|
GVU Trojaner und der Eintrag AutoRun im Command Processor Es geht noch mal um den GVU Trojaner ... In den Thread http://www.trojaner-board.de/135552-...in7-start.html darf ich leider nicht reinschreiben. Der GVU-Trojaner nistet sich im Temp-Verzeichnis des Users ein, der ihn sich eingefangen hat und sorgt über den Eintrag HTML-Code: HKey_Current_user\Software\Microsoft\Command Processor\AutoRun=C:\Users\<username>\AppData\Local\Temp<zufälliger Name>.exeEigentlich ziemlich primitiv, dieser Schädling. Man benötigt keinen zeitintensiven Systemstart mit einer Boot-CD, um den Rechner zu analysieren. Die Anmeldung als anderer User, falls vorhanden, genügt bereits. Mir war diese Startmöglichkeit eines Schädlings bisher unbekannt, weil auch AutoRun diese Stelle unter Logon nicht aufführt. Erst über Everything findet man den Eintrag weiter unten. Auf einem sauberen Rechner scheint es den Eintrag AutoRun im Zweig Command Processor nicht zu geben. Wenn ich aber den Eintrag AutoRun im Command Processor lösche, bleibt der Bildschirm schwarz. HTML-Code: HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=Explorer.exeDieses Windows-Feature hat vermutlich ein höhere Priorität oder wird vor dem Eintrag Shell=Explorer.exe abgearbeitet. Irgendwo muss es also noch einen Eintrag in der Registry geben, der auf diesen Command Processor "umschaltet" bzw. den AutoRun Eintrag in diesem Zweig aktiviert bzw. erforderlich macht. Bevor ich jetzt irgendwelche Tools auf den Rechner loslasse, hätte ich gerne gewußt, wie dieses Windows-Feature funktioniert und wieder berichtigt werden kann. Bin für jeden Tip dankbar! |
Hi, welches Betriebssystem? |
Sorry, hatte ich vergessen: Windows 7 mit SP-1 in der 64-Bit-Version. |
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8) Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil) |
Den Menüpunt "Computer reparieren" gab es nicht im F8-Menü. Deshalb hier die FRST.txt aus dem abgesicherten Modus ... FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 04-07-2013--- --- --- Und noch die Addition.txt Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 04-07-2013 |
Fix mit FRST Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKCU\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation) <==== ATTENTION
|
Hier der Inhalt der Fixlog.txt ... Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 04-07-2013Falls ja, vielen Dank für den Support! |
Jap, aber wir machen noch Kontrollscans im normalen Windows :) Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Hier die Ergebnisse der Kontrollscans ... AdwCleaner[R1] Code: # AdwCleaner v2.304 - Datei am 09/07/2013 um 09:10:27 erstelltAdwCleaner[S1] Code: # AdwCleaner v2.304 - Datei am 09/07/2013 um 09:11:07 erstelltJRT JRT Logfile: Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 04-07-2013--- --- --- --- --- --- --- --- --- --- --- --- |
ESET Online Scanner
Downloade Dir bitte  SecurityCheck und:
und ein frisches FRST log bitte. Noch Probleme? :) |
Nein, eigentlich macht der Rechner keine Probleme mehr. Trotzdem hier die Kontrollscans No. 2 ESET Online Scanner (sorry, hatte bei diesem Programmlauf vergessen, den Haken bei "Romove Found Threads" zu entfernen) Code: ESETSmartInstaller@High as downloader log:Code: Results of screen317's Security Check version 0.99.68 FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 10-07-2013 04--- --- --- ... und die Addition Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 10-07-2013 04 |
Java und Adobe updaten. Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop. Schließe nun alle offenen Programme und trenne Dich von dem Internet. Doppelklick auf die TFC.exe und drücke auf Start. Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen. Downloade dir bitte  Farbar Service Scanner
Poste bitte den Inhalt hier. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board
