Hallo,

das ist das erste Mal, dass ich generell in einem Forum schreibe. Hoffe nichts falsches gemacht zu haben.
Leider ist mein Rechner mit dem GVU virus infiziert. Ich habe die Anweisungen von "Markusg", wie am 31.05.13 gepostet, gefolgt - leider ist ein reboot aus CR ROM nicht möglich (obwohl ich CD ROM wähle).

Ich bin ein einfacher Anwender und habe eigentlich "sehr wenig Ahnung" von all diesen Sachen.

Wenn mir jemand helfen kann, dann bitte leicht verständlich.

Prüfe bitte ob du abgesichert booten kannst und teile mit welches Windows das ist.

So funktioniert es - Windows XP, Vista und 7:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:

Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung

Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

So funktioniert es - Windows 8: Alternative Anleitung

Hallo,

ich hatte schon vorher alle drei Möglichkeiten des abgesicherten Modus ausprobiert gehabt und bin soeben deiner Anforderung nachgegangen. Folgendes passiert:
Sobald ich den "Abgesicherter Modus mit Netzwerktreibern" selektiere erscheint eine Fenster mit der Meldung "Wählen Sie das zu startende Betriebssystem". Dabei steht zur Auswahl nur "Microsoft Windows XP Home Edition". Es handelt sich um XP service pack 3 - system 32.
Sobald ich hier bestätige erscheint ein Fenster wo abgesichertet Modus steht und danach erscheint das Windows XP Fenster mit der Anforderung den Benutzernamen zu selektieren "Administrator oder Persönlich".
Egal welchen Benutzernamen ich selektiere, Windows fährt hoch bis diese GVU Meldung kommt. Der Rest ist bekannt - nichts geht mehr.

Dann probieren wir das mal so:

Computer entsperren mit HitmanPro.Kickstart

Du brauchst hierfür einen USB-Stick. Achtung: Alle Daten darauf werden verloren gehen!

• Bereite deinen USB-Stick wie folgt vor: Anleitung: HitmanPro.Kickstart
• Schliesse deinen präparierten Stick an den infizierten Rechner an und starte ihn vom Stick: Anleitung: Starten vom USB-Stick
• Es erscheint ein Bootmenü von HitmanPro - wähle zunächst Methode 1 aus und wenn das nicht klappen sollte, dann Methode 2.
• Windows wird jetzt ganz normal starten. Wenn der Sperrschirm des Trojaners erscheint warte einfach ab. HitmanPro sollte in wenigen Sekunden gestartet werden (grünes Fenster).
• Klicke jetzt: Weiter > "Nein, ich möchte nur einen Einmalscan ..." > Weiter
• Der Computer wird jetzt untersucht, mache in dieser Zeit bitte nichts.
• Klicke dann weiter, um die Funde in die Quarantäne zu verschieben.
• Klicke jetzt unten links auf "Logfile speichern" und lege es auf dem Desktop ab.
• Lasse den Rechner neu starten, berichte ob alles geklappt hat und poste mir hier das Logfile von HitmanPro.

Video-Anleitung: HitmanPro.Kickstart in Aktion (englisch)

Folgendes Problem: Der saubere Laptop worüber ich HitmanPro gedownloaded und im Stick gespeichert habe ist eine 64 Version wobei der befallene Rechner (altes Gerät) die 32 Version hat. Deshalb bekomme ich folgende Meldung

64-Bit Betriebssystem erkannt.
Diese Version unterstützt nur 32-Bit Versionen von Windows.
Klicken Sie auf "OK" um ... die 64-Bit Version herunterzuladen.

Was kann ich jetzt tun?

Übrigens, beim befallenen Rechner habe ich folgende Änderung im Bios vorgenommen:

Hard disk boot priority
1st Bood device [USB-FDD]
2nd Bood device [USB-CDROM]
3rd Bood device [Hard Disk]

Mir ist der unterschied von USB-FDD und USB-CDROM nicht bekannt und dachte lieber diese Reihenfolge dann booted der Rechner schon vom richtigen. Ist diese Einstellung ok?

Naja ein USB Diskettenlaufwerk hat praktisch niemand

Soweit ich mich erinnere mußt du den Stick dann mit der anderen Version vorbereiten. Wenn das auch nicht klappt, dann versuche bitte den Stick bei einem Freund/Bekannten/Familie vorzubereiten.

Die Bootreihenfolge sollte okay sein. Aber normalerweise reicht es einfach mit einem Tastendruck das Bootmenü aufzurufen.

Hast du ggf. eine Installationsdisk zur Verfügung?

Du meinst ich kann die 64 Bit Version benutzen obwohl das System die andere hat?

Ich glaube eine Installationsdisk zu haben. Diese als ich den PC gekauft hatte. Aber wenn ich diese benutzen soll, dann gehen doch alle Daten verloren und ich muss alles neu installieren, oder?

Ja probiere es doch einfach.

Die Installationsdisk enthält Tools mit denen wir da ran können.

Hallo,

hitmanpro mit 32bit bekomme ich nicht mit kickstart hin. Habe es mit der 64er Version geschaft, diesen im Rechner gesteckt und eingeschaltet. Bei insgesamt drei Versuchen bekam ich den gleichen Ablauf.

- Windows xp lädt sich auf
- parallel blinkt der USB Stick
- Rechner fährt hoch wie üblich bis die GVU Meldung kommt
also bootet der Rechner nicht über USB obwohl im BIOS eingestellt.

Was nun? Bin mir sicher die Installationsdisk zu haben. Wie sollte ich damit umgehen oder haben wir noch eine Chance mit USB?

Du müßtest eben von der Installdisk booten, damit wir in die Reparaturkonsole kommen, aber du schreibst ja, dass du nicht von CD starten kannst. Aber von USB kannst du offenbar auch nicht starten. Sehr mysteriös ...

Wir müssten irgendwie eine Möglichkeit finden, irgendwie den Rechner zu starten. Aber alle diese Möglichkeiten scheinen nicht zu funktionieren. Daher bin ich auch etwas ratlos.

Und du bist absolut sicher, dass du kein Hardwarebootmenü finden kannst? So wie in diesem Post?

http://www.trojaner-board.de/132035-...ml#post1026552

Da bin ich wieder.

Frag mich bitte nicht aber irgendwie habe ich es geschafft in meinem Rechner zu kommen (von diesem scheibe ich auch jetzt). Habe hitmanpro direkt installiert und habe folgendes ergebnis bekommen:

Code: Alles auswählenAufklappen

ATTFilter

HitmanPro 3.7.6.201
www.hitmanpro.com

   Computer name . . . . : HOME-EF3216AB11
   Windows . . . . . . . : 5.1.3.2600.X86/2
   User name . . . . . . : HOME-EF3216AB11\SM
   License . . . . . . . : Trial (30 days left)

   Scan date . . . . . . : 2013-07-02 19:21:57
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 8m 10s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 25
   Traces  . . . . . . . : 4139

   Objects scanned . . . : 551.522
   Files scanned . . . . : 15.008
   Remnants scanned  . . : 101.747 files / 434.767 keys

Malware _____________________________________________________________________

   C:\Dokumente und Einstellungen\SM\Eigene Dateien\Downloads\install_flash_player_ax.exe -> Quarantined
      Size . . . . . . . : 2.167.808 bytes
      Age  . . . . . . . : 377.9 days (2012-06-19 21:13:33)
      Entropy  . . . . . : 7.7
      SHA-256  . . . . . : 56A34CAD38BA542246AA7C86D7FDA14BEEFDA74CFE50DB1ED68EE01CA21DFD6E
      Product  . . . . . : Adobe FlashPlayer Update Installer
      Publisher  . . . . : Adobe Systems Incorporated.
      Description  . . . : Installer for Adobe FlashPlayer Update Installer
      Version  . . . . . : 11.4.170.10
      Copyright  . . . . : Copyright © 2012 by Adobe Systems Incorporated.
    > G Data . . . . . . : Gen:Variant.Zusy.9244
      Fuzzy  . . . . . . : 108.0

   C:\Dokumente und Einstellungen\SM\Lokale Einstellungen\Temp\iqu_bootstrap.exe -> Quarantined
      Size . . . . . . . : 110.592 bytes
      Age  . . . . . . . : 416.9 days (2012-05-11 21:54:41)
      Entropy  . . . . . : 6.3
      SHA-256  . . . . . : 84CE1099D3F8EA3DC0B27D676092BF18880211705C4094586FD17E1F7E64602E
      Publisher  . . . . : W3i, LLC
      Version  . . . . . : 1.0.0.0
      Copyright  . . . . : Copyright (C) 2011 W3i, LLC
    > Ikarus . . . . . . : Virus.Win32.Malware!IK
      Fuzzy  . . . . . . : 100.0

   C:\Dokumente und Einstellungen\SM\Lokale Einstellungen\Temp\xcdmxus -> Quarantined
      Size . . . . . . . : 68.096 bytes
      Age  . . . . . . . : 10.2 days (2013-06-22 15:05:41)
      Entropy  . . . . . : 7.3
      SHA-256  . . . . . : FB7127F3712C6499D9D7F6216BA405ABA0AB65D913A8F36D33593D1B055E3068
    > Ikarus . . . . . . : Trojan.Win32.Urausy!IK
      Fuzzy  . . . . . . : 115.0


Potential Unwanted Programs _________________________________________________

   HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1\ (AskBar)
   HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd\ (AskBar)
   HKU\S-1-5-21-1993962763-1303643608-725345543-1004\Software\Softonic\ (Softonic)
Cookies _____________________________________________________________________

   C:\Dokumente und Einstellungen\SM\Cookies\35G431JW.txt
   C:\Dokumente und Einstellungen\SM\Cookies\3FSOCU6P.txt
   C:\Dokumente und Einstellungen\SM\Cookies\57REUQJL.txt
   C:\Dokumente und Einstellungen\SM\Cookies\BS44XJ6X.txt
   C:\Dokumente und Einstellungen\SM\Cookies\EZQEP0IM.txt
   C:\Dokumente und Einstellungen\SM\Cookies\GI7BFH5Z.txt
   C:\Dokumente und Einstellungen\SM\Cookies\JX8YBORD.txt
   C:\Dokumente und Einstellungen\SM\Cookies\QK1IC3R1.txt
   C:\Dokumente und Einstellungen\SM\Cookies\R2LSS7AW.txt
   C:\Dokumente und Einstellungen\SM\Cookies\sm@ad.yieldmanager[2].txt
   C:\Dokumente und Einstellungen\SM\Cookies\sm@adviva[2].txt
   C:\Dokumente und Einstellungen\SM\Cookies\sm@cdn5.specificclick[2].txt
   C:\Dokumente und Einstellungen\SM\Cookies\sm@content.yieldmanager[1].txt
   C:\Dokumente und Einstellungen\SM\Cookies\sm@interclick[1].txt
   C:\Dokumente und Einstellungen\SM\Cookies\sm@msnportal.112.2o7[1].txt
   C:\Dokumente und Einstellungen\SM\Cookies\sm@specificclick[2].txt
   C:\Dokumente und Einstellungen\SM\Cookies\sm@tradedoubler[1].txt
   C:\Dokumente und Einstellungen\SM\Cookies\sm@vodafonegroup.122.2o7[1].txt
   C:\Dokumente und Einstellungen\SM\Cookies\sm@www.googleadservices[1].txt
   C:\Dokumente und Einstellungen\SM\Cookies\sm@yadro[1].txt
   C:\Dokumente und Einstellungen\SM\Cookies\SZM40O9T.txt
   C:\Dokumente und Einstellungen\SM\Cookies\T1M8U9CZ.txt
         

ENDE.

Jetzt funzt zwar der Rechner aber weiss nicht ob alles ok ist. Mir ist auch folgendes aufgefallen:

Im Windows Sicherheitsfenster ist die Funktion "Automatische Updates" auf Inaktiv. Sobald ich auf den Button aktivieren klicke erscheint folgende Meldung:

"Das Sicherheitscenter konnte die Einstellungen nicht ändern. Ändern Sie diese manuell, indem Sie die Systemsteuerungsoption Automatische Updates öffnen. Wählen Sie darin die Option Automatisch (empfohlen) und klicken Sie auf ok.

Aber da ist doch auf automatische Updates eingestellt. Was kann ich hierfür tun?

Ich habe den Rechner noch nicht ausgeschaltet - habe Angst beim wiedereinschalten kommt wieder diese blöde GVU Meldung.

Vorausgesetzt es ist jetzt alles ok würde ich mich um eine Software Empfehlung, wie ich meinen PC richtig schützen kann, freuen. Zwei weitere PCs sind im Haus, allerdings laufen diese mit 64bit.

Bin gespannt auf dein Feedback.

Nein das war nur ein erster Schritt. Da ist vermutlich noch was sehr unangenehmes versteckt wie ich das sehe.

Mache bitte jetzt folgendes:

Scan mit DDS (mit attach)

Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com

• Schließe alle laufenden Programme und starte DDS mit Doppelklick.
• Ändere keine Einstellung ohne Anweisung.
• Klicke auf Start.
• Es werden 2 Logfiles auf deinem Desktop erstellt.
  • dds.txt
  • attach.txt
• Poste die beiden Logfile hier, möglichst in CODE-Tags. (Anleitung)

Ich klicke auf Start, das Programm läuft und wird innerhalb von Sekunden geschlossen aber es werden keine logfiles im Desktop erstellt. Ich habe auch die gesamte Festplatte durchsucht, da sind sie auch nicht!?!?!?

Mache ich etwas falsch?

Rechtsklick als Administrator?

Wie Rechtsklick als Administrator? Auf die DDS im Desktop?
Da kann ich doch nur Öffnen wählen.
oder
Ausführen als...
Aber bei Ausführen als kann ich nicht als Administrator sondern nur als aktueller Benutzer arbeiten.