Hallo Trojaner-Board-Team,

ich habe ein kleines Netbook mit Windows 7 Starter.

Dort ist der GVU-Trojaner drauf, den würde ich Euch gerne über Euren Upload-Channel schicken.

Ich habe den ausführlichen OTL-Log an diesen Post angehängt

Danke schonmal für Eure immer wieder perfekte Hilfe, Ihr seit echt eine Bereicherung!

was ist mit diesen Themen?
http://www.trojaner-board.de/131343-...ildschirm.html
http://www.trojaner-board.de/131526-...-internet.html

Hi!

in den anderen beiden Beiträgen konnte mir durch Eure Fachkompetenz bereits geholfen werden, danke der Nachfrage =)

Wenn du aber nicht antwortest macht es ja keinen Sinn.

Die Bereinigung ist ja an den Punkten nicht abgeschlossen gewesen.

Ich hatte mir nur erhofft, und danke Eurer Hilfe ist es ja auch geschehen, meine eigenen Dateien zu retten. Es ging mir bislang nur um den Zugang - bei meinem Windows 7 Starter Netbook wäre mir allerdings eine gründliche desinfektion lieber als eine Neuinstallation

Vielleicht kann ich ja lernen =)

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL

O4 - HKU\Neumann_ON_D..\Run: [svñhîst] File not found 
O20 - HKU\Neumann_ON_D Winlogon: Shell - (C:\Users\Neumann\AppData\Roaming\skype.dat) - D:\Users\Neumann\AppData\Roaming\skype.dat () 
[2013/03/04 06:35:58 | 000,000,000 | ---D | C] -- D:\Users\Neumann\AppData\Local\Temp 
[2013/03/04 06:36:06 | 000,000,000 | -HSD | C] -- D:\$RECYCLE.BIN 
[2013/02/26 09:10:25 | 000,000,268 | ---- | M] () -- D:\Windows\tasks\RegClean Pro_DEFAULT.job 
[2013/02/06 07:54:29 | 000,000,276 | ---- | M] () -- D:\Windows\tasks\RegClean Pro_UPDATES.job 
[2012/09/16 14:51:47 | 000,083,968 | ---- | C] () -- D:\Users\Neumann\AppData\Roaming\skype.dat 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
         

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Das Windows 7 Starter lässt sich wieder starten.

In der Logdatei steht folgendes:

Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
Registry key HKEY_USERS\Neumann_ON_D\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_USERS\Neumann_ON_D\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon not found.
E:\Users\Neumann\AppData\Roaming\skype.dat moved successfully.
E:\Users\Neumann\AppData\Local\Temp\WPDNSE folder moved successfully.
E:\Users\Neumann\AppData\Local\Temp\MessengerCache folder moved successfully.
E:\Users\Neumann\AppData\Local\Temp folder moved successfully.
E:\$RECYCLE.BIN\S-1-5-21-557946781-2676347314-3674968414-1000 folder moved successfully.
E:\$RECYCLE.BIN folder moved successfully.
E:\Windows\Tasks\RegClean Pro_DEFAULT.job moved successfully.
E:\Windows\Tasks\RegClean Pro_UPDATES.job moved successfully.
File E:\Users\Neumann\AppData\Roaming\skype.dat not found.
========== FILES ==========
File\Folder E:\ProgramData\*.exe not found.
File\Folder E:\ProgramData\*.dll not found.
File\Folder E:\ProgramData\*.tmp not found.
File\Folder E:\ProgramData\TEMP not found.
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 03052013_185340
         

Die Datei kann nicht gepackt werden, bei der skype.dat sagt er keine Leseberechtigung.

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

danach:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.