls über die Systemsteuerung tun.
3. Downloade dir bitte auf jeden Fall DelFix auf deinen Desktop.
   • Schliesse alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u.a. alle von uns verwendeten Programme und löscht sich anschliessend selbst.
4. Wenn jetzt noch etwas übriggeblieben ist, dann kannst du es einfach manuell löschen.

>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts





Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

Hi Leo,

ich hab alle deine Schritte befolgt. Läuft jetzt alles erstmal so. Hab auch mal Secunia installiert, denn ich schätze ich hab mir den GVU Trojaner schätzungsweise über veraltete Software (Java) eingefangen? Vielleicht mach ich auch noch ein eingeschränktes Benutzerkonto.

Das mit der verstellten Uhr bleibt wohl ein Mysterium:) Ich beobachte das Ganze mal und wenn noch mehr Probleme auftauchen, werde ich wohl neu aufsetzen. Da ich aber kein Online Banking und so auf diesem Rechner mache, bin ich froh erstmal darauf verzichten zu können.

Meinst du meine Passwörter in keepass könnten irgendwie in Mitleidenschaft gezogen worden sein?

Ach ja, nur falls es Euch interessiert: Ihr empfehlt hier immer noch AdBlock Plus. Vielleicht könntet ihr das überdenken. Früher der Hammer heute eines der perfidesten Werbe- und Erpressermittel unserer Net-Zeit. Lies dazu:
hxxp://www.mobilegeeks.de/adblock-plus-undercover-einblicke-in-ein-mafioeses-werbenetzwerk/


Ansonsten erstmal vielen Dank, eine Spende wird folgen (oder wenn ihr mal Audio Hilfe irgendwo braucht, meldet euch)

LG, Martin

Danke für die Rückmeldung, Martin.

Das ist sehr wahrscheinlich, ja.

Ja würd ich mal im Auge behalten. Wenn es nicht wieder vorkommt, ist's ok.

Denke ich nicht. Aber es ist grundsätzlich eine gute Idee, seine Passwörter von Zeit zu Zeit zu ändern..

Danke für den Artikel zu Adblock Plus. Ich werde ihn sicher in einer freien Minute mal studieren.
Und im Namen des Teams vielen Dank für die Spende!


Freut mich, dass wir helfen konnten. :abklatsch:

Falls du dem Forum noch Verbesserungsvorschläge, Kritik oder ein Lob mitgeben möchtest, kannst du das hier tun.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.