GVU Trojaner (ähnlich wie 2.04 mit webcam) HILFE

**fee_** · 02.07.2012, 14:54

Ich habe mir diesen Virus 2,04 mit webcam eingefangen und wollte mit Hilfe von eurem empfohlenen Kaspernsky meinen Rechner mit Windows 7 wiederherstellen... jedoch zeigt der eine Fehlermeldung an nachdem ich den Grafikmodus starten möchte. Ich gelange also gar nicht in den Grafikmodus!

Was für ein Fehler ist das und was soll ich tun?

Übrigens bin ich neuer Forennutzer und sehr unwissend!!!

lg, fee

RM · 02.07.2012, 15:10

Hallo fee,

Systemscan mit OTL

Erstelle bitte OTL-Logfiles nach dieser Anleitung. Die Analyse der Logfiles wird uns zeigen, welche Reste noch entfernt werden müssen und welche Lücken ggfs. noch vorhanden sind. Bitte in alle Kategorien "Benutze Safelist" anhaken und oben "Scanne alle Benutzer".

Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Achte darauf, Realnamen und/oder persönliche Daten ggfs. zu anonymisieren.

**fee_** · 02.07.2012, 15:29

Hallo RM,

hat funktioniert. Ich hoffe das mit den Anhängen klappt auch!

RM · 02.07.2012, 16:34

1. Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benutzerdefinierte Scans/Fixes:

Code:

:OTL
MOD - C:\Users\Isabelle\AppData\Local\Temp\0_0u_l.exe ()
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=SNYEDF&pc=MASE&src=IE-SearchBox
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=SNYEDF&pc=MASE&src=IE-SearchBox
IE - HKU\S-1-5-21-571593532-549065314-1008272482-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-571593532-549065314-1008272482-1000\..\SearchScopes\{2A57A9C4-B43B-472A-B385-EEA38FE01006}: "URL" = http://rover.ebay.com/rover/1/707-37276-16609-27/4?mpre=http://shop.ebay.de/?oemInLn=ieSrch-Q311&_nkw={searchTerms}
IE - HKU\S-1-5-21-571593532-549065314-1008272482-1000\..\SearchScopes\{E07612B1-F307-4203-A7A4-357E04EFB423}: "URL" = http://services.zinio.com/search?s={searchTerms}&rf=sonyslices
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 

:Files
C:\ProgramData\l_u0_0.pad
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
:Commands
[PURITY]
[EMPTYTEMP]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2.
Mache bitte im Anschluss einen vollständigen Scan mit Malwarebytes und poste hier das Logfile. Anleitung und Download hier.

3.
Deinstalliere bitte alle Toolbars wie z.B. von ebay, Ask, MSN, Conduit, Yahoo, SweetIM, Bandoo, iLivid usw. unter Systemsteuerung - Programme.

4.
Du hast eine veraltete Java Version installiert. Bitte unter Systemsteuerung - Programme (Software) deinstallieren und von Java neu laden und installieren.

5.
Prüfe hier deine Plugins auf Aktualität und mache updates wenn dies angezeigt wird.

**fee_** · 02.07.2012, 19:59

Hallo RM,

bisher schon mal einen großen Dank!!! Hat bisher geklappt ;-)))))
Euer Forum ist einfach der Hammer..

Ich hab die beiden logfiles angehängt...
aber ich hab noch eine Frage: Wenn ich meinen PC neustarte öffnet sich ein RunDLL Fenster mit folgendem Text: "Problem beim Starten von C:\Users\Isabelle\AppData\Local\Temp\0_0u_i.exe Das angegebene Modul wurde nicht gefunden"

Versucht mein Laptop weiterhin auf den Virus zuzugreifen, nur ist er nicht mehr da???
Und kannst du mir sagen, ob ich jetzt wieder clean bin?

lg, fee

RM · 03.07.2012, 08:58

Erstell nochmal bitte frische OTL LogFiles:

Systemscan mit OTL

Erstelle bitte OTL-Logfiles nach dieser Anleitung. Die Analyse der Logfiles wird uns zeigen, welche Reste noch entfernt werden müssen und welche Lücken ggfs. noch vorhanden sind. Bitte in alle Kategorien "Benutze Safelist" anhaken und oben "Scanne alle Benutzer".

Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Achte darauf, Realnamen und/oder persönliche Daten ggfs. zu anonymisieren.

**fee_** · 03.07.2012, 10:52

hab ich gemacht :)

RM · 03.07.2012, 11:26

1. Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-571593532-549065314-1008272482-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_262.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.0: C:\Windows\system32\npDeployJava1.dll File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
O1364bit: - gopher Prefix: missing

:Files
C:\Users\Isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
:Commands


[PURITY]
[EMPTYTEMP]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

**fee_** · 03.07.2012, 11:53

Danke!!!
Hat soweit geklappt! Das Fenster erscheint nicht mehr!

Wie kann ich mich denn in Zukunft vor diesen Viren/Trojanern schützen?
Kannst du ein Programm empfehlen? Ich hatte bisher nur das kostenlose AVIRA installiert und das hat ja anscheinend nix gebracht....

RM · 03.07.2012, 11:56

Wir haben u.a. gute Erfahrungen mit malwarebytes gemacht.

Beachte bitte auch folgende Artikel für die Zukunft:
Malware entfernt? Was nun?
Wie mache ich mein Windows sicher?
Wie kann ich mein System in Zukunft von Malware frei halten?
Wie kann ich prüfen, ob meine Software aktuell ist?
Mozilla Plugins aktuell? Hier prüfen!
DNS manipuliert?