|
Plagegeister aller Art und deren Bekämpfung: GVU Virus Version 2.12 eingefangenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.04.2013, 16:16 | #1 |
| GVU Virus Version 2.12 eingefangen Hallo liebes Support-Team, ich habe mir o.g. Schädling eingefangen. Daraufhin habe ich etwas im Board gestöbert und schon diverse Dinge ausprobiert. Der Task-Manager lässt sich nicht starten. Ebenfalls funktioniert die Reparatur-Funktion leider nicht, da ich nicht ausreichend freien Speicher auf Laufwerk C habe. Ich habe zudem bereits die OTLPE-CD gebrannt. Jedoch kann ich (aus welchen Gründen auch immer) nicht von der CD aus booten! Bei dem Betriebssystem handelt es sich um Windows 7. Bitte helft mir weiter. Ich weiß absolut nicht mehr, was ich noch versuchen soll Danke schon einmal im Voraus! *EDIT: der abgesicherte Modus funktioniert ebenfalls nicht! Geändert von Johannes1989 (08.04.2013 um 16:17 Uhr) Grund: Aufzählung vergessen |
08.04.2013, 16:55 | #2 | ||
/// TB-Ausbilder | GVU Virus Version 2.12 eingefangen Hi,
__________________Zitat:
Zitat:
__________________ |
08.04.2013, 17:10 | #3 |
| GVU Virus Version 2.12 eingefangen Hey,
__________________danke für deine schnelle Antwort! Es handelt sich um einen 32-bit PC. Weder der abgesicherte Modus, noch der abgesicherte Modus mit Netzwerktreibern, noch der abgesicherte Modus mit Eingabeaufforderung funktionieren |
08.04.2013, 17:21 | #4 | |
/// TB-Ausbilder | GVU Virus Version 2.12 eingefangen Hallo Johannes1989 und Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten. Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich. Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist. Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist. Hinweise zum Ablauf
Zitat:
Schritt 1 Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!). Schliesse den USB Stick an den infizierten Rechner an. Du musst das System nun in die System Reparatur Option booten: Variante 1 - Über den Boot Manager Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
Bitte poste in deiner nächsten Antwort:
__________________ cheers, Leo |
08.04.2013, 18:01 | #5 |
| GVU Virus Version 2.12 eingefangen Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 13-03-2013 (ATTENTION: FRST version is 26 days old) Ran by SYSTEM at 08-04-2013 18:56:08 Running from G:\ Windows 7 Home Premium (X86) OS Language: German Standard The current controlset is ControlSet001 ==================== Registry (Whitelisted) =================== HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-11-28] (Apple Inc.) HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2012-10-25] (Apple Inc.) HKLM\...\Run: [iTunesHelper] "E:\iTunes\iTunesHelper.exe" [x] HKU\Johannes89\...\Run: [DAEMON Tools Lite] "E:\DAEMON Tools Lite\DTLite.exe" -autorun [x] HKU\Johannes89\...\Run: [iCloudServices] C:\Program Files\Common Files\Apple\Internet Services\iCloudServices.exe [59872 2012-12-17] (Apple Inc.) HKU\Johannes89\...\Run: [ApplePhotoStreams] C:\Program Files\Common Files\Apple\Internet Services\ApplePhotoStreams.exe [59872 2012-12-17] (Apple Inc.) HKU\Johannes89\...\Run: [sp] C:\Windows\system32\rundll32.exe [44544 2009-07-14] (Microsoft Corporation) HKU\Johannes89\...\Run: [Zahoag] C:\Users\Johannes89\AppData\Roaming\Okixo\zyyca.exe [196608 2011-04-17] () HKU\Johannes89\...\Run: [Ilpazyuhm] C:\Users\Johannes89\AppData\Roaming\Uqax\xiiv.exe [289792 2011-05-17] () HKU\Johannes89\...\Run: [svchoster.exe] C:\Users\Johannes89\AppData\Roaming\NtDLL Installer\svchoster.exe [142848 2012-12-19] (Divine ) HKU\Johannes89\...\Run: [Xukuxuu] C:\Users\Johannes89\AppData\Roaming\Peaz\kiisv.exe [248320 2011-08-27] () HKU\Johannes89\...\Run: [IExplorer Util] C:\Users\Johannes89\AppData\Roaming\ie_util.exe [70656 2013-04-04] () HKU\Johannes89\...\Run: [Xoicdyykk] C:\Users\Johannes89\AppData\Roaming\Yrkiy\ufgea.exe [250368 2012-09-24] () HKU\Johannes89\...\Run: [Gukeo] C:\Users\Johannes89\AppData\Roaming\Dyge\ubzi.exe [273920 2012-01-03] (?????????? ??????????) HKU\Johannes89\...\Run: [WindowsHost] C:\Users\Johannes89\AppData\Roaming\WinHost\svchost.exe [218624 2013-04-04] () HKU\Johannes89\...\CurrentVersion\Windows: [Load] C:\Users\JOHANN~1\LOCALS~1\Temp\msvrygu.bat HKU\Johannes89\...\Winlogon: [Shell] C:\Users\Johannes89\AppData\Roaming\mcafee.ini,explorer.exe [x] Winlogon\Notify\ScCertProp: wlnotify.dll [X] HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$b918385bb7095f2dddc2c770f4e7bb76\n. ATTENTION! ====> ZeroAccess Tcpip\Parameters: [DhcpNameServer] 192.168.2.1 ==================== Services (Whitelisted) =================== 2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe /DisableUI [1840128 2011-05-24] (MAGIX AG) 3 FirebirdServerMAGIXInstance; "C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe" [2702848 2011-04-26] (MAGIX®) 2 NAUpdate; "C:\Program Files\Nero\Update\NASvc.exe" [769432 2012-07-13] (Nero AG) 2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [766400 2012-10-08] (Enigma Software Group USA, LLC.) 2 AntiVirSchedulerService; "C:\Avira\AntiVir Desktop\sched.exe" [x] 2 AntiVirService; "C:\Avira\AntiVir Desktop\avguard.exe" [x] 3 Microsoft SharePoint Workspace Audit Service; "C:\Office Professional Plus 2010\Office14\GROOVE.EXE" /auditservice [x] ==================== Drivers (Whitelisted) ==================== 3 ASEDRV3; C:\Windows\System32\drivers\ASEDRV3.sys [51200 2011-04-11] (Athena Smartcard Solutions) 2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [66616 2011-07-03] (Avira GmbH) 1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [138192 2011-07-03] (Avira GmbH) 1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [218688 2011-03-27] (DT Soft Ltd) 1 ElbyCDIO; C:\Windows\System32\Drivers\ElbyCDIO.sys [31088 2010-12-16] (Elaborate Bytes AG) 3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2012-06-22] () 1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH) 3 catchme; \??\C:\Users\JOHANN~1\AppData\Local\Temp\catchme.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2013-04-08 14:36 - 2013-04-08 14:36 - 00000000 ____D C:\ProgramData\llby 2013-04-08 14:35 - 2013-04-08 14:35 - 00159232 ____A C:\Users\Johannes89\Desktop\ehha.tmp 2013-04-04 22:53 - 2013-04-04 22:53 - 05085184 ____A C:\Users\Johannes89\Desktop\Präsentation_Große Ophoff_2.ppt 2013-04-04 07:04 - 2013-04-04 07:04 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\WinHost 2013-03-25 13:07 - 2013-03-29 19:18 - 00000000 ____D C:\Users\Johannes89\Desktop\mov 2013-03-25 11:38 - 2013-04-08 13:18 - 00000000 ____D C:\Users\Johannes89\Documents\Master TU Dortmund 2013-03-24 16:33 - 2013-03-24 16:33 - 00011553 ____A C:\Users\Johannes89\Desktop\Mappe1.xlsx 2013-03-24 11:42 - 2013-03-24 23:12 - 01574400 ____A C:\Users\Johannes89\Desktop\Präsentation_Große Ophoff.ppt 2013-03-24 11:41 - 2013-03-24 21:19 - 00000000 ____D C:\Users\Johannes89\Desktop\Abschlussprüfung 2013-03-21 14:53 - 2013-04-08 06:51 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Qadu 2013-03-21 14:53 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Fixy 2013-03-21 14:53 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Dyge 2013-03-20 15:00 - 2013-03-22 13:17 - 00000000 ____D C:\Users\Johannes89\Desktop\Neuer Ordner 2013-03-13 11:02 - 2013-03-14 17:15 - 00000000 ____D C:\Users\Johannes89\Desktop\werkstudent_2013 ==================== One Month Modified Files and Folders ======== 2013-04-08 18:56 - 2013-04-08 18:56 - 00000000 ____D C:\FRST 2013-04-08 16:54 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT 2013-04-08 16:54 - 2009-07-14 05:39 - 00103996 ____A C:\Windows\setupact.log 2013-04-08 16:16 - 2009-07-14 05:34 - 00022464 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2013-04-08 16:16 - 2009-07-14 05:34 - 00022464 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2013-04-08 16:13 - 2011-03-25 16:42 - 00006078 ____A C:\Windows\System32\PerfStringBackup.INI 2013-04-08 15:11 - 2011-03-25 16:25 - 02046024 ____A C:\Windows\WindowsUpdate.log 2013-04-08 14:36 - 2013-04-08 14:36 - 00000000 ____D C:\ProgramData\llby 2013-04-08 14:35 - 2013-04-08 14:35 - 00159232 ____A C:\Users\Johannes89\Desktop\ehha.tmp 2013-04-08 14:35 - 2011-03-25 16:35 - 00000000 ____D C:\users\Johannes89 2013-04-08 13:18 - 2013-03-25 11:38 - 00000000 ____D C:\Users\Johannes89\Documents\Master TU Dortmund 2013-04-08 07:22 - 2013-02-28 17:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Riuryx 2013-04-08 06:51 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Qadu 2013-04-06 16:02 - 2013-01-28 23:03 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Teypzy 2013-04-05 13:12 - 2009-07-14 05:53 - 00032640 ____A C:\Windows\Tasks\SCHEDLGU.TXT 2013-04-04 22:53 - 2013-04-04 22:53 - 05085184 ____A C:\Users\Johannes89\Desktop\Präsentation_Große Ophoff_2.ppt 2013-04-04 21:18 - 2013-01-28 23:04 - 00070656 ____A C:\Users\Johannes89\AppData\Roaming\ie_util.exe 2013-04-04 07:04 - 2013-04-04 07:04 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\WinHost 2013-03-29 19:18 - 2013-03-25 13:07 - 00000000 ____D C:\Users\Johannes89\Desktop\mov 2013-03-25 13:42 - 2011-11-17 20:07 - 00000000 ____D C:\Users\Johannes89\Documents\Filmverzeichnis 2013-03-24 23:12 - 2013-03-24 11:42 - 01574400 ____A C:\Users\Johannes89\Desktop\Präsentation_Große Ophoff.ppt 2013-03-24 21:22 - 2011-05-03 16:23 - 00000000 ____D C:\Users\Johannes89\AppData\Local\Microsoft Help 2013-03-24 21:19 - 2013-03-24 11:41 - 00000000 ____D C:\Users\Johannes89\Desktop\Abschlussprüfung 2013-03-24 16:33 - 2013-03-24 16:33 - 00011553 ____A C:\Users\Johannes89\Desktop\Mappe1.xlsx 2013-03-22 14:13 - 2012-09-20 19:25 - 00000310 ____A C:\Users\Johannes89\Desktop\fußball.txt 2013-03-22 13:17 - 2013-03-20 15:00 - 00000000 ____D C:\Users\Johannes89\Desktop\Neuer Ordner 2013-03-21 14:53 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Fixy 2013-03-21 14:53 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Dyge 2013-03-14 17:15 - 2013-03-13 11:02 - 00000000 ____D C:\Users\Johannes89\Desktop\werkstudent_2013 ZeroAccess: C:\$Recycle.Bin\S-1-5-21-2029633835-1115168798-2917017760-1000\$b918385bb7095f2dddc2c770f4e7bb76 ZeroAccess: C:\$Recycle.Bin\S-1-5-18\$b918385bb7095f2dddc2c770f4e7bb76 ==================== Known DLLs (Whitelisted) ================= ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe => MD5 is legit C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit ==================== EXE ASSOCIATION ===================== HKLM\...\.exe: exefile => OK HKLM\...\exefile\DefaultIcon: %1 => OK HKLM\...\exefile\open\command: "%1" %* => OK ==================== Restore Points ========================= ==================== Memory info =========================== Percentage of memory in use: 12% Total physical RAM: 3838.36 MB Available physical RAM: 3376.8 MB Total Pagefile: 3836.63 MB Available Pagefile: 3380.24 MB Total Virtual: 2047.88 MB Available Virtual: 1950.3 MB ==================== Partitions ============================= 1 Drive c: () (Fixed) (Total:38.96 GB) (Free:0.42 GB) NTFS 2 Drive d: (STUFF) (Fixed) (Total:195.31 GB) (Free:25.75 GB) NTFS 3 Drive e: (PROGRAMME) (Fixed) (Total:63.71 GB) (Free:55.39 GB) NTFS 5 Drive g: (USB DISK) (Removable) (Total:1.84 GB) (Free:1.84 GB) FAT 7 Drive i: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)] 8 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS Datentr„ger ### Status Gr”áe Frei Dyn GPT --------------- ------------- ------- ------- --- --- Datentr„ger 0 Online 298 GB 1024 KB * Datentr„ger 1 Online 1882 MB 0 B Datentr„ger 2 Kein Medium 0 B 0 B Partitions of Disk 0: =============== Datentr„ger-ID: 8161DCF1 Partition ### Typ Gr”áe Offset ------------- ---------------- ------- ------- Partition 1 Dynamische Daten 992 KB 31 KB Partition 2 Dynamische Daten 100 MB 1024 KB Partition 3 Dynamische Daten 38 GB 101 MB Partition 4 Dynamische Daten 259 GB 39 GB ========================================================= Disk: 0 Partition 1 Typ : 42 Versteckt: Ja Aktiv : Nein Dieser Partition ist kein Volume zugewiesen. ========================================================= Disk: 0 Partition 2 Typ : 42 Versteckt: Ja Aktiv : Ja Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 2 I System-rese NTFS Einfach 100 MB Fehlerfre ========================================================= Disk: 0 Partition 3 Typ : 42 Versteckt: Ja Aktiv : Nein Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 1 C NTFS Einfach 38 GB Fehlerfre ========================================================= Disk: 0 Partition 4 Typ : 42 Versteckt: Ja Aktiv : Nein Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 3 D STUFF NTFS Einfach 195 GB Fehlerfre ========================================================= Partitions of Disk 1: =============== Datentr„ger-ID: 0068C5A1 Partition ### Typ Gr”áe Offset ------------- ---------------- ------- ------- Partition 1 Prim„r 1881 MB 31 KB ========================================================= Disk: 1 Partition 1 Typ : 06 Versteckt: Nein Aktiv : Ja Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 5 G USB DISK FAT Wechselmed 1881 MB Fehlerfre ========================================================= ============================== MBR Partition Table ================== ============================== Partitions of Disk 0: =============== Disk ID: 8161DCF1 Partition 1: ========= Hex: 00010100422020003F000000C1070000 Active: NO Type: 42 Size: 993 KB Partition 2: ========= Hex: 8020210042DF130C0008000000200300 Active: YES Type: 42 Size: 100 MB Partition 3: ========= Hex: 00DF140C42FEFFFF0028030000E0DE04 Active: NO Type: 42 Size: 39 GB Partition 4: ========= Hex: 00FEFFFF42FEFFFF0008E204B0DA6020 Active: NO Type: 42 Size: 259 GB ============================== Partitions of Disk 1: =============== Disk ID: 0068C5A1 Partition 1: ========= Hex: 8001010006FE3FEE3F000000C1CF3A00 Active: YES Type: 06 Size: 2 GB Last Boot: 2013-04-07 09:12 ==================== End Of Log ============================ da ist es |
08.04.2013, 18:18 | #6 |
/// TB-Ausbilder | GVU Virus Version 2.12 eingefangen Meine Güte, da ist ja noch viel mehr drauf als nur der GVU-Sperrbildschirm. Diese Kiste ist ganz übel zugerichtet! Mach mal folgenden Schritt, schau, ob du danach wieder normal nach Windows starten kannst und teile mir das mit: Schritt 1 Drücke auf einem Zweitrechner bitte die + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument: Code:
