GVU-Virus: Erst Zahlungsaufforderung und nach meherem Hochfahren schwarzer Bildschirm
 

Liebes Trojaner-Board-Team,
ich habe mir anscheind leider eine Form des GVU-Virusses auf meinem Laptop eingefangen. Bis vor Kurzem wurde ich recht aufwendig mit Cam-Bild usw. dazu aufgefordert 100Euro zu zahlen. Zudem hat mich ein Windows-Registrator dazu aufgefordert zu irgendwas ja oder nein zu sagen. Beim erste mal habe ich nein geklickt, dann kam das Schild nach 10ec wieder und ich sagte ja. Beim erneuten Hochfahren kam das Schild wieder und seit dem habe ich nur noch nein gedrückt. Weiterhin habe ich mehrfach versucht den Taskmanager zu starten. Nach einem weiteren Hochfahren lief der sogar, nur ist das Hintegrundbild jetzt schwarz ist. :( Vorher hatte ich mehrfach beim Hochfahten versucht f8 zu drücken, aber nichts geschah. Seitdem hat sich nichts geändert.
Ich besitze Windows 8 bei 64Bit.
Ich würde mich wirklich sehr freuen, wenn Sie mir weiterhelfen könnten.

Mit besten Grüßen,
Tobias

:hallo:


Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Sehr geehrter t´john,

vielen Dank für die schnelle Antwort. :)
Ich wollte nur, bevor ich Ihren Anweisungen folge, kurz berichtigen, dass der Bildschirm nicht mehr schwarz ist, sondern wieder üblich die Anfrage inklusive Webcam von der "GVU" auftaucht.
Soll ich trotzdem wie, von Ihnen gesagt, fortfahren?

Mit besten Grüßen,
Tobias

ja!

Hallo,

ich habe alle Möglichkeiten von F2, F11, F12, [DEL]-Taste über [STRG][ALT][ESC] oder [STRG][ALT][S] oder [STRG][ALT][Einfg] durch und nichts passiert außer das der Bildschirm dann manchmal komplett schwarz ist. :glaskugel2:

Aber ins Bios komme ich nicht rein. Wie lange muss ich denn die Taste drücken oder besser mehrmals hintereinanander? Wie lange habe ich denn Zeit für die Taste? :confused:

Die Tastatur kann ich an meinem Laptop natürlich auch nicht ausstöpseln.

Viele Grüße,
Tobias

Was ist das genau fuer ein Laptop? Hersteller?
Was sagt das Handbuch?

ein handbuch liegt ärgerlicherweise nicht bei.

ich möchte noch erwähnen, dass der laptop unglaublich schnell hochfährt. nach 35sec. (zeit gestoppt) ist man bei der benutzerwahl. ich weiß nicht ob das eine rolle spielt.

es handelt sich um folgenden laptop:

hxxp://www.cyberport.de/acer-aspire-v3-771g-736b8g75maii-i7-3630qm-16gb-full-hd-gt650m-gaming-hit-win8-1C26-8NW_1688.html

Prozessor

Intel® Core™ i7-3630QM Prozessor (Quad-Core)

2,4 GHz, mit Turbo-Boost bis zu 3,4 GHz, 6 MB Cache, 45 Watt TDP

Chipsatz

Intel HM77 Express

Arbeitsspeicher

16 GB DDR3-1333 SO-DIMM, maximal erweiterbar auf 32 GB

Festplatte

750 GB SATA 5.400 U/min

2x Festplattenslot, davon 1x frei, SATA-III (zum Einbau einer 2. SATA-Festplatte/-SSD benötigen Sie ein entsprechendes Einbaukit von Acer)

1x mSATA frei, zum Nachrüsten einer mSATA SSD

Laufwerk DVD+/-RW DL SuperMulti Brenner

Acer Crystal Eye 1.3 MP HD Webcam, 30 fps

Grafik

NVIDIA GeForce GT 650M Grafik mit NVIDIA Optimus Technologie

2048 MB DDR3 VRAM

HDMI, VGA

(VGA: bis zu 2048 x 1536 bei 75 Hz / HDMI: bis zu 1920 x 1080 bei 60 Hz)

Kommunikation

Gigabit LAN (10/100/1000 Mbit/s)

Wireless LAN 802.11 a/b/g/n

Bluetooth 4.0 HS

Schnittstellen

2x USB2.0

2x USB3.0

VGA

HDMI

Mikrofoneingang

Line-Out / Kopfhörerausgang

RJ45 LAN

Kensington Lock

Card Reader

5-in-1 (Memory Stick, Memory Stick Pro, Secure Digital, Multimedia Card, xD Card)

Eingabekomponenten

105-Tasten FineTip-Tastatur

Multifunktions (Multi-Gesture) Touchpad Anzeigegerät (Circular-motion scrolling, Pinch-action zoom, Page flip)

11 Funktionstasten; 4 Cursor Tasten, 2 Windows® Tasten, Hotkey controls

integrierter Nummernblock, internationale Sprachen werden unterstützt


Betriebssystem

Microsoft Windows 8 64 Bit (vorinstalliert und auf Wiederherstellungspartition - Erstellung von Recovery-DVDs mit eRecovery möglich)


- Sehr helles Full HD Comfy View Display mit LED-Backlight Technologie

Acer Crystal Eye HD Webcam

Dolby®-optimiertes Surround Sound System

USB 3.0

Laptop ausschalten und dann ab dem einschalten mehrmals F2 druecken.

Wenn Windows kommt ist es laengst zu spaet.

das habe ich selbstverständlich gemacht.
es funktioniert an anderen pc´s auch ohne probleme.

Duecke sofort ab dem Einschalten 3 mal pro sekunde und das 10 sekunden lang F2.

das habe ich bereits beim ersten mal über 1stunde auch mit anderen tastenkombinationen gemacht.
ich habs jetzt noch mal 20minuten versucht, aber er fährt ganz normal hoch.
ich bin langsam richtig gereizt wegen dem **** ding. :headbang:
ich bin zwar nicht pro, was pc´s angeht aber ins bios bin ich doch bei jedem pc immer gekommen.

ich finde es auch extremst unwarscheinlich dass ausgerechnet die f2 taste bei dem in diesem jahr gekauften laptop kaputt sein sollte.
was gibt es für andere möglichkeiten?

Waehrend des bootens mal den Ausknopf 5 sekunden lang druecken damit der Boovorgang abgewuergt wird und Windows einen Reparaturfall feststellt.

Dort versuchen zurueckzusetzen.

ok, danke, dass funktioniert schon mal. :Boogie:

es taucht die auswahl:
information
main
security
boot
und exit auf

ärgerlicherweise passiert nicht das,was soll. :nono:

ich habe unter boot
1. atap l cdrom
(war 4.oder 5.)eingestellt und als letztes
9. windows boot manager (war erster)

die weitere reihenfolge:
2.hdd0 3.hdd1 4.usb fdd 5.network boot-ipv4 6.usb hdd 7.usb cdrom 8. network boot-ipv6

zwar höre ich wie das dvdlaufwerk läuft, aber trotzdem wird windows gestartet.
daher habe ich ich unter main f12 boot menu [enabled] eingestellt, hat aber auch nicht geholfen.

auf dem anderen pc öffnet sich ganz normal die REATOGO wenn man auf exe. klickt.

wie solls weiter gehn? :crazy:

Sehr gut!

Hast du die CD richtig gebrannt?
Sie muss natuerlich bootbar sein!
So wie du das beschreibst scheint es nicht der Fall zu sein.

also ich habe alles wirklich noch mal so gemacht wie es da steht und die datei auf dvd gebrannt (ich vermute mal, dass sie dann bootbar ist, kenne mich da aber nicht aus). jedoch läd der ganz normal windows, auch wenn vorher das laufwerk viele ladegeräusche macht.
was kann ich machen. falls es mehrere alternativen gibt, wäre es super, wenn du die direkt alle zusammen postes. ;) danke schon mal im vorraus.

so ich habe mal was ausprobiert und es hat auch "beinahe" geklappt.
ich habe das bios von uef l zu legacy umgestellt und sie da reatogo-x-pe startet. die weiße leiste wird auch voll und as dvd-laufwerk arbeitet weiter.
Doch dann...
dann will auch windows xp starten,aber es erscheint ein blauer bildschirm; a problem has been detected and windows has been shut down to prevent damage to youre computer.
blablablablabla... check for viruses on youre computer. remove any blablablabla usw. (warscheinlich bekannt oder unwichtig)

also noch mal neu gestarte und f2 gedrückt.
es erscheint ein boot option menü:
1. hddo: wdc usw.
2. atapi l cdrom: matschitadvd-ram uj8c0
3. network boot: atheros usw.

