Hallo liebes Trojaner-Board Team,

Ich hab mir gestern den GVU Virus eingefangen. Als ich mich infiziert hab ist die webcam angegangen


Ich hab den Computer im abgesicherten Modus gestartet - der AntiVIr virenscan hat natürlich nichts gefunden - und

dann habe ich in der msconfig den mir komisch vorkommenden Eintrag
ctfmon Hersteller:Unbekannt Befehl:C:\System32\rundll32.exe Ort: C:\User\*\AppData\Local\Temp deaktiviert.

Der Computer ließ sich nun im normalen Modus ohne GVU-wir-wollen-ihr-geld-meldung starten.
Ich habe den C:\Users\*\AppData\Local\Temp Ordnerinhalt gelöscht.

In der msconfig lag die ctfon nun unter C:\user\
*\Aoodata\Roaming\Mircrosoft\Windows\Start Menu\Programs\Startup
Im ordner konnte ich die entsprechende Datei jedoch nicht finden (versteckte Datein werden angezeigt)

Ich glaube der Virus ist bestimmt noch da ...aufjedenfall fühl ich mich so ;D
MalewareBytes Anti-Maleware hat bis jetzt jedoch auch noch nichts gefunden.

Ich hab jetzt mal mit dem Defogger
Oldtimer die Datein aus der Schritt für Schritt anleitung erstellt und als Anhang in die Zip gepackt...
Hoffe ihr könnte damit was anfangen ... und Danke für eure Hilfe

... ich hoffe ich habe es in den richtigen thread gepostet

wenn du dir selbst antwortest, kann es sein das du länger auf ne antwort warten musst, denn das thema ist nicht mehr als unbeantwortet gekennzeichnet
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel
wenn fertig, bitte melden

Danke für den Hinweis! und die Antwort

Hab die Zip hochgeladen

hi
danke

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ich habe Combofix wie in der Anleitung gedownloaded und Ausgeführt.

Ein Blauer Bildschirm erscheint auf dem so was steht wie
"Combofix" wird gestartet.

Paar Sekunden Später kommt die Fehlermeldung, dass der Wiederherstellungspunkt nicht erstellt werden kann....


Ich weiß den genauen Wortlaut leider nicht, weil ich den Computer neu starten musste um wieder ins internet gelangen zu können.

versuche es bitte noch mal, und notiere dier die fehler.
bzw schaue ob du auch ohne konsole weiter machen kannst

Beim 2. mal hat es ohne probleme funktioniert!! )

also hier die Log. datei! und danke ^^

hi
lade den CCleaner standard:
CCleaner Download - CCleaner 3.20.1750
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Düdüm! hier ist die liste

AntiVir hat gerade einen Fund gemeldet... hab den report angehängt...

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Dell : alle unnötigen
Google
Java(TM) 6 Update 27
McAfee : entweder avira oder McAfee , teile mir bitte mit welches du behältst. 2 programme können schwierigkeiten machen.
Nero
Skype Toolbars
SyncUP
Windows Live : alle die du nicht nutzt

öffne ccleaner, analysieren CCleaner starten.
öffne otl, cleanup, pc startet neu, testen wie das system läuft