Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU Virus Version 2.12 eingefangen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.04.2013, 16:16   #1
Johannes1989
 
GVU Virus Version 2.12 eingefangen - Standard

GVU Virus Version 2.12 eingefangen



Hallo liebes Support-Team,

ich habe mir o.g. Schädling eingefangen.
Daraufhin habe ich etwas im Board gestöbert und schon diverse Dinge ausprobiert.
Der Task-Manager lässt sich nicht starten.
Ebenfalls funktioniert die Reparatur-Funktion leider nicht, da ich nicht ausreichend freien Speicher auf Laufwerk C habe.

Ich habe zudem bereits die OTLPE-CD gebrannt. Jedoch kann ich (aus welchen Gründen auch immer) nicht von der CD aus booten!

Bei dem Betriebssystem handelt es sich um Windows 7.

Bitte helft mir weiter. Ich weiß absolut nicht mehr, was ich noch versuchen soll

Danke schon einmal im Voraus!



*EDIT: der abgesicherte Modus funktioniert ebenfalls nicht!

Geändert von Johannes1989 (08.04.2013 um 16:17 Uhr) Grund: Aufzählung vergessen

Alt 08.04.2013, 16:55   #2
aharonov
/// TB-Ausbilder
 
GVU Virus Version 2.12 eingefangen - Standard

GVU Virus Version 2.12 eingefangen



Hi,

Zitat:
Bei dem Betriebssystem handelt es sich um Windows 7.
Ist es 32-bit oder 64-bit?

Zitat:
der abgesicherte Modus funktioniert ebenfalls nicht!
Der abgesicherte Modus mit Eingabeaufforderung ebenfalls nicht?
__________________

__________________

Alt 08.04.2013, 17:10   #3
Johannes1989
 
GVU Virus Version 2.12 eingefangen - Standard

GVU Virus Version 2.12 eingefangen



Hey,

danke für deine schnelle Antwort!
Es handelt sich um einen 32-bit PC.

Weder der abgesicherte Modus, noch der abgesicherte Modus mit Netzwerktreibern, noch der abgesicherte Modus mit Eingabeaufforderung funktionieren
__________________

Alt 08.04.2013, 17:21   #4
aharonov
/// TB-Ausbilder
 
GVU Virus Version 2.12 eingefangen - Standard

GVU Virus Version 2.12 eingefangen



Hallo Johannes1989 und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf
  • Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
    • Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
    • Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
    • Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
    • Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.
  • Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
    • .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
    • .. installiere oder deinstalliere während der Bereinigung keine Software.
    • .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).
  • Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
    • Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
    • Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.
Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.


Zitat:
Es handelt sich um einen 32-bit PC.
Ok, dann mach Folgendes:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:
Variante 1 - Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während des Hochfahrens drücke mehrmals die F8 Taste.
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und boote von der CD.
  • Wähle die Spracheinstellungen und klicke Weiter.
  • Klicke auf Computerreparaturoptionen.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
  • Gib nun bitte notepad ein und drücke Enter.
    • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
    • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
    • Schliesse Notepad wieder.
  • Gib nun bitte folgenden Befehl ein und drücke Enter:
    e:\frst.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan.
Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Log von FRST
__________________
cheers,
Leo

Alt 08.04.2013, 18:01   #5
Johannes1989
 
GVU Virus Version 2.12 eingefangen - Standard

GVU Virus Version 2.12 eingefangen



Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 13-03-2013 (ATTENTION: FRST version is 26 days old)
Ran by SYSTEM at 08-04-2013 18:56:08
Running from G:\
Windows 7 Home Premium (X86) OS Language: German Standard
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-11-28] (Apple Inc.)
HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2012-10-25] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] "E:\iTunes\iTunesHelper.exe" [x]
HKU\Johannes89\...\Run: [DAEMON Tools Lite] "E:\DAEMON Tools Lite\DTLite.exe" -autorun [x]
HKU\Johannes89\...\Run: [iCloudServices] C:\Program Files\Common Files\Apple\Internet Services\iCloudServices.exe [59872 2012-12-17] (Apple Inc.)
HKU\Johannes89\...\Run: [ApplePhotoStreams] C:\Program Files\Common Files\Apple\Internet Services\ApplePhotoStreams.exe [59872 2012-12-17] (Apple Inc.)
HKU\Johannes89\...\Run: [sp] C:\Windows\system32\rundll32.exe [44544 2009-07-14] (Microsoft Corporation)
HKU\Johannes89\...\Run: [Zahoag] C:\Users\Johannes89\AppData\Roaming\Okixo\zyyca.exe [196608 2011-04-17] ()
HKU\Johannes89\...\Run: [Ilpazyuhm] C:\Users\Johannes89\AppData\Roaming\Uqax\xiiv.exe [289792 2011-05-17] ()
HKU\Johannes89\...\Run: [svchoster.exe] C:\Users\Johannes89\AppData\Roaming\NtDLL Installer\svchoster.exe [142848 2012-12-19] (Divine )
HKU\Johannes89\...\Run: [Xukuxuu] C:\Users\Johannes89\AppData\Roaming\Peaz\kiisv.exe [248320 2011-08-27] ()
HKU\Johannes89\...\Run: [IExplorer Util] C:\Users\Johannes89\AppData\Roaming\ie_util.exe [70656 2013-04-04] ()
HKU\Johannes89\...\Run: [Xoicdyykk] C:\Users\Johannes89\AppData\Roaming\Yrkiy\ufgea.exe [250368 2012-09-24] ()
HKU\Johannes89\...\Run: [Gukeo] C:\Users\Johannes89\AppData\Roaming\Dyge\ubzi.exe [273920 2012-01-03] (?????????? ??????????)
HKU\Johannes89\...\Run: [WindowsHost] C:\Users\Johannes89\AppData\Roaming\WinHost\svchost.exe [218624 2013-04-04] ()
HKU\Johannes89\...\CurrentVersion\Windows: [Load] C:\Users\JOHANN~1\LOCALS~1\Temp\msvrygu.bat
HKU\Johannes89\...\Winlogon: [Shell] C:\Users\Johannes89\AppData\Roaming\mcafee.ini,explorer.exe [x]
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$b918385bb7095f2dddc2c770f4e7bb76\n. ATTENTION! ====> ZeroAccess
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

==================== Services (Whitelisted) ===================

2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe /DisableUI [1840128 2011-05-24] (MAGIX AG)
3 FirebirdServerMAGIXInstance; "C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe" [2702848 2011-04-26] (MAGIX®)
2 NAUpdate; "C:\Program Files\Nero\Update\NASvc.exe" [769432 2012-07-13] (Nero AG)
2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [766400 2012-10-08] (Enigma Software Group USA, LLC.)
2 AntiVirSchedulerService; "C:\Avira\AntiVir Desktop\sched.exe" [x]
2 AntiVirService; "C:\Avira\AntiVir Desktop\avguard.exe" [x]
3 Microsoft SharePoint Workspace Audit Service; "C:\Office Professional Plus 2010\Office14\GROOVE.EXE" /auditservice [x]

