Gelöst: Ich habe vermutlich den GVU-Virus 2.04. Zumindest das Bild stimmt, das Verhalten nicht. Auf dem PC läuft WinXP SP3 mit automatischer Anmeldung über Tweak-UI. Der Virus holt sich möglicherweise neue Daten aus den Netz.

Ausgangszustand:
Abgesicherter Modus geht nicht, Rechner startet sofort neu. Bei normalem Start ist nur das GVU-Bild zu sehen, keine weiteren Aktionsmöglichkeiten.

Lösungsversuch:
Nach Anleitung mit Kaspersky Windows-Unlocker alles durchgeführt. PC vom Netz getrennt. Neustart, aber der abgesicherte Modus klappt immer noch nicht, der PC startet einfach neu. Nach normalem Start ist der Desktop leer, die Taskleiste weg und der Mauszeiger kann bewegt werden, aber die Tasten sind ohne Wirkung. Links kann keinen Rahmen aufziehen, rechts ist ohne Reaktion. Mit Strg-Alt-Enf meldet sich für fünf Sekunden der Taskmanager und schließt sich dann selbstständig. Dennoch kann ich den Taskmanager in dieser Zeit mit der Maus bedienen. Netzwerk an und sofort erscheint das GVU-Bild. Erneuter Check mit Kaspersky, aber erstaunlicherweise haben sich die Reg-Schlüssel nicht geändert. Also weiter ohne Netzwerk. Da beim normalen Start einige Programme per Autostart ausgeführt werden, habe ich nach einem Start mit Knoppix einfach ein .exe Programm aus dem Autostart durch unhide ersetzt in der Hoffnung, so den Desktop wieder herzustellen. Aber auch hier wieder das 5-Sekunden Problem. Sobald unhide fertig ist, sehe ich für 5-Sekunden alle Icons und die Taskleiste. Dann verschwindet alles wieder. Sobald eine Netzwerkverbindung besteht ist das GVU-Bild wieder da.

Lösung:
Von einer WindowsPE-CD gestartet, den Onlinescanner ESET mit dem Browser gestartet und laaaange gewartet. Die Ergebnisse zeigen etliche Dateien in
C:\System Volume Information\.....dll Win32/LockScreen.AKR Trojaner
C:\Dokumente und Einstellungen\Karl\Anwendungsdaten
C:\Dokumente und Einstellungen\Karl\Lokale Einstellungen\Temp\seti0.exe Win32/LockScreen.AKR Trojaner
Diese Dateien habe ich alle in ein anderes Verzeichnis verschoben oder umbenannt.
In C:\Dokumente und Einstellungen\Karl\Lokale Einstellungen\Temp\ habe ich alle Dateien, die das Datum zum Zeitpunkt der Infektion oder später haben ebenfalls verschoben. Wahrscheinlich kann man auch einfach alle Daten löschen.
Neustart und der ganze Spuk ist weg! Netzwerk ein und auch jetzt passiert nicht, alles klappt wie immer!!

Ich war verwundert, dass das GVU-Bild nur bei bestehender Internetverbindung gezeigt wird und dass der abgesicherte Modus nicht klappt. Das ist m.E. neu.

Karl

Das Verschwinden von Symptomen bedeutet nicht, dass dein Rechner auch sauber ist!

Um eine genauere Analyse zu ermöglichen, befolge bitte diesen Link:

An alle Hilfesuchenden! Was muss ich vor Eröffnung eines Themas beachten?