Beitrag wurde zuletzt am aktualisiert

Anleitung: GVU-Trojaner entfernen

GVU Trojaner 2013GVU Trojaner 2013

Im August 2011 hatte ich das erste Mal Kontakt mit dem für mich damals unbekannten Bundespolizei Trojaner. Im Anschluss begegnete mir dieser Virus – der auch als GEMA-, UKASH- und BKA-Trojaner oder in einer aktuellen Variante auch als BSI-Trojaner bekannte Ransomware – noch ein paar mal im Bekanntenkreis.

Der Virus taucht(e) immer wieder mit der selben Masche auf: Der PC ist plötzlich gesperrt und die Betroffenen werden mit diversen Anschuldigungen von offiziell erscheinenden Behörden unter Druck gesetzt, eine bestimmte Summe per Ukash oder einem anderen Bezahlverfahren zu überweisen. Dass diese Meldung natürlich nicht wirklich vom Bundeskriminalamt oder der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen stammt, sollte eigentlich jedem klar sein. Dennoch scheinen die Hacker auch im Jahr 2013 noch einen Menge Geld hierbei zu „verdienen“.

Seit dieser Zeit hat sich dieser Schädling mehrfach „verbessert“ und von Monat zu Monat erschwerten die Viren-Programmierer die Bekämpfung der Schadsoftware.

Auch für den GVU-Trojaner 2013 gilt: Auf keinen Fall zahlen, das ändert nichts am Problem mit dem Virus

In den Kommentaren, auf anderen Webseiten die sich mit dem Problem befassen oder bei Anfragen via Facebook und Telefon, merkte ich immer öfter, dass die damals funktionierenden Schritte (natürlich) kaum noch zum Erfolg führten. Nun möchte ich aber nicht selbst einfach ein paar Tipps, die mir durch Hörensagen zugetragen wurden in diesem Beitrag veröffentlichen, sondern auf eine hilfreiche Publikationen im WWW eingehen.

Alex Ken hat eine hervorragende Video-Anleitung bei Youtube eingestellt, in der er die Vorgehensweise für eine Entfernung der aktuellen Variante vom GVU Trojaner schrittweise erklärt.
Er nennt in den Videos ein paar Links und Windows-Verzeichnisse, auf die ich in diesem Artikel nochmals verweisen möchte. Da es unzählige verschiedene Rechner- und Hardware-Kombinationen gibt, kann mit dieser Hilfe möglicherweise nicht jedem geholfen werden. So weit es mir möglich ist, antworte ich gern auf Fragen in den Kommentaren (bitte verzichtet auf eine telefonische Kontaktaufnahme). Aber auch auf Youtube hat Alex bereits erste Antworten auf Anfragen gegeben.

Teil 1 – Video GVU Trojaner entfernen

Teil 2 – Video GVU Trojaner entfernen

  1. Er rät dringend von der Systemwiederherstellung ab, da die Hacker den Virus so umprogrammiert haben, dass jetzt auch die wiederhergestellte Windows-Version umgehend befallen wird und eine Systembereinigung um ein Vielfaches schwieriger wird.
  2. Die in dem Video vorgestellte und auch funktionierende Wiederherstellung des Systems dient dazu, wieder Zugriff auf die eigenen Daten (Dokumente, Bilder, E-Mails, Favoriten etc.) zu erlangen, um sie zu sichern. Zum Beispiel auf einen anderen Rechner, USB-Stick, DVD und so weiter.
  3. Sein ernstzunehmender Rat ist, den Rechner anschließend so schnell wie möglich neu aufzusetzen, da mit sehr großer Wahrscheinlichkeit davon ausgegangen werden kann, dass die Viren-Entwickler weitere ungebetenen Gäste mit auf den Computer untergebracht haben.Neben dem GVU-Trojaner selbst können unerkannt und erst einmal völlig unauffällig weitere Schadprogramme installiert wurden sein. So könnte der eigene PC als Teil eines Bot-Netzwerkes, der irgendwann aus der Ferne gesteuert wird, für Angriffe auf Webserver oder Webseiten genutzt werden. Tastatureingaben, Passwörter, Onlinebanking-PINs oder E-Mails könnten mitgeschnitten und an die Angreifer gesendet werden. Das sind winzige Datenmengen, die aber in falschen Händen zu einer Menge Ärger oder finanziellen Verlusten führen können und mit Sicherheit führen.

Ergänzungen zu GVU- und BKA-Trojaner entfernen 2013

Da eine ganze Reihe Fragen zu den ersten beiden Videos eingegangen sind, hat Alex Ken nochmals eine Ergänzung zu den ersten beiden Videos bei Youtube eingestellt.

Was wird für die Bereinigung benötigt?

Ihr benötigt einen zweiten, virenfreien Rechner mit Internetzugang und CD-Brenner bzw. ein mindestens 512 Megabyte großer USB-Stick.
Die kostenlose Software Hiren’s BootCD (Download-Größe der fast fast 600 Megabyte zip-Datei im unteren Bereich der verlinkten Webseite). Die CD wie auch die darauf befindlichen Programme sind Freeware. Nach dem Entpacken kann mit dem beigefügten Brennprogramm BurnCDCC.exe die Hiren’sBootCD.15.1.iso auch direkt gebrannt werden.

Wer nicht von einer CD, sondern lieber von einem USB-Stick booten möchte, findet auch hierzu eine entsprechende Lösung unter hirensbootcd.org.

Im nächsten Schritt von der erstellte CD oder dem USB-Stick den infizierten Rechner booten, wofür möglicherweise die Boot-Reihefolge im BIOS geändert werden muss.

Hiren's BootCD 15.2 Startmenü

Hiren’s BootCD 15.2 Startmenü

Die Windows-Registry austauschen

Im nächsten Schritt wird per Windows-Explorer die komplette Registry ausgetauscht.

Die Registry findet ihr (vermutlich) unter D:\Windows\System32\config. Dort nach Änderungsdatum sortieren und nach den geänderten Dateien software und system (ggf. auch weitere) Ausschau halten, die am Tag des Viren-Befalls geändert wurden. Diese Dateien umbenennen. In den Unterordner Regback, zu den Sicherungs-Dateien der Registry, wechseln und die gesicherten Dateien software und system in das Registry-Verzeichnis kopieren.

Jetzt ist die Registry wieder bereinigt und auf dem Stand der letzten Sicherung – also vor dem Befall durch den Trojaner.

Mögliche Trojaner-Dateien entfernen

In weiteren Schritten gilt es Verzeichnisse-Inhalte zu löschen, in denen sich Teile des GVU-Trojaners oder Sicherungskopien der Schadsoftware gern einnisten. Alex Ken nennt die folgenden Verzeichnisse in seinem Video:

  • Windows > Benutzer > Name > AppData > Local > Temp (Name durch den Benutzernamen ersetzen)
  • Windows > Benutzer > Name > AppData > Roaming > Microsoft > Windows > Startmenü > Programme > Autostart (Name durch den Benutzernamen ersetzen)
  • Windows > ProgramData > Microsoft > Windows > Startmenü > Programme > Autostart
  • Windows > ProgramData > Temp

Außerdem unter Windows > ProgramData nach Ordnern Ausschau halten, die am Tag des Viren-Befalls geändert wurden und ggf. umbenennen.

Neustart des PCs & umgehend Malware-/ Viren-Scan durchführen

Jetzt den Rechner neu starten und Daumen drücken, dass man sich nicht eine erneut „verbesserte“ Version der Ransomware – wie der GVU-Trojaner oder BKA-Trojaner richtig genannt werden müsste – eingefangen hatte.

Ist der PC wieder normal gestartet dann sofort einen vollständigen Virenscan (kostenfreie Virenscanner wie Kaspersky, Avira, Eset, BitDefender usw. mit einer aktuellen Viren-Datenbank helfen sicherlich im ersten Schritt) durchführen. Des weiteren einen Scan mit Malwarebytes (gibt es auch erst einmal kostenfrei direkt beim Hersteller) durchführen.

Zeigen die beiden Scans irgendwelche Funde, so sind diese zu löschen und ihr seid den Trojaner los!

System zeitnah neu aufsetzen!

Alex Ken weist am Ende des Videos nochmals darauf hin, dass der Rechner neu aufgesetzt werden muss und lediglich Sicherungsarbeiten nun durchgeführt werden sollten. Wie schon beschrieben, kann sich noch alles mögliche auf dem Computer befinden, auch wenn er jetzt wieder wie vor dem Trojaner-Befall anfühlt. Nach der Neuinstallation heißt es, den Computer besser vor Angriffen aus dem Internet zu schützen.

Ein weiterer wichtiger Hinweis im Video: Auf keinen Fall die letzte Sitzung des Browsers zulassen. Auch keine Zugangsdaten irgendwo eingeben … Sichert in Ruhe eure Daten und lasst am besten die Internetverbindung unterbrochen (zieht das Netzwerkkabel heraus).

Wer sich unsicher ist, sollte immer einen Fachmann zu Rate ziehen. Ich selbst habe mit dieser Systemwiederherstellung bisher keine Erfahrung machen dürfen bzw. müssen. Alle hier genannten Informationen stammen aus den beiden GVU Trojaner Videos von Alex Ken auf Youtube, der auch in später erstellten Videos einen gibt. Ich und er hoffen, dass ein paar Leuten mit dieser Anleitung geholfen werden kann.

78 Kommentare zu "Anleitung: GVU-Trojaner entfernen"

  1. Hallo lieber iPad-Nutzer mit Anschluss bei Arcor (CPU OS 6_0_1 like Mac OS X usw.). Du machst dir die Mühe hier mindestens einmal am Tag vorbei zu schauen und auf einen(!) Stern zu klicken.

    Die Frage bei diesem kleinen Rating ist Hat dir dieser Artikel weiter geholfen/ gefallen? Wenn dir dieser Beitrag also nicht geholfen hat, du ihn grottig findest oder als iPad-Nutzer einfach nur über Windows-User spotten möchtest, dann kannst du dies gern hier in den Kommentaren posten und natürlich dies beim Rating auch deutlich machen. Aber bitte nicht jeden Tag, das verzerrt doch das Endergebnis.

  2. hallo,
    ich habe das geleiche problem
    aber nun habe ich leider kein CD
    geht es mit usb stick
    oder wie geht das ohne CD?
    bedanke mich

  3. Ja, das geht. Die Antwort gibt es auch gleich bei hirensbootcd.org.
    Ich werde diese Info in den Artikel mit einarbeiten.

  4. Also ich hab mir Hiran´s boot cd runtergeladen und als iso gebrant da sind jede menge dateien drauf auch das mini xp aber keine mini win 7.

    Kann mir vll jemand helfen??

  5. Sehr umfangreich ;) aber hat mir geholfen.

    Vielen Dank für die Mühe!!

  6. danke für die Antwort
    aber ich habe den Flasch rein in infizertes pc getan
    und den pc über abgesicherten Modus mit Eingabeaufforderung
    aufgemacht
    trotzdemist diese schwarze bild nicht vorgekommwn

    vilen dank

  7. Hallo & danke für die Anleitung. Habe Windows XP. Folgendes Problem:
    1) Wenn ich im Mini Windows die besagten software und system-Dateien in bak umbennen will, geht das nicht. Es kommt die Fehlermeldung, daß die Datei in Benutzung ist.
    2) Die Dateien, die ich dann ins Verzeichnis kopieren soll, liegen bei XP ja im Windows/Repair-Ordner. Dort finde ich allerdings nur uralte Dateien aus dem Jahr 2008. Heißt das, wenn ich diese verwende, dann sind alle meine pers. DAteien nach 2008 weg?
    Über eine Antwort wäre ich dankbar :-)

    • Hallo, muß mich gerade korrigieren. Habs nochmal ausprobiert. Die Fehlermedlung besagt, daß eine solche Datei mit Endung bak schon existiert. Soll ich die alte löschen?

      • Dann nenne sie einfach .bak2 oder .sicherung. Völlig egal, Hauptsache du hast bei Bedarf noch mal eine Version zu darauf zugreifen.

        • Vielen Dank für die Info.
          Und das die Dateien aus Windows/Repair aus dem Jahr 2008 sind, ist egal?
          Sie sind bei mir nicht – wie im Video gesagt – aus den letzten beiden Wochen…

          Danke schonmal für die Antwort

  8. Hallo,
    hab das gleiche Problem wie im ersten Punkt von K

    wenn einer uns hilfen kann , wäre es nett von ihm

    • Also ihr müsst die Dateien im Original-Windows auf eurer festplatte ausfindig machen. Klingt für mich, als würdet ihr versuchen, im Mini-Windows von Hiren’s die Änderungen vorzunehmen.

      Vermutlich liegt euer Betriebssystem jetzt nicht mehr auf C:\ sondern auf D:\

  9. eigentlich sieht so aus ,dass USB mit dem pc angeschlossen ist und das bootCD im pc schon vorhanden aber ich kann bis jetzt hinkriegen,wie ich schwarze Bild ,wo man zwischen xp u windows 7 auswhälen knn

    vielen Dank für die Hilfe

  10. hi, ich hab nun mit cd und es zeigt mir
    Missing opearin system
    was bedeutet das

  11. Sehr schön, dass es hier reine der wenigen Anleitungen gibt, die darauf hinweisen, dass es mit der blossen Entfernung des Schädlings nicht getan ist und man um ein Neuaufsetzen des Systems letztendlich nicht herum kommt. Ich hätte mir aber gewünscht, dass man noch deutlicher darauf hinweist, dass es mittlerweile etliche Versionen dieses Schädlings gibt und man unbedingt erst herausfinden sollte, WELCHE Version nun genau auf dem befallenen System zum Einsatz gekommen ist. Eine grobe Übersicht findet sich z.B. hier:
    www.bka-trojaner.de

    Die Hirens-Boot-CD ist übrigens illegal…dafür sollte man keine Werbung machen ;-)

    Kleiner Oberlehrerhinweis:
    Es heisst „Virenscan“ …mit nur einem „n“ ;-)

  12. Kleiner Nachtrag;

    Die Hirens-Boot-CD hat sich wohl inhaltlich verändert., so dass nur noch legale Tools im offiziellen Download vorhanden sind. Damit ist mein Hinweis auf die Illegalität nicht mehr korrekt…wenngleich sich die CD auch nachträglich durch eigene Konfiguration dahingehend verändern lässt ;-)

  13. hallo,
    mich hat der Trojaner auf dem Netbook erwischt. Die Hiren’sbootCD habe ich auf einer CD gespeichert. Leider funktioniert das Booten über das externe CD-Laufwerk nicht. Was muss ich tun, damit ich gemäß der Anleitung vorgehen kann?

  14. Hallo!
    Habe auch das gleiche Problem.
    Habe die CD schon gebrannt, aber muss ich meinen Laptop im abgesicherten Modus hochfahren oder im normalen Modus?
    Außerdem kann ich das CD Laufwerk beim BootSetup nicht als 1st auswählen …das mit der + Taste geht bei mir leider nicht! Gibt’s da einen alternativ Tip? Habe einen Dell Laptop.
    Danke!!

    • Ihr müsst in eurem BIOS die Boot-Reihenfolge ändern. Schaut mal ganz am Anfang beim Starten des Rechners. Da müsste irgendetwas von SETUP und dazu eine Taste / Tastenkombination stehen. Oftmals „F2“ oder „Entf“ / „Del“ usw. Das ist unterschiedlich.

      Im BIOS dann nach Boot Ausschau halten und das CD- oder USB-Laufwerk an Startposition 1 bringen. Speichern, Neustart und Hiren’s sollte geladen werden.

      Die CD habt ihr aber als Boot-CD gebrannt?

  15. Danke für die schnelle Antwort.habe es jetzt auch geschafft das CD Laufwerk an Pos.1zu bringen.aber leider sehe ich immer noch nicht dieses Schwarze Feld „Mini Windows 7 etc.“ beim Neustart! CD ist bereits beim einschalten im Laufwerk. Muss ich nochmals eine Taste drücken beim neustarten?

    • Wie hast du die CD gebrannt? Sie muss als Boot-CD gebrannt werden, sonst kann von dieser dein Rechner nicht starten.
      Mit dem Mini-Brennprogramm, was beim Hiren’s Download dabei ist, funktioniert es problemlos.

      Ich habe den Startbildschirm eben im Artikel nochmals aktualisiert. Schau mal, ob das jetzt eher deiner Ansicht entspricht.

  16. deine methode wird gut ,wenn es mal klappen würde !

  17. Danke!
    Das hat mir soeben den Sonntagabend gerettet. Nach diversen gegoogelten Rettungsversuchen (die ich mich nicht getraut habe anzuwenden) habe ich diese Videoanleitung + Textanleitung genutzt und das System läuft wieder.
    Yiepiee, vielen vielen Dank!

  18. Eine gute Anleitung, ich als Spezialist kann es durchaus erkennen, dass du dir hier viel Mühe gegeben hast. Solche Anleitungen gibt es zu wenig im Internet.

    Mir persönlich fällt aber auf, dass viele Leute es durch falsches Verhalten im Internet erst soweit kommen lassen. Bei einem Virenbefall ist das Kind jedoch schon in den Brunnen gefallen. Informationen dazu habe ich auch bei mir auf der Internetseite. Am wichtigsten ist wirklich der Schutz und Backups, damit es garnicht zu einem Befall kommt!

  19. Ich schaffe es nicht mit dem externen CD-Laufwerk und der Hiren’s BootCD (CD gebrannt mit meiner Nerosoftware und auch mit dem Hirens-Brennprogramm) in den Boot-Modus zu kommen.
    Wird bei Nutzung des Hirens-Brennprogramm automatisch eine Boot-CD erstellt?
    Sorry, ich wusste bisher noch nicht, dass es solche unterschiedliche Brennvorgänge gibt. mit dem habe ich auf einer CD gespeichert.
    Was mache ich falsch, wo kann die Ursache liegen, das mein Netbook die CD nicht erkennt und was muss ich tun, damit ich gemäß der Anleitung vorgehen kann?
    Oder bleibt mir nur der Kauf einer neuen Festplatte (und somit auch eines neuen Betriebssystem, da dieses vorinstalliert war) und alle Daten sind weg?

    • Ich habe mit BurnCDCC jetzt noch mal eine Test gemacht und das Programm hat ohne irgendwelche Einstellungen die Hiren’s Boot CD bootfähig gebrannt. Das heißt, ich konnte sie in mein Laufwerk stecken, und nachdem ich im BIOS die Boot-Reihenfolge umgestellt hatte, konnte ich im Hiren’s-Menü Mini XP starten.

      Am Ende musst du auch nicht die hier vorgestellte verwenden. Du brauchst einfach „nur“ ein von einer CD/ USB-Stick startbares Betriebssystem. Irgendein Linux (z.B. Ubuntu, Knoppix usw.) ginge auch. Oder google mal nach den von bagman (2 Kommentare höher) genannten Start-CDs.

      Reihenfolge des Boot-Mediums im BIOS prüfen und nach Änderung auch Abspeichern. Oder die CD ist nicht bootfähig.

      Mehr fällt mir dazu nicht ein.

  20. Hallo Daniel,

    Danke für DEine Antwort. Aber es gab wirklich eine Zeit, in der Hirens Boot CD nur hinter vorgehaltener Hand und einem Bein vorm Kadi angeboten wurde. Da fand man auf der Homepage lediglich den Hinweis auf die aktuelle Version, nicht aber den Download selber…den musste man sich auf der dunklen Seite des Netzes selbst besorgen. Diese Zeit ist noch gar nicht so lange her. Da es ja auch andere Multiboot-CDs gibt, (Ultimate Boot CD, UBCD4Win, etc) war ich jetzt auch nicht auf dem allerneuesten Stand, was Hirens CD betrifft. Der entsprechende Hinweis findet sich aber auch in der Wikipedia…

    • Die von dir genannten Ultimate Boot CD und UBCD4Win sind sicherlich für die hier genannte Vorgehensweise ebenso verwendbar. Oder welche Erfahrungen hast du mit diesen Systemen?

      • UBCD4Win wäre zumindest für XP-User eine gute Alternative. Die Ultimate-Boot-CD ist eher etwas für Fortgeschrittene. Während die Hiren-CD ja schon fertig ist, muss man sich die UBCD4Win noch selber zusammenstellen, was aber auch durchaus Vorteile hat; z.B. durch Hinzufügen von systemspezifischen Treibern oder weitere Zusatzsoftware.

        Der oben genannte 0x0000007E Bluescreen kommt in diesem Fall höchstwahrscheinlich durch nicht vorhandene SATA-Treiber, wodurch beim Starten des MiniXP die Platte nicht eingebunden wird.

  21. Hallo, die Beschreibung ist sehr ausführlich und gut zu verstehen. Leider kann ich bei mir, Windows xp, den unterordner regback nicht finden…. Was mache ich falsch?

    • Ich habe kein XP. Im WWW habe ich folgendes goggeln können:

      %SystemRoot%\repair\RegBack
      D:\WINDOWS\Repair
      D:\WINDOWS\System32\config\RegBack

      Gibt es bei Hiren’s eine Suche? Einfach mal nach „regback“ suchen.
      Das Laufwerk „deines originalen Windows“ ist, wenn du von der CD gestartet hast, vermutlich „D:\“ und nicht wie üblich „C.\“.

  22. Windows\repair hab ich gefunden. Soll ich hier nun wie beschrieben fortfahren? Danke für die Hilfe

  23. Hallo Alex,
    hab deiner Anleitung gefolgt alles so gemacht jetzt kommt allerdings beim Neustart schwarzer Bildschirm und es werden steht dor z.B. 65 Prozent abgeschlossen (81200 von 280640 beschreibungen verarbeitet) CHKDSK is compacting the security descriptor stream
    ??????????

  24. Jest startet mein Computer gar nicht mehr, muss ich das irgendwie wieder zurückstellen von dem Boot Menü? (wg. der CD)

    • Wenn du die Änderungen, wie in den Videos beschrieben abgeschlossen hast, dann kannst du den Rechner herunterfahren. Ein Neustart erfolgt nun ohne CD, also so wie vor dem Trojaner.

      CHKDSK ist eine Überprüfungsroutine für die Festpallte. Diese nicht unterbrechen, einfach bis zu 100% durchlaufen lassen, was je nach Festplattengröße und Datenmengen einige Zeit dauern kann.

  25. Hallo,

    – habe die CD gebrannt.
    – boot Reihenfolge verändert
    – win xp mini ausgewählt

    …die Installation startete danach kamm ein „blue screen“

    was habe ich falsch gemacht?

  26. Stop: 0x0000007E ( 0xc0000005, 0XF7529D66, OXF78BDEA4, OXF78BDBAO)

    acpi.sys – adress F7529D66 ase at F751EOOO…

  27. hallo=)
    ich habe folgendes problem. undzwar wenn ich von der cd booten will, fängt er auch an windows xp zu starten, aber nach kurzer zeit erscheind dann ein blauer bildschirm. in der ersten zeile steht: a problem has been detected and windows has been shut downto prevent damage to your computer.
    was muss ich machen?
    ich danke schon mal im vorraus =)

  28. Hallo, ich hab jetzt alles nach Anleitung gemacht, allerdings ist nun der Trojaner weg, aber auch mein Desktop! mir bleibt nur eine weisse Mausanzeige in das Schwarze nach der Anmeldung.

  29. Hallo! Ich hätte eine frage. Wenn ich Samsung Laptop hab, und der andere Laptop, aufm ich das cd brennen würde, ein Apple ist, geht’s so auch? Weil solche cd-s normalerweise nicht lesbar sind.

  30. Wäre es möglich, die mit dem GVU Trojaner befallene Festplatte in einem zweiten Computer als Slave einzustecken und gemäß ihrer sehr ausführlichen Anleitung alle befallenen Dateien zu löschen. Müßte eigentlich auch funtionieren.
    Warum wird dieser Trojaner nicht von den Virenscanprogrammen erkannt und unschädlich gemacht.
    Hab die befallene Festplatte als slave auf Viren gescannt. Der GVU Trojaner ist vom Virenprogram nicht beseitigt worden.
    Meine Master Festplatte läuft noch einwandfrei.
    Bin mir jetzt aber, nachdem ich ihre Anleitung gesehen habe, nicht sicher ob der Trojaner auf meiner Master-Festplatte etwas angerichtet hat.
    hab die Slave-Festplatte wieder aus den Computer entfernt.
    Mit einer anderen Festplatte und WindosXP werde ich versuchen, die befallenen Dateien zu löschen. Mal sehe, ob´sfunktioniert.

    • Daniel Weihmann | 6. Februar 2013 um 06:24 | Antworten

      Die Festplatte in einen anderen Rechner einzusetzen geht natürlich auch. Aber was wenn die Hacker bereits jetzt oder in einer kommenden Version des Trojaners, dies berücksichtigen? Dann wird auch die zweite Platte (Rechner) verseucht …

      Warum die Antiviren-Programme nicht Alarm schlagen, hatte ich bislang immer damit begründet, dass es sich bei dieser Schadsoftware nun mal nicht um einen klassischen Virus handelt, sondern um einen Trojaner, den man sich – wie im alten Troja-Krieg das Holzpferd – ins Haus (Rechner) holt. Eine Internet-Security-Lösung sowie regelmäßige Aktualisierungen des Betriebssystems und der installierten Programme helfen auf jeden Fall sich vor solchen Eindringlingen zu schützen.

    • Damit ein Antivirenprogramm den Schädling erkennt, muss die Signatur dem Schutzprogramm auch erst mal bekannt sein. ERST kommt der Schädling, DANN erst kann der Schutz davor erfolgen. Eine neue Variante eines scheinbar gleichen Schädlings braucht eine völlig andere Herangehensweise. Da die Virenprogrammierer nicht gleich eine Entfernungsanleitung mitschicken, haben die Antivirenhersteller erst mal alle Hände voll zu tun, den Schädling und seine Wirkungsweise zu analysieren. Dabei vergeht natürlich einige Zeit, bis auch der Virenschutz soweit angepasst ist. Ein Virenschutz kann nicht vor Bedrohungen schützen, die er nicht kennt. Das sollte soweit verständlich sein.

  31. hallo,
    habe mir den mist auch eingefangen. Mein Antivir habe es geblockt. erst passierte nichts dann hatte ich es auf dem Dektop. Nach dem Neustart hat mein PC bzw. der Antivir eine dll Datei geblockt und mein pc geht ganz normal. Hatte ich jetzt halbwegs Glück oder nicht. Ich habe auch 2 Betriebssysteme. Auf dem 2tem habe ich den Virenscan lauf lassen und es wurde auch nichts gefunden. Jetzt weiß ich nicht was ich davon halten soll

  32. malwarebytes hat auch nichts gefunden. —mein pc läuft auch erstmal normal. Ich habe trotzdem die System und Software Datei ersetzt und die Temp Dateien gelöscht.

    • Daniel Weihmann | 6. Februar 2013 um 21:12 | Antworten

      Vermutlich Glück gehabt. Welches Antivir ist auf dem Rechner im Einsatz? Zum Teil scheint es ja funktioniert zu haben …

      Leider besteht immer ein wenig Restrisiko, aber das hat man auch beim Kochen, Putzen und natürlich beim Autofahren. Auf jeden Fall den Rechner künftig vor solchen Dingen bestmöglich absichern.

  33. hallo,
    mein PC wurde am 06.02.13 , 19 Uhr von GVU gesperrt ( Trojaner ? )
    Soll nun mit Paysafecard 100 Euro für die Entsperrung bezahlen.
    Gibt es unter euch noch mehr Betroffene ?

    gruß Rolf

    • Daniel Weihmann | 7. Februar 2013 um 08:45 | Antworten

      Für eine Frage ob man zahlen soll oder nicht ist die Antwort ist definitiv NEIN!
      Das Geld wäre weg – sicherlich irgendwo nach Osteuropa – und den Trojaner hättest du weiterhin.

      Betroffen von dieser oder ähnlicher Schädlinge sind viele.

  34. Hallo,
    muß nochmal wegen der alten Dateien im Windows repair ordner fragen: ist es egal, ob die von 2008 sind? Sind -wie gesagt – nicht aus den letzten 2 Wochen…

    • Wenn man die Registry aus dem Repair-Ordner nimmt, wird das System quasi auf den Installationstag nach dem ersten Systemstart zurückgesetzt. Es werden zwar keine Dateien oder Ordner gelöscht, aber für das System sind bisher installierte Programme nicht existent und müssen neu installiert werden.
      Funktionierende Backups des Systems kann man sich auch mit den Daten im Ordner „Systeme Volume Information“ auf ähnliche Weise wie beim Vorgehen mit dem Repair-Ordner zurücksichern. Dabei achtet man auf das Datum der Erstellung der Dateien, um einen möglichst zeitnahen Wiederherstellungspunkt zu haben.

      Mittels der Reparaturmöglichkeiten von „MSDaRT“ kann man auch von aussen ein nicht mehr startfähiges System wieder auf die Beine bekommen, in dem man die Wiederherstellung von dort aus anstupst. Achtung…es gibt verschiedene Versionen für die einzelnen Windows-Systeme (!)
      Eine recht gute Erklärung findet sich zB hier:
      http://stadt-bremerhaven.de/microsoft-diagnostics-and-recovery-toolset/

  35. Hallo,
    habe Windows XP und kann den RegBack Ordner nicht finden. Hab´s schon durch die Suche laufen lassen aber nichts gefunden. Hat der Ordner bei XP einen anderen Namen?

    Schonmal Danke für die Antwort.

