Hallo zusammen,
Please excuse me for writing in English but I can speak and read it. It is no problem if you respond in German to my problem.

A GVU trojan has entered into the laptop I use for my self employment business and I need some help to deleting it. When I scanned the internet for solutions, I came across this forum and noticed another person described exactly my problem and was able to solve it with the help of this forum. See the following link for the exact problem description.

http://www.trojaner-board.de/138004-...artet-neu.html

I used Farbar to compile the logfile in this .TXT attachment. Can someone help me by changing the logfile as it was done for chrisdee? I use windows vista and would really appreciate any help.

Gruß,
hloy

Hi, if you need some translations ... please ask.

!! Hinweis an Mitlesende !!
Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht.
Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:

Bitte lesen:
Regeln für die Bereinigung

• Illegal genutzte Software
  Beim ersten Anzeichen wird der Support ohne Diskussion eingestellt. Also sorge bitte vorher dafür, dass hier nichts mehr auftaucht.
• Keine Garantie
  Wir werden uns Mühe geben, aber einen 100% sicheren und sauberen Computer bekommst du nicht zurück. Der einzig sichere Weg ist die Formatierung mit Neuaufsetzen.
• Keine Alleingänge
  Die Bereinigung funktioniert nur, wenn du genau das machst, was ich anweise. Installiere/deinstalliere keine Software, führe keine Scans durch, die ich dir nicht angewiesen habe. Poste dein Thema in keinem anderen Forum und folge nicht den Anweisungen anderer Helfer. Du raubst damit allen Beteiligten nur Zeit.
• Aufmerksam lesen und nachfragen
  Lies jede Anleitung genau durch. Bei Unklarheiten bitte vorher nachfragen. Arbeite die Schritte in der Reihenfolge ab und antworte dann erst nach dem letzten Schritt oder wenn du eine Frage hast.
• Richtig antworten
  • Nachdem du alle Schritte abgearbeitet hast gibst du mir bitte zu jedem Schritt eine Rückmeldung (Logfile oder Antwort) und das gesammelt in einer Antwort.
  • Mache deinen Namen nur dann unkenntlich, wenn es wirklich sein muss. Denke bitte aber auch daran, dass wir diesen Thread und deine Logfiles nachträglich nicht editieren werden! (siehe LINK)
  • Logfiles bitte zwischen Code-Tags platzieren (im Antwortfenster das #-Symbol anklicken) sieht dann so aus:
    [CODE] (Logfile) [/CODE]
  • Hinweis in eigener Sache: Angehängte oder gezippte Logfiles erschweren mir die Arbeit massiv! Mache das also nur, wenn das Logfile zu groß ist, um es direkt zu posten. (Hier gibt es eine Anleitung)
• Keine privaten Nachrichten
  Ich sehe es, wenn du geantwortet hast, du mußt mich nicht benachrichtigen. Schicke mir nur dann eine PM wenn ich drei Tage nicht geantwortet habe und nur dann.
• Wie läuft die Bereinigung ab?
  Ganz grob: Analyse > Bereinigung > Kontrolle mit Updates > Fertig. Ob fertig oder nicht werde ich dir ganz deutlich mitteilen, du brauchst nicht nachzufragen.

Lesestoff:
Rootkit-Warnung
Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten, die er so sammelt, an die "bösen Jungs" weiterleiten kann. Was heißt das jetzt für dich?

• Entscheide bitte ganz bewußt, ob du mit der Bereinigung fortfahren möchtest. Ein einmal derartig kompromittiertes System kann man niemals mit 100%iger Sicherheit wieder absichern. Auch wenn wir gute Chancen haben, deinen Computer zu bereinigen, kann es dennoch möglich sein, dass uns am Ende nur die Neuinstallation bleibt.
• Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.
• Hast du ansonsten sensible Daten auf deinem Computer, dann solltest du auch darüber nachdenken, wie du damit umgehst, dass sie sich praktisch "jeder" ansehen konnte.

Teile mir also mit, wie du dich entschieden hast.

