GVU - Fake Trojaner

Diskutiere GVU - Fake Trojaner im Win7 - Allgemeines Forum im Bereich Windows 7 Forum; Hi @All, gestern Nacht wollte ich mir wieder mal einen Film anschauen und besuchte deshalb eine der gängigen Videostream - Seiten im Netz. Seit...
jerrymaus

jerrymaus

Threadstarter
Dabei seit
16.08.2005
Beiträge
3.403
Ort
Irgendwo im "Grünem Herzen" Deutschlands
Hi @All,

gestern Nacht wollte ich mir wieder mal einen Film anschauen und besuchte deshalb eine der gängigen Videostream - Seiten im Netz.
Seit einiger Zeit warnt mein AVAST zwar vor genau dieser Seite, doch wie es so ist, ich dachte da eher an einen Fehlalarm.
Bisher habe ich diese Seite immer ohne Probleme nutzen können und mir nie etwas "geholt".
Ich habe also die Warnung ignoriert und den Netzwerkschutz von AVAST für 10 min. auf aus gestellt, kaum hatte dann diese Seite geladen, frezzte mein Rechner kurz und es erschien der Bildschirm des GVU - Fake Trojaners, siehe das Bild im Anhang.

Nun ja, wie immer habe ich nur als eingeschränkter User gearbeitet und hatte deshalb keinerlei administrative Rechte auf dem Userkonto.
Ich machte also den "Affengriff" und versuchte dann den Taskmanager auf zu rufen, dieser startete aber nicht.
Ich wiederholte den "Affengriff" und wählte diesmal die Option "Abmelden" aus. Danach meldete ich mich sofort mit dem Administratorkonto an, startete MalewareByte Anti Malware, aktualisierte es und startete sofort einen vollständigen Scan.
Als dieser lief, startete ich gleichfalls mein AVAST und führte auch hier einen vollständigen Scan aus.
Als diese beiden liefen, ging ich auf mein D:\ - Laufwerk und löschte den Inhalt vom Temp - Verzeichnis und leerte danach sofort den Papierkorb.

Als die Scans abgeschlossen waren versuchte ich den Benutzer zu wechseln, also wieder auf mein "normales Konto" Zugriff zu erhalten.
Leider prangte nach kurzer Zeit wieder der Trojaner auf dem Schirm, weswegen ich sofort wieder die Sitzung schloss und wieder auf den Administrator wechselte. Hier startete ich nochmals AVAST und Malwarebyte, gab aber diesmal ganz explizit die Verzeichnisse "C:\Benutzer, Programme, Programm Files, Dokumente und Einstellungen, Documents and Settings und Programm Data" als Suchparameter ein.
Diesmal erhielt ich dann auch von Malwarebyte die Meldung das in "C:\Benutzer" der "GVU - Fake - Trojaner" gefunden worden war.
Ich wählte die 4 Einträge zum löschen aus und nachdem dies geschehen war startete ich noch den CCleaner und löschte dort alle Cokies, den Cache und alle Temp-Dateien, führte dann noch einen Registry - Scan aus und löschte dort alle Fehler.

Danach fuhr ich den Rechner herunter und startete diesen erst nach ein paar Sekunden neu, meldete mich gleich als Administrator an und startete wiederum Malwarebyte und AVAST mit einem kompletten Scan, bei dem ich aber auch noch die Suchparameter in den Einstellungen von AVAST auf hoch gestellt hatte und zum prüfen ALLE Files angegeben habe.

Heute morgen, der Scan hat ewig gedauert, bekam ich die Meldung das Bedrohungen gefunden wurden, doch das war das Übliche, also nichts was wirklich eine Bedrohung war. Es handelte sich nur um Kennwort geschützte Archive und einige ausführbare Dateien welche zu Administrativen Werkzeugen gehörten, die aber schon immer als bedrohlich eingestuft wurden da sie in der Lage sind bestimmte Änderungen vor zu nehmen.
Da jeder Virus/Trojaner dies auch versucht, stuft die Verhaltensbasierte Such - Engine diese Dateien dann eben als bedrohlich ein.

Lange Rede, kurzer Sinn, nach einem Neustart meldete ich mich an meinem normalem Account an und siehe da, keine "Sperrung" durch den GVU - Fake mehr.

