Habe gestern einen Rechner eines Kunden erhalten mit dem "GVU-Trojaner" an Board.

Eigentlich kein Ding, habe schon dutzende befreit davon.
Der Unterschied war nun das es sich um eine neue Variante des GVU Trojaners handelte welcher sich mit keiner der bewährten Methoden oder Tools entfernen lies.
Er saß nicht direkt in den Bootsektoren oder der Autostartregistry, sonder irgendwo dahinter.
Letzendlich half dann die DE-Cleaner Rettungssystem CD

Tja gestern kurz vor Mittag erwischte mich erstmalig auch ein sog. GVU oder wie ich es nenne Sperrtrojaner als ich 5 oder 6 FF Fenster offen hatte, in einem der fenster etwas klicken wollte(es waren keine Schmuddelseiten)und von der AVG Firewall ein Abfragefenster aufpoppte mit einer Java Anwendung. Ich klickte zu vorschnell auf zulassen ohne mir die Details der Java Anwendung anzuschauen und ehe ich mich versah, war kurz nur mein leeres Desktopbild zu sehen und danach das Fenster des Trojaners das mir sehr ähnlich wenn nicht genauso aussah wie das das Fenster das fenriz gepopstet hat. Klar war ich in dem Moment erschrocken, resetete aber sofort meinen PC, probierte aus ob ich den im Abgesicherten Modus starten könne und nahm dann den Abgesicherten Modus mit Netzwwerktreibern, aktualisierte dann sofort Malwarebytes Free(genau genommen war es PCShield Free der "Klon" von Malwrebytes), trennte dann sofort die Internetverbindung, löschte im Systemstart einen mir suspekt erscheinenden Systemstart Eintrag und liess einen Voll-Scan mit Malwarebytes alias PCShield laufen der dann auch 3 Infektionen fand die ich löschen liess. Mir war das aber nicht genug und ich sicherte mir 2 für mich wichtige Ordner(Simbin und Foxmail mit den E-Mail Konten)und ich spielte im Anschluß via Paragon Boot/Rettungs CD das letzte Systembackup der Partition C vom 26.12.2012 ein. Als das erledigt war, überprüfte ich um auf Nummer sicher zu gehen mit dem dann installiertem AVG Free, Malwarebytes Free und zum Schluß mit Avast Free das ich später statt AVG Free installiert hatte, mein komplettes System mit allen 3 Partitionen per Voll Scans und keiner der 3 Suchläufe fand dann noch etwas von irgendwelchen Infektionen.

:-) Was war noch an eher angeblich proaktiv schützender Software aktiv und schwieg?
Wenn es nur die Firewallkomponente ist die sich meldet ist es zwar eh zu spät, weil da i.d.R. das meiste schon durch ist. Aber es zeigt auch gut, dass man mit Nachfragefenstern auch umgehen können sollte. Sandboxie und alles wäre gut.

Die Sperrtrojaner haben immer noch Konjunktur und Variantenreichtum, aber in letzter Zeit treten wenigstens kaum noch die Verschlüsselungsvarianten auf und es ist somit mit einem kurzen Schrecken getan.

SLE, zu dem Zeitpunkt war AVG IS und Zemana AntiLogger installiert. Ich habe noch extra(vielleicht war es ein Fehler)nach der Installation von AVG IS die Firewall in den interaktiven Modus geschaltet damit Abfragen an mich kommen. Zu 100% bin ich jetzt nicht sicher ob es ein fenster der Firewall war, aber die Meldefenster des AVG Wächters und IDP schauen definitiv anders aus als das Fenster das sich einblendete und das eingeblendete Abfragefenster sah aus wie davor auch schon andere solcher Fenster die von der Firewall kamen. Ich denke, mein Fehler war der das ich nicht auf die Option ging "Mehr Details sehen/anzeigen",. vielleicht hätten dann die Alarmglocken bei mir geklingelt und es hätte keine Infektion stattgefunden. Ich weiß es nicht. Mein Bekannter PC Fachmann hier im Ort bestätigte mir am gestrigen Abend am Telefon dann auch das es von mir richtig war ein Systembackup einzuspielen und er meinte auch eine Bereinigung mit Malwarebytes würde bei vielen Sperrtrojanern wie ich die nenne, nicht alles von den Infektionen eines solchen Trojaners löschen, es könnten noch Reste verbleiben. Worin ich mir aber sicher bin ist, das es meiner Meinung nach wichtig ist, sich regelmäßig Backups/Images zumindest der Systempartition C zu erstellen oder alternativ auch der gesamten Festplatte wenn man noch andere Partitionen hat.

