GVU Trojaner, entsperren/entfernen mit Farbar-Programm
 

Hallo,

ich habe seit Heute den nervigen GVU-Trojaner auf einem WinVista-Notebook. Ich habe versucht über System-Reset (Zeitpunkt wo alles funktioniert hat) und abgesichertem Modus (auch mit Eingabeaufforderung) das Notebook zu entsperren, scheint die Bastarde (tut mir Leid für die Ausdrucksweise, aber die Zeit die ich jetzt damit verschwenden muss ist mir glaub ich mehr Wert als die 100€ die, die haben wollen) haben eine neue Version rausgebracht wo dieser ''fix'' unmöglich gemacht wird.

Jedenfalls kenne ich euer Forum nicht, bzw. habe ich es grad gefunden und hab auch bei anderen Foren gesehen das, da das Programm ''Farbar Recovery Scan Tool" helfen soll, dies soll aber nur mit einem eigens dafür gemachten Skript funktionieren, so wie ich das verstanden hab.

Ich wäre euch zu tiefen Dank verplichtet wenn Ihr mir genauso wie vielen anderen helfen würdet, dafür habt ihr gleich hier auch den Log vom Scan mit diesem Farbar-Programm.

Vielen Dank!

:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen.

Servus,



Schritt 1 sollte deinen Rechner entsperren.
Schritt 2 + 3 bitte im normalen Modus vom Desktop starten. :)



Schritt 1
Drücke auf dem sauberen Rechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster und drücke Enter.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen infizierten Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.





Schritt 2
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).

• Starte bitte die OTL.exe.
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
• Setze einen Haken bei Scanne alle Benutzer.
• Unter Extra Registry, wähle bitte Use SafeList.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Am Ende des Suchlaufs werden 2 Logdateien erstellt.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste mit deiner nächsten Antwort

• die Logdatei von FRST,
• die Logdatei von ComboFix,
• die beiden Logdateien von OTL.

Hier schon mal die Fixlog-Datei vom Farbar-Programm:

Vielen Dank, das Notebook ist entsperrt, weitere Log-Dateien folgen von den weiteren Schritten in kürze...

Servus,


das hört sich doch schon mal gut an. :)

Tut mir Leid, ich habe ein Problem, nachdem Combofix meinen Computer neugestartet hat, will er nicht Hochfahren, oben links blinkt nur ein Strich vom BIOS...

Was nun?

Servus,


Rechner komplett ausschalten und neu starten.

Ggf. im abgesicherten Modus starten, wenn der normale Modus nicht funktioniert.

Berichte mir, ob sich eine Besserung ergeben hat.

Okay, Gott sei Dank ist er wieder angesprungen, Combofix-Fenster ist offen und bittet mich um Gelduld, glaub ist bald fertig also, Fixlogs folgen...

Hehe... :)

Ich hatte schon gedacht, ComboFix hat deinen Rechner ausgeknippst... :blabla:

Freut mich, dass es läuft. :daumenhoc

Hatte gerade nachdem Combofix fertig war, und der eine Fehler den du schon beschrieben hast (in der Anleitung) kam, beim Neustart wieder den BIOS-Strich... sprang aber bei neuem Hard-Reset wieder an...

jedenfalls der Combofix-Fixlog:

letzter Fixlog von Punkt 3 folgt...

EDIT:

OTL Fixlogs (2):

OTL.txt:

Extras.txt:

hoffentlich wars das jetzt...
ich sage jetzt schon vielen herzlichen dank, top forum, top hilfe!

Servus,


Nein, das wars noch nicht. ;)


So geht es weiter:




Schritt 1
Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  
  

  Code:

  ---

  Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LosAlamos"=-

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von ComboFix,
• die Logdatei von AdwCleaner,
• die Logdatei von JRT.

Combofix:

AdwCleaner:

JRT:

Servus,



sieht gut aus. :)
Wir spüren die letzten Reste auf, damit wie sie später entfernen können:





Schritt 1

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List
• Klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt 2
Lade SystemLook von jpshortstuff vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop.
SystemLook (64 bit)

• Doppelklicke auf die SystemLook_x64.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code:

  ---

  :filefind
*oovootoolbar*
*AskSearch*
*Conduit*
*SweetIM*
*FunWebProducts*
*MyWebSearch*
*PriceGong*
*Softonic*

:folderfind
*oovootoolbar*
*AskSearch*
*Conduit*
*SweetIM*
*FunWebProducts*
*MyWebSearch*
*PriceGong*
*Softonic*

:regfind
oovootoolbar
AskSearch
Conduit
SweetIM
FunWebProducts
MyWebSearch
PriceGong
Softonic

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf kann einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Gibt es noch Probleme mit Malware? Wenn ja, welche?
Wie läuft der Rechner derzeit?





Bitte poste mit deiner nächsten Antwort

• die beiden Logdateien von OTL,
• die Logdatei von SystemLook,
• die Beantwortung der gestellten Fragen.

OTL:

OTL Extras

SystemLook:

Keine Probleme mit sonstiger Malware
Notebook läuft gefühlte 5x flüssiger, als wäre er neu :singsing:

Aufjedenfall dickes :dankeschoen: