GVU Trojaner - Kein abgesicherter Modus funktioniert, Windows 7 64 bit
 

Hey,

Ich wurde vom bekannten Trojaner erwischt. Wie werde ich den wieder los?

Es funktioniert kein Abgesicherter Modus (auch nicht mit Eingabeaufforderung), sobald Windows dort starten würde fährt der PC stattdessen runter.

Bitte um Hilfe

Hi,
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Danke wird gemacht.

Soweit ich weiß werden in diesen Log files auch Dateien auf dem Desktop, Login Namen, eventuell Email addressen etc angezeigt. Kann ich die unkenntlich machen?

Habe die Schritte verfolgt: Nachdem der REATOGO-X-PE Ladebalken voll ist sieht man kurz den Windows XP bootscreen (wie gesagt ich habe Windows 7) und darauf folgt ein Bluescreen

Mein Windows ist übrigens auf einer SDD installiert falls das wichtig ist

hi gehe ins bios, meist über entf zu erreichen und wähle dort, meist unter advanced bzw SATA optionen aus.
ide oder ahci mode, je nach dem was momentan konfiguriert ist, das Gegenteilige.
Logins sehen wir in den Logs nicht
versuchs dann noch mal mit otl

Danke habs grad schon gemacht, hab eine Anleitung aus diesem Forum gefunden. Ich hol jetzt die beiden Logs und melde mich dann nocheinmal.

Warnn sollte ich den IDE mode wieder zurück in AHCI stellen? Sobald hier alles erledigt ist?

sag ich dir dann schon, poste erst mal das log

Die OTL.txt wurde erstellt aber keine Extras.txt, oder werden die an unterschiedlichen Stellen gespeichert?

Zudem wurde ich nicht "Do you wish to load the remote registry" gefragt, lediglich die andere Frage wurde gestellt.

Und zu guter letzt wird mein USB stick nicht erkannt. Funktioniert das brennen auf eine DvD auch?

dann starte neu, nimm vorher den stick raus, starte von der otl cd tu den stick wieder rein, dann sollte er erkannt werden, dann otl.txt entweder neu erstellen oder auf den Stick kopieren und posten

Und die Extras.txt datei ist nicht notwendig oder wird die dieses Mal wahrscheinlich erstellt?

hauptsache die otl.txt ist erst mal da

Hier ist die OTL.txt

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk. stelle den Modus im Bios um
windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
Wenn du keinen Desktop angezeigt bekommst, dann strg+alt+entf, taskmanager, neuer task, tippe:
explorer.exe
enter
dann sollte das gehen, teile mir mit, falls das nötig war.
falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)


Falls das Archiv größer als 10 mb ist, siehst du über Rechtsklick, Eigenschaften, dann hochladen bei:
File-Upload.net - Ihr kostenloser File Hoster!
und Downloadlink an mich als private Nachicht

Desktop wieder da. Ich musste am Anfang in der Eingabeaufforderung explorer.exe eingeben damit ich etwas angezeigt bekomm.

Der Rest folgt.

"Falls größer als 10mb" ist gut^^

Der upload von 538 mb läuft gerade

das is wohl zu groß, poste mal das log vom fixb

Sind das die beiden Logs die in dem Moved Files ordner sind?

Kann ich die gefahrlos auf diesem (anderen) PC extrahieren?

der normale müsste auch internet haben die logs bzw das was im ordner moved files ist

07042013_225915.log

07042013_230043.log


Folgende Dateien sind in den Unterordnern: \07042013_225915\F_Users\Erwischt\AppData\Local\Temp

http://img706.imageshack.us/img706/2088/89y.png

schau mal im otl ordner nach
F:\Users\Erwischt\AppData\Local\Temp\wtmcrlbvimjaqitjp.exe
die dann packen und hochladen

Hab das im Upload Channel getan...aber wie bekomme ich jetzt den Link um den hier zu posten?

gar nicht. der ist nur intern zu sehen.
danke dir.
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

starte danach neu, gucke ob der explorer wieder startet.
die Archive kannst du löschen.

Wird gemacht!

Eine kurze Zwischenfrage: Wenn ich das System später neu aufsetze: Welche Dateien darf ich sichern und somit wieder auf das neuaufgesetzte System nehmen?

na wenn du das system neu aufsetzen willst, können wir uns combofix sparen.
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://forum.chip.de/viren-trojaner-...c-1736596.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Gut dann werde ich das nun tun. Ich möchte komplett sicher sein, dass alles Schädliche weg ist.

Prüfe ich die gesicherten Daten mit einem Antivirenprogramm (zB avast) sobald das System neu aufgesetzt ist?

Wie sieht es mit mit ganzen Ordnern aus (auf einer anderen Festplatte), die Medien-Dateien beinhalten? Ordner mit .exe Dateien nehme ich natürlich nicht mit.

kannst erst mal soweit alles mit nemen, dann setzen wir neu auf, und sichern ab, dann prüfen wir