Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich.
 

Hallo Trojaner-Boardler,

ich habe mir vorige Woche den GVU-Trojaner eingefangen. Avira hat das auch sofort gemeldet. Kurzzeitig war der Rechner zwar blockiert, ich konnte aber mit der "Desinfec´t" CD und den enthaltenen Programmen von Avira, Bit-defender und Kaspersky im abgesicherten Modus den Rechner wieder freibekommen. Ich habe dann nochmal alle Programme wie meine installierte Avira-Software oder Malewarebytes drüberlaufen lassen und auch etliche Einträge gefunden und jeweils gelöscht bzw in Quarantäne verschoben. Der Rechner fährt auch wieder normal hoch, es kommen aber immer wieder Meldungen beim Ausführen oder Updateversuchen von Programmen wie "ShellExecuteEx schlug fehl; Code 126. Das angegebene Modul wurde nicht gefunden." oder "Fehler beim Laden von C:\PROGRA 2\cobzdco.dat. Das angegebene Modul wurde nicht gefunden". Da ich mittlerweile das Programm "Malewarebytes" versehentlich gelöscht habe, kann ich es jetzt nicht mehr ausführen. Ich kann das Programm zwar herunterladen, aber es kommt die Meldung, dass die -exe Datei zur Ausführung nicht gefunden wird. So ist es bei allen Programmen, die ich herunterladen wollte. Deswegen kann ich z. B. auch die von Euch angegebenen Programme wie Defogger oder OTL nicht starten. Sind befinden sich zwar auf dem Desktop, werden aber nicht ausgeführt.
Ich muss allerdings erwähnen, dass ich bei diesen Problemen ein totaler Laie bin und mir beim Durchlesen Euerer Bearbeitungen der einzelnen Problemfälle schon schwindlig geworden ist.
Aber nach Befragung von vielen Bekannten und sogenannten "Experten" weiss ich keine andere Möglichkeit und wende mich jetzt an Euch mit der Hoffnung hier Hilfe zu bekommen.
Sieht alles recht professionell an und ich bin der Meinung, Ihr wißt, war Ihr tut.
Bestimmt kann mir jemand helfen.

Grüße aus Bayern

Hallo, hab ich noch vergessen:

System: Windows Vista Home Premium
32 Bit
Arbeitsspeicher 2 GB
Intel Core 2 CPU 1,8 GHz

Auch die Systemwiederherstellung funktioniert nicht mehr. Auch hier kommt eine Fehlermeldung.

:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:


Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Alle anderen Windowsversionen ab hier:

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

Ich hoffe, alles richtig gemacht zu haben.

Grüße aus Bayern

Ja, bis auf den Mist, den du dir so heruntergeladen hast. Aber alles der reihe nach...

Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

---

S3 Appinfo; %SystemRoot%\System32\appinfo.dll [x]
S2 AntUpdaterService; C:\Program Files\Ant.com\IE add-on\AntUpdaterService.exe [520216 2011-06-29] (Ant.com)
C:\Users\Werner Herz\AppData\Roaming\skype.ini
C:\ProgramData\ocdzboc.dat
C:\ProgramData\ocdzboc.pad

2013-06-23 13:03 - 2013-05-09 19:59 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\Aksio

2013-06-23 15:15 - 2013-05-09 19:59 - 00000000 ____D C:\Users\Werner Herz\AppData\Roaming\Yqninu

---

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Wenn das geklappt hat gehts weiter.

Hallo ryder,
danke für die schnelle Bearbeitung. Hier kommt die Fixlog


Hallo ryder,
ich hoffe, so paßt´s. Bin in solchen Sachen relativ ungeschickt, da ich sowas zum ersten Mal mache wie Thread usw.

Werner

Sieht fein aus.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Boote jetzt normal.


Schritt 2:
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
Registry-Cleaner Software, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall (ist unnötig), McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle Varianten, Java 7 kann bleiben), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, DriverCure, Uniblue DriverScanner, FireJump, SearchAnonymizer, SpeedMaxPC, Optimzer Pro, Webcake, OpenCandy

Ich persönlich empfehle auch alles zu deinstallieren, was mit Bing zu tun hat (Bing Desktop, -toolbar), aber das ist deine Entscheidung.

Schritt 3:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 4:
AdwCleaner wiederholen
Die vorliegende Version der Werbeprogramme ist ziemlich hartnäckig und kann von AdwCleaner erfahrungsgemäss nur bei zweimaliger Anwendung entfernt werden. Also wiederhole diesen Schritt bitte und poste auch das Logfile.


Schritt 5:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo,

zu Punkt 1: Ich kann im Normalmodus keine Programme deinstallieren.

Entweder es kommt eine Meldung wie "Bei der Deinstallation von.....ist ein Fehler aufgetreten. Möglicherweise wurde es bereits deinstalliert. Möchten Sie ..... aus der Liste Programme und Funktionen entfernen?"

oder es kommt bei anderen Programmen nach Klick auf "Deinstallieren" das Fenster
Windows Installer: "Der Systemadministrator hat Richtlinien erlassen um diese Installation zu verhindern." "Sie verfügen nicht über ausreichende Berechtigungen, um ...... zu entfernen. Wenden Sie sich an den Systemadministrator."

Ich habe jetzt noch keine weiteren Punkte abgearbeitet. Was kann ich da machen?

Dann machen wir mal weiter

Ok, probier´ mas, was soll ich als nächstes machen?

Die nächsten Schritte?

Also, ich hab jetzt wie in Schritt 3 adwcleaner auf den Desktop geladen und alle Programme geschlossen.

Jetzt kommt nach Doppelklick in einem Fenster die Meldung:

"C:\Users\Werner Herz\Desktop\adwcleaner.exe
Der angegebene Dienst ist kein installierter Dienst"

Verrückt. Wir müssen mal sehen was da überhaupt los ist.

Boote bitte in den abgesicherten Modus und lasse dort Combofix laufen.



Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

So, ich hab´s glaub ich geschafft. Habe combofix auf den Desktop gespeichert. Der Avira hat sich im normalen Modus nicht ausschalten lassen - keinen Zugriff. Im abgesicherten Modus war er dann deaktiviert. Nach dem Starten von Combofix kam dann schon die Meldung, dass Avira noch aktiv ist. Hab ich dann wie Du schon erwähnt hast ignoriert und hiermit mitgeteilt. Die erstellte Datei war dann im normalen Modus nicht zu finden. Habe sie dann im abgesicherten Modus auf den Stick kopiert und hier ist sie nun:


So, jetzt leg ich mich flach. Danke für die bis jetzt geopferte Zeit.
Servus!

Na da wundert einen nix mehr.

Entferne mal diesen Unsinn hier:


2013-06-29 19:24 . 2013-06-29 19:24 -------- d-----w- c:\users\Werner Herz\AppData\Local\Max Secure Software
2013-06-29 19:23 . 2013-06-29 19:24 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\GetRightToGo
2013-06-29 10:02 . 2013-06-29 10:02 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\SpeedMaxPc
2013-06-29 10:02 . 2013-06-29 10:02 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\DriverCure
2013-06-29 10:02 . 2013-06-29 10:32 -------- d-----w- c:\programdata\SpeedMaxPc
Windows-Defender abschalten

Da du einen anderen Virenscanner benutzt solltest du dringend den windowseigenen Scanner abschalten:

• Gehe in die Systemsteuerung und klicke auf Windows Defender.
• Klicke Extras > Optionen.
• Administratoroptionen > Haken entfernen bei Windows Defender verwenden.
• Bestätige und schliesse alle offenen Fenster.

Mehr zu den Hintergründen und einer tieferen Deaktivierung: LINK


Danach versuche bitte Combofix im normalen Modus laufen zu lassen

Hallo, das ist mir alles ein wenig zu hoch. Hab versucht, den Unsinn zu löschen. Ich hab allerdings die angegebenen Pfade im normalen Windows-Explorer gar nicht gefunden.
Ich hab den Unsinn jetzt mal im abgesicherten Modus gelöscht. Danach hab ich den Windows Defender deaktiviert und dann nach langem Herumsuchen (ich kenn mich da wirklich zu wenig aus), hab ich den Haken im Menü Organisieren -Ordneroptionen - Ansicht bei "Geschützte Systemdateien ausblenden" rausgemacht und "Versteckte Dateien und Ordner ausblenden deaktiviert. Jetzt seh ich zumindest mal mehr Verzeichnisse und finde auch die von Dir angegebenen. Allerdings sind bei etlichen Ordnern Pfeile eingeblendet und auf diese Ordner kann ich nicht zugreifen. Ist das normal oder bloß eine Einstellungssache. Combofix kann ich im normalen Modus immer noch nicht starten. Es kommt: "Der angegebene Dienst ist kein installierter Dienst.
Langsam geht´s an die Nerven, wenn man so hilflos ist.
Aber ich hab ja kompetente Hilfe von Dir - das wird schon. Nächster Schritt???

Grüße
Werner