GVU Troyaner trotz Durchlauf Kaspersky Rescue CD noch da
 

Hallo ich bin neu hier und mit meinem Latein am Ende!

Wir haben uns heute auf Arbeit den GVU Troyaner eingefangen!
Im Internet haben wir auch schon nach Möglichkeiten gesucht um ihn wieder loszuwerden!
Unser Betriebssystem ist Windows 7 Ultimate 64 Bit!

Auf einem anderen PC haben wir auch schon die Kaspersky Rescue Disk heruntergeladen und den infizierten PC darüber gestartet! Es wurden auch Viren und Troyaner gefunden und entfernt! Trotzdem startet der Computer immernoch mit dem Sperrbildschirm 😠😢
Wir können den PC nur über den Modus mit Eingabefenster öffnen!
Von den Befehlen dort haben wir aber keine Ahnung!

Kann bitte jemand ganz dringend helfen, damit wir das Problem morgen angehen können?
Schreibe jetzt gerade vom Handy!

Bitte wenn möglich richtig detaillierte Angaben damit auch PC Laien es verstehen 😃

Danke schonmal

Lg Sindy

Ach ja ich weiß dass Firmen PC eigentlich nicht bereinigt werden!
Es betrifft aber nicht den Hauptrechner! Und wir sind nur eine kleine Baufirma von 3 Mann!
Würden euch auch gegebenfalls eine kleine Spende zukommen lassen!

Bitte macht eine Ausnahme, da wir keinen IT Berater haben! ��

:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:





Scan mit Farbar's Recovery Scan Tool

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Guten Morgen!

habe mir die Datei auf einen USB Stick heruntergeladen!

Windows CD haben wir leider nicht!

und wenn ich den Computer mit F8 starte und dann Computer reparieren gehe, kommt keine Auswahl Computerreperaturoptionen.

Da steht nur Legen Sie die Windows CD/DVD ein und starten sie den Computer neu

Wenn sie diesen Datenträger nicht besitzen wenden sie sich an den Systemadministrator oder den Computerhersteller

Status: 0xc000000e
Info: Fehler bei der Startauswahl. Zugriff auf ein erforderliches Gerät nicht möglich.

Und nun?

Lg

Du kannst dir ein DVD-Image runterladen damit du die Computerreparatur kommen kannst:

Download eines Windows 7 Images für die Bereinigung:
http://www.trojaner-board.de/100776-...-download.html

Haben die CD gefunden! Allerdings erkennt der Computer jetzt den USB Stick nicht :-(

Bin bis zu dem Punkt mit Eingabeaufforderung, Notepad......, aber da ist er nicht

Und auf CD lässt sich das ja nicht speichern? da der infizierte PC zwei CD Laufwerke hat

Was können wir noch machen? Bräuchten den PC dringend wieder!! Wie kann ich das Problem lösen, dass der PC den USB Stick liest!

Bitte meldet sich jemand, ich weiß, dass wir drängeln und dass das nicht schön ist ;-)

Es gibt keinen Grund warum der PC den Stick nicht finden sollte, wenn du in die Reparaturkonsole bist.

Wenns schnell gehen soll, dann geht bitte zu einem lokalen Händler, der macht das gegen Geld schnell.

Das war nicht böse gemeint :-(! Ich habe alle USB Anschlüsse probiert, nix!
Schließe ich den Stick an einen anderen PC an wird er gelesen, also liegt es ja nicht am Stick?

Kann es sein dass er den Stick nicht erkennt, weil ein CD Laufwerk auch E heißt? Er findet zwei CD Laufwerke ein Diskettenlaufwerk und ein Laufwerk g was aber leer ist

Die Laufwerksbuchstaben ändern sich jedesmal wenn du von CD bootest. Da muss man durchprobieren und evtl mal einen anderen Stick testen.

Aber ist dass dann trotzdem richtig dass er ihn mir, wenn ich deine Befehle ausführe, nicht anzeigt?! Einen anderen Stick hatten wir heute nicht im Büro! Er müsste ihn doch wenigstens anzeigen, auch wenn er nen anderen Buchstaben hat?!

Ja sicher - evtl muss man auch ein wenig warten.

Du konntest abgesichert mit Eingabeaufforderung booten? Dann kannst du alternativ Combofix auf dem Stick speichern. Dort explorer eingeben und dann Combofix vom Stick starten.

Sorry wenn ich jetzt nochmal blöd frage!!

Ich habe den PC heute mit CD gestartet und dann bis zu den Reparaturoptionen durchgegangen und dann den Stick angeschlossen den er nicht gefunden hat!

Jetzt soll ich auf den Stick Combofix Laden und dann den infizierten PC mit den Stick starten?
Und wo soll ich da Explorer eingeben? Oder kommt da ne Eingabeforderung? Sorry fürs blöde fragen! :-(

Du hast doch geschrieben, dass abgesichert mit Eingabeaufforderung geht?

Na ja es geht das mit dem schwarzen Eingabefenster das mit Netzwerkbetreibern geht nicht! Und wenn ich in das Eingabefenster "Explorer.exe" eingebe komme ich zwar in den Explorer aber da ist keine Internetverbindung!

Logischerweise musst du den Stick wo anders mit Combofix präparieren.

Ja das ist mir bewusst! Wie gesagt ich weiß dann nicht was du meinst! Sorry!!!!! Soll ich den infizierten PC dann so einstellen dass er versucht von dem USB Stick aus zu starten oder soll ich den USB Stick dann wieder woanders versuchen zu öffnen und hoffen dass der PC ihn diesmal findet? Wie gesagt abgesicherter Modus mit Netzwerkbetreibern geht nicht, da schließt er gleich und startet Windows normal wo der Sperrbildschirm kommt! Geht nur das Starten mit dem letzten Punkt

Es wird doch irgendwo einen sauberen Rechner geben an dem du Combofix laden und auf deinen Stick kopieren kannst? Nachbarschaft, Zuhause, Internetcafe ...

Hier die Anleitung mit Link:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hoffe das war so richtig? Wie geht es jetzt weiter? :-)

Prima


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Normal booten


Schritt 2:
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, DriverCure, Uniblue DriverScanner, FireJump, SearchAnonymizer, SpeedMaxPC

Schritt 3:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 4:
AdwCleaner wiederholen
Die vorliegende Version der Werbeprogramme ist ziemlich hartnäckig und kann von AdwCleaner erfahrungsgemäss nur bei zweimaliger Anwendung entfernt werden. Also wiederhole diesen Schritt bitte und poste auch das Logfile.


Schritt 5:
Lade dir Combofix nochmal auf deinen Desktop


Schritt 6:
Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  
  

  Code:

  ---

  Driver::
jivlgzdy


File::
c:\windows\system32\drivers\jivlgzdy.sys

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Danke kann ich aber erst am Mo machen, hoffe stellt kein Problem dar! PC läuft vorher nicht!

Also bis dann.

So hier dann noch die fehlenden Sachen!

[CODE][Combofix Logfile:
--- --- ---
/CODE]

Okay Jetzt zeigt sich noch etwas mehr und das entfernen wir auch noch:

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  
  

  Code:

  ---

  Folder::
c:\users\LTB\AppData\Roaming\UsAgt
c:\users\LTB\AppData\Roaming\xmldm
c:\users\LTB\AppData\Roaming\ckoock

  ---

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.

Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis, nachdem du deine Logfiles hier eingestellt hast.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen