Beitrag wurde zuletzt am aktualisiert

GVU-Trojaner entfernen

GVU-Trojaner - Internetkriminalität im Namen verschiedener BehördenGVU-Trojaner - Internetkriminalität im Namen verschiedener Behörden

Die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen ist in dieser BKA-Trojaner Variante der vermeintliche Absender. Wer sich diese Malware – oder besser Ransomware – auf seinen Windows-Rechner eingefangen hat, wird einer ganzen Reihe Gesetzesübertretungen beschuldigt und schließlich zur Zahlung von 100 Euro per Ukash oder Paysafecard aufgefordert. Nach diesem „Freikauf“ wird der PC binnen 1 bis 72 Stunden wieder entsperrt, was allerdings völliger Quatsch ist!

Neue Varianten des GVU-Trojaners im Umlauf! Einfache Schritt-für-Schritt Video-Anleitungen und User-Kommentaren zum Entfernen der Schadsoftware hier im Blog

Wie auch bei den anderen Versionen dieses Trojaners gilt:

Auf keinen Fall zahlen! Das entsperrt den Rechner nicht und das Problem würde auch nach 72 Stunden noch bestehen! Lediglich die 100 € wären fort!

Mir persönlich ist diese Reveton.C Variante des Trojaners noch nicht begegnet. Nichts desto trotz möchte ich heute an dieser Stelle über die folgenden Punkte zum Thema GVU-Trojaner informieren:

Über den GVU-Trojaner

Wie in seinen Vorgängerversionen wird irgendeine wichtig klingende Behörde (Bundespolizei, GEMA, FBI, Schweizer Eidgenossenschaft, oder eine beliebige andere nationale Polizeidienststelle bzw. wie in diesem Fall die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen) als vermeintliche Absenderadresse vorgegaukelt, um den Betroffenen Angst ein zu jagen. Der im teilweise holprigen deutsch gehaltene Text listet eine ganze Reihe Internetstraftaten mit dazugehörigen Paragraphen und dem jeweiligen Strafmaßen auf.

Der Computer ist nicht mehr benutzbar, lediglich die Meldung der Hacker mit der Zahlungsaufforderung ist zu sehen. Wer nun denkt „Was soll’s, zahle ich eben die 100 €!“, wird trotzdem auch weiterhin seinen Rechner nicht benutzen können. Eine „Freischaltung“ ist nämlich von Seiten der Hacker überhaupt nicht vorgesehen.

Laut botnets.fr, hier werden Screenshots eine Reihe internationaler Varianten der Ransomware gezeigt, tauchte diese Version des GVU-Trojaners mit Webcam im Juni 2012 erstmals in Erscheinung.

GVU-Trojaner Windows-Meldung

GVU-Trojaner Windows-Meldung (Grafik: botnets.fr)

§128 Strafgesetzbuch (StGB)

Gleich im ersten Absatz der GVU-Meldung wird der §128 des StGB für eine der angeblich begangenen Straftaten mit folgendem Worten heran gezogen:

Sie haben gegen das Gesetz über Urheberrecht und verwandte Schutzrechte (Video, Musik, Software) verstoßen und unrechtmäßig urheberrechtliche Inhalte genutzt, bzw. verbreitet und somit gegen Art. 128 des Strafgesetzbuches der Bundesrepublik Deutschland verstoßen.

Jeder kann nach dem Paragraphen 128 des StGB selber googeln und wird entdecken, dass es diesen Artikel in Deutschland seit 1964 gar nicht mehr gibt. Lustigerweise stehen bei der schweizerischen und bei der österreichischen Variante des GVU-Trojaners die selben Paragraphen im Text. In der Schweiz wäre es somit ein Verstoß wegen Unterlassung der Nothilfe und in Österreich bezeichnet der §128 einen Schweren Diebstahl, der z.B. während einer Feuersbrunst durchgeführt wird.

Wie gelangt der GVU-Virus auf meinen Rechner?

Der eigene Rechner wird beim Besuch einer verseuchten Webseite (das kann ein beliebiger Blog, Forum, klassische Homepage usw. sein) im Hintergrund und unsichtbar auf die Server der Hacker umgeleitet. Dort untersucht binnen weniger Augenblicke eine Software, ein sogenanntes Exploit Kit, den eigenen Computer auf bekannte Schwachstellen.

