Guten Abend!

Ich habe gestern auf meinem PC (Windows XP) einen wohl recht neuen GVU-Virus eingefangen. Nach Bildern, die ich im Internet gesehen habe, müsste es sich um die Version 2.11 handeln. Auch im gesicherten Modus erscheint immer das Bild zur Zahlungsaufforderung. Gehe ich über den gesicherten Modus mit Eingabeaufforderung erkennt das System den Befehl "rstrui.exe" (Hatte ich irgendwo gelesen) nicht. Ins Internet komme ich mit dem PC natürlich nicht mehr. Ich hatte versucht, mit einer recovery-CD über F2 laden zu lassen, aber das System sagt dann, der CD-Zugriff sei disabled. Ich habe leider keine Erfahrung mit Computerthemen, bin aber lernfähig und -willig. Ich habe mit OTL eine Textdokument erstellt. Diese füge ich bei. Was kann ich tun, um wieder einen Zugang zu meinem PC zu erhalten.

Ich bin schon ziemlich verzweifelt und es wirklich wahnsinnig nett, wenn mir jemand helfen würde.

Vielen Dank!

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - Startup: C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator.KLAUS\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Klaus Zeis\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
[2013/01/15 17:59:10 | 000,002,959 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js
[2013/01/15 17:59:09 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad
:Files
:Commands
[EMPTYFLASH] 
[emptytemp]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Hallo,

vielen Dank für die wirklich schnelle Antwort. Bei mir hat es leider etwas länger gedauert. Ich hatte zunächst immer wieder vergeblich versucht, den PC mit F2 über die BIOS-Einstellungen dazu zu bringen, von der CD zu booten. Diese sind aber auch disabled. Dann bin ich doch noch auf F11 gekommen. Ich habe dann über den Editor die Text-Kopie gefertigt und dann mit dem Stick rüber geladen. Der Text wird auch übernommen. Ich bin mir auch sicher alles richtig kopiert zu haben. Der Fix-Button funktioniert dann aber ebenso wenig wie alle anderen Funktionen. Die beiden Balken um das Text-Feld lassen sich auch nicht zu Skrollen des Textes bewegen. Irgendwie ist das Tableau danach tot (?).

Was kann ich jetzt noch tun?

Vielen Dank im Voraus!

Hi
fix per hand eintragen.

Hallo,

ich habe zwischenzeitlich den Text insgesamt händisch eingegeben (Ich hatte etwas Probleme das ü auf der amerikanischen Tastatur zu finden) und das Programm wurde abgearbeitet. Das Protokoll füge ich bei. Das Programm hat nicht automatisch geschlossen, sondern ich habe es "normal" heruntergefahren. Ich habe dann den Computer wieder hochgefahren. Alles sah zunächst ganz gut bzw. irgendwie besser aus. Die Icons wurden auf dem Bildschirm geladen. Dann gingen die Icons nach zwei Sekunden wieder weg und es kam das bekannte GVU-Bild. Ich habe den Computer dann noch einmal über Klaus hochgefahren. Bevor das GVU-Bild kam stand rechts unten ganz kurz ein Hinweis, dass eine Datei? beschädigt sei. Es ging aber alles zu schnell für mich, um es sicher zu registrieren.

Was soll ich jetzt tun?

Vielen Dank!

Hallo,

ich habe eben mglw. einen Fehler gemacht. Ich hatte eben wohl zwei Mal das Trojaner-board geöffnet (um mich zum Lesen einer neuen Nachricht anzumelden?) und wollte nach dem posten meiner Antwort zum o.g. thread mich einfach nur für heute abmelden. Ich habe dann hoffentlich auf dem zweiten (?) Einstieg auf Abmelden gedrückt und bekam den Hinweis, dass mein Beitrag insgesamt erledigt sei oder so ähnlich und meine Cookies gelöscht worden seien. Nur zur Klarstellung: Selbstverständlich bin ich nach wie vor an einer Lösung meines Problems interessiert und freue mich über jede Unterstützung. Ich möchte mich nicht insgesamt mit meinem Beitrag abmelden!

