GVU Trojaner (neue Version)
 

Hallo,

ich habe mir heute den GVU-Trojaner eingefangen. Seitdem konnte ich Windows 7 64bit nicht mehr normal oder im abgesicherten Modus starten (werder abgesichert, noch abgesichert mit command prompt), last known good configuration geht auch nicht mehr.

Habe den Windowsunlocker durchgeführt. Dann ließ sich Windows 7 auch nicht wieder starten. Nach Update der Virenfiles in Kaspersky habe ich einen Scan durchgeführt und 4 Dateien unter Quarantäne gestellt (bzw. eine löschen müssen, weil ich diese nicht unter Quarantäne stellen konne).

Win 7 kann immer noch nicht hochgefahren werden.

Das Windows Repair mit der Win Installationsdisk findet Fehler, kann diese aber nicht beheben.

Wiederherstellungspunkte existieren auch nicht mehr.

Naturgemäß kann ich defogger, OTL und/oder Gmer nicht mehr installieren und laufen lassen.

Was kann ich noch tun? Danke!

Mir sagen was da in Quarantäne gestellt wurde.

und



:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:


Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Alle anderen Windowsversionen ab hier:

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Hallo,

hier ist der Logfile:


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

[/CODE]

gelöscht wurde: fxrkbtuhijijjhnt.exe
Unter Quarantäne sind:

Ich hoffe, dass das weiterhilft. Danke schonmal!

Okay schauen wir mal ob wir die Kist aufkriegen:

Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

---

HKU\User\...\Winlogon: [Shell] Explorer.exe <==== ATTENTION
HKU\User\...\Command Processor: "C:\Users\User\AppData\Local\Temp\fxrkbtuhlijijjhnt.exe" <===== ATTENTION!
C:\Users\User\AppData\Local\Temp\fxrkbtuhlijijjhnt.exe

---

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Funktioniert normales booten?

Hallo,

ich kann leider immer noch nicht wieder hochfahren (weder normal noch abgesichert).

Hier der Logfile:
Die "fxrkbtuhlijijjhnt.exe" konnte nicht automatisch gelöscht werden, da ich sie bereits gelöscht hatte.

Danke & Gruß

Okay, das ist ein echtes Miststück hier.

Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

---


2013-07-07 01:39 - 2013-07-07 01:39 - 00393526 ____A C:\Users\User\AppData\Local\2433f433
2013-07-07 01:39 - 2013-07-07 01:39 - 00393518 ____A C:\ProgramData\2433f433
2013-07-07 01:39 - 2013-07-07 01:39 - 00393463 ____A C:\Users\User\AppData\Roaming\2433f433
2013-07-07 01:39 - 2013-04-01 11:23 - 00000000 ____D C:\Users\User\Documents\Excel
2013-07-07 01:39 - 2013-01-23 05:14 - 00000000 ____D C:\Users\User\Documents\Youcam

---

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Wenn es diesmal nicht klappt, dann brauche ich ein neues Logfile.

Hallo, danke für die schnelle Antwort.
Leider immer noch kein Hochfahren möglich (bricht auf dem Screen auf dem die vier Windows Farben einfliegen sollten ab) (kein normales oder abgesichertes Hochfahren).

Fixfile:
neue FRST.txt:


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

[/CODE]

Danke & Gruß

Irgendwie scheinen mir die Drivebezeichnungen durcheinander.

Eigentlich ist die Bootpartition C: (die Windows Installationsdisk sagt aber, die Win Partition sei d:)

Eigentlich ist das dvd Laufwerk e: in der Analyse wird es aber als f: bezeichnet.

Auf H: liegen Backup Files.

Gruß

Ah interessant. Probiere mit dem Reparaturmodus mal bitte eine Systemreparatur vor den 4.7.

In meinem Win Menü (beim Booten F8 drücken) bekomme ich keinen Reparaturmodus als Auswahlmöglichkeit...

Und ein System Restore ist nicht möglich, da Win keine Wiederherstellungspunkte finden kann...

Danke.

Dann probiere bitte das Booten mit

"Letzte als funktionierend bekannte Konfiguration" aus dem F8 menü heraus

Danke, klappt leider auch nicht...

Jetzt fällt mir nur noch eine Sache ein .... im F8 Modus kann man noch den standard vga modus aktivieren. Evtl ist was mit dem Graphiktreiber passiert. Aber prinzipiell sind wir hier ziemlich am Ende, ab dem ich dir nicht mehr helfen kann :(

Hallo,

ich hatte den 640x480 Modus einfach mal versucht, so als letzte Idee. Geht aber auch nicht. Da scheint der Trojaner ja ganze Arbeit geleistet zu haben...

Jetzt wüsste ich nur gerne, wie ich meine Daten auf ein Netzlaufwerk retten kann. Danach kann ich das System ja neu aufsetzen.:killpc:

Gruß & Danke!

Am besten gehts eigentlich mit der Kaspersky CD, die mountet alle deine Laufwerke automatisch.

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board