GVU Trojaner "entfernt" - Brauche zweite Meinung

[Phoenixz]

Hallo,

mir ist etwas passiert, was ich niemals für möglich gehalten habe! Ich habe mir diesen dummen GVU/Bundespolizei Trojaner eingefangen (oder wie man ihn sonst nennt). Ich bin wirklich jemand der SEHR Vorsichtig ist bis hin zu paranoid. Trotzdem hat das nichts geholfen, gestern beim Anschauen eines Trailers!!!! habe ich diesen Virus bekommen (ich habe also keine fragwürdigen exe-Dateien ausgeführt oder auf fragwürdigen Seiten gesurft). Für mich ganz klar eine Sicherheitslücke in Firefox oder Flash. Aber darum soll es hier nicht gehen (Zu diesem virus gibts schon genug Thread ). Da ich mich eigentlich sehr gut auskenne, konnte ich den Virus auch relativ schnell wieder entfernen und so Windows wieder „normal“ Starten.

Nachfolgend ein paar Informationen, was ich alles bisher gemacht habe:

- Die Version die ich hatte, hatte glücklicherweise keine Dateien verschlüsselt, sondern lediglich in dem autostart-Ordner eine Verknüpfung mit Namen "ctfmon" zu einer Datei "fest0r_ot.exe" abgelegt.
Daraufhin habe ich folgende Dateien gelöscht:
Die Datei "ctfmon.lnk" aus dem Autostart-Order
Die Datei "C:\Users\Daniel\AppData\Local\Temp\fest0r_ot.exe"
Die Datei "C:\ProgramData\to_r0tsef.pad" //Soll laut Foreneinträgen auch zum Virus gehören.

- Ich habe mir auf Ratschlag des Botfrei-Forums das Programm OTL runtergeladen und ein, von dem Admin für mich erstelltes Script ausgeführt (siehe Thread http://forum.botfrei.de/showthread.php?4666-Gvu-2-07). Auch wenn ich hier sicher übermäßig Paranoid bin, kann mir jemand bestätigen, dass das OTL Script, dass mir der Admin gegeben hat bedenkenlos auszuführen ist (wobei ich es sowieso schon getan habe, aber soweit ich das beurteilen kann, wird da nichts schlimmes getrieben, wobei mir OTL völlig neu ist).

- Anschließend habe ich mein komplettes System mit Avira scannen lassen (Die Version des GVU Trojaners war gestern noch so neu, dass diese erst durch das heutige Virendefinitions-Update hinzugefügt wurde). Der Scan ergab dass mein komplettes System Virenfrei ist.

- Weiter im Programm, auf Ratschlag vieler Foren habe ich mir das Tool Malwarebytes Anti-Malware installiert und ebenfalls durchlaufen lassen. Auch hier kurz und knapp: Grünes Licht.

So… und warum erzähle ich das ganze jetzt hier? Ich überlege ob ich nicht trotzdem formatieren sollte? Würdet ihr formatieren? Das System war eigentlich „perfekt“ eingerichtet und wirklich sehr gepflegt. Die neuinstallation würde definitiv über einen Tag in Anspruch nehmen, wenn ich alles wieder so einrichten will, wie ich es brauche. Sicherlich kann mir hier KEINER sagen, ob der Virus zu 100% weg ist, doch ein paar Meinungen würden mich schon helfen.
Insb. spricht für mich auch noch das Argument dafür, dass er weg ist: Warum sollte jemand einen „unsichtbaren“ Virus in einem sichtbaren Virus tarnen? Wenn es sich eigentlich im einen keylogger oder ähnlich handelt wäre es doch viel sinnvoller den gleich versteckt laufen zu lassen um möglichst viele Informationen zu sammeln.

Danke für eure Meinungen,
Daniel

 

[danny38448]

hab letztes auch bundespolizei trojaner entfernen müssen..wollte es erst mit dem tipp ausm web probieren..gelang aber nicht..also hab ich festplatte neu formatiert und system neu aufgespielt..somit weiss man wenigstens das nix mehr drauf ist vom trojaner

das script lief bei mir nicht..deshalb komplett plattgemacht

 

[KamehamehaX10]

[...]Sicherlich kann mir hier KEINER sagen, ob der Virus zu 100% weg ist,[...]

Damit hast du dir die Frage doch schon selbst beantwortet. Plattmachen!
http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

 

[Nero80]

Völliger quatsch hier. Einfach im abgesicherten Modus booten, dann SUPERAntiSpyware installieren einen Fullscann durchführen, Autostart nach auffälligen Sachen checken und TEMP Ordner löschen weg ist er.
Und anschließen Kaspersky installieren und nie wieder ärger mit so nem schrott haben.

Avira kann man inne Tonne kloppen. Punkt fertig aus.

 

[danny38448]

es gibt verschiedene version von dem programm..ich konnte net im abgesicherten modus booten..sonst hätte ich es so gemacht wie es im netzt stand...also erzähl nix das das käse ist..

 

[Nero80]

dann platte raus und an einem anderen rechner den scann durchführen, ansonsten mit einer Live Disk (Linux oder Windows) booten und den TEMP Ordner löschen ggf. mal in die Registry gucken.

Ansonsten kann ich dir noch dieses Forum hier empfehlen: LINK

Da wissen die Leute auch von was sie sprechen.

 

[danny38448]

hatte nicht die zeit und die nerven die platte auszubauen..hatte an dem tag schon 3 rechner neu installiert

 

[ForenFan]

Lesen und beachten: http://www.iron-city.de/index.php/seuchen/247-bka-trojaner

Bedauerlicherweise kursieren im Netz diverse verantwortungslose Tipps zur raschen Entsperrung und vermeintlichen Entfernung des Schädlings, der sich in dutzenden Einträgen der Registrierdatenbank verewigt bzw. das System tiefgreifend manipuliert. Derartige Tipps behandeln jedoch nur die Symptome. Wie oben erwähnt, wird weitere Malware nachgeladen. Da niemand mit Bestimmtheit sagen kann, welche das im konkreten Einzelfall ist und was diese zusätzlich am System ändert oder ausspioniert, muss von einer kompletten Kompromittierung ausgegangen werden und das bedeutet unweigerlich das Neuaufsetzen des Systems

 

[Pitt_G.]

Avira kann man inne Tonne kloppen. Punkt fertig aus.

Sag das mal meinem Nachbarn, der auf Stiftung Warentest verweist.

Bei mir hatte weder MS Security Essentials noch Norton 360 was entdeckt, Avira hat bei Ihm aber auch nix verhindert...

 

[KamehamehaX10]

Völliger quatsch hier.

Das sind die Argumente von jemandem, der Ahnung hat.

(In diesem Posting hat der Autor etwas Sarkasmus versteckt. Aufmerksame Leser wissen wo.)

 

[Nero80]

Bei mir hatte weder MS Security Essentials noch Norton 360 was entdeckt, Avira hat bei Ihm aber auch nix verhindert...

Sind meiner Meinung nach auch alles "schlechte Programme" noch nie gute Erfahrungen damit gemacht. Unsere Kunden, so kann ich es nur sagen sind froh und glücklich wenn sie Kaspersky drauf haben, da kam noch nie einer zu uns von wegen hö ich habe nen Virus. Man muss sie nur davon überzeugen bzw. zur Vernunft bringen.

Man muss sich nur mal die Frage stellen warum gibt es kostenlose und kostenpflichtige Virenscanner ?

Avira, Mc Affe, Norton360, MS Essentials und wie sie nicht alle heißen. G-Data, Kaspersky das sind auch Programme die auch im Business-bereich eingesetzt werden, warum nur? weil sie Geld kosten?

Aber das ist schon wieder Offtopic, wie gesagt Platte raus scannen oder halt neu installieren dann hat man seine Ruhe und nicht zu vergessen einen Gutes Antiviren Programm zu installieren oder die Airwall, Brain.exe zu aktiveren.

Es gibt tausend Guides im Internet wie man sich vor solchen Sachen schützen kann.

 

[Phoenixz]

Ok, danke für die Meinungen, sie zeigen meine Befürchtungen. Sehr schade, wäre das drei Monate später passiert würde es mich nicht so stark stören, da ich mir sowieso Windows 8 installieren wollte (MSDNAA Mitgliedschaft dank Uni). D.h. jetzt aber Rechner platt machen, alles für drei Monate neu aufsetzten und dann auf ein neues . Ich nehme irgendwie an, dass der bereits erhätlich Release Candidate nicht auf die Final Version upgreadbar ist (auch wenn das gerade etwas Off-Topic ist).

@Brain.exe: Ich kann nur nochmal sagen, das ich von mir selbst behaupten würde mich sehr gut auszukennen und ein eigenverschulden war hier absolut nicht gegen.
@Kaspersky: Die Mutter von einem Freund von mit hatte auch Kaspersky und trotzdem den Virus bekommen.

 

[KamehamehaX10]

@Brain.exe: Ich kann nur nochmal sagen, das ich von mir selbst behaupten würde mich sehr gut auszukennen und ein eigenverschulden war hier absolut nicht gegen.

Ja, genau das ist das Problem. "Ich habe ja nichts falsch gemacht und deswegen ändere ich nichts an meinem Benutzungsverhalten". Java nicht geupdated zu haben und Java und Javascript auch noch standardmäßig im Browser für alle Seiten aktiviert zu haben, ist Eigenverschulden genug. Also entsprechende Plugins installieren, auf Updates überprüfen und daraus lernen.

@Kaspersky: Die Mutter von einem Freund von mit hatte auch Kaspersky und trotzdem den Virus bekommen.

Ja, lass dich am besten gar nicht auf diese Virenschutzdiskussion ein. Im Grunde genommen geben die sich alle nicht viel und nachher hast du noch "Fachinformatiker für Systemintegration", die behaupten, bezahlte Produkte seien allgemein besser, schon alleine, weil man Geld dafür ausgibt.
Wichtig ist, dass du einen hast um evtl. Geschichten abzufangen (wobei das auch ziemlich selten ist) und vorallem um zeitgerecht über eine Infektion informiert zu werden, damit du Bescheid weißt und plattmachen kannst. Also auf jeden Fall kostenlos und resourcensparend, und nicht irgendeine Abolizenz-Kacke, bei der man mit Meldungen zubombardiert wird und schon an Scareware grenzt.

 

[Phoenixz]

Zum Thema Eigenverschulden: Zum Teil hast du durchaus Recht! Aber trotzdem stellt sich die Frage in welchen Grad man sich dann noch frei im Netz bewegen kann. Mir sind durchaus Addons wie NoScript bekannt, die mir aber zu "lästig" sind. Auf was ich hinauswill (und das ist wirklich KEINE erfundene Gesichte!!!!!), ich kenne jemanden, der surft im Internet nur über eine Virtuelle Maschine. Willst du nun sagen, dass wenn jemanden sich ein Virus einfängt, der z.B. NoScript und Co installiert hat, aber nicht in einer virtuellen Maschine surft selber schuld ist?
Damit will ich weniger eine Diskussion starten über das Verhalten wie man browsen sollte oder nicht, sondern verdeutlichen das das alles eher fließende Übergänge sind und eher eine Frage des Paranoidheits-Grades ist.
Als Eigenverschulden sehe ich Dinger wie auf irgendwelchen Warez-Seiten gehen und dann ominöse exe-Dateien runterladen oder auf Werbebanner drücken, die einem sagen das man Software XY Updaten muss oder ein Virus hat.

Aber im Prinzip tut das alles auch nichts zur Sache. Das gute dabei ist, eins habe ich dabei trotzdem gelert. Absofort wird täglich ein Systemabbild gemacht, dann kan sowas nicht passieren, auch wenn ich mir dfür extra eine neue Festplatte kaufen muss (Das macht ein Freund von mir und er meinte zu mir auch, irgendwann wirst du dir wünschen das auch gemacht zu haben: Recht hatte er!)

 

[KamehamehaX10]

[...]Mir sind durchaus Addons wie NoScript bekannt, die mir aber zu "lästig" sind.[...]

Da haben wir doch das Problem. Du weißt Bescheid und bezeichnest es trotzdem als "lästig".
Und das soll kein Eigenverschulden sein?

 

[Phoenixz]

Gegenfrage, du kennst Virtuelle Maschinen? Surfst du nur in virtuellen Maschinen, wenn nein, ist das ja nach dieser Logik eigenverschulden!

 

[Nero80]

@KamehamehaX10 ich hab hier gar nichts behauptet, sondern nur meine Erfahrung geteilt.
Ich möchte hier auch keinen angreifen oder niedermachen.

Bei der man mit Meldungen zubombardiert wird und schon an Scareware grenzt.

Avira zählt hier aber leider zu....

Im Grunde genommen fährt man am besten wenn man sich eine VM mit bsp. Linux aufsetzt und damit im Internet surft.

Aber auch hier kann man sich sicher Viren einfangen.

Gerade im Business-bereich nimmt man nicht allzu oft kostenlose Lösungen.

Das ist alles Geldmacherei und Abzocke mit solchen Programmen.

 

[KamehamehaX10]

[..]Avira zählt hier aber leider zu....[...]

Ich habe auch an keiner Stelle Avira gutgeheißen.

Gegenfrage, du kennst Virtuelle Maschinen? Surfst du nur in virtuellen Maschinen, wenn nein, ist das ja nach dieser Logik eigenverschulden!

Ich glaube du hast das Ganze noch nicht richtig verstanden. Nach deiner Moral müsste man ja einfach überall das Kabel ziehen.
Es gibt ja durchaus Software, die eine Internetverbindung brauchen und dennoch nicht in VMs laufen sollen (Spiele zum Beispiel).
Eigenverschulden ist einfach grobe Fahrlässigkeit und vorallem eigentliches Bewusstsein mit kombinierter Faulheit (so wie deine Aussage vorhin es wunderbar zeigt).
Und wer nicht damit rechnet, dass sensible Daten zu sichern sind (damit man eigentlich nichts zu verlieren hat), gehört nochmal in eine ganz andere Betragskategorie innerhalb der oberen.

 

[Phoenixz]

Verstehe ich nicht! Ich wollte nur darauf hinaus, das es verschiedene Grade des Schutzes gibt. In den meisten Fällen könnte man auch eine Beziheung zwischen Sicherheitsgrad und Aufwand herleiten (ja, das ist sehr vereinfacht ausgedrückt).
Und ich wollte zum Ausdruck bringen, dass auf einer Achse wo links z.B. [sehr unsicher & kein Aufwand], und rechts [sehr sicher & großer Aufwand] ist du ein Eingenverschulden voraussetzt, wenn man NoScript nicht verwendet (was sehr weit rechts anzusiedeln ist). Eine andere Person könnte aber genau so gut sagen, ein Eigenverschulden ist es, wenn man nicht in einer virtuellen Maschine surft (was noch weiter rechts anzusiedeln wäre). siehe z.B. Posting von Nero80 (was sicher nur ein Beispiel war)

Im Grunde genommen fährt man am besten wenn man sich eine VM mit bsp. Linux aufsetzt und damit im Internet surft.

Aders formuliert, warum ist gerade ab diesen von dir gewählten Punkt Eigenverschulden und nicht doch ab dem Punkt virtuelle Maschine.
Ich habe lediglich sagen wollen, dass diese Wahl sehr subjektiv ist und dass das jeder für sich machen muss. Aber "Eigenverschulden" hat für mich was mit grober Fahrlässigkeit zu tun, was in diesem Fall einfach nicht gegebn ist. Und da ich mit diesem System Jahrelang auch gut gefahren bin werde ich auch sicher nichts ändern, außer ein tägliches Systemabbild zu machen. Wobei ich auch hierbei niemals sagen würde, es sei Fahrlässig das nicht zu tun oder mit Eigenverschulden verbunden.

Aber jetzt unterhalte ich mich schon über völlig unwichtige Dinge, statt direkt mit dem formatieren zu beginnen ^^.

 

[emlyn d.]

kann mir jemand bestätigen, dass das OTL Script, dass mir der Typ da gegeben hat bedenkenlos auszuführen ist

ja, wobei allerdings das

:Commands
[PURITY]

bei deinem system unsinn ist, da weit und breit kein anzeichen dieser alten infektion zu erkennen ist.

aber mal generell:
du suchst in einem forum hilfe und bezeichnest den helfer als "der Typ da"...
naja...