GVU Virus, abgesicherter Modus mit Eingabeaufforderung funktioniert nicht Hallo zusammen, habe mir den GVU-Virus eingefangen. Beim Starten im abgesicherten Modus fährt der Rechner nach ganz kurzem Auftauchen des Terminals direkt wieder runter. Windows 7 Premium Home 64bit. Hab mir eine OTLPE CD erstellt (nach Suchen hier im Forum) aber nachdem der Ladescrollbar für OTL beim Booten voll war, kam nach ein paar Sekunden komischerweise das Windowslogo und dann ein Bluescreen ("A problem has been detected and windows has been shut down to prevent damage to your computer"). Ich habe auch eine Ubuntu Boot Cd erstellt, mit der ich zumindest booten konnte. Habe vorher ein paar komische Probleme gehabt (Hinweise auf Fehler in der AVG.exe, Probleme mit dem Router Login, Hohen Ramverbrauch der Browser), Scans mit Malware und AVG haben aber nie auch nur einen Fund ausgespuckt. Für Hilfe wäre ich sehr dankbar. |
Hallo, dann versuchen wir es so: Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!). Schliesse den USB Stick an den infizierten Rechner an. Du musst das System nun in die System Reparatur Option booten: Variante 1 - Über den Boot Manager Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
|
Hi Leo, das hat soweit geklappt. .txt file im anhang |
Hi, startet der Rechner nach diesem Fix wieder normal? Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKU\Ich\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\Ich\AppData\Local\Temp\exngoqqilcksnvlkw.exe [71168 2013-08-01] () <===== ATTENTION
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier. |
Hi Leo, ja der Rechner startet jetzt normal. Hier das Log Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 30-07-2013 03 |
Prima. Dann verschiebe die frst64.exe vom USB-Stick auf den Desktop.
|
FRST: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 30-07-2013 03 --- --- --- Addition: Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 30-07-2013 03 |
Hm, wir müssen nochmals in die Reperaturoptionen, um etwas zu überprüfen: Verschiebe die frst64.exe nochmals auf den USB-Stick und schliesse ihn an den infizierten Rechner an.
|
Code: Farbar Recovery Scan Tool (x64) Version: 30-07-2013 03 |
Hm, dann bitte im normalen Modus nochmals einen Scan machen: Starte noch einmal FRST.
|
Hier das neue Frst: FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 30-07-2013 03 --- --- --- --- --- --- The last line of drivers with the former ae1lbxia.sys has changed to sth completely different(ayeb0osm.sys)? So the search couldnt find it. Is that what is wrong? |
edit: Zitat:
Da ist was faul. Wir müssen nochmals in die Reperaturoptionen. Belasse danach den infizierten Rechner wenn möglich noch in diesen Reperaturoptionen (bis wir den nächsten Schritt gemacht haben) und starte ihn noch nicht nach Windows. Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: CMD: dir /a "C:\Windows\System32\Drivers\*.sys"
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier. |
Yo leo, hier das fixlog. Sry für den englischen Satz oben, arbeite gerade parallel am anderen Computer auf Englisch und bin durcheinandergekommen. Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 30-07-2013 03 |
Hm, seh ich da nichts.. Bitte trotzdem wieder in den normalen Modus von Windows starten und einen neuen Scan machen. Entschuldige das hin und her. Irgendwas passt da nicht und ich bin grad dabei, dem nachzugehen. (Wenn du es nicht erwähnt hättest, wäre mir gar nicht aufgefallen, dass der Satz englisch war. :D) Starte noch einmal FRST.
|
Zitat:
Und hör auf dich für das hin und her zu entschuldigen, du tust hier was für mich!:abklatsch: Also Danke!!! zum File: Jetzt ist es a4u8rxoc.sys :( FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 30-07-2013 03 |
Mal schauen, was Gmer sieht... Bitte lade dir GMER herunter: (Dateiname zufällig)
Tauchen Probleme auf?
|
Yo Leo, mach ich morgen, hab grade keinen 2ten Rechner zur Hand, um deine Tips im Blick zu haben! Die Uhr meines Rechners hat sich übrigens bei der ganzen Prozedur um 3 Stunden verstellt. Ist das normal? Bis morgen und vielen vielen Dank schonmal! |
Ok, alles klar. (Warum die Uhr verstellt wurde, kann ich noch nicht sagen. Das sollte eigentlich nicht passieren.) |
Ok, hier das gmer Log (Konnte ich nur als log File saven nicht als txt, weiß nicht , ob das nen Unterschied macht) Code: GMER 2.1.19163 - hxxp://www.gmer.net Ich hab mal auf google nach den drivern geschaut. Zu "ab7gaxxg" gibts da nichts und der Name fällt auch irgendwie raus. Weiß nicht, ob das was heißt. |
Hallo, das passt so. Aber da stört noch ein Emulator, den müssen wir zuerst temporär mit defogger deaktivieren und dann den Gmer-Scan wiederholen. Zitat:
Die Frage ist nur, wovon es stammt. Könnte auch mit einem Emulator oder so zusammenhängen.. Schritt 1 Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.