Das sind oftmals Sicherheitslücken im Windows-Betriebssystem selbst, in Java-, Flash- oder Acrobat-Reader-Installationen. Alles Anwendungen, die ein Großteil der Nutzer auf ihrem Rechner installiert haben und oft genug nicht auf dem aktuellsten Stand halten.
Die Infektion des Computers erfolgt dann als Drive-by-Download im Hintergrund, der anschließend auf dem Rechner des Opfers zur Ausführung kommt.

Natürlich kann man sich Schadsoftware wie den GVU-Trojaner, Polizei-Trojaner, BKA-Trojaner (oder welche Behörde auch immer als Absender von den Erpressern verwendet wird) auch durch Unachtsamkeit auf den heimischen Rechner laden. So zum Beispiel durch:

  • durch das Öffnen infizierter E-Mail-Anhänge
  • durch infizierte PDF-Dateien
  • durch „lustige“ Powerpoint-Präsentationen
  • vermeintliche Bilder, die man geschickt bekommt
  • infizierte (illegale) Software-Downloads

Bei dieser Art eines Virus merkt man das Problem immerhin sofort. Trojaner können aber auch dazu verwendet werden, Passwörter, PINs und sicherheitsrelevante Daten „nach Hause“ zu versenden. Oder sie „schlafen“ einfach bis zum Tag X, an dem dann der heimische Rechner für Straftaten missbraucht wird. Oder sie funktionieren den eigenen Computer zu einen Spam-Versender oder Download-Portal für beliebige Daten um. In diesem Fall bekommt man möglicherweise wirklich ein ähnlich klingendes Schreiben. Jedoch per Post und sicherlich als Einschreiben.

Bitte diese Worte im Hinterkopf haben, wenn mal wieder ein Powerpoint mit „So sieht der Chef nackt aus“ im Outlook eintrudelt. Auch die sicherheits.bmp von der Sparkasse ist mit großer Wahrscheinlichkeit nicht von der Hausbank und hat bestimmt nichts mit Sicherheit zu tun.

Anleitung: GVU-Trojaner unter Windows 7 entfernen

Auf dem Blog von evild3ad.com gibt es eine ausführliche Anleitung zum Löschen des GVU-Trojaners mit Webcam unter Windows 7. Mit Screenshots und entsprechenden Hilfetexten versehen, wird auch ein Laie beginnend beim Systemstart im abgesicherten Modus bis hin zum Löschen der *.pad-Datei geführt.
Bitte die abschließenden Hinweise auf dieser Webseite beachten und den eigenen Rechner nach erfolgtem Löschen des Schädlings ausreichend absichern!

Anleitung: GVU-Trojaner unter Windows XP entfernen

Auf dem Blog von evild3ad.com gibt es eine ausführliche Anleitung zum Löschen des GVU-Trojaners mit Webcam unter Windows XP. Mit Screenshots und entsprechenden Hinweistexten versehen, wird auch ein Nichtprofi beginnend beim Rechnerstart im abgesicherten Modus bis hin zum Entfernen der *.pad-Datei geführt.
Bitte die abschließenden Hinweise auf dieser Seite nicht ignorieren und den eigenen PC nach einer erfolgreichen Trojaner-Beseitigung ausreichend schützen!

Den Rechner vor Attacken aus dem Internet schützen

Auch ich hatte hier auf redirect301.de bereits vor einiger Zeit Hinweise und Tipps zu Wie schütze ich meinen Rechner vor dem BKA-Trojaner veröffentlicht. Diese Hinweise gelten auch beim GVU-Trojaner und sind teilweise mit kaum Aufwand verbunden.

Macht es den Hackern nicht zu leicht und schützt euer System!

  • Haltet eure Software auf einen aktuellen Stand!
  • Kauft eure Software und denkt nicht, dass eine heruntergeladene Raubkopie immer ein Geschenk ist!
  • Setzt auf eine Internetsecurity-Lösung, die euch vor Viren, Trojanern und Co. weitgehend schützt!
  • Löscht E-Mails mit unbestellten Anhängen bzw. öffnet diese nicht!
  • Verzichtet auf spaßige Office-Spielereien, die per Powerpoint-Dateien im Umlauf sind!
  • Regelmäßig wichtige Daten sichern (Backup)!

