GUV Trojaner - kein abgesichter Modus möglich
 

hallo zusammen,

habe mir gestern den GUV-trojaner eingefangen, seitdem geht dementsprechend nichts mehr. bin kein wirklicher IT-Experte, habe mich jedoch schon durch mehrere anleitungen geklickt, welche alle keinen erfolg aufweisen konnten.
betriebssystem ist windows 7.
ich komme nicht in den abgesicherten modus rein, wenn ich das versuche, kommt es zum neustart.

bitte um möglichst detallierte und laienfreundliche hilfe ^^

beste grüße

:hallo:

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

danke schonmal, geht ja sauschnell hier.
also wenn ich in der eingabemaske bin und den stick suche kommt "auf dem datenträger befindet sich kein erkanntes dateisystem."

Dann würd ich den Stick nochmals formatieren. Möglichst mit FAT32.

sorry, alles gut, hab ihn gefunden


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Hier haben wir es schon.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Fix mit FRST

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

---

HKU\Thorben\...\Command Processor: "C:\Users\Thorben\AppData\Local\Temp\jhjxsvtlujidgbxsq.exe" <===== ATTENTION!
C:\Users\Thorben\AppData\Local\Temp\jhjxsvtlujidgbxsq.exe
HKU\Thorben\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\Thorben\AppData\Local\Temp\jhjxsvtlujidgbxsq.exe [ 2013-07-13] (NVIDIA Corporation) <===== ATTENTION

2013-07-13 12:15 - 2013-07-13 12:15 - 00393522 _____ C:\Users\Thorben\AppData\Local\2433f433
2013-07-13 12:15 - 2013-07-13 12:15 - 00393494 _____ C:\ProgramData\2433f433
2013-07-13 12:15 - 2013-07-13 12:15 - 00393488 _____ C:\Users\Thorben\AppData\Roaming\2433f433

---

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Schritt 2:
Normal booten.


Schritt 3:
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
Registry-Cleaner Software, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall (ist unnötig), McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle Varianten, Java 7 kann bleiben), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, DriverCure, Uniblue DriverScanner, FireJump, SearchAnonymizer, SpeedMaxPC, Optimzer Pro, Webcake, OpenCandy

Ich persönlich empfehle auch alles zu deinstallieren, was mit Bing zu tun hat (Bing Desktop, -toolbar), aber das ist deine Entscheidung.

Schritt 4:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 5:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

windows+r auf dem nicht infizierten rechner nehme ich an?

Machts anders Sinn? :)

hast recht, sorry ^^ okay, und was verstehe ich unter "normal booten"?

So wie du es normal machst.

wie gesagt, bin eher laie. booten heißt system neu aufsetzen? vllt sollte ich noch erwähnen, dass der infizierte laptop kein CD-Fach für eventuelle windows-cds hat. muss alles über usb geschehen. oder gibts hier im forum ne anleitung fürs booten?

wär super, wenn du mir nur sagen könntest, obs hier eine anleitung dafür gibt und wo ich die finde.

Mach mir bitte nochmal ein frisches FRST-Logfile.

FRST Logfile:
--- --- ---

Echt witzig, laut FRST ist alles oaky :)

Probieren wir es so:

Computer mit Combofix entsperren

1. Combofix kopieren
   • Lade dir Combofix an einem sauberen Rechner (evtl. Nachbar, Freund, ...) von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
2. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
3. Combofix starten
   • Tippe explorer (Enter)
   • Finde den USB-Stick und starte Combofix mit einem Doppelklick.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle anderen Warnungen mit OK.
4. Logfile posten
   • Es könnte eine Warnung erscheinen, ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor anklicken - Anleitung)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

wenn ich Abgesicherter Modus mit Eingabeaufforderung wähle, gelange ich quasi auf den startbildschirm mit passworteingabe. erfolgt diese, startet der rechner neu und der bildschirm von gvu erscheint wieder.

Das könnte interessant werden, sieht nach einer neuen Variante aus.


