Hallo!
Nun habe ich es auch. Der GVU-Bildschirm versperrt mein ganzes Display obwohl ich schon versucht habe im abgesicherten Modus zu starten,mit Kaspersky Windows Unlocker und der Kaspersky Notfall-CD. Wobei ich irgendwie glaube,dass diese nicht mal erkannt wurden oder ich bin zu blöde dafür....
Ich habe Windows XP und mal so gar keine Ahnung von dem ganzen Scheiss
Da hat mir das Christkind ja ein schönes Geschenk gemacht^^

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.
• Nur Scanns durchführen zu denen Du aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen!

Gelesen und verstanden?

Scan und Unlock mit SREP

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
  ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Drücke nun auf Scan.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

Hallo ryder!
Vielen Dank für deine Antwort!! Und das so schnell,wo doch Weihnachten vor der Tür steht...
Zu deinen "Regeln",verstanden habe ich die,aber ich will nichts falsch machen.Was sind logfiles ( wie mache ich die) und wie mache ich das im crosstag posten?
Ich habe echt null Ahnung
Ich werde mich später mit deiner ersten Anleitung versuchen, dazu brauche ich Ruhe und die habe ich gerade noch nicht.

Das Logfile macht unser Werkzeug und posten geht so:

Zitat:

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hallo ryder,
folgendes sagt die shelldatei:
WIN_XP X86 Service Pack 3
Running from D:\

HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
helpsvc.exe
srep.exe


HKLM\..\Run [RTHDCPL] = RTHDCPL.EXE
HKLM\..\Run [Alcmtr] = ALCMTR.EXE
HKLM\..\Run [avgnt] = "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\..\Run [Adobe ARM] = "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\..\Run [SunJavaUpdateSched] = "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

HKCU\..\Run [ctfmon.exe] = C:\WINXP\system32\ctfmon.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-20_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-1220945662-884357618-682003330-1003\..\Winlogon; Shell =
HKU\S-1-5-21-1220945662-884357618-682003330-1003_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-21-1220945662-884357618-682003330-1003\..\Run [ctfmon.exe] = C:\WINXP\system32\ctfmon.exe

==== FINISH 23.12-22.35 ====

der pc hat wie du geschrieben hast neu gestartet, jedoch kam direkt wieder die gvu-meldung....

es gibt ja noch mehr Buchstaben soweit ich weiß ... D G H ... bis Z!

Dann probieren wir das nochmal anders:

Batch-Datei im abgesicherten Modus mit Eingabeaufforderung ausführen

1. Batch-Datei erzeugen
   Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.
   
   Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
   
   Code: Alles auswählenAufklappen

   ATTFilter

   @echo off
   set log=%0\..\look.txt
   echo ---start--- > %log%
   dir /a c:\windows\*.exe >> %log%
   dir /a "%appdata%\*.*" >> %log%
   dir /a "%allusersprofile%\*.*" >> %log%
   dir /a "%PROGRAMFILES%\*.*" >> %log%
   dir /a "%PROGRAMFILES(X86)%\*.*" >> %log%
   dir /a "%HOMEPATH%\*.*" >> %log%
   dir /a "%USERPROFILE%" >> %log%
   dir /a /s c:\infocard.exe
   dir /a /s c:\dsg*.*
   dir /a /s c:\wgsd*.*
   dir /a /s c:\lsass.exe
   dir /a /s c:\runctf.lnk
   dir /a /s "%homepath%\*.lnk"
   echo ---end--- >> %log%
            

   • Wähle Datei --> Speichern unter
   • Dateiname: look.bat
   • Dateityp: Wähle Alle Dateien (*.*)
   • Speichere die Datei auf deinem USB-Stick aber nicht in einem Unterordner.
   
   
2. Neustart
   Boote deinen infizierten Rechner und schliesse dein präparierten USB-Stick an, drücke dabei F8 und starte in den abgesicherten Modus mit Eingabeaufforderung
   
3. Laufwerksbuchstaben finden
   Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
   
4. Batch ausführen
   Wenn du deinen USB-Stick gefunden hast, dann gib ein look.bat (Enter) und warte evtl. einige Zeit bis der Befehl abgearbeitet wird.
   
5. Ergebnis posten
   Es wird eine look.txt auf deinem Stick erzeugt, poste mir bitte diese Datei (CODE-Tags mit #-Symbol).

Hm ich hab da nen Fehler gemacht, benutze bitte diesen Text:

Code: Alles auswählenAufklappen

ATTFilter

@echo off
set log=%0\..\look.txt
echo ---start--- > %log%
dir /a c:\windows\*.exe >> %log%
dir /a "%appdata%\*.*" >> %log%
dir /a "%allusersprofile%\*.*" >> %log%
dir /a "%PROGRAMFILES%\*.*" >> %log%
dir /a "%PROGRAMFILES(X86)%\*.*" >> %log%
dir /a "%HOMEPATH%\*.*" >> %log%
dir /a "%USERPROFILE%" >> %log%
dir /a /s c:\infocard.exe >> %log%
dir /a /s c:\dsg*.* >> %log%
dir /a /s c:\wgsd*.* >> %log%
dir /a /s c:\lsass.exe >> %log%
dir /a /s c:\runctf.lnk >> %log%
dir /a /s "%homepath%\*.lnk" >> %log%
echo ---end--- >> %log%
         

Code: Alles auswählenAufklappen

ATTFilter

---start--- 
 Datentr„ger in Laufwerk C: ist Platte
 Volumeseriennummer: 54AB-79EE

 Verzeichnis von C:\Dokumente und Einstellungen\Lisa\Anwendungsdaten

11.12.2012  21:08    <DIR>          .
11.12.2012  21:08    <DIR>          ..
27.09.2012  12:47    <DIR>          Adobe
18.07.2012  12:06    <DIR>          Avira
08.11.2012  00:22    <DIR>          Canneverbe Limited
02.07.2012  18:06                62 desktop.ini
11.12.2012  21:14    <DIR>          dvdcss
02.07.2012  17:27    <DIR>          Identities
18.07.2012  12:19    <DIR>          InstallShield
18.07.2012  11:54    <DIR>          Macromedia
03.09.2012  20:00    <DIR>          Microsoft
18.07.2012  14:53    <DIR>          Mozilla
28.08.2012  21:52    <DIR>          OpenOffice.org
18.07.2012  12:12    <DIR>          Oracle
03.09.2012  19:59    <DIR>          Samsung
18.07.2012  12:10    <DIR>          Sun
11.12.2012  22:17    <DIR>          vlc
               1 Datei(en)             62 Bytes
              16 Verzeichnis(se),     34.213.888 Bytes frei
 Datentr„ger in Laufwerk C: ist Platte
 Volumeseriennummer: 54AB-79EE

 Verzeichnis von C:\Dokumente und Einstellungen\All Users

02.07.2012  17:13    <DIR>          .
02.07.2012  17:13    <DIR>          ..
23.12.2012  22:37    <DIR>          Anwendungsdaten
08.11.2012  00:22    <DIR>          Desktop
02.07.2012  17:12    <DIR>          Dokumente
18.07.2012  12:20    <DIR>          DRM
02.07.2012  18:06    <DIR>          Favoriten
02.07.2012  17:17    <DIR>          Startmen�
18.07.2012  14:42    <DIR>          Vorlagen
               0 Datei(en)              0 Bytes
               9 Verzeichnis(se),     34.213.888 Bytes frei
 Datentr„ger in Laufwerk C: ist Platte
 Volumeseriennummer: 54AB-79EE

 Verzeichnis von C:\Programme

08.11.2012  00:22    <DIR>          .
08.11.2012  00:22    <DIR>          ..
27.09.2012  12:47    <DIR>          Adobe
18.07.2012  12:05    <DIR>          Avira
18.07.2012  11:42    <DIR>          CCleaner
08.11.2012  00:22    <DIR>          CDBurnerXP
02.07.2012  17:11    <DIR>          ComPlus Applications
27.09.2012  12:47    <DIR>          Gemeinsame Dateien
21.12.2012  20:07    <DIR>          Google
13.12.2012  23:12    <DIR>          Internet Explorer
18.07.2012  12:11    <DIR>          Java
28.08.2012  22:04    <DIR>          MarkAny
25.09.2012  11:15    <DIR>          Messenger
02.07.2012  17:15    <DIR>          microsoft frontpage
18.07.2012  11:40    <DIR>          Movie Maker
04.11.2012  11:53    <DIR>          Mozilla Firefox
18.07.2012  12:40    <DIR>          MSBuild
02.07.2012  17:10    <DIR>          MSN
02.07.2012  17:11    <DIR>          MSN Gaming Zone
02.07.2012  17:12    <DIR>          NetMeeting
18.07.2012  14:29    <DIR>          NVIDIA Corporation
02.07.2012  17:11    <DIR>          Online Services
02.07.2012  17:13    <DIR>          Online-Dienste
18.07.2012  14:41    <DIR>          OpenOffice.org 3
18.07.2012  12:12    <DIR>          Oracle
18.07.2012  11:39    <DIR>          Outlook Express
18.07.2012  12:40    <DIR>          Reference Assemblies
28.08.2012  22:07    <DIR>          Samsung
02.07.2012  17:27    <DIR>          Uninstall Information
18.07.2012  12:05    <DIR>          VideoLAN
25.09.2012  11:15    <DIR>          Windows Media Connect 2
18.07.2012  12:03    <DIR>          Windows Media Player
02.07.2012  17:11    <DIR>          Windows NT
02.07.2012  17:13    <DIR>          WindowsUpdate
02.07.2012  17:15    <DIR>          xerox
               0 Datei(en)              0 Bytes
              35 Verzeichnis(se),     34.213.888 Bytes frei
 Datentr„ger in Laufwerk D: ist INTENSO
 Volumeseriennummer: A7BF-8965

 Verzeichnis von D:\

25.12.2012  21:46               543 look.bat
25.12.2012  21:47             3.647 look.txt
               2 Datei(en)          4.190 Bytes
               0 Verzeichnis(se),  3.984.556.032 Bytes frei
 Datentr„ger in Laufwerk C: ist Platte
 Volumeseriennummer: 54AB-79EE

 Verzeichnis von C:\Dokumente und Einstellungen\Lisa

23.12.2012  22:38    <DIR>          .
23.12.2012  22:38    <DIR>          ..
11.12.2012  21:08    <DIR>          Anwendungsdaten
23.12.2012  22:38    <DIR>          Cookies
22.10.2012  16:02    <DIR>          Desktop
02.07.2012  18:06    <DIR>          Druckumgebung
08.11.2012  00:24    <DIR>          Eigene Dateien
02.07.2012  17:28    <DIR>          Favoriten
18.07.2012  11:24    <DIR>          IECompatCache
02.07.2012  17:14    <DIR>          IETldCache
21.08.2012  22:35    <DIR>          Lokale Einstellungen
02.07.2012  18:06    <DIR>          Netzwerkumgebung
23.12.2012  22:41         3.407.872 NTUSER.DAT
25.12.2012  21:47            45.056 NTUSER.DAT.LOG
23.12.2012  22:38               190 ntuser.ini
18.07.2012  11:23    <DIR>          PrivacIE
21.12.2012  14:27    <DIR>          Recent
02.07.2012  17:27    <DIR>          SendTo
02.07.2012  18:06    <DIR>          Startmen�
02.07.2012  17:10    <DIR>          Vorlagen
21.12.2012  21:32           212.480 wgsdgsdgdsgsd.exe
               4 Datei(en)      3.665.598 Bytes
              17 Verzeichnis(se),     34.213.888 Bytes frei
 Datentr„ger in Laufwerk C: ist Platte
 Volumeseriennummer: 54AB-79EE

 Verzeichnis von c:\WINXP\Microsoft.NET\Framework\v3.0\Windows Communication Foundation

29.07.2008  18:24           881.664 infocard.exe
               1 Datei(en)        881.664 Bytes

     Anzahl der angezeigten Dateien:
               1 Datei(en)        881.664 Bytes
               0 Verzeichnis(se),     34.213.888 Bytes frei
 Datentr„ger in Laufwerk C: ist Platte
 Volumeseriennummer: 54AB-79EE

 Verzeichnis von c:\Dokumente und Einstellungen\All Users\Anwendungsdaten

21.12.2012  22:24             2.911 dsgsdgdsgdsgw.js
23.12.2012  22:37        95.023.320 dsgsdgdsgdsgw.pad
               2 Datei(en)     95.026.231 Bytes

     Anzahl der angezeigten Dateien:
               2 Datei(en)     95.026.231 Bytes
               0 Verzeichnis(se),     34.213.888 Bytes frei
 Datentr„ger in Laufwerk C: ist Platte
 Volumeseriennummer: 54AB-79EE

 Verzeichnis von c:\Dokumente und Einstellungen\Lisa

21.12.2012  21:32           212.480 wgsdgsdgdsgsd.exe
               1 Datei(en)        212.480 Bytes

 Verzeichnis von c:\WINXP\Prefetch

16.11.2012  23:21            11.956 WGSDGSDGDSGSD.EXE-184AFC42.pf
               1 Datei(en)         11.956 Bytes

     Anzahl der angezeigten Dateien:
               2 Datei(en)        224.436 Bytes
               0 Verzeichnis(se),     34.213.888 Bytes frei
 Datentr„ger in Laufwerk C: ist Platte
 Volumeseriennummer: 54AB-79EE

 Verzeichnis von c:\WINXP\system32

14.04.2008  10:00            13.312 lsass.exe
               1 Datei(en)         13.312 Bytes

 Verzeichnis von c:\WINXP\system32\dllcache

14.04.2008  10:00            13.312 lsass.exe
               1 Datei(en)         13.312 Bytes

     Anzahl der angezeigten Dateien:
               2 Datei(en)         26.624 Bytes
               0 Verzeichnis(se),     34.213.888 Bytes frei
 Datentr„ger in Laufwerk C: ist Platte
 Volumeseriennummer: 54AB-79EE

 Verzeichnis von c:\Dokumente und Einstellungen\Administrator\Startmen�\Programme\Autostart

21.12.2012  21:40               774 runctf.lnk
               1 Datei(en)            774 Bytes

 Verzeichnis von c:\Dokumente und Einstellungen\Administrator.BIE\Startmen�\Programme\Autostart

21.12.2012  21:41               774 runctf.lnk
               1 Datei(en)            774 Bytes

 Verzeichnis von c:\Dokumente und Einstellungen\Administrator.BIE.001\Startmen�\Programme\Autostart

21.12.2012  22:24               774 runctf.lnk
               1 Datei(en)            774 Bytes

 Verzeichnis von c:\Dokumente und Einstellungen\Maike\Startmen�\Programme\Autostart

21.12.2012  21:32               774 runctf.lnk
               1 Datei(en)            774 Bytes

     Anzahl der angezeigten Dateien:
               4 Datei(en)          3.096 Bytes
               0 Verzeichnis(se),     34.213.888 Bytes frei
---end---
         

Ok next one

Code: Alles auswählenAufklappen

ATTFilter

@echo off
set log=%0\..\look.txt
echo ---start--- > %log%
del /f /a "C:\Dokumente und Einstellungen\Lisa\wgsdgsdgdsgsd.exe" >> %log%
del /f /a "c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsg*.*" >> %log%
del /f /a /s "c:\Dokumente und Einstellungen\Administrator\runctf.lnk" >> %log%
del /f /a "" >> %log%
del /f /a "" >> %log%
echo ---end--- >> %log%
         

Berichte ob du wieder booten kannst. Dann räumen wir auf.

Code: Alles auswählenAufklappen

ATTFilter

---start--- 
Datei wurde gel”scht - c:\Dokumente und Einstellungen\Administrator\Startmen�\Programme\Autostart\runctf.lnk
M”chten Sie "D:\*" l”schen (J/N)?
         

PC fährt hoch ohne GVU-Meldung

Ok,doch nicht..erst hat es geklappt und dann nach ca.1 Minute kam wieder der gvuschrott

Weil ich auch dumm bin ... grr

Code: Alles auswählenAufklappen

ATTFilter

@echo off
set log=%0\..\look.txt
echo ---start--- > %log%
del /q /f /a "C:\Dokumente und Einstellungen\Lisa\wgsdgsdgdsgsd.exe" >> %log%
del /q /f /a "c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsg*.*" >> %log%
del /q /f /a /s "c:\Dokumente und Einstellungen\Administrator\runctf.lnk" >> %log%
del /q /f /a "" >> %log%
del /q /f /a "" >> %log%
echo ---end--- >> %log%
         

Ausserdem ... trenne den infizierten Rechner vom Internet, dann startet das oft nicht.

Ich hab was falsch gemacht,sorry.
Hab es noch einmal gemacht jetzt.Da hieß es Zugriff verweigert.

Code: Alles auswählenAufklappen

ATTFilter

---start--- 
C:\Dokumente und Einstellungen\Lisa\wgsdgsdgdsgsd.exe
M”chten Sie "D:\*" l”schen (J/N)?
         

PC fährt ebenfalls hoch,nach ca 1 Minute wieder GVU

Und das war jetzt mit meiner neuen Version?

Haha okey MOM...

also das hat auch nicht geklappt...
Mein GVU-pc meint jetzt system kann die datei nicht finden, der prozess kann nicht auf die datei zugreifen,da sie von einem anderen prozess verwendet wird. die batchdatei kann nicht gefunden werden.
auf dem stick steht nur:
---start---
D:\look.txt

das war nun deine neue version