Hallo
Seit 2 Tagen habe ich einen sehr üblen GVU Trojaner auf meinem XP Computer.Ich kann Nichts mehr erreichen ausser der maske" boot von CD". Der abgesicherte Modus geht nicht mehr weil gleichzeitig die Tastatur nicht reagiert und ich deswegen die Voreinstellung "windows normal starten "nicht ändern kann.
Ich hatte mit Kaspersky versucht, ohne Erfolg.

Hallo,

Zitat:

Ich kann Nichts mehr erreichen ausser der maske" boot von CD".

Dann versuch mal, von einer CD zu booten:


Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hallo
Habe über OTL einen Scan gemacht und den auf einem Stick gespeichert.
MIKE

Hallo Mike und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eins vorneweg: Ich kann dir keine Garantien geben, dass ich alles finden werde. Bei schwerwiegenden Infektionen ist ein Formatieren und Neuinstallieren meist der schnellere und immer der sicherere Weg.
Wenn du dich für eine Bereinigung entscheidest, dann sollten wir gründlich vorgehen. Bleib also dran, bis ich dir eindeutig mitteile, dass wir fertig sind.
Auch wenn die auffälligen Symptome schon früh verschwinden, bedeutet das nicht, dass dein Rechner dann schon sauber und sicher ist.

Hinweise zum Ablauf

• Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
  • Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
  • Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles erst zum Schluss gesammelt in einer Antwort.
  • Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
  • Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

• Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert:
  • Lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
  • Installiere oder deinstalliere während der Bereinigung keine Software.

Los geht's:

Kannst du nach diesem Fix den Rechner wieder normal starten?


Schritt 1

• Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\Buero_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Dokumente und Einstellungen\Buero\Lokale Einstellungen\Temp\qayjhwyndutitofww.exe (Mozilla Foundation)
O20 - HKU\Buero_ON_C Winlogon: Shell - (cmd.exe) - C:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
[2013/06/17 03:28:28 | 000,163,059 | ---- | M] () -- C:\Dokumente und Einstellungen\Buero\Anwendungsdaten\2433f433
[2013/06/17 03:28:27 | 000,163,032 | ---- | M] () -- C:\Dokumente und Einstellungen\Buero\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013/06/17 03:28:27 | 000,163,024 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2013/06/11 19:15:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tgmb
[2013/06/11 19:16:31 | 000,012,584 | ---- | C] () -- C:\WINDOWS\muteyw.nwj
[2013/06/11 19:16:23 | 000,072,529 | ---- | C] () -- C:\WINDOWS\vrn.rsh
[2013/06/11 19:16:23 | 000,057,703 | ---- | C] () -- C:\WINDOWS\afv.rpj
[2013/06/11 19:16:21 | 000,217,849 | ---- | C] () -- C:\WINDOWS\vxif.dah
[2013/06/11 19:15:08 | 000,230,644 | ---- | C] () -- C:\WINDOWS\luyem.skc
[2013/06/11 19:15:08 | 000,063,529 | ---- | C] () -- C:\WINDOWS\ohy.khu
[2013/06/11 19:14:12 | 000,061,445 | ---- | C] () -- C:\WINDOWS\wgj.sgu
[2013/06/11 02:42:46 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dz98b.pad
[2013/06/11 02:42:42 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\9ot7l.pad
[2013/06/11 02:42:35 | 000,159,744 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\b89zd.dat

:files
C:\Dokumente und Einstellungen\Buero\Lokale Einstellungen\Temp\qayjhwyndutitofww.dll
         

• Klicke jetzt auf den Fix Button.
• Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

• Fixlog von OTLpe

Da wir hier über einen anderen Computer verbunden sind ,weiss ich nicht wie ich denText aus der Code boxin den infizierten Computer kopieren soll. Ein manuelles Eingeben des Codes scheitert an einer veränderten Tastenbelegung des infizierten computers.
Ich habe noch die extras.txt angehängt die ich vorhin nicht mitgeschickt hatte.
MIKE

Kopiere den Code in ein Textfile und transferiere dieses per USB-Stick auf den betroffenen Rechner, so dass du ihn dort einfügen kannst.

Ich habe das so gemacht, aber leider lässt sich der Computer nicht starten.
Den Logfile poste ich morgen. Gehe jetzt erstmal ins Bett.
Vielen Dank soweit.....

Ja poste bitte noch das Fixlog. Dann sieht man vielleicht, was schief gelaufen ist.
Und wenn der Rechner immer noch gesperrt ist, mach bitte nochmals einen Scan mit OTLpe, so wie oben beschrieben und poste die OTL.txt.

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.