Batch-Datei im Reparaturmodus ausführen

1. Batch-Datei erzeugen
   Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.
   
   Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
   
   Code:

   ---

   @echo off
set log=%0\..\look.txt
echo ---start--- > %log%

reg Load HKLM\TempSys1\ "c:\Windows\System32\config\system"
reg Load HKLM\TempSoft1\ "c:\Windows\System32\config\software"
reg Load HKLM\TempSys2\ "c:\Windows\System32\config\system"
reg Load HKLM\TempSoft2\ "c:\Windows\System32\config\software"

reg query HKLM\TempSoft1\Microsoft\Windows NT\CurrentVersion\Winlogon\ >  %log%
reg query HKLM\TempHive1\ControlSet001\Control\SafeBoot  /v AlternateShell  >  %log%
reg query HKLM\TempHive1\ControlSet002\Control\SafeBoot  /v AlternateShell  >  %log%
reg query HKLM\TempSoft2\Microsoft\Windows NT\CurrentVersion\Winlogon\ >  %log%
reg query HKLM\TempHive2\ControlSet001\Control\SafeBoot  /v AlternateShell  >  %log%
reg query HKLM\TempHive2\ControlSet002\Control\SafeBoot  /v AlternateShell  >  %log%
reg unload HKLM\TempSys1\
reg unload HKLM\TempSoft1\
reg unload HKLM\TempSys2\
reg unload HKLM\TempSoft2\


echo ---end--- >> %log%

   ---

   • Wähle Datei --> Speichern unter
   • Dateiname: look.bat
   • Dateityp: Wähle Alle Dateien (*.*)
   • Speichere die Datei auf deinem USB-Stick aber nicht in einem Unterordner.
2. Neustart
   Boote deinen infizierten Rechner und schliesse deinen präparierten USB-Stick an, drücke dabei F8 und starte in den Reparaturmodus.
3. Laufwerksbuchstaben finden
   Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
4. Batch ausführen
   Wenn du deinen USB-Stick gefunden hast, dann gib ein look.bat (Enter) und warte evtl. einige Zeit bis der Befehl abgearbeitet wird.
5. Ergebnis posten
   Es wird eine look.txt auf deinem Stick erzeugt, poste mir bitte diese Datei (CODE-Tags mit #-Symbol).

"Das System kann die angebene Datei nicht finden."
falsch gespeichert?

Kann schon sein. In der Anleitung habe ich eigentlich alles Nötige geschrieben. Mit dem Befehl "dir" kannst du schauen, ob die Datei wirklich so auf dem Stick ist.

datei ist auf dem stick. wird unter "look.bat" angezeigt. wenn ich allerdings nach eingabe ":I" "look.bat" eingebe, erscheint auch "Falscher Parameter" bzw. "Der Wert wurde nicht gefunden"

außerdem noch '"Ungültige Syntax"

Du meinst hoffentlich "I:" ?

Erscheint das sofort? oder erst nach einer Weile?
Wurde dennoch eine look.txt angelegt?

ja meine ich. nein, erscheint sofort. es wird eine look.txt angelegt, da steht allerdings nur "End" drin

Hm gib mal bitte ein:

und schreibe mir was das System ausgibt.

ich bin mir fast sicher, dass ich das falsch gemacht habe :D also wenn ich bcdedit eingebe, erscheint "windows-startladeprogramm", unter osdevice steht dann "partition=E:"
beim befehl find "osdevice" auch in kombi mit bcdedit erscheint nichts

Dann ändern wir das mal folgendermassen:

okay, und das jetzt wieder mit frst fixen oder was soll ich mit dem text machen?

Das ist eine neue Batchdatei ... probiere es mit dieser.

system kann die datei immer noch nicht finden. text-datei immer nur "end", allerdings lädt es jetzt länger und am ende steht "der vorgang wurde erfolgreich beendet"

Ich hab das so echt schon lange nimmer gemacht :)

Beim dritten Mal klappt ja immer alles:

okay, leider muss ich jetzt los, heute abend werde ich weiter machen. DANKE dir für deine super hilfe :) und das sonntags :)

eben nochmal versucht, läuft wieder (hoffe ich). tausend dank! hier die adw-datei:
schlechte nachricht. nachdem combofix durchgelaufen ist, erscheint auf dem desktop wieder gvu. allerdings komme ich noch ins startmenü.

Was ist das denn jetzt? Du hast doch jetzt was komplett anderes gemacht?

eigentlich nur nochmal versucht hochzufahren. dann kam, wie gesagt, nochmal GVU. nach nochmaligem erstarrt ist jetzt alles "normal", also kein GVU o.ä. aber das wird ja noch nicht ganz runter sein, vermute ich.

Ich frage, weil du mir ein komplett anderes Logfile präsentierst ...

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis, nachdem du deine Logfiles hier eingestellt hast.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen