Bitte um Hilfe beim GVU -Trojaner der anscheinend nen Rattenschwanz zum Vorschein bringt.

Dymosis

Hallo Ihr "gelben -Engel" vom Trojaner-Board,

kurz Vorweg:
Ich habe Win 7 32Bit, welches überwiegend verwendet wird (Freundin/ Bekannte die schnell was im Internet schauen wollen, etc.)

Auf einer anderen Festplatte habe ich Win 7 64Bit, welches nur ich verwende für Onlinebanking und zum spielen.

Auf der selben Festplatte wie Win 7 64Bit, befindet sich zusätzlich Ubuntu, welches ich für meine Uni benötige.

Am 19.12. surfte meine Freundin im Internet, als plötzlich der Rechner "gesperrt" wurde vom GVU Trojaner.

Ich habe daraufhin den Rechner vom I-net getrennt und den Rechner mit der "Kaspersky Rescue 10" -CD gebootet. Erst dann habe ich die I-net Verbindung wieder hergestellt, die Rescue 10 geupdatet und sofort einen vollständigen Scan durchgeführt.
Wenn ich mich recht erinnere, ergab der Scan um die 75 Funde, die ich teilweise "desinfizieren" konnte, u.a. mehrere Java Dateien. -Teilweise, weil beim desinfizieren plötzlich einige Funde nicht mehr auffindbar waren.

Ich habe dann einen Neustart durchgeführt und Win 7 32Bit gestartet. Die Sperrung war aufgehoben. -Es gab aber nach jedem Neustart eine Fehlermeldung der Rundll (bis ich in der Msconfig den Haken dafür entfernt habe) und wenn ich den Rechner herunter fahren möchte, zeigt er an das ein Programm beendet wird und das Herunterfahren "erzwungen" wird - Es steht dort aber nicht welches Programm das sein soll.
Dennoch habe ich danach direkt noch einmal einen kompletten Scan von der Rescue 10 -CD aus gestartet, der aber ohne Funde verlief.

Ich habe daraufhin trotzdem mein Avira deinstalliert und mir erstmal eine Testversion von Kaspersky Internet Security 2013 installiert.

Heute (26.12.) sind mir ein paar merkwürdige und beunruhigende Dinge aufgefallen:

- auf der Voransicht meiner Bilder, sind bei einigen ein "Vorhängeschloss" in der Ecke (ähnlich die das "Admin"-Symbol z.B. an der OLT.exe)
- es ist nicht möglich, selbst nach deaktivierung der Firewall von Kaspersky IS13, die Windows-Firewall zu aktivieren. (In der MsConfig ist sie aber als "wird ausgeführt" makiert)
- Der Rechner startet Win 7 32Bit nur vernünftig, wenn ich den Rechner vom I-net getrennt habe, ansonsten hängt er sich sozusagen auf, bis mein Desktop verschwindet und nur mein Mauszeiger auf einem schwarzen Hintergrund liegt (es ist nicht möglich den TaskManager zu starten)

Nun zu meinem Anliegen:

- ist es möglich mein System noch zu retten oder muss ich neu aufsetzen? Ist mein Win 7 64Bit jetzt auch betroffen?
Ich habe kein Problem damit meine Win7 64bit/Ubuntu Festplatte zu formatieren und neu aufzusetzen (dafür würde ich natürlich die "stark" infizierte Festplatte durch Stecker ziehen "deaktivieren"), aber ich brauche sehr viele Daten von der infizierten Festplatte, bevor ich diese formatieren kann. Ich brauch auch nicht unbedingt nochmal die Win 7 32bit -ein Windows reicht ja auch ;-)
Durch die Schattenkopie und natürlich durch den Befall habe ich aber Angst, das ich mein System direkt wieder neu infiziere, sobald ich dann die meine Daten sichern möchte.

Ich hoffe sehr das Ihr mir helft und sei es nur mit einem Rat wie ich die Formatierung und Datensicherung ohne neuinfizierung schaffe.
Dafür möchte ich mich im Vorfeld schon mal bei Euch für Eure Mühen bedanken! -Ihr gelben Engel

Dymosis