Trojaner-Board - GVU Virus eingefangen, Abgesicherter Modus fährt direkt wieder runger, Windows XP

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU Virus eingefangen, Abgesicherter Modus fährt direkt wieder runger, Windows XP (https://www.trojaner-board.de/137253-gvu-virus-eingefangen-abgesicherter-modus-faehrt-direkt-runger-windows-xp.html)

GVU Virus eingefangen, Abgesicherter Modus fährt direkt wieder runger, Windows XP

Hallo,
habe mir den GVU-Virus eingefangen. Beim starten im abgesicherten Modus fährt der Rechner direkt wieder runter. Windows XP mit SP3.
Ein Bild des GVU-Virus ist im Anhang.

Anhang 56988

Bitte um Hilfe.

Hallo,

Zitat:

Beim starten im abgesicherten Modus fährt der Rechner direkt wieder runter.

Auch wenn du versuchst, in den abgesicherten Modus mit Eingabeaufforderung zu starten? Oder kommst du dort auf das schwarze Konsolenfenster?

Das schwarze Kontrollfenster ist kurz da, dann fährt der Rechner aber runter

Ok, dann so:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Habe nun die OTLPE-CD erstellt. Liegt auch schon im LW.
Leider finde ich unter F12 im BOOT-Menü nicht die Möglichkeit über CD zu booten. Auch unter F2 in den Setup-Einstellungen finde ich nichts. Anbei die Fotos beider Menüs. Kann mir hier irgendwer helfen?

Anhang 57051

Anhang 57052

Habe es nun geschafft von CD zu booten. Habe ein ext. USB-CD-LW angeschlossen. Dann ging es über USB zu booten.
Habe nun gescannt, aber nur eine OTL.Txt - Datei bekommen. Es wurde keine EXTRA.Txt - Datei erzeugt.
Im Anhang die OTL-Datei.

Anhang 57056

GVU Virus eingefangen, Abgesicherter Modus fährt direkt wieder runter, Windows XP

Leider wurde nur eine OTL Datei erstellt. Unter C: kann ich keine Datei EXTRAS.TXT finden.
OTL-Datei:

Anhang 57057

GVU Virus eingefangen, Abgesicherter Modus fährt direkt wieder runter, Windows XP

Hier nun die beiden Log-Files:

Anhang 57058

Anhang 57059

Wie geht es weiter?:crazy:

Hallo,

kannst du nach folgendem Fix den Rechner wieder normal starten?

Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

:OTL

[2013/06/26 15:07:15 | 000,163,068 | ---- | C] () -- C:\Dokumente und Einstellungen\michaelw\Anwendungsdaten\2433f433

[2013/06/26 15:07:14 | 000,163,041 | ---- | C] () -- C:\Dokumente und Einstellungen\michaelw\Lokale Einstellungen\Anwendungsdaten\2433f433

[2013/06/26 15:07:14 | 000,163,033 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433

[2013/06/26 14:48:17 | 000,003,057 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0w4r.js

[2013/06/26 14:48:13 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0w4r.pad

[2013/06/10 16:07:18 | 000,003,073 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\v8inl.js

[2013/06/10 16:07:16 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\v8inl.pad

[2013/02/28 14:40:51 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\8460883.pad

[2012/09/11 15:42:20 | 083,023,306 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad

[2012/07/15 12:59:40 | 004,503,728 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\to_r0tsef.pad

[2010/04/03 15:08:52 | 000,005,048 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mtbjfghn.xbe

[2013/04/26 15:43:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\michaelw\Anwendungsdaten\Yfzua

[2013/06/27 15:08:23 | 000,000,322 | ---- | M] () -- C:\WINDOWS\Tasks\VQWDENHYDG.job

[2013/06/27 15:08:24 | 000,000,316 | ---- | M] () -- C:\WINDOWS\Tasks\YourFile DownloaderUpdate.job

[2013/06/26 15:07:09 | 000,068,096 | ---- | M] (NVIDIA Corporation) -- C:\Dokumente und Einstellungen\michaelw\gjcayor7nml9i.dll

[2013/06/26 15:07:06 | 000,068,096 | ---- | M] (NVIDIA Corporation) -- C:\Dokumente und Einstellungen\michaelw\gjcayor7nml9i.exe

[2013/06/26 14:48:09 | 000,131,072 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\r4w0.dat

O4 - HKU\michaelw_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Dokumente und Einstellungen\michaelw\gjcayor7nml9i.exe (NVIDIA Corporation)

Klicke jetzt auf den Fix Button.
Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
Kopiere nun dessen Inhalt hier in deinen Thread.

OK. Hab ich gemacht. Nach dem Fixen kam ein Fenster, wo es dann immer hieß:

ERROR: irgendwelcher Zeug
ERROR: irgendwelcher Zeug
...
..
.

Der Eintrag war bestimmt ca. 20 Zeilen Lang. Immer am Anfang ERROR und danach Text.
Ich hoffe das passt. :confused:

Habe den Rechner dann neu gestartet und ganz normal wieder gebootet. Hat soweit auch funktioniert. Leider finde ich aber weder auf dem Desktop noch unter C:OTL die gewünschte Datei time_date.log :confused:

Leidiglich folgende Datei:

Anhang 57090

Netzwerkkabel ist noch gezogen. Habe jetzt das AVIRA-Anti-Vir gestartet.

Ist das soweit OK? Wie soll ich weiter machen ???:crazy:

Das gepostet Logfile ist schon das richtige..
Aber der Fix hat hinten und vorne nicht geklappt. Du hast das Fixskript nicht ganz vollständig kopiert (oben fehlt ein Teil).

Wenn der Rechner dennoch wieder normal läuft, dann mach bitte das:

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

Doppelklick auf die OTL.exe.
Unter Extra Registry, wähle bitte Use SafeList.
Setze den Haken bei Scan all Users.
Klicke nun auf Run Scan.
Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
Poste den Inhalt dieser Logfiles hier in den Thread.

OK.

Hier die files:

Anhang 57101

Anhang 57102

Ok, der Rechner kann für den Schritt 2 wieder ans Netz.

Schritt 1

Lade SystemLook (von jpshortstuff) herunter und speichere das Tool auf dem Desktop.

Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
Vista und Win7 User: Rechtsklick und "als Administrator starten".
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code:

:filefind *gjcayor7nml9i* :regfind gjcayor7nml9i
Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen. Poste diese in deinen Thread.
Das Log-File wird auch auf dem Desktop als SystemLook.txt gespeichert.

Schritt 2

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Bitte poste in deiner nächsten Antwort:

Log von SystemLook
Log von Combofix

So nun die beiden Log-Files:

Anhang 57110

Anhang 57111

Es geht voran. Wir sind aber noch nicht fertig.

Schritt 1

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Schritt 2

Starte bitte die OTL.exe.

Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von MBAR
Log von OTL