Hallo,
Wurde vom GUV Trojaner bzw. Windows Lizenz Virus erwischt, bitte um einen Fix.

Abgesicherter Modus und Task Manager funktionieren nicht.

Leider kann ich die Auswertung nicht als Log einfuegen, da es zu viele Zeichen hat.

Danke

MfG

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [A1aH4dI8krYzW04] C:\Dokumente und Einstellungen\Andrey\Anwendungsdaten\6suj6yri8ude.exe (Dynet)
O4 - HKU\Administrator_ON_C..\Run: [A1aH4dI8krYzW04] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\6suj6yri8ude.exe (Dynet)
O4 - HKU\Andrey_ON_C..\Run: [A1aH4dI8krYzW04] C:\Dokumente und Einstellungen\Andrey\Anwendungsdaten\6suj6yri8ude.exe (Dynet)
O4 - HKU\Andrey_ON_C..\RunOnce: [] C:\WINDOWS\System32\osk.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Andrey_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Andrey_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Andrey_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Andrey_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Andrey\Anwendungsdaten\6suj6yri8ude.exe) - C:\Dokumente und Einstellungen\Andrey\Anwendungsdaten\6suj6yri8ude.exe (Dynet)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Andrey\Anwendungsdaten\6suj6yri8ude.exe) - C:\Dokumente und Einstellungen\Andrey\Anwendungsdaten\6suj6yri8ude.exe (Dynet)
O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\6suj6yri8ude.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\6suj6yri8ude.exe (Dynet)
O20 - HKU\Administrator_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\6suj6yri8ude.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\6suj6yri8ude.exe (Dynet)
O20 - HKU\Andrey_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Andrey\Anwendungsdaten\6suj6yri8ude.exe) - C:\Dokumente und Einstellungen\Andrey\Anwendungsdaten\6suj6yri8ude.exe (Dynet)
O20 - HKU\Andrey_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Andrey\Anwendungsdaten\6suj6yri8ude.exe) - C:\Dokumente und Einstellungen\Andrey\Anwendungsdaten\6suj6yri8ude.exe (Dynet)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe - (Adobe Systems Incorporated)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^Andrey^Startmenü^Programme^Autostart^asheriff.lnk -  - File not found
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^Andrey^Startmenü^Programme^Autostart^Weather.lnk - C:\Programme\Weather\Weather.exe - ()
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^Andrey^Startmenü^Programme^Autostart^wpbt0.dll.lnk -  - File not found
MsConfig - StartUpReg: Adware.Srv32 - hkey= - key= -  File not found
MsConfig - StartUpReg: w000d1b7.dll - hkey= - key= -  File not found
MsConfig - StartUpReg: w000e714.dll - hkey= - key= -  File not found
MsConfig - StartUpReg: w000ef90.dll - hkey= - key= -  File not found
MsConfig - StartUpReg: w0013563.dll - hkey= - key= -  File not found
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten