Beitrag wurde zuletzt am aktualisiert

Anleitung: GVU-Trojaner entfernen

GVU Trojaner 2013GVU Trojaner 2013

Im August 2011 hatte ich das erste Mal Kontakt mit dem für mich damals unbekannten Bundespolizei Trojaner. Im Anschluss begegnete mir dieser Virus – der auch als GEMA-, UKASH- und BKA-Trojaner oder in einer aktuellen Variante auch als BSI-Trojaner bekannte Ransomware – noch ein paar mal im Bekanntenkreis.

Der Virus taucht(e) immer wieder mit der selben Masche auf: Der PC ist plötzlich gesperrt und die Betroffenen werden mit diversen Anschuldigungen von offiziell erscheinenden Behörden unter Druck gesetzt, eine bestimmte Summe per Ukash oder einem anderen Bezahlverfahren zu überweisen. Dass diese Meldung natürlich nicht wirklich vom Bundeskriminalamt oder der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen stammt, sollte eigentlich jedem klar sein. Dennoch scheinen die Hacker auch im Jahr 2013 noch einen Menge Geld hierbei zu „verdienen“.

Seit dieser Zeit hat sich dieser Schädling mehrfach „verbessert“ und von Monat zu Monat erschwerten die Viren-Programmierer die Bekämpfung der Schadsoftware.

Auch für den GVU-Trojaner 2013 gilt: Auf keinen Fall zahlen, das ändert nichts am Problem mit dem Virus

In den Kommentaren, auf anderen Webseiten die sich mit dem Problem befassen oder bei Anfragen via Facebook und Telefon, merkte ich immer öfter, dass die damals funktionierenden Schritte (natürlich) kaum noch zum Erfolg führten. Nun möchte ich aber nicht selbst einfach ein paar Tipps, die mir durch Hörensagen zugetragen wurden in diesem Beitrag veröffentlichen, sondern auf eine hilfreiche Publikationen im WWW eingehen.

Alex Ken hat eine hervorragende Video-Anleitung bei Youtube eingestellt, in der er die Vorgehensweise für eine Entfernung der aktuellen Variante vom GVU Trojaner schrittweise erklärt.
Er nennt in den Videos ein paar Links und Windows-Verzeichnisse, auf die ich in diesem Artikel nochmals verweisen möchte. Da es unzählige verschiedene Rechner- und Hardware-Kombinationen gibt, kann mit dieser Hilfe möglicherweise nicht jedem geholfen werden. So weit es mir möglich ist, antworte ich gern auf Fragen in den Kommentaren (bitte verzichtet auf eine telefonische Kontaktaufnahme). Aber auch auf Youtube hat Alex bereits erste Antworten auf Anfragen gegeben.

Teil 1 – Video GVU Trojaner entfernen

Teil 2 – Video GVU Trojaner entfernen

  1. Er rät dringend von der Systemwiederherstellung ab, da die Hacker den Virus so umprogrammiert haben, dass jetzt auch die wiederhergestellte Windows-Version umgehend befallen wird und eine Systembereinigung um ein Vielfaches schwieriger wird.
  2. Die in dem Video vorgestellte und auch funktionierende Wiederherstellung des Systems dient dazu, wieder Zugriff auf die eigenen Daten (Dokumente, Bilder, E-Mails, Favoriten etc.) zu erlangen, um sie zu sichern. Zum Beispiel auf einen anderen Rechner, USB-Stick, DVD und so weiter.
  3. Sein ernstzunehmender Rat ist, den Rechner anschließend so schnell wie möglich neu aufzusetzen, da mit sehr großer Wahrscheinlichkeit davon ausgegangen werden kann, dass die Viren-Entwickler weitere ungebetenen Gäste mit auf den Computer untergebracht haben.Neben dem GVU-Trojaner selbst können unerkannt und erst einmal völlig unauffällig weitere Schadprogramme installiert wurden sein. So könnte der eigene PC als Teil eines Bot-Netzwerkes, der irgendwann aus der Ferne gesteuert wird, für Angriffe auf Webserver oder Webseiten genutzt werden. Tastatureingaben, Passwörter, Onlinebanking-PINs oder E-Mails könnten mitgeschnitten und an die Angreifer gesendet werden. Das sind winzige Datenmengen, die aber in falschen Händen zu einer Menge Ärger oder finanziellen Verlusten führen können und mit Sicherheit führen.

Ergänzungen zu GVU- und BKA-Trojaner entfernen 2013

Da eine ganze Reihe Fragen zu den ersten beiden Videos eingegangen sind, hat Alex Ken nochmals eine Ergänzung zu den ersten beiden Videos bei Youtube eingestellt.

Was wird für die Bereinigung benötigt?

Ihr benötigt einen zweiten, virenfreien Rechner mit Internetzugang und CD-Brenner bzw. ein mindestens 512 Megabyte großer USB-Stick.
Die kostenlose Software Hiren’s BootCD (Download-Größe der fast fast 600 Megabyte zip-Datei im unteren Bereich der verlinkten Webseite). Die CD wie auch die darauf befindlichen Programme sind Freeware. Nach dem Entpacken kann mit dem beigefügten Brennprogramm BurnCDCC.exe die Hiren’sBootCD.15.1.iso auch direkt gebrannt werden.

Wer nicht von einer CD, sondern lieber von einem USB-Stick booten möchte, findet auch hierzu eine entsprechende Lösung unter hirensbootcd.org.

Im nächsten Schritt von der erstellte CD oder dem USB-Stick den infizierten Rechner booten, wofür möglicherweise die Boot-Reihefolge im BIOS geändert werden muss.

Hiren's BootCD 15.2 Startmenü

Hiren’s BootCD 15.2 Startmenü

Die Windows-Registry austauschen

Im nächsten Schritt wird per Windows-Explorer die komplette Registry ausgetauscht.

Die Registry findet ihr (vermutlich) unter D:\Windows\System32\config. Dort nach Änderungsdatum sortieren und nach den geänderten Dateien software und system (ggf. auch weitere) Ausschau halten, die am Tag des Viren-Befalls geändert wurden. Diese Dateien umbenennen. In den Unterordner Regback, zu den Sicherungs-Dateien der Registry, wechseln und die gesicherten Dateien software und system in das Registry-Verzeichnis kopieren.

Jetzt ist die Registry wieder bereinigt und auf dem Stand der letzten Sicherung – also vor dem Befall durch den Trojaner.

Mögliche Trojaner-Dateien entfernen

In weiteren Schritten gilt es Verzeichnisse-Inhalte zu löschen, in denen sich Teile des GVU-Trojaners oder Sicherungskopien der Schadsoftware gern einnisten. Alex Ken nennt die folgenden Verzeichnisse in seinem Video:

  • Windows > Benutzer > Name > AppData > Local > Temp (Name durch den Benutzernamen ersetzen)
  • Windows > Benutzer > Name > AppData > Roaming > Microsoft > Windows > Startmenü > Programme > Autostart (Name durch den Benutzernamen ersetzen)
  • Windows > ProgramData > Microsoft > Windows > Startmenü > Programme > Autostart
  • Windows > ProgramData > Temp

Außerdem unter Windows > ProgramData nach Ordnern Ausschau halten, die am Tag des Viren-Befalls geändert wurden und ggf. umbenennen.

Neustart des PCs & umgehend Malware-/ Viren-Scan durchführen

Jetzt den Rechner neu starten und Daumen drücken, dass man sich nicht eine erneut „verbesserte“ Version der Ransomware – wie der GVU-Trojaner oder BKA-Trojaner richtig genannt werden müsste – eingefangen hatte.

Ist der PC wieder normal gestartet dann sofort einen vollständigen Virenscan (kostenfreie Virenscanner wie Kaspersky, Avira, Eset, BitDefender usw. mit einer aktuellen Viren-Datenbank helfen sicherlich im ersten Schritt) durchführen. Des weiteren einen Scan mit Malwarebytes (gibt es auch erst einmal kostenfrei direkt beim Hersteller) durchführen.

Zeigen die beiden Scans irgendwelche Funde, so sind diese zu löschen und ihr seid den Trojaner los!

System zeitnah neu aufsetzen!

Alex Ken weist am Ende des Videos nochmals darauf hin, dass der Rechner neu aufgesetzt werden muss und lediglich Sicherungsarbeiten nun durchgeführt werden sollten. Wie schon beschrieben, kann sich noch alles mögliche auf dem Computer befinden, auch wenn er jetzt wieder wie vor dem Trojaner-Befall anfühlt. Nach der Neuinstallation heißt es, den Computer besser vor Angriffen aus dem Internet zu schützen.

Ein weiterer wichtiger Hinweis im Video: Auf keinen Fall die letzte Sitzung des Browsers zulassen. Auch keine Zugangsdaten irgendwo eingeben … Sichert in Ruhe eure Daten und lasst am besten die Internetverbindung unterbrochen (zieht das Netzwerkkabel heraus).

Wer sich unsicher ist, sollte immer einen Fachmann zu Rate ziehen. Ich selbst habe mit dieser Systemwiederherstellung bisher keine Erfahrung machen dürfen bzw. müssen. Alle hier genannten Informationen stammen aus den beiden GVU Trojaner Videos von Alex Ken auf Youtube, der auch in später erstellten Videos einen gibt. Ich und er hoffen, dass ein paar Leuten mit dieser Anleitung geholfen werden kann.


102 Kommentare zu "Anleitung: GVU-Trojaner entfernen"

  1. anderer Carsten :-) | 13. Mai 2013 um 13:46 | Antworten

    Hi. Schonmal vielen Dank für das super Video. Ich habe die Sache jetzt schon 2 x durchgeführt und die Anleitung wirklich genau beachtet. Leider kommt nach dem neustart wieder der GVU Bildschirm. Nur jetzt mit einem neuen Foto von mir, was durch meine integrierte Webcam von mir gemacht wird ( echt verrückt!!). Ich habe alle Ordner geleert… Gibt es denn noch eine andere Möglichkeit, wo der Trojaner versteckt sein könnte? Vielen Dank für Eure Hilfe

    • Es gibt ja nicht nur einen BKA/GVU/GEMA/XYZ-Trojaner, sondern mittlerweile eine ganze Armada und jede dieser Varianten erfordert eine „Spezialbehandlung“. Es gibt nicht „die eine“ Lösung, die für jeden dieser Schädling gilt und eine Garantie, dass nach der „Bereinigung“ das System wirklich restfrei sauber ist, gibt es auch nicht. Deswegen auch der wichtige Hinweis am Ende dieses Artikels:

      „System zeitnah neu aufsetzen!“

    • Auch an dich der Hinweis auf folgende Methode: https://www.redirect301.de/bka-trojaner-automatisch-entfernen.html

      Ich konnte es selbst noch nicht ausprobieren, klingt aber vielversprechend und ist augenscheinlich um einiges einfacher …

  2. anderer Carsten :-) | 14. Mai 2013 um 08:22 | Antworten

    Hallo Vielen Dank. Ich habe es nun auch hinbekommen mit der Kaperski Rescue Disc. Diese gibt es als Freeware zum Download. Nun funktioniert mein Rechner wieder und ich kann ihn in Ruhe neu aufsetzen.

  3. Hallo
    auch hier alles verseucht und vervir(r)t…
    Ich habe mir die Videos und deine schriftlichen Erklärungen genau angeschaut und wollte frohen Mutes zur Tat schreiten. Ich habe die CD auf einem anderen Laptop gebrannt, die Reihenfolge in meinem Laptop geändert, CD rein (bzw schon vorher rein) und dann gehts nicht weiter. Bzw der pc startet normal (mit passworteingabe usw) einmal leuchtet mein Desktophintergrund auf, dann kommt das GVU Bild. Ich gelange nicht an dem Punkt der bei Video 1 bei 08.58min gezeigt wird. Sprich ich kann dieses mini windows ding gar nicht erst auswählen um weiter z umachen. Was hab ich falsch gemacht? CD falsch gebrannt? (habs im anderen laptop kontrolliert, ist alles drauf. Allerdings heißen die dateien da nicht .exe wie im Video und der Ordner auch nicht ISO)
    Brauche hier wirklich dringend Hilfe und einfache Erklärungen (bin da nicht ganz so versiert ;-) )
    vielen dank schonmal

    • Du hast beim Brennen vermutlich etwas falsch gemacht. Hast Du die Funktion „Image brennen“ benutzt?
      Du musst eine ISO-Datei haben. Bitte konfiguriere Dein System so, das kein anderes Programm als das Brennprogramm ISO-Dateien öffnet. Wenn WinRAR oder ein anderes Packprogramm diese Datei öffnet und entpackt, ist es schon grundverkehrt

  4. vielen Dank erstmal für die fixe Antwort. Ich habe es währenddessen mit dem Hitman Pro Kickstart versucht. Scheint viel einfacher zu sein, funktioniert aber leider irgendwie nicht.
    Zum Brennen: ich muss ehrlich zugeben, dass ich deine Beschreibung nicht verstanden hab. Ich lade die Cd runter, dann ist sie bei „Downloads“ . Dort ist auch lles aufgelistet, aber selbst da steht nichts von exe und iso. Dann kann ich auf „extrahieren“ klicken und hab das ganze auf dem Pc. Trotzdem kein exe und co. Ich habe meine CD mit dem in der Datei enthaltenen Brennprogramm gebrannt.
    So weit dazu… Und was soll ich nun wie konfigurieren?? Ich habe wirklich keine Ahnung hiervon. Also tatsächlich null. ^^

    • Kann es sein, dass Du im Explorer keine Dateiendungen sehen kannst? Das solltest Du in den Ordneroptionen umstellen…auch in Zukunft. So lassen sich auch schneller Schädlinge entlarven; besonders bei Mailanhängen.

      Das der Hitman Pro nicht allzu zuverlässig arbeitet, hatte ich ja weiter oben schon geschrieben.

      In der Hirens BootCD-zip-Datei sind folgende Dateien vorhanden:

      – BurnCDCC.exe
      – HBCDCustomizer.exe
      – BurnToCD.cmd
      – Hiren’s.BootCD.15.2.iso
      – changes.txt
      – HBCD.txt
      – DefaultKeyboardPatch.zip

      So solltest Du die Dateien im Explorer auch sehen.

      Eine ISO-Datei ist ein fertiges Abbild einer CD/DVD, das mit der Funktion „Image brennen“ oder „Abbild brennen“ im Brennprogramm, oder auch direkt aus Windows 7 heraus per Rechtsklick als CD/DVD gebrannt werden kann

      Das Tastaturlayout der CD ist im Normalfall Englisch, nicht Deutsch. Das heisst, manche Zeichen sind woanders, als auf einer deutschen Tastatur. Das kann man auf Wunsch mit dem Inhalt von „DefaultKeyboardPatch.zip“ ändern, oder aber man kommt mit dem englischen Layout zurecht.

      Wenn der PC danach, trotz Auswahl der CD als Startmedium, immer noch nicht von CD starten will, hast Du irgendwas in der Anleitung noch nicht richtig umgesetzt

  5. hilfe bitte!!! habs auch ausprobiert und kam bis miniwindows aber dann nicht auf MEINE festplatte zum löschen usw . was hab ich wieder falsch gemacht ???
    ps: diesr hitman geht auch nicht

    • Rätselraten macht Spass…bringt einen aber nicht weiter bei der Problemlösung.
      Bitte nehmt Abstand von dem Gedanken, dass man als Helfer in der Not automatisch auch hellseherische Fähigkeiten hat… ;-)

      – Welches Betriebssystem hast Du?
      – Was genau hast Du probiert?

      • danke erstmal für die gedult und mühe.also:ichhabe mir die videos angeschaut(auchverstanden), dann die bootcd erstellt und eingeleg, über f12 miniwindows hochgeladen(selber windows7), JETZT wirds blöd weil ich nicht an die dateien komme wie im video beschrieben,bin glaube ich nur auf einem komplett seperaten betriebssys???

        habe mir auch einen bootusbstick über hitman gemacht,der mich gar nicht erst reinläst und wie immer abstürtzt (sehe für ne sec sogar hitman software kann aber nicht ran,auch nicht über punkte 1 2 3 )
        BITTE HILFE
        was mir noch einfällt mit irgenteiner norton softwre und dann dateien rauslöschen hat es damals super geklappt

  6. danke erstmal für die gedult und mühe.also:ichhabe mir die videos angeschaut(auchverstanden), dann die bootcd erstellt und eingeleg, über f12 miniwindows hochgeladen(selber windows7), JETZT wirds blöd weil ich nicht an die dateien komme wie im video beschrieben,bin glaube ich nur auf einem komplett seperaten betriebssys???

    habe mir auch einen bootusbstick über hitman gemacht,der mich gar nicht erst reinläst und wie immer abstürtzt (sehe für ne sec sogar hitman software kann aber nicht ran,auch nicht über punkte 1 2 3 )
    BITTE HILFE
    was mir noch einfällt mit irgenteiner norton softwre und dann dateien rauslöschen hat es damals super geklappt

    • Mit dem Mini-XP kommst Du auf jeden Fall an Deine Daten. Beschreibe doch mal kurz, was Du nun genau gemacht hast und was Du weiterhin machen willst?

      Der Plan sollte sein: Rette Deine Daten und installiere anschliessend Windows neu…wie auch im Text beschrieben.

      Versuche erst gar nicht, wieder ein lauffähiges System herzustellen…Du kannst nie 100% sicher sein, die Kompromittierung des Systems weg bekommen zu haben. Eine Infektion besteht aus mehr, als nur ein paar zu löschenden Dateien. (!)

      • also:hört sich vielleicht blöd an aber was ich machen will ist das ding retten (risiko zweitrangig).der pc kommt danach niewieder ans netz.bin halt anwender von zahllosen pros die ich nicht ohne weiteres wiederbekomme.
        ausserdem habe ich nur noch eine WINDOWS8 32-bit cd ???(kann man damit was anfangen oder ist das nur ein upgrade von w7)
        ZUM PROBLEM:1.kommt bei mir die option mini windows7 nicht.
        2.d: ist bei mir das externe usbcd laufw.
        3.ganz oben wenn ich über win expl. reingehe erscheint einBLAUES B:ramdrive(X:mini xp, unten gibts noch other:control panel)
        4.kein c:
        5. über all user etc komm ich auch nicht an MEINE daten(weder über win expl., filemanager oder my computer )liegt vielleicht auch an mir glaub ich aber nicht.
        also so weit so gut .ich hoffe das du den text verstehst und mir helfen kannst DANKE NOCHMAL
        alex

        • Das Du trotzdem ein Risiko für alle anderen bleibst, falls mal jemand einen USB-Stick bei Dir anschliesst oper Du Daten von Deinem Rechner weiter gibst, ist Dir auch klar?

          Dass die Option „Mini-Windows 7“ nicht kommt, liegt daran, dass es das gar nicht gibt. Es gibt nur ein Mini-XP…

          Warum sollte die Partition zerschossen sein? Hast Du den Rechner vielleicht ab und zu einfach „brutal“ abgeschaltet?

          Dann kannst Du immer noch versuchen, mit „Testdisk“ von Hirens BootCD diese Partition wieder herzustellen.

          Wie man mit Testdisk umgeht, kannst Du hier nachlesen:

          http://www.cgsecurity.org/wiki/Schritt_f%C3%BCr_Schritt_Wiederherstellungsbeispiel

          Allerdings wirst Du Testdisk nicht aus Windows heraus starten können, sondern über „Parted Magic“, was auch auf der CD drauf ist…ein kleines Linux-System, mit dem Du auch Daten retten könntest.

          Warum sollte es die Programme, die Du nutzt, nicht mehr geben…? Das Internet vergisst nichts…sag ich mal ;-)

      • hab jetzt auch mt knoppix/ linux/ terminal/ (#)FDISK -L UND LSBLK zum suchen der partitionen eingegeben und nix gefunden (command not found)

  7. ANNAHME: PARTITIONEN (tabelle)VERSCHOSSEN !!!

  8. no harddisk found !!! ??? über linux alles mögliche probiert

    • „alles mögliche“…aha…na dann… dann gibt es wohl nichts mehr, was man noch versuchen könnte ;-)

      Mal im Ernst…Taucht die Platte noch im BIOS auf?

      Testdisk zeigt die Platte auch an, wenn die Partition defekt ist…

      Ich hatte auch noch was gefragt:

      „Hast Du den Rechner vielleicht ab und zu einfach “brutal” abgeschaltet?“

  9. den rest auch schon gelesen???
    die fragen habe ich versucht zu beantworten.antworten von dir auf meine fragen sind leider sehr sehr unvollständig(zum glück wurde mir ein teil schon beantwortet: windows8 usw EH UNWICHTIG)zu der allgemeinen beruhigung werde ich das sys wohl neuaufsetzten!!!müssen(WENN ICH WÜSTE WIE)
    SO NOCHMAL DIE GLEICHE FRAGE:
    1.konnte man mich verstehen
    2.warum komme ich denn dann nicht auf meine festplatte (nach deiner anleitung)
    ps:auflistung siehe oben
    kann meine annahme richtig sein?
    3.wie, um das abzukürzn, windows8 instal.???KANN EINE DUMME FRAGE SEIN BITTE TROTZDEM BEANTWORTEN DANKE
    nochmal die infos:
    hab über(leider mit einer 2007 version) knoppix linux gefahren (zu alt???)
    über TERMINAL testdisk und mehr versucht…
    …miten im satz hirens boot cd probiert und gemerkt dass ich kein buttermesser habe (dann doch nbisschen hoch)
    wenndu mich verstanden haben solltest sag mir bitte ob da überhaupt noch land in sicht ist
    vielleicht hilfe möglich?(KEIN LINUX EXPERTE)
    ANLEITUNG ?????????
    richtige richtung überhaupt???
    bis dann alex

    • 1. Schwer…weil nicht ganz klar war/ist, was Du nun genau gemacht hast…und da ich nicht danebengesessen habe, ist mir manches ziemlich schleierhaft ;-)

      2. Ich weiss es nicht…ganz einfach gesagt. Sowohl mit HirensBootCD als auch mit anderen Live-CDs hätte das kein Problem sein sollen

      Kennt das Knoppix von 2007 denn auch SATA-Laufwerke…?

      Auf HirensBootCD findest Du im Auswahlmenü beim Booten auch PartedMagic zur Auswahl. das ist jedenfalls ziemlich neu, einfach zu bedienen und Testdisk ist auch mit dabei.

      3. Klar kannst Du auch Windows 8 installieren…das geht genau so, wie man jedes andere Betriebssystem von CD/DVD installiert. Das solltest Du aber erst machen, wenn Du alle Daten gesichert hast und Deine Platte wieder ordentlich funktioniert. Vergiss nicht, das Laufwerk dann auch neu zu formatieren.

      Ach so…kann es sein, das Du vergessen hast, in Linux die Laufwerke zu mounten? Aus Sicherheitsgründen wird das bei solchen Rettungs-CDs nicht immer automatisch gemacht, es gibt bei „Parted Magic“ aber die Verknüpfung dafür in der Startleiste…

  10. ja und leider ja ja ja
    die platte sieht man natürlich wo soll denn sonst der trojana sein lol
    brutal ist kein ausdruck (nach jedem MOVE)

  11. wie sonst neu booten?

  12. Hallo Alex. Mein Freund hat sich auch so einen Trojaner eingefangen. Wir haben schlichtweg alles befolgt was du in den (sehr guten) Videos geraten hast. Haben 1:1 alles befolgt. Doch leider kam das Erfolgserlebnis nicht. Wiederum weisser Bildschirm mit Meldung der „Polizei“. Also haben wir noch die zweite, in den Kommentaren beschriebene Version versucht, mit dem Hitman Pro Kickstart versucht. Als ich aber auf die Auswahlversion (erster schwarzer Bildschirm, wo man wählen muss ob 1, 2 oder 3) konne ich nichts eingeben, Tastatur war wie gesperrt, nehme an das wurde von denen auch gesperrt. Deshalb blieb uns gestern leider nichts anderes übrig als beim Aufstarten auf dem System-Recovery zu gehen, alles wurde auf Werkseinstellung zurückgesetzt. Der PC ist jetzt also wieder wie wir ihn gekauft haben. Jetzt frage, ist der Trojaner jetzt so sicher weg? Resp. ist das jetzt das selbe wie neu Aufsetzen? Für eine Rückmeldung wäre ich dir sehr dankbar, damit wir wissen, ob wir jetzt noch neu Aufsetzen müssen oder anfangen können wieder Programme dazu zu kaufen (antivir, Office etc.). Aja, und der kam durch Norton hindurch, welchen würdest du empfehlen um in Zukunft besser geschützt zu sein? Dachte immer Norton sei da recht gut…
    Liebe Grüsse Regula Niederl

    • Hallo Regula,

      bagman hat ja schon alles beantwortet …
      Ich selbst bin Avira Pro Nutzer und hatte damit bislang noch keine Probleme. Für fast noch wichtiger als die Pro-/ Free-Variante einer Sicherheitsssoftware halte ich das regelmäßige Aktualisieren der installierten Software (inkl. Plugins) und etwas Vorsicht bei dem was man installiert. Nur wenige Browser-Plugins machen wirklich im Alltag Sinn, Browser-Toolbars eigentlich keinen und ob man Java & Co. unbedingt auf dem Rechner benötigt, sollte man noch mal überdenken.

      Ich verfass‘ die Tage noch einen Artikel zum Thema PC absichern / Rechner vor Trojanern schützen. Da wird zwar nicht jeder zu 100% meiner Meinung sein … aber es darf hier im Blog gern jeder seinen Senf dazu posten.

  13. Hier gibt es keinen Alex….der Betreiber dieser Seite ist Daniel Weihmann ;-)

    Da bei der Wiederherstellung der Werkseinstellung auch alles bisher gespeicherte verloren geht, kann man davon ausgehen, dass der Virus nun weg ist.

    Programme, die ihr bereits gekauft habt, wie zB ein OPffice-Paket von Microsoft, behalten ihre Lizenez natürlich auch nach der Neuinstallation, sofern ihr den entsprechenden Lizenz-Key eingebt.

    Kostenpflichtige Antivirensoftware ist auch nicht zwangsläufig besser, als kostenlose….Eine gut eingestellte Gratisversion von zB Avira tut ebenso gute Dienste, da sie auf die gleichen Erkennungslisten zurückgreift, wie die kostenpflichtige Version. Man sollte sich da nicht so sehr von der Werbung beeindrucken lassen. In erster Linie geht es ums Verkaufen..erst dann kommt die Sicherheit und ein „Mehr“ an Software ist nicht immer auch ein „Mehr“ an Sicherheit..

    Ein paar lesenswerte Tipps findet ihr hier:

    http://malte-wetz.de/wiki/pmwiki.php/De/De

    http://board.gulli.com/thread/1522253-leitfaden-rechnersicherheit-kompromittierung-deines-system-verhindern-und-erkennen/

    http://www.heise.de/ct/artikel/Mehr-ist-manchmal-weniger-925662.html

    http://www.the-netbrain.de/antiviren_programme.htm

    • Jaa…das ist mir nach dem Versenden auch aufgefallen. Hatte Alex wegen dem Video im Kopf.

      Ok super, da bin ich froh. Hmm..Avira hatte ich früher auch mal, aber dachte mir, mit dem Start von E-Banking greife ich lieber auf einen „guten“ zurück. Demfall tuts Avira auch für den PC gebrauch mit E-Banking? Schön zu wissen.

      Ja er musste sich da wohl einen ganz neuen Trojaner zugezogen haben, dass keine eurer Tipps genutzt haben. Aber ein Versuch wars wert.

  14. Hallo, ich habe alles befolgt wie auf den Video angegeben, nun erscheint wenn ich den Rechner hochfahre diese Fehlermeldung: fail to set active pt:4.error:0x80042565
    und windows kann nicht gestartet werden.
    Was habe ich falsch gemacht und was muss ich jetzt tun?
    LG

  15. Hallo, ich hab es hinbekommen, jetzt ist alles bestens, vielen dank für die Anleitung!!!!!!

  16. Hi ich bin deine Anweisungen gefolgt , habe aber keine Ordner gefunden die verdächtig sind so wie deine :(
    Die Temp Ordner habe ich aber geleert aber das hat ja nichts gebracht.
    Könntest du mir vlt. noch sagen wo die dateien noch sein könnten?
    Danke im Vorraus
    M.f.G.

    • Du verlangst aber viel von einem Helfer ;-)
      Nur…“hellsehen“ gehört noch nicht zu unseren Fähigkeiten :-D

      Es kann ja auch keiner nachvollziehen, was genau Du gemacht hast…gut, Du bist „den Anleitungen gefolgt“…aber das ist ja auch keine genaue Aussage….zumal es mehrere Möglichkeiten gibt…

      Immerhin kann man erahnen, dass Du „Microsoft Windows“ benutzt, sonst hättest Du dieses Problem nicht…jetzt fragt sich nur, welches Windows…es gibt ja verschiedene…

      Theoretisch können die Dateien überall liegen. Was sagt denn der Scan mit der Kaspersky-CD…?

  17. Hallo, Alex!

    Wir sind den Videoanweisungen 1 zu 1 gefolgt und haben nun beim booten vom „geschädigten“ Betriebssystem folgende fehlermeldung:

    „Fehler beim Start von Windows. Die Ursache dafür ist eventuell eine kürzlich durchgeführte Hardware- oder Softwareänderung. So beheben Sie das Problem:
    1….
    2…..
    3…..

    Datei: \Windows\system32\config\system
    Status: 0xc000000f

    Info: Windows konnte nicht geladen werden, da die Systemregistrierungsdatei nicht vorhanden oder beschädigt ist“.

    Unser Betriebssystem ist Vista.
    Wie bringen wir die Kiste wieder zum Laufen?

    Mit freundlichen Grüßen,

    Alfred

    • 1. Wenn ihr diese Seite aufmerksam lest, werdet ihr feststellen, dass es hier keinen Alex gibt.

      2. Wenn ihr „der“ (welcher denn?) Videoanleitung gefolgt seid, kann es zu diesem Fehler nicht kommen, da ihr die Registrierung ja ausgetauscht habt. Laut der Meldung fehlt sie aber…also habt ihr da wohl doch etwas übersehen.

      3. Steht am Ende des Textes auch

      „System zeitnah neu aufsetzen!“

      Jetzt wäre also der geeignete Zeitpunkt dafür. Die Daten habt ihr ja vorher bestimmt schon gesichert.

  18. Oliver Rüffert | 29. Mai 2013 um 16:11 | Antworten

    Also ich habe alles so gemacht und Windows neu gestartet, nun kam gleich wieder ein neuer gvu trojaner mit einem neuen Bild von mir über meine webcam.

    Soll ich alles nochmal durchgehen?

  19. Ich habs noch nicht durchgeführt, aber könntet ihr mir sagen, wie man wenn man die hirens boots cd runtergeladen hat wie man es „entpackt“ ? Was muss ich denn da klicken? Mit entpacken ist doch nicht „ausführen“ gemeint oder?

  20. Oliver Rüffert | 29. Mai 2013 um 16:55 | Antworten

    Habe es jetzt 3 mal durchgeführt und der GVU Trojaner kommt immer wieder, halt nur mit einem neuen Bild von mir über meine Webcam. Mist

  21. Deshalb sind die ganzen Anleitungen nur der erste Schritt.

    Die Luecke bleibt.

    Lasse deinen Rechner bereinigen: http://www.trojaner-board.de

    • „Lasse deinen Rechner bereinigen“

      Ja…aber dann besser so:

      http://malte-wetz.de/wiki/pmwiki.php/De/VirenEntfernen

  22. Hallo Alex,

    super Anleitung, vielen Dank!
    Ich hab‘ vor, das Ganze noch mit einem Scan von der Desinfec’t-CD von c’t zu kombinieren:http://www.heise.de/download/desinfect.html
    Was hältst Du davon?

    • Wer ist Alex?

      Wer immer hier „Hallo Alex“ schreibt, hat nicht ordentlich gelesen :-)

      Welchen Nutzen erhoffst Du Dir vom Einsatz der Desinfect-CD?

      Ein „sauberes“ System hoffentlich nicht…

      • Hm, die Videos sind von Alex, die Seite offensichtlich nicht.
        Warum sollte die Desinfec’t CD nichts bringen? Hab‘ damit bereits so einen Trojaner beseitigt. Außerdem wollte ich die Methoden kombinieren.

        • Wie hast Du denn überprüft, dass alle Änderungen, die durch den Schädling verursacht wurden, beseitigt sind?
          Hast Du eine MD5-Check aller Dateien gemacht? Hattest Du eine sauber Registry von unmittelbar VOR dem Befall, mit der Du Änderungen der Registry nachverfolgen konntest?

          Auch für Dich noch mal der Hinweis:

          http://malte-wetz.de/wiki/pmwiki.php/De/De

          Lesen…Verstehen…Handeln…

        • Wenn Du diese Seite aufmerksam (!) gelesen hast, wird Dir auch HIER der Hinweis

          „System zeitnah neu aufsetzen!“

          nicht entgangen sein…

        • Habe auch berichtet bekommen, dass Desinfec’t den Trojaner entfernt bekommt hat, konnte es aber selbst noch nicht testen. Ich bin mir sicher, das ganz viele Wege zu Ziel führen.

        • Mich würde da sehr neugierig machen, anhand welcher Referenz-Registry Desinfect überprüfen konnte, ob das System wirklich „sauber“ ist, oder ob es sich nur darauf beschränkt hat, ein paar Dateien oder Ordner, die vermutlich mit der Infektion zusammenhängen könnten, zu löschen…und was ist mit dem Rest…? ;-)

  23. Richtig, um absolut sicher zu gehen, müsste man das System neu aufsetzen.
    Bei einem lange gewachsenen System mit dutzenden Programmen, alles schön konfiguriert, manche SW hat man nicht mehr als Inst.Medium etc pp aber eine ziemlich Odysee (falls kein Image vorliegt).
    Außerdem gehe ich davon aus, dass diese Trojaner-Abarten es darauf abgesehen haben, mit wenig technischem Aufwand ein paar Dumme zu finden, die einfach überweisen, Rest egal. Dass da dutzende versch. Funktionen dahinterstecken und das Ganze auf dem Niveau von Stuxxnet und Co programmiert wurde, halte ich für unwahrscheinlich.
    Und davon abgesehen, kannst Du auch bei einem System ohne offensichtlichen Trojanerbefall nicht sicher sein, dass Du Dir was eingefangen hast. Also jeden Tag neu aufsetzen? Sicher nicht.
    Aber Du hast Recht und dass will ich hier auch nochmal unterstützen: am besten neu aufsetzen!

    • Die Sache ist ja folgende…mittlerweile gibt es sicher 20 oder mehr verschiedene Varianten dieses Trojaners mit unterschiedlichen Wirkungsweisen. Einige Varianten verschlüsseln das System und bestimmte Dateien bis hin zur Nichtmehrwiederherstellbarkeit, andere ändern auch den TCP/IP-Stack und den Winsock des Systems und richten einen kleinen Backdoor ein…weisst Du genau, welche Variante gerade bei Dir aktiv war? Nein…das lässt sich leider nicht am Startbildschirm festmachen..und mit ein paar offenen Ports, die nicht mehr unter meiner Kontrolle sind, möchte ich nicht mehr online gehen ;-)

  24. Hallo Daniel,
    Danke für die Anleitung. Ich müsste jetzt den Ordner Regback öffnen, aber den finde ich nicht. Das Problem ist vielleicht auch, dass bei alles auf englisch erschienen ist, nachdem ich Mini Windows XP ausgewählt habe. Wie komme ich jetzt weiter?
    Danke im Vorraus, Valentina

  25. Ich habe versucht die cd zu brennen, aber habe wahrscheinlich was falsch gemacht, denn wenn ich die cd einlege, dann erscheint da nichts.
    Für einige von euch ist es ja gar kein problem die cd zu brennen, gibt es jemanden der mir diese cd verkaufen möchte?

    • War bei mir am Anfang auch so, dann habe ich die cd ins andere Laufwerk (G) getan und es ging. Probiers mal, wenn du es noch nicht gemacht hast, vielleicht klappts.

    • Wenn die CD nicht will, dann schau dir mal das Video Nummer 2 an: https://www.redirect301.de/gvu-trojaner-systemwiederherstellung.html

      Hier wird erklärt, wie du einen bootfähigen USB-Stick erstellen kannst.

    • Einlegen allein reicht nicht…Der Rechner muss neu gestartet werden mit eingelegter CD und der Rechner muss so eingestellt sein, dass er dann auch von der CD startet und nicht von der Festplatte. Da das bei jedem PC anderes geht, bitte ich darum, einen Blick ins Handbuch zu werfen, wie man die Startreihenfolge an Deinem PC ändert oder alternativ das Bootmenü aufruft, um dort dann die CD auszuwählen (wird aber oft beim Start des PC angezeigt, zB „Press F2 to enter Setup, F12 to enter Bootmenue)

  26. Hallo,
    ich habe alles so gemacht wie beschrieben. wenn ich rebooten will, bekomme ich die Fehlermeldung „Einem Dienst oder einer Funktion wurde ein ungültiger Parameter übergeben.“ Dann ist mir noch aufgefallen, dass nachdem ich die infizierten Dateien umbenannt habe und rebootet, beim erneutem Überprüfen von mini xp, die Dateien wieder hergestellt waren unter heutigem Datum und die Dateien system und software, die ich vorher von repair rüberkopiert hatte wieder verschwunden sind!? ist das jetzt wieder ein neuerer, aggressiver trojaner, der sich wiederherstellen kann?

    • Wie hast Du denn herausgefunden, welche Dateien infiziert sind? Hast Du auch die Registry manuell auf Veränderungen durchforstet?

  27. Konnte nur mehr im abgesicherten Modus mit Eingabeaufforderung starten. Hab dann einen neuen Benutzer angelegt (Eingabe von „control userpasswords“). Letztendlich war es diese Aktion die zum Erfolg führte. Dann Alten Benutzer gelöscht und neu angelegt.

    • Der Trojaner schlummert allerdings weiterhin bei dir auf dem Rechner, wird (vorerst) nur nicht gestartet. Mache auf jeden Fall einen intensiven Systemcheck und lösche die gefundenen Fragmente vom Rechner.

  28. hallo,
    ich habe leider absolut keine ahnung von computern und bin schon gleich am anfang gescheitert beim cd brennen.
    also,ich hab mir die hirons cd datei runtergeladen, aber in deinem video kannst du sie dann auch öffnen, das geht bei mir aber nicht. woran könnte das liegen?

  29. hallo,
    ich hatte gestern auch das Vergnügen, mit diesen Trojaner-Bildschirm auf meinem Rechner. Ich habe das Laptop ausgeschalten und habe es wieder hochgefahren (habe auch unter dem Hochfahren F8 gedrückt, bin aber nicht in den abgesicherten Modus gekommen). Der Rechner lies sich ohne Probleme neu starten, der GVU-Bildschirm war weg. Ich habe dann auch nach Anleitung von den diversen Seiten zur Bekämpfung nach „verdächtigen Dateien“ gesucht und keine gefunden.
    Eine Prüfung mit „Avast“ hat nichts gebracht und bisher habe ich auch keine Einschränkungen festgestellt.
    Wir haben das „Problem“ das in unregelmäßigen Abständen die WLAN-Verbindung zusammenbricht. Kann es vielleicht damit zusammenhängen und sich der Virus nicht „festsetzen“ konnte????
    Irgendwelche Passwörter gebe ich derzeit nicht ein, da ich mir nicht vorstellen kann, dass ich den Virus nicht habe :( . Ist es auch in dem Fall sinnvoll, das komplette System neu aufzuspielen? Und könnte es sein, dass ich beim sichern der „Eigenen Dateien“ der Virus mitgesichert und wieder mit aufgespielt wird? Wäre um eine Antwort sehr dankbar :)

  30. Hallo Daniel,
    danke für Deine rasche Antwort.
    Nein, ich bin mit dem selben Benutzerkonto rein. Habe den Rechner mittlerweile 3 – 4 Mal hochgefahren und nichts bemerkt, dass etwas anderes ist wie sonst. Internet geht ganz normal (Seiten mit Log-In habe ich aber vermieden) und dass irgendwelche Dokumente nicht aufgehen oder verschlüsselt sind habe ich auch nicht bemerkt.
    Lediglich auf dem Desktop ist ein Icon (nhea.tmp; Größe 168 KB) Erstellungszeit ist die Zeit, als der Trojaner-Bildschirm kam.

  31. Hallo !
    Ich habe mir eine finnische variante eingefangen von dem Schrott, und jetzt hätte ich ein paar Fragen, die Kaspersky rescue disc startet zwar, aber ich komme nicht auf die Festplatte, beim start erscheint die meldung zu wenig speicher…, habe es dann mit der Hirens versucht, das mini winXP startet auch normal, aber es behauptet meine Festplatte sei nicht formatiert und fragt mich ob ich das jetzt tun will. Will ich natürlich nicht, bin jetzt mit mühe und not soweit gekommen, dass ich die wichtigsten daten auf eine externe HD gesichert habe. Frage sind diese daten jetzt auch Virenverseucht? Habe im moment Angst sie anzuschliessen, da ich nur noch diesen laptop dabei habe und wenn der auch noch ausfällt ist Sense. Würde den Schmarrn gerne löschen und die kiste webfrei weiterverwenden bis ich im Juli neu Aufsetzen kann. Der normale abgesicherte Modus fährt das System automatisch runter, habe den Abgesicherten Modus mit eingabeaufforderung gewählt und den explorer manuell gestartet. So konnte ich wenigstens die wichtigsten Daten Sichern. Noch was der befallene Laptop hat ne Bitlockerverschlüsselung, kann es daran liegen, das ich nicht auf die Daten zugreifen kann mit dem Mini XP?

  32. Hallo und vielen Dank!

    Ein Freund hatte es erst mit einer Boot CD von Kaspersky probiert und der Laptop ist immer abgeschmiert.
    Habe dann dein Video gefunden und wir haben das Ganze nochmal probiert. Und es hat FUNKTIONIERT!!!

    Vielen vielen Dank dafür!

  33. So jetzt ists geschafft, die Sperrung habe ich aufgehoben und ich kann ihn wieder „normal“ verwenden, wenn auch ohne internet, das ist mir zu riskant, bevor ich den wieder ans Netz hänge muss der Admin mal ran. Danke für all die hilfreichen Posts und ich hoffe ich brauch euch so schnell nicht wieder.

  34. Hey ich habe leider auch das Problem mit GVU… Komme aber leider nicht weiter.
    Ich habe inzwischen Rufus und Hirens Boot cd runtergeladen und versuche es wie im Video: https://www.youtube.com/watch?v=a2C30sHLfZY gezeigt wird, meinen USB-Stick zu formatieren und Hiren’s Boot cd draufzuladen. Allerdings ohne Erfolg :(
    Der Stick ist nur 2 GB klein. Kann es daran liegen? Obwohl die Iso-Datei nur 594 MB groß ist…?
    Rufus zeigt Folgendes im log an:

    Format operation started
    Requesting disk access…
    Caution: Opened drive \\.\PHYSICALDRIVE1 for write access
    Will use ‚F‘: as volume mountpoint
    Analyzing existing boot records…
    Unknown boot record
    Closing existing volume…
    Clearing MBR/PBR/GPT structures…
    Partitioning (MBR)…
    Closed Windows format prompt
    Formatting (FAT32)…
    Using cluster size: 4096 bytes
    Creating file system: Task 1/5 completed.
    Creating file system: Task 2/5 completed.
    Creating file system: Task 3/5 completed.
    Creating file system: Task 4/5 completed.
    Creating file system: Task 5/5 completed.
    Format completed.
    Found volume GUID \\?\Volume{fbb4d43a-beda-11e2-8394-485b396d5d66}\
    Writing master boot record…
    Drive has a zeroed non-bootable master boot record
    Set bootable USB partition as 0x80
    Could not remount \\?\Volume{fbb4d43a-beda-11e2-8394-485b396d5d66}\ on F:\: [0x00000091] Das Verzeichnis ist nicht leer.

    Found device ‚INTENSO USB USB Device‘
    1 device found.
    Sector Size: 512 bytes
    Cylinders: 243, TracksPerCylinder: 255, SectorsPerTrack: 63
    Partition type: MBR, NB Partitions: 1
    Disk ID: 0x01B44B79
    Partition 1:
    Type: FAT32 (0x0b)
    Size: 1.9 GB (2003828736 bytes)
    Start Sector: 2048, Boot: Yes, Recognized: Yes

    was soll ich jetzt tun?
    Vielen Dank schon mal…

  35. Die Anleitung zum Austausch der Registrierung ist sehr gut. Unter Windows XP funktioniert das leider nicht. Dort scheint das System keine Sicherungskopie der Registry anzulegen (den Ordner Regback gibt es nicht)… Schade!
    Hier komme ich nicht weiter, denn es gibt auch keine manuell erstellte Sicherungskopie der Registry. Habe die potentiell virenbehafteten Registry-Dateien umbenannt – kann ich mithilfe der Windows-CD die nun fehlende Registry irgendwie wiederherstellen?

    • Hallo Pascal,

      bei mir hat’s nun gefunzt!!
      Ich habe alles gemacht wie im Video beschrieben. Danke an den Verfasser.
      Mit Hilfe von Internetforen habe ich für Windows XP herausgefunden, wo sich die Sicherungskopien befinden. Schau mal hier:
      http://support.microsoft.com/kb/823048/de

      Dort ist in einer schönen Grafik der Verlauf beschrieben, wie du sie findest. In meinen Fall habe ich einfach die notwendigen Registry-Dateien eines Wiederherstellungspunktes von April genommen und damit die beschädigten wie im Video gezeigt ersetzt. Anschließend noch in verschiedenen Temp-Ordnern diese verdammte .exe-Datei und zwei andere zugehörige Dateien gelöscht.
      Dann kam der große Moment des Hochfahrens – und siehe da: Es hat geklappt.

      Gruß
      Hans

    • Woher soll denn die CD wissen, welche Programme und Systemeinstellungen auf Deinem System vorhanden war? :-)

      Das Backup der Registry bei XP befindet sich im versteckten Ordner „SystemVolumeInformation“ auf dem Systemlaufwerk….

      Neu aufsetzen ist, wie in Teil 4 des Videos und auch hier beschrieben wurde, trotzdem empfehlenswert, es sei denn, man weiss wirklich genau, was man tut…

  36. Hallo Pascal,
    ich habe das gleiche Problem, dass ich den Ordner reg.bak unter Windows EP nicht finde.
    Es gibt aber einen Ordner repair unter C:\WINDOWS.
    Dort befinden sich die Dateien sytem und Software, die laut Video auszutauschen sind. Was mich ein wenig stutzig macht ist die Größe der Dateien (1MB und 8MB) und deren Erstellungsdatum: 2008, als das Laptop angeschafft wurde. Ich denke, dass durch Ersatz der infizierten Dateien durch diese dann das System in den Zustand nach der Installation gesetzt wird. Frage an Daniel, ob der Gedankengang richtig ist, ob ich diese Datei-Ersetzung durchführen kann,? Oder, wo finde ich bei XP evtl. backups vom System nachdem Wiederherstellungen durchgeführt wurden?

    Hans

    • Der Ordner Repair beinhaltet nur eine rudimentäre Version vom System.wie es kurz nach der Installation war. Um das System in den letzten Zustand zu versetzen reicht das NICHT aus…wohl aber, um das System zu starten, die wichtigen Dateien zu retten und danach das System, wie in Teil 4 und auch auch hier am Ende des Artikels bereits erwähnt, des Videos beschrieben, neu aufzusetzen.
      Allerdings kann man auch direkt mit der Hirens-CD die Dateien sichern und direkt danach neu aufsetzen…den „Repair-Schritt“ kann man sich also sparen.

  37. Also bei mit macht die CD nen scheiße Dreck !!
    Kann mir wer helfen???

  38. Also ich hatte den CH-Lösegeld-Trojaner.
    Starten mit abgesichertem Modus brachte keinen Erfolg. Ebenso war die Systemrücksetzung ohne Erfolg.
    Dann startete ich mit der Kaspersky-Rescue-CD: Auch kein Erfolg. Mein Händler empfahl die HD auszubauen. Ich hab dann noch einen andern Trick entdeckt:
    Im Bios bei der Boot-Reihenfolge habe ich die HD ganz entfernt. Nun war die Kaspersky-Rescue-CD erfolgreich.
    Mit Malwarebytes fand ich dann nach dem Aufstart noch den Rest des Trojaners.
    Viel Erfolg wünscht Max

    • Sehr schön..und wie hast Du die Registry auf evtl vorhandene Reste, wie zB Backdoors, geänderten Winsock und TCP/IP-Stack, etc. überprüft?

  39. Ich habe jetzt durch so viele Anleitung so viel und lange rum gespielt das ich wider in ein graphisch komisches und auch sonst sehr eingeschränktes Windows komme(Internet geht nicht Musik use)
    Ziehe mit jetzt alles auf eine externe und dann setze ich Windows neu auf.
    Muss aber trotz dem danke sagen weil es trotz dem nett und hilfreich hir war!!! :D

  40. Lieber bagman lieber Daniel mein pc war bereits im märz infiziert!!! Habe erst kürzlich in ö gelesen dass kärtner Rechner mit diesem polizeitrojaner infiziert sind habe heute extra freigenommen und mich durch google u Tube deine Super Einführungen befolgt leider scheiter ich Dzt an regback!!! Finde einfach nicht! Habe die susp Dateien schon auf back umgenannt aber dann regback wo ist es habe alles versucht auch durch die suche nach Folder und Daten nicht gefunden! Bin wXP 2002 SP3 Benutzer bitte helfen

    • Die Antwort steht schon hier…ein paar Postings höher.

      Die Sicherung bei XP befindet sich im Ordner „SystemVolumeInformation“ und dann da im Unterordner mit dem entsprechenden Datum. Die Vorgehensweise ist ganz ähnlich, aber um allem Ärger vorzubeugen sollten besonders Laien ganz dringlich beherzigen, lieber alle Daten mit der Hirens-BootCD zu sichern und dann das System, wie auch im Video und auf der Seite hier mehrmals erwähnt, NEU AUFZUSETZEN (was sowieso gemacht werden sollte…)

  41. Hallo,

    Ich habe die erste Schritte gefolgt (Boot CD gebrannt). Ich kann dann au „Mini Windows XP“ klicken. Es passiert aber dann nichts mehr… Bildschirn ist scharz und ich muss Strg+Alt+Entf um das Komputer neuzustarten… Was ist das Problem???

    Vielen Dank,
    Gruß
    Serge

  42. Hey, vielen Dank für den ersten Tipp den Virus zu entfernen….nur habe ich jetzt folgendes Problem…habe auch, wie empfohlen den Ordner „appdata“ temp…gelöscht, bzw die datein darin…jetzt bootet windwos nicht mehr hoch….der rechner sagt ihm fehlt appdata/temp….irgendeine komische exe.datei…offenbar der virus…was kann ich tun…das system bootet nach dem anmelden nicht zu ende – sucht immer nach dieser exe.datei!!! DANKE!!!!

    • Geh bitte noch mal die Anleitung genau durch. Wenn Du wirklich ALLES befolgst, wie in der Anleitung beschrieben, kann das nicht passieren. Irgendwo hast Du einen Schritt übersehen oder nicht korrekt ausgeführt. …

      Auch an Dich geht der eindringliche Appell, nach der Sicherung der wichtigen Dateien das System NEU AUFZUSETZEN….wie auch im Video und hier auf der Seite erwähnt…

  43. danke, aber ich habe alles nochmal überprüft…der pc startet windows, wechselt dann in dos und zeigt windows/system32….
    oben steht, dass eine exe-datei im ordner temp nicht gefunden werden konnte!!! Wie komme ich wieder in das system?
    wäre wirklich hilfreich – vielen DANK!!!

    • Julia…wenn Du die Anleitung GENAU befolgt hast, kann das schlichtweg nicht sein. Es MUSS also irgendetwas schief gelaufen sein…
      Ohne hellseherische Fähigkeiten und genauen (!!!) Fehlermeldungen kann man da leider erst mal nicht helfen. DU sitzt vor dem PC…keiner von den Helfern hier… Nur DU weisst, was Du gemacht hast und anhand der Meldung sieht man, dass Du es nicht so gemacht hast, wie es die Anleitung vorgibt.

