Guten Abend liebes Forum.

Ein guter Freund von mir hat mich mit seinem "Problem" beauftragt. Er hat sich auf seinem Laptop einen Trojaner eingefangen, der ihn erpresst (Rechner gesperrt da er irgendwas gemacht haben soll --> bitte freikaufen) und da er von sowas keine Ahnung hat, hat er ihn kurzerhand mir überreicht

Das Problem ist, dass er vor lauter Panik erstmal das System zurückgesetzt hat und nun der Bildschirm schwarz bleibt. Glücklicherweise kann man im abgesicherten Modus booten und er meint, dass der Virus "GVU" oder so ähnlich hieß.

Wie sollte ich jetzt vorgehen um das Ding zu reinigen?

Ich freue mich auf Eure Antworten

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke aus und starte den Scan.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe
- Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
- Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
- Unter Extra Registry, wähle bitte Use SafeList
- Klicke nun auf Run Scan links oben
- Wenn der Scan beendet wurde werden 2 Logfiles erstellt
- Poste die Logfiles hier in den Thread.

Hallo t'john und schon mal danke für Deine Antwort.

Folgendes:
Ich hatte auf eigene Faust schon versucht einen Scan mit Malwarebytes durchzuführen. Also auf den Stick gezogen, den Laptop im abgesicherten Modus gestartet, den Stick eingesteckt und auf den Arbeitsplatz geklickt. Zack. Fehlermeldung von explorer.EXE. Ich hätte angeblich nicht ausreichend Rechte um solch eine Aktion durchzuführen.
Also dachte ich mir, ich könnte dem Virus anders beikommen und habe mir die Kaspersky Rescue Disk erstellt, eingelegt und einen Vollscann durchgeführt und er hat auch einiges gefunden (Ich versuche das Logfile hochzuladen, allerdings kann ich aus oben genanntem Grund nichts auf meinem USB-Stick speichern). Anschließend habe ich noch den windowsunlocker durchgeführt --> neugestartet und wieder im abgesicherten Modus probiert. Wieder die gleiche Fehlermeldung.

Konkret heißt das, ich müsste erstmal diesen Fehler beheben um die von dir genannten Schritte in die Wege zu leiten. Hättest du vielleicht eine Idee?

mfg Prejudice!


Edit: Als Anhang der Scanbericht von Kaspersky.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Unwichtig.

Scan läuft.

Zitat:

Zitat von t'john

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

So, alles ausgeführt.
Anbei die Dateien.

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\Celina_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\Celina_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local 
FF - prefs.js..browser.startup.homepage: "http://www.arcor.de" 
O3 - HKU\Celina_ON_C\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O7 - HKU\Celina_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O32 - HKLM CDRom: AutoRun - 1 
O33 - MountPoints2\{9886aa1e-b59c-11df-9011-001e330e898c}\Shell - "" = AutoRun 
O33 - MountPoints2\{9886aa1e-b59c-11df-9011-001e330e898c}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a 
O33 - MountPoints2\F\Shell - "" = AutoRun 
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a 
[2012/07/10 17:25:20 | 004,503,728 | ---- | M] () -- C:\ProgramData\0tbpw.pad 
[2012/07/09 07:13:16 | 004,503,728 | ---- | C] () -- C:\ProgramData\0tbpw.pad 
:Files
C:\ProgramData\0tbpw.pad
:Commands
ipconfig /flushdns /c
[emptytemp]
[emptyflash]
[resethosts]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

So. Ich habe es jetzt überprüft.
Bei normalen booten bleibt der Bildschirm schwarz. Angemeldet wird zwar, danach bleibt es aber schwarz, man sieht nur die Maus.
Auch im abgesicherten Modus ändert sich nichts. Ich kann auf den Arbeitsplatz nach wie vor nicht zugreifen (fehlende Rechte angeblich).

Anbei das entstandene Logfile.

Kannst du den Task-Manager starten?
[STRG] + [SHIFT] + [ESC]

Zitat:

Zitat von t'john

Kannst du den Task-Manager starten?
[STRG] + [SHIFT] + [ESC]

Der Task-Manager lässt sich öffnen. Ich habe im normalen Modus versucht über "Neuen Task..." explorer.exe zu starten, hat aber nicht funktioniert

versuche Firefox oder iexplore.exe zu starten.
Dann lädst du combofix nach anleitung, gehst wieder in den taskmanager, neuer task, durchsuchen, navigierst in deinen download ordner und startest combofix.
danach pc neustarten, rechtsklick ansicht, symbole einblenden und log posten.

combofix anleitung:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

So, ich habe alles so gemacht wie du gesagt hast.
Nach dem Scan mit Combofix konnte ich den Desktop mit den ganzen Symbolen auch sehen, das Problem ist allerdings das nach man nach dem Neustart wieder nur die Maus sieht.

Naja im Anhang jedenfalls erstmal das Combofix-Log

Versuche bitte, wie zuvor bei Combofix, OTL.exe laufen zu lassen.

Und hier sind schon die nächsten Logfiles

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKLM\..\SearchScopes,DefaultScope =  {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE -  HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" =  http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}  
IE - HKCU\..\SearchScopes,DefaultScope =  {BF766AD3-D0BA-4CFD-AB52-A059A7C74DCD} 
IE -  HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" =  http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC  
IE - HKCU\..\SearchScopes\{BF766AD3-D0BA-4CFD-AB52-A059A7C74DCD}: "URL" =  http://www.google.de/search?q={searchTerms} 
IE -  HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable"  = 0 
FF - prefs.js..browser.startup.homepage: "" 
O4 - Startup:  C:\Users\Celina\AppData\Roaming\Microsoft\Windows\Start  Menu\Programs\Startup\ubisoft register.lnk = File not found 
O6 -  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0  
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer:  NoDrives = 0 
O32 - HKLM CDRom: AutoRun - 1 
[2012.06.24 18:20:16 |  000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla  firefox\components\browsercomps.dll 
[2012.06.24 18:20:13 | 000,001,392 |  ---- | M] () -- C:\Program Files\mozilla  firefox\searchplugins\amazondotcom-de.xml 
[2012.06.24 18:20:13 | 000,002,252  | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml  
[2012.06.24 18:20:13 | 000,001,153 | ---- | M] () -- C:\Program  Files\mozilla firefox\searchplugins\eBay-de.xml 
[2012.06.24 18:20:13 |  000,006,805 | ---- | M] () -- C:\Program Files\mozilla  firefox\searchplugins\leo_ende_de.xml 
[2012.06.24 18:20:13 | 000,001,178 |  ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml  
[2012.06.24 18:20:13 | 000,001,105 | ---- | M] () -- C:\Program  Files\mozilla firefox\searchplugins\yahoo-de.xml 
:Files
C:\Program  Files\mozilla firefox\searchplugins\amazondotcom-de.xml
C:\Program  Files\mozilla firefox\searchplugins\bing.xml
C:\Program Files\mozilla  firefox\searchplugins\eBay-de.xml
C:\Program Files\mozilla  firefox\searchplugins\leo_ende_de.xml
C:\Program Files\mozilla  firefox\searchplugins\wikipedia-de.xml
C:\Program Files\mozilla  firefox\searchplugins\yahoo-de.xml
ipconfig /flushdns  /c
:Commands
[purity]  [emptytemp]
[emptyflash]
[resethosts]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

danach bitte:

http://www.trojaner-board.de/72874-s...eparieren.html