Windows XP SP2 GVU-Trojaner-Befall bei jedem Neustart
 

Hallo zusammen,
seit ca. 5 oder 6 Wochen bringe ich den GVU-Trojaner nicht mehr los.
Bei jedem Neustart im Normal-Modus kommt der weiße GVU-Bildschirm. Dann starte ich immer im abgesicherten Modus und setze auf einen mit ERDNT gesicherten Systemzeitpunkt vor dem Befall (??) zurück. Danach ist immer EINMAL ein normaler Neustart möglich. Sobald ich aber den Rechner neu starte oder starten muss, beginnt das leidige Spiel wieder von vorne.

Nun habe ich schon lange von Euch gehört und gelesen, komme aber erst jetzt endlich dazu, den OTL-Scan (V 3.2.69.0) laufen zu lassen.

OTL-Einstellungen dabei:
- alle Optionen auf "Benutze SafeList"
- Datei-Alter "30 Tage" (ist das gut so??? Weil das Problem schon länger besteht...)
- Use No CompanyName WhiteList
- Dateien verändert und Dateien verändert innerhalb "Datei-Alter"
- Scanne alle Benutzer

Die beiden Text-Dateien OTL.txt und Extras.txt poste ich hier und würde mich riesig freuen, wenn Ihr mir hier weiterhelfen könnt!! :-)

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.

Hallo,
vielen Dank für den Tip, hier jetzt die beiden txt-Files nochmal in CODE-Boxen:

OTL.txt:
Extras.txt:
Vielen Dank nochmal für all Eure Bemühungen - bis dann. Ich bin dann wohl erst morgen abend wieder erreichbar. :-)
LG Viola

Jetzt hab ich noch einen FRST-Scan laufen lassen und poste das Ergebnis, bevor ich ins Bett gehe:
FRST.txt:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


Addition.txt:

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hallo,
habe Combofix laufen lassen. Es hat die Wiederherstellungskonsole installiert und dann gearbeitet und den Rechner neu gestartet. CHKDSK wurde ausgeführt und wieder neu gestartet. Danach bootete der PC anstandslos und Combofix hat den folgenden Logfile erstellt:

ComboFix.txt

Vielen herzlichen Dank erst schon mal!!!!! Ich warte dann auf weitere Anweisungen... Gehe jetzt schlafen und bis morgen nachmittag erst wieder erreichbar. Ein schönes Wochenende!
Viola

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hallo schrauber :-)
Also der Rechner verhält sich wohlwollend :-D, die von Dir gewünschten Log-Files habe ich untenstehend alle gepostet.

Nur eines ist nach wie vor seltsam. Bei jedem Booten kommt folgende Meldung:

RUNDLL
Fehler beim Laden von C:\DOKUM~1\ALLUSE~1\ANWEND~1\z8rjnb6jg.plz
Das angegebene Modul wurde nicht gefunden.

Das scheint ja der File zu sein, über den GVU früher immer wieder neu geladen wurde.
Nur: wo ist der Hinweis versteckt, dass der PC den fehlenden File jedesmal wieder suchen will.
Wenn ich die Registry mit regedit danach durchsuchen lasse, dann kackt jedesmal die Machine nach ein paar Minuten ab, bootet neu, sucht wieder nach derselben Datei und bringt foldende Meldungen:


Windows wird nach einem schwerwiegenden Fehler wieder ausgeführt...

Problemsignatur:

BCCode : 35 BCP1 : 81CA1AC0 BCP2 : 00000000 BCP3 : 00000000
BCP4 : 00000000 OSVer : 5_1_2600 SP : 2_0 Product : 256_1

Die folgenden Daten wurden in Ihren Problembericht aufgenommen:

C:\DOKUME~1\Fuchs\LOKALE~1\Temp\WER6db0.dir00\Mini010509-01.dmp
C:\DOKUME~1\Fuchs\LOKALE~1\Temp\WER6db0.dir00\sysdata.xml

Wo steckt der Eintrag, der nach der .plz-Datei sucht??? Kriegen wir den irgendwie weg???
Sonst scheint ja alles jetzt wunderbar hinzuhauen.

Die Logfiles im folgenden:

mbam-log-2013-11-04 (01-29-41).txt:
AdwCleaner[S0].txt
JRT.txt:
FRST.txt:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Addition.txt:
Vielen Dank jetzt schon mal wieder. Hast mir bis jetzt schon riesig geholfen. Kann wieder normal arbeiten. Vielleicht kriegmer die Meldung beim Booten auch noch weg... :taenzer:
Gruß Viola :-)

PS: Bin voraussichtlich erst Dienstag abend wieder da

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hallo schrauber :-)

habe alles so gemacht, wie Du geschrieben hattest und danach einmal neu gestartet, um zu sehen, was beim Start passiert. Das System versucht jetzt nicht mehr, die nicht vorhandene Datei z8rjnb6jg.plz zu starten. Sow weit, so gut.
Aber es kam wieder eine ähnliche Meldung wie in meiner letzten Antwort beschrieben:

"Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt..."

Problemsignatur:

BCCode : 35 BCP1 : 81351E70 BCP2 : 00000000 BCP3 : 00000000
BCP4 : 00000000 OSVer : 5_1_2600 SP : 2_0 Product : 256_1

Die folgenden Daten wurden in Ihren Problembericht aufgenommen:

C:\DOKUME~1\Fuchs\LOKALE~1\Temp\WER628f.dir00\Mini010509-02.dmp
C:\DOKUME~1\Fuchs\LOKALE~1\Temp\WER628f.dir00\sysdata.xml

Dann dachte ich mir, bootest nochmal, vielleicht ist es dann weg. Weit gefehlt! Jetzt kann ich das Fenster zwar schließen, aber nach 1 Sekunde kommt die gleiche Meldung ("Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt...") wieder und wieder und wieder, immer mit ähnlichen "Einzelheiten" :aufsmaul:
Habe das Fensterchen an den unteren Rand verbannt, weil es ja auch immer im Vordergrund ist sonst.

Ansonsten verhält sich alles offenbar problemlos bisher.

So, jetzt die gewünschten Logfiles im einzelnen:

Fixlog.txt:
Die log.txt vom ESET Online-Scanner:
checkup.txt:
Meine Antivirensoftware ist uralt, ein altes AntiVir Version 6, das noch mit dem SP2 funktioniert. Habe da nicht mehr updaten können, weil SP3 verlangt wird.
Frage dazu: Gibt es eine vernünftige AV-Software, für die SP3 nicht benötigt wird?? Ich habe das nie versucht zu installieren, weil, das ewig dauert und ich meinem invaliden Rechner da nicht ganz traue...

FRST.txt:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


Vielen Dank jetzt erstmal wieder und bis später irgendwann :-)
Gruß Viola

Schau mal bitte ob du diese Datei findest.