Hallo erstmal liebes Trojaner Board Team.
Nach vielen Jahren als stiller Mitleser komm ich nun einmal nicht weiter und muss wohl ein Thema verfassen.

Ich habe auf einem Rechner mit XP SP3 und Avira Antivirus eine Version des GVU Trojaners.
Ich komme NICHT in den abgesicherten Modus weil nachdem ich das Menu zum auswählen geöffnet habe reagiert das Keyboard nicht mehr (ABER booten mit OTL-CD geht).

Nach startup wird der Bildschirm weiß und stellt die bekannte Forderung "innerhalb von 72 Stunden" ..."100 €"...

Nach längerem Recherchieren habe ich dann OTL als Bootdisc erstellt und im Zuge dessen
erst defogger und danach den OTL-Scan durchgeführt.

Die Log Files habe ich angehängt.
Ich hoffe das ihr mir helfen könnt das in Ordnung zu bringen ohne den Rechner neu aufzusetzen.

Hi,
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKU\Uwi_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Uwi\Anwendungsdaten\skype.dat) - C:\Dokumente und Einstellungen\Uwi\Anwendungsdaten\skype.dat ()
[2013/02/04 04:45:37 | 000,000,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Uwi\Anwendungsdaten\skype.ini
:Files
:Commands
[EMPTYFLASH] 
[emptytemp]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Edit: Markus war schneller

hi
danke für den Upload
im normalen Modus:
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
c: öffnen, tdsskiller-datum-version.txt öffnen, Inhalt posten

EDIT : ok mach ich


NEUE OTL.txt ist im Anhang.

So hier jetzt mal der LOG von TDSSKiller.
10 threads erstmal alle geskipt.

hi
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

So ComboFix laufen gelassen. Rchner ist danach neu gestartet.
Die erstellte Logfile ist angehängt.

hi
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Guten Morgen allerseits.
So das hat gestern ein bischen gedauert und dann ... musst ich weg

Malwarebytes ist durchgelaufen(LOGS angehängt):

1. LOG vor Beseitigung
2. LOG nach Beseitigung
3. LOG nach Beseitigung + Neustart

Sieht soweit schon mal ganz gut aus oder ?
Gibt es sonst noch was zu tun?

hi

lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

So hier die geforderte Text-Datei.

Ich habe die Microsoft Frameworks ect. außen vor gelassen weil sie im
Regelfall benötigt werden.

Ansonsten is nicht soviel Schrott da wie es aussieht.

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Google Toolbar
Java(TM: alle

Mozilla Thunderbird : ist ja komplett veraltet, warum machst du keine UPdates, öffne thunderbird, hilfe, update, version 18 ist aktuell.
Opera : genauso...
Opera Browser | Schnelleres und sicheres Internet | Gratis-Download
version 12 instalieren.
Spybot : kann auch weg, is nicht so besonders.
TeamViewer : würde ich beide deinstalieren und nur bei Bedarf instalieren, wenn es unbedingt drauf sein muss, Version 8 hohlen


Öffne CCleaner, analysieren, starten, PC neustarten.
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Guten Morgen,

alles außer Teamviewer gemacht weil die wirklich oft gebraucht werden und die Updates eingestellt.

So hier die Logs adwcleaner nach dem mehrfachen säubern.
Angehängt sind die letzen 4 LOGS.

Geht das jetzt als sauber durch? Oder gibt es noch was zu tun ?

Hi
teste bitte, wie PC + Programme wie Browser laufen.