Schritt 2 Bitte lade dir GMER herunter: (Dateiname zufällig)
Tauchen Probleme auf?
Bitte poste in deiner nächsten Antwort:
|
So neues Gmer Log: Code: GMER 2.1.19163 - hxxp://www.gmer.net |
Sehr gut, da kann man Entwarnung geben, dieser Treiber gehört klar zu den Daemon Tools. Wie läuft der Rechner jetzt? Alles normal? Noch eine Kontrolle: ESET Online Scanner
|
Hi Leo, sry, der Scan hat ewig lange gedauert, gab auch 3 Funde. Code: ESETSmartInstaller@High as downloader log: |
Hi, die Funde von ESET sind nicht aktiv und somit kein Problem. Der erste sitzt in unserer Quarantäne und die anderen beiden sind im Java-Cache - beides löschen wir jetzt noch. Schritt 1 Lade dir TFC (von Oldtimer) herunter und speichere es auf den Desktop.
Schritt 2 Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können. Die aktuelle Version ist Java 7 Update 25.
Überleg dir also, ob du eine Java-Installation wirklich brauchst. Falls du Java weiterhin verwenden möchtest, dann:
Schritt 3 Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:
Überprüfe dann mit diesem Plugin-Check (mit dem Firefox hier), ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls. Cleanup Zum Schluss werden wir jetzt noch unsere Tools (inklusive der Quarantäne-Ordner) wegräumen, die verseuchten Systemwiederherstellungspunkte löschen und alle Einstellungen wieder herrichten. Auch diese Schritte sind noch wichtig und sollten in der angegebenen Reihenfolge ausgeführt werden.
>> OK << Wir sind durch, deine Logs sehen für mich im Moment sauber aus. :daumenhoc Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst. Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann. Epilog: Tipps, Dos & Don'ts Aktualität von System und Software Das Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
Auch die installierte Software sollte immer in der aktuellsten Version vorliegen. Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
Sicherheits-Software Eine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt). Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt. Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
(Un-)Sicheres Verhalten im Internet Nebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert. Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
Allgemeine Hinweise Abschliessend noch ein paar grundsätzliche Bemerkungen:
Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen. Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;) |
Hi Leo, ich hab alle deine Schritte befolgt. Läuft jetzt alles erstmal so. Hab auch mal Secunia installiert, denn ich schätze ich hab mir den GVU Trojaner schätzungsweise über veraltete Software (Java) eingefangen? Vielleicht mach ich auch noch ein eingeschränktes Benutzerkonto. Das mit der verstellten Uhr bleibt wohl ein Mysterium:) Ich beobachte das Ganze mal und wenn noch mehr Probleme auftauchen, werde ich wohl neu aufsetzen. Da ich aber kein Online Banking und so auf diesem Rechner mache, bin ich froh erstmal darauf verzichten zu können. Meinst du meine Passwörter in keepass könnten irgendwie in Mitleidenschaft gezogen worden sein? Ach ja, nur falls es Euch interessiert: Ihr empfehlt hier immer noch AdBlock Plus. Vielleicht könntet ihr das überdenken. Früher der Hammer heute eines der perfidesten Werbe- und Erpressermittel unserer Net-Zeit. Lies dazu: hxxp://www.mobilegeeks.de/adblock-plus-undercover-einblicke-in-ein-mafioeses-werbenetzwerk/ Ansonsten erstmal vielen Dank, eine Spende wird folgen (oder wenn ihr mal Audio Hilfe irgendwo braucht, meldet euch) LG, Martin |
Danke für die Rückmeldung, Martin. Zitat:
Zitat:
Zitat:
Danke für den Artikel zu Adblock Plus. Ich werde ihn sicher in einer freien Minute mal studieren. Und im Namen des Teams vielen Dank für die Spende! Freut mich, dass wir helfen konnten. :abklatsch: Falls du dem Forum noch Verbesserungsvorschläge, Kritik oder ein Lob mitgeben möchtest, kannst du das hier tun. Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter. Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:47 Uhr. |
Copyright ©2000-2024, Trojaner-Board