Fix mit FRST

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

S2 *etadpug; "C:\Program Files\Google\Desktop\Install\{914f588d-cc9d-b536-5fbd-731be0689f6f}\   \...\???\{914f588d-cc9d-b536-5fbd-731be0689f6f}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,,C:\Program Files\Sony Ericsson\fYbXpvVP.exe
C:\Program Files\Google\Desktop\Install\{914f588d-cc9d-b536-5fbd-731be0689f6f}
C:\ProgramData\mcdefender.exe
C:\Users\admin_007\AppData\Local\Google\Desktop\Install\{914f588d-cc9d-b536-5fbd-731be0689f6f}
DeleteJunctionsIndirectory: C:\Program Files\Windows Defender
         

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Tell how that went and if you can boot. You are still heavy infected.

Thanks for responding so fast.

I was able to transfer and install the fixlist.txt as you described. The desktop screen appeared with all of the icons until the computer was completely finished booting. Then the Bildschirm was blocked again.

I have attached the Fixlog.txt.

Okay you have a very nasty infection. Personally I would recommend to reinstall, but we can still try to unlock. Please check for me if you can boot into safemode with command prompt.

Sorry I could not respond sooner. It would be an absolute tragedy to reinstall everything new. I REALLY appreciate your offer to still help me unlock. It would be best for me to reinstall everything if I could get my system running again and retrieve a backup.

Just before my computer was blocked, I noticed that a software was installed without my consent. It is called "Internet Securtity Pro". I was unable to deinstall or stop it.

There are several "Benutzerkonten" on my laptop. I can begin "Safe Mode with prompt" but shortly after booting, the monitor is blocked and I come no further. Is this what you mean? Task Manager has been disabled in all of them.

If I use Farbar to boot, then I choose "Computer Reparieren" and come to "Systemwiederherstellungsoptionen" and get a prompt with "Eingabeaufforderung". This is no problem and I can see every drive and all directories.

Alright - please give me a new FRST logfile from recovery command prompt. It really would be better to reinstall. Fetching your data from the drive before you do so is easy if you use the Kaspersky Rescue Disk to mount your drives and then backup all your data.

I can send you the new logfile in about an hour since I am currently in the process of trying to copy my files onto an external hard drive.

yeah better back it all up

Attached is a logfile from today.

Alright, please try this frst-fix in the recovery mode - after that ... ONLY boot into safemode with command prompt - do nothing else. Report how it went.

Code: Alles auswählenAufklappen

ATTFilter

HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,,C:\Program Files\Sony Ericsson\fYbXpvVP.exe
C:\Program Files\Sony Ericsson\fYbXpvVP.exe
HKU\admin_007\...\Run: [Internet Security] - C:\ProgramData\mcdefender.exe [x]
HKU\admin_007\...\Run: [nfofwecd] - C:\Users\admin_007\AppData\Local\VirtualStore\tQkiDMHU.exe [ 2013-08-09] (Microsoft Corporation)
C:\Users\admin_007\AppData\Local\VirtualStore\tQkiDMHU.exe
HKU\admin_007\...\Run: [DirtyDecrypt] - C:\Users\admin_007\AppData\Roaming\Dirty\DirtyDecrypt.exe [ 2013-08-11] ()
C:\Users\admin_007\AppData\Roaming\Dirty\DirtyDecrypt.exe
HKU\HL Firmenprofil\...\Run: [nfofwecd] - C:\Users\HL Firmenprofil\AppData\Local\VirtualStore\tQkiDMHU.exe [ 2013-08-09] (Microsoft Corporation)
C:\Users\HL Firmenprofil\AppData\Local\VirtualStore\tQkiDMHU.exe
HKU\HL Firmenprofil\...\Run: [DirtyDecrypt] - C:\Users\HL Firmenprofil\AppData\Roaming\Dirty\DirtyDecrypt.exe [ 2013-08-09] ()
C:\Users\HL Firmenprofil\AppData\Roaming\Dirty\DirtyDecrypt.exe
HKU\HL Firmenprofil\...\Policies\system: [DisableTaskMgr] 1
HKU\Hollis Loy A&NM\...\Run: [nfofwecd] - C:\Users\Hollis Loy A&NM\AppData\Local\Microsoft Games\zCAiiZhi.exe [ 2013-08-09] (Microsoft Corporation)
C:\Users\Hollis Loy A&NM\AppData\Local\Microsoft Games\zCAiiZhi.exe
HKU\Hollis Loy A&NM\...\Run: [DirtyDecrypt] - C:\Users\Hollis Loy A&NM\AppData\Roaming\Dirty\DirtyDecrypt.exe [ 2013-08-11] ()
C:\Users\Hollis Loy A&NM\AppData\Roaming\Dirty\DirtyDecrypt.exe
HKU\test\...\Run: [nfofwecd] - C:\Users\test\AppData\Local\Microsoft\RjXKWzPZ.exe [ 2013-08-09] (Microsoft Corporation)
C:\Users\test\AppData\Local\Microsoft\RjXKWzPZ.exe
HKU\test\...\Run: [DirtyDecrypt] - C:\Users\test\AppData\Roaming\Dirty\DirtyDecrypt.exe [ 2013-08-11] ()
C:\Users\test\AppData\Roaming\Dirty\DirtyDecrypt.exe 
Startup: C:\Users\admin_007\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fYrZrzEY.exe (Microsoft Corporation)
Startup: C:\Users\Hollis Loy A&NM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fYrZrzEY.exe (Microsoft Corporation)
Startup: C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fYrZrzEY.exe (Microsoft Corporation)
2013-08-09 17:41 - 2013-08-09 17:41 - 00000000 ____D C:\Users\HL Firmenprofil\AppData\Roaming\Dirty
2013-08-09 17:41 - 2013-08-09 17:41 - 00000000 ____D C:\Users\HL Firmenprofil\AppData\Local\ywtSPCwT
2013-08-09 17:41 - 2013-08-09 17:41 - 00000000 ____D C:\Users\HL Firmenprofil\AppData\Local\Dirty
2013-08-09 17:28 - 2013-08-09 17:28 - 00000000 ____D C:\Users\Hollis Loy A&NM\AppData\Roaming\Dirty
2013-08-09 17:28 - 2013-08-09 17:28 - 00000000 ____D C:\Users\Hollis Loy A&NM\AppData\Local\ywtSPCwT
2013-08-09 17:28 - 2013-08-09 17:28 - 00000000 ____D C:\Users\Hollis Loy A&NM\AppData\Local\Dirty
2013-08-09 17:23 - 2013-08-09 17:23 - 00000000 ____D C:\Users\admin_007\AppData\Local\ywtSPCwT
2013-08-09 17:23 - 2013-08-09 17:23 - 00000000 ____D C:\Program Files\Dirty
2013-08-09 17:12 - 2013-08-09 17:12 - 00000000 ____D C:\Users\admin_007\AppData\Roaming\Dirty
2013-08-09 17:12 - 2013-08-09 17:12 - 00000000 ____D C:\Users\admin_007\AppData\Local\qpwMhXYO
2013-08-09 17:12 - 2013-08-09 17:12 - 00000000 ____D C:\Users\admin_007\AppData\Local\Dirty
         

I installed the fixlist file and rebooted into the "Safe Mode with command prompt" and have a black window open. What should I do now?

Try to run Combofix like this:


Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

1. Combofix kopieren
   • Lade dir Combofix von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
2. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
3. Laufwerksbuchstaben finden und Combofix starten
   • Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
   • Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
   • Wenn du es gefunden hast tippe combofix (Enter)
   • Combofix sollte jetzt starten.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle Warnungen mit OK.
4. Logfile posten
   • Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

I have rebooted as you recommended with "Safe Mode with command prompt". It went well and I now have a black screen. What should I do next?

Ignore my last entry. I did not see your latest response. I will get back with you soon after trying your latest suggestion.

Thanks a million from the bottom of my heart. My system is running again. At the moment everything appears fine except for data files that were laying on my desktop like Excel and PDF files. When I open them, I get a damaged error message for the PDFs and DirtyDecrypt.exe message for the Excel files. Are you familiar with DirtyDecrypt.exe ?

Thank you, thank you, thank you again for your help.

We are not finished yet! Please show your combofix logfile here.

Refer to the attachment.