Hallo,
ich habe mir den GVU- Trojaner eingefangen. Ich würde mich sehr über Hilfe bei der Beseitigung dieses Fieslings freuen. Alleine schaffe ich es definitiv nicht. Mein Laptop fährt im abgesicherten Modus noch hoch. Nur beim normalen hochfahren erscheint der GVU- Bildschirm (siehe Bild im Anhang). Ich habe schon gelesen, dass so einige mit diesem Virus zu tun hatten. Habe mir deswegen schon einmal OTL auf eine CD gebrannt und und meinen Laptop von dieser booten lassen. Anschließend den Scan durchlaufen lassen wie beschrieben. Ich habe leider nur eine OTL.txt Datei erhalten und keine Extras.txt Datei (siehe Datei Anhang).
Ich hoffe mir kann jemand helfen?

Gruß
Pac-da-Rac

HI,

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\Pascal_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Dokumente und Einstellungen\Pascal\Lokale Einstellungen\Temp\b34btbztdb0vavaw.exe (Adobe Systems Incorporated)
[2013/06/11 15:00:33 | 000,163,061 | ---- | M] () -- C:\Dokumente und Einstellungen\Pascal\Anwendungsdaten\2433f433
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Ich habe vergessen zu erwähnen, dass ich Windows XP als Betriebssystem verwende und eine partitionierte Festplatte habe. Auf C: laufen meine ganzen Programme und auf E: sind meine ganzen Dateien (Bilder, Videos etc.). Leider habe ich keine Windows CD mehr, falls neu aufsetzen sinnvoller sein sollte.

Alles klar, mache ich.

Mach den Fix mit OTLPE und boote den Rechner normal neu

Ich habe ein Problem, ich kann plötzlich nicht mehr von der OTL- CD booten.
Wie komme ich jetzt an die OTL.exe?

Nach dem 500. Anlauf hat die Cd dann doch noch gebootet.
Im Anhang die ausgegebene Textdatei.

Gruß
Pac-da-Rac

Habe den Laptop normal hochgefahren, jetzt findet er einen Befehl nicht. (siehe Foto im Anhang)

Gruß
Pac-da-Rac

Komme nicht weiter.

Du rebootest den Rechner und von ganz allein poppt dieses CMD fenster mit der Meldung auf?

ja genau, ich fahre ihn hoch und dann erscheint dieses Fenster. Wenn ich es wegklicke, ist nur mein Desktopbild ohne Verknüofungen und Startleiste zu sehen.
Im abgesicherten Modus passiert das nicht.
Was kann ich da machen?

Drück mal Strg+Alt+Entf und öffne den Taskmanager. Geh dann auf Datei > neuer Task und schreibe

explorer.exe

und drücke enter. Desktop da? Wenn nicht, im Safe Mode:

Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Scan.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Moin Schrauber,
die erste Option mit dem Taskmanager hat funktioniert. Der Desktop ist erschienen und ich kann auf alles zugreifen.
Wenn ich den PC jedoch neustarte, erscheint das Fenster nach wie vor und ich muss wieder über den Taskmanager gehen.
Ist der Trojaner jetzt weg oder wie geht es weiter?
Vielen Dank schonmal.

Gruß
Pac-da-Rac

Dann mach mal damit du den Desktop siehst, dann FRST wie oben beschrieben vom Desktop laufen lassen und Logfiles posten, Rechner nicht neu starten.

Habe ich gemacht, hier sind sie.

Auf dem selben Weg folgendes ausführen:

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte nicht zulassen.

Fix mit FRST
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

HKLM\...\Run: [RTHDCPL] RTHDCPL.EXE [x]
HKLM\...\Run: [Alcmtr] ALCMTR.EXE [x]
HKLM\...\Runonce: [awde7zip23620]  [x]
HKCU\...\Winlogon: [Shell] cmd.exe [401920 2008-04-14] (Microsoft Corporation) <==== ATTENTION 
HKCU\...\Command Processor: "C:\DOKUME~1\Pascal\LOKALE~1\Temp\b34btbztdb0vavaw.exe" <======= ATTENTION
HKCU\...\Winlogon: [Shell] cmd.exe [401920 2008-04-14] (Microsoft Corporation) <==== ATTENTION 
HKCU\...\Command Processor: "C:\DOKUME~1\Pascal\LOKALE~1\Temp\b34btbztdb0vavaw.exe" <======= ATTENTION
         

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Fix Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.