Der Fall „GVU-Virus“
Heute hatte ich einen Windows 7-Rechner, der mit dem “GVU-Virus” infiziert war. Man kennt diese Schad-Familie ja mittlerweile – ein abschreckender Hinweis erscheint, dass man irgendwas verbotenes getan haben soll und einen Betrag von xx bezahlen muss, um den Rechner wieder freizuschalten.
Ein Virenscanner (Avira) mit aktuellen Signatur-Updates war auf der Kiste installiert – wieder mal der Beweis, dass der beste Virenscanner immer noch brain.exe heißt 😉
Ich habe mich bewusst nicht vorab über die Beseitigung des Virus erkundigt (es gibt ja schon genug Anleitungen zu dem Thema) – dann wär’s ja keine Herausforderung mehr 😉
Nach dem Hochfahren des Rechners erschien direkt das “Begrüßungsfenster” des Schädlings:
Der Rechner ist in diesem Zustand quasi nicht verwendbar – alle Programme die man öffnen möchte wie z.B. den Task-Manager, werden unverzüglich wieder geschlossen.
Also fuhr ich den Rechner erstmal herunter und ersetzte die Datei Utilman.exe gegen die CMD.exe (siehe Beschreibung hier). Damit können wir uns Zugriff auf eine CMD verschaffen, die mit Systemrechten läuft – auch während der Schädling aktiv ist.
Außerdem kopierte ich mir gleich den “Process Explorer” und “Autoruns” von Sysinternals nach C:\Temp des infizierten Rechners.
Nun wurde der Rechner wieder hoch gefahren, natürlich begrüßte mich sofort wieder der “GVU”-Bildschirm. Mit Strg+Alt+Entf und einem Klick auf das Icon für die erleichterte Bedienung konnte ich nun die CMD öffnen – mit Systemrechten:
Aus der CMD heraus startete ich den Process Explorer (der ja nun ebenfalls mit Systemrechte läuft):
Nach etwas Stöberei in den Prozessen fiel mir dann dieser hier auf:
Also mal autoruns.exe gestartet… und siehe da: Das sieht wirklich sehr verdächtig aus.
Der Schädling hat sich also hinter der “rundll32.exe” versteckt und wurde mit jeder Anmeldung automatisch gestartet. Dieser Prozess ist dazu da, Code in DLL-Dateien auszuführen.
Nach dem Entfernen dieses Eintrags startete der Rechner wieder wie gewohnt.
Jetzt scannte ich den Rechner noch mit der BitDefender Rescue CD durch, dieser meldete auch gleich einige Funde – natürlich unter anderem die in der Registry angegebene Datei „2rfov.dat“.
Vorsichtshalber führte ich aber noch Scans mit zwei weiteren Virenscannern durch – AVG wurde z.B. gleich nochmal fündig.