GVU Trojaner - Admin Benutzerkonto, Win XP
 

Hallo allerseits,

ich brauche eure Hilfe:
Seit letzter Woche habe ich auf meinem Rechner (Win XP, SP3) auf meinem einzigen Account (Admin) einen GVU Trojaner, der sich sofort beim Start von Windows bemerkmar macht. Der Desktop wird gar nicht erst geladen, vorher erscheint schon, dass eine Verbindung hergestellt wird, dann kommt nach einer Weile das Bild mit der GVU, dass ich Geld überweisen soll etc.

Was kann ich machen? Logs kann ich leider nicht erstellen, da ich nicht ins System komme. Im abgesicherten Modus komme ich leider auch nicht auf die Windows Oberfläche.
Der Taskmanager ist vom Trojaner offensichtlich gesperrt.

Habe auf chip.de gelesen, dass man mit Kaspersky Rescue Disk helfen kann. Wenn ich dies aber von CD starte, bleibt das Programm zu einem späteren Zeitpunkt bei mir hängen, klappt also nicht.

Hat jemand eine Idee, wie mir noch zu helfen ist? Ist diese Vorgehensweise hier die richtige: http://www.trojaner-board.de/114737-gvu-trojaner.html ?


Vielen Dank euch schonmal im Voraus!

Ich nochmal.

Die Anleitung auf der folgenden Seite vom Benutzer "cosinus" scheint ja funktioniert zu haben:
http://www.trojaner-board.de/111969-...aner-echt.html

Ich habe da mal den ersten Schritt ausgeführt und poste im Folgenden meine OTL.txt und Extras.txt.

Kann mir jemand damit dann weiterhelfen?


Vielen Dank!!!!

Hallo, kann mir denn niemand helfen?
In diesem Thread http://www.trojaner-board.de/111969-...aner-echt.html hat ja auch jemand (Benutzer "Cosinus") dann einen Code vorgegeben, den ich dann in OTL einspeisen muss...


Danke danke für jede Hilfe!

Schonmal mitbekommen, was für ein Ansturm hier gerade los ist? Du bist nun wirklich nicht der einzige der Hilfe haben will!

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Tut mir echt Leid, dass ich gequängelt hab! Sorry.

Vielen Dank für die Hilfe. Habe die ersten Schritte wie befohlen ausgeführt. Hier nun der Log nach dem Fix in OTL:


Nach ca. 5min startet Windows dann doch, nachdem am Anfang nur der Desktophintergrund zu sehen war. Es werden keine Desktopsymbole angezeigt, aber ich kann den Explorer öffnen.

Wie in der anderen Anleitung (siehe Link in meinem ersten Beitrag) angegeben, habe ich auch schon mal TDSS-Killer von Kaspersky gestartet. Hier der Log von dem TDSS-Scan:


Was kann ich als nächstes noch machen?

Die MovedFiles hast du in den Uploadchannel noch nicht hochgeladen. Oder gab es da Probleme?

Sorry, vorhin vergessen, weil ich dachte WinXP fährt gar nicht hoch. Hat eben wieder 5min gedauert...

Datei ist jetzt im UploadChannel hochgeladen!

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Leider klappt die Aktualisierung von Malwarebytes nicht. Die letzte Aktualisierung war am 04.04.2012.
Ich lasse jetzt trotzdem den FullScan laufen und werde die Ergebnisse posten.

Gibt es aber ansonsten auch eine Möglichkeit, von einer vertrauenswürdigen Seite die aktuellen Malwarebytes-Virusdatenbank über einen anderen PC herunterzuladen? Ich habe da bei google was gefunden, aber eine 7 MB .exe-Datei erscheint mir nicht sonderlich vertrauenswürdig...

Hier schonmal der Malwarebytes (ohne Update) Log:
Ältere Logs habe ich leider nicht.

Ich habe mit dem Rechner keine Internetverbindung mehr. Deswegen konnte ich auch keine Updates für Malwarebytes herunterladen. Unten rechts in der Taskleiste steht jetzt immer das Zeichen für "Netzwerkadresse beziehen".
Im Internet Explorer kann ich also auch auf keine Adresse zugreifen und daher auch nicht den ESET Test machen...

Was kann ich tun?

Dein System ist hinüber, hier eine Ursache!

Warum hast du denn illegale Software (keygen) drauf wenn du sonst so viel Wert auf etwas Vertrauenswürdiges legst?

:pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

ok, das klang ja nach einer vernichtenden Aussage "System ist hinüber".

War mir nicht bewusst, dass ich da einen Keygen an Bord habe, aber so ist das nun mal, wenn man sich Software von einem Freund installieren lässt.

Egal, Cosinus, trotzdem vielen Dank für die Mühe bis hierhin! Ihr seid super!

Naja, hinüber zB deswegen => C:\WINDOWS\system32\mcdbus.dll (Rootkit.0Access)
Mit dme 0Access ist nicht zu spaßen und ob Windows selbst nach einer erfolgreichen Bereinigung noch tadellos läuft ist die nächste Frage

Hm naja, du solltest doch aufpassen und nachfragen was angebliche Freunde mit deinem Rechner anstellen wollen