Wer weiß, vielleicht ist der Sperrtrojaner der bei dem Bekannten von fenriz und bei mir aufgetreten ist, eine neue Variante. Zu deinem 2. Teil des Satzes: ich glaube das es eher nicht ein kurzer Schreck ist für Leute die mit so einer Trojanervariante in Berührung kommen und die keine Sicherung ihres Systems in Form eines Backups/Images zur Hand haben. Zuerst mal müssen die dann sehen ob Sie den Trojaner mit diversen Scannern wieder vom System bekommen und dann bleibt danach die Ungewissheit/das Unbehagen im Hinterkopf: "ist mein System jetzt auch wirklich wieder sauber und sicher?" Zudem dauern die Bereinigungsversuche mit diversen Scannern auch ne ganz Weile(ein paar Stunden sind da schnell um).

Also wieder ein Stück Malware, welches die Grenzen der Signaturerkennung aufzeigt? Wenn man jetzt wüsste, wie sich Norton und Co verhalten hätten. Nach meine letzte Test aus dem “verseuchte Websites“ Threat bin ich nun verwirrter als vorher...

olli, sei froh wenn bei dir so ein Sperrtrojaner ungewollt nicht in Aktion tritt bzw versucht in Aktion zu treten.

Und blieb stumm...taugt halt nix.


Zumindest so aktuell bzw. per modifiziertem Dropper, dass es per Signatur nicht erkannt wurde (nicht ungewöhnlich!) und man mal live sehen konnte wie gut die proaktiven Komponenten anschlagen.


Es ist hier aber im Gegensatz zu den Verschlüsselungstrojanern möglich die eigenen Daten zu retten. Und das ist das eigentlich entscheidende - der Rest ist ersetzbar. Und wer wirklich am PC arbeitet der hat auch mit einem 1 Tage alte Image sc schnell einen gehörigen Verlust.

Das bestreite ich ja nicht SLE, aber wenn ich ein Systembackup einspiele, sind auch Eigene Daten(und noch mehr)unter Eigene Dateien zumindest wieder zu dem Zeitpunkt da, als das Systembackup erstellt wurde. Was stimmt ist das was du schreibst von Leuten die jeden Tag den PC zum Beispiel beruflich brauchen.

Stellt sich evtl. die Frage: wie hätten Proaktive Schutzmechanismen anderer Hersteller auf die genannte Sperrtrojaner Variante reagieren können oder nicht? wäre es anderen Proaktiven Komponenten anderer Hersteller zu dem Zeitpunkt möglich gewesen den Trojaner zu stoppen oder nicht? das wissen wir nicht.

Und wer könnte belegen, das zum Beispiel Kaspersky, BitDefender oder meinetwegen Mamutu usw. nicht stumm geblieben wären und den Sperrtrojaner in dieser Variante hätten stoppen können?

