GVU 2.07 Trojaner auf Vista / Hitman und Hirens Boot CD haben nicht funktioniert
 

Hallo liebe Community,

ich bin neu hier also verzeiht, falls ich Fehler mache ;)

Mein Vater hat es geschafft, den Vista-Laptop meiner Mutter zu schrotten, indem er auf Malware-Seiten war und sie nun den 2.07er GVU-Trojaner hat.

Wir haben es schon mit Hitman versucht - ein Mal kam ich bis zum Programm, dann war der Laptop leer, bei neuen Versuchen kam ich erst gar nicht so weit. Ich habe alle Modi ausprobiert und nichts passierte außer, dass der Laptop startete und dann zur GVU-Seite kam oder sich direkt wieder herunter fuhr (mit der Anzeige 'Herunterfahren..').

Mein zweiter Versuch war die Methode von Alex Ken via youtube. Ich habe mit 'Rufus' einen Hiren's Boot USB Stick erstellt, bin auch gut durchgekommen, habe allerdings versehentlich, anstatt die Dateien durch Zusatz der Endung 'bak' umzubenennen, die eindeutigen Malware-Dateien gelöscht. Nach dem Neustart startete dann eine cmd.exe und sagte mir, dass eben diese, von mir als eindeutige Malware-Datei erkannte Datei, falsch geschrieben ist oder nicht gefunden wurde.

Momentan bin ich dabei einen OTLPE-Stick zu erstellen!

Die Schwierigkeit ist, dass auf dem befallenen Laptop Vista ist, mein Rechner ein Macbook ist und das Netbook, dass ich noch nutzen kann, Windows 7 hat :D

Ich hoffe, ihr könnt mir helfen! :)

Dankeschön :)

Hi,

Lass OTLPE weg.

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Hallo schrauber,

danke für die schnelle Antwort. Nach einigen Problemen hat es jetzt über die CD geklappt!


FRST Logfile:
--- --- ---


Danke :)

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.


neu booten, freuen :D

Es geht, juhu! :)

Hast du einen Tipp, was man machen kann, um sowas demnächst zu umgehen? Also spezielle Software?

Danke, danke, danke :)

Machen wir nachher, erst noch Kontrollscans im normalen Modus :)

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Nach dem Booten ist die WLan-Verbindung hinüber. Per Lan habe ich eine Verbindung, das Netzwerk wird aber nicht gefunden, wenn ich es über WLan probiere. Woran kann das liegen?

Diese Malware verbiegt gerne noch en paar Einstellungen. Richten wir im Anschluss :)

Der JRT-Code
FRST-Code

FRST Logfile:
--- --- ---


und der Addition-Code

:)

und AdwCleaner?


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

und ein frisches FRST log bitte. Welche Probleme bestehen noch?

Oh, der wurde nicht eingefügt!

Hier der Nachtrag:

Dann obiges bitte :)

ESET

SecurityCheck

FFS

FRST


FRST Logfile:
--- --- ---


Stunden später :D
Ich hoffe ich habs bald geschafft ;)

Noch Probleme? :)

Ja! :( Es werden keine WLan-Netzwerke angezeigt, Lan funktioniert weiter fehlerfrei und mit meinem Macbook mit ich über WLan verbunden. Wenn ich auf 'Warum können keine Netzwerke gefunden werden?' klicke, kommt ein Diagnose-Fenster mit der Info 'Aktivieren Sie die Drahtlosfunktion'. Das müsste per Fn+F1 (Medion Akoya) funktionieren, allerdings tut sich nichts.
Unter 'Drahtlosnetzwerke verwalten' finde ich das Netzwerk und der Adapter funktioniert laut den Eigenschaften einwand frei.

hi,

Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hier der Code! Außerdem kommt beim Start-Vorgang vor dem 'Wilkommen'-Screen, ein schwarzer Screen, mit blauen Streifen in der oberen Bildschirmhälfte.

Ist der Treiber denn laut Eigenschaften aktiv oder nicht?

Ja, hatte ich vorher schon gecheckt und er ist aktiv

Kanst Du mir nen Handybild von dem schwarzen Bild machen?

Das Problem mit dem Screen besteht scheinbar schon seit ein paar Tagen...

Poste mal bitte ein frisches FRST log :)

FRST Logfile:
--- --- ---


Mir wurde angezeigt, dass es ein Update gibt, ich habs runtergeladen, es ist aber nichts passiert. Ich hoffe der Scan mit der 'alten' Version reicht aus!?

Was ist Laufwerk F:?

Schauen wir mal von aussen.

