Hallo

Hab mir heute den gvu trojaner eingefangen und brauche hilfe beim entfernen. Habe bereits otl.txt und extra.txt mit otl erstellen lassen.

danke für eure hilfe

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
MOD - C:\Users\Lutz\AppData\Local\Temp\kptufvtqtdyevqli.exe () 
DRV - (Null) -- C:\Windows\SysWow64\NULL () 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=109958&tt=2912_5&babsrc=HP_ss&mntrId=204c3cc0000000000000742f68a91168 
IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} 
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=109958&tt=2912_5&babsrc=SP_ss&mntrId=204c3cc0000000000000742f68a91168 
IE - HKCU\..\SearchScopes\{A97BA80A-4798-4098-B4A2-CDAEBD2C6934}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MDNE_enDE393 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) 
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) 
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated) 
O3 - HKCU\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) 
O4 - HKLM..\Run: [] File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1 
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1 
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0-windows-i586.cab (Reg Error: Key error.) 
O32 - HKLM CDRom: AutoRun - 1 
O33 - MountPoints2\{7d7ec34c-1d0f-11e1-843b-806e6f6e6963}\Shell - "" = AutoRun 
O33 - MountPoints2\{7d7ec34c-1d0f-11e1-843b-806e6f6e6963}\Shell\AutoRun\command - "" = E:\SETUP.EXE 


[2012.07.17 23:22:28 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Local\Babylon 
[2012.07.17 23:22:27 | 000,000,000 | ---D | C] -- C:\Users\admin\AppData\Roaming\Babylon 
[2012.07.17 23:22:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon 
[2012.07.17 23:22:53 | 000,000,826 | ---- | M] () -- C:\Users\Public\Desktop\CCleaner.lnk 
[2012.07.17 23:22:53 | 000,000,826 | ---- | C] () -- C:\Users\Public\Desktop\CCleaner.lnk 
[2012.07.17 23:22:27 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\Babylon 
[2012.07.18 00:33:40 | 004,503,728 | ---- | M] () -- C:\ProgramData\ilqveydtqtvfutpk.pad 
[2012.07.18 00:33:28 | 004,503,728 | ---- | C] () -- C:\ProgramData\ilqveydtqtvfutpk.pad 

:Files
C:\Users\Lutz\AppData\Local\Temp\kptufvtqtdyevqli.exe

C:\ProgramData\ilqveydtqtvfutpk.pad

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo

Ihr könnt den beitrag als gelöst makieren hab es selber hin bekommen. Hatte mir die otl logs noch mal genauer angesehen die verdächtigen datein gelöchst.

C:/ProgramData/Protexis/kgygavl.sys (wird erst neu erstellt daher vermutung vom mir gehört zum trojaner)
C:/ProgramData/ilqveydtqtvfutpk.pad (wird erst neu erstellt daher vermutung vom mir gehört zum trojaner)
C:/user/******/AppData/Local/temp/kptufvtgtdyevdli.exe (der eigentliche trojaner wurde auch nicht con kaspersky erkannt)
C:/user/******/ApptData/Roming/Microsoft/windows/Start Menu/Programme/Startup/ctfmon.ing ( bei einem genueren untersuche der Datei kamm ein verweis auf die datei kptufvtgtdyevdli.exe)

fals ihr die datein zur genaueren analyse haben wollt schickt ein mail oder pm dann stele ich sie aus dem image wieder her.

MFG

Fuehre den Fix aus.
Mit dem Loeschen der Dateien alleine ist es nicht getan!

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.