Hat euch der GVU-Trojaner erwischt? Kennt ihr weitere Anleitungen zum Entfernen vom GVU-Trojaner? Hinterlasst eure Erfahrungen und Linktipps zum Thema in den Kommentaren.

Grafiken und Lizenzbedingungen (Creative Commons): botnets.fr

36 Kommentare zu "GVU-Trojaner entfernen"

  1. @ Daniel Weihmann

    Kleiner Hinweis, im Text klingt es so als wäre die *.pad-Datei „die einzige Schaddatei“. Genaugenommen ist diese *.pad-Datei aber eine der unschädlichsten Dateien der ganzen Übelkeit.
    Muss weg – ja, aber ist nicht die Hauptschaddatei. :-)

    Ansonsten habe ich Dir noch eine etwas längere Mail mit Infos zukommen lassen (ohne gesehen zu haben was Du bislang geschrieben hattest. :-| )

    Ansonsten Danke das Du Dich so ausführlich wiedermal damit befasst.

    Mit freundlichem Gruß,
    Simon

    (Fachinformatiker für Systemintegration)
    Mail me

  2. @ Daniel Weihmann, Simon

    Ihr seit doch Gut. ;-)

    Der BKA/GEMA/GVU Krempel hat sich halt geändert.

    Passt euere Anleitungen an.

    Tschau

    • @ Oldi-40

      Ich glaube wenn man den neuen Artikel sieht, sind wir bzw. ist Herr Weihmann dabei, oder?

      Ich selbst habe wenig „Anleitung“ auf meiner Seite und muss daher nicht wirklich was ändern, da meine Anleitung seit jeher recht universal Gültigkeit beweist.
      Weiterhin steht immernoch der Mail & Fernwartungssupport meinerseits zur Verfügung.

      Wer all das nicht hilfreich findet – der suche auf anderen (hier ebenfalls) verlinkten Seiten sich eine Lösung raus.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  3. Also ehrlich, wer auf so etwas reinfällt und die 100 Euro zahlt ist selber Schuld. Mit solchen Leuten habe ich auch kein Mitleid.

    Ein Freund von mir hat sich diesen GVU Trojaner eingefangen und der konnte mit eurer tollen Anleitung schnell entfernt werden.

    Vielen Dank!

    • Ich denke, dass eine ganze Reihe Leute die 100 € bezahlen @Jan. Zumindest scheint es sich, wie bei Versendern von Spam-E-Mails auch, finanziell für die Hacker zu lohnen.

      Auch wenn nur ein Bruchteil der Opfer darauf rein fällt, wird da weltweit eine Menge Kohle zusammen kommen.

    • @ Jan

      Nicht jede(r) findet das so offensichtlich!
      Manche Leute fallen speziell durch die Webcameinblendung etc. sofort drauf rein und haben schlicht Angst. Und genau das ist es was Sie dann dazu bringt Geld zu blechen (und nachher leider genausop weit zu sein wie zuvor auch).

      Die Masche mit der Angst greift halt immer wieder und viele Leute sind in Eile, sind geschockt, haben kein Verständnis dafür, fühlen sich ggf. zurecht betroffen, sind zu Alt um das schnell & klar zu überdenken.

      Mitleid braucht man nicht haben dafür, aber Verständnis.

      Ob man wieder kein Verständnis aber dafür Mitleid mit den Verursachern/Programmierern haben sollte – das steht auf einem anderen Blatt.

      Wie aber Herr Daniel Weihmann schon schrieb, es lohnt sich halt für die Leute.
      Denn sagen wir 1000 Rechner sind infiziert, 900 werden bereinigt = 100 die ggf. somit Geld zahlen.
      100 Leute x 100€uro = 10.000 €uro = netter Nebenverdienst.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  4. Da gibt es sicherlich einige die zahlen. Vorallem unbedarfte User, die nicht viel mit der Technik zu tun haben werden schnell mal überweisen um es aus der Welt zu schaffen.
    Ich hab einige unbedarfte Gelegenheitsuser in meinem Bekanntenkreis und alle hab ich so lange genervt, bis sie einen guten Virenscanner gekauft haben. Das ist der sicherste Schutz vor all dem unrat und ich bekomm keine Anrufe mehr, das der PC nicht mehr läuft oder auf einmal immer langsamer wird…

    • @ Dennis

      BACKUP’s und immer AKTUELL gehaltene Systeme vorsausgesetzt ist das dann eine gute Kombination – ja. :-)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  5. Hallo zusammen,

    ich habe ein kurze Frage. Leider habe ich gerade disen Problem auch dieser Anzeige und möchte den GVU-Trojaner entfernen. Ich habe das Bertriebssaystem Windows Vista. Gibt es hier auch eine Anleitung oder muss ich mich da an die Anleitung nach Windows 7 richten??? Wäre super wenn da jemand was weiß drüber.

    Vielen Dank im Voraus!!!

  6. Es lohnt sich garantiert für die Hacker. Bei den Millionen an Mails, die die jeden Tag verschicken und nur 0,1 Promille zahlen bleibt da bestimmt ordentlich was über. Wenn man dann noch Seiten dazu rechnet, die Schadcode haben, leben sie wahrscheinlich besser als mach ehrlich Arbeitender…

  7. Gibt es auch eine Anleitung für windows vista?

    • @ Harald

      Die Anleitung für Vista ist zu 99,9% die selbe wie für Windows 7 und zu ca. 98,5% die selbe wie für Windows XP.

      Sollte es dennoch noch Fragen/Probleme ergeben, einfach hier posten oder mir eine Mail schreiben.
      Ich versuche dann so schnell es mir möglich ist zu reagieren.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  8. Die neuste GVU -Version (mit der Webcam ) legt in der autostart den link ctfmon.lnk ab , dieser greift auf die Datei wpbt0.dll zu .
    Ich habe mich als administrator angemeldet , notfalls über abgesicherterten Modus . Erstmal den autostarteintrag aus dem user entfernen . danach malwarebytes runterladen und scannen lassen .Die markierten Probleme beheben lassen nach dem scan .Dann nochmal ccleaner (natürlich auch vorher installiert ) starten . Evtl gibts beim erstenmal Neustart die Fehlermeldung Windows kann … wpbt0.dll nicht finden , das soll ja auch so sein . Dann evtl nochmal die ganze Prozedur und dann ist Ruhe . Nach dem bearbeiten der Autostart lässt sich der rechner zumiindest schon mal normal starten . Für den BKA virus gibt es schon anleitungen genug . So , viel Erfolg

  9. MBAM=Mailwarebytes Anti-Mailware
    besorgen und installieren,mit update ,PC checken und entfernen. Pc neustarten und es ist geschichte.Das internetkabel vorher entfernen,bzw wlan deaktivieren,am router

  10. ich habe den pc vom internet getrennt (modem aus) dann neu gestartet. DVU Trojaner inaktiv. also via smartphone microsoft security essential runtergeladen. auf den pc installiert. updatemeldung angeklickt und schwupps DVU trojaner wieder aktiv ABER MSE im hintergrund ganz normal weiter upgedatet das war an der traffic led des modem zu erkennen. als traffic nach ein paar minuten aussetzte wieder weg vom netz und neustart. MSE drueberlaufen lassen und voila hat es restlos aufgeraeumt.

    unbedingt nochmal vollstaendige pruefung denn trotz avast hat MSE nochmals drei trojaner entdeckt! ich habe den pc vom internet getrennt (modem aus) dann neu gestartet. DVU Trojaner inaktiv. also via smartphone microsoft security essential runtergeladen. auf den pc installiert. updatemeldung angeklickt und schwupps DVU trojaner wieder aktiv ABER MSE im hintergrund ganz normal weiter upgedatet das war an der traffic led des modem zu erkennen. als traffic nach ein paar minuten aussetzte wieder weg vom netz und neustart. MSE drueberlaufen lassen und voila hat es restlos aufgeraeumt.

    unbedingt nochmal vollstaendige pruefung denn trotz avast hat MSE nochmals drei trojaner entdeckt!

  11. sorry nach anklicken des updat MSE muss modem eingeschaltet werden damit MSE neueste scandateien laden kann……

  12. So ***** Personen müste man ******* und mit ernen verosteten *******, solsche ******.
    Hoffe ich werde mir kein solchen Vierus einfangen.

    Carlos

    === Kommentar abgeändert von Daniel ===

    Nichts gegen die unzähligen Schreibfehler und gut möglich, dass einige der Trojaner-Opfer gern so reagieren würden wie Carlos … Aber ich habe den Kommentar so nicht auf dieser Seite stehen lassen können.

    • Help, mich hat es leider auch erwischt, nur scheitere ich daran, dass mein rechner/laptop keinen zeitpunkt findet, auf den sich das system wiederherstellen läßt… :-( was passiert denn nach den 48 stunden? ich fahre morgen in urlaub, finde so schnell keinen, der mir noch dieses programm auf cd brennen kann….. geht das alles auch später noch???? sorry, kenn mich echt nicht aus und wuerd mich über hilfe/tipps sehr freuen!!!!! danke!!!!
      anni

  13. Genau dieser Virus hat mich schon 2 mal erwischt.
    Ich wollte zuerst mein Computer Wiederherstellen, das ging aber nicht. Es kam immer wieder eine Fehlermeldung.
    Durch Formatierung und Neuinstallation hab ich den wegbekommen. Das ist echt unterstes Niveau von Geldabzocke.

  14. hier ein unkonventioneller und etwas einfacherer ansatz:
    lieber admin den eintrag oben bitte tilgen, ist doppelt gepasted deshalb unuebersichtlich.

    ich habe den pc vom internet getrennt (modem aus) dann neu gestartet. DVU Trojaner war ohne internetverbindung bei mir inaktiv. also via smartphone microsoft security essential (MSE) runtergeladen, geht auch mit laptop netbook oder 2.pc! MSE auf den befallenen pc installiert. updatemeldung fuer MSE angeklickt, modem einschalten und schwupps DVU trojaner wieder aktiv und hat den bildschirm ueberdeckt ABER MSE hat im hintergrund ganz normal weiter upgedatet das war an der traffic led des modem zu erkennen. als traffic nach ein paar minuten aussetzte wieder weg vom netz und neustart, DVU trojaner wieder inaktiv. also MSE drueberlaufen lassen und voila hat es restlos aufgeraeumt. unbedingt nochmal MSE in vollstaendiger pruefung denn trotz avast hat MSE nochmals drei trojaner entdeckt!

  15. Help. Ich komme aus irgendeinem Grund nicht in den abgesicherten Modus ( eine datei lädt nicht). ich hatte vor Ewigkeiten mal einen BKA trojaner, da hat es geholfen, WLAN auszuschalten, aber hier: keine Chance. Was kann ich tun? Habe Vista.

  16. Puh. Vorsichtiges Aufatmen: ich konnte von CD booten und dann das System wiederherstellen.

    Gerade scanne ich meinen Laptop mit Malwarebytes Anti-Malware. Muss ich noch etwas tun? Regedit o.Ä? Mangels abgesicherten Modus konnte ich die obige Anleitung ja nicht ausführen und das Problem somit nicht ganz sauber lösen, mh…

  17. Hallo,
    ich habe Windows 7 und bei mir war der Bildschirm auch imOfflinezustand gesperrt.
    Mir hat folgende Vorgehensweise geholfen:
    Da der Desktop gesperrt ist, kommen Sie nur über die Eingabeaufforderung wieder an Ihren PC. Wir führen Sie Schritt für Schritt durch dieses Prozedere:
    • Starten Sie Ihren PC über die Reset-Taste neu. Sobald das Gerät bootet, drücken Sie die Taste F8. Sie gelangen daraufhin in die Startoptionen von Windows.
    • Wählen Sie über die Tastatur den Punkt „Abgesicherter Modus mit Eingabeaufforderung“ aus und drücken Sie die Enter-Taste. Es dauert einige Zeit, bis alle Komponenten geladen sind. Sobald nur noch ein blinkendes Zeichen (vergleichbar wie in Word) angezeigt wird, ist der Ladevorgang abgeschlossen.
    • Tippen Sie nun „rstrui.exe“ ein und drücken Sie anschließend die Enter-Taste.
    • Es dauert einen Moment, ehe die Systemwiederherstellung vollständig geladen ist. Wählen Sie nun einen Zeitpunkt aus, zu dem Ihr PC noch nicht befallen war und stellen Sie den PC wieder her.

    Viele Grüße

  18. Als ich mir das ding von der gvu heute eingefangen habe war es erst mal ein ganz schöner Schreck. Die Seite ist sehr professionell aufgezogen. Allerdings hat mich skeptisch gemacht das keine Bankverbindung oder ähnliches angegeben war sondern nur ein Paysafe link. Ich habe daraufhin erstmal die systemwiederherstellung im abgesicherten modus gestartet und siehe da es funktionierte.
    Frohe Weihnachten und ein Virusfreies 2013.

  19. Hallo zusammen, auch mich hat’s erwischt und mit Zurücksetzen im abgesichten Modus geht auch nicht. In welchem Verzeichnis ist denn die „rstrui.exe“? Diese wird bei der Eingabeaufforderung nicht gefunden. Auch der Kaspersky Unlock wirkt nicht. Hat jemand eine gute Idee? DAnke!

  20. mich hat auch der bka virus erwischt,alles was hier aufgelistet wird hilft mir nicht.ich kann garnichts machen,kein abgesicherter modus noch die bootreihenfolge beeinflussen nichts geht der pc fährt egal was ich tue immer im gleichen modus hoch also über festplatte.egal was ich einstelle bei f2 – f12 … und nachdem win xp hochgefahren ist kommt augenblicklich diese seite vom bka mit der aufforderung innerhalb von 48std 100 per paysafe zu bezahlen.ich habe die auch runterlaufen lassen (also den pc 48std laufen lassen) gleiches ergebniß es bleibt alles so wie es ist.meine frage was kann ich tun,muß ich mir eine neue festplatte kaufen,was ist mit meinen daten,bin für jede hilfe dankbar !!!!

  21. was nun?

    habe mich angemeldet und bevor sich das blockierende GUV fenster önnen konnte, alles mögliche angeklickt, mich dann wieder ab zu melden. Es kam eine meldung mit den zwei hinweisen „Abmelden erzwingen“ und „abbrechen“

    beim klick auf abbrechnen musste ich zwar die zuvor wild geöffneten programme schliesen aber das GUV fenster kam nicht mehr…

    was nun?

  22. Hiiilffee auch ich habe diesen Virus auf dem Lappi und bei mir funktioniert nicht einmal mehr die Systemwiederherstellung die wird immer unterbrochen was kann ich denn noch machen meine ganzen Unterlagen sind auf dem Lappi gespeichert.

    • Auf jeden Fall erst mal die wichtigen Daten sichern. Du könntest dir eine Linux-CD besorgen (z.B. Ubuntu, Knoppix usw.) von dieser den Rechner starten und deine Daten auf eine externe Festplatte, DVD, USB-Stick etc. sichern.

      Diese CDs können im WWW frei herunter geladen werden. Oftmals sind sie auch in irgendwelchen Computer-Zeitschriften drin.

  23. İch hab den scheiss bekommen hab mein rechner sofort neu gestartet und hab mein rechner formatiert damit ist doch der virus gelöscht oder bitte um schnelle antwort oder hat wirklich die bundespolizei mich gehackt das glaub ich kaum.denn wir leben ja in einem rechtsstaat mit freiheit:)

    • Naja, mit der „Bundespolizei“ hatte dieser Virus nun wirklich nichts zu tun. Ist halt nicht immer das drin, was drauf steht …

      Mit einer Rechner-Neuinstallation ist der Müll natürlich entfernt. Auf jeden Fall aber alle Daten vor dem Zurückspielen überprüfen (z.B. mit Malwarebytes oder einem Antiviren-Programm)..

  24. Hilfe ich habe den virus auf meinem handy was soll ich machen? Ich komme nicht. Mal mehr in meine Einstellung rein Bitte. Gibt mir tipps

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*