Beitrag wurde zuletzt am aktualisiert

Anleitung: GVU-Trojaner entfernen

GVU Trojaner 2013GVU Trojaner 2013

Im August 2011 hatte ich das erste Mal Kontakt mit dem für mich damals unbekannten Bundespolizei Trojaner. Im Anschluss begegnete mir dieser Virus – der auch als GEMA-, UKASH- und BKA-Trojaner oder in einer aktuellen Variante auch als BSI-Trojaner bekannte Ransomware – noch ein paar mal im Bekanntenkreis.

Der Virus taucht(e) immer wieder mit der selben Masche auf: Der PC ist plötzlich gesperrt und die Betroffenen werden mit diversen Anschuldigungen von offiziell erscheinenden Behörden unter Druck gesetzt, eine bestimmte Summe per Ukash oder einem anderen Bezahlverfahren zu überweisen. Dass diese Meldung natürlich nicht wirklich vom Bundeskriminalamt oder der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen stammt, sollte eigentlich jedem klar sein. Dennoch scheinen die Hacker auch im Jahr 2013 noch einen Menge Geld hierbei zu „verdienen“.

Seit dieser Zeit hat sich dieser Schädling mehrfach „verbessert“ und von Monat zu Monat erschwerten die Viren-Programmierer die Bekämpfung der Schadsoftware.

Auch für den GVU-Trojaner 2013 gilt: Auf keinen Fall zahlen, das ändert nichts am Problem mit dem Virus

In den Kommentaren, auf anderen Webseiten die sich mit dem Problem befassen oder bei Anfragen via Facebook und Telefon, merkte ich immer öfter, dass die damals funktionierenden Schritte (natürlich) kaum noch zum Erfolg führten. Nun möchte ich aber nicht selbst einfach ein paar Tipps, die mir durch Hörensagen zugetragen wurden in diesem Beitrag veröffentlichen, sondern auf eine hilfreiche Publikationen im WWW eingehen.

Alex Ken hat eine hervorragende Video-Anleitung bei Youtube eingestellt, in der er die Vorgehensweise für eine Entfernung der aktuellen Variante vom GVU Trojaner schrittweise erklärt.
Er nennt in den Videos ein paar Links und Windows-Verzeichnisse, auf die ich in diesem Artikel nochmals verweisen möchte. Da es unzählige verschiedene Rechner- und Hardware-Kombinationen gibt, kann mit dieser Hilfe möglicherweise nicht jedem geholfen werden. So weit es mir möglich ist, antworte ich gern auf Fragen in den Kommentaren (bitte verzichtet auf eine telefonische Kontaktaufnahme). Aber auch auf Youtube hat Alex bereits erste Antworten auf Anfragen gegeben.

Teil 1 – Video GVU Trojaner entfernen

Teil 2 – Video GVU Trojaner entfernen

  1. Er rät dringend von der Systemwiederherstellung ab, da die Hacker den Virus so umprogrammiert haben, dass jetzt auch die wiederhergestellte Windows-Version umgehend befallen wird und eine Systembereinigung um ein Vielfaches schwieriger wird.
  2. Die in dem Video vorgestellte und auch funktionierende Wiederherstellung des Systems dient dazu, wieder Zugriff auf die eigenen Daten (Dokumente, Bilder, E-Mails, Favoriten etc.) zu erlangen, um sie zu sichern. Zum Beispiel auf einen anderen Rechner, USB-Stick, DVD und so weiter.
  3. Sein ernstzunehmender Rat ist, den Rechner anschließend so schnell wie möglich neu aufzusetzen, da mit sehr großer Wahrscheinlichkeit davon ausgegangen werden kann, dass die Viren-Entwickler weitere ungebetenen Gäste mit auf den Computer untergebracht haben.Neben dem GVU-Trojaner selbst können unerkannt und erst einmal völlig unauffällig weitere Schadprogramme installiert wurden sein. So könnte der eigene PC als Teil eines Bot-Netzwerkes, der irgendwann aus der Ferne gesteuert wird, für Angriffe auf Webserver oder Webseiten genutzt werden. Tastatureingaben, Passwörter, Onlinebanking-PINs oder E-Mails könnten mitgeschnitten und an die Angreifer gesendet werden. Das sind winzige Datenmengen, die aber in falschen Händen zu einer Menge Ärger oder finanziellen Verlusten führen können und mit Sicherheit führen.

Ergänzungen zu GVU- und BKA-Trojaner entfernen 2013

Da eine ganze Reihe Fragen zu den ersten beiden Videos eingegangen sind, hat Alex Ken nochmals eine Ergänzung zu den ersten beiden Videos bei Youtube eingestellt.

Was wird für die Bereinigung benötigt?

Ihr benötigt einen zweiten, virenfreien Rechner mit Internetzugang und CD-Brenner bzw. ein mindestens 512 Megabyte großer USB-Stick.
Die kostenlose Software Hiren’s BootCD (Download-Größe der fast fast 600 Megabyte zip-Datei im unteren Bereich der verlinkten Webseite). Die CD wie auch die darauf befindlichen Programme sind Freeware. Nach dem Entpacken kann mit dem beigefügten Brennprogramm BurnCDCC.exe die Hiren’sBootCD.15.1.iso auch direkt gebrannt werden.

Wer nicht von einer CD, sondern lieber von einem USB-Stick booten möchte, findet auch hierzu eine entsprechende Lösung unter hirensbootcd.org.

