Hallo,
Ich habe diesen GVU Trojaner eingefangen. Beim Start des Rechners wurde ich aufgefordert,
an GVU 100 Euru zu zahlen.(Was ich nicht getan habe)
Danach lief nichts mehr. Ich konnte den Rechner nur auschalten.

Den Rechner habe ich dann in abgesicherten Modus gestartet und mit Malewarebytes den Rechner gescannt. Die infizierten Dateien wurden in die Quarantäne abgelegt.
Zuerst habe ich Quick-Scann durchgeführt.(es wurden 16 infizierten Dateien gefunden)
Danach den Vollständigen Scan.(es wurden noch 9 infizierten Dateien gefunden)

Die weitern Schritte waren:
Defogger ausführen, OTL und Gmer.
Log- und TxtFiles habe ich anonymisiert.

System: Windows 7 ultimate 64 bit

Ich hoffe auf eure Hilfe.

Vielen Dank!

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop.

• Starte das Tool mit Doppelklick. Vista und 7 Nutzer bitte mit Rechtsklick "als Administrator ausführen" starten.
• Das Tool wird sich öffnen und mit dem Scan beginnen.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 3
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste mit deiner nächsten Antwort

• die Logdatei von AdwCleaner,
• die Logdatei von JRT,
• die Logdatei von ComboFix.

Hallo Matthias,
vielen Dank für die schnelle Hilfe.
Ich habe die Schritte durchgeführt und im Anhang sind die txt Dateien.
grüße

Servus,



gut gemacht.

Ein paar Reste seh ich noch auf deinem Rechner. Darum kümmern wir uns jetzt dann.





Schritt 1
Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.





Schritt 2
Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror # 1

• Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  :filefind
  *Babylon*
  *iLivid*
  *search results toolbar*
  *Conduit*
  *AskSearch*
  *Winamp Toolbar*
  *DVDVideoSoftTB*
  *PriceGong*
  *Datamngr*
  *OpenCandy*
  
  :folderfind
  *Babylon*
  *iLivid*
  *search results toolbar*
  *Conduit*
  *AskSearch*
  *Winamp Toolbar*
  *DVDVideoSoftTB*
  *PriceGong*
  *Datamngr*
  *OpenCandy*
  
  :regfind
  Babylon
  iLivid
  search results toolbar
  Conduit
  AskSearch
  Winamp Toolbar
  DVDVideoSoftTB
  PriceGong
  Datamngr
  OpenCandy
           

• Klicke nun auf den Button Look, um den Scan zu starten.
• Der Suchlauf wird einige Zeit dauern.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Wie läuft dein Rechner derzeit?
Gibt es noch Probleme, die auf Malware hindeuten? Wenn ja, welche?





Bitte poste mit deiner nächsten Antwort

• die Logdatei von OTL,
• die Logdatei von SystemLook,
• die Beantwortung der gestellten Fragen.

Hi,
danke für die weitere Hilfe,

1er Rechner ist insgesamt schneller geworden. Die Fehlermeldung die ich vor dem GVU Virus hatte, ist jezt auch weg. Insgesamt sieht es gut aus(Dank deiner Hilfe)

2:Gestern Abend habe ich noch mal Malwarebytes laufen lassen(QuickScan) und er hat keine weiteren infizierten Dateien gefunden.

In der Quarantäne von Malwarebytes sind noch immer die infizierten Dateien.
Soll ich Sie jetzt über Malwarebytes löschen?


Im Anhang sind die OTP und SystemLook Dateien. Ich musste Sie zippen, da sie größer als 98 Kb waren.


danke und viele Grüße

Servus,

Zitat:

Zitat von Real123

In der Quarantäne von Malwarebytes sind noch immer die infizierten Dateien.
Soll ich Sie jetzt über Malwarebytes löschen?

Ja, die kannst du löschen.




So geht es weiter:





Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O8:64bit: - Extra context menu item: Free YouTube Download - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm File not found
O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm File not found
O8 - Extra context menu item: Free YouTube Download - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm File not found

:files
%appdata%\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk
C:\Program Files (x86)\Common Files\DVDVideoSoft\TB
C:\Program Files (x86)\NCH Software\Components\NCHToolbars
C:\Users\AppData\LocalLow\DVDVideoSoftTB
%appdata%\Mozilla\Firefox\Profiles\yxcfxnkp.default\CT2269050

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DoNotAskAgain"="aol.com"

[-HKEY_USERS\S-1-5-21-351490388-3541524798-1877992241-1000\Software\AppDataLow\Software\DVDVideoSoftTB]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{6E07BD3C-B924-4B13-8362-EA2802F9145A}"=-
"{B4F6ED30-6A18-48D1-A4DD-9B4BF5DCFF43}"=-

[-HKEY_CURRENT_USER\Software\NCH Software\Components\conduit]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{1466E51D-18E8-47C2-A2FE-134D5352D217}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Conduit Engine ]
[-HKEY_USERS\S-1-5-21-351490388-3541524798-1877992241-1000\Software\AppDataLow\Software\Conduit]
[-HKEY_USERS\S-1-5-21-351490388-3541524798-1877992241-1000\Software\AppDataLow\Software\conduitEngine]
[-HKEY_USERS\S-1-5-21-351490388-3541524798-1877992241-1000\Software\AppDataLow\Software\DVDVideoSoftTB]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{a8c2644d-bf72-4a89-a88c-d85f565f2f46}]
[-HKEY_USERS\S-1-5-21-351490388-3541524798-1877992241-1000\Software\Winamp Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\b8ea0e20-a5aa-4f4a-aa7c-930a2fab9e27]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\d9e82f8f-a9af-43c7-8c17-fe1379da02dd]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\DVDVideoSoftTBAutoUpdaterHelper_RASAPI32]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\DVDVideoSoftTBAutoUpdaterHelper_RASMANCS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\DVDVideoSoftTBToolbarHelper1_RASAPI32]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\DVDVideoSoftTBToolbarHelper1_RASMANCS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\DVDVideoSoftTBToolbarHelper_RASAPI32]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\DVDVideoSoftTBToolbarHelper_RASMANCS]
[-HKEY_USERS\S-1-5-21-351490388-3541524798-1877992241-1000\Software\AppDataLow\Software\PriceGong]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C19DE8C4-5C02-436F-963A-5C90B478E183}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\datamngrUI_RASAPI32]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\datamngrUI_RASMANCS]
[-HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}]

[HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl]
"Default"="http://www.google.de"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OpenCandyHelperRunOnce]

:Commands
[emptytemp]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2
Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.





Bitte poste mit deiner nächsten Antwort

• die Logdatei des OTL-Fix,
• die Logdatei des neuen OTL-Scans.