ATTFilter HKU\Johannes89\...\Run: [sp] C:\Windows\system32\rundll32.exe [44544 2009-07-14] (Microsoft Corporation) HKU\Johannes89\...\Run: [Zahoag] C:\Users\Johannes89\AppData\Roaming\Okixo\zyyca.exe [196608 2011-04-17] () HKU\Johannes89\...\Run: [Ilpazyuhm] C:\Users\Johannes89\AppData\Roaming\Uqax\xiiv.exe [289792 2011-05-17] () HKU\Johannes89\...\Run: [svchoster.exe] C:\Users\Johannes89\AppData\Roaming\NtDLL Installer\svchoster.exe [142848 2012-12-19] (Divine ) HKU\Johannes89\...\Run: [Xukuxuu] C:\Users\Johannes89\AppData\Roaming\Peaz\kiisv.exe [248320 2011-08-27] () HKU\Johannes89\...\Run: [IExplorer Util] C:\Users\Johannes89\AppData\Roaming\ie_util.exe [70656 2013-04-04] () HKU\Johannes89\...\Run: [Xoicdyykk] C:\Users\Johannes89\AppData\Roaming\Yrkiy\ufgea.exe [250368 2012-09-24] () HKU\Johannes89\...\Run: [Gukeo] C:\Users\Johannes89\AppData\Roaming\Dyge\ubzi.exe [273920 2012-01-03] (?????????? ??????????) HKU\Johannes89\...\Run: [WindowsHost] C:\Users\Johannes89\AppData\Roaming\WinHost\svchost.exe [218624 2013-04-04] () HKU\Johannes89\...\CurrentVersion\Windows: [Load] C:\Users\JOHANN~1\LOCALS~1\Temp\msvrygu.bat HKU\Johannes89\...\Winlogon: [Shell] C:\Users\Johannes89\AppData\Roaming\mcafee.ini,explorer.exe [x] HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$b918385bb7095f2dddc2c770f4e7bb76\n. ATTENTION! ====> ZeroAccess C:\Users\Johannes89\AppData\Roaming\Okixo C:\Users\Johannes89\AppData\Roaming\Uqax C:\Users\Johannes89\AppData\Roaming\Yrkiy C:\Users\Johannes89\AppData\Roaming\NtDLL Installer C:\Users\Johannes89\AppData\Roaming\mcafee.ini C:\Users\JOHANN~1\LOCALS~1\Temp\msvrygu.bat 2013-04-08 14:36 - 2013-04-08 14:36 - 00000000 ____D C:\ProgramData\llby 2013-04-08 14:35 - 2013-04-08 14:35 - 00159232 ____A C:\Users\Johannes89\Desktop\ehha.tmp 2013-03-21 14:53 - 2013-04-08 06:51 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Qadu 2013-03-21 14:53 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Fixy 2013-03-21 14:53 - 2013-03-21 14:53 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\Dyge 2013-04-04 21:18 - 2013-01-28 23:04 - 00070656 ____A C:\Users\Johannes89\AppData\Roaming\ie_util.exe 2013-04-04 07:04 - 2013-04-04 07:04 - 00000000 ____D C:\Users\Johannes89\AppData\Roaming\WinHost C:\$Recycle.Bin\S-1-5-21-2029633835-1115168798-2917017760-1000\$b918385bb7095f2dddc2c770f4e7bb76 C:\$Recycle.Bin\S-1-5-18\$b918385bb7095f2dddc2c770f4e7bb76
Bitte poste in deiner nächsten Antwort:
__________________ --> GVU Virus Version 2.12 eingefangen |
08.04.2013, 18:52 | #7 |
| GVU Virus Version 2.12 eingefangen Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 13-03-2013 Ran by SYSTEM at 2013-04-08 19:51:41 Run:1 Running from G:\ ============================================== HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\sp Value deleted successfully. HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\Zahoag Value deleted successfully. HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\Ilpazyuhm Value deleted successfully. HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\svchoster.exe Value deleted successfully. HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\Xukuxuu Value deleted successfully. HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\IExplorer Util Value deleted successfully. HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\Xoicdyykk Value deleted successfully. HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\Gukeo Value deleted successfully. HKEY_USERS\Johannes89\Software\Microsoft\Windows\CurrentVersion\Run\\WindowsHost Value deleted successfully. HKEY_USERS\Johannes89\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load Value not found. HKEY_USERS\Johannes89\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32\\Default value was restored successfully . [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}] should be deleted in normal mode (if present). C:\Users\Johannes89\AppData\Roaming\Okixo moved successfully. C:\Users\Johannes89\AppData\Roaming\Uqax moved successfully. C:\Users\Johannes89\AppData\Roaming\Yrkiy moved successfully. C:\Users\Johannes89\AppData\Roaming\NtDLL Installer moved successfully. C:\Users\Johannes89\AppData\Roaming\mcafee.ini moved successfully. C:\Users\JOHANN~1\LOCALS~1\Temp\msvrygu.bat not found. C:\ProgramData\llby moved successfully. C:\Users\Johannes89\Desktop\ehha.tmp moved successfully. C:\Users\Johannes89\AppData\Roaming\Qadu moved successfully. C:\Users\Johannes89\AppData\Roaming\Fixy moved successfully. C:\Users\Johannes89\AppData\Roaming\Dyge moved successfully. C:\Users\Johannes89\AppData\Roaming\ie_util.exe moved successfully. C:\Users\Johannes89\AppData\Roaming\WinHost moved successfully. C:\$Recycle.Bin\S-1-5-21-2029633835-1115168798-2917017760-1000\$b918385bb7095f2dddc2c770f4e7bb76 moved successfully. C:\$Recycle.Bin\S-1-5-18\$b918385bb7095f2dddc2c770f4e7bb76 moved successfully. ==== End of Fixlog ==== grundsätzlich ist die kiste aber noch zu retten ohne datenverlust? :-/ |
08.04.2013, 20:00 | #8 |
/// TB-Ausbilder | GVU Virus Version 2.12 eingefangen Anzeichen für anstehenden Datenverlust seh ich keinen. Kannst du denn jetzt wieder normal nach Windows starten? Ich mach hier die Bereinigung gerne weiter bis zum Schluss, aber formatieren und neu installieren ist auch keine schlechte Idee. Deine Entscheidung.
__________________ cheers, Leo |
08.04.2013, 20:06 | #9 |
| GVU Virus Version 2.12 eingefangen Alles klar,dann ist gut. Ja, ich habe den Laptop grad hochgefahren! Funktioniert soweit alles wieder wie zuvor... Ein dickes DANKE schon einmal dafür!! Würd mich echt freuen, wenn du die Bereinigung weiter beschreibst! Mir fehlt im Moment nämlich schlicht und ergreifend die Zeit, um alle Daten durchzusehen und zu sichern und anschließend zu formatieren und alles neu aufzuspielen. Auf kurz oder lang werd ich da aber denke ich mal nicht drumrumkommen |
08.04.2013, 20:07 | #10 |
/// TB-Ausbilder | GVU Virus Version 2.12 eingefangen Wie gesagt, das ist deine Entscheidung. Ich mach gerne weiter, wenn du das wünschst: Schritt 1 Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.
Schritt 2 Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.
Schritt 3 Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
Bitte poste in deiner nächsten Antwort:
__________________ cheers, Leo |
12.04.2013, 02:12 | #11 |
/// TB-Ausbilder | GVU Virus Version 2.12 eingefangen Hi, ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe? Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos. Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.
__________________ cheers, Leo |
14.04.2013, 16:27 | #12 |
/// TB-Ausbilder | GVU Virus Version 2.12 eingefangen Fehlende Rückmeldung Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten. Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter. Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist. Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.
__________________ cheers, Leo |
Themen zu GVU Virus Version 2.12 eingefangen |
absolut, ausreichend, bereits, betriebssystem, board, booten, dinge, diverse, eingefangen, funktionier, funktioniert, gefangen, gen, gründe, helft, laufwerk, laufwerk c, nicht mehr, schädling, speicher, starte, task-manager, version, versuche, virus, windows |