Im nächsten Schritt von der erstellte CD oder dem USB-Stick den infizierten Rechner booten, wofür möglicherweise die Boot-Reihefolge im BIOS geändert werden muss.

Hiren's BootCD 15.2 Startmenü

Hiren’s BootCD 15.2 Startmenü

Die Windows-Registry austauschen

Im nächsten Schritt wird per Windows-Explorer die komplette Registry ausgetauscht.

Die Registry findet ihr (vermutlich) unter D:\Windows\System32\config. Dort nach Änderungsdatum sortieren und nach den geänderten Dateien software und system (ggf. auch weitere) Ausschau halten, die am Tag des Viren-Befalls geändert wurden. Diese Dateien umbenennen. In den Unterordner Regback, zu den Sicherungs-Dateien der Registry, wechseln und die gesicherten Dateien software und system in das Registry-Verzeichnis kopieren.

Jetzt ist die Registry wieder bereinigt und auf dem Stand der letzten Sicherung – also vor dem Befall durch den Trojaner.

Mögliche Trojaner-Dateien entfernen

In weiteren Schritten gilt es Verzeichnisse-Inhalte zu löschen, in denen sich Teile des GVU-Trojaners oder Sicherungskopien der Schadsoftware gern einnisten. Alex Ken nennt die folgenden Verzeichnisse in seinem Video:

  • Windows > Benutzer > Name > AppData > Local > Temp (Name durch den Benutzernamen ersetzen)
  • Windows > Benutzer > Name > AppData > Roaming > Microsoft > Windows > Startmenü > Programme > Autostart (Name durch den Benutzernamen ersetzen)
  • Windows > ProgramData > Microsoft > Windows > Startmenü > Programme > Autostart
  • Windows > ProgramData > Temp

Außerdem unter Windows > ProgramData nach Ordnern Ausschau halten, die am Tag des Viren-Befalls geändert wurden und ggf. umbenennen.

Neustart des PCs & umgehend Malware-/ Viren-Scan durchführen

Jetzt den Rechner neu starten und Daumen drücken, dass man sich nicht eine erneut „verbesserte“ Version der Ransomware – wie der GVU-Trojaner oder BKA-Trojaner richtig genannt werden müsste – eingefangen hatte.

Ist der PC wieder normal gestartet dann sofort einen vollständigen Virenscan (kostenfreie Virenscanner wie Kaspersky, Avira, Eset, BitDefender usw. mit einer aktuellen Viren-Datenbank helfen sicherlich im ersten Schritt) durchführen. Des weiteren einen Scan mit Malwarebytes (gibt es auch erst einmal kostenfrei direkt beim Hersteller) durchführen.

Zeigen die beiden Scans irgendwelche Funde, so sind diese zu löschen und ihr seid den Trojaner los!

System zeitnah neu aufsetzen!

Alex Ken weist am Ende des Videos nochmals darauf hin, dass der Rechner neu aufgesetzt werden muss und lediglich Sicherungsarbeiten nun durchgeführt werden sollten. Wie schon beschrieben, kann sich noch alles mögliche auf dem Computer befinden, auch wenn er jetzt wieder wie vor dem Trojaner-Befall anfühlt. Nach der Neuinstallation heißt es, den Computer besser vor Angriffen aus dem Internet zu schützen.

Ein weiterer wichtiger Hinweis im Video: Auf keinen Fall die letzte Sitzung des Browsers zulassen. Auch keine Zugangsdaten irgendwo eingeben … Sichert in Ruhe eure Daten und lasst am besten die Internetverbindung unterbrochen (zieht das Netzwerkkabel heraus).

Wer sich unsicher ist, sollte immer einen Fachmann zu Rate ziehen. Ich selbst habe mit dieser Systemwiederherstellung bisher keine Erfahrung machen dürfen bzw. müssen. Alle hier genannten Informationen stammen aus den beiden GVU Trojaner Videos von Alex Ken auf Youtube, der auch in später erstellten Videos einen gibt. Ich und er hoffen, dass ein paar Leuten mit dieser Anleitung geholfen werden kann.

87 Kommentare zu "Anleitung: GVU-Trojaner entfernen"

  1. Gesagt, getan und geklappt!
    Es war eben nur ein wenig Sucherei erforderlich, da die Dateien an einem anderen Ort waren, als im Video beschrieben und die Dateien eben in ihrer englischen Bezeichnung angezeigt wurden…

    Ansonsten Danke!

    LG Volker

  2. leider wird auch das booten von einer boot-CD abgefangen – obwohl in den bios-Einstellungen: CD-ROM als 1. Bootmedium eingegeben wurde ….

  3. hey :) ..
    ich hab heut auch (mal wieder) einen dieser viren bekommen. ich hab meinen computer, nachdem ich die warnung gesehen habe sofort neu hochgefahren und sofort nach erreichen des startbildschirms einen virenscan angefangen. dieser läuft gerade noch. dass könnte/müsste doch funktionieren auch ohne die boot cd oder? .. jedefalls hat dass bei dem gema trojaner funktioniert

    weiß jemand ob dass funktioniert?
    mfg Manu

    • also ich habe nur bei youtube videos anhesehen und da kamm den der gvu virus zuerst habe ich bei meiner omA videos angeschaut und da kamm den der gvu virus um 7:30 uhr und meine oma ging den zu mediamarkt und lies ihr laptop zu der firma samsum schicken um den virus zu entfernen das war sehr teuer ca.180 euro hat sie bezahlt naja und ich war den bei mir zuhause mit meinen kumpel und habe mit ihm wie was auf youtube angesehen und ich habe ihn das 2 mal den selen virus und das auf zwei verschidene laptops einmal auf samsum und asus ich auf den asus pc habe ich ein systemneuwiederherstellung gemacht und ich habe bis jetzt noch keine probleme.Aber ich weiß nicht ob wenn ich wieder ein bekommen sollte ob wieder ein systemneuwiederherstellung machen kann uoder kann mann das nur einmal .

      mfg.jan

      hoffe auf antwort.

  4. Hallo, habe auf meinem XP-Rechner alles so ausgeführt wie in der Anleitung beschrieben. An der Stelle mit der Umbenennung habe ich zu dem Datum des Befalls nur die Daten von der Installation gefunden. Will heißen: Der Rechner fährt jetzt „sauber“ hoch, zeigt mir den Bildschirm von der XP Installation, mit der Aufforderung, die XP-SP3 CD einzulegen. Die beiden Dateien habe ich in xxx.bak umbenannt, die vom System gelöscht wurden. Was mache ich jetzt ???

    • Daniel Weihmann | 13. Februar 2013 um 21:33 | Antworten

      Du hast keinerlei Sicherungspunkte zwischendurch? Wenn ich mich recht an XP erinnere, müsste man dies explizit in der Registry abschalten.

      Du könntest nun die XP-CD einlegen und hättest dann ein Windows vom Tag der Installation des Betriebssystems. Deine gespeicherten Daten wären hiervon normalerweise nicht betroffen. Aber einen solchen „Sicherungspunkt“ hatte ich noch nicht in meine Händen.
      Sehr ungewöhnlich …

  5. Hallo! und erstmal vielen dank für die mühevolle anleitung!
    leider ist für mich das problem noch nicht gelöst!
    kann das „peusdo“windows xp normal starten und kann dann auch den von dir beschriebenen pfaden folgen, allerdings, kann ich nicht das änderungsdatum, das zum virenbefall passt, finden.
    was habe ich falsch gemacht?

  6. Daniel Weihmann | 13. Februar 2013 um 21:36 | Antworten

    Du bist auf dem richtigen Laufwerk, vermutlich „D:“? „C:“ nimmt sich das „Pseudo XP“.

  7. ja. nur eben ist im beschriebenen unterordner keine datei zu finden mit einem änderungsdatum, das zu treffen könnte.

  8. hubertus kräling | 14. Februar 2013 um 06:59 | Antworten

    wo finde ich bei xp die entsprechenden verzeichnisse: Windows > Benutzer > Name > AppData > Local > Temp / Windows > Benutzer > Name > AppData > Roaming > Microsoft > Windows > Startmenü > Programme > Autostart / Windows > ProgramData > Microsoft > Windows > Startmenü > Programme > Autostart / Windows > ProgramData > Temp ?

    • Ich muss mir doch noch mal ein XP irgendwo hin installieren. Hier in etwa die Verzeichnisse, die du gesucht haben könntest.

      C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\Temp

      C:\Dokumente und Einstellungen\NAME\Lokale Einstellungen\Anwendungsdaten\Temp

      C:\Dokumente und Einstellungen\NAME\Startmenü\Programme\Autostart
      oder für alle Nutzer
      C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

      … wie gesagt, ich habe derzeit kein XP, wo ich genau nachsehen könnte.

  9. hallo, vielen dank für die anleitung. ich habe das problem unter windows xp und es geht alles gut bis zu dem punkt wo ich die regback suchen soll. die finde ich aber nicht. sie ist weder unter windows\system3\ config noch finde ich sie wenn ich über search suchen lasse. gibt es ne idee???

    • Dieses Problem habe ich auch!!! Wer kann mir sagen, wo ich die richtigen Daten in XP finde? – Finde ich diese überhaupt?
      Danke!

    • Auch ich habe alles befolgt, die RegBak finde ich nicht. HILFE!!!
      Was kann ich nun tun???

      Danke für die ansonsten tolle Anleitung!

    • Hast Du das Problem mit der RegBak lösen können?
      Ich habe die Datei nämlich auch nicht finden können. Und nu?
      LG MoN

  10. vielen dank für die ausführlichen Anleitungen. Leider habe ich zuvor bereits die Variante mit dem Wiederherstellungszeitpunkt durchgeführt. 2Tage ist alles gutgegangen, jetzt ist der trojaner wieder da.
    Die in den Videos beschriebene Methode hat nichts gebracht.
    Welche Möglichkeiten habe ich?

    • Daniel Weihmann | 15. Februar 2013 um 18:34 | Antworten

      Ich konnte die Kaspersky CD zum Entfernen von Ransomware bisher nicht ausprobieren, ist aber mit Sicherheit einen Versuch wert:

      http://support.kaspersky.com/de/viruses/solutions?qid=208641247

      Hat damit jemand Erfahrung?

  11. Hallo.
    Ersteinmal ein Riesenkompliment an Dich für die kostenlose Hilfestellung bei diesem Trojaner!
    Ich habe gerade strickt nach dieser Anleitung das Prozedere durchgeführt und es scheint bisher zu funktionieren.
    Beim hochfahren erstmal keine GVU Meldung.
    Bin aber mit dem Pc noch nicht online. Könnte aber beim ersten verbinden wieder losgehen. Was ich natürlich nicht hoffe.
    Zur Zeit läuft noch der Antivir drüber.
    Bisher einen Hinweis auf eine versteckten Datei, die ich aber erst, laut Hinweismeldung des Antivir Programms ,bis zum kompletten Durchlaufs des Virenscans ignorieren soll. Hoffentlich kommt da am Ende nicht noch was.
    Sobald ich mit dem Pc wieder on bin und alles läuft, berichte ich gerne.
    Viele Grüße und nochmals danke
    Marco

    • Daniel Weihmann | 15. Februar 2013 um 20:54 | Antworten

      Erfahrungsberichte sind immer sehr hilfreich, vor allem weil sich die Varianten des Trojaners in der Vergangenheit immer mal wieder unterschieden haben.

      • So. Da bin ich wieder :-)
        Nach über 2 Stunden Virenscan hat Antivir 25 Funde und 7 Warnungen angezeigt. 4 Trojaner wurden per Bestätigung in Quarantäne verbannt. Hoffe mal die anderen Funde wurden von Antivir automatisch gelöscht.
        System läuft jetzt auch mit Internetverbindung einwandfrei. Keine GVU Meldung mehr.

        Einei Anmerkungen noch, falls andere auch nach Anleitung vorgehen:

        Beim öffnen des Autostart Ordners soll ja der Inhalt gelöscht werden. Da steht aber auch descop. ini drinnen. Wenn man diese auch löschen möchte, gibt es einen Warnhinweis. Deshalb habe ich diese Datei nicht gelöscht und das war wohl richtig.

        Morgen wird gesichert und anschließend neu aufgespielt :-)

        Schönen abend noch und Dir großen Respekt !
        Gruß
        Marco

        • Ergänzung :-(
          Gerade eben zeigt Antivir mir an:

          Der Zugriff auf die Datei C\USERS\MARCO\7393541.dll dieein Virus oder unerwünschtes Programm
          TR\Meredrop.A.11533 enthält, wurde verweigert.

          Ich hab nun die Option Entferne oder Expertenhilfe anfordern oder auf Details klicken.
          Und nun???
          Hab gelesen, dass das entfernen nicht unbedingt gut sein soll.

          Noch sehe ich kein gvu bild. Gleichzeitig lief auch auch spyware terminator 2012. Hat auch 86 Infektionen gefunden.

  12. So. Habe den Trojaner in Quarantäne erschueben können und es ist Ruhe.
    Also alles im grünen Bereich.
    Gruß
    Marco

    • Im grünen Bereich ist es erst nach der Neuinstallation. Bis dahin wird evtl. jemand irgendwo auf der anderen Seite des Netzes in aller Ruhe Passwörter notieren oder über Deine Kommunikation und Surfgewohnheiten grinsen ;-)

  13. Hallo Daniel,
    Danke für Deine super Beschreibung der Vorgehensweise!
    Leider stoppt das ganze bei mir schon beim Booten über den USB-Stick auf dem die Software „Hiren’s BootCD“ drauf ist. Es erscheint „Missing operating system“ und dann ist Schluss.
    Was ist in diesem Fall zu tun???
    Viele Grüße,
    André

    • Hast du dich an die Anleitung zur Einrichtung eines bootfähigen USB-Strick unter http://www.hirensbootcd.org/usb-booting/ gehalten? Sieht für mich so aus, als hättest du lediglich Hirens‘ auf den Stick kopiert …

  14. Vorab vielen Dank für die Anweisungen. Ich habe den PC mit der Kaspersky Rescue CD gebootet und den Windows Unlocker gestartet. Leider war für den Unlocker alles ok. auch der Virenscan hat nichts ergeben. Gibt es noch eine Möglichkeit oder musss ich das BS neu aufsetzen ?

    • Wenn die hier beschriebene Vorgehensweise nicht weiter hilft und auch die Tools von Herstellern wie Kasperky an ihre grenzen stoßen, muss leider auch ich passen.

      Alle Daten sichern und nach Viren & Co. scannen. Dann Windows 7 oder 8 neu installieren. Da bei XP der Support bald ausläuft, würde ich nicht mehr auf das ~12 Jahre alte Betriebssystem setzen.

      Als erstes entsprechende Sicherheitssoftware installieren, dann die gesicherten Daten wieder einspielen. Mit Software wie Secunia Personal Software Inspector die Aktualität der installierten Programme überwachen und das System stets aktuell halten.

  15. der GVU hat meinen rechner total zerschossen, er führt dauernd, vor erreichen des Bios neustarts durch und bricht diese an der benannten stelle wieder ab, hat da jemand einen letzten Rat

  16. Hallo,
    erstmal vielen Dank für deine Mühen und die tolle Anleitung. Ich habe alle Schritte wie oben beschrieben gemacht.
    Nach einem Neustart erscheint jedoch weiterhin nur der Cursor und mein Desktophintergrund. Der Taskmanager funktioniert. Sobald ich zum Beispiel Computer abmelden drücke, sieht man kurz vor dem tatsächlichen Abmelden den normalen Desktop mit den Dateien und allem wie es war für eine Sekunde. Hast Du noch eine Idee :) ?
    bg

  17. Habe nach einer Systemwiederherstellung WIN 7 neu aufgesetzt. allerdings ohne FORMAT C:, ich hoffe das dennoch alles weg ist von diesem Trojaner

    Danke für die Anleitung und Tipps!

  18. Leider ist der GVU-Trojaner selten der einzige Gast auf dem PC.

    Algemeine Infos: http://gvu-trojaner.de

  19. Hallo, Habe von CD gebootet, und auf dem Desktop jetzt eine sehr magere XP version. Der befallene Rechner ist jedoch Win7. Wie komme ich nun vom XP in den Win7 explorer??

