Trojaner-Board - GVU-Virus: Erst Zahlungsaufforderung und nach meherem Hochfahren schwarzer Bildschirm

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU-Virus: Erst Zahlungsaufforderung und nach meherem Hochfahren schwarzer Bildschirm (https://www.trojaner-board.de/134277-gvu-virus-erst-zahlungsaufforderung-meherem-hochfahren-schwarzer-bildschirm.html)

zum 1.schritt:

All processes killed
========== OTL ==========
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\PROGRA~3\fhotol.bat deleted successfully.
C:\ProgramData\fhotol.bat moved successfully.
C:\ProgramData\wlg3.dat moved successfully.
C:\ProgramData\rundll32.exe moved successfully.
C:\ProgramData\fhotol.pad moved successfully.
C:\ProgramData\fhotol.reg moved successfully.
File C:\ProgramData\fhotol.bat not found.
C:\ProgramData\3glw.pad moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache konnte nicht geleert werden: Beim Ausfhren der Funktion ist ein Fehler aufgetreten.
e:\cmd.bat deleted successfully.
e:\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: hedev
->Temp folder emptied: 43164427 bytes

User: Public

User: Tobias
->Temp folder emptied: 111325479 bytes
->Temporary Internet Files folder emptied: 86927601 bytes
->Java cache emptied: 2462394 bytes
->FireFox cache emptied: 447375433 bytes
->Flash cache emptied: 56833 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 141601325 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 128 bytes
RecycleBin emptied: 17627074177 bytes

Total Files Cleaned = 17.605,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 05172013_044136

Files\Folders moved on Reboot...
C:\Users\Tobias\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

der rest folgt gleich.

SCHRITT 2

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.16.08

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16540
Tobias :: TOBIASPC [Administrator]

17.05.2013 04:56:02
mbam-log-2013-05-17 (04-56-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 472160
Laufzeit: 1 Stunde(n), 14 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

3.SCHRITT

AdwCleaner Logfile:

Code:

# AdwCleaner v2.301 - Datei am 17/05/2013 um 06:20:57 erstellt

# Aktualisiert am 16/05/2013 von Xplode

# Betriebssystem : Windows 8  (64 bits)

# Benutzer : Tobias - TOBIASPC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Tobias\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Ordner Gelöscht : C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\nv2ppo3k.default\extensions\staged
 

***** [Registrierungsdatenbank] *****
 
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v10.0.9200.16537
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v20.0.1 (de)
 

Datei : C:\Users\Tobias\AppData\Roaming\Mozilla\Firefox\Profiles\nv2ppo3k.default\prefs.js
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[S1].txt - [813 octets] - [17/05/2013 06:20:57]
 

########## EOF - C:\AdwCleaner[S1].txt - [872 octets] ##########

--- --- ---

ABER:

- Mein vorheriges Avast-Anti-Viren-Programm kann nicht geupdatet werden: Paket beschädigt.

- Das RunDLL-Problem ist noch vorhanden.

Update: nach Neustart ist das RunDLL-Problem nicht mehr da. :)

und avast hat sich auch wieder repariert. :)

Sehr gut! :daumenhoc

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-18 02:50:33
-----------------------------
02:50:33.603 OS Version: Windows x64 6.2.9200
02:50:33.603 Number of processors: 8 586 0x3A09
02:50:33.603 ComputerName: TOBIASPC UserName: Tobias
02:50:34.650 Initialze error 1
02:50:34.822 AVAST engine defs: 13051701
02:53:07.826 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000003b
02:53:07.826 Disk 0 Vendor: WDC_WD7500BPVT-22HXZT3 01.01A01 Size: 715404MB BusType: 11
02:53:07.841 Disk 0 MBR read successfully
02:53:07.857 Disk 0 MBR scan
02:53:07.857 Disk 0 unknown MBR code
02:53:07.857 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
02:53:07.857 Disk 0 scanning C:\Windows\system32\drivers
02:53:07.857 Service scanning
02:53:08.466 Modules scanning
02:53:08.466 Disk 0 trace - called modules:
02:53:08.466 ntoskrnl.exe CLASSPNP.SYS disk.sys storport.sys hal.dll iaStorA.sys
02:53:08.466 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa801014f060]
02:53:08.466 3 CLASSPNP.SYS[fffff88000a01fea] -> nt!IofCallDriver -> \Device\0000003b[0xfffffa800df98060]
02:53:08.466 AVAST engine scan C:\Windows
02:53:08.810 AVAST engine scan C:\Windows\system32
02:53:08.810 AVAST engine scan C:\Windows\system32\drivers
02:53:08.810 AVAST engine scan C:\Users\Tobias
02:53:08.810 AVAST engine scan C:\ProgramData
02:53:08.826 Scan finished successfully
02:55:39.100 Disk 0 MBR has been saved successfully to "C:\Users\Tobias\Desktop\MBR.dat"
02:55:39.100 The log file has been saved successfully to "C:\Users\Tobias\Desktop\aswMBR.txt"

2. Schritt

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=a3643f8a19b19e45b37a27edaae73c31
# engine=13855
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-18 02:43:29
# local_time=2013-05-18 04:43:29 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.2.9200 NT
# compatibility_mode=774 16777213 85 71 64201 145554881 0 0
# compatibility_mode=5122 16777213 100 88 6129693 117627605 0 0
# compatibility_mode=5893 16776574 100 94 4753805 28351120 0 0
# scanned=231073
# found=0
# cleaned=0
# scan_time=6203

3. Schritt folgt hier noch:

für den wurde es gestern etwas spät nachdem schritt 2 fast 2stunden gedauert hat.
hätte ich gewusst mit dem in 1 minute fertig zu sein, hätte ich den natürlich auch direkt noch gepostet. -.-

Results of screen317's Security Check version 0.99.63
x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
McAfee Anti-Virus und Anti-Spyware
avast! Antivirus
Windows Defender
Antivirus out of date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java 7 Update 21
Adobe Flash Player 11.7.700.202
Adobe Reader XI
Mozilla Firefox (20.0.1)
````````Process Check: objlist.exe by Laurent````````
AVAST Software Avast AvastSvc.exe
AVAST Software Avast AvastUI.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C: %
````````````````````End of Log``````````````````````

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

adwCleaner entfernen

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Uninstall.
Bestätige mit Ja.

Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html

Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Klasse!!!!!

Vielen Dank für ALLES! :)

Bevor ich fortfahre habe ich jedoch 3 Fragen:

1. Soll ich Im Bios bei SATA Einstellungen den Modus wieder von IDE auf AHCI zurückstellen?
2. Wenn ich das richtig verstehe, kann ich das Javaplugin dann nicht mehr benutzen? Ich brauche es nämlich für ein Onlinespiel. Oder geht es darum eine sicherere Version zu installieren?
3. Ist mein Pc dann jetzt wieder in Ordnung sobald ich die restlichen Schritte ausgeführt habe?

Mit besten Grüßen,
der Tobias

1. Richtig!
2. Brauchst du es im Browser? Wenn ja einfach wieder aktivieren.
3. Ja!

wuensche eine virenfreie Zeit ;)

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 21.0 ist aktuell

Flash (11,7,700,202) ist aktuell.

Java ist nicht Installiert oder nicht aktiviert.

Adobe Reader 11,0,2,0 ist aktuell.

Nachdem ich nun alles ausgeführt habe, habe ich Java wieder erlaubt.

Wenn ichs richtig verstanden habe, läuft jetzt alles wieder.:daumenhoc

Dann noch mal
:dankeschoen:

:party:

Zitat:

Wenn ichs richtig verstanden habe, läuft jetzt alles wieder.:daumenhoc

Jupp :daumenhoc