Hallo,

Ich habe mir einen GVU-Trojaner eingefangen. Das Problem habe Ich schon einmal mit Hilfe eurer Seite gelöst. Jetzt komm Ich aber nicht weiter.

-Beim Starten von Windows erscheint sofort der GVU-Trojaner-Bildschirm
-Beim Starten im Abgesicherten Modus fährt der Rechner runter und beginnt einen Neustart

Bereits versuchte Lösungsansätze:
-Im Abgesicherten Modus mit der Systemwiederherstellung
-"Virus-Scan" mit OTL.PE


Ich schicke anbei die OTL-Logs

Vielen Dank im Vorraus

Hi,

startet der Rechner nach diesem Fix wieder normal?

• Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2013/06/23 12:29:11 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe
[2013/10/01 05:54:31 | 095,025,368 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bnfrtfrlfr.pff
[2013/10/01 05:54:29 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bnfrtfrlfr.ctrl
[2013/09/29 12:45:01 | 000,016,196 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\idoo.exe
[2013/09/29 12:40:19 | 000,000,808 | ---- | M] () -- C:\Dokumente und Einstellungen\Borchers\Startmenü\Programme\Autostart\bnfrtfrlfr.lnk
[2013/09/29 12:40:16 | 000,099,328 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rflrftrfnb.plz
[2013/06/23 12:51:25 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Borchers\Anwendungsdaten\skype.ini
[2013/06/23 12:29:14 | 000,003,108 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dolmj7.js
[2013/06/23 12:29:12 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dolmj7.pad
[2013/02/07 13:35:36 | 000,002,894 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\78691641.js
[2013/02/07 13:35:34 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\78691641.pad
[2012/07/15 07:49:30 | 000,000,051 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ncufvecoxszyebp
[2004/08/04 00:00:00 | 000,059,904 | ---- | C] () -- C:\Dokumente und Einstellungen\Borchers\Anwendungsdaten\skype.dat
[2012/07/15 07:49:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kkykczejfbqtfal
[2013/03/21 04:14:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Borchers\Anwendungsdaten\Yxyqhe
[2013/03/18 05:49:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Borchers\Anwendungsdaten\Hucama
[2013/03/21 04:14:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Borchers\Anwendungsdaten\Asiv
O33 - MountPoints2\{620ffacf-b472-11dd-b032-00218509bef9}\Shell\AutoRun\command - "" = zkrqha.exe
O33 - MountPoints2\{620ffacf-b472-11dd-b032-00218509bef9}\Shell\explore\Command - "" = zkrqha.exe
O33 - MountPoints2\{620ffacf-b472-11dd-b032-00218509bef9}\Shell\open\Command - "" = zkrqha.exe

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
  00,6c,00,6c,00,00,00
         

• Klicke jetzt auf den Fix Button.
• Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Hallo,

erstmal vielen Dank, der Rechner startet wieder normal. Das Textdokument habe Ich nicht auf dem Desktop gefunden. Ich schicke mal das was das Programm nach dem Fix ausgespuckt hat.

MFG Raumi008

Hallo,

dann mach bitte wieder im normalen Modus von Windows so weiter:


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.