Trojaner-Board - GVU Trojaner Abgesicherter Modus funktioniert nicht mehr! Windows XP

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU Trojaner Abgesicherter Modus funktioniert nicht mehr! Windows XP (https://www.trojaner-board.de/141763-gvu-trojaner-abgesicherter-modus-funktioniert-mehr-windows-xp.html)

GVU Trojaner Abgesicherter Modus funktioniert nicht mehr! Windows XP

Hallo ! Der PC von meinen Eltern hat sich mal wieder einen GVU Trojaner eingefangen! Das war jetzt schon das 2 mal, gut das es euch gibt! hab schon ein paar Threads verfolgt! Ich poste hier gleich im Anhang die OTL Datei mitrunter!!
Hoffe ich mach das alles richtig den ein PC - Genie bin ich echt net! Aber man lernt immer wieder dazu mit solchen Spielereien :)

Das System von meinen Eltern ist noch ein Windows XP System!
Das System lässt sich via abgesicherten Modus nicht mehr starten! Fährt direkt wieder runter! Habe mir OTL runtergeladen und eine Boot Disc auf einem 2 sauberen Rechner erstellt! Somit konnte ich dann wieder in den infizierten Rechner rein! Habe den Scan durchlaufen lassen und nun hier die OTL.txt Datei im Anhang hinzugefügt! Wie gehts nu weiter?
Bitte um Hilfe !!
gruss
benny

Hallo Benny,

startet der Rechner nach diesem Fix wieder normal?

Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

:OTL

[2013/09/17 13:54:42 | 000,016,181 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\026j.exe

[2013/09/17 13:48:01 | 000,000,802 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Autostart\hrj7t7t34.lnk

[2013/09/17 13:48:00 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hrj7t7t34.ctrl

[2013/09/17 13:47:56 | 095,025,368 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hrj7t7t34.pff

[2013/09/17 13:47:55 | 000,192,868 | ---- | C] (Daniel Pistelli) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\43t7t7jrh.plz

[2012/11/05 10:26:07 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsass.exe

[2012/11/05 10:26:07 | 083,023,306 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad

[2012/08/31 09:52:35 | 000,076,341 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vdpaufjhmvdselv

[2012/08/31 09:52:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\unptvalsqmezdod

[2012/07/31 11:42:16 | 004,503,728 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad
 

:reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

  77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\

  00,6c,00,6c,00,00,00

Klicke jetzt auf den Fix Button.
Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
Kopiere nun dessen Inhalt hier in deinen Thread.

Erstmal hallo und danke leo für die rasche Antwort!
Nein, startet immer noch nicht im normalen Modus! kommt immer noch der GVU Trojaner! Habe Den PC nochmals mit der OTL Boot Disc gestartet, bin in das Programm OTLPE rein und habe über "RUN FIX" Die TxT Datei reingeschoben die du mir oben gepostet hast! Das steht dann auch unten im LOG drin! Das mit Benutzernamen bzw(*****) habe ich auch beachtet! Wie gesagt, hab dann nen Neustart vorgenommen über den Normalen Modus aber GVU ist immer noch da ! Muss noch dazu sagen habe diese TXT Datei über einen USB Stick raufkopiert weil ich ja an dem anderen Rechner nicht mehr ins normale Windows geschweige denn ins internet einloggen kann!

Dann mach bitte nochmals einen Scan mit OTLpe und poste das neue Log.

Der Fix scheint nicht richtig ausgeführt worden zu sein.. Es ist alles noch wie zuvor.
Kannst du den obigen Fix nochmals durchführen? Der Text aus der Codebox muss in das Textfenster von OTL und dann Fix drücken..

Ich hatte das wohl falsch verstanden! Nun hat es geklappt! Hab den Inhalt von deiner geposteten Codebox rauskopiert und eingefügt manuell! Hatte es über den "USB-Stick" erst gemacht, deswegen hat es nicht funktioniert! Haut echt wieder hin, hab wieder vollen Zugriff! Werde mir die wichtigsten Sachen nun Auf ner Externen Platte Speichern und den die Tage wenn ich etwas Luft habe dann Platt machen und neu aufsetzen! Brauchst du noch etwas von mir Leo irgendwelche Daten zum prüfen oder so? Auf jeden Fall vielen vielen Dank ihr seid echt top!!! Wenn du um die Ecke wohnen würdest, würd ich dir direkt einen ausgeben :))

Zitat:

Werde mir die wichtigsten Sachen nun Auf ner Externen Platte Speichern und den die Tage wenn ich etwas Luft habe dann Platt machen und neu aufsetzen! Brauchst du noch etwas von mir Leo irgendwelche Daten zum prüfen oder so?

Wenn du neuaufsetzt, brauch ich keine weiteren Daten mehr, lohnt sich ja nicht mehr. :)
Nur falls das System so weiterverwendet wird, sollten noch weitere Kontrollen gemacht werden.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.