    • Wozu willst Du denn in den Win7-Explorer? :-O

      Öffne den Explorer vom Mini-XP, sichere Deine Daten und dann setze das System neu auf!

      • Hallo bagman,
        bin über den XP explorer nicht weiter gekommen, habe alles dann über den kaspersky 10 gelöst. hat alles soweit geklappt mit den obigen Anweisungen.
        Man sollte halt nicht bedenkenlos seinen Lieferanten vertrauen ……
        Werde schleunigst neu aufspielen.
        Danke an alle es läuft wieder.
        So eine Leistung finde ich „Oskarreif“
        Danke nochmal.

        • @Mick
          Hast Du den Pfad der „Eigenen Dateien“ nicht gefunden oder wo hattest Du genau Probleme?
          Wie schon bei Win2000, XP und Vista befinden sich diese unter C:\Dokumente und Einstellungen\Benutzername\ und dann siehst Du schon die Unterordner…

  20. Hallo, der Trojaner scheint auch die Dateien in RegBack befallen zu haben. Wie kann ich jetzt die Registery zurücksetzen?

    • Durch eine Neuinstallation…

      Aufmerksam lesen:

      http://malte-wetz.de/wiki/pmwiki.php/De/De

      • Daniel Weihmann | 20. Februar 2013 um 16:02 | Antworten

        Spitzen Linktipp! Die Seite muss ich in einem künftigen Artikel unbedingt prominent weiter empfehlen.

        Ist sehr ausführlich und ich bin auch noch nicht durch mit dem Lesen. Aber ist aus meiner Sicht alles drin, was man über Schädlinge wissen sollte.

        Nur leider liest das halt niemand vorher …

        • Der Artikel von Malte Wetz bezieht sich übrigens auf ein Essay aus dem Technet von Microsoft, ist also schon eine seriöse Quelle. Auch dort kann ich Dir zB diesen Artikel empfehlen:

          „Neubetrachtung der 10 unveränderlichen Gesetze zur Sicherheit“

          Teil 1:
          http://technet.microsoft.com/de-de/magazine/2008.10.securitywatch.aspx

          Teil2:
          http://technet.microsoft.com/de-de/magazine/2008.11.securitywatch.aspx

          Lass Dich nicht vom Datum abschrecken…es hat sich an den Grundprinzipien bis heute nichts geändert… ;-)

  21. Habe die Schritte mit der Boot-CD durchgeführt (heruntergeladen, extrahiert, gebrannt, und von der cd gestartet), und dann die Dateien im config umbenannt (beim 2.Mal sogar gelöscht) und aus dem Regback die alten Dateien reinkopiert. Habe noch die Säuberung bestmöglich gemacht, jedoch konnte ich die eigentliche .exe Datei nicht finden. Beim Neustart (Windows normal starten) jedoch wieder der weisse Bildschirm. Was kann ich noch tun?!

    • Daniel Weihmann | 20. Februar 2013 um 15:56 | Antworten

      Hast du einen Blick in die hier genannten „Verstecke“ geworfen: https://www.redirect301.de/gvu-trojaner-entfernen-2013.html#loeschen

      Klingt ja als würde noch etwas im Autostart hängen geblieben sein …

      • Bei mir sind alle Ordnernamen, etc auf englisch und im Verzeichnis ist der Beginn der Pfade nicht Windows\Benutzer… , sondern der Pfad beginnt gleich mit User\… dann sind die Pfade gleich. Ist das der gleiche Pfad?
        Ist Autostart=startup? In den 4 Orten habe ich alle Dateien gelöscht, bis auf Desktop.ini welche noch dort ist.

  22. Jürgen Handrack | 20. Februar 2013 um 20:58 | Antworten

    danke für die frei zugänglichen Informationen. sie haben mir geholfen den Virus zu entfernen.
    mfg jhandrack

  23. Vielen Dank für die ausführliche Anleitung.

    Ich habe alle Schritte ausgeführt wie beschrieben. Leider startet Windows seitdem nicht mehr, sondern macht immer wieder einen automatischen Neustart direkt nach dem Windows-Ladebalken. Auch der Abgesicherte Modus startet nicht und die Windows-Start-Reparatur bringt keine Besserung.

    Ich könnte jetzt wahrscheinlich noch Stunden um Stunden damit verbringen, das wieder in Ordnung zu bringen, aber da ich Windows ja sowieso neu aufsetzen muss, kann ich mir das doch ersparen, oder?

    Also, meine Frage: Kann ich Windows neu aufsetzen, ohne vorher auf dem „alten“ System einen kompletten Virenscan durchzuführen?
    Und würde es evtl. reichen, das System auf Werkseinstellungen zurückzusetzen?

    Vielen Dank

    • Das hängt davon ab, welche Art der Systemwiederherstellung der Anbieter Deines Rechners vorsieht. Ein komplettes Zurücksetzen in den Auslieferungszustand beinhaltet auch in der Regel eine Löschung aller auf dem System vorhandenen Dateien und wäre ausreichend. Manche Anbieter bieten aber auch den Erhalt persönlicher Daten an, was wiederum nicht so gut wäre. Daher die Optionen zur Wiederherstellung gut durchlesen!

  24. Besten Dank für die ausführlichen Videos. Hat alles funktioniert bis zum Erstellen Des USB-Sticks. Beim booten ist die Sache aber zu Ende. Der Bootvorgang Endet bei
    „Searching for PMAGIC_2012_10_10.SQFS….“

    • Es gibt eine Änderung bei der Erstellung des Bootsticks mit Hirens-CD 15.2, die wohl noch nicht in allen Anleitungen erwähnt wird…ich habe bis jetzt auch nur englische Anleitungen dafür gefunden. Alternativ empfehle ich aber auch das hier:

      http://bootsticks.de.to/

      (Hirens Boot-CD 15.2 ist mit enthalten)

  25. Danke für die Infos und die Hirens-Boot CD. Die Videos sind sehr gut und verständlich. Leider komme ich bei mir nicht an die beiden beschriebenen Autostartordner ran. Habe Win7 und gelange jeweils nur bis zu den Ordnern Progamme. Diese lassen sich nicht öffnen! Die Attribute der Ordner lassen sich leider nicht entfernen!

  26. Hallo,

    bei Erstellen eines bootbareb USB-Stick erhalte ich die Fehlermeldung dass kein MBR gefunden wurde. Weiter verstehe ich die Beschreibung mit der autorun.inf nicht. Könntest Du mir das mir nochmals schreiben?

    Danke!

  27. Hallo,

    hier noch eine andere Methode, um den BKA- oder GVU-Trojaner loszuwerden. Klappte bei mir einwandfrei:

    Festplatte aus dem infizierten Rechner ausbauen und über ein Adapterkabel (bei mir: Notebookfestplatte mit SATA-USB-Kabel) an einen nicht infizierten und mit einem aktuellen Virenschutz (Kaspersky, AntiVir etc.) ausgestatteten Rechner als externe Festplatte anschließen.

    Dann die Platte mit dem Virenschutz scannen und bereinigen lassen.

    Ergebnis nach dem Einbau in den bisherigen Rechner: Trojaner weg und die Rechnerkontrolle liegt wieder bei Euch!!

    • Das mag bei Dir „geklappt“ haben, ist aber bei der Vielzahl dieser Ukash-Varianten auf keinen Fall allgemeingültig. Ausserdem wird bei dieser Methode auch längst nicht alles entfernt. Es könnte also gut sein, dass bei Dir in der Registry z.B. noch brav eine Backdoor eifrig Daten sendet ;-)

  28. hallo. bin totaler Computeranfänger und habe mir auch diesen Virus eingefangen. Habe Windows 8 installiert und wenn ich hochfahre kommt ein weisser bildschirm.

    kann mir jemand auch bei windows 8 helfen???

    danke

  29. Hallo
    Besten Dank für die Anleitung.
    Nur wie bringe ich die CD zum laufen wenn ich den PC starte?
    Habe im BIOS die Startreihenfolge auf CD gewechselt aber es geht trotzdem nicht

    • Daniel Weihmann | 2. März 2013 um 17:00 | Antworten

      Hast du die CD als bootfähige CD gebrannt? Mit dem mitgelieferten Brenn-Programm beim Download der Hiresdaten kann man eigentlich nicht viel falsch machen.

  30. Hallo, eure Vorgehensweise ist suuuper sowohl auch das eliminieren der Verursacher. Bei meiner Tochter tut sich allerdings ein neues anderes Problem auf, dass ich einfach nicht lösen kann. Wenn mann in einem Browser etwas sucht und entsprechende Ergebnisse erhält, setzten sich nach ca. 3 Sek. andere Einträge an die oberen 3 Stellen. Jedesmal wenn etwas gesucht wird! drücken sich 3 Einträge oben an. Ich habe ettliche Malware usw. drüber laufen lassen, aber es kommt immer wieder.
    Habt ihr eine Lösung?
    Vielen Dank im voraus

    • „Eliminieren“??? :-O

      Malware kann man nicht eliminieren: Das nach der „Entfernung“ des Schädlings unweigerlich eine Neuinstallation des Systems vonnöten ist, wurde ja im Artikel bereits erwähnt…die Symptome Deines Systems legen den Schluss nahe, dass es auch bei Dir an der Zeit ist, darüber ernsthaft nachzudenken.

    • Daniel Weihmann | 5. März 2013 um 16:21 | Antworten

      Kannst du davon mal einen Screenshot (oder besser 2) machen und mir per E-Mail schicken?

  31. Hallo an alle,

    ich finde das ist eine Superanleitung.
    Ich habe alles nach Anleitung gemacht. Allerdings habe ich die Dateien in ein Ordner c:\temp\xxx verschoben.
    HABE ICH DAS FALSCH GEMACHT?
    Nach neustart von dem betroffenen userkonto zeigt sich gvu-trojaner wieder, schade.
    Es hat aber trotzdem Spaß gemacht.
    Ich werde jetzt das System neu aufsetzen.
    Grüße Henryk

  32. Daaanke danke für diese gute Anleitung.

    Das war die erste die wirklich zu helfen scheint, weil bei mir auch der abgesicherte Modus und der Taskmanager nicht mehr aufzurufen waren.

    Ich habe mein Win 7 über den USB gebootet, weil ich nur noch ein funktionsfähiges netbook hatte, das den job erledigen kann.

    Jetzt hab ich mini win XP gestartet und bisher läuft alles wie beschrieben.

    Nur habe ich eine Frage:

    Ich habe mehrere System-dateien im config. Soll ich nur die normalen Dateinamen umbenennen, welche nicht blass erscheinen?
    Die normalen sind ja ohne Endung, die blassen haben Endungen wie Log1, Log2, regtrans-ms.

    Was kann ich tun?

    hab nen acer 5742G mit win 7

  33. Hätte ich nicht gedacht, hat alles beim ersten mal geklappt, auch wenn es in englisch war und ich es mit der erweiterten 15.2- version gemacht habe. vielen dank dafür!!