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Das ist ein USB-Port, habe wichtige Sachen auf einen USB-Stick gepackt, damit ich beim nächsten Mal nicht ganz aufgeschmissen bin ;)

Soll ich den Scan trotzdem nochmal machen?

ja auf jeden Fall :)

Beim Versuch, den PC von der CD oder dem USB-Stick aus zu starten, komme ich immer wieder auf den normalen Desktop, also er fährt ganz normal hoch.
Neu booten, dann (F12) in meinem Fall und dann das Medium (CD oder USB-Stick) auswählen, ist doch richtig oder?

Nein. F8 drückem um in die auswahl Bootmanager zu erhateln mit Safe Mode und Co. Dort Computer reparieren.

Falls das nicht da ist das mit der CD machen, aber Du musst von der Windows DVD booten.

In beiden Fällen ist FRST auf dem Stick, aber es wird nicht vom Stick gebootet.

FRST Logfile:
--- --- ---


Habs über die Windows CD gemacht.

Nö da ist alles sauber. Also von Malware kommt das nicht. Seit wann genau ist das so?

Seit ca 1 1/2 Wochen, es stört aber nicht zu sehr. Das Hauptproblem, ist die Sache mit dem WLan!

Ok. Was war jetzt nochmal genau mit dem WLAN? Was für nen Router benutzt du? Wie weit entfernt?

Nutze die FRITZ!Box 3131 und bin durchs Lan-Kabel gezwungen, direkt daneben zu sitzen. Per Lan-Kabel habe ich eine Internetverbindung, ebenso mit anderen Geräten per WLan. Sowohl mit, als auch ohne Lan-Kabel wird mir kein WLan-Netz angezeigt.

Alsoooo:

LAN geht
Ist dein WLAN Adapter aktiv am Laptop?
Kannst Du Drahtlosnetzwerke suchen?
Wenn ja steht deines dabei?

Der Adapter ist aktiv, es werden mir aber keine Netzwerke angezeigt. Wenn ich auf 'Problemlösung' (o.ä.) klicke, kommt der Hinweis, dass die Drahtlosfunktion nicht aktiviert ist. Kann aber nicht sein, da ich in den Einstellungen mehrfach nachgeschaut habe und der Adapter aktiv und die Treiber aktuell sind.
Die Tastenkombi Fn+F1 ist zum aktivieren/deaktivieren des Adapters da, wenn ich sie drücke passiert aber nichts.

Der Adapter steht definitiv auf Aktiv? Läuft der Dienst? Worüber verbindest Du? Windows oder 3rd Party Tool?

Ich hab mal ein paar Bilder gemacht...

Mir wird unter "Netzwerk und Internet" > "Netzwerkverbindungen" angezeigt, dass das Netzwerkgerät, also die 'Wireless Lan Card' aktiviert ist.
Wenn ich auf "Verbindung herstellen" klicke, wird das Fenster "Verbindung mit einem Netzwerk herstellen" geöffnet und es wird kein Netzwerk gefunden.
Klicke ich auch "Verbindung untersuchen", erscheint das Fenster mit der Info, dass die Drahtlosfunktion deaktiviert ist.
Unter "Netzwerk und Internet" > "Drahtlosnetzwerke verwalten" wird die Fritz!Box angezeigt und unter "Adaptereigenschaften" >"Konfigurieren..." steht im Gerätestatus "Das Gerät funktioniert einwandfrei."

Ich hoffe, das hilft weiter

Und andere rechner gehen im WLAN? Hast die SSID vielleicht versteckt?

Zwei, zeitweise drei, andere Laptops haben kein Problem mit dem WLan und Smartphones können sich auch immer einwählen.
Haben noch nie was an den Einstellungen geändert und bisher hatte auch sonst keiner Probleme. Mir ist grad eingefallen, dass das WLan-Problem nach dem letzten Trojaner auch bestand! Das ist aber schon Jahre her und ich weiß nicht, wies gelöst wurde. Ich meine, dass irgendwo ein Häkchen fehlte oder der Treiber nicht aktuell oder gelöscht war. Hab diesmal ja schon alles gecheckt und das kann es nicht sein

Frisches FSS log bitte.

Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Laut Gerätemanager ist auch alles ok!

Starte bitte die FSS.exe erneut.
Gib bitte folgendes in die Search: Textbox ein

Wlansvc

und klicke auf Export Service.
Poste bitte die FSS.txt in deiner nächsten Antwort.

Ich habe die Einstellungen so gelassen, wie sie waren, also nur bei 'Internet Services' war ein Haken

Start--> ausführen--> notepad (reinschreiben)--> ok

Kopiere nun bitte folgenden Text aus der Code-Box in das leere Textdokument

• Speichere es nun unter regfix.reg
• achte darauf, dass bei Datei-Typ "Alle Dateien" angegeben ist
• nun sollte http://image.hijackthis.eu/upload/regfix_kl.jpg auf Deinem Desktop erscheinen
• Mache nun einen Doppelklick auf die Datei regfix.reg
• Bestätige mit Ja, dann drücke OK
• Starte den Rechner neu auf

Hier findest Du eine bebilderte Anleitung

Sag mir was nach den Fix passiert bezüglich deines WLAN

In den Netzwerkeinstellungen, war die FRITZ!Box jetzt deaktiviert, genau so wie die LAN Card.
Die FRITZ!Box konnte ich einfach aktivieren, die LAN Card nicht. Unter 'Verbindung untersuchen' wird mir angezeigt
-Drahtlosnetzwerkdienst von Windows starten
-Netzwerkadapter hat Treiber- oder Hardwareprobleme ermittelt.
-Vergewissern Sie sich, dass die Internetprotokollbindungen richtig sind ( 'Internet Protocol Version 4 (TCP/IPv4)' und 'Internet Protocol Version 6 (TCP/IPv6(' müssen in der Konfiguration des Netzwerksadapters 'Drahtlosnetzwerkverbindung' ausgewählt sein)

Arbeite ich die Punkte jetzt ab?

ja mach mal :)

Es kommt wieder der Hinweis 'Aktivieren Sie die Drahtlosfunktion'! Habe dann FN+F1 gedrückt, aktualisiert und es ist nichts passiert

Windows-DVD zur hand?

Die Recovery Disc? Ja

Hm, obs mit der geht.....

Reparaturinstallation.

Entschuldige die lange Abstinenz!
Welche Option soll ich auswählen?

Systemstartreparatur :)

Hat leider nichts gebracht...

Versuch mal das:

Reparaturinstallation unter Windows Vista / Windows 7 » WinTotal.de

"Legen Sie die Windows-DVD ein. Sie startet automatisch, wenn DVD-ROM im BIOS ausgewählt ist. Wenn Windows durchstartet, klicken Sie das Symbol “Computer” auf dem Desktop doppelt an, um vom DVD-Laufwerk die setup.exe zu starten."

So weit komme ich schon garnicht. Auf der Recovery-CD steht unten als Zusatz ' Windows Vista Home Premium SP1', dann ist das doch auch zeitgleich die Windows-Installations-CD oder? Die ersten Bilder nach der Auswahl der CD im Bootmanager sind identisch, dann komme ich nicht weiter. Beim normalen Start ist auf der CD '(D:) RECOVERY' keine setup.exe zum öffnen!

Oh mann :)

Versuch bitte nochmal das:

Downloade dir bitte Windows Repair (All In One) von hier.

• Installiere das Programm. Starte es, nachdem die Installation abgeschlossen wurde.
• Klicke auf Step 2 und drücke unter Check Disk auf Do It.
  
  http://i1224.photobucket.com/albums/...3/Capture3.gif
• Wenn der Vorgang abgeschlossen ist, klicke auf Step 3 und drücke unter System File Check auf Do It.
  
  http://i1224.photobucket.com/albums/...y3/Capture.gif
• Nachdem der Vorgang abgeschlossen ist, klicke auf Start Repairs, wähle den Advanced Mode und drücke Start.
  
  http://i1224.photobucket.com/albums/...3/Capture1.gif
• Gehe bitte sicher, dass die Kästchen wie unten zu sehen angehakt sind. Bitte hake zusätzlich noch Set Windows Services to Default Startup an.
• Hake Restart System when Finished an.
• Drücke Start.
  
  http://i1238.photobucket.com/albums/...eakingtool.jpg

Ich konnte keinen Advanced Mode auswählen und meine Repair Options sehen so aus. Was soll ich alles ändern?

Hake dort alles an :)

Ist immernoch alles beim alten...
Zusätzlich ist der Laptop jetzt etwas langsamer und hakt teilweise.
Langsam gebe ich auf :D

zum Mäuse melken.

Langsam würd ich eine saubere Neuinstallation empfehlen, da scheint einiges verbogen :)

Dafür muss ich erst alles extern speichern, weils sonst gelöscht wird, oder?
Mache ich das mit der Recovery-/Windows-CD?

Genau, das geht auch mit der CD. Natürlich musst Du vorher alles sichern.

Vista wurde neu aufgesetzt, Lan-Kabel eingesteckt - nichts! Unter 'Netzwerk' ein neues Netzwerk eingerichtet, unter 'Verbindung herstellen' das Netzwerk angeklickt - nichts! Normalerweise kann man im Explorer unter 'hxxp://fritz.box' ja auch auf die Benutzeroberfläche zugreifen - nichts!

Du hast nen LAN Kabel direkt vom PC zum Router und kommst nicht auf Fritz.Box?

Ist die LAN Karte im Gerätemanager zu sehen und i.O.?