habe dann 2. atapi I cdrom per enter gedrückt:
wieder starting reatogo-x-pe... und leiste wird komplett weiß. dvd arbeitet ca 1minute dann wieder das gleiche mit windows xp und blauem bildschirm. :pfui:

bin dann noch mal ins bootmenü per f2. da sind jetzt nur noch 7 positionen. an dritter stelle atap I cdrom, irgendwas mit windows fehlt.
also noch mal auf uef l gedrückt.
jetzt startet wieder windows 8 und alles ist wie vorher... :(

was vieleicht noch erwähnenswert ist: nachdem ich mein pw bei windows eingegeben habe, kommt erst immer:
RunDLL
Problem beim Starten von C:\PROGRA~3\lotohf.dat
Das angebene Modul wurde nicht gefunden.

deweiteren hat zwischenzeitlich mal mein abgelaufenes mc afee irgendeinen trojaner enfernt und sagt mein pc wäre gefährdet.
das merkwürdige ist, dass ich auch mein taskmanger mit allen programmen aufrufen kann (der zahlungsaufforderungsbildschirm kommt ja wie berichtet nicht mehr), jedoch ist dahinter alles schwarz.

Das ist schon mal gut, dass das WinXP-Bild kommt!

Schaue im Bios unter SATA einstellungen ob du den Modus von AHCI auf IDE umstellen kannst!

ok, also ich habe wieder auf das legacy bios umgestellt und konnte auch den modus von ahc l auf ide umstellen.
windows xp wurde gestartet und man kommt dahin wo ich otlpe wählen kann.
dort wird my computer mit
- ramdisk (B)
- reatogoPE (X:)
- shared documents
angezeigt, aber kein laufwerk c.

unter microsoft finde ich auch kein windows.

was vieleicht daran liegt dass es bei legancy nur 7 anstatt 8 reihenfolgen gibt und windows fehlt? oder weil das uef l speziell für windwows 8 konzipiert wurde?

jedenfalls wenn ich jetzt noch mal auf uef l umstelle, sagt der pc immer es gibt ein problem und startet endlos neu. also habe ich wieder auf legacy umgestellt.
jetzt bist du gefragt. :)

Du sollst mit dem BIOS nicht weiter rumspielen.

Du musst die Logfiles mit OTL erstellen!

http://www.trojaner-board.de/134277-...ml#post1054428

dann musst du mir schon erklären, wie das funktioniert.
ich klicke wie bereits beschrieben auf das icon und die oben aufgeführten möglichkeiten erscheinen:
bei mycomputer
- ramdisk (b)
- reatogoPE
- shared documents

dort finde ich keinen windowsordner sonst hätte ich ihn ja benutzt. nirgendwo dort steht windows.
der link zu der seite, die ich die ganze zeit benutze hilft mir da nicht weiter.

ich schreibe gerade meine doktorarbeit an dem pc, brauche ihn daher dringendst wieder, habe leider keine große ahnung von informatik und brauche daher deine hilfe. jedoch habe ich das gefühl, dass du das, was ich schreibe nicht richtig liest oder wir aneinerander vorbei reden. jedenfalls wären tipps wie schalten sie einfach nach start den pc wieder aus um ins bios zu kommen sowie, dass ich auf legacy umschalten muss schon hilfreicher, wenn sie früher kommen würden oder ich nicht durch ausprobieren hinkommen müsste. versteh mich nicht falsch, ich bin absolut dankbar für deine hilfe, aber ich denke ist es doch klar erklärt, dass die logfiles sich nicht wie gewünscht erstellen lassen und daher so ein satz wie "Du musst die Logfiles mit OTL erstellen!" nicht weiterhilft. ich mache es so wie beschrieben und es funktioniert nicht. entweder ist also deine beschreibung nicht genau genug für einen anfänger wie mich oder irgendwas anderes stimmt nicht.

also wo finde ich diesen windows-ordner?
ich möchte noch mal betonen, dass ich laie bin und es daher wichtig ist, ausführlich zu
schreiben, falls du es sonst gewohnt bist mit experten zu schreiben.

Das Problem ist: Windows 8

Es gibt noch nicht soviel Erfahrung damit und es ist komplizierter gestaltet als die Windows Versionen zuvor.