  34. Hallo miteinander, habe mir gestern auch den gvu eingefangen…..hab mir bootcd erstellt gemäss der anleitung (anleitung eig ganz gut jedoch die meisten links zum downloaden waren net besonders entweder wollten die chrome oder.ilivid..oder..oder oder…will aber net meckern ;-) ..hab auf jedenfal die cd geschaft…jz wollte starten und bootfolge im bios verstellen..habs aber weder mit del noch mit f2 es hinbekommen..aufjedenfall startete windows (Vista)..und zu meinem erstaunen ganz normal…bin dann über anderen benutzer rein…auf dem desktop waren 2 neue dateien : 9945xxx.js (ca. 3kb) und die gleiche mit endung .pad(90Mb)….hab dann in den ordner config/regback reingeschaut und vor meinen augen wurden aber die dateien system,software, security, components,default,sam überschrieben/aktualisiert (dummerweise war das um 0:00 vlt hat vista datensicherung durchgeführt oder es war TR) …jz die frage kann ich die o.g dateien durch die dateien mit endung .old ersetzen…sind die einzigen die vom änderungs datum sicher sein könnten??…

  35. und was ist mit versteckten dateien mit der endung LOG1…die liegen auch nur mit neuerem änderungsdatum vor .?..die ältere sind von 2009 und haben grösse 0 kb.??

    • Da Du ja Zugriff auf Dein System hast, solltest Du Dich lieber nur mit der Sicherung Deiner wichtigsten Daten befassen und keine weiteren unsinnigen Wiederherstellungsversuche starten. Ein kompromittiertes System ist NICHT mehr vertrauenswürdig und sollte, wie auch oben in der Anleitung beschrieben, zeitnah NEU aufgesetzt werden. (!!!)

      „System zeitnah neu aufsetzen!

      Alex Ken weist am Ende des Videos nochmals darauf hin, dass der Rechner neu aufgesetzt werden muss und lediglich Sicherungsarbeiten nun durchgeführt werden sollten. Wie schon beschrieben, kann sich noch alles mögliche auf dem Computer befinden, auch wenn er jetzt wieder wie vor dem Trojaner-Befall anfühlt. Nach der Neuinstallation heißt es, den Computer besser vor Angriffen aus dem Internet zu schützen.“

  36. hi, ich weiß zwar nicht mehr wie ich auf die website gelangt bin, aber irgendwie versteh ich hier nur bahnhof.

    mein erstes problem, wie bekommt man diesen trojaner?

    mein zweites problem, was verstehen die leute nicht an dem geschriebenen? es muss noch nicht mal hirens boot cd sein, ladet euch nen live linux runter für stick oder pc und sichert eure daten.

    denn, der pc dem ihr so fröhnt, der MUSS neu aufgesetzt werden, bzw spart das ne menge zeit und eventuell auch ärger.

    aber das steht da doch alles schon, *grummel*.

    • Daniel Weihmann | 10. März 2013 um 21:04 | Antworten

      Den Trojaner fängt man sich auf einer praktisch beliebigen Webseite ein. Einfach so … (mehr oder weniger). Zuletzt gab es diesen Trojaner auch per E-Mail mit einer vermeintlichen Groupon-Rechnung.

      Ja, mit irgendeiner Live-CD kann man die hier beschriebene Anleitung natürlich auch durchführen.

    • Genau genommen IST Hirens Boot CD eine Live-CD mit mehreren Betriebssystemen, incl. Mini-XP und Linux ;-)

  37. Hey, toller Blog!

    Wir suchen gerade Blogger, die unseren neuen Blog-Bereich bei SachNix zum Leben erwecken, vielleicht hast du ja Interesse!?
    Wir würden uns freuen!

    lg

    locke

  38. Ich habe mir auch den Virus eingefangen, aber als ich booten wollte, wechselt der PC ein paar Minuten lang zwischen einem Whitescreen und meinem Hintergrundbild hin und her. Ich habe es mit CD und USB versucht, beides ging nicht. Ich benutze einen Windows 7 Laptop. Entweder habe ich mir eine noch neuere Version eingefangen oder ich mache etwas falsch. Bitte um Hilfe.

  39. Gestern abend hat er mich erwischt. Was mich aber etwas irritiert, ist: Ich habe den Rechner ganz normal neu gestartet, und noch ehe der Trojaner den Desktop wieder zumachen konnte, habe ich ganz schnell ein neues Benutzerkonto (mit adminrechten) eröffnet. Dann hab ich den Rechner wieder gestartet und bin aber in das neue Konto gegangen. Von dort aus hab ich alle Dateien aus dem alten Konto (Ich hatte alle Dateien auf dem Desktop abgelegt) kopiert und auf den Desktop des neuen geschoben. Und dann hab ich das alte Konto gelöscht. Seitdem arbeitet der Rechner ganz normal. Seitdem durchforste ich meinen Rechner mit allen möglichen Anti-Anti-Anti-Programmen, kann aber nix finden. … Irgendwie war mir das zu einfach. Wo kann er denn noch stecken??

  40. Hallo, erstmal danke für die Anleitung.. Nur leider hab ich da fast das selbe Problem wie „Hellview“. Virus da, Stick nach Anleitung vorbereitet, ins Net-Book aber das Menü wo Windows XP aufrufen sollte gibts leider nicht, bzw es gibt nur ein anderes Menü in dem nichts der gleichen auftaucht..Hat jemand einen Tipp/Trick?

  41. Hi, bin froh, nach langem suchen auf die ausführliche Anleitung gestoßen zu sein!!!!
    Habe mit meinem Win XP Laptop alles befolgt; beim Neustart kommt nun während des hochfahrens folgende Fehlermeldung:
    Isaas.exe Systemfehler…Kennwort kann nicht zugeordnet werden (od so ähnlich).. nach 3 sekunden fährt er wieder runter und das Spiel beginnt von neuem in Endlosschleife ;-( und nun?

    • Heisst die Datei wirklich „lsaas.exe“? Dann ist das vermutlich ein Virus. Die Originaldatei heisst „lsass.exe“

  42. Vielen Dank für diese Anleitung hat mir sehr geholfen …

    Gruß

    Andreas

  43. Hallo
    Danke für die Anleitung.
    Hab die GVU wegbekommen
    nur hab da noch eine Frage:
    beim Download hiren´s bcd kam immer ne
    warnung von antivir
    habs 3 mal versucht,von verschiedenen Seiten, und es wurde immer bei ca 290 mb abgebrochen
    da hab ich auf ignorieren geklickt und die Bcd wurde voll geladen
    Nochmals Danke

    • Hiren’s bringt eine Reihe Tools mit, die nichts mit dieser Anleitung zu tun haben, sondern mit denen sich Sicherheitslücken aufspüren, Netzwerkverkehr abhören und sonst noch „komisches“ Zeug angestellt werden kann. Gut möglich, dass etwas davon dein Antivirus als „kritisch“ angesehen hat.

      Ist mir noch nicht begegnet dieses Problem …

      • Du hast vermutlich in der Konfiguration von Avira „Alle Archive scannen“ aktiviert. Das ISO-Format wird auch als Archiv angesehen und somit von Avira gescannt. Lass diese Option lieber in der Grundeinstellung.

  44. hey habe folgendes Problem: wenn ich auf Burn CDCC klicke, dann kommt ein Fenster, wo ich auf ‚Ausführen‘ klicken muss. Dann öffnet sich das Fenster wie auf dem Video, aber davor stehtin einemanderen Fenster: “unable to find or allocate a writable CD/DVD device. Was genau heißt es und was muss ich tun? *Habe kaum Ahnung von Laptops oder PCs..

    • Tipp: Auf google.de gibt es einen Übersetzer, wenn man einer Fremdsprache nicht mächtig ist. ;-)

      Die Meldung besagt einfach, dass Du wohl keinen CD/DVD-Brenner im System hast…

  45. Habe Hiren Iso auf USB Stick. Will ich im BIOS den USB-Stick als boot auswaehlen, zeigt er mir alle Devices in eckigen klammern, als enabled an. Ich kann den usb also nicht als boot auswaehlen. was kann ich tun? Vielen Dank fuer hilfe!!

    • Das BIOS eines jeden Herstellers unterscheidet sich von anderen. Um da helfen zu können, müsste man erst mal wissen, was Du für ein Mainboard hast…der Name des Herstellers allein reicht allerdings nicht ;-)

  46. Hallo, hatte auch den „neuen“ GVU. Hatte es zuerst mit den alten mitteln versucht bis hin zu einer Systemwiederherstellung. Leider ohne erfolg. Danach habe ich den Artikel hier gesehen und mir selber mal gedanken gemacht.
    Habe einen weg gefunden wie der PC in dem Zustand vor dem Virus war. Ich kann nicht sagen ob eseinallheilmittel ist und sicher garantiere ich keine 100% usw.
    Ich habe den XP-Rechner mit und einer Knoppix Stick hoch gefahren (denke andere Hirens oder Kaspersky).
    Habe auch gleich eine verdächtige Datei imBenutzerordner gefunden. Eine Dll (7246660.dll). Diese verschoben. eine Datei mit dem gleichen Namen an der stelle erstellt dieleer ist. Danach mit den Eigenschaften die Datei Schreibgeschützt gemacht.
    PC gestartet und siehe da einen Fehler die Dll wäre nicht ausführbar.
    Im Autostart habe ich dann die Verknüpfung zu der Datei mit dem Namen „runctf“ gefunden.
    Der Link zeigte auf: „C:\WINDOWS\system32\rundll32.exe C:\DOKUME~1\ADMINI~1\7246660.dll,M1N1“
    Anschließend habe ich Combofix laufen lassen und Wiederherstellungspunkte gelöscht.

    • Hallo matrix4you ,
      „hatte auch den “neuen” GVU.“
      Welchen denn ??
      -> https://www.botnets.fr/index.php?title=Reveton&setlang=en#2012.2F12

      Die klauen die Passwörter usw.. :-(

      Tschau

  47. Hallo mein problem ich finde wie in der Beschreibung den Unterordner Regback nicht mein system XP.

    • Hi,

      ich habe das gleiche Problem, ich finde unter WinXP den Unterordner Regback nicht.
      Wer kann bitte helfen?

      Gruß Hicki

  48. Hallo,
    erst mal vielen Dank für die Anleitung. Habe auch alles so gemacht, nur ist das Problem aufgetreten, dass ich in der Config Datei die System und Software Dateien nicht umbenennen kann. Ich bekomme ständig die Meldung, dass diese Dateien verwendet werden und deshalb nicht umbenannt werden können.
    Danke für die Hilfe und frohe Ostern!

2 Trackbacks & Pingbacks

  1. GVU-Trojaner im Domänennetzwerk
  2. GVU & Bundestrojaner

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.