![]() |
|
Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner entfernen (abgesicherter Modus funktioniert nicht)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
| ![]() GVU-Trojaner entfernen (abgesicherter Modus funktioniert nicht) Liebe Helfer des Trojaner-Boards, leider habe ich mir den unsäglichen GVU Trojaner eingefangen. Beim Hochfahren des Systems erscheint der typische Text (mit WebCam Fenster) und der Computer reagiert auf nichts mehr. Ich habe einige Foren (unter anderem hier) durschtöbert und mehrere Versuche unternommen um das Problem loszuwerden, leider erfolglos. Allgemeine Information: Desktop-PC mit Windows XP Media Center Edition (Service Pack 2) -> Ich kann das System nicht im "normalen" abgesichteren Modus starten, nur im abgesicherten Modus mit Eingabeaufforderung! Im "normalen" abgesichterten Modus erscheint ebenfalls die Anzeige mit der Zahlungsaufforderung und Strafandrohung. 1. Enfternungsversuch: - Start im "abgesicherten Modus mit Eingabeaufforderung" - "regedit" - Habe die CTFMON.EXE aus den Software/Microsoft/Windows/Run/ Ordnern gelöscht (in der Hoffnung, es handele sich dabei um den Virus) - Erfolglos (keine Änderungen sichtbar) 2. Entfernungsversuch - Start im "abgesicherten Modus mit Eingabeaufforderung" - Über einen USB stick die hier im Forum zur Verfügung gestellte Datei "srep.exe" ausgeführt. - Nach dem Scan hat das System neu gestartet. - Ergebnis: Der Bildschirm zeigte nur noch den Desktophintergrund (keine Symbole, keine Start-Leiste) und der Computer reagierte auf nichts wie vorher. Die Anzeige mit der Zahlungsaufforderung etc. war aber verschwunden. Bei wiederholtem Neustart, erscheint diese Anzeige aber wieder (also alles wieder bei null) ... Hier nun der Inhalt der shell.txt (habe mir das Vorgehen von einem früheren Forumseintrag hier abgeschaut): WIN_XP X86 Service Pack 2 Running from J:\ HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ] . . . HKCU\..\Winlogon; Shell not found . [System Process] System smss.exe csrss.exe winlogon.exe services.exe lsass.exe svchost.exe svchost.exe svchost.exe cmd.exe srep.exe HKLM\..\Run [ehTray] = C:\WINDOWS\ehome\ehtray.exe HKLM\..\Run [DivXUpdate] = "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW HKLM\..\Run [SSBkgdUpdate] = "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot HKLM\..\Run [PaperPort PTD] = C:\Programme\ScanSoft\PaperPort\pptd40nt.exe HKLM\..\Run [IndexSearch] = C:\Programme\ScanSoft\PaperPort\IndexSearch.exe HKLM\..\Run [StartCCC] = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun HKLM\..\Run [ApnUpdater] = "C:\Programme\Ask.com\Updater\Updater.exe" HKLM\..\Run [] = HKLM\..\Run [Anti-phishing Domain Advisor] = "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Anti-phishing Domain Advisor\visicom_antiphishing.exe" HKLM\..\Run [IDTSysTrayApp] = sttray.exe HKLM\..\Run [SigmatelSysTrayApp] = stsystra.exe HKLM\..\Run [APSDaemon] = "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" HKLM\..\Run [QuickTime Task] = "C:\Programme\QuickTime\qttask.exe" -atboottime HKLM\..\Run [DATAMNGR] = C:\PROGRA~1\SEARCH~2\Datamngr\DATAMN~1.EXE HKLM\..\Run [BackupDutyLite] = C:\Programme\BackUpDutyLite\BackUpDutyLite.exe HKLM\..\Run [RegUse] = C:\Programme\RegUse\RegUse.exe HKLM\..\Run [SunJavaUpdateSched] = "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" HKCU\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe HKCU\..\Run [MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background HKCU\..\Run [Remote Control Editor] = "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" HKCU\..\Run [LicenseValidator] = C:\Dokumente und Einstellungen\Anthony\Anwendungsdaten\vlc\{FE390C53-F798-4C83-86BD-8995D4470813}\LicenseValidator.exe HKCU\..\Run [Akamai NetSession Interface] = "C:\Dokumente und Einstellungen\Anthony\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe" HKCU\..\Run [SymphonyPreLoad] = "C:\Programme\IBM\Lotus\Symphony\framework\shared\eclipse\plugins\com.ibm.symphony.standard.launcher.win32.x86_3.0.0.20101015-2340\IBM Lotus Symphony" -nogui -nosplash HKU\.DEFAULT\..\Winlogon; Shell = HKU\S-1-5-20\..\Winlogon; Shell = HKU\S-1-5-20_Classes\..\Winlogon; Shell = HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Winlogon; Shell = HKU\S-1-5-21-861567501-1035525444-1801674531-1003_Classes\..\Winlogon; Shell = HKU\S-1-5-18\..\Winlogon; Shell = HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Run [MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Run [Remote Control Editor] = "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Run [LicenseValidator] = C:\Dokumente und Einstellungen\Anthony\Anwendungsdaten\vlc\{FE390C53-F798-4C83-86BD-8995D4470813}\LicenseValidator.exe HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Run [Akamai NetSession Interface] = "C:\Dokumente und Einstellungen\Anthony\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe" HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Run [SymphonyPreLoad] = "C:\Programme\IBM\Lotus\Symphony\framework\shared\eclipse\plugins\com.ibm.symphony.standard.launcher.win32.x86_3.0.0.20101015-2340\IBM Lotus Symphony" -nogui -nosplash ==== FINISH 03.02-03.17 ==== Ich bin für jede Hilfe sehr dankbar !!! Viele Grüße. Anthony |
Themen zu GVU-Trojaner entfernen (abgesicherter Modus funktioniert nicht) |
abgesicherter modus funktioniert nicht, anzeige, bildschirm, computer, dateien, einstellungen, entfernen, explorer.exe, gvu trojaner entfernen windows xp, gvu-trojaner, messenger, neustart, problem, programme, remote control, starten, system neu, trojan.0access, trojan.ransom.num, usb, usb stick, virus, virus.xpaj, windows, windows xp, winlogon |