      „eine exe-Datei“ ist übrigens KEINE genaue Fehlermeldung. Es gibt nicht nur EINE exe-Datei auf dieser Welt.. ;-)

      Es reicht auch nicht aus, nur den Inhalt des Temp-Ordners zu leeren…ein Virus besteht aus weitaus mehr Komponenten. Es gibt auch nicht nur EINEN BKA/GVU/GEMA/xyz-Virus, sondern X-verschiedene…folglich gibt es auch x-verschiedene Lösungen. Keiner weiss, welche Variante nun auf Deinem PC war…das weisst nur Du

      Nochmal: starte den PC zB. mit der Hirens-BootCD, sichere Deine Daten auf externe Datenträger (USB-Platte oder Stick) und dann setzt Du Windows neu auf….alles andere kann man nur machen, wenn man an dem PC vor Ort ist und einen Überblick hat..und auch dann ist es nicht garantiert, dass der PC wieder „sauber“ ist…Der Hinweis, das System zeitnah aufzusetzen, wird ja nicht umsonst des öfteren hier gemacht

  44. Bei mir scheitert schon der Versuch die Bootreihenfolge im BIOS zu ändern. Ich komme zwar ins BIOS rein, habe aber hier nur die Möglichkeiten der Boot Priority:
    Internal Hard Disk Drive
    Internal Optical Disc Drive
    External Device
    Network
    Mit keinen von diesen Optionen startet die CD.

    • Wie hast Du denn die CD gebrannt? Mit welchen Optionen und mit welchem Programm? Offensichtlich hast Du keine bootfähige CD erstellt…

  45. Hallo Habe alles nach Anleitung erledigt und nach dem Neustart erscheint, nach der Benutzerpassworteingabe nur ein DOS eingabefeld. Administrator cmd exe mit der Befehlszeile C:\Windows\system32>_ und weiter geht es nicht was ist zu tun bin Ratlos wäre super wenn du mir jemand helfen kann!!! aber bitte nicht auf meine E-Mail da habe ich keinen Zugriff mehr

    • C:\Windows\system32>…diesen Prompt gibt es seit Win9x…von welchem Windows reden wir hier und was genau hast Du gemacht? Irgendwo hast Du etwas übersehen oder einen Schritt zuviel gemacht…

  46. Fragensteller | 22. Juni 2013 um 17:36 | Antworten

    Hi, mal ne Frage…hab mir das Ding eingefangen, der Bildschirm kam, aber irgendwie gelang es mir dennoch wieder zu meinem Desktop zu gelangen. D.h. mein Rechner wurde nicht geblockt.
    Hab dann Spybot und Avira laufen lassen, es wurden auch Sachen gefunden, aber Spybot kriegt sie anscheinend nicht alle weg. Jetzt meine Frage…kann ich auch ohne den Weg über die Boot-CD meine Daten sichern und das System neu aufsetzen. Ich meine es läuft ja noch oder befällt das Teil dann auch meine portable Festplatte auf der ich meine Daten Musik/Docs etc. sichern will? VG

    • Spybot ist nicht mehr auf der Höhe der Zeit. Da gibt es weitaus bessere Programme. Von wo aus hast Du denn Avira scannen lassen? Von der Boot-CD oder innerhalb des Systems? Letzteres wäre eher unklug….

  47. Hurra, habe es so hinbekommen:
    Got sei gedankt , habe ich immer alles, wöchendlich auf extern gespeichert und habe immer einen imaginären Nutzer mit Adminrechten drinne. den habe ich hochgefahren und mit Malwarebytes diesen „HUND“ entfernt. Beim Hauptnutzer hochfahren hatte ich nur noch das Problem das eine Datei hochfahren wollte, die das Malwarebytes Proggi im imaginären Nutzerkonto gelöcht hatte. Schnell mit regedit das File „lof3i.dat“ gesucht—gelöcht. dann noch im Autostart die REGDatei „regmonstd“ gelöcht und in C:\\PROGRA~3\\i3fol.bat auch noch vergast….. schon läuft er wieder richtitsch
    Hoffe das ich nun Ruhe habe.
    Frank

    • „dann noch im Autostart die REGDatei “regmonstd” gelöcht“…

      Und die Auswirkungen der REG-Datei in der Registry hast Du manuell gelöscht? Du hast Dich auch ansonsten vergewissert, dass keine offenen Ports im System sind und keine versteckten Dienste oder Rootkits gestartet werden? Den TCP/IP-Stack hast Du auch wieder korrigiert, ebenso wie Winsock?

  48. @ Daniel Weihmann

    Magst Du mal diesen Artikel verlinken? Der könnte für viele Leute auch hilfreich sein…

    http://www.pc-experience.de/internetsicherheit/desinfec-t-2013-in-der-praxis.html?showall=&start=1

    ..mit besonderem Hinweis auf das Fazit am Ende des Berichts (!)

    • Auch dieser Artikel mit interessanter Linkliste sind lesenswert:

      http://www.pc-experience.de/wbb2/thread.php?threadid=29808

    • Super Idee! Das hätte ich doch schon vor Monaten machen können …
      Ich werde Stück für Stück die Kommentare hier im Blog durchgehen und in meinen eigenen Bookmarks recherchieren. Außerdem bekommen die Trojaner-Artikel entsprechende Verweise zu:

      https://www.redirect301.de/trojaner-viren-links.html

      setzen.

      Danke dir. Ich denke das könnte einigen weiter helfen …

  49. Hallo Daniel,
    zuerst einmal Danke für das Zusammenstellen der ganzen Infos!
    Ich habe bei einem Windows Vista Rechner versucht alle im Video gezeigten Schritte auszuführen, leider gibt es bei mir keine „AutoStart“ Ordner (Windows > Benutzer > Name > AppData > Roaming > Microsoft > Windows > Startmenü > Programme > Autostart ). Ich habe nur „StartUp“ und „StartMenu“ gefunden. Hier gibt es aber keine neueren Dateien.
    Soll ich einfach alle Daten in den beiden Ordnern löschen? Ich habe ein bisschen Angst noch mehr kaputt zu machen als es ohnehin schon ist.
    Vielen Dank für die Hife.

    • Es ist immer unheimlich schwer, Probleme nachzuvollziehen, bei denen jemand sagt, er hätte „alle Schritte aus dem Video“ gemacht..
      _
      1. Wenn Du wirklich „alle“ Schritte gemacht hast, kann es kein Problem geben. Vista ist von der Ordnerstruktur recht ähnlich mit Windows 7.
      _
      2. Was hat der Scan mit den AV-Programmen, die Du mit der Boot-CD gestartet hast, ergeben?
      _
      3. Welche Boot-CD hast Du denn benutzt?
      _
      4. Welches Video hast Du denn angesehen? Da ist ja mehr als eins ;-)
      _
      5. Lies auch mal in den bisherigen Antworten hier…da stehen auch recht hilfreiche Tipps dabei
      _
      6. Da Du sicher nicht weisst, welche Version des BKA/GEMA/GVU-Trojanes bei Dir am Werk war, ist es mit einer einfachen Bereinigung auch nicht getan, wenn Du wieder ein sicheres und sauberes (!) System haben willst. Du hast keine Garantie, das alles restlos verschwunden ist. Sicher bist Du nur, wenn Du maximal (wie auch im Video erwähnt) Deine Daten sicherst und dann das System neu aufsetzt.

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.