Hallo Gurus,
habe gestern mir bei meine Samsung NETBOOK den GVU Trojaner gefangen.
Habe gegoogeld und folgende Schritte gemacht:

Im abgesicherten modus gestartet
1.rstrui hat nicht funktioniert
2. bei regedit habe unter HKEY_CURRENT_USER/..../RUM
Datei CFMON.exe entfernt => nicht geholfen
3. Antivir Rescue USB angeschlossen. Nach dem scan wurde zwei
datei entfernt, neustart => nicht geholfen => kann danach den PC
nur im abgesich. modus mit netzwerk und abgesich.modus mit eingabe
starten (kein einfaches abgesich. modus möglich, im datei-manager
der current user ordner gesperrt, untern system32 ordner einige dataein
mit zukünftigen datum).
Internetzugriff funktioniert.
Habe ich zuviel probiert?

Danke vorab
griat

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Vielen Dank cosinus

ich habe in der nacht weiter gesucht und von Trojaner-Bord
unterstütze seite www.gvu-trojaner.de gefunden und die
anleitungen befolgt (Malwarebytes + Emsisoft). Es hat funktioniert!
(Übrigens auch Homecall von trendmicro hat nichts gebracht!)

Ein großer Dank an alle Helfer!!!

grialt

Zitat:

anleitungen befolgt (Malwarebytes + Emsisoft). Es hat funktioniert!

Schön und wo sind die Logs dazu? Malwarebytes und Emsi allein reichen nciht aus um das System sicher zu bereinigen!

Bitte poste die vollständigen Angaben/Logs der Virenscanner siehe http://www.trojaner-board.de/125889-...tml#post941520


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hallo
leider konnte ich die Logs nicht kopieren, da der pc runtergefahren wurde.
Von Malwarebytes in Log habe ich folgendes:
trojan.agent.rns HKCU/software/microsoft/windowsnt/currentversion/winlogon/shell
Von MS Security essentials habe ich folgendes:
Trojan:win32/Uruasy.C
file:C:/Dokumente und Einstellungen/"User"/lokale einstellungen/temp/okuinkf

grialt

Hier habe ich Log von Malwarebytes. Danke nochmal allen, die hier mitmachen!

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Database version: v2013.05.02.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
GXXX :: XXXX [administrator]

02.05.2013 19:35:30
mbam-log-2013-05-02 (19-35-30).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 253805
Time elapsed: 16 minute(s), 17 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

Warum bitte postest du jetzt ein Log ohne Funde?
Was hast du an meinem vorherigen Beitrag nicht verstanden?

Ich habe alles verstanden, aber der pc wurde runtergefahren und
ich konnte die logs nicht reinkopieren.
Ich habe nochmal mit Malwarebytes und spybot ein scan und ein rootscan
durchgeführt, es wurde nichts gefunden.
Meine emsisoft testversion ist abgelauben und ich konnte sie nicht mehr benutzen.

Nächste mal werde auf jeden fall alle logs kopieren!
Danke sehr für Deine hilfe.

Lies doch bitte die verlinken Anleitungen auch mal. Es wurde dort doch beschrieben wie du an alle Logs von MBAM rankommst => http://www.trojaner-board.de/125889-...tml#post941520