ComputerBase Menü
Aktuelles

GVU-Trojaner - kein Erfolg mit Kaspersky Rescue Disk 10

L

lead341

Lt. Commander
Registriert
Apr. 2005
Beiträge
1.895
Hallo,

ich habe mir gestern den GVU-Virus (also "Ihr Computer wurde gesperrt", "zahlen Sie 100 Euro" etc.) zugezogen (es ist möglich, in den abgesicherten Modus + Eingabeaufforderung zu gehen. Unter msconfig/autostart wird dieser als Prozess "runctf" aufgeführt.). Darauf hin hatte ich gemäß zahlreicher Anleitungen im Internet auf einem anderen Rechner die Kaspersky Rescue Disk 10 erstellt und den befallenen Rechner damit gebootet:

1) Zuerst habe ich via "Terminal" den "windowsunlocker" gestartet,

2) danach einen kompletten Systemscan via Rescue Disk (nach Update) gemacht.

Aus unerfindlichen Gründen hat das jedoch nichts gebracht - das heißt bei einem darauf folgenden Neustart erscheint am Anfang wieder das GVU-Fenster und ich kann nichts machen.

Woran könnte dies liegen?

Gruß lead
 
Moin erst den Scann incl Onlinrupdates durchlaufen lassen. Dann terminal starten und Windowsunlocker mit 1 bestätigen das ears. Mache ich fast Täglich so ohne probleme bei uns im Shop.
 
Schadensbeseitigung BKA-Trojaner

Vielleicht gelingt es Ihnen ja auch, Ihren Computer mit einem Zweit-User, also ein anderer eingetragener Benutzer, unter Windows zu starten. Dann gehen Sie auf die Suche nach unbekannten .exe-Dateien mit Datum der Infizierung. Vermutlicher Ort: Temp-Verzeichnis, sinnigerweise bei den meisten Benutzern als verstecktes Verzeichnis eingetragen. Auch die Autostart-Gruppe wird in einigen Fällen als Dateispeicherort für die Schadsoftware angegeben. Ein Scannen mit MalwareBytes von Anti Malware mit aktueller Signaturdatenbank und ein abschließendes Scannen mit einer aktualisierten Antivirenschutz-Software sollte dann das Übel restlos beseitigen. Keinesfalls sollten Sie die entsprechenden Dateien einfach nur so löschen, die Trojaner haben mittlerweile die Eigenart, sich in der Registry zu verewigen.

Hier beispielhafte Logeinträge von Malwarebytes:

• C:\Users\USER\AppData\Local\Temp\deo0_sar.exe (Spyware.Zeus)
• D:\Users\USER\Favorites\_favdata.dat (Malware.Trace)
• C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen)
 
Moin,

schonmal per abgesicherten Modus in die msconfig geschaut ? (Systemstart). Manchmal tragen sich die Biester auch da ein. Mal schauen ob sich da etwas kryptisches ála jxfsdfg02.exe (Bsp.) versteckt. Meist irgendwo im Pfad des Windows Ordners. Das Deaktivieren und neu starten.

Hatte mir schonmal geholfen.

Viel Erfolg,
morduk
 
naja nix für ungut ... aber von dem Teil gibt es mittlerweilen soviele Abarten ... und du bist ja wie sich zeigt nichtmal in der Lage Anleitungen zum entfernen korrekt auszuführen ... und du glaubst wirklich du kriegst so dein System wieder sauber ?

Ein deratig kompromitiertes System kann man nicht mehr trauen ...ausser du kannst den Virencode lesen und verstehen ^^
 
Danke für die Antworten.

@-=Hellraiser=-: werde ich jetzt gleichmal in dieser Reihefolge machen.

@ F1Freak: wie genau funktioniert das mit dem Zweitrechner? Wenn ich mich "abmelde", gibt es nur einen Nutzer - mich.

@ morduk: der reine abgesicherte Modus bringt nichts - da auch da das GVU-Fenster erscheint. Ich kann lediglich in den abgesicherten Modus + Eingabeaufforderung gehen. Dort komme ich auch in die msconfig. Unter Systemstart finde ich auch den schädlichen Eintrag (runctf ...), aber das Häkchen-Entfernen bringt leider nichts. Beim normalen Neustart ist er wieder im Autostart.

@ Luxuspur: was meinst Du mit ich sei nicht in der Lage, Anleitungen zum Entfernen korrekt auszuführen? Ich gebe zu, Profi bin ich darin sicher nicht, da mir dies das erste Mal in 13 Jahren (Internetnutzung) passiert ist - aber was genau habe ich denn falsch gemacht?
 
Das einzig wichtige von Luxuspur's Post ist, dass es (wie bei jedem Virus/Trojaner) die besser Wahl ist, das System komplett neu aufzusetzen.

MSConfig alleine bringt auch nicht unbedingt was, da auch in der Registry Autostarteinträge stehen.
 
1. Internet aus machen!
Danach startet er nicht.

Lies dir oben meinen Link mal durch. Und 2. must du Java Aktuell halten sowie im Firefox AdBlocker und Scriptblocker! Danach passiert das nicht mehr. Den sowas kommt nur von 3. Seiten mit unseriösen Werbebanner! Streamseiten und XXX
 
Ok - problematisch an der Sache ist jedoch, dass ich vor 1 Woche die letzte Sicherheitskopie gemacht habe. D.h. vieles ist zwar in "Sicherheit", die Arbeit der letzten Woche aber eben nicht. Nun ist mir bei der Kaspersky Rescue Disk 10 aufgefallen, dass er das ganze mit einem alternativen Betriebssystem öffnet (Linux?). Ich kann doch auch meine Daten - bspw. doc-files - sehen. Kann ich diese von dort aus irgendwie sichern?

@duAffentier: danke für die Links! Bzgl. Internet: auch wenn ich den Rechner vom Netz abstecke, kommt die Meldung leider immer noch.

Update Datensicherung: es ist tatsächlich möglich, sämtliche Daten über die Linux-Oberfläche problemlos auf einem USB-Stick zu sichern und dann gegebenenfalls auf einem anderen Rechner noch einmal mit dem Virenscanner zu überprüfen. Ich hätte nicht gedacht, dass das so einfach geht. Das "entschärft" natürlich die Situation erheblich.
 
Zuletzt bearbeitet:
Ich habe auch schon einige Erfahrung mit dem Trojaner hinter mir.

Was immer geholfen hat war folgendes:

abgesicherter Modus mit Eingabeaufforderung>msconfig eingeben>Systemwiederherstellung ausführen , Wenn du Glück hast, hat das System eine Sicherung von den letzten Tagen angelegt, also vor dem Trojanerbefall.

Nach der Systemwiederherstellung müsste das System wieder starten. Danach Daten sichern und System neu aufsetzen.
 
Ich kann dir meine Erfahrung mit 2 infizierten Rechnern schildern.
Mittels der Desinfec't von c't, habe ich beide BKA-Trojaner sauber entfernen können.
 
Solche Trojaner bestehen meist aus zwei Teilen: Der Schad-Teil und der Blockade-Teil. Es klingt so, als wäre zumindest die Schadsoftware von Kaspersky gekillt worden, was aber nicht heisst, dass alles restlos entfernt wurde. Erfahrungsgemäss bleibt leider das Blockadefenster übrig.
In einem persönlich erlebten Fall aktivierte sich das Blockadefenster nur, wenn Internetverbindung bestand. Andere Benutzeraccounts auf dem Rechner waren nicht betroffen. Also konnte man sich mit dem Administratoraccount oder einem anderen Account mit Administratorrechten anmelden und in den "beschädigten" Account reinschauen. Sicherlich könnte man den "beschädigten" Account auch löschen, wenn man dort nicht allzuviel Aufwand in "Verschönerung" und Einstellungen etc. gesteckt hat. Im Internet gibts auch Tutorials wie man den deaktivierten Administrator-Account aktiviert.
Das Blockadefenster lag letztendlich unter Eigene Dateien oder Gemeinsame Dateien und nannte sich "firefox.exe". Dümmlicherweise hat man hier als Softwarehersteller "Black Horse Inc." statt "Mozilla" eingetragen. Dieses Programm wurde durch einen modifizierten Registry-Eintrag automatisch gestartet. Durch einen Bug lassen sich Schlüssel mit ungültigen Zeichen nicht anzeigen, hier half ein kleines Programm RegDelNull von Sysinternals/Microsoft.
Vermutlich hat der TE den "Übeltäter" bereits als "runctf.exe" identifiziert. Also diesen erstmal ausfindig und unschädlich machen.

Sollten die Bereinigungsbemühungen erfolgreich gewesen sein, wäre die erste Maßnahme, den eigenen User von sämtlichen Administratorrechten zu befreien!
 
Malwarebytes hast du nicht auf deinem System installiert oder? denn dann hätte ich geschrieben, versuche ob du damit einen Full-Scan im Abgesicherten Modus machen kannst(ging bei mir letzte Woche als mich auch ein GVU Trojaner erwischte). Was du machen könntest wenn du noch einen sauberen PC hast: lade dir dort Hitman Pro Kickstarter: http://blog.botfrei.de/2012/12/hitmanpro-kickstart-kampf-der-ransomware/ runter und setze das gegen den GVU Trojaner ein. Aber selbst wenn dir eine Bereinigung erfogreich gelingt, solltest du im Anschluß wenn du deine wichtigen Daten gerettet hast entweder dein System neu aufsetzen oder aber ein vorhandenes Systembackup einspielen mit der Boot/Rettungs-CD deines Backup Programms.
Alles andere ist eben nur Murks.
Bei einen solchen Befall weißt Du im Endeffekt nie was so ein Trojaner noch alles auf
Deinem Rechner angestellt hat.
Zum Vergrößern anklicken....
Deine Aussage bezüglich des Murks ist aber nur dann richtig, wenn die betroffenen User keine Systembackups zum wiedereinspielen zur Hand haben.
 
Zuletzt bearbeitet:
Meine Eltern hatten ihn auch vor ein paar Monaten sich zugezogen. Habs nach der Sempervideo Anleitung gelöscht. Hat mich ~20 Minuten gekostet und alles läuft wieder Reibungslos. Ich kann die Beträge zum Thema "Umbedingt Neuinstallieren" nicht ganz verstehen. Man weis mittlerweile genau was der Virus alles macht und was nicht.
https://www.youtube.com/watch?v=QT5rnrVe74s

mfg
 
Ich hatte auch schonmal solch einen Fall an meinem Rechner. Habe damals mit einem Ubuntu Livesystem meine Daten gerettet und über das Livesystem auch den MBR überschrieben. Sind nur ein paar Kommandozeilen in der Shell. Allerdings musst du natürlich sicher sein, dass alle deine wichtigen Daten gesichert sind. Wenn du den MBR überschreibst ist es nämlich aus mit deiner aktuellen Windows- Installation. Habe es nur aus meiner paranoiden Haltung gegenüber dieser Schädlinge heraus gelöscht. Mein System habe ich danach natürlich wieder neu aufgesetzt. Du musst den MBR vermutlich nicht löschen. Kommt drauf an ob diese Abart des Trojaners sich auch dort eingenistet hat. In den meisten Fällen allerdings dürfte das nicht vorkommen. Wie gesagt was das Thema angeht bin ich paranoid ;).

Grüße
 
Danke für die zahlreichen Antworten -diese haben doch eine ganze Menge unterschiedliche Optionen aufgezeigt, die ich bei künftigen Fällen nutzen kann.

Wir haben das Problem nun wie folgt in Griff bekommen:

1) die Kasperski Rescue Disk hat tatsächlich ihre Schuldigkeit getan: nach dem der Scan durchgelaufen war (er hatte ein paar mehr Einträge als beim ersten Durchlauf gefunden) und ich den WindowsUnlocker aktiviert hatte, konnte ich endlich wieder auf die Windows-oberfläche

2) Per "Teamviewer-Noteinsatz" eines Freundes haben wir dann noch die restlichen Spuren eliminiert: es handelte sich im wesentlichen um zwei Dateien (u.a. die runctf), die ursprünglich im Autostart-Ordner lagen. Kaspersky hatte diese zwar schon eliminiert, aber interessanterweise gab es noch eine backup-location, von welcher die Schadprogramme wohl jedes Mal aufs Neue geladen wurden. Auch diese "backup-files" ließen sich relativ problemlos löschen.

3) Komplizierte war die registry-Analyse, die besagter Freund manuell vorgenommen hat - u.a. via Befehle wie "runonce" etc. Ich gehe davon aus, dass wir dort alle Spuren finden konnten.

Ich lasse jetzt noch mehrfach den Antiviren-Scanner laufen - msconfig sowie Taskmanager scheinen aber fürs erste sauber.
 
Na ist ja mal gut das dein System nun wieder läuft. Ich würde an deiner Stelle nicht nur den Virenscanner nochmal drüberlaufen lassen(was für einen hast du denn?) wenn du das System nicht neu aufsetzt, sondern auch Malwarebytes Free: http://de.malwarebytes.org/products/malwarebytes_free (bitte nicht die 15 tägige Trial der Pro aktivieren bei der Installation)und Malwarebytes Antirootkit: http://www.malwarebytes.org/products/mbar/(ist zwar noch Beta läuft aber stabil)dein System überprüfen lassen. Backups des Systems machst du ja glaube ich schon oder;)
 
purzelbär schrieb:
...........
Deine Aussage bezüglich des Murks ist aber nur dann richtig, wenn die betroffenen User keine Systembackups zum wiedereinspielen zur Hand haben.
Zum Vergrößern anklicken....

Nun das ist aber auch selbstredend so. Denn wer immer ein aktuelles Image
hat ist hier natürlich nicht von betroffen. Aber diese Menschen werden hier
auch gar nicht erst fragen müssen. ;)

@ TE:

um sicher zu gehen würde ich mindestens einen Scaqn mit dem ESET Onlinescanner
machen und danach dann mit Malwarebytes Anti-Malware. Und dann am besten noch
einen Scan mit OTL. Weiteres hier:

http://www.trojaner-board.de/96344-anleitung-massnahmen-absicherung-rechners.html

http://www.trojaner-board.de/85104-otl-otlogfile-by-oldtimer.html
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

P
DVD brennen mit Linux Live System, bzw. Kaspersky Rescue Disk
2 3 4
Antworten
72
Aufrufe
4.535
sedot
sedot
S
Kaspersky Rescue Disk, aktuelle Version deutlich schneller als früher?
Antworten
14
Aufrufe
1.774
brianmolko
B
D
Nach Kaspersky Rescue Disk unter Win10 keine Netzwerkverbindung mehr
Antworten
6
Aufrufe
905
Smily
Smily
G
Kaspersky Rescue Disk inkl. Linux-Virensignaturen
Antworten
5
Aufrufe
1.367
FireW
F
S
Brauche dringend neuste Kaspersky Rescue Disk Version!
Antworten
9
Aufrufe
1.622
Randy89
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz