GVU-Trojaner eingefangen
 

Hallo an Alle,

normalerweise arbeite ich mir Firefox und wollte vorhin testen ob eine bestimmte Webseite auch im IE läuft, da das bisher nicht korrekt funktionierte. Kaum hatte ich die Webseite im IE geöffnet, meldet mein Anti Vir mir, dass exe .... Zugriff auf meinen Laptop nehmen will und ich habe auf Zugriff verweigern geklickt. Im gleichen Moment ist mein Laptop lahmgelegt und es erscheint die erpresserische Warnmeldung "Computersperre durch GVU" und nichts geht mehr.

Über mein Ipad habe ich mich im Netz schlau gemacht und bin jetzt über meinen infizierten Laptop, auf dem ein 2. Benutzer eingerichtet ist, hier im Forum.

Ich betreibe ein Internetgeschäft und alle aktuell relevanten Daten befinden sich auf meinem Laptop unter dem Hauptbenutzer. Die letzte Datensicherung habe ich im Dezember 2012 gemacht.

Zugegebenermaßen bin ich ziemliche Niete, was technische Sachen an meinem Laptop betrifft.

Ich habe im Netz einige Hinweise gelesen, was zu tun ist, um den Trojaner zu entfernen, muss aber zugeben, dass mir der Mut fehlt, die Bereinigung zu starten. Meine größte Sorge im Moment ist, dass ich alle aktuell relevanten Daten fürs Geschäft verliere.

Mein Betriebssystem: siehe Anhang

Wie gehe ich am sichersten vor?

Liebe Grüsse
Emanuele

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.


Gelesen und verstanden?

Scan mit Farbar's Recovery Scan Tool

Downloade dir bitte die passende Version des Tools und speichere diese auf einen USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Irgend etwas übersehe ich gerade :headbang:.

Das Recovery Scan Datei habe ich auf den USB Stick geladen, in den Laptop eingesteckt und den Laptop gestartet, F8 gedrückt und Computer reparieren gewählt.

Dann erscheint der Startbildschirm, wo ich mein Betriebssystem und Benutzerkonto ausgewählt habe. Ich habe hier an der Stelle das infizierte Konto gewählt (ist das eventuell verkehrt) und dann lädt der Laptop und ich bekomme keine Computerreparaturoptionen angezeigt, sonder die GVU .... dass mein Rechner gesperrt ist etc. pp.

Wenn ich das andere Benutzerkonto auswähle, kommt nur der normale Startbildschirm von Windows. Auch hier sehe ich keine Computerreparaturoptionen.

Was mache ich verkehrt?

LG Emanuele

Nein. Du hast das zu spät gedrückt. Drücke es mehrmals kurz nachdem die BIOS-Meldungen verschwinden bis ein Auswahlschirm in Textdarstellung erscheint.

Sorry ... ich bin eine PC Niete

verfolge diese Anleitung und wähle aber computer reparieren

Irgendwie fehlt mir etwas in deiner Antwort und ich nehme mal an, dass ich den Scan nochmal im Abgesicherter Modus mit Netzwerktreibern machen sollte?

Du sollst eben nicht abgesichert booten. Aber vom dem Auswahlbildschirm aus "Computer reparieren" wählen. Siehe meine ursprüngliche Anleitung.

Nochmal der Reihe nach:

Ich habe den Bootmanager aufgerufen, da steht Computer reparieren. Da kann ich nichts eingeben.

Darunter steht:
Abgesicherter Modus
Abgesicherter Modus Mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung und den habe ich zuletzt gewählt.

Nur "Eingabeaufforderung" wie in deiner Anleitung steht, ist da nirgends ... siehe Anhang.

So blind kann ich doch nicht sein :rolleyes:

Na wenn du Computer reparieren anwählst sollst du vielleicht auch Enter drücken?

Das habe ich ja zu allererst geschrieben, wenn ich das anklicke, wird mein normaler Startbildschirm geladen, wo ich das entsprechende Benutzerkonto auswählen kann.

Ich habe mal gegoogelt, meinst du diese Ansicht, die dann kommen müsste:

hxxp://tipps4you.de/tipp-73-win7.html

Die kommt bei mir nicht :mad:

Sobald ich bei "Computer reparieren" Enter drücke, sehe ich unten kurz einen Balken "Windows lädt Datein", der auch was lädt und dann kommt "Windows wird gestart und es erscheint der normale Startbildschirm von Windows.

In Ordnung. Sowas passiert normalerweise eben nicht.

Also weiter: Du kannst also abgesichert booten?

Computer mit Combofix entsperren

1. Batch-Datei vorbereiten
   • Drücke Windowstaste + R > notepad (eintippen) > Enter
     Kopiere den folgenden Text vollständig in das Fenster:
     
     Code:

     ---

     @echo off
copy %0\..\combofix.exe "%userprofile%"\desktop
"%userprofile%"\desktop\combofix.exe

     ---

   • Speichere die Datei als start.bat ab und wähle auch Batch-Datei als Dateiformat.
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!).
2. Combofix kopieren
   • Lade dir Combofix von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
3. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
4. Laufwerksbuchstaben finden und Combofix starten
   • Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
   • Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird deine Batchdatei und Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
   • Wenn du es gefunden hast tippe start.bat (Enter)
   • Combofix sollte jetzt starten.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle Warnungen mit OK.
5. Logfile posten
   • Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Puuuh ... ich hoffe, dass ich alles richtig gemacht habe.

Was mir bei deinen Ausführugen fehlt, dass ich nicht weiß, ob ich schon wieder als Adminstrator Windows starten kann? Ich bin jetzt über den 2. Benutzer online.

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:

Wieder ganz normal booten.

Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.


Alternativer Link: SecurityCheck Download

Zwischenfrage: Wo kommt das Windows.old Verzeichnis her und ist da noch was sinnvolles drin?


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Java Update (Windows XP, Vista, 7)

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version und speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version (Java 7 Update 17) herunter laden.
• Während der Installation entferne den Haken bei:
  http://www.trojaner-board.de/picture...&pictureid=319

Wenn die Installation beendet wurde:

• Start > Systemsteuerung > Programme und deinstalliere alle älteren Java Versionen, falls vorhanden, und starte deinen Rechner neu.

Nach dem Neustart:

• Öffne erneut die Systemsteuerung > Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen...
• Gehe sicher, dass überall ein Haken gesetzt ist und klicke zweimal OK.

Schritt 2:
Update: Adobe Reader

• Deinstalliere deine alte Version von Adobe Reader (Systemsteuerung > Programme > Deinstallieren).
• Lade dir die aktuelle Version hier herunter: get.adobe.com/de/reader/
• Entferne dabei den Haken:
  http://www.trojaner-board.de/picture...&pictureid=320

- oder -

Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:

• Lade dir den Foxit Reader von www.foxitsoftware.com/downloads/ .
• Starte die Installation und entferne dabei die folgenden Haken:
  http://www.trojaner-board.de/picture...&pictureid=321

Zwischenantwort :)

Wenn ich ehrlich bin, weiss ich das nicht so genau. Heute beim Scannen habe ich gesehen, dass das ein riesiger Ordner voller Daten ist, der ewig gescannt wurde. Ich benutze diese Daten jedoch nicht, weil ich auch bis heute nicht wusste, dass es diesen Ordner gibt.

Die einzige Erklärung, die ich habe, letztes Jahr im Mai ist mir der Laptop mit einem anderen Fehler abgeschmiert und ich habe ihn zur Datenrettung und Reparatur bei uns in ein Computergeschäft gegeben. Sie haben mir alles widerhergestellt. Vielleicht ist er da über geblieben ...

Kann ich den löschen und dann führe ich die von dir beschriebenen Schritte durch?

ahja das ist sehr gut möglich!

Nun er stört auch erstmal nicht. Aber evtl sollte man sich überlegen ob man den irgendwann mal entfernt.

Mein Java ist jetzt auf dem neusten Stand und dann habe ich mir den Foxit Reader geladen und installiert.

Die anderer Schritte, die du aufgeführt hast, habe ich auch erledigt.

Wenn ich den Laptop neu starte steht da jetzt immer:

Remove Disks Ort other media
Press any Key to restart

Das gehört doch da nicht hin?

Ich habe gelesen, dass du Montag deinen Ruhetag hast und es keine Antworten gibt. Bei derkompetenten und freundlichen Hilfe, ist der auch mehr als verdient :). Trotzdem habe ich eine Frage. Kommenden Samstag will ich für 14 Tage in einen lang geplanten Urlaub gehen, ganz ohne Internet. Ich müsste für meine Vertretung in meinem Internetgeschäft noch einige wichtige Sachen vorbereiten. Vom Ipad aus ist das sehr mühseelig und viele Sachen befinden sich auf dem Laptop. Kann ich den Laptop zumindest schon dafür wieder benutzen?

Nein das gehört da nicht hin. Liegt eine CD im Laufwerk oder steckt ein USB stick und es wird versucht davon zu bootten?

Mein USB-Stick ... sorry

Also bitte :)

Schade, dass du meine Frage nicht mehr beantwortet hast, ob ich den Laptop schon wieder nutzen kann bzw. ob es jetzt sicher ist? Ich bin nämlich etwas irritiert weil ESET ja noch 7 Sachen gefunden hatte.

Die werden jetzt entfernt.

Prima! :daumenhoc

Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich.

Schritt 1:
Tools deinstallieren

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: jetzt auf re-enable klicken.
2. Falls Combofix benutzt wurde: Windowstaste + R > Combofix /Uninstall (eingeben) > OK (Alternativ in uninstall.exe umbenennen und starten)
3. Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen. Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.

Code:

---

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

---

Abschließend noch Tipps zu folgenden Themen:

• Systemupdates
• Softwareupdates
• Sicherheitssoftware
• Sicheres Surfen

Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc

... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Guten Abend ryder,

die letzten Sachen habe ich durchgeführt und sage an dieser Stelle für deine nette und kompetente Hilfe :dankeschoen:

Es läuft alles wieder und ich bin heilfroh, dass alle Daten noch da sind.

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/