GVU-Trojaner Sperrseite mit Zahlungsaufforderung

Anya · 28.10.2014, 10:35

Guten Morgen liebe Leute,

mein PC ist vom GVU Trojaner gesperrt worden, die Seite mit der Meldung interpol....zahlen Sie 100 EUR... blockiert nach dem Start alles weitere. Seit gestern morgen..

Was ich bereits versucht habe:

Gegoogelt und die Infos zur Lösung versucht anzuwenden:

die Kaspersky Rescue CD erstellt, gebootet, dann der Hinweis, dass diese Version (2013) stark veraltet ist. Das update ging nicht, weil ich gestern mit dem abgesicherten Modus nicht ins internet kam. Den Scan habe ich dann nicht durchgeführt.

Wiederherstellungspunkt habe ich keinen auf dem PC gehabt, deshalb ging das auch nicht.

Dann hab ich im Lokalen datenträger (C: ) nach exe Dateien gesucht und zuerst nur Win Dateien gefunden. Als ich dann versuchsweise MpSigStub (die war im Beispiel der Anleitung genannt) eingegeben habe, gabs einen Treffer. Datum der Datei: 2.10.14 die hab ich gelöscht. Verdächtige Einträge (??) in HKEY...Verzeichnissen hab ich nicht erkennen können.

Jedenfalls, die blockierte Seite erscheint noch immer...

PC hat Win7 Prof. 32-bit

Soll ich das System sofort neu installieren oder gibt es noch einen Weg?
Bin z.Z. im abgesicherten Modus.

Danke im Voraus für eure Antworten.

schrauber · 28.10.2014, 10:48

hi,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Anya · 28.10.2014, 12:00

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 27-10-2014 01
Ran by SYSTEM on MININT-JVAS1C8 on 28-10-2014 11:51:25
Running from f:\
Platform: Windows 7 Professional Service Pack 1 (X86) OS Language: Englisch (USA)
Internet Explorer Version 11
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST must be run from normal or Safe mode to create a complete log.

Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [hpqSRMon] => C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe [150528 2008-07-22] (Hewlett-Packard)
HKLM\...\Run: [HP Software Update] => C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [54840 2007-05-08] (Hewlett-Packard)
HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM\...\Run: [] => [X]
HKLM\...\Run: [ApnUpdater] => C:\Program Files\Ask.com\Updater\Updater.exe [1646216 2013-01-24] (Ask)
HKLM\...\Run: [HDAudDeck] => C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe [1681408 2009-09-21] (VIA)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [254336 2013-07-01] (Oracle Corporation)
HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [152392 2014-01-20] (Apple Inc.)
HKLM\...\Run: [sysTPL] => C:\Program Files\sysTPL\sysTPL.exe [1244440 2014-01-24] (Tlapia)
HKLM\...\Run: [IR_SERVER] => C:\PROGRA~2\Realtek\REALTE~1\IR_SERVER.exe
HKU\BaschoTec\...\Run: [Google Update] => C:\Users\BaschoTec\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2013-03-06] (Google Inc.)
HKU\BaschoTec\...\Run: [Driver Whiz] => C:\Program Files\Driver Whiz\Driver Whiz\DriverWhiz.exe [3534704 2013-01-25] (PC Drivers Headquarters)
HKU\BaschoTec\...\Run: [Skype] => C:\Program Files\Skype\Phone\Skype.exe [18678376 2013-04-19] (Skype Technologies S.A.)
Startup: C:\Users\BaschoTec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk
ShortcutTarget: program.lnk -> C:\ProgramData\5035FAD0.cpp (Sun Microsystems, Inc.)

========================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S2 PDF Architect Helper Service; C:\Program Files\PDF Architect\HelperService.exe [1320496 2013-04-08] (pdfforge GmbH)
S2 PDF Architect Service; C:\Program Files\PDF Architect\ConversionService.exe [799280 2013-04-08] (pdfforge GmbH)
S2 sysTPLMonitor.exe; C:\Program Files\sysTPL\sysTPLMonitor.exe [399640 2014-01-24] (Tlapia)
S2 sysTPLService.exe; C:\Program Files\sysTPL\sysTPLService.exe [400664 2014-01-24] (Tlapia)
S2 Winmgmt; C:\PROGRA~3\F23A14C1.cpp [X]

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S3 RTL2832UBDA; C:\Windows\System32\drivers\RTL2832UBDA.sys [201104 2012-05-21] (REALTEK SEMICONDUCTOR Corp.)
S3 RTL2832UUSB; C:\Windows\System32\Drivers\RTL2832UUSB.sys [32872 2011-12-29] (REALTEK SEMICONDUCTOR Corp.)
S3 RTL2832U_IRHID; C:\Windows\System32\DRIVERS\RTL2832U_IRHID.sys [42728 2011-06-13] (Realtek)
S3 VIAHdAudAddService; C:\Windows\System32\drivers\viahduaa.sys [1086976 2009-09-17] (VIA Technologies, Inc.)
S3 cpuz135; \??\C:\Users\BASCHO~1\AppData\Local\Temp\cpuz135\cpuz135_x32.sys [X]
S3 cpuz136; \??\C:\Users\BASCHO~1\AppData\Local\Temp\cpuz136\cpuz136_x32.sys [X]

==================== NetSvcs (Whitelisted) ===================


(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2014-10-28 02:31 - 2014-10-28 11:51 - 00000000 ____D () C:\FRST
2014-10-27 10:42 - 2014-10-27 11:07 - 00000000 ____D () C:\Kaspersky Rescue Disk 10.0
2014-10-27 10:24 - 2014-10-27 10:35 - 00000000 ____D () C:\Users\BaschoTec\Downloads\rescue1
2014-10-27 08:11 - 2014-10-28 02:43 - 00000784 _____ () C:\Windows\setupact.log
2014-10-27 08:11 - 2014-10-27 08:11 - 00000000 _____ () C:\Windows\setuperr.log
2014-10-27 08:00 - 2014-10-27 10:58 - 00004012 _____ () C:\Windows\WindowsUpdate.log
2014-10-27 03:31 - 2014-10-27 03:31 - 00204800 _____ (Sun Microsystems, Inc.) C:\ProgramData\5035FAD0.cpp
2014-10-16 02:15 - 2014-09-28 16:41 - 02379264 _____ (Microsoft Corporation) C:\Windows\System32\win32k.sys
2014-10-16 02:14 - 2014-10-06 18:04 - 00331448 _____ (Microsoft Corporation) C:\Windows\System32\iedkcs32.dll
2014-10-16 02:14 - 2014-09-25 14:46 - 00365056 _____ (Microsoft Corporation) C:\Windows\System32\dxtmsft.dll
2014-10-16 02:14 - 2014-09-25 14:46 - 00243200 _____ (Microsoft Corporation) C:\Windows\System32\dxtrans.dll
2014-10-16 02:14 - 2014-09-25 14:46 - 00069632 _____ (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2014-10-16 02:14 - 2014-09-25 14:43 - 11807232 _____ (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2014-10-16 02:14 - 2014-09-25 14:32 - 02017280 _____ (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2014-10-16 02:14 - 2014-09-18 17:44 - 17484800 _____ (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2014-10-16 02:14 - 2014-09-18 17:25 - 04201472 _____ (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2014-10-16 02:14 - 2014-09-18 17:14 - 02724864 _____ (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2014-10-16 02:14 - 2014-09-18 17:14 - 00004096 _____ (Microsoft Corporation) C:\Windows\System32\ieetwcollectorres.dll
2014-10-16 02:14 - 2014-09-18 17:02 - 00454656 _____ (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2014-10-16 02:14 - 2014-09-18 17:01 - 00061952 _____ (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2014-10-16 02:14 - 2014-09-18 17:01 - 00051200 _____ (Microsoft Corporation) C:\Windows\System32\ieetwproxystub.dll
2014-10-16 02:14 - 2014-09-18 16:59 - 00061952 _____ (Microsoft Corporation) C:\Windows\System32\MshtmlDac.dll
2014-10-16 02:14 - 2014-09-18 16:55 - 02187264 _____ (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2014-10-16 02:14 - 2014-09-18 16:54 - 00043008 _____ (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2014-10-16 02:14 - 2014-09-18 16:53 - 00032768 _____ (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2014-10-16 02:14 - 2014-09-18 16:51 - 00440320 _____ (Microsoft Corporation) C:\Windows\System32\ieui.dll
2014-10-16 02:14 - 2014-09-18 16:50 - 00112128 _____ (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2014-10-16 02:14 - 2014-09-18 16:50 - 00108032 _____ (Microsoft Corporation) C:\Windows\System32\ieetwcollector.exe
2014-10-16 02:14 - 2014-09-18 16:49 - 00597504 _____ (Microsoft Corporation) C:\Windows\System32\jscript9diag.dll
2014-10-16 02:14 - 2014-09-18 16:44 - 00646144 _____ (Microsoft Corporation) C:\Windows\System32\MsSpellCheckingFacility.exe
2014-10-16 02:14 - 2014-09-18 16:36 - 00060416 _____ (Microsoft Corporation) C:\Windows\System32\JavaScriptCollectionAgent.dll
2014-10-16 02:14 - 2014-09-18 16:32 - 00164864 _____ (Microsoft Corporation) C:\Windows\System32\msrating.dll
2014-10-16 02:14 - 2014-09-18 16:20 - 00677888 _____ (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2014-10-16 02:14 - 2014-09-18 16:20 - 00607744 _____ (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2014-10-16 02:14 - 2014-09-18 16:18 - 01068032 _____ (Microsoft Corporation) C:\Windows\System32\mshtmlmedia.dll
2014-10-16 02:14 - 2014-09-18 15:59 - 01810944 _____ (Microsoft Corporation) C:\Windows\System32\wininet.dll
2014-10-16 02:14 - 2014-09-18 15:53 - 01190400 _____ (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2014-10-16 02:14 - 2014-09-18 15:52 - 00678400 _____ (Microsoft Corporation) C:\Windows\System32\ieapfltr.dll
2014-10-16 02:14 - 2014-09-12 17:40 - 00067072 _____ (Microsoft Corporation) C:\Windows\System32\packager.dll
2014-10-16 02:14 - 2014-09-03 21:04 - 00372736 _____ (Microsoft Corporation) C:\Windows\System32\rastls.dll
2014-10-16 02:14 - 2014-07-16 17:40 - 00157696 _____ (Microsoft Corporation) C:\Windows\System32\winsta.dll
2014-10-16 02:14 - 2014-07-16 17:39 - 03221504 _____ (Microsoft Corporation) C:\Windows\System32\mstscax.dll
2014-10-16 02:14 - 2014-07-16 17:39 - 01051136 _____ (Microsoft Corporation) C:\Windows\System32\mstsc.exe
2014-10-16 02:14 - 2014-07-16 17:39 - 00523264 _____ (Microsoft Corporation) C:\Windows\System32\termsrv.dll
2014-10-16 02:14 - 2014-07-16 17:39 - 00304128 _____ (Microsoft Corporation) C:\Windows\System32\winlogon.exe
2014-10-16 02:14 - 2014-07-16 17:39 - 00131584 _____ (Microsoft Corporation) C:\Windows\System32\aaclient.dll
2014-10-16 02:14 - 2014-07-16 17:39 - 00130048 _____ (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll
2014-10-16 02:14 - 2014-07-16 17:39 - 00065536 _____ (Microsoft Corporation) C:\Windows\System32\TSpkg.dll
2014-10-16 02:14 - 2014-07-16 17:39 - 00017408 _____ (Microsoft Corporation) C:\Windows\System32\credssp.dll
2014-10-16 02:14 - 2014-07-16 17:03 - 00184320 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys
2014-10-16 02:14 - 2014-07-16 17:02 - 00031232 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\tssecsrv.sys
2014-10-16 02:14 - 2014-06-18 14:23 - 01131664 _____ (Microsoft Corporation) C:\Windows\System32\dfshim.dll
2014-10-16 02:14 - 2014-06-18 14:23 - 00156824 _____ (Microsoft Corporation) C:\Windows\System32\mscorier.dll
2014-10-16 02:14 - 2014-06-18 14:23 - 00081560 _____ (Microsoft Corporation) C:\Windows\System32\mscories.dll
2014-10-16 02:14 - 2014-05-29 23:52 - 00259584 _____ (Microsoft Corporation) C:\Windows\System32\msv1_0.dll
2014-10-16 02:14 - 2014-05-29 23:52 - 00247808 _____ (Microsoft Corporation) C:\Windows\System32\schannel.dll
2014-10-16 02:14 - 2014-05-29 23:52 - 00220160 _____ (Microsoft Corporation) C:\Windows\System32\ncrypt.dll
2014-10-16 02:14 - 2014-05-29 23:52 - 00172032 _____ (Microsoft Corporation) C:\Windows\System32\wdigest.dll
2014-10-10 07:16 - 2014-10-11 09:25 - 00000000 ____D () C:\Users\BaschoTec\Downloads\10.10.14
2014-10-04 09:31 - 2014-10-04 09:31 - 00837243 _____ () C:\Users\BaschoTec\Downloads\ابسولوت نهدي.png-large

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2014-10-27 18:23 - 2009-07-13 18:37 - 00000000 ____D () C:\Windows\System32\LogFiles
2014-10-27 08:05 - 2009-07-13 20:34 - 00026528 ____H () C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-10-27 08:05 - 2009-07-13 20:34 - 00026528 ____H () C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-10-27 07:57 - 2013-04-28 06:39 - 00000000 ____D () C:\Users\BaschoTec\AppData\Roaming\Skype
2014-10-27 02:59 - 2010-11-20 13:01 - 01618320 _____ () C:\Windows\System32\PerfStringBackup.INI
2014-10-27 02:07 - 2014-02-19 03:33 - 00000000 ____D () C:\Program Files\sysTPL
2014-10-25 03:48 - 2013-05-14 09:29 - 00004514 ____H () C:\Users\BaschoTec\Downloads\.picasa.ini
2014-10-24 08:47 - 2013-06-17 03:49 - 00000000 ___HD () C:\Users\BaschoTec\Downloads\.picasaoriginals
2014-10-17 23:57 - 2013-03-06 03:51 - 00002342 _____ () C:\Users\BaschoTec\Desktop\Google Chrome.lnk
2014-10-17 02:02 - 2014-01-28 02:57 - 00000000 ____D () C:\Users\BaschoTec\AppData\Roaming\Apple Computer
2014-10-16 23:50 - 2009-07-13 18:37 - 00000000 ____D () C:\Windows\Microsoft.NET
2014-10-16 23:23 - 2009-07-13 20:33 - 00284840 _____ () C:\Windows\System32\FNTCACHE.DAT
2014-10-16 23:21 - 2009-07-13 18:37 - 00000000 ____D () C:\Windows\System32\de-DE
2014-10-16 09:59 - 2013-08-15 23:29 - 00000000 ____D () C:\Windows\System32\MRT
2014-10-16 09:56 - 2013-08-15 23:29 - 100290944 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe
2014-09-30 03:14 - 2013-03-19 02:00 - 00000000 ____D () C:\Program Files\Mozilla Maintenance Service

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe
[2014-10-16 02:14] - [2014-07-16 17:39] - 0304128 ____A (Microsoft Corporation) 52449FD429D6053B78AE564DEF303870

C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 27%
Total physical RAM: 1791.3 MB
Available physical RAM: 1295.53 MB
Total Pagefile: 1791.3 MB
Available Pagefile: 1296.91 MB
Total Virtual: 2047.88 MB
Available Virtual: 1963.95 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:27.8 GB) (Free:1.27 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (Daten) (Fixed) (Total:205.08 GB) (Free:203.18 GB) NTFS
Drive f: (2093) (Removable) (Total:1.82 GB) (Free:1.82 GB) FAT
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 232.9 GB) (Disk ID: 4E6B4E6B)
Partition 1: (Active) - (Size=27.8 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=205.1 GB) - (Type=OF Extended)

========================================================
Disk: 1 (Size: 1.8 GB) (Disk ID: 00000000)

Partition: GPT Partition Type.


LastRegBack: 2014-10-27 05:08

==================== End Of Log =======================

--- --- ---

--- --- ---

--- --- ---

Anya · 28.10.2014, 12:10

Hier der anhang

Anya · 28.10.2014, 23:19

Problem gelöst!

schrauber · 29.10.2014, 19:35

Also brauchst du keine Hilfe mehr?

Anya · 30.10.2014, 14:31

Hallo schrauber,

ich habe mein System neu aufgespielt.
Danke trotzdem für die Hilfe.

Grüße
Anya

schrauber · 31.10.2014, 09:59

ok.

29.10.2014, 19:35	#6
schrauber /// the machine /// TB-Ausbilder	GVU-Trojaner Sperrseite mit Zahlungsaufforderung Also brauchst du keine Hilfe mehr? __________________ --> GVU-Trojaner Sperrseite mit Zahlungsaufforderung

31.10.2014, 09:59	#8
schrauber /// the machine /// TB-Ausbilder	GVU-Trojaner Sperrseite mit Zahlungsaufforderung ok. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

GVU-Trojaner Sperrseite mit Zahlungsaufforderung

Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner Sperrseite mit Zahlungsaufforderung