GVU Trojaner - Probleme mit Hirens Boot CD und Farbars Recovery
 

Ich habe mir leider auch den GVