Hallo Leute.
Habe da ein GVU-Trojaner Problem.
Bei mir ist auf meinem anderen Computer der Erpresser-GVU Bildschirm erschienen, der 100€ verlangt.
Mein Computer läuft mit Windows XP Prof.
Habe versucht in den abgesicherten Modus zu kommen (Start mit F8 mehrmals drücken, habe es auch, nach einem Tipp in irgend einem Forum mit ESC versucht, hat auch nichts geholfen) gelingt mir leider nicht. Unbeachtet startet der Computer bis zu dem GVU Bildschirm.
Ich verstehe ziemlich wenig von den Computern, so habe ich auch keine Ahnung was Logfiles sind, darum kann ich hier derzeit so etwas nicht anbieten. Ich weiß nur, dass beim Neustart des Computers nur der Erpresserbildschirm erscheint und ich absolut nichts machen kann.
Habe auch bei Kaspersky und bei Avira nach einer "rescuedisk" gesucht, aber nichts entdecken können.
Wäre für einen guten Tipp dankbar.

hi,

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo schrauber.

Danke für den schnellen Tipp. Habe es genau nach der Anleitung gemacht. Er bootet hoch (die CD läuft deutlich und dann "blättert sie" hin und her, Bildschirm bleibt schwarz und auch nach einigen Minuten passiert dann gar nichts.
Das ist wahrscheinlich kein gutes Zeichen.
'Ne Idee, was ich noch probieren könnte?
Gruß

Kommst ins BIOS? Extperten mode oder so, AHCI und IDE Einstellungen, je nachdem wie es eingestellt ist mal tauschen.

Leider auch nicht.

Würde es eventuell so klappen können - die Festplatte raus und an einen anderen Computer anhängen als externe? Würde ich den Trojaner dann irgendwie finden?

Mit einem AV Programm ja, mit unseren Scannern nicht.

Erstellen einer UBCD4Win-CD und Scan mit FRST (Windows XP)

Die folgenden Schritte sind sehr komplex, daher druckst du dir die Anleitung besser aus. Außerdem brauchst du:

• Einen funktionierenden Computer mit DVD/CD-Brenner
• Einen CD-Rohling.
• Einen USB-Stick.

Falls du bei den folgenden Schritten eine Fehlermeldung bekommst, gib mir bitte Bescheid und gib an, an welcher Stelle das genau passiert ist.

A) Lade dir bitte die Ultimate Boot CD für Windows

• Speichere es auf deinen Desktop und doppelklicke die UBCD4Win.EXE.
• Folge den Anweisungen auf dem Bildschirm.
• Wichtig:
  • Installiere es nicht in einen Ordner mit Leerzeichen!
  • Dein Virusscanner könnte anschlagen, wenn die Dateien entpackt werden. Dies sind aber Fehlalarme.

B) Lege deine Windows XP CD mit SP1/SP2/SP3 (Servicepacks) in dein CD-Laufwerk

• Doppelklicke die UBCD4WinBuilder.exe im Ordner c:\ubcd4win, falls du nicht gleich vom Setup dorthin gesprungen bist.
• Unter Windows Vista / 7 / 8 musst du den Builder mit Rechtsklick > Als Administrator starten.
• Klicke Ich stimme zu, bei der nächsten Frage: Nein
• Im folgenden Menü mache folgende Einstellungen:
  • Quelle: Klicke "..." und wähle das Laufwerk aus.
  • Zusätzliches: Lass das hier leer.
  • Zielordner: Hier steht "BartPE", lass das so.
  • Bootmedium: "ISO-Image erstellen" sollte angewählt sein - belasse dies so.
  Hinweis: Falls deine XP-CD das Service Pack 1 enthält (nur dann), mache bitte folgendes:
  • Klicke auf Plugins.
  • Deaktiviere !Critical: DComLaunch Service
  • Aktiviere !Critical: LargeIDE Fix
  • Klicke: Schliessen
  Hinweis: Falls du eine Installations-CD von Dell hast, dann folge bitte diesem Link für weitere Hinweise.

C) Klicke jetzt auf den Start-Button

• Klicke zum Erstellen des Verzeichnisses auf Ja.
• Klicke auf "Ich stimme zu", warte einige Minuten während das Image erstellt wird und dann auf schliessen > Beenden.

D) Brenne das ISO-Image auf den CD-Rohling: Anleitung

E) Lade Farbar's Recovery Scan Tool auf den sauberen Rechner und speichere es auf den USB-Stick.

F) Schließe den USB-Stick an den infizierten Rechner an, lege die UBCD4Win-CD ein und starte ihn.

• Sorge dafür, dass der Computer von CD startet. (Anleitung)
• Es erscheint ein Fenster in dem du die Ultimate Boot CD für Windows auswählst und Enter drücken sollst. Dies kann eine Weile dauern, sei einfach geduldig.
• Wenn der Desktop erscheint, wird eine Nachricht erscheinen: Do you want to start Network support? Antworte mit Ja, wenn du sofort online gehen willst, um dein Logfile zu posten.
• Es erscheint ein blauer Desktop mit grüner Schrift und einigen Icons auf der linken Seite.

G) Klicke auf das Computersymbol oben links, finde Farbar's Recovery Scan Tool (FRST.exe) auf deinem USB-Stick.

• Starte FRST mit einem Doppelklick.
• Bestätige die Abfrage.
• Klicke auf Scan
• Ein Logfile namens FRST.txt wird erstellt. Poste es hier in deinem Thema, möglichst in CODE-Tags (#-Symbol im Editor).

Und da habe ich schon das Problem. Punkt F. Ich kann dafür nicht sorgen, dass es von der CD startet, weil keine der Tasten (Esc, F1, F2, F10, F11, F12, Del) beim Hochfahren funktioniert. Es wird auch beim Hochfahren nicht angezeigt (wie es normal war) mit welcher Taste man unterbrechen kann. Dies alles ist ausgeschaltet. Ist doof, aber ist so. Schade, dass ich hier nicht einen der Programmierer des Trojaner habe. Das würde mich beruhigen und er würde nie wieder solchen Unfug machen. Lässt mich schon verzweifeln, denn neu aufsetzen würde mich wieder mal 2 Wochen kosten, abgesehen von all den verlorenen Dateien und Mails, die ich eigentlich brauche.

Du kannst nicht von CD booten oder das Bios erreichen? Fast unmöglich, auf jeden Fall hat der Teil nix mit Malware zu tun.

Wie gesagt - ich habe es versucht, es passiert nichts. Und beim Hochfahren kann ich egal welche Taste tippen, er fährt einfach hoch, bis zu dem Erpresserbildschirm.

Siehst Du nen Schriftzug mit "Press Del to enter Setup" oder halt mit F2, F10, oder nen Schriftzug mit Bootmenü?

Siehst Du allgemein irgendwelche weiße Schrift wo Arbeitsepciher und FEstplatten geladen werden?

Leider wird nichts angezeigt. Als erstes was angezeigt wird ist windows, das blaue Bild, wo steht, dass es geladen wird.

Viel früher. Selbst wenn Du nix siehst, drück den Einschaltknopf und direkt danach wie ein irrer super oft F8, da muss was kommen.

Das habe ich auch gedacht. Ich drücke den Neustartknopf und ab da habe ich die Taste wie verrückt gedrückt. Ich habe schon alle F-Tasten, die Esc und die Entf Taste probiert. Leider nichts. Ich habe sogar probiert die Platten abzustecken, damit ich ins Bios komme. Auch nichts.

Steht da vielleicht Am Anfang was mit "Press Tab to enter Boot Screen"?

Ein Freund von mir ist hier und er hat den Monitor direkt an die onboard Grafikkarte angeschlossen und siehe da - bios hat er erreicht. Jetzt läuft gerade (seit Stunden) die Kasperski rescue disc drüber (habe ich mir von chip.de geholt). Die Version ist von März 2013, ich hoffe, dass es frisch genug ist. Was mache ich, wenn er nichts findet?

(Übrigens - vielen vielen Dank für die freundliche Hilfe, finde es wirklich Klasse.)