Doch auch keines meiner Bilder, Eigenen Dateien oder der Musik und Videos sind "gesperrt", es läuft alles ganz normal und ich kann alle Dateien öffnen.

Dies zeigt mir wieder einmal wie wichtig es ist mehrere Accounts zu haben und nur mit dem eines "Eingeschränkten Users" zu arbeiten!


PS.: Der Screenshot stammt von dieser Seite, auf der es Tipps zur Entfernung dieser Plage gibt.
 

Anhänge

  • GVU-Fake.jpg
    GVU-Fake.jpg
    117,9 KB · Aufrufe: 228
M

microsoft

Dabei seit
22.01.2007
Beiträge
4.510
Danke für die Information. Ist sehr interessant zu lesen. :up

Auf der Website ist ja mittlerweile ne ganze Sammlung an Beispielen von Screenshots vorhanden.
 
Alfiator

Alfiator

On Air
Dabei seit
27.11.2008
Beiträge
37.660
Alter
55
Ort
Thüringen
Also ich hätte den Rechner mit einer Anti-Viren CD gebootet und von dort scannen lassen.Da sollte nichts unentdeckt bleiben;danach zur Not noch die CD eines anderen Herstellers benutzen....

Und welcher Seite war denn das wo Du Dir das eingefangen hast oder sollte man besser nicht fragen?:cheesy
 
jerrymaus

jerrymaus

Threadstarter
Dabei seit
16.08.2005
Beiträge
3.403
Ort
Irgendwo im "Grünem Herzen" Deutschlands
Also ich hätte den Rechner mit einer Anti-Viren CD gebootet und von dort scannen lassen.Da sollte nichts unentdeckt bleiben;danach zur Not noch die CD eines anderen Herstellers benutzen....

Und welcher Seite war denn das wo Du Dir das eingefangen hast oder sollte man besser nicht fragen?:cheesy

Nö, ist kein Geheimnis,edit.com

Natürlich verlasse ich mich nicht darauf das der Rechner jetzt sauber ist, die Partition mit dem Win7 32 Bit wird gelöscht und neu draufgezogen!
Ich könnte zwar auch eine Sicherung zurückspielen, doch zwischenzeitlich hat sich so viel "Müll" angesammelt, da lohnt es sich mal alles wieder "Blitzblank" neu zu machen! Das Win7 läuft ja immerhin schon seit dem Launch.



gruß



jerrymaus:sing
 
Zuletzt bearbeitet von einem Moderator:
S

Snohomish

Dabei seit
01.09.2012
Beiträge
272
Hi jerrymaus!

So wie ich Dich kenne, bin ich aber schon etwas verwundert. Einerseits auf Sicherheit bedacht, aber Avast deaktivieren auf einer einschlägigen Streamingseite. TsTs...:D

Mit NoScript wäre das zu 100% Prozent nicht passiert. Das ist keine Übertreibung, mit 100% Angaben bin ich immer vorsichtig. Aber ich glaube zu wissen welche Seite Du meinst. Ist seit mehreren Monaten bekannt, daß dort auch Malware verteilt wird. Diese kommt natürlich von anderen Servern. Also NoScript installieren, dann bleibt Dir das Popcorn auch nicht im Halse stecken. ;)

P.S.: Diese Seiten sind doch illegal! :D :closed
 
Alfiator

Alfiator

On Air
Dabei seit
27.11.2008
Beiträge
37.660
Alter
55
Ort
Thüringen
Hi Sno` willkommen daheim....;)

@TE Nutzen diese ominösen eigentlich grundsätzlich nur die üblichen Sicherheitslücken aus oder wie funktioniert das?Bin ich geschützt wenn alles aktuell ist (da gehe ich bei Dir mal davon aus) oder klappt das trotz dem z.B. per Drive by Download?

Und das war doch nicht das erste Mal das Dir so was passiert oder irre ich mich jetzt?:unsure
 
jerrymaus

jerrymaus

Threadstarter
Dabei seit
16.08.2005
Beiträge
3.403
Ort
Irgendwo im "Grünem Herzen" Deutschlands
Hi jerrymaus!

So wie ich Dich kenne, bin ich aber schon etwas verwundert. Einerseits auf Sicherheit bedacht, aber Avast deaktivieren auf einer einschlägigen Streamingseite. TsTs...:D

Mit NoScript wäre das zu 100% Prozent nicht passiert. Das ist keine Übertreibung, mit 100% Angaben bin ich immer vorsichtig. Aber ich glaube zu wissen welche Seite Du meinst. Ist seit mehreren Monaten bekannt, daß dort auch Malware verteilt wird. Diese kommt natürlich von anderen Servern. Also NoScript installieren, dann bleibt Dir das Popcorn auch nicht im Halse stecken. ;)

P.S.: Diese Seiten sind doch illegal! :D :closed

Tja, deshalb ist es ja auch nur mein "Probier - BS" mein 64er geht nie auf solche Seiten und da wird auch nie der Schutz ausgeschaltet!

Ob die Seite nun illegal ist, da streiten sich die Anwälte.:pfeifen

Ich kann NoScript nicht installieren, benutze weder IE noch FF, hab aber NoAdds + im Opera integriert, ist aber auch alles nie 100%.
Wer das weiß und berücksichtigt, der hat Sicherungen und kümmert sich auch sonst um Sicherheit, etwa durch Benutzung von Konten mit nicht administrativem Zugriff!:D

Wer wie ich so viel mit solchem Schei... zu tun hat, dem fällt es ja nun auch nicht schwer so was wieder in den Griff zu kriegen. Wichtig ist die Erkenntnis, sobald es auftritt den Account wechseln und säubern, dann verliert man auch keine Bilder, Dokumente oder Musik.
Sobald man nämlich, wie bei vielen Seiten vorgeschlagen, einen Systemwiederherstellungspunk nutzt um das "Zeug" los zu werden hat man ein Problem, gesperrte und verschlüsselte Bilder, Dokumente und Musik.
Da ist dann erst mal richtig viel Arbeit nötig, die spar ich mir dann doch lieber!:blush


gruß


jerrymaus:sing
 
S

Snohomish

Dabei seit
01.09.2012
Beiträge
272
Hallo Alfi! Danke!

Also erstmal kenne ich die Seite von jerrymaus doch nicht. Hatte mit einer gerechnet, die mal von den Behörden stillgelegt wurde. Diese wurde wenig später unter leicht geändertem Namen (ein zusätzliches x in der url - ich denke, Du weißt, welche gemeint ist) wieder online gestellt, von wem auch immer... Und da waren es Scripte von außen, die Flash- bzw. DivX-Streams waren nicht das Problem. Nur die Scripte. Die Scripte, die man zum Streamen freigeben musste waren zumindest bisher immer sauber. Ich kenne viele Leute die diese eine spezielle Seite nutzen und nach meiner Warnung dies nur mit NoScript tun. Keine Infektionen bisher. Ich bin ja nicht verantwortlich dafür was Leute tun, aber es ist wohl i.O. wenn ich sie auf die Gefahren hinweise und passende Tipps gebe.

Wenn man mal von diesen Seiten im Speziellen absieht ist das hier übrigens für mich eine rein technische Diskussion. Ich denke das sollte kein Problem für die Mods darstellen. :nomatter

@jerrymaus: Ein Testrechner. Schreib das doch gleich, dann hätte ich mir die Verwunderung sparen können. ;)
 
Alfiator

Alfiator

On Air
Dabei seit
27.11.2008
Beiträge
37.660
Alter
55
Ort
Thüringen
Ich habe mal die Seite aufgerufen (mit NoScript :D).Resultat::aah
Hab mich dann aber nicht weiter getraut.....:sing
 

Anhänge

  • Böse.jpg
    Böse.jpg
    74,6 KB · Aufrufe: 208
Zuletzt bearbeitet:
S

Snohomish

Dabei seit
01.09.2012
Beiträge
272
Ist halt eine andere Seite als die von mir mir zunächst vermutete. Daher gut das Du's ausprobiert hast, ich hab hier gerade keinen Testrechner und musste der Versuchung widerstehen diesen Link zu testen. :sing

Aber hey, man kann es blocken. Schalte einfach die Darstellung von Bildern im Browser aus. Ist bei mir ein Klick. :D

Und jetzt aber ernsthaft: jerrymaus - lösche mal besser den Namen der Seite aus Deinem Beitrag #4.
 
Alfiator

Alfiator

On Air
Dabei seit
27.11.2008
Beiträge
37.660
Alter
55
Ort
Thüringen
....lösche mal den Namen der Seite besser aus Deinem Beitrag #4.
Deswegen habe ich den Anhang meines letzte Post`s mal modifiziert.Bin mir allerings nicht sicher,ob das mit dem Namen okay ist,so lange es kein klickbarer Link ist.Aber das entscheiden andere Leute....
 
jerrymaus

jerrymaus

Threadstarter
Dabei seit
16.08.2005
Beiträge
3.403
Ort
Irgendwo im "Grünem Herzen" Deutschlands
O.K., wußte gar nicht das es NoScript nun auch für den Opera gibt. Habs nun aber gleich noch installiert.

Danke

@Alfiator,

genau diese Anzeige hatte ich auch, hab aber dann den Netzwerkschutz für 10 Min. ausgestellt und beim neu laden der Hauptseite ist es dann wohl passiert.

Ist ja nicht weiter tragisch, doch jetzt ist es auf der Seite noch schlimmer geworden, da wird einem doch wieder erzählt daß man keinen Flashplayer hat oder aber ein AdOn davon fehlt und dieses nun genau von dort geladen werden soll!:thumbdown
Na ja, mancher fällt da eben doch noch drauf rein!
Das wars erst mal mit kinokiste, gibt ja noch andere Seiten!




gruß


jerrymaus:sing
 
S

Snohomish

Dabei seit
01.09.2012
Beiträge
272
Mal abgesehen vom rechtlichen Aspekt würde wohl jeder Mod den Namen einer Seite löschen, die im Verdacht steht Malware zu verteilen. Von daher hast Du's schon richtig gemacht. :up Beim nächsten Mal aber bitte sauber mit einem Lineal durchstreichen, wie sieht dat denn aus. :D So ich muss jetzt mal weg, bis später.
 
S

Snohomish

Dabei seit
01.09.2012
Beiträge
272
Wichtig ist die Erkenntnis, sobald es auftritt den Account wechseln und säubern, dann verliert man auch keine Bilder, Dokumente oder Musik.
Sobald man nämlich, wie bei vielen Seiten vorgeschlagen, einen Systemwiederherstellungspunk nutzt um das "Zeug" los zu werden hat man ein Problem, gesperrte und verschlüsselte Bilder, Dokumente und Musik.

Das werde ich mir für die Zukunft merken. Ich hatte das Problem noch nicht, aber in die Falle mit der Systemwiederherstellung wäre ich dann evtl. getappt.
Ich finde diesen Auschnitt kann man stark hervorheben.

Danke auf jeden Fall für die Aufklärung!
 
Thema:

GVU - Fake Trojaner

GVU - Fake Trojaner - Ähnliche Themen

Windows Defender zeigt "Wartung unvollständig" bei Trojaner: Hallo, habe etwas heruntergeladen woraufhin Windows Defender sofort ansprang und die Datei als Malware erkannte. Dort konnte ich dann zwischen ein...
Windows Defender zeigt "Wartung unvollständig" bei Trojaner Win32/Conteban.B!ml an: Hallo, habe etwas heruntergeladen woraufhin Windows Defender sofort ansprang und die Datei als Malware erkannte. Dort konnte ich dann zwischen ein...
Microsoft News App in Windows 10 ruft Trojaner auf: Hi, Beim Starten der News App ist alles i.O. Allerdings nach aufrufen der ersten beliebigen News wird eine Trojanerseite aufgerufen. Das passiert...
Setup.exe von bereitgestellten ISO's nicht ausführbar: Moin, moin. Nach dem ich von der 'normalen' Community hierher verwiesen wurde, weil bei mir 19H2 Build 18362.10019 läuft: Basics: Ich verfüge...
Setup.exe von bereitgestellten ISO's nicht ausführbar: Moin, moin. Basics: Ich verfüge über viele selbsterstellte ISO-Dateien. Meist handelt es sich um abgeschlossene Tutorials, ältere Spiele und...

Sucheingaben

content

Oben