GVU mit Strafandarohung -NICHTS geht mehr!
 

Hallo,

ich habe mir heute den GVU Virus eingefangen (Gesellschaft zur Verfügung von Urheberrechten). Dies trotz aktiviertem Norten 360 online. Ich soll jetzt 100,-- € zahlen mittels eine Karte und einem einzugebenden Code. Mein Rechner arbeitet mit Windows xp und Firefox.

Leider geht beim Rechner keinerlei Funktion mehr, auch der "abgesicherte Modus" klappt nicht. Es erscheint beim Neustart sofort die Zahlmaske. Ich habe die Internet Verbindung rausgezogen, aber auch jezt kann ich nicht auf die Tasten oder irgenteine Funktion zugreifen. Die Taste F8 reagiert ebenfalls nicht. Der PC ist wie tot.

Ich schreibe dies vom PC meiner Partnerin nebenan. Leider bin ich kein Profi und kann den PC einfach nur bedienen. Brauche wirklich dringend Hilfe, da ich am Montag wieder damit arbeiten muß. Ich arbeite von zu Hause und habe alle Daten darauf. Ohne PC sitze ich sozusagen auf dem Trockenen.

Vielen Dank und beste Grüße, Gerhard.

:hallo:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo t`john,

herzlichen Dank für Deine superschnelle Antwort. Ich freue mich, daß Du Dich meiner angenommen hast, Danke! Für mich ist das alles Neuland und ich bitte daher etwas um Nachsicht, falls ich mal nachfrage oder etwas länger brauche.

Habe mir heute morgen CD`s und USB Stick besorgt und losgelgt. Schwierig wurde es beim Booten, habe es aber dann mit der Anleitung hinbekommen.

Auf meinem infizierten PC habe ich jetzt den Desktop von Reatogo. Den Scan habe ich durchgeführt. Mit dem Auswählen des Windows Ordners wie in der Anleitung, habe ich so nicht gefunden, er zeigte meinen Namen an, dieser war schon gekennzeichnet und auch fragte er nicht nach der remote registry. Ansonsten lief der Scan durch und ich kopiere die hoffentlich richtigen Datein:OTL Logfile:
--- --- ---

Vielen Dank und beste Grüße, Gerhard B.

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Hi t`john,

ok, aber wie geht das mit fix.txt dokument Datei erstellen die dann auf den USB Stick soll?

Beste Grüße, Gerhard B.

Hallo t`john,

was bedeutet es, daß ich die Logfile hier einsehen kann und soll ich die CD nach dem Fix Vorgang aus dem Laufwerk herausnhmen?

Beste Grüße, Gerhard B.

Am zweiten PC erstellst du mit Notepad (WIN-Taste+R, notepad eintippen und enter druecken)

Fix kopieren und auf USB-Stick speichern.

Wo gibts noch Probleme?

Halli t`john,

hat geklappt. Anbei die Datei nach dem "Fixen".

========== OTL ==========
HKU\G.Berg_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Prefs.js: "127.0.0.1" removed from network.proxy.http
Prefs.js: 56364 removed from network.proxy.http_port
Prefs.js: 1 removed from network.proxy.type
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_USERS\G.Berg_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\G.Berg\Anwendungsdaten\skype.dat deleted successfully.
C:\Dokumente und Einstellungen\G.Berg\Anwendungsdaten\skype.dat moved successfully.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
C:\WINDOWS\System32\SET3C.tmp deleted successfully.
C:\WINDOWS\System32\SET41.tmp deleted successfully.
C:\Dokumente und Einstellungen\G.Berg\3932402.exe moved successfully.
File C:\Dokumente und Einstellungen\G.Berg\Anwendungsdaten\skype.dat not found.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\G.Berg\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\G.Berg\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\*.tmp not found.
File\Folder C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Temp\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\G.Berg\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\G.Berg\Startmenü\Programme\Autostart\ctfmon.lnk not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk not found.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache folder moved successfully.
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.

Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: G.Berg
->Temp folder emptied: 3450648 bytes
->Temporary Internet Files folder emptied: 2003378 bytes
->Java cache emptied: 502797 bytes
->FireFox cache emptied: 502300139 bytes
->Flash cache emptied: 15840 bytes

User: G565A~1~BER

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49370279 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2969497 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1077 bytes

Total Files Cleaned = 535.00 mb


OTLPE by OldTimer - Version 3.1.48.0 log created on 01122013_183722

Was soll ich jetzt denn genau weiter tun?

Beste Grüße, Gerhard B.

Hallo t`john,

habe jetzt noch getestet, ob der PC wieder im den normalen Windows Modus bootet. Dazu habe ich die CD mit dem benutzten Programm entfernt und ihn komplett ausgemacht, wieder angemacht, startete er ganz normal in den Windows Modus. Die getesteten Ordner und Dokumente konnte ich ganz normal öffnen.

Die Maske mit der Zahlungsaufforderung bzw. die weiße Maske sind bisher nicht mehr erschienen. Ich habe den PC derzeit vom Netzwerkkabel getrennt.

Das ist doch schon mal ein kleiner erster Gewinn!!

Beste Grüße, Gerhard B.

Sehr gut! :daumenhoc


1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo t`john,

dies ist die erste Nachricht, die ich von meinem eigenen PC wieder schreiben kann. Den Schritt 1, den Malwarebytes Vollscan ist gerade beendet. Hier das Ergebnis:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.13.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
G.Berg :: BERG [Administrator]

13.01.2013 09:54:47
mbam-log-2013-01-13 (09-54-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 261529
Laufzeit: 1 Stunde(n), 1 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Gehe jetzt zu Schritt 2 und berichte.

Beste Grüße, Gerhard B.

Hallo nochmals,

hier der Inhalt von AdwCleaner:

# AdwCleaner v2.105 - Datei am 13/01/2013 um 11:18:17 erstellt
# Aktualisiert am 08/01/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : G.Berg - BERG
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\G.Berg\Eigene Dateien\Downloads\adwcleaner(4).exe
# Option [Löschen]


**** [Dienste] ****

Gestoppt & Gelöscht : Application Updater

***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\G.Berg\Anwendungsdaten\pdfforge
Ordner Gelöscht : C:\Dokumente und Einstellungen\G.Berg\Anwendungsdaten\Search Settings
Ordner Gelöscht : C:\Programme\Application Updater
Ordner Gelöscht : C:\Programme\Conduit
Ordner Gelöscht : C:\Programme\Gemeinsame Dateien\spigot
Ordner Gelöscht : C:\Programme\pdfforge Toolbar

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\pdfforge
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Search Settings
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Schlüssel Gelöscht : HKCU\Software\pdfforge
Schlüssel Gelöscht : HKCU\Software\Search Settings
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\Software\Application Updater
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{638482BC-3092-42DC-AEA1-735264911A77}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Schlüssel Gelöscht : HKLM\Software\pdfforge
Schlüssel Gelöscht : HKLM\Software\Search Settings
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[S1].txt - [2773 octets] - [13/01/2013 11:18:17]

########## EOF - C:\AdwCleaner[S1].txt - [2833 octets] ##########

Beste Grüße, Gerhard B.

Sehr gut! :daumenhoc



Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Hallo T`john,

ich habe gerade den Emisoft Scan beendet. Die e gefundenen Objekte habe ich wie in der Anleitung dargestellt in Quarantäne gestellt - hoffe, das war richtig so? Anbei die Datei:

Emsisoft Anti-Malware - Version 7.0
Letztes Update: 13.01.2013 18:43:14

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn: 13.01.2013 18:44:11

C:\_OTL\MovedFiles\01122013_183722\C_Dokumente und Einstellungen\G.Berg\3932402.exe gefunden: Trojan.Win32.Inject (A)
C:\_OTL\MovedFiles\01122013_183722\C_Dokumente und Einstellungen\G.Berg\Anwendungsdaten\skype.dat gefunden: Trojan.Win32.Inject (A)
C:\Programme\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe gefunden: Adware.Win32.Toolbar.Dealio.AMN (A)

Gescannt 371460
Gefunden 3

Scan Ende: 13.01.2013 19:59:47
Scan Zeit: 1:15:36

C:\Programme\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Quarantäne Adware.Win32.Toolbar.Dealio.AMN (A)
C:\_OTL\MovedFiles\01122013_183722\C_Dokumente und Einstellungen\G.Berg\3932402.exe Quarantäne Trojan.Win32.Inject (A)
C:\_OTL\MovedFiles\01122013_183722\C_Dokumente und Einstellungen\G.Berg\Anwendungsdaten\skype.dat Quarantäne Trojan.Win32.Inject (A)

Quarantäne 3

Beste Grüße, Gerhard B.

Sehr gut! :daumenhoc


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo t`john,

Danke für Deine Antwort.

Wie deaktiviere ich denn das Norton 360 online Programm bei mir auf dem Rechner und muß ich bei Windows XP den letzten Schritt Deiner Reihenfolge auch tun, wenn ja, wie?

Herzlichen Dank, Gerhard B.

Deinstalliere es am besten!
Das ist eines der schlechtesten AV-Programme die es gibt.

du kannst danach http://www.trojaner-board.de/110895-...antivirus.html testen

Hallo t`john,

ich habe den Scan durchgeführt. Hier die Ergebnisse:

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6844
# api_version=3.0.2
# EOSSerial=0ef73aab04abee4ea4b9bb2f9e36cc5f
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-01-14 12:33:18
# local_time=2013-01-14 01:33:18 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=3592 16777213 100 98 498908 108829294 0 0
# scanned=54928
# found=2
# cleaned=2
# scan_time=4136
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\824bba9\8868.mof Win32/RogueAV.A trojan (cleaned by deleting - quarantined) AC4A3D71574B76D2D1586AD3E84ED1914DAB5B1E C
C:\_OTL\MovedFiles\01122013_183722\C_Dokumente und Einstellungen\G.Berg\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\43763fe2-3857ff55 a variant of Java/Exploit.CVE-2013-0422.D trojan (deleted - quarantined) F08BCF66B2E40E667025BB098B3C4BF499344076 C

Was würdest Du mir denn als Komplettschutz für meinen PC alles empfehlen?

Beste Grüße, Gerhard B.

Hallo t`john,

die restlichen Punkte des heutigen Programms sind alle ausgeführt.

Beste Grüße, Gerhard B.

Hallo t`john,

wieso ist denn dieses Norton 360 online so mies, es wurde von der Telekom angepriesen wie "der Schutz schlechthin".

Beste Grüße, Gerhard B.