    Liebe Grüße
    Jana

    • Hallo Jana,

      bist Du denn sicher, dass Du diese Lösung wirklich „willst“? Lies mal, was ich ein Posting über Deinem als Antwort geschrieben habe…

  36. Daniel Weihmann | 7. Februar 2013 um 19:13 | Antworten

    Passend zum Thema Trojaner und was diese alles anrichten können, kann derzeit in der Mediathek von ARTE die Dokumentation In den Fängen der Internet-Mafia angesehen werden.

    Ab Minute 22 geht es um Trojaner, mit denen sich bspw. alle Tastatureingaben mitlesen lassen und somit der Hacker an die Daten des Online-Banking gelangt.

  37. Hallo,
    bei mir startet mini win XP garnicht !

    was kann ich tuhen?

    • Daniel Weihmann | 7. Februar 2013 um 19:16 | Antworten

      Sorry, kann ich dir leider nicht helfen. Auf den Systemen, mit denen ich bisher Kontakt hatte, gab es keine Probleme mit Hirens. Es kann natürlich bestimmte Hardware nicht unterstützt werden …

      Kann dir nur noch den Tipp geben, auf eine andere Start-CD zu wechseln. Ubuntu zum Beispiel.

  38. Also mein Antivir ist das kostenlose von Avast. Keine Superwaffe ;-)

  39. Also dann lasse ich das lieber mit den alten Dateien aus dem Windows/Repair-Ordner. Wenn dann sämtliche jüngeren Daten weg sind, bringt mir das doch gar nichts, oder? Mein Hauptziel ist es momentan, die Daten zu sichern. Vielleicht steige ich dann auf Linux um, daher ist Datenrettung meine Prio.

    Habe auch schon Live Cds bzw. Xubuntu und Parted Magic ausprobiert. Problem mit beiden CDs hierbei: ich kann zwar auf den Desktop und gewisse Daten zu greifen, aber nicht auf jüngere aus dem letzten Jahr – wie kann das sein? Die müssen doch noch exisitieren… Aber ich sehe nur ältere. Ich kann mir nicht vorstellen, daß der Trojaner die gelöscht hat. Irgendwie muß ich da doch rankommen…?

    Bin verzweifelt :-(

    • Daniel Weihmann | 7. Februar 2013 um 22:19 | Antworten

      Auf deine Daten (Eigene Dateien, Fotos, Dokumente, Spielstände etc.) solltest du ohne weiteres Zugreifen können. Wie im Artikel beschrieben liegen deine Daten nicht auf Laufwerk C (was oft der Standard ist), sondern auf D.
      Grund ist, dass das Mini-Windows sozusagen C für sich beansprucht.

      Es gibt diesen Trojaner allerdings auch in einer Variante, bei die Daten verschlüsselt werden. In diesem Fall sind sie meines Wissens praktisch weg.

  40. Hallo Daniel!

    Erstmal viel Dank für diese super Videoanleitung. Jedoch funktioniert das ganze bei mir scheinbar nicht oder ich mache etwas falsch.

    Schnell mal zum OS: Windows XP SP3

    Sobald ich die beiden Files im „config“ Ordner umbenne, habe ich keinen Zugriff mehr auf das OS. Es kommt für ein bis zwei Sekunden eine lsass.exe Fehlermeldung und der PC startet neu. Es handelt sich dabei um den PC eines Kunden. Der lokale Benutzer ist Passwortgeschützt (rein nummerisch) und der lokale Administrator hat kein Passwort. Fpr mich etwas verwirrend ist auch, das im Ordner „C.\Windows\Repair\“ die Datei „system“ mit der Endung *.bak versehen ist. Soll ich hier die Endung entfernen und den Datei aus dem Ordner „config“ mit dieser ersetzen? Die Hirens BootCD habe ich, mit der bin ich auch bestens vertraut.
    Hast du vlt. sogar ein HowTo für XP PC’s oder ist dir eines bekannt? Bin über jede HIlfe dankbar!

  41. Hallo,
    was ist wenn ich doch als erstes versucht habe eine SStemwieserherstellung zu machen. Wie kriege ich dann Zugriff auf meinen Desktop??
    Mit dieser Methode hat es leider nicht geklappt…

    PS: Leider bin ich beinder Suche nach einer Lösung nicht direkt auf diese Seite gestoßen. :(((

    • Wenn du kein funktionierendes System wiederherstellen kannst, dann würde ich dir zu einer Rettung deiner Daten raten. Also per Start-CD (z.B. Hirens oder Ubuntu usw.) das System hoch fahren und alle wichtige Daten auf einen externen Speicher ziehen.

      Dann den Rechner platt machen, Windows neu installieren.

  42. hallo daniel, leider funktioniert es bei dem mini laptop EeePC nicht, der bios modus sieht nicht so aus wie unter dem link und eigentlich hat es garkein cd laufwerk, allerdings habe ich ein externes dran gehängt, dass schon mal mit dem laptop lief. Auch die usb stick variante geht nicht, nach dem runterladen, kann ich es nicht öffen, und ich habe auch keine solchen masken wie auf der seite abgebildet, wie bekomme ich jetzt den trojaner von dem laptop? danke und liebe grüsse sabine

    • @Sabine: Du brauchst bei der in den Videos beschriebenen Vorgehensweise irgendein Betriebssystem, von dem aus du auf dein verseuchtes Windows zugreifen kannst. Kann sein, dass Hirens BootCD an dieser Stelle irgendwo Probleme hat … weiß ich aber auch nicht.

      Versuchen könntest du den Start noch mit irgendeinem Linux (Ubuntu, Knoppix). Auch hierbei wird lediglich ein nicht befallenes System (von CD oder USB) gestartet und greifst auf diese Weise auf die Original-Windows-Umgebung zu.

  43. Hallo,
    kann man eigentlich den Rechner gleich neu aufsetzen ohne den Virus zu entfernen?
    Es befinden sich nicht sonderlich wichtige Dateien auf dem PC (in den abgesicherten Modus kommt man noch, kann man da die Dateien evtl. auf ein USB-Stick speichern?)
    Hast du eine gute Anleitung zum Neuaufsetzen?
    Danke, Gruß

    • In diesem Fall:

      1. * Daten auf ein externes Medium sichern (z.B. per abgesicherten Modus, Hirens BootCD, Ubuntu usw.)
      2. * von der Original Windows CD / DVD den Rechner booten
      3. * Installation von Windows starten
      4. * System-Partition (meistens C:\) formatieren
      5. * nach Abschluss der Installation Windows updaten und absichern

      Alle Daten auf der System-Partition sind dann weg. Daten auf anderen Partitionen, solange es keine installierten Programme waren, wären nicht betroffen.

      Nun hat man ein sauberes Betriebssystem, zumindest bis man wieder auf eine Webseite gelangt, die den Trojaner verteilt. Also: System absichern! Mindestens mit den von Windows bereit gestellten Bordmitteln (Security Essentials, Windows Defender). Ich persönlich würde nicht auf eine Pro-Variante einer Internet Security Lösung verzichten; die 30-50 € im Jahr sind aus meiner Sicht hier gut angelegt. Hier findest du ein paar Infos zum Schutz vor Trojaner und Viren.
      Auf jeden Fall auch dafür sorgen, dass deine Programme (Betriebssystem, Browser, PDF-Reader usw.) und Erweiterungen (Java, Flash usw.) immer aktuell sind.

      Deine alten gesicherten Daten vor dem zurück kopieren auf das neue Windows nach Viren & Co. scannen.

      Ansonsten google einfach mal nach deiner Windows-Version + neu aufsetzen, da gibt es eine ganze Reihe guter Anleitungen im Netz.

  44. Wirklich gute Anleitung und tatsächlich die erste die auf die neuesten Probleme des GVU Viruses eingeht. Allerdings war das Backup von SYSTEM UND SOFTWARE bei mir just von dem Zeitpunkt des Virenbefalls und auch infiziert.

    Damit hatte ich dann verloren…

    Da hätt ich mir eine Erklärung gewünscht, was ich dann machen kann. Aber vermutlich gibts da keinen Weg mehr.

  45. Guten Tag,
    bin ihrem Video gefolgt.
    Bis zu dem Punkt Unterordner Reg Back gekommen.
    Diesen Ordner kann ich dort aber nirgends finden.
    Was mache ich falsch?, bzw. wie komme ich dahin?

  46. Hallo Daniel,
    ich nutze Win 7, 64 Prof.
    Auf der zur Verfügung stehenden Version 15.1 und 15.2 ist die Auswahloption: „Mini Win 7“ nicht mehr vorhanden, sondern nur noch „Mini Windwows XP“. Kann ich denn auch mit den dort vorhandenen dateien auch einfach für Win 7 nutzen?

  47. BSI Virus geschädigter | 10. Februar 2013 um 18:30 | Antworten

    Hallo,

    Danke für diese sehr gute Anleitung.

    Mich hat es auch erwischt. Beim lesen von Informationen, bei einem Solarzellen Anbieter.

    Mein „Pech“ war nur das Saveboot auf meinem Rechner Installiert ist, und ich mit einem „Einbruch“ in mein eigenes System, mittels Boot – CD, leider kein Erfolg hatte. Die Festplatte ist durch Saveboot verschlüsselt und wird nur als nicht formatierte Partition erkannt. Da die Daten allerdings zu wichtig waren um aufzugeben, musste ich den Virus irgendwie überlisten.

    Nach langem überlegen und einiger Expirimente ist mir aufgefallen das wenn der Rechner mittels PowerON Taster runtergefahren wird (kurzes Antippen), für kurze Zeit der Desktop zu sehen war.
    Also habe ich mit der Tastenkombination Windows+e, für den Explorer, den Rechner so „belastet“ das er den Shutdown befehl erst ausführen kann, wenn alle offenen Explorerfenster geschlossen wurden.
    Dann auf Abbrechen, wenn der Hinweis angezeigt wird das der Rechner erst alle Fenster schließen muß befor er den Shutdown dann entgültig ausführt.
    Zum Glück blieb mein PC dann bedienbar (Taskmanager).

    Dannach habe ich die vorgeschlagenen Tipps durchgeführt.

    Von mir 5 von 5 Punkten. Danke

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.