Gerade eine Begengung mit dem netten GVU-Trojaner gehabt, nachdem ich für eine Bekannte eine Officedatei von einem USB Stick drucken wollte.

Fieses kleines Ding, konnte es dann mit der Kaspersky CD entfernen die eignet sich sicherlich auch um andere Viren zu bekämpfen sollte das System streiken.
Legt euch mal den Link hier her: http://www.bundespolizei-virus.de/gvu-trojaner.php
Anleitung befindet sich hier: http://www.bundespolizei-virus.de/detaillierte-anleitung.php

Wer also keinen Wiederherstellungspunkt gesetzt hat oder ein Backup parat hat, aber noch eine CD brennen kann oder einen Zweitrechner hat der es kann, kommt aus der Sache glimpflich raus. Netzwerkverbindung kappen! Die CD startet dann über die geänderten Startparameter im Bios (Start von CD).

Meine exe (von der es sehr verschiedene Varianten, Abkömmlinge und Ableger gibt, nistete sich unter C:\Benutzer\Username\AppData\Roaming ein und machte es sich dort gemütlich. Man kann dann Windows nicht mehr starten und wird blockiert weil man Raubkopien auf dem rechner hätte. (Bitte keine Kohle überweisen, die spinnen)

Hat eine Stunde gedauert und es ist alles wieder o.k..

Was mich verwiirt ist das Defender/MSE eingeschaltet war, aber nicht reagiert hat. Ein Test besagt das Microsoft etwas nachgelassen haben soll was die neueren Virensignaturen angeht.

Er stammte definitiv vom USB Stick, den habe ich auch bereinigt.

Die Anleitung und Durchführung ist auch für Laien umsetzbar.

Lass jetzt noch mal Malwarebytes drüber laufen und hab jetzt Kaspersky in der 30 Tage Testversion aufgespielt. Werde mir Bitdefender auch noch mal ansehen.

Es müsste sich nach Recherche um eine Version 2.04 handeln oder eine Abart, dieser nimmt folgende Veränderungseinstellungen am System vor:

Dateiname:
gw45u45111.exe (etc.)

Dateiveränderungen:
%AppData%\gw45u45111.exe

Der Standardpfad für %AppData% lautet:
C:\Dokumente und Einstellungen\Username\Anwendungsdaten (XP)
C:\Benutzer\Username\AppData\Roaming (Vista/7/8)

Registryveränderungen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{PzNtC70Z-ovWJ-yczk-WaFb-fs5SkWVcM3h2}]
4rJHeEXlxs54kFa = %AppData%\gw45u45111.exe” /ActiveX
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
4rJHeEXlxs54kFa = %AppData%\gw45u45111.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
1400 = 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
1400 = 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
1400 = 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDesktop = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
DisableRegistryTools = 0x00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
%AppData%\gw45u45111.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
%AppData%\gw45u45111.exe
%AppData%\gw45u45111.exe,%System%\userinit.exe

Hat jemand Erfahrung ob Antivir Free diesen und Ableger blocken kann?

Es müsste sich nach Recherche um eine Version 2.04 handeln oder eine Abart, ...

Hat jemand Erfahrung ob Antivir Free diesen und Ableger blocken kann?Deine Frage hast du dir eigentlich selber beantwortet. Es gibt zu viele Abarten von den ganzen Dingern, so dass kein Virenscanner alle erkennen kann.

Wenn du das Ding noch hast, kannst es mal auf den beiden Seiten hochladen und schauen, wer es erkennt.
http://virusscan.jotti.org/de
https://www.virustotal.com/de/

Protip: USB Autorun ausschalten

http://www.redmondpie.com/how-to-disable-autorun-autoplay-in-windows-7-and-windows-8/

Protip II: Alle Tools, die neue Autostart-Einträge erkennen (und diese am besten aufhalten können), sind gut. Damit kann zwar die Infektion gelingen, bei funktionierendem Brain 1.0 jedoch nicht der Autostart des Virus.

Gibt es außer ZoneAlarm denn nichts, was das kann? Und wenn ja, wäre es nicht an der Zeit, so etwas mal zu programmieren?

Der "Anvir"-Taskmanager kann das auch

Jein. Listen, was autostartet haben viele Programme.

Aber abfragen, ob ein Programm sich in den Autostart eintragen darf (und wenn nein, wird das auch verhindert), das kann IMO nur ZA. Und genau das ist die entscheidende Funktion, weil man bei jeder Änderung des Autostart-Verhaltens abgefragt wird, damit jeden Versuch eines Programms in diese Richtung hin mitbekommt.


Update: Der Startup-Guard von AnVir kann dies auch nicht. Trotz des Names ist die Funktionsweise eine komplett andere: Man kann (bekannte) Programme vom Setzen des Autostart-Eintrags ausschließen. Das verhindert natürlich nicht, das dem Nutzer nicht bekannte Programme dies tun.

ThreatFire (http://www.heise.de/download/threatfire.html)

Also solche Trojaner lassen sich völlig ohne Zusatz-Tools leicht vom Rechner entfernen...

Eigentlich gebe ich solche Tipps ungern preis, aber da ihr mir auch oft geholfen habt:

Es genügt, während des Betriebsystem Starten, die SHIFT-Taste gedrückt zu halten. Damit werden sämtliche Autostart-Programme, also auch der GVU-Trojaner, ignoriert. Rest ist reine Routine (Stichwort autoruns + Profil-/Temp-Ordner durchforsten).

ThreatFire (http://www.heise.de/download/threatfire.html)


Die Beschreibung des Programms ist leider nicht eindeutig genug. Warnt das Programm auch wirklich vor *jedem* neuen Autostart-Eintrag - oder nur nach denen, die es nicht kennt. Im Zweifelsfall sind mir totale Lösungen lieber (die immer warnen), da kann man sich wenigstens auf etwas verlassen.

Jedem. Und jeder Registry-Änderung. Kann ganz schön nerven wenn man beim Start 3 Autoupdater befriedigen muss.

TheatFire hatte ich bis Windows 7 auf dem System. Das stimmt, als ich auf Windows 8 gewechselt war und behauptet wurde der Defender reicht eigentlich, habe ich es nicht mehr installiert. Bin nicht auf einschlägigen Seiten oder Tauschbörsen unterwegs.

Theatfire ist ja sozusagen ein Zusatzprogramm, das ungewöhnliches Dateiverhalten registriert, blockiert und meldet. Bietet auch gute anpassbare Überwachungsmodi. Es hätte helfen können definitiv. Ich werde mir es nochmal ansehen. Gibt es für Windows 8 64bit eine downladbare Version?

Denke mal ich werde mal ein Jahr Kaspersky probieren+Theatfire, früher war ich lange Zeit mit G-Data unterwegs. Kostete nach erstem kostenpflichtigen Installieren 20 Euro für jedes weitere Jahr, war o.k.. Leider wurde G-Data damals immer Resscourcenfressender und verlangsamte das System, daher habe ich es nach Jahren gekündigt.

Die Shifttaste beim starten, hat das System ignoriert, Tastatur steckt über USB am Bord+Funk. Windows 8 startet machmal so schnell, da kommt man noch nicht mal in den abgesicherten Modus (F8). Da muss ich über shutdown.exe /r /o /f /t 00 ausführen gehen, dann klappt es um z.B. in die Reparaturkonsole zu kommen. (hab eine Ultra SSD)

Bisher bleibt ein ungutes Gefühl. Den Tempordner und die Registry habe ich nochmals geprüft und bereinigt. Denke mal ich werde alles platt machen und Windows 8 noch mal neu installieren, hab noch 2 Laptops und drei weitere PC + Homeserver, also Mangel besteht ja nicht.;)

Werde mir mal eine professionelle Lizenz für alle Kisten besorgen, anstatt auf Freeware zusetzen, mal sehen was das so kostet. Schaden kann es ja nicht.

Den eigentlichen Trojanerbefall habe ich über die Kaspersky CD ausmerzen lassen und zugleich alle Laufwerke überprüfen lassen. Die arbeite auf einer Knoppixebene (Bedienung und Design sehen nicht unähnlich aus). Daher ist sie gelöscht, hätte sicherlich auch eine Kopie anlegen können und dem Trojaner-Board oder sonst wem zur Verfügung stellen können, hab ich leider nicht dran gedacht, wollte diesen Schädling nur ausmerzen. Könnte jsicherlich auch eine neuere Version gewesen sein.

Solange der Trojaner auf dem System aktiv ist, kann man nur den Taskmanger starten, mehr sieht man nicht. Da ich sofort die I-Net Verbindung gekappt hatte, erscheint ansonsten ein schwarzer Hintergrund-Bildschirm, sonst sieht man wohl ein Abbild von Frau Merkel, die 100 Euro verlangt.

PS: Bitte den Post #12 löschen, habs mal korrigiert, Akku der Tastatur hat zwischenzeitlich aufgegeben. Danke.

TheatFire ist ab der Version 4.7.0.53 auf Windows 8 nicht lauffähig (obs auch an Kaspersky liegt weiss ich noch nicht). Das System crahst mit einem Bluescreen "Page fault in nonpaged area" wenn man den Suchlauf in TheatFire starten will.

Ich probier mal ob es an pdfports.sys liegen kann. Werde mal Acrobat-Reader neu installieren.

Könnte es auch an Kaspersky liegen?

Protip: USB Autorun ausschalten

http://www.redmondpie.com/how-to-disable-autorun-autoplay-in-windows-7-and-windows-8/
Gute Idee Danke. Hab TheatFire nicht zum laufen bekommen, das crasht unter Windows 8.1 Pro (geupdatet, letztes gestern, Sicherheitsupdate für NET Framework).