Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   GVU Trojaner unter Windows 8 (https://www.trojaner-board.de/135321-gvu-trojaner-windows-8-a.html)

TheliaWind 21.05.2013 20:17

GVU Trojaner unter Windows 8
 
Hallo,
habe mir heute einen GVU Trojaner eingefangen, der mir den Zugriff auf meinen Recher sperrt. Bei Chip.de ist er als Version 2.04 klassifiziert. Mein Rechner läuft unter Windows 8. Es ist ein Acer-Aspire V3-771G-Notebook.

Habe bisher nur versucht, den Rechner im abgesicherten Modus zu starten, was aber nicht gelingt. Ich kann ihn aber runter fahren und komme beim Hochfahren bis zur Eingabe des Windows-Passwortes. Danach erscheint die Bildschirmsperre des Trojaners.

Habe Zugriff auf das Internet über einen zweiten Rechner der nicht betroffen ist.

Wäre über Hilfe beim Bereinigen sehr dankbar!

Gruß,
TheliaWind

t'john 22.05.2013 14:06

:hallo:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

TheliaWind 23.05.2013 00:06

Hallo t'john,
habe CD mit OTLPE erstellt. Das Booten unter Win 8 ging nicht mit den F-Tasten. Habe dann eine Anleitung gefunden, wie ich ins BIOS komme, das unter Win 8 UEFI heisst. Es geht wenn man bei "neu starten" die SHIFT-TASTE gedrückt hält und dann dem Menü folgt bis UEFI-Einstellungen geändert werden können. Dort kann man dann die Bootreihenfolge etc. einstellen.

Boot von CD hat letzlich funktioniert. Leider kam dann nach dem Windows XP-Bildschirm eine Fehlermeldung (stop error screen): "A problem has been detected and windows has been shut down to prevent damage....

Technical information: STOP: 0x0000007B (0xF78DA528, 0xc0000034, 0x00000000, 0x00000000)"

Habe noch mal neu gestartet, leider mit dem gleichen Ergebnis. Bin also nicht bis zum REATOGO-Desktop gekommen. Was tun?

Beste Grüße
TheliaWind

t'john 23.05.2013 11:59

Bitte im BIOS die SATA-Settings von AHCI auf IDE/ATA umstellen.

TheliaWind 23.05.2013 19:55

Hallo,
Bios geändert. Kann OTLPE jetzt starten. Leider findet das Programm unter "My Computer" nicht meine Festplatte mit der Windows Installation. Nur RAM Disk, CD-Laufwerk und "Shared Documents". Kann Scan deshalb nicht starten.

Grüße TheliaWind

t'john 24.05.2013 10:17

Bitte alle Laufwerke durschsuchen!

TheliaWind 24.05.2013 15:05

Hm, also folgende Ordner werden angezeigt:

"My Computer": -> no windows installations found
darunter:
"RAMDisk (B)": -> Target is not windows 2000 or later
"RetogoPE":
und "Shared Documents" Ordner: -> Target is not windows 2000 or later

Mein(e) Festplattenlaufwerk(e) mit den Bezeichnungen c und d bekomme ich nicht als Auswahloption über OTLPE angeboten!

Die Anzeige der Laufwerke entspricht also nicht dem, was z.B. in der bebilderten Anleitung für OTLPE als Beispiel angegeben ist. Die lokalen Discs fehlen!

Ich habe dann noch mal versucht, c:/windows und d:/windows manuell als Folder einzugeben: -> no windows installation found

Was tun?
Gruß,
TheliaWind

t'john 24.05.2013 16:42

Bist du alle Laufwerke durchgegangen?
Die koennen anders nummeriert sein als unter Windows.


Alternative:
Kommst du in den abgesicherten Modus?
http://www.trojaner-board.de/130086-...ktivieren.html

TheliaWind 24.05.2013 20:46

Also OTLPE zeigt nur die oben genannten Laufwerke/Ordner an. Nicht meine Festplatte. Diese finde ich über den DiskPartitioner, kann einen Laufwerksbuchstaben zuweisen. Dann kommt die auch in das OTLPE-Menü. Bei einem Scanversuch kommt dann die Meldung, die Disc im Laufwerk sei nicht formatiert....Auch die sonstigen Angaben zum Laufwerk sind nicht richtig/ bzw. vollständig.

Habe dann auch alle Buchstaben von a-f mit C:\Windows etc. und Variationen ausprobiert immer mit dem gleichen Ergebnis, das nichts gefunden wird.

In den abgesicherten Modus komme ich ebenfalls so nicht rein. F8 reagiert nicht. Auch die WIN-Taste+R, um in die Eingabeaufforderung zu gelangen, zeigt keine Reaktion. Bin dazu allerdings auch nicht in der WIN 8-Umgebung.

Wenn ich neu boote komme ich auch nicht mehr in die Problembehandlung von Win 8, weil der Rechner immer auotmatisch die Boot-CD anfordert, auch wenn ich im Bios die Reihenfolge wieder ändere. Das HD-Laufwerk mit der Windows-Installation scheint irgendwie für WIN XP / OTLPE nicht existent zu sein.

Bin leider etwas ratlos.
Gibt es weitere Möglichkeiten? Muss ich im BIOS wieder etwas neu einstellen, damit er wieder vom HD-Laufwerk bootet?

t'john 25.05.2013 13:59

CD rausnehmen

Zitat:

Wenn Windows nicht funktioniert:


Wenn der Bootvorgang nicht funktioniert durch z.B. BKA-Trojaner:
  • Beim Booten den PC ausschalten am PC-Startknopf (also abwürgen)
  • Nach ca. 3x startet Windows 8 automatisch in den Reparaturmodus
  • Im neuen Fenster dann einfach die erweiterten Reparaturoptionen anzeigen anklicken

Befolgen wie in der Anleitung.

TheliaWind 26.05.2013 13:03

Hallo t'john, die CD hatte ich bereits heraus genommen.
Boot-Unterbrechungen führen nicht zum Ziel. Es kommt folgede Bildschirmmeldung:
INTEL UNDI, PXE-2.0 (build 083)
Copyright (C) 1997-2000 Intel Corporation
For Atheros PCIE Ethernet Controller v2.0.2.7(11/02/10)
Check cable connection!
PXE-M0F: Exiting Intel PXE ROM.
No bootable device -- insert boot disk and press any key

MfG TheliaWind

t'john 26.05.2013 15:27

Stelle das noch wieder um: http://www.trojaner-board.de/135321-...ml#post1067975 (so wie es vorher war)

und versuche es erneut.

TheliaWind 26.05.2013 15:51

Hi t'john,
jetzt geht es. Es lag an der Umstellung zwischen leagacy BIOS und UEFI!

Habe den Rechner jetzt im abgesicherten Zustand gestartet und komme nun wieder an meine Daten.

Datensicherung möglich?
Kann ich eine Win 8 CD erstellen lassen?
oder wie am besten weiter?

MfG
TheliaWind

t'john 26.05.2013 15:53

Sehr gut!

So werden wir den PC entsperren koennen.

Lade dir auf einem Zweitrechner bitte OTL (von Oldtimer) herunter und speichere es auf einen USB-Stick (nicht in einen Unterordner!).
  • Schliesse diesen USB-Stick nun an den infizierten Rechner an.
  • Starte den infizierten Computer in den abgesicherten Modus mit Eingabeaufforderung. (Anleitung)
  • In der Kommandozeile gib nun notepad ein und drücke Enter.
    • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Arbeitsplatz.
    • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
    • Schliesse Notepad wieder.
  • Gib nun bitte folgenden Befehl in die Kommandozeile ein und drücke Enter:
    e:\OTL.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
    Es sollte sich nun das Fenster von OTL öffnen.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) angezeigt und auf den USB-Stick gespeichert.
  • Poste bitte auf dem Zweitrechner den Inhalt dieser Logfiles hier in den Thread.

TheliaWind 26.05.2013 16:23

Hallo t'john.

Wenn ich versuche in den abgesicherten Modus mit Eingabeaufforderung zu kommen, dann habe ich nach Eingabe des Windows-PW nur einen schwarzen Bildschirm auf dem ich meinen Mauszeiger bewegen kann. Sonst nichts. Mehrfach versucht, immer das gleiche.

Ich komme allerdings in den abgesicherten Modus + Netzwerk (F5) rein. Dort schwarzer Hintergrund, Anzeige "abgesicherter Modus" und meine Deskopsymbole und Laufwerzugriff über Explorer etc. vorhanden.

Könnte so auf USB-Stick zugreifen und OTE starten.

Wäre das OK oder eher so nicht anzuraten?

Gruß
TheliaWind


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131