|
Nach Befall von GVU-Trojaner: Windows nur noch eingeschränkt möglich. Hallo Trojaner-Boardler, ich habe mir vorige Woche den GVU-Trojaner eingefangen. Avira hat das auch sofort gemeldet. Kurzzeitig war der Rechner zwar blockiert, ich konnte aber mit der "Desinfec´t" CD und den enthaltenen Programmen von Avira, Bit-defender und Kaspersky im abgesicherten Modus den Rechner wieder freibekommen. Ich habe dann nochmal alle Programme wie meine installierte Avira-Software oder Malewarebytes drüberlaufen lassen und auch etliche Einträge gefunden und jeweils gelöscht bzw in Quarantäne verschoben. Der Rechner fährt auch wieder normal hoch, es kommen aber immer wieder Meldungen beim Ausführen oder Updateversuchen von Programmen wie "ShellExecuteEx schlug fehl; Code 126. Das angegebene Modul wurde nicht gefunden." oder "Fehler beim Laden von C:\PROGRA 2\cobzdco.dat. Das angegebene Modul wurde nicht gefunden". Da ich mittlerweile das Programm "Malewarebytes" versehentlich gelöscht habe, kann ich es jetzt nicht mehr ausführen. Ich kann das Programm zwar herunterladen, aber es kommt die Meldung, dass die -exe Datei zur Ausführung nicht gefunden wird. So ist es bei allen Programmen, die ich herunterladen wollte. Deswegen kann ich z. B. auch die von Euch angegebenen Programme wie Defogger oder OTL nicht starten. Sind befinden sich zwar auf dem Desktop, werden aber nicht ausgeführt. Ich muss allerdings erwähnen, dass ich bei diesen Problemen ein totaler Laie bin und mir beim Durchlesen Euerer Bearbeitungen der einzelnen Problemfälle schon schwindlig geworden ist. Aber nach Befragung von vielen Bekannten und sogenannten "Experten" weiss ich keine andere Möglichkeit und wende mich jetzt an Euch mit der Hoffnung hier Hilfe zu bekommen. Sieht alles recht professionell an und ich bin der Meinung, Ihr wißt, war Ihr tut. Bestimmt kann mir jemand helfen. Grüße aus Bayern Hallo, hab ich noch vergessen: System: Windows Vista Home Premium 32 Bit Arbeitsspeicher 2 GB Intel Core 2 CPU 1,8 GHz Auch die Systemwiederherstellung funktioniert nicht mehr. Auch hier kommt eine Fehlermeldung. |
!! Hinweis an Mitlesende !! Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht. Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema. :hallo: Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:  Bitte lesen:Regeln für die Bereinigung
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8) Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil) |
FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 02-07-2013--- --- --- --- --- --- Ich hoffe, alles richtig gemacht zu haben. Grüße aus Bayern |
Ja, bis auf den Mist, den du dir so heruntergeladen hast. Aber alles der reihe nach... Fix mit FRST Wenn das geklappt hat gehts weiter. |
Hallo ryder, danke für die schnelle Bearbeitung. Hier kommt die Fixlog Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 02-07-2013Hallo ryder, ich hoffe, so paßt´s. Bin in solchen Sachen relativ ungeschickt, da ich sowas zum ersten Mal mache wie Thread usw. Werner |
Sieht fein aus. Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Boote jetzt normal. Schritt 2: Deinstallation von Programmen
Schritt 3: AdwCleaner: Werbeprogramme suchen und löschen Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Schritt 4: AdwCleaner wiederholen Die vorliegende Version der Werbeprogramme ist ziemlich hartnäckig und kann von AdwCleaner erfahrungsgemäss nur bei zweimaliger Anwendung entfernt werden. Also wiederhole diesen Schritt bitte und poste auch das Logfile. Schritt 5: Scan mit Combofix
|
Hallo, zu Punkt 1: Ich kann im Normalmodus keine Programme deinstallieren. Entweder es kommt eine Meldung wie "Bei der Deinstallation von.....ist ein Fehler aufgetreten. Möglicherweise wurde es bereits deinstalliert. Möchten Sie ..... aus der Liste Programme und Funktionen entfernen?" oder es kommt bei anderen Programmen nach Klick auf "Deinstallieren" das Fenster Windows Installer: "Der Systemadministrator hat Richtlinien erlassen um diese Installation zu verhindern." "Sie verfügen nicht über ausreichende Berechtigungen, um ...... zu entfernen. Wenden Sie sich an den Systemadministrator." Ich habe jetzt noch keine weiteren Punkte abgearbeitet. Was kann ich da machen? |
Dann machen wir mal weiter |
Ok, probier´ mas, was soll ich als nächstes machen? |
Die nächsten Schritte? |
Also, ich hab jetzt wie in Schritt 3 adwcleaner auf den Desktop geladen und alle Programme geschlossen. Jetzt kommt nach Doppelklick in einem Fenster die Meldung: "C:\Users\Werner Herz\Desktop\adwcleaner.exe Der angegebene Dienst ist kein installierter Dienst" |
Verrückt. Wir müssen mal sehen was da überhaupt los ist. Boote bitte in den abgesicherten Modus und lasse dort Combofix laufen. So funktioniert es - Windows XP, Vista und 7:Abgesicherter Modus zur Bereinigung Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind: Abgesicherter ModusWähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter. So funktioniert es - Windows 8: Alternative Anleitung Scan mit Combofix
|
So, ich hab´s glaub ich geschafft. Habe combofix auf den Desktop gespeichert. Der Avira hat sich im normalen Modus nicht ausschalten lassen - keinen Zugriff. Im abgesicherten Modus war er dann deaktiviert. Nach dem Starten von Combofix kam dann schon die Meldung, dass Avira noch aktiv ist. Hab ich dann wie Du schon erwähnt hast ignoriert und hiermit mitgeteilt. Die erstellte Datei war dann im normalen Modus nicht zu finden. Habe sie dann im abgesicherten Modus auf den Stick kopiert und hier ist sie nun: Code: ComboFix 13-07-04.01 - Werner Herz 05.07.2013 0:29.1.2 - x86 NETWORKSo, jetzt leg ich mich flach. Danke für die bis jetzt geopferte Zeit. Servus! |
Na da wundert einen nix mehr. Entferne mal diesen Unsinn hier: 2013-06-29 19:24 . 2013-06-29 19:24 -------- d-----w- c:\users\Werner Herz\AppData\Local\Max Secure Software 2013-06-29 19:23 . 2013-06-29 19:24 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\GetRightToGo 2013-06-29 10:02 . 2013-06-29 10:02 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\SpeedMaxPc 2013-06-29 10:02 . 2013-06-29 10:02 -------- d-----w- c:\users\Werner Herz\AppData\Roaming\DriverCure 2013-06-29 10:02 . 2013-06-29 10:32 -------- d-----w- c:\programdata\SpeedMaxPc Windows-Defender abschalten Da du einen anderen Virenscanner benutzt solltest du dringend den windowseigenen Scanner abschalten:
Mehr zu den Hintergründen und einer tieferen Deaktivierung: LINK Danach versuche bitte Combofix im normalen Modus laufen zu lassen |
Hallo, das ist mir alles ein wenig zu hoch. Hab versucht, den Unsinn zu löschen. Ich hab allerdings die angegebenen Pfade im normalen Windows-Explorer gar nicht gefunden. Ich hab den Unsinn jetzt mal im abgesicherten Modus gelöscht. Danach hab ich den Windows Defender deaktiviert und dann nach langem Herumsuchen (ich kenn mich da wirklich zu wenig aus), hab ich den Haken im Menü Organisieren -Ordneroptionen - Ansicht bei "Geschützte Systemdateien ausblenden" rausgemacht und "Versteckte Dateien und Ordner ausblenden deaktiviert. Jetzt seh ich zumindest mal mehr Verzeichnisse und finde auch die von Dir angegebenen. Allerdings sind bei etlichen Ordnern Pfeile eingeblendet und auf diese Ordner kann ich nicht zugreifen. Ist das normal oder bloß eine Einstellungssache. Combofix kann ich im normalen Modus immer noch nicht starten. Es kommt: "Der angegebene Dienst ist kein installierter Dienst. Langsam geht´s an die Nerven, wenn man so hilflos ist. Aber ich hab ja kompetente Hilfe von Dir - das wird schon. Nächster Schritt??? Grüße Werner |
Naja manchmal streikt es halt auch ein wenig. Du hättest die Programme versuchen sollen über die Systemsteuerung zu deinstallieren. Aber da hab ich mich eben ein wenig ungenau ausgedrückt. Hole das bitte nach, wenn das möglich ist. Wir probieren eine Alternative aus: Scan mit MBAR Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers |
Ich kann über die Systemsteuerung keine Programme löschen wie schon weiter oben erwähnt. Das Anti-Rootkit hab ich auf den Desktop heruntergeladen und entpackt, aber wie schon vorher kann ich im normalen Modus keine exe-Datei ausführen. Es kommt wieder "Der angegebene Dienst ist kein installierter Dienst. |
Hach das ist echt komisch bei dir, könnte gut sein, dass wir hier an irgend einer Stelle aufgeben müssen. Probiere MBAR bitte aus abgesichert heraus. |
Ich lass das jetzt mal laufen und melde mich ab. Bin in ca 2-3 Stunden wieder da. Hab noch was zu tun für den morgigen Auftritt mit meiner Band. Da versteh ich wenigstens was - vom Gitarre spielen. Das mach ich seit 35 Jahren und beim abrocken fühl ich mich besser als vor dem Kasten. Servus, Vielleicht bist ja dann noch da.... Ha, jetzt ist er fertig und hat keine Maleware gefunden. "No cleanup required" Und jetzt??? |
Sei so nett mache mir ein frisches Log mit FRST und hoffe, dass man da irgendwas sieht. Systemscan mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32bit oder FRST 64bit (Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)
|
Da bin ich wieder: Hi, habe jetzt den Scan vom USB-Stick (auf dem ja FRST von vorher noch war) im abgesicherten Reparaturmodus gemacht, weil es im normalen Modus ja wieder nicht gegangen ist. Die neue FRST.txt ist jetzt auf dem Stick, aber wo ist die Addition.txt? Hier kommt erst mal die FRST.exe FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 02-07-2013--- --- --- |
Mach mal bitte aus abgesichert heraus, damit wir ein laufendes Windows haben. Dieser "externe Blick" ist gut, wenn man die Kiste entsperren will, aber hier ist was ganz faul. |
Sorry, aber ich versteh nicht ganz, was ich jetzt machen soll! |
Im abgesicherten Modus starten. Dann FRSR Scan. |
Servus, bin wieder da. Auftritt war super, jetzt kanns weitergehen. Scan hab ich gemacht, diesmal im abgesicherten Modus, nicht im abgesicherten Reparaturmodus. Und jetzt ist auch die Addition da. Hier die FRST.txt FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 02-07-2013--- --- --- Und hier kommt noch die Addition.txt Code: Additional scan result of Farbar Recovery Scan Tool (x86) Version: 02-07-2013 |
Okay. Also keine gute Nachricht. Ich sehe keinen echten Grund, warum das alles nicht mehr funktioniert, würde aber vermuten dass es daran liegt. Zitat:
Andererseits macht Malware oft Dinge, die nicht mehr reparabel sind. Ich würde dazu raten an dieser Stelle alles wichtige zu sichern ... und danach den Rechner neuaufzusetzen. Es ist auch ne Frage der Effektivität. Die Zeit die ich evtl bräuchte um das Problem zu finden kannst du schon längst zum neuen Einrichten benutzen. |
Versteh ich das richtig? Der Ccleaner hat vielleicht was aus der Registry gelöscht, was die Maleware event. geändert hat und Windows benötigt (zumindest meine Version). Ich werd jetzt mit dem Sichern anfangen und den Rechner neu aufsetzen. Kann bei den Daten event. auch was infiziert sein und habt ihr vielleicht Tips und Anleitungen, wie man das System am besten neu aufsetzt? Ist natürlich für mich auch wieder Neuland. Auf jeden Fall sage ich schon mal ein riesengroßes Dankeschön für die geopferte Zeit und Mühe und die exzellente und freundliche Betreuung. Ich werd Euch auf jeden Fall weiterempfehlen. |
Bei reinen Nutzdaten ist üblicherweise keine Infektion dabei. So eine Neuinstallation hat ja auch viele Vorteile, in dem man viel Unsinn hinter sich lässt :) |
Schön, dass wir helfen konnten :abklatsch: Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board