GVU-Trojaner entfernen (abgesicherter Modus funktioniert nicht)

amh4

Liebe Helfer des Trojaner-Boards,

leider habe ich mir den unsäglichen GVU Trojaner eingefangen. Beim Hochfahren des Systems erscheint der typische Text (mit WebCam Fenster) und der Computer reagiert auf nichts mehr.
Ich habe einige Foren (unter anderem hier) durschtöbert und mehrere Versuche unternommen um das Problem loszuwerden, leider erfolglos.

Allgemeine Information: Desktop-PC mit Windows XP Media Center Edition (Service Pack 2)

-> Ich kann das System nicht im "normalen" abgesichteren Modus starten, nur im abgesicherten Modus mit Eingabeaufforderung! Im "normalen" abgesichterten Modus erscheint ebenfalls die Anzeige mit der Zahlungsaufforderung und Strafandrohung.

1. Enfternungsversuch:

- Start im "abgesicherten Modus mit Eingabeaufforderung"
- "regedit"
- Habe die CTFMON.EXE aus den Software/Microsoft/Windows/Run/ Ordnern gelöscht (in der Hoffnung, es handele sich dabei um den Virus)
- Erfolglos (keine Änderungen sichtbar)

2. Entfernungsversuch

- Start im "abgesicherten Modus mit Eingabeaufforderung"
- Über einen USB stick die hier im Forum zur Verfügung gestellte Datei "srep.exe" ausgeführt.
- Nach dem Scan hat das System neu gestartet.
- Ergebnis: Der Bildschirm zeigte nur noch den Desktophintergrund (keine Symbole, keine Start-Leiste) und der Computer reagierte auf nichts wie vorher. Die Anzeige mit der Zahlungsaufforderung etc. war aber verschwunden. Bei wiederholtem Neustart, erscheint diese Anzeige aber wieder (also alles wieder bei null) ...

Hier nun der Inhalt der shell.txt (habe mir das Vorgehen von einem früheren Forumseintrag hier abgeschaut):

WIN_XP X86 Service Pack 2
Running from J:\

HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
srep.exe


HKLM\..\Run [ehTray] = C:\WINDOWS\ehome\ehtray.exe
HKLM\..\Run [DivXUpdate] = "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
HKLM\..\Run [SSBkgdUpdate] = "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
HKLM\..\Run [PaperPort PTD] = C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
HKLM\..\Run [IndexSearch] = C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
HKLM\..\Run [StartCCC] = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
HKLM\..\Run [ApnUpdater] = "C:\Programme\Ask.com\Updater\Updater.exe"
HKLM\..\Run [] =
HKLM\..\Run [Anti-phishing Domain Advisor] = "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Anti-phishing Domain Advisor\visicom_antiphishing.exe"
HKLM\..\Run [IDTSysTrayApp] = sttray.exe
HKLM\..\Run [SigmatelSysTrayApp] = stsystra.exe
HKLM\..\Run [APSDaemon] = "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
HKLM\..\Run [QuickTime Task] = "C:\Programme\QuickTime\qttask.exe" -atboottime
HKLM\..\Run [DATAMNGR] = C:\PROGRA~1\SEARCH~2\Datamngr\DATAMN~1.EXE
HKLM\..\Run [BackupDutyLite] = C:\Programme\BackUpDutyLite\BackUpDutyLite.exe
HKLM\..\Run [RegUse] = C:\Programme\RegUse\RegUse.exe
HKLM\..\Run [SunJavaUpdateSched] = "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

HKCU\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe
HKCU\..\Run [MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background
HKCU\..\Run [Remote Control Editor] = "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
HKCU\..\Run [LicenseValidator] = C:\Dokumente und Einstellungen\Anthony\Anwendungsdaten\vlc\{FE390C53-F798-4C83-86BD-8995D4470813}\LicenseValidator.exe
HKCU\..\Run [Akamai NetSession Interface] = "C:\Dokumente und Einstellungen\Anthony\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe"
HKCU\..\Run [SymphonyPreLoad] = "C:\Programme\IBM\Lotus\Symphony\framework\shared\eclipse\plugins\com.ibm.symphony.standard.launcher.win32.x86_3.0.0.20101015-2340\IBM Lotus Symphony" -nogui -nosplash

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-20_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Winlogon; Shell =
HKU\S-1-5-21-861567501-1035525444-1801674531-1003_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Run [MSMSGS] = "C:\Programme\Messenger\msmsgs.exe" /background
HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Run [Remote Control Editor] = "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Run [LicenseValidator] = C:\Dokumente und Einstellungen\Anthony\Anwendungsdaten\vlc\{FE390C53-F798-4C83-86BD-8995D4470813}\LicenseValidator.exe
HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Run [Akamai NetSession Interface] = "C:\Dokumente und Einstellungen\Anthony\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe"
HKU\S-1-5-21-861567501-1035525444-1801674531-1003\..\Run [SymphonyPreLoad] = "C:\Programme\IBM\Lotus\Symphony\framework\shared\eclipse\plugins\com.ibm.symphony.standard.launcher.win32.x86_3.0.0.20101015-2340\IBM Lotus Symphony" -nogui -nosplash

==== FINISH 03.02-03.17 ====



Ich bin für jede Hilfe sehr dankbar !!!

Viele Grüße. Anthony