Hallo Community,

meine Nachbarin hat einen GVU Virus eingefangen und mich im die Hilfe gebeten.

Habe zwar schon mehrmals einen Bundestrojaner weggekriegt, doch so einen habe Ich noch nicht gehabt.

Bei starten von Windows, kommt sofort eine Meldung (jedem eigentlich schon bekannt).

Versuche ich den "abgesicherten Modus" zu starten, startet der Rechner sofort neu.

Habe jetzt OTL geladen und auf CD gebrannt, dann davon gebootet und den Scan durchgeführt.

Hoffe dass mir jemand aus der Community dabei helfen könnte.

Die Datei habe Ich beigefügt.

Vielen Dank im Voraus.

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL

O20 - HKU\Tanja_ON_C Winlogon: Shell - (C:\Users\Tanja\AppData\Roaming\skype.dat) - C:\Users\Tanja\AppData\Roaming\skype.dat () 
[2013/01/21 21:36:52 | 000,000,200 | ---- | M] () -- C:\Windows\tasks\AutoKMSDaily.job 
[2012/01/11 00:26:12 | 000,046,080 | ---- | C] () -- C:\Users\Tanja\AppData\Roaming\skype.dat 

:Files 

ipconfig /flushdns /c
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Super. Danke.

Hat wunderbar geklappt. Der Virus ist jetzt weg und der Rechner startet wieder ganz normal.

Vielen Dank nochmal für die Hilfe.


Hab anschließend noch ein paar Tests durchgezogen. Hier die Auszüge:

Zitat:

========== OTL ==========
Registry value HKEY_USERS\Tanja_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Tanja\AppData\Roaming\skype.dat deleted successfully.
C:\Users\Tanja\AppData\Roaming\skype.dat moved successfully.
File C:\Windows\tasks\AutoKMSDaily.job not found.
File C:\Users\Tanja\AppData\Roaming\skype.dat not found.
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
An internal error occurred: The system cannot find the file specified.

Please contact Microsoft Product Support Services for further help.
Additional information: Unable to open registry key for tcpip.
C:\cmd.bat deleted successfully.
C:\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Tanja
->Temp folder emptied: 2002 bytes
->Temporary Internet Files folder emptied: 5366140232 bytes
->Java cache emptied: 2064052 bytes
->FireFox cache emptied: 59491054 bytes
->Flash cache emptied: 9889875 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 162143315 bytes

Total Files Cleaned = 5,340.00 mb


OTLPE by OldTimer - Version 3.1.48.0 log created on 01302013_224952

Zitat:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.30.08

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Tanja :: TANJA-PC [Administrator]

30.01.2013 23:09:29
mbam-log-2013-01-30 (23-09-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 341997
Laufzeit: 42 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

AdwCleaner Logfile:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.109 - Datei am 30/01/2013 um 23:53:19 erstellt
# Aktualisiert am 26/01/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Ultimate Service Pack 2 (32 bits)
# Benutzer : Tanja - TANJA-PC
# Bootmodus : Normal
# Ausgefьhrt unter : C:\Users\Tanja\Desktop\Tanja\adwcleaner.exe
# Option [Lцschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****

Schlьssel Gelцscht : HKCU\Software\Softonic
Schlьssel Gelцscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Schlьssel Gelцscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v12.0 (de)

Datei : C:\Users\Tanja\AppData\Roaming\Mozilla\Firefox\Profiles\1awivd1q.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [1061 octets] - [30/01/2013 23:53:20]

########## EOF - C:\AdwCleaner[S1].txt - [1121 octets] ##########
         

--- --- ---



AdwCleaner Logfile:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.109 - Datei am 30/01/2013 um 23:56:55 erstellt
# Aktualisiert am 26/01/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Ultimate Service Pack 2 (32 bits)
# Benutzer : Tanja - TANJA-PC
# Bootmodus : Normal
# Ausgefьhrt unter : C:\Users\Tanja\Desktop\Tanja\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v12.0 (de)

Datei : C:\Users\Tanja\AppData\Roaming\Mozilla\Firefox\Profiles\1awivd1q.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [732 octets] - [30/01/2013 23:56:55]
AdwCleaner[S1].txt - [1190 octets] - [30/01/2013 23:53:20]

########## EOF - C:\AdwCleaner[R1].txt - [851 octets] ##########
         

--- --- ---

Sehr gut!

Wie laeuft der Rechner?


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.