Wenn du den blauen Bildschirm hast:

• Nun kommt man wieder in die Problembehandlung
• Erweiterte Optionen
• Starteinstellungen /Neu starten
• Nun mit der Nummerntaste oder den F-Tasten die richtige Auswahl treffen.
  • In diesem Fall F4 drücken

Versuchst du in den abgesicherten Modus zu kommen. Wenn der mit Netwerktreibern funktioniert:

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

• Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Wähle Scanne Alle Benuzer
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
• Unter Extra Registrierung, wähle bitte Benutze SafeList
• Klicke nun auf Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Wenn nicht, nimmst du den Modus mit Eingabeaufforderung.
Von einem zweiten PC laedst du OTL auf einen STick.

Lade dir auf einem Zweitrechner bitte OTL (von Oldtimer) herunter und speichere es auf einen USB-Stick (nicht in einen Unterordner!).

• Schliesse diesen USB-Stick nun an den infizierten Rechner an.
• Starte den infizierten Computer in den abgesicherten Modus mit Eingabeaufforderung. (Anleitung)
• In der Kommandozeile gib nun notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Arbeitsplatz.
  • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl in die Kommandozeile ein und drücke Enter:

  e:\OTL.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  Es sollte sich nun das Fenster von OTL öffnen.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) angezeigt und auf den USB-Stick gespeichert.
• Poste bitte auf dem Zweitrechner den Inhalt dieser Logfiles hier in den Thread.

danke schon mal für die ausführliche antwort.
beide möglichkeiten funktionieren leider nicht in den abgesicherten modus zu kommen.

dazu habe ich erst wieder auf uefi gestellt weil der unter legacy nur sagt, es gäbe nichts zu booten wenn ich die cd rausnehme, ansonsten wird halt die cd gebootet.
ich mache alles wie gesagt bis er wieder zu meinem pw kommt, danach bin ich wieder da, wo ich schon die ganze zeit erscheine. als ob der gar nicht verstanden hat, dass er in den abgesicherten modus soll. mitlerweile ist alles wieder wie vorher ohen blauen bildschirm und der runDLLL-nachricht.

bei der anderen möglichkeit reagiert der pc nicht auf f8. habe es auch direkt lange und mehrmals versucht.

laut dieses videos lassen das die neusten formen des gvu-virusses auch nicht mehr zu, in den abgesicherten modus zu kommen.
hxxp://www.youtube.com/watch?v=pcSfCFZ3qC4

Dieses Video ist Unsinn.

Hattest du diesen Schirm?

http://www.trojaner-board.de/attachm...1&d=1367954405

ok, gut zu wissen das mit dem video.

ja, genau diesen schirm und dann habe ich f4 gedrückt.

...und auch F6 probiert?

hallo, danke schon mal für die hilfe und mühen bis jetzt.
sry, ich musste kurzfristig vereisen und bin aber ab sonnatgabend oder montagnachmittag wieder dabei.
bis dann!

Alles klar!

der prof und ich sind noch ein paar tage länger geblieben, jetzt bin ich aber wieder voll da.

habe jetzt mit f6 gestartet. es kommt auch wieder die pw-abfrage udn dann ein schwarzer bildschirm mit weißer schrift:

administrator: cmd.exe

microsoft windows version blablabla
<c> 2012 Microsoft blablablabla

c:\Windows\system32>

wenn ich enter drücke steht da noch mal letztere zeile

leider weiß ich nciht,w as ich nun machen muss.

genau da wollen wir doch hin!


Lade dir auf einem Zweitrechner bitte OTL (von Oldtimer) herunter und speichere es auf einen USB-Stick (nicht in einen Unterordner!).

• Schliesse diesen USB-Stick nun an den infizierten Rechner an.
• Starte den infizierten Computer in den abgesicherten Modus mit Eingabeaufforderung. (Anleitung)
• In der Kommandozeile gib nun notepad ein und drücke Enter.
  
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Arbeitsplatz.
  • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
  
  
• Gib nun bitte folgenden Befehl in die Kommandozeile ein und drücke Enter:

  e:\OTL.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  Es sollte sich nun das Fenster von OTL öffnen.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) angezeigt und auf den USB-Stick gespeichert.
• Poste bitte auf dem Zweitrechner den Inhalt dieser Logfiles hier in den Thread.

OTL:OTL Logfile:
--- --- ---

EXTRAS:OTL Logfile:
--- --- ---

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Erstelle zuerst auf einem Zweitrechner das Fixskript:

• Drücke dazu bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste, schreibe "notepad" in das Ausführen Fenster und drücke OK.
• Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
  (Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.)
  
  Code:

  ---

  :OTL

O20:64bit: - HKLM Winlogon: Shell - (C:\PROGRA~3\fhotol.bat) - C:\ProgramData\fhotol.bat ()
[2013.04.29 23:16:14 | 000,163,840 | ---- | C] (Êîðïîðàöèÿ Ìàéêðîñîôò) -- C:\ProgramData\wlg3.dat
[2013.04.29 23:16:13 | 000,048,640 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\rundll32.exe
[2013.05.03 16:40:44 | 095,023,320 | ---- | M] () -- C:\ProgramData\fhotol.pad
[2013.04.29 23:16:22 | 000,000,152 | ---- | M] () -- C:\ProgramData\fhotol.reg
[2013.04.29 23:16:22 | 000,000,056 | ---- | M] () -- C:\ProgramData\fhotol.bat
[2013.04.29 23:16:19 | 095,023,320 | ---- | M] () -- C:\ProgramData\3glw.pad

:Files

ipconfig /flushdns /c
:Commands
[emptytemp]

  ---

• Speichere dann die Datei als fix.txt auf den USB-Stick, wo die OTL.exe liegt.

Danach führe folgendermassen den Fix aus:

• Schliesse den USB-Stick wieder an den infizierten Rechner an und starte diesen in den abgesicherten Modus mit Eingabeaufforderung.
• Gib nun bitte folgenden Befehl in die Kommandozeile ein und drücke Enter:

  e:\OTL.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  Es sollte sich nun das Fenster von OTL öffnen.
• Klicke auf den Fix Button.
• Drücke dann OK, um den Fix von einem File zu laden.
• Wähle die erstellte fix.txt auf dem USB-Stick aus. Ihr Inhalt wird in die Textbox eingefügt.
• Klicke nun erneut auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach einem Neustart versuche wieder in den normalen Modus zu booten.
• Auf deinem USB-Stick sollte im Ordner _OTL ein Log-File (\_OTL\MovedFiles\<time_date>.txt) erstellt worden sein.
• Kopiere nun dessen Inhalt hier in deinen Thread.

2. Schritt
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

danach:

3. Schritt
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

zum 1.schritt:

All processes killed
========== OTL ==========
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\PROGRA~3\fhotol.bat deleted successfully.
C:\ProgramData\fhotol.bat moved successfully.
C:\ProgramData\wlg3.dat moved successfully.
C:\ProgramData\rundll32.exe moved successfully.
C:\ProgramData\fhotol.pad moved successfully.
C:\ProgramData\fhotol.reg moved successfully.
File C:\ProgramData\fhotol.bat not found.
C:\ProgramData\3glw.pad moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache konnte nicht geleert werden: Beim Ausf�hren der Funktion ist ein Fehler aufgetreten.
e:\cmd.bat deleted successfully.
e:\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: hedev
->Temp folder emptied: 43164427 bytes

User: Public

User: Tobias
->Temp folder emptied: 111325479 bytes
->Temporary Internet Files folder emptied: 86927601 bytes
->Java cache emptied: 2462394 bytes
->FireFox cache emptied: 447375433 bytes
->Flash cache emptied: 56833 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 141601325 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 128 bytes
RecycleBin emptied: 17627074177 bytes

Total Files Cleaned = 17.605,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 05172013_044136

Files\Folders moved on Reboot...
C:\Users\Tobias\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...




der rest folgt gleich.

SCHRITT 2

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.16.08

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16540
Tobias :: TOBIASPC [Administrator]

17.05.2013 04:56:02
mbam-log-2013-05-17 (04-56-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 472160
Laufzeit: 1 Stunde(n), 14 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


3.SCHRITT

AdwCleaner Logfile:
--- --- ---

ABER:

- Mein vorheriges Avast-Anti-Viren-Programm kann nicht geupdatet werden: Paket beschädigt.

- Das RunDLL-Problem ist noch vorhanden.

Update: nach Neustart ist das RunDLL-Problem nicht mehr da. :)

und avast hat sich auch wieder repariert. :)

Sehr gut! :daumenhoc

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-18 02:50:33
-----------------------------
02:50:33.603 OS Version: Windows x64 6.2.9200
02:50:33.603 Number of processors: 8 586 0x3A09
02:50:33.603 ComputerName: TOBIASPC UserName: Tobias
02:50:34.650 Initialze error 1
02:50:34.822 AVAST engine defs: 13051701
02:53:07.826 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000003b
02:53:07.826 Disk 0 Vendor: WDC_WD7500BPVT-22HXZT3 01.01A01 Size: 715404MB BusType: 11
02:53:07.841 Disk 0 MBR read successfully
02:53:07.857 Disk 0 MBR scan
02:53:07.857 Disk 0 unknown MBR code
02:53:07.857 Disk 0 Partition 1 00 EE GPT 2097151 MB offset 1
02:53:07.857 Disk 0 scanning C:\Windows\system32\drivers
02:53:07.857 Service scanning
02:53:08.466 Modules scanning
02:53:08.466 Disk 0 trace - called modules:
02:53:08.466 ntoskrnl.exe CLASSPNP.SYS disk.sys storport.sys hal.dll iaStorA.sys
02:53:08.466 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa801014f060]
02:53:08.466 3 CLASSPNP.SYS[fffff88000a01fea] -> nt!IofCallDriver -> \Device\0000003b[0xfffffa800df98060]
02:53:08.466 AVAST engine scan C:\Windows
02:53:08.810 AVAST engine scan C:\Windows\system32
02:53:08.810 AVAST engine scan C:\Windows\system32\drivers
02:53:08.810 AVAST engine scan C:\Users\Tobias
02:53:08.810 AVAST engine scan C:\ProgramData
02:53:08.826 Scan finished successfully
02:55:39.100 Disk 0 MBR has been saved successfully to "C:\Users\Tobias\Desktop\MBR.dat"
02:55:39.100 The log file has been saved successfully to "C:\Users\Tobias\Desktop\aswMBR.txt"

2. Schritt

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=a3643f8a19b19e45b37a27edaae73c31
# engine=13855
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-18 02:43:29
# local_time=2013-05-18 04:43:29 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.2.9200 NT
# compatibility_mode=774 16777213 85 71 64201 145554881 0 0
# compatibility_mode=5122 16777213 100 88 6129693 117627605 0 0
# compatibility_mode=5893 16776574 100 94 4753805 28351120 0 0
# scanned=231073
# found=0
# cleaned=0
# scan_time=6203


3. Schritt folgt hier noch:

Schritt3? ;)

für den wurde es gestern etwas spät nachdem schritt 2 fast 2stunden gedauert hat.
hätte ich gewusst mit dem in 1 minute fertig zu sein, hätte ich den natürlich auch direkt noch gepostet. -.-

Results of screen317's Security Check version 0.99.63
x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
McAfee Anti-Virus und Anti-Spyware
avast! Antivirus
Windows Defender
Antivirus out of date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java 7 Update 21
Adobe Flash Player 11.7.700.202
Adobe Reader XI
Mozilla Firefox (20.0.1)
````````Process Check: objlist.exe by Laurent````````
AVAST Software Avast AvastSvc.exe
AVAST Software Avast AvastUI.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C: %
````````````````````End of Log``````````````````````

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck



Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

adwCleaner entfernen

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Uninstall.
• Bestätige mit Ja.

Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Klasse!!!!!

Vielen Dank für ALLES! :)

Bevor ich fortfahre habe ich jedoch 3 Fragen:

1. Soll ich Im Bios bei SATA Einstellungen den Modus wieder von IDE auf AHCI zurückstellen?
2. Wenn ich das richtig verstehe, kann ich das Javaplugin dann nicht mehr benutzen? Ich brauche es nämlich für ein Onlinespiel. Oder geht es darum eine sicherere Version zu installieren?
3. Ist mein Pc dann jetzt wieder in Ordnung sobald ich die restlichen Schritte ausgeführt habe?

Mit besten Grüßen,
der Tobias

1. Richtig!
2. Brauchst du es im Browser? Wenn ja einfach wieder aktivieren.
3. Ja!

wuensche eine virenfreie Zeit ;)

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 21.0 ist aktuell

Flash (11,7,700,202) ist aktuell.

Java ist nicht Installiert oder nicht aktiviert.

Adobe Reader 11,0,2,0 ist aktuell.

Nachdem ich nun alles ausgeführt habe, habe ich Java wieder erlaubt.

Wenn ichs richtig verstanden habe, läuft jetzt alles wieder.:daumenhoc

Dann noch mal
:dankeschoen:

:party:

Jupp :daumenhoc