Vielen Dank!

Klaus Zeis

Hi
hast du den Fix in dem konto gemacht, wo du auch den scan erstellt hast?poste mir sicherheitshalber mal ein neues log

Hi,

ich hatte beim letzten Mal bevor ich den Fix-Button gedrückt hatte, nicht noch einmal einen Scan durchgeführt. Dies habe ich jetzt bei meinem neuen Versuch nachgeholt. Es kam jetzt kein Protokoll auf den Bildschirm. Statt dessen ein Feld mit The system requires a reboot. Do You want to reboot? Dies habe ich bestätigt. Auf dem Bildschirm blieb dann das OTLPE-Tableau auf dem ganz unten link stand: Processing complete. Da sonst nichts weiter passierte (kein automatisches Rebooten) habe ich das Sytem heruntergefahren und anschließend wieder hochgefahren. Das System hat dann einige Zeit den Datenträger überprüft. Unter anderem stand dort: "CHKDSK überprüft Dateien" "Beschädigter Attributeintrag (128, " ") wird vom Datensegment gelöscht" "Dateiüberprüfung beendet" CHKDSK überprüft Indizes" "Fehler im Index" "Verwaiste Datei RundLL32.EXE wird wieder hergestellt" usw. Danach erschien der Editor auf dem Bildschirm, den ich anfüge. Der Bildschirm mit meinen dort abgespeicherten Dateien blieb. Ich habe dann nach einiger Zeit einen dort abgespeicherten Text abrufen wollen. Dieser erschien jedoch nicht. Nach relativ kurzer Zeit erschien dann wieder das GVU-Bild und ich habe den Computer ausgestellt. Ich habe jetzt die ganze Prozedur (Scannen und Fixen) noch einmal wiederholt und kann mich anmelden und sehe meinen Bildschirm mit den Icons. Ich lasse den Computer jetzt in dieser Bearbeitungsposition. Da im Editor "File move failed. X:\I386\SYSTEM32\RUNDLL32.EXE scheduled to be moved on reboot." steht, dürfte es keinen Sinn machen, einen erneuten Versuch zu unternehmen irgendeine Datei auf meinem Computer zu öffnen (?).

Was kann ich jetzt als nächstes unternehmen?

Vie4len Dank noch einmal. Ich fühle mich gut unterstützt.

Klaus Zeis

erstellst mir noch mal ein neues OTL log? (scan klicken und konfigurieren wie oben)

Hallo,

anbei die beiden logs vom OTL-Scan und aus dem Editor auf dem Bildschirm nach dem normalen Hochfahren. Ich lasse den Computer in diesem Zustand.

PS.: Soeben ist "von alleine" der Luke filewalker durchgelaufen und hat sich nach dem Scannen einiger Dateien wieder geschlossen.

Vielen Dank im Voraus für die weiteren Schritte.

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - Startup: C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
:Files
:Commands
[EMPTYFLASH] 
[emptytemp]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Hi

ich habe den FIX-Text wieder manuell eingegeben, da es mit vom Stick wieder nicht geklappt hatte. Ich erhielt dann den angehängten log. So lasse ich den Computer erstmal "weiterlaufen".

Was nun?

wie oben gesagt, ohne cd neustarten

Hi,

ich habe OTL heruntergefahren, die CD entnommen und den PC "normal" hochgefahren. Der Desk Top sieht normal aus. Es erscheint aber auch nach 5 Minuten kein OTL-log auf dem Bildschirm. Soeben hat AVIRA versucht Updates zu laden, was fehlgeschlagen ist (weil ich den WLAN-Stick entfernt habe).

Was soll ich jetzt tun?

Vielen Dank!

internet aktivieren.
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
c: öffnen, tdsskiller-datum-version.txt öffnen, Inhalt posten