Hallo!

Ich habe mir -wie viele andere auch- den GVU-Trojaner zugezogen und bin auf der Suche nach einer Lösung auf dieses Forum gestoßen. Bei mir werden 100€ gefordert, zudem wird auf ein Beweisfoto per Webcam hingewiesen... Das erwähne ich nur, damit ihr evtl. wisst um welche Version es sich handelt, falls es denn überhaupt von Nöten ist

Ich habe mir OTLPE runtergeladen, gebrannt und von der Boot-CD aus gebootet. OTLPE ausgeführt.

-YES
-OK
-Run Scan (mit voreingestellten Einstellungen)

Ich habe jetzt nur ein Logfile (OTL.txt) erhalten. Keine Extra.txt.

Ich habe 0 Ahnung, ob die unbedingt gebraucht wird, bzw., ob ich etwas falsch gemacht habe. Ich hänge schon einmal die OTL.txt an den Thread.

Bitte, bitte, bitte... HILFE! Ich möchte hier mit einem Kumpel Minecraft spielen und brauche den PC, weil mein Vater gleich gerne das Bremenspiel über meinen Laptop hören möchte

mfG
Marcus

Ups... Da habe ich doch das Textfile vergessen ^^

Hallo und

Mal eine kurze Frage, das ist jetzt nichts speziell gegen dich, ich hätte auch jeden anderen fragen können der die Logs so postet - wo bitte steht, dass die Logs in den Anhang gelegt werden sollen bzw. wo genau hast du das herausgelesen?

Logfiles im Anhang erschweren die Auswertung massivst

Bitte um Erläuterung damit man die Textstelle in der Anleitung für alle Neulinge mal gezielt ändern/verbessern kann. Danke.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL

O4 - Startup: E:\Users\John d'Arc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk () 
[2013/01/30 14:41:55 | 000,001,091 | ---- | M] () -- E:\Users\John d'Arc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk 
[2013/02/01 10:25:41 | 095,023,320 | ---- | M] () -- E:\ProgramData\netdislw.pad 
[2013/01/30 14:41:55 | 000,003,298 | ---- | M] () -- E:\ProgramData\netdislw.js 
[2013/01/30 14:41:55 | 000,000,154 | ---- | M] () -- E:\ProgramData\netdislw.reg 
[2013/01/30 14:41:55 | 000,000,083 | ---- | M] () -- E:\ProgramData\netdislw.bat 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\John d'Arc\*.tmp
C:\Users\John d'Arc\AppData\Local\Temp\*.exe
C:\Users\John d'Arc\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup unctf.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]
         

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
E:\Users\John d'Arc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully.
File E:\Users\John d'Arc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk not found.
E:\ProgramData\netdislw.pad moved successfully.
E:\ProgramData\netdislw.js moved successfully.
E:\ProgramData\netdislw.reg moved successfully.
E:\ProgramData\netdislw.bat moved successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Users\John d'Arc\*.tmp not found.
File\Folder C:\Users\John d'Arc\AppData\Local\Temp\*.exe not found.
File\Folder C:\Users\John d'Arc\AppData\LocalLow\Sun\Java\Deployment\cache not found.
< ipconfig /flushdns /c >
Windows IP Configuration
E:\cmd.bat deleted successfully.
E:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
 
User: John d'Arc
->Temp folder emptied: 25718280 bytes
->Temporary Internet Files folder emptied: 21323573 bytes
->Java cache emptied: 26617 bytes
->FireFox cache emptied: 179175977 bytes
->Google Chrome cache emptied: 6268890 bytes
->Flash cache emptied: 2905 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3908914 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
 
Total Files Cleaned = 226.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 02012013_190101
         

Kann ich den Rechner schon neustarten?

Zitat:

Zitat von cosinus

Hallo und

Mal eine kurze Frage, das ist jetzt nichts speziell gegen dich, ich hätte auch jeden anderen fragen können der die Logs so postet - wo bitte steht, dass die Logs in den Anhang gelegt werden sollen bzw. wo genau hast du das herausgelesen?

Ich habe die Einleitung für Neuankömmlinge nicht gelesen. Gibt ja immer wieder Leute, die einen auf Fehler freundlich hinweisen ,-)

In den anderen Threads habe ich gesehen, dass einige User die Logs angehängt haben.

Sehr gut!

Rechner neustarten, dann:

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo!

Tut mir Leid, dass ich mich die letzten Tage nicht gemeldet habe. Ich bin nicht dazu gekommen mich um den PC zu kümmern. Ich habe ihn in der Zeit 2x hochgefahren und wollte mit dem Bereinigen weitermachen, aber leider kam ich dann doch nicht dazu.

So, ich habe jetzt beide Tools scannen lassen...

Malwarebytes:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.08.09

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
John d'Arc :: JOHNDARC-PC [Administrator]

Schutz: Aktiviert

09.02.2013 02:00:58
mbam-log-2013-02-09 (02-00-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 316779
Laufzeit: 14 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

AdwCleaner:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.111 - Datei am 09/02/2013 um 02:47:26 erstellt
# Aktualisiert am 05/02/2013 von Xplode
# Betriebssystem : Windows 7 Enterprise  (64 bits)
# Benutzer : John d'Arc - JOHNDARC-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\John d'Arc\Downloads\AdwCleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Gelöscht mit Neustart : C:\Program Files (x86)\Ask.com
Gelöscht mit Neustart : C:\ProgramData\Ask
Gelöscht mit Neustart : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.7600.16385

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v4.0 (de)

Datei : C:\Users\John d'Arc\AppData\Roaming\Mozilla\Firefox\Profiles\4mtyusza.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Google Chrome v24.0.1312.57

Datei : C:\Users\John d'Arc\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [8660 octets] - [01/02/2013 20:35:25]
AdwCleaner[R2].txt - [1361 octets] - [09/02/2013 02:46:30]
AdwCleaner[S1].txt - [8752 octets] - [01/02/2013 20:36:20]
AdwCleaner[S2].txt - [1312 octets] - [09/02/2013 02:47:26]

########## EOF - C:\AdwCleaner[S2].txt - [1372 octets] ##########
         

Nach den Scans habe ich einen umfangreichen Systemscan mit meinem Anti-Virenprogramm durchgeführt (Lizensierte Vollversion) und auch nichts gefunden. Anschliessend habe ich das Spiel Minecraft gestartet und gleich wurde der Zugriff auf eine Webseite unterdrückt:

hxxp://pixel.quantserve.com/pixel/p-19UtqE8ngoZbM.gif

Ich hoffe, ich bin nicht ganz verblödet und denke, dass die Minecraft.exe infiziert ist. Nichts desto Trotz... Kein Tool hat etwas gefunden. Hm...

Das ist nichts, das ist ein Datenerfassungs-Pixel (Zaehl-Pixel)


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Code: Alles auswählenAufklappen

ATTFilter

Emsisoft Anti-Malware - Version 7.0
Letztes Update: 07.03.2013 17:13:52

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	07.03.2013 17:19:04


Gescannt	416939
Gefunden	0

Scan Ende:	07.03.2013 17:37:38
Scan Zeit:	0:18:34
         

Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).





danach:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.