Naja, sehe es mal so: Wo von Anfang an nichts da ist, wird auch nie etwas sein. Darüber hinaus gibt es genügend Tests (von Organisationen und auch User), die den Markt relativ transparent betrachten lassen. Man muss heute keine Programme mehr einsetzen, von denen man nicht weiß, was sie bieten. Und setze ich Programme ein, die proaktiv so gut wie nichts mitbringen, dann werde ich in solchen Situationen immer alt aussehen. Natürlich sind viele andere Programme in der Lage so etwas zu stoppen. Man muss sie nur nutzen

Möchtest du jetzt wieder die Neverending Diskussion fortsetzen in der es darum geht, Avast, AVG und Zemana AntiLogger sowie ein paar andere Schutz Programme taugen nichts bzw sind nicht so gut wie andere wie zum Beispiel EAM, Mamutu usw Ginge es nach deiner Aussage Schattenfang, dann hätte ich zum Beispiel doch mir schon viel früher als gestern einen Sperrtrojaner oder Ähnliches einfangen und alt aussehen müssen mit Avast, AVG usw weil die ja nicht so gut sind wie andere genannte Programme und deren proaktiven Schutzmodule

Sehe ich genauso, weil auch BB/HIPS ausgetrickst werden können oder man/frau falsche Entscheidungen trifft.
Und Signaturen schon beim Update veraltet sind.

Die Argumentation wandelt. Früher war es immer "noch nie..." nun ist es "erst jetzt". Du hast doch damals durch einen Test nachgewiesen, dass bei dir Comodo mit deinen Settings nicht reagierte, nun das gleiche für Zemana. (btw.: an diesem Programm bekommst du die meisten dieser Ransoms vorbei. Schicke dir gern Samples zum Testen - aber dann nur für Zemana).

Sei doch froh, dass es so glimpflich ablief und nutze die Chance dich mal auf ein Schutzkonzept festzulegen, es zu verstehen und dich mal mit innovativeren Ansätzen wie z.B. Sandboxen (hierbei Sandboxie und nicht die Schummellösungen mancher Anbieter) zu beschäftigen. Besser als das permanente Gewechsele.


Nö. Das wofür sie geschrieben sind erkennen sie. Das sie neueres i.d.R. nicht erkennen liegt in der Logik der Sache.

Willst du jetzt absichtlich etwas verdrehen SLE bis gestern schrieb ich zu recht hier und in anderen Foren das ich mir(bis gestern)noch nicht ungewolltSperrtrojaner, Ransomsoftware usw auf meinem System eingefangen hatte. Gestern erwischte mich dann ungewollt ein Sperrtrojaner, so weit gut und schön(oder auch nicht)aber meine Argumentation wandelt nicht so wie du es mir unterstellen willst weil meine bis gestrige Argumentation stimmte und seit gestern bzw heute nicht mehr. Jetzt, ab heute bzw seit gestern um genau zu sein kann ich nicht mehr "behaupten" das ich mir noch nicht ungewollt Sperrtrojaner, Ransomsoftware usw eingefangen hätte.

Wenn Dein Sicherheitskonzept primär auf der Einspielung alter Images beruht habe ich da überhaupt nichts gegen. Ist auch ein Konzept. Es gibt aber Leute, die dieses Konzept nicht gut finden und lieber Technologien einsetzen, die eine höhere Chance haben solche Infektion von Vornherein zu verhindern.

Das regelmäßige Erstellen von Systembackups gehört bei mir dazu Schattenfang. Nicht mehr und nicht weniger und glaub mir es gibt sehr viele User im Netz die meilenweit davon entfernt sind wie die User in den Foren wie diesem, um ihr Windows gegen Malwarebefall abzusichern. Da gibt es mehr als genug die sich weder um die Aktualität ihrer Systeme kümmern und um Virenschutz Programme egal welcher Art einen Bogen machen getreu dem Motto: "mir passiert ja nichts"

Hab ich irgendwo geschrieben das ich es nicht gut finde wenn andere Leute(speziell hier bei Rokop)Strategien wie Sandboxie, bessere Proaktive Schutz Programme usw verwenden als ich und die andere Strategien bevorzugen?

@Sebastian
der "Fehler" den Uwe mit Comodo gemacht hat war, Comodo im Spielmodus zu testen (Spielmodus = Trainigs-Modus)
und zu Zemana nur soviel, das es auch nicht die vordergründige Aufgabe von Zemana als Keylogger-Schutzlösung ist.

Ja. Man suchte sich damals die Nische "Anti-Logger" - nur gab es die nie wirklich.

Andere Lösungen erkennen eben auch sämtliches Keyloggerverhalten (auch welches was Zemana nicht erkennt) aber eben noch mehr. Auf der ersten Blick kann der Hersteller Zemana da mit seinen albernen signierten Testtools zwar noch Laien veralbern, aber man hat natürlich erkannt aus der Nische raus zu müssen um zu überleben. Also versucht man schon längere Zeit mehr in Richtung Hips zu gehen, wo man aber in keiner Linie mithalten kann. Ähnliches gilt für Spyshelter - auch wenn die besser waren als Zemana. Spyshelter ist schon fast tot, aber auch Zemana wird meiner Einschätzung nach innerhalb der nächsten Jahre vom Markt verschwinden, zumindest in der bisherigen Form.

Wer das Tool jetzt noch nutzt macht das doch nur, weil es free ist bzw. die erweiterte Version ständig verschenkt wird bzw. auch weil es eben ruhiger ist als zuverlässigere, etablierte Lösungen. Was ich nicht überwache kann ich natürlich auch nicht melden. Uwe hat ein Real-world Szenario gehabt, mit dem realen Einfallsvektor Browser, und gesehen, wo Zemana nicht greift. Der beste Testcase den man haben kann. In den anderen Punktem (Userfehler bei der Bedienung, Nichtverstehen der eingesetzten Software deshalb Fehlkonfiguration) ist er ja eh etwas beratungsresistent.

@Uwe: Hast du die Malwarebyteslogs noch - bzw. war eine Erkennung mit dem Namen Exploit.Drop.G bzw. Exploit.Drop.GS dabei?

Sebastian, mehr als das: kann ich dir jetzt nicht mehr nicht anbieten, das postete ich gestern in Matzes Forum.

Na so schlimm bin ich nun auch wieder nicht Sebastian. Okay ich benutze noch keine richtige Sandboxie, aber ich hatte zum Beispiel claudia gegenüber ein offenes Ohr was die Einstellungen für Comodo FW Defense+ betraf und setzte die auch um. Kannst ja claudia fragen. Und ob das nun so schlimm ist wenn ich auf Avast oder AVG setze und nicht auf meinetwegen EAM oder Mamutu, das ist doch Ansichtssache und sollte jedem weitestgehend selbst überlassen bleiben welche Schutzsoftware er einsetzt oder?

Reicht, alles klar.
OT: Ist diese rebrandete MWB Version eigentlich auf dem gleichen Stand wie das Original (1.7)

Nein das war noch version 1.65.1.1000, die hinken wohl etwas hinterher.

Mir immer schleierhaft, wieso man bei sowas (sofern gleich teuer, bzw. beide gratis) nicht das Original nutzt, wo Neuerungen i.d.R. eher einfließen.

Was sagt dir bzw uns das aus das Exploit.Drop.G bzw. Exploit.Drop.GS dabei waren? Kannst du das näher erklären?

Die Frage muß ich dir aber jetzt nicht wirklich beantworten oder ist bei mir genauso wie bei........na du weisst schon Mein Gott Sebastian, es gibt halt User wie mich, Steinlaus und noch ein paar mehr, die gerne mal hin und her hüpfen bei den Virenschutz Programmen.

ja, und erfolg gleich null.

.. he he bleib mal locker Chica.
Alleine schon wegen den Tunten-Farben würde ich das Tool nicht nutzen.. ich bleibe da beim Originalen!


Habe mir um auf Nummer sicher zu gehen mal HitmanPro Kickstart USB flash drive erstellt.

he he du Laus ich bin locker und meinte deinen Nick nicht in Verbindung nicht mit Malwarebytes, wohl aber mit anderen Virensvhutz Programmen die du gerne auch mal wechselst.

Gerade den Artikel in KurtW's Forum gesehen: http://www.heise.de/security/meldung/Gefae...on-1780850.html vielleicht begünstigte diese Sicherheitslücke gestern bei mir den erfolgreichen Angriff des Sperrtrojaners

Brauchst du Java?


Ich erkenne durch die Signaturbenennung von MWB die Variante. Seit Mitte Dezember im Umlauf.

Danke für die Erklärung SLE

zur info: so etwas wie einen "gvu-trojaner" gibt es nicht!. klick

So flexibel, mächtig und zukunftsfähig (Dank Android) Java auch ist - mich überrascht dessen hoher Verbreitungsgrad unter Windows immer wieder. Selbst die üblichen Verdächtigen OOo und LO kommen im Prinzip auch ohne Java RE aus. Auch das Browser-Plugin wird so gut wie gar nicht benötigt (mir fällt eigentlich nur die Druckfunktion von DHL als Einsatzzweck ein).
Na ja, muss jeder selbst entscheiden.

(@simracer)
Als Alternative zum hin und her Hüpfen:

- wenn schon XP, dann nur mit Benutzerrechten surfen. Ist zwar kein Heilmittel mehr, aber besser als gar nichts. Noch besser: aktuelles OS verwenden. Linux-Distribution, Mac, Win 8 - Du hast die freie Auswahl.

- Java deinstallieren

- eine Kombination aus NoScript+RequestPolicy. Effektiver geht es IMHO gar nicht.

Zur Java-Lücke: heise ist da ja mal wieder sehr oberflächlich. Vertical oder horizontal privilege escalation, was genau nutzt die denn aus?

Zur Namensgebung „GVU-Trojaner“ - nicht nur „GVU“ ist hier fehl am Platz, auch der inflationär benutzte Begriff „Trojaner“ ist im Grunde irreführend und falsch. Schließlich waren die Bewohner von Troja laut Ilias nicht die Täter, sondern die Opfer. Das Trojanische Pferd wurde von den Griechen erschaffen, welche in Homer´s Ilias als „Danaer“ bezeichnet wurden. Folglich müsste es eigentlich Danaer oder Danaergeschenk heißen.
(bitte nicht als Klugschei*erei werten, ich mag solche Ungenauigkeiten einfach nicht!)

nur ist es gar nicht so leicht Java vollständig wieder vom Rechner zu bekommen, wenn es einmal installiert war.

Nutze selber XP-Prof. und Win 8 kämme selbst geschenkt nicht auf meinem Rechner, sonst gebe ich dir in allen Punkten recht.

Wenn du der Meinung bist, mir sagen zu wollen was ich für ein System wie zu verwenden haben sollte und mir diesbezüglich gut gemeinte Vorschläge unterbreiten möchtest, dann registrier ich das aber mehr auch nicht. Wenn du glaubst ich würde mich nicht um mein System genügend kümmern und das wäre nicht mehr zeitgemäß, dann gehe mal im realen Leben in eine PC-Werkstatt/Laden und frag dort nach was für PC's die infiziert sind, dort abgegeben werden und dann komm mal zu mir und vergleiche das mit dem System vor Ort das ich hier benutze. Ich kenne 2 Leute persönlich die im realen Leben(für Foren hätten die gar keine Zeit und auch kein Interesse)je einen PC-Laden bzw PC Service vor Ort bei Geschätfs und Privatkunden betreuen und beide bestätigten mir unabhängig voneinander das ich ihrer Meinung nach sehr viel dafür tue unsere PC's mit XP gut gegen Malware abzusichern.
Edit: oder frag mal hier in Rokop zum Beispiel claudia, welch "gepflegte" Windows PC's Sie schon vorfand als Sie von Bekannten gerufen wurde und denen helfen sollte bei Malwarebefall.

nur ist es gar nicht so leicht Java vollständig wieder vom Rechner zu bekommen, wenn es einmal installiert war.

Nutze selber XP-Prof. und Win 8 kämme selbst geschenkt nicht auf meinem Rechner, sonst gebe ich dir in allen Punkten recht.

Edit
Uwe sehe das du noch mitliest
(genau das meinte ich auch mit Grundkonzept ist wichtiger als AV xyz)

claudia ich poche gar nicht mal darauf ob bei Virenschutz nun Produkt A besser ist als B. Wenn ich aber zu leichtsinnig wäre und mein Grundkonzept nicht stimmen würde, dann hätte ich mich in den letzten Jahren in denen ich in Foren unterwegs bin nicht erst gestern bzw vorgestern mit so einem heftigen Trojaner wie einem Sperrtrojaner ungewollt infizieren müssen, sondern das hätte dann schon eher bei mir passieren müssen oder meinst du nicht?

Ich kenne Dich nicht, daher beurteile ich das völlig neutral und halte mich an die Fakten. Und Fakt ist: Du hast Dir trotz Deiner Sicherheitsvorkehrungen Ransomware eingefangen. Selbst wenn Du die Firewall-Meldung aufmerksamer gelesen hättest und den Zugriff blockiert hättest - die Malware war zu diesem Zeitpunkt schon auf dem System und hätte sich auch über einen anderen Prozess Internet-Zugriff verschaffen können.

Und der Hinweis mit Windows 8 war lediglich ein Versuch Dir zu sagen, dass das neue MS-OS Schutzfunktionen beinhaltet, die es u.a. Exploits deutlich schwerer machen. Unter Linux könnten Java-Exploits zwar auch funktionieren, allerdings eher in der Theorie als in der Praxis, denn sie müssten sowohl an Linux selbst als auch dessen (standardmäßig nicht installierten) OpenJDK angepasst werden (Oracle hat den Support der Java-Version für Linux vor einiger Zeit eingestellt).

Insofern... war nur ein gut gemeinter Rat, zumal Win 8 gerade sehr günstig zu erwerben ist.
Und Dein Argument mit dem ONV, der sein System noch schlechter absichert, sollte hier eigentlich nicht gelten, da ich davon ausgehe, dass sich Mitglieder dieses Forums doch etwas besser auskennen...



[OT]Den Satz höre ich leider ziemlich oft. Wieso eigentlich? Was stört euch denn genau an Win 8? Etwa ModernUI/Metro? Das ist lediglich eine Art erweitertes Startmenü, mehr nicht... Die meisten Änderungen haben unter der Haube stattgefunden.[/OT]

du müsstest mich doch kennen - das einmal einmal zuviel ist nach meiner Philosophie

Überdenken was man verbessern kann, wäre ja nicht verkehrt und ob du dann bereit bis,
es umzusetzen bleibt natürlich dir überlassen.

lustig, im selben Artikel weiter unten nennt man die Malware dann selbst GVU Trojaner.

"Wie kann der Rechner wieder entsperrt werden?
Der GVU-Tr ojaner ist in zahlreichen Variationen im Umlauf."

Also bitte keine Wortglauberei wegen diverser Bezeichnungen jeder wei was gemeint ist.

Dann bist Du aber nicht nur neu bei Rokop - Herzlich Willkommen - sondern neu im www
Mich stört an Windows 8 wenig, aber Windows 8 stört sich an meiner Hardware.
Wenn ich Windows 8 so installiere, wie M$ das will, dann sind alle meine Bildschirme nicht tauglich. Klar, ohne Kachelklickibunti funktioniert es...

Zu Java: Start > Systemsteuerung > Java > Sicherheit > da den Haken bei Java-Content im Browser aktivieren entfernen und den Browser neu starten. Sollte genügen, außer halt im IE. Den legt man derzeit am besten an die Kette.

J4U

Danke für den Tipp. Bedeutet das dann, wenn ich mit FF auf eine Webseite komme die Java benötigt das die dann nicht richtig dargestellt wird?

Probiere es halt aus: Klick
Je nach Browser (Opera) sollte man auch folgenden Satz inkl. Link auf der Testseite beachten: Überspringen Sie die Installation der aktuellen Version, und testen Sie die derzeit installierte Java-Version
Das Ergebnis sollte in etwa so:

Klicken um den Anhang anzusehen

aussehen.

Okay Danke für die Erklärung ich hab das vorhin mal deaktiviert so wie du es beschrieben hast und werde dann ja in nächster Zeit mit dem FF sehen ob ich Java überhaupt vermissen würde.

Nein und kaum eine Webseite benötigt Java. Es ist nur ein weitverbreiteter Trugschluss Java mit JavaScript (das unterstützt jeder Browser) zu verwechseln.
Selbst die DHL wie von Tiqui Taca aufgeführt, sollte mittlerweile ohne Java auskommen. Einzig ein paar veraltete Browsergames benötigen noch Java ansonsten gibt es für 98% aller Heimanwender keinen Grund überhaupt Java zu installieren.

Natürlich gibt es auch Software, die Java benötigt - aber das meldet diese a.) und b.) installieren die meisten dieser Programme ihre eigene JRE im Programmordner (oft wird eben eine ganz bestimmte Version benötigt) und ballern nicht den Browser mit so einem Mist zu.

Das sollte hier ja bekannt sein. Ich störe mich immer mehr am Wort DEN als an einer Bezeichnung die der leichteren Beschreibung dient. Zuoft kommen dann nämlich nichtssagende Hilfevorschläge ala
- Programm X erkennt DEN BKA-/GEMA/U-Cash Trojaner
- so entfernt man DEN BKA-/GEMA/U-Cash Trojaner

@fenriz
Der Unterschied war nun das es sich um eine neue Variante des GVU Trojaners handelte welcher sich mit keiner der bewährten Methoden oder Tools entfernen
lies.
Er saß nicht direkt in den Bootsektoren oder der Autostartregistry, sonder irgendwo dahinter.
Letzendlich half dann die ...
was meinst du mit "dahinter"
es gibt eig momentan keine neuen Variannten von GVU ransom ware, gibt halt momentan ein neues Bild, das anzeigt, dass der Provider den PC gesperrt haben.
gestartet wird über ne lnk, oder je nach variannte auch ne exe im autostart.
im mbr saßen die Ransomware samples, die hier in de verbreitet werden, noch nie.
da jetzt im blackhole pack, welches ja hauptsächlich zur verbreitung genutzt wird, ein neuer java 0day eingefügt wurde, ist mit steigenen Infektionen zu rechnen.
deine logs währen interessant gewesen

@sle, zu deinem letzten Post, da gebe ich dir recht, zumal man auf seiten wie Chip.de auch lesen kann, nutzt einfach die SWH und gut ist, man lässt aber vollkommen außer acht, dass auch evtl. mehr Malware ins system gedroppt wurde, solche Tipps nerfen mich persönlich auch ziemlich

Die SWH habe ich schon lange auf meinem System für alle 3 Partitionen deaktiviert(bei XP Home geht das auch nicht anders)seit ich Backups mache und es vorher immer wieder mal zu Problemen mit der SWH kam und ein Systemwiederherstellungspunkt nicht richtig oder gar nicht wiederhergestellt wurde. Das nervte dann immer so "schön" wenn dort stand die Systemwiedeherstellung sei fehlgeschlagen oder es konnten/wurden keine Änderungen am System vorgenommen werden.

Oder so:
Klicken um den Anhang anzusehen

Passiert oft, wenn man bei den komischen AV's vor der SWH den Selbstschutz nicht deaktiviert.

Und dann so:
Klicken um den Anhang anzusehen

Kann auch passieren. Bei XP war es meistens so, dass 1 Punkt nahezu immer funktionierte und je weiter man zurückging, um so geringer war die Wahrscheinlichkeit, ein lauffähiges System zu erhalten.

OK, bevor wir ins OT abdriften...

Stell dir mal vor es passierte auch schon mal mit deaktiviertem Selbstschutz oder wenn ein anderes AV als die wie du es nennst komischen AV's installiert war oder gar keines