==================== Drivers (Whitelisted) ====================

3 ASEDRV3; C:\Windows\System32\drivers\ASEDRV3.sys [51200 2011-04-11] (Athena Smartcard Solutions)
2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [66616 2011-07-03] (Avira GmbH)
1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [138192 2011-07-03] (Avira GmbH)
1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [218688 2011-03-27] (DT Soft Ltd)
1 ElbyCDIO; C:\Windows\System32\Drivers\ElbyCDIO.sys [31088 2010-12-16] (Elaborate Bytes AG)
3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2012-06-22] ()
1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)
3 catchme; \??\C:\Users\JOHANN~1\AppData\Local\Temp\catchme.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-04-08 14:36 - 2013-04-08 14:36 - 00000000 ____D C:\ProgramData\llby
2013-04-08 14:35 - 2013-04-08 14:35 - 00159232 ____A C:\Users\Johannes89\Desktop\ehha.tmp
2013-04-04 22:53 - 2013-04-04 22:53 - 05085184 ____A C:\Users\Johannes89\Desktop\Präsentation_Große Ophoff_2.ppt
2013-04-04 07:04 - 2013-04-04 07:04 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\WinHost
2013-03-25 13:07 - 2013-03-29 19:18 - 00000000 ____D C:\Users\Johannes89\Desktop\mov
2013-03-25 11:38 - 2013-04-08 13:18 - 00000000 ____D C:\Users\Johannes89\Documents\Master TU Dortmund
2013-03-24 16:33 - 2013-03-24 16:33 - 00011553 ____A C:\Users\Johannes89\Desktop\Mappe1.xlsx
2013-03-24 11:42 - 2013-03-24 23:12 - 01574400 ____A C:\Users\Johannes89\Desktop\Präsentation_Große Ophoff.ppt
2013-03-24 11:41 - 2013-03-24 21:19 - 00000000 ____D C:\Users\Johannes89\Desktop\Abschlussprüfung
2013-03-21 14:53 - 2013-04-08 06:51 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Qadu
2013-03-21 14:53 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Fixy
2013-03-21 14:53 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Dyge
2013-03-20 15:00 - 2013-03-22 13:17 - 00000000 ____D C:\Users\Johannes89\Desktop\Neuer Ordner
2013-03-13 11:02 - 2013-03-14 17:15 - 00000000 ____D C:\Users\Johannes89\Desktop\werkstudent_2013


==================== One Month Modified Files and Folders ========

2013-04-08 18:56 - 2013-04-08 18:56 - 00000000 ____D C:\FRST
2013-04-08 16:54 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-04-08 16:54 - 2009-07-14 05:39 - 00103996 ____A C:\Windows\setupact.log
2013-04-08 16:16 - 2009-07-14 05:34 - 00022464 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-04-08 16:16 - 2009-07-14 05:34 - 00022464 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-04-08 16:13 - 2011-03-25 16:42 - 00006078 ____A C:\Windows\System32\PerfStringBackup.INI
2013-04-08 15:11 - 2011-03-25 16:25 - 02046024 ____A C:\Windows\WindowsUpdate.log
2013-04-08 14:36 - 2013-04-08 14:36 - 00000000 ____D C:\ProgramData\llby
2013-04-08 14:35 - 2013-04-08 14:35 - 00159232 ____A C:\Users\Johannes89\Desktop\ehha.tmp
2013-04-08 14:35 - 2011-03-25 16:35 - 00000000 ____D C:\users\Johannes89
2013-04-08 13:18 - 2013-03-25 11:38 - 00000000 ____D C:\Users\Johannes89\Documents\Master TU Dortmund
2013-04-08 07:22 - 2013-02-28 17:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Riuryx
2013-04-08 06:51 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Qadu
2013-04-06 16:02 - 2013-01-28 23:03 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Teypzy
2013-04-05 13:12 - 2009-07-14 05:53 - 00032640 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-04-04 22:53 - 2013-04-04 22:53 - 05085184 ____A C:\Users\Johannes89\Desktop\Präsentation_Große Ophoff_2.ppt
2013-04-04 21:18 - 2013-01-28 23:04 - 00070656 ____A C:\Users\Johannes89\AppData\Roaming\ie_util.exe
2013-04-04 07:04 - 2013-04-04 07:04 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\WinHost
2013-03-29 19:18 - 2013-03-25 13:07 - 00000000 ____D C:\Users\Johannes89\Desktop\mov
2013-03-25 13:42 - 2011-11-17 20:07 - 00000000 ____D C:\Users\Johannes89\Documents\Filmverzeichnis
2013-03-24 23:12 - 2013-03-24 11:42 - 01574400 ____A C:\Users\Johannes89\Desktop\Präsentation_Große Ophoff.ppt
2013-03-24 21:22 - 2011-05-03 16:23 - 00000000 ____D C:\Users\Johannes89\AppData\Local\Microsoft Help
2013-03-24 21:19 - 2013-03-24 11:41 - 00000000 ____D C:\Users\Johannes89\Desktop\Abschlussprüfung
2013-03-24 16:33 - 2013-03-24 16:33 - 00011553 ____A C:\Users\Johannes89\Desktop\Mappe1.xlsx
2013-03-22 14:13 - 2012-09-20 19:25 - 00000310 ____A C:\Users\Johannes89\Desktop\fußball.txt
2013-03-22 13:17 - 2013-03-20 15:00 - 00000000 ____D C:\Users\Johannes89\Desktop\Neuer Ordner
2013-03-21 14:53 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Fixy
2013-03-21 14:53 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Dyge
2013-03-14 17:15 - 2013-03-13 11:02 - 00000000 ____D C:\Users\Johannes89\Desktop\werkstudent_2013

ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-2029633835-1115168798-2917017760-1000\$b918385bb7095f2dddc2c770f4e7bb76

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$b918385bb7095f2dddc2c770f4e7bb76

==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================


==================== Memory info ===========================

Percentage of memory in use: 12%
Total physical RAM: 3838.36 MB
Available physical RAM: 3376.8 MB
Total Pagefile: 3836.63 MB
Available Pagefile: 3380.24 MB
Total Virtual: 2047.88 MB
Available Virtual: 1950.3 MB

==================== Partitions =============================

1 Drive c: () (Fixed) (Total:38.96 GB) (Free:0.42 GB) NTFS
2 Drive d: (STUFF) (Fixed) (Total:195.31 GB) (Free:25.75 GB) NTFS
3 Drive e: (PROGRAMME) (Fixed) (Total:63.71 GB) (Free:55.39 GB) NTFS
5 Drive g: (USB DISK) (Removable) (Total:1.84 GB) (Free:1.84 GB) FAT
7 Drive i: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]
8 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

Datentr„ger ### Status Gr”áe Frei Dyn GPT
--------------- ------------- ------- ------- --- ---
Datentr„ger 0 Online 298 GB 1024 KB *
Datentr„ger 1 Online 1882 MB 0 B
Datentr„ger 2 Kein Medium 0 B 0 B

Partitions of Disk 0:
===============

Datentr„ger-ID: 8161DCF1

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Dynamische Daten 992 KB 31 KB
Partition 2 Dynamische Daten 100 MB 1024 KB
Partition 3 Dynamische Daten 38 GB 101 MB
Partition 4 Dynamische Daten 259 GB 39 GB

=========================================================

Disk: 0
Partition 1
Typ : 42
Versteckt: Ja
Aktiv : Nein

Dieser Partition ist kein Volume zugewiesen.

=========================================================

Disk: 0
Partition 2
Typ : 42
Versteckt: Ja
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 I System-rese NTFS Einfach 100 MB Fehlerfre

=========================================================

Disk: 0
Partition 3
Typ : 42
Versteckt: Ja
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 C NTFS Einfach 38 GB Fehlerfre

=========================================================

Disk: 0
Partition 4
Typ : 42
Versteckt: Ja
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 D STUFF NTFS Einfach 195 GB Fehlerfre

=========================================================

Partitions of Disk 1:
===============

Datentr„ger-ID: 0068C5A1

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 1881 MB 31 KB

=========================================================

Disk: 1
Partition 1
Typ : 06
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 5 G USB DISK FAT Wechselmed 1881 MB Fehlerfre

=========================================================
============================== MBR Partition Table ==================

==============================
Partitions of Disk 0:
===============
Disk ID: 8161DCF1

Partition 1:
=========
Hex: 00010100422020003F000000C1070000
Active: NO
Type: 42
Size: 993 KB

Partition 2:
=========
Hex: 8020210042DF130C0008000000200300
Active: YES
Type: 42
Size: 100 MB

Partition 3:
=========
Hex: 00DF140C42FEFFFF0028030000E0DE04
Active: NO
Type: 42
Size: 39 GB

Partition 4:
=========
Hex: 00FEFFFF42FEFFFF0008E204B0DA6020
Active: NO
Type: 42
Size: 259 GB

==============================
Partitions of Disk 1:
===============
Disk ID: 0068C5A1

Partition 1:
=========
Hex: 8001010006FE3FEE3F000000C1CF3A00
Active: YES
Type: 06
Size: 2 GB


Last Boot: 2013-04-07 09:12

==================== End Of Log ============================




da ist es


Alt 08.04.2013, 18:18   #6
aharonov
/// TB-Ausbilder
 
GVU Virus Version 2.12 eingefangen - Standard

GVU Virus Version 2.12 eingefangen



Meine Güte, da ist ja noch viel mehr drauf als nur der GVU-Sperrbildschirm. Diese Kiste ist ganz übel zugerichtet!

Mach mal folgenden Schritt, schau, ob du danach wieder normal nach Windows starten kannst und teile mir das mit:


Schritt 1

Drücke auf einem Zweitrechner bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
Code:
ATTFilter
HKU\Johannes89\...\Run: [sp] C:\Windows\system32\rundll32.exe [44544 2009-07-14] (Microsoft Corporation)
HKU\Johannes89\...\Run: [Zahoag] C:\Users\Johannes89\AppData\Roaming\Okixo\zyyca.exe [196608 2011-04-17] ()
HKU\Johannes89\...\Run: [Ilpazyuhm] C:\Users\Johannes89\AppData\Roaming\Uqax\xiiv.exe [289792 2011-05-17] ()
HKU\Johannes89\...\Run: [svchoster.exe] C:\Users\Johannes89\AppData\Roaming\NtDLL Installer\svchoster.exe [142848 2012-12-19] (Divine )
HKU\Johannes89\...\Run: [Xukuxuu] C:\Users\Johannes89\AppData\Roaming\Peaz\kiisv.exe [248320 2011-08-27] ()
HKU\Johannes89\...\Run: [IExplorer Util] C:\Users\Johannes89\AppData\Roaming\ie_util.exe [70656 2013-04-04] ()
HKU\Johannes89\...\Run: [Xoicdyykk] C:\Users\Johannes89\AppData\Roaming\Yrkiy\ufgea.exe [250368 2012-09-24] ()
HKU\Johannes89\...\Run: [Gukeo] C:\Users\Johannes89\AppData\Roaming\Dyge\ubzi.exe [273920 2012-01-03] (?????????? ??????????)
HKU\Johannes89\...\Run: [WindowsHost] C:\Users\Johannes89\AppData\Roaming\WinHost\svchost.exe [218624 2013-04-04] ()
HKU\Johannes89\...\CurrentVersion\Windows: [Load] C:\Users\JOHANN~1\LOCALS~1\Temp\msvrygu.bat
HKU\Johannes89\...\Winlogon: [Shell] C:\Users\Johannes89\AppData\Roaming\mcafee.ini,explorer.exe [x]
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$b918385bb7095f2dddc2c770f4e7bb76\n. ATTENTION! ====> ZeroAccess
C:\Users\Johannes89\AppData\Roaming\Okixo
C:\Users\Johannes89\AppData\Roaming\Uqax
C:\Users\Johannes89\AppData\Roaming\Yrkiy
C:\Users\Johannes89\AppData\Roaming\NtDLL Installer
C:\Users\Johannes89\AppData\Roaming\mcafee.ini
C:\Users\JOHANN~1\LOCALS~1\Temp\msvrygu.bat
2013-04-08 14:36 - 2013-04-08 14:36 - 00000000 ____D C:\ProgramData\llby
2013-04-08 14:35 - 2013-04-08 14:35 - 00159232 ____A C:\Users\Johannes89\Desktop\ehha.tmp
2013-03-21 14:53 - 2013-04-08 06:51 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Qadu
2013-03-21 14:53 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Fixy
2013-03-21 14:53 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Dyge
2013-04-04 21:18 - 2013-01-28 23:04 - 00070656 ____A C:\Users\Johannes89\AppData\Roaming\ie_util.exe
2013-04-04 07:04 - 2013-04-04 07:04 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\WinHost
C:\$Recycle.Bin\S-1-5-21-2029633835-1115168798-2917017760-1000\$b918385bb7095f2dddc2c770f4e7bb76
C:\$Recycle.Bin\S-1-5-18\$b918385bb7095f2dddc2c770f4e7bb76
         
Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt auf deinen USB Stick neben FRST.
  • Schliesse den USB Stick wieder an den infizierten Rechner an.
  • Starte deinen Rechner erneut in die Reparaturoptionen.
  • Starte nun wiederum FRST, aber klicke dieses Mal auf den Fix Button.
Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Fixlog von FRST
__________________
--> GVU Virus Version 2.12 eingefangen

Alt 08.04.2013, 18:52   #7
Johannes1989
 
GVU Virus Version 2.12 eingefangen - Standard

GVU Virus Version 2.12 eingefangen



Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 13-03-2013
Ran by SYSTEM at 2013-04-08 19:51:41 Run:1
Running from G:\

==============================================

HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\sp Value deleted successfully.
HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\Zahoag Value deleted successfully.
HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\Ilpazyuhm Value deleted successfully.
HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\svchoster.exe Value deleted successfully.
HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\Xukuxuu Value deleted successfully.
HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\IExplorer Util Value deleted successfully.
HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\Xoicdyykk Value deleted successfully.
HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\Gukeo Value deleted successfully.
HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\WindowsHost Value deleted successfully.
HKEY_USERS\Johannes89\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load Value not found.
HKEY_USERS\Johannes89\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32\\Default value was restored successfully .
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}] should be deleted in normal mode (if present).
C:\Users\Johannes89\AppData\Roaming\Okixo moved successfully.
C:\Users\Johannes89\AppData\Roaming\Uqax moved successfully.
C:\Users\Johannes89\AppData\Roaming\Yrkiy moved successfully.
C:\Users\Johannes89\AppData\Roaming\NtDLL Installer moved successfully.
C:\Users\Johannes89\AppData\Roaming\mcafee.ini moved successfully.
C:\Users\JOHANN~1\LOCALS~1\Temp\msvrygu.bat not found.
C:\ProgramData\llby moved successfully.
C:\Users\Johannes89\Desktop\ehha.tmp moved successfully.
C:\Users\Johannes89\AppData\Roaming\Qadu moved successfully.
C:\Users\Johannes89\AppData\Roaming\Fixy moved successfully.
C:\Users\Johannes89\AppData\Roaming\Dyge moved successfully.
C:\Users\Johannes89\AppData\Roaming\ie_util.exe moved successfully.
C:\Users\Johannes89\AppData\Roaming\WinHost moved successfully.
C:\$Recycle.Bin\S-1-5-21-2029633835-1115168798-2917017760-1000\$b918385bb7095f2dddc2c770f4e7bb76 moved successfully.
C:\$Recycle.Bin\S-1-5-18\$b918385bb7095f2dddc2c770f4e7bb76 moved successfully.

==== End of Fixlog ====

grundsätzlich ist die kiste aber noch zu retten ohne datenverlust? :-/

Alt 08.04.2013, 20:00   #8
aharonov
/// TB-Ausbilder
 
GVU Virus Version 2.12 eingefangen - Standard

GVU Virus Version 2.12 eingefangen



Anzeichen für anstehenden Datenverlust seh ich keinen.
Kannst du denn jetzt wieder normal nach Windows starten?

Ich mach hier die Bereinigung gerne weiter bis zum Schluss, aber formatieren und neu installieren ist auch keine schlechte Idee. Deine Entscheidung.
__________________
cheers,
Leo

Alt 08.04.2013, 20:06   #9
Johannes1989
 
GVU Virus Version 2.12 eingefangen - Standard

GVU Virus Version 2.12 eingefangen



Alles klar,dann ist gut.
Ja, ich habe den Laptop grad hochgefahren! Funktioniert soweit alles wieder wie zuvor...
Ein dickes DANKE schon einmal dafür!!

Würd mich echt freuen, wenn du die Bereinigung weiter beschreibst!
Mir fehlt im Moment nämlich schlicht und ergreifend die Zeit, um alle Daten durchzusehen und zu sichern und anschließend zu formatieren und alles neu aufzuspielen.
Auf kurz oder lang werd ich da aber denke ich mal nicht drumrumkommen

Alt 08.04.2013, 20:07   #10
aharonov
/// TB-Ausbilder
 
GVU Virus Version 2.12 eingefangen - Standard

GVU Virus Version 2.12 eingefangen



Wie gesagt, das ist deine Entscheidung. Ich mach gerne weiter, wenn du das wünschst:


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.
  • Starte das Tool mit Doppelklick.
  • Klicke nun auf den Disable Button.
  • Bestätige diese Sicherheitsabfrage mit Ja.
  • Wenn der Scan beendet wurde (Finished), klicke auf OK.
  • Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
  • Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
  • Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.
Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.
  • Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
  • Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
  • Schliesse bitte alle anderen Programme.
  • Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Sollte sich ein Fenster mit folgender Warnung öffnen
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    dann klicke unbedingt auf No.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Show all
  • Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
  • Starte den Scan mit einem Klick auf Scan.
  • Mache gar nichts am Computer, während der Scan läuft!
  • Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
  • Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
  • Füge bitte den Inhalt des Logfiles hier in deine Thread ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
  • Doppelklick auf die OTL.exe.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
  • Poste den Inhalt dieser Logfiles hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von Gmer
  • Logs von OTL
__________________
cheers,
Leo

Alt 12.04.2013, 02:12   #11
aharonov
/// TB-Ausbilder
 
GVU Virus Version 2.12 eingefangen - Standard

GVU Virus Version 2.12 eingefangen



Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.
__________________
cheers,
Leo

Alt 14.04.2013, 16:27   #12
aharonov
/// TB-Ausbilder
 
GVU Virus Version 2.12 eingefangen - Standard

GVU Virus Version 2.12 eingefangen



Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.
__________________
cheers,
Leo

Antwort

Themen zu GVU Virus Version 2.12 eingefangen
absolut, ausreichend, bereits, betriebssystem, board, booten, dinge, diverse, eingefangen, funktionier, funktioniert, gefangen, gen, gründe, helft, laufwerk, laufwerk c, nicht mehr, schädling, speicher, starte, task-manager, version, versuche, virus, windows




Ähnliche Themen: GVU Virus Version 2.12 eingefangen


  1. Beim Surfen CH-Version der Polizei-Sperrseite eingefangen
    Plagegeister aller Art und deren Bekämpfung - 20.12.2013 (9)
  2. Interpol Bka Virus die neueste Version
    Plagegeister aller Art und deren Bekämpfung - 17.11.2013 (2)
  3. GVU Virus (neuste version)
    Log-Analyse und Auswertung - 14.06.2013 (4)
  4. GVU Virus (wahrscheinlich neue Version)
    Plagegeister aller Art und deren Bekämpfung - 01.05.2013 (12)
  5. BKA Trojaner/Virus GVU Version 2.11
    Plagegeister aller Art und deren Bekämpfung - 26.02.2013 (30)
  6. GVU Virus Version 2.11
    Log-Analyse und Auswertung - 05.02.2013 (32)
  7. BKA Trojaner/Virus GVU Version 2.11 eingefangen
    Log-Analyse und Auswertung - 23.01.2013 (1)
  8. GVU Trojaner - Österreichische Version eingefangen
    Log-Analyse und Auswertung - 07.11.2012 (14)
  9. BKA Virus Österreich Version
    Log-Analyse und Auswertung - 01.11.2012 (8)
  10. bundestrojaner eingefangen - österreichische version
    Log-Analyse und Auswertung - 29.09.2012 (6)
  11. Polizei-Virus Österreich-Version
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (9)
  12. GVU Trojaner (Version mit Webcamfenster) eingefangen
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (2)
  13. GVU Trojaner Version mit Webcam eingefangen
    Log-Analyse und Auswertung - 16.08.2012 (1)
  14. Habe mir Österreich-Version des Polizei-Trojaners eingefangen
    Plagegeister aller Art und deren Bekämpfung - 06.08.2012 (20)
  15. GVU Trojaner Version 2.07 eingefangen
    Log-Analyse und Auswertung - 02.08.2012 (2)
  16. GVU-Trojaner Version 2.07 eingefangen.
    Log-Analyse und Auswertung - 25.07.2012 (2)
  17. Dr.Virus Version 3
    Mülltonne - 04.04.2007 (0)

Zum Thema GVU Virus Version 2.12 eingefangen - Hallo liebes Support-Team, ich habe mir o.g. Schädling eingefangen. Daraufhin habe ich etwas im Board gestöbert und schon diverse Dinge ausprobiert. Der Task-Manager lässt sich nicht starten. Ebenfalls funktioniert die - GVU Virus Version 2.12 eingefangen...
Archiv
Du betrachtest: GVU Virus Version 2.12 eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.