ja und bei name sollst du deinen namen einfügen, das war ja nicht das Einzige was ich geschrieben hab

Konkret: Du hast geschrieben ich solle "name" durch meinen Username ersetzen.

Und so lautet das angepasste Skript:

:OTL
f:\Users\Büro\AppData\Local\Temp\*.dll
f:\Users\EUPROCON\AppData\Local\Temp\*.exe
:Files
:Commands
[Reboot]

Meintest du auch, dass ich "EUPROCON" ersetzen soll?

ja, sorry das auch ersetzen.
hmm, merkwürdig, einmal wird c: und einmal f: angezeigt.
füg mal zusätzlich die 2 zeilen ein:
C:\Users\Büro\AppData\Local\Temp\*.dll
C:\Users\Büro\AppData\Local\Temp\*.exe
unter
:OTL

c ist irrelevant unter f ist hier das System - das alte WinXP macht Buchstabensuppe aus dem Win7 - zumal ich auch das BIOS von AHCI (normal) in ATA (jetzt) umstellen musste.

(Das PE hat meiner Systemreservierungspartion von Win7 das c zugeteilt.)

So:

:OTL
f:\Users\Büro\AppData\Local\Temp\*.dll
f:\Users\Büro\AppData\Local\Temp\*.exe
:Files
:Commands
[Reboot]

Ausgeführt.

Log ist wieder so leer wie zuvor. OTL sagt Processing complete - macht aber auch keinen Reboot.

Auch in Deutsch:

:OTL
f:\Benutzer\Büro\AppData\Local\Temp\*.dll
f:\Benutzer\Büro\AppData\Local\Temp\*.exe
:Files
:Commands
[Reboot]

Bringt nur leeres Log.

klappt das?
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
f:\Users\name\AppData\Local\Temp
:Files
:Commands
[Reboot]
         

falls ja dann wie beschrieben packen und hochladen
falls

File-Upload.net - Temp.7z

Code: Alles auswählenAufklappen

ATTFilter

hxxp://www.file-upload.net/download-7803139/Temp.7z.html
         

bne is 0 bytes groß hattest du das nach oben genanntem script ausgeführt?
neustart geht oder nicht? falls nicht, navigiere mal zu dem von mir genanntem ordner
Users\name\AppData\Local\Temp\*.dll
packen und hochladen, bzw auf stick kopieren, auf nem zweit pc packen, da kann nichts passieren, hochladen und link als private nachicht an mich.

bne is 0 bytes groß hattest du das nach oben genanntem script ausgeführt?

Den Satz verstehe ich nicht, der Uplod ist knapp 23 MB groß, ich habe es geprüft.

neustart geht oder nicht?

Nein - GVU

falls nicht, navigiere mal zu dem von mir genanntem ordner Users\name\AppData\Local\Temp\*.dll

Das ist kein korrekte Ordnerangabe. Der konkrete Ordner heisst: "f:\Benutzer\Büro\AppData\Local\Temp\" - so sieht es auch das WinXPPe

packen und hochladen, bzw auf stick kopieren, auf nem zweit pc packen, da kann nichts passieren, hochladen und link als private nachicht an mich.

Den habe ich dir hochgeladen: "hxxp://www.file-upload.net/download-7803139/Temp.7z.html" (ersetze xx durch tt)

edit, moment

kannst du mir bei file-upload.net
und zwar als private nachicht, hochladen und senden:
C:\Users\name\Documents
(vorher packen)

Es ist etwas komplizierter im Nomalzustand:
c: ist System
d: ist Daten

der Ordner c:\users ist via Junction nach d:\users umgeleitet.

Ich habe nun mal die Ordner ...\local\Tem im tempolt umbenannt.

Ergebnis:
Neustart klappt Eingabeaufforderung auf, die Anzeigt

blabla kann nciht starten:
c:\users\BRO~1\Appdata\local\Tempduxmitjricqcsrffoj.exe

Da haben wir ihn...

Ich habe nun manuell den explorer gestartet. Und sehe die Shell, wie sie sein soll.

Was nun?

Konkret: Wie werde ich nun den GVU los?

lad mir noch mal den umbenannten ordner hoch
laut deinem Ordner hab ich keine
duxmitjricqcsrffoj.exe
kannst die auch per windows suche suchen und packen und im upload channel hochladen

Das klappt nicht mehr.

Ich hatte schon die KAV-Rescue Disk drinne, als du geschrieben hast mal den Ordner Temp zu löschen. Das habe ich unter dem Linux schon tw. getan.

erst dann kam mir die Idee den Ordner einfach mal um zu benennen.

Unter WinPE nochmal gebootet und umbenannt.

Im umbenannten Ordner Tempold sind diese kyptischen exen aber nicht mehr drin.

Offenbar ist das ein mehrstufiger Start des Trojaner.

Denn in msconfig steht im Start eine Datei "qcgce2mrvjq91kk1e7pnbb19m52fx" drin.

Tempold hilft also nicht mehr.

Wie kann ich die Reste vom GVU entfernen?

wo hab ich geschrieben das du den Ordner temp löschen sollst?
und wo was von linux und umbenennen?
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Combofix zeigt "Syntaxfehler" mit blinkendem Cursor