Hallo,
da dies mein erster Beitrag in diesem Forum ist möchte ich mich zuallernächsteinmal bei euch vorstellen:
Ich bin Max, Berufsfotograf und Hobbyprogrammierer (Java), habe aber leider keinerlei Ahnung von Viren; Deshalb wäre es nett, wenn ihr mir behilflich sein könntet.

Mein Problem:
Ich habe mir gestern morgen leider einen GVU-Trojaner eingefangen - Da ein Freund diesen aber mal hatte und ich diesen wiederum erfolgreich entfernte dachte ich mir "Das kann ja garnicht so schwer werden". Kann es leider doch - abgesicherter Modus funktioniert nicht, Taskmanager geht nicht (obwohl ich durch einen kleinen "Trick" immer und zu jeder Zeit auf die Command.exe/cmd.exe zugreifen kann). Da ich mit meinem Latein am Ende war, habe ich mich auf die Suche ins internet begeben und habe mir 4 Tutorials zur Entfernung des GVU-Trojaners (2013er Version) angeschaut und durchgeführt. Leider führte kein Ergebnis zum Erfolg. Mittlerweile ist es aber so, dass MEISTENS beim Start des GVU-Trojaners nicht das Bild kommt (wo man aufgefordert wird einen Geldbetrag zu zahlen), sondern nur ein weißes Bild, das ist aber nicht immer so.


Anbei habe ich die Otl.txt angelegt und den fix-dialog(brachte auch keinen erfolg), der mir von einem anderen nutzer geraten wurde.

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL

O4 - HKU\Schmitz_ON_F..\Run: [AdobeBridge] File not found 
O20 - HKU\Schmitz_ON_F Winlogon: Shell - (C:\Users\Schmitz\AppData\Roaming\skype.dat) - F:\Users\Schmitz\AppData\Roaming\skype.dat () 
[2013/01/03 14:05:06 | 000,840,264 | ---- | C] () -- F:\Windows\SysWow64\pbsvc(1).exe 
[2012/09/09 07:11:41 | 000,000,000 | ---- | C] () -- F:\Users\Schmitz\AppData\Roaming\explorer.exe 
@Alternate Data Stream - 5 bytes -> F:\ProgramData\Nalpeiron:user.ns4 
@Alternate Data Stream - 5 bytes -> F:\ProgramData\Nalpeiron:user.ns2 
@Alternate Data Stream - 5 bytes -> F:\ProgramData\Nalpeiron:user.ns1 
@Alternate Data Stream - 4 bytes -> F:\ProgramData\Nalpeiron:user.ns3 
[2013/01/02 13:18:06 | 000,000,000 | ---D | M] -- F:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 
[2013/03/27 16:41:36 | 000,000,000 | -H-D | C] -- F:\ProgramData\{3D9F190A-0F10-4AD6-809B-E15B73D0B8BE} 
[2013/03/27 16:41:28 | 000,000,000 | -H-D | C] -- F:\ProgramData\{54AE07EB-BBE5-4429-9DF3-C156DB112B54} 
[2013/03/29 20:42:07 | 000,000,004 | ---- | M] () -- F:\Users\Schmitz\AppData\Roaming\skype.ini 
[2010/11/20 23:24:00 | 000,159,744 | ---- | C] () -- F:\Users\Schmitz\AppData\Roaming\skype.dat 
[2013/02/02 17:57:38 | 000,000,000 | -H-D | M] -- F:\ProgramData\{7E8842F4-ECF1-457B-9B22-AA8299B810D9} 
[2013/02/02 17:57:40 | 000,000,000 | -H-D | M] -- F:\ProgramData\{D9F9C87D-6338-4977-AD5C-EE6EE6F6B6EC} 

:Files 

ipconfig /flushdns /c
:Commands
[emptytemp]
         

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Habe genau das getan, was gefordert war, Virus ist auch beseitigt, doch erinnert mein Windows 7 jetzt eher an Windows Xp


Ps: Neuinstallation von Windows 7 ist nicht möglich, da die fehlermeldung "es konnten keine informationen zu den datenträgern auf dem computer abgerufen werden" erscheint. Was nun?


Ist es sinnvoll die Festplatte zu formatieren und dann windows neu aufzusetzen?

Die Darstellung von Windows laesst sich ja anpassen, Rechtsklick auf Desktop -> Anpassen.


Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



dann:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.