GVU TROJANER (abgesichert Modus ohne Funktion) OTLPE
 

Guten Tag,
ich habe mir leider den GVU Trojaner eingefangen.

Nach einigen versuchen bin ich dann hier auf das Forum gestoßen und habe dann die "Lösung" mit der Boot CD von OTLPE probiert. Ich bin euren detalierten Anweisungen gefolgt und ziehe meinen Hut. =) Soweit ersteinaml ein Dankeschön.

Wie in eurer BEschreibung habe ich den RUN-Scan durchgeführt, bei mir wurde allerdings nur eine .txt datei ausgespuckt, die ich hier anfüge.

Ich würde mich sehr freuen, wenn ihr mir hier die weiteren Schritte erläutern würdet.

Vielen Dank im vorraus

Hallo Starscream und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.



Gerne doch. ;)
Schritt 1 sollte den Sperrbildschirm entfernen. Du solltest dann die folgenden Schritte wieder normal in Windows ausführen können:


Schritt 1

• Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Klicke jetzt auf den Fix Button.
• Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Wieder im normalen Modus:

Schritt 2

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 3

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 4

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Fixlog von OTLpe
• Log von Gmer
• Logs von OTL

Hallo Leo,
ersteinmal danke für die schnelle Antwort =)

also Schritt 1 habe ich erfolgreich durchgeführt. Ich habe wieder vollen Zugriff auf dem normalen Desktop. Schritt zwei konnte ich auch noch durchführen.
Allerdings sobald ich Gmer.exe starte, bekomme ich einen Blue-Screen und nichts geht mehr. =(

HIer die beiden Log-Dateien
FixlogOTL
defogger-Log

Dann überspring den Schritt mit Gmer und mach mit OTL weiter.

Hier die beiden OTL Files:

OTL
OTL Logfile:
--- --- ---


Extras
OTL Logfile:
--- --- ---

Hallo,

ok, dann weiter:


Schritt 1

Bei dir läuft der Teatimer von Spybot Search&Destroy.
Mit laufendem TeaTimer lässt sich keine Bereinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Bereinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Bereinigung fertig sind, und stelle ihn erst danach wieder ein.):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schliessen => Rechner neu starten. Bebilderte Anleitung.



Schritt 2

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und akzeptiere die Endbenutzer-Lizenz.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 4

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von Combofix
• Log von OTL

Schritt 1 & 2 habe ich erledigt hier die Log-File

AdwCleaner Logfile:
--- --- ---


Bei dem ComboFix funktionierte es eine Zeit lang.
Er zeigte in dem Fenster an, dass er die einzelnen Stufen abgearbeitet hat.
Nach ca. 10 minuten stand da kurz "Prozess abgeschlossen" (wenn ich mich recht erinnere).
Jedoch war das nur ca 1 sekunde zu sehen und es erschien sofort wieder ein Blue screen. Es wurde nach dem Neustart auch keine! logfile erstellt . =(

Findest du auch kein Logfile in den Ordnern C:\Combofix oder C:\Qoobox ?

Nein, die einzige .txt dabtei in Qoobox heisst "Catchme" im Ordner "Quarantine" und in dieser Datei steht nur ein Datum und eine Uhrzeit sinst nichts.

Benenne die Combofix.exe mal um in NoMbr.exe und starte es dann nochmals. Läuft es jetzt durch?

Habe die Datei umbenannt und nochmal gestartet.

Der letzte Satz in dem Fenster "Dateien werden gelöscht" und wieder ca. 1 sekunde später tauscht der Blue-Screen wieder auf und es wurde wieder kein Log-File erstellt.

Ok, letzter Versuch:
Benenn die Datei wieder um in Combofix.exe und starte sie im abgesicherten Modus.

soo..... im abgesicherten modus hat es funktioniert =)


Hier die Log:
Combofix Logfile:
--- --- ---

Prima, fehlt nur noch OTL (Schritt 4) und dann geht's weiter.

Hab ich vor lauter Aufregung ganz vergessen ;)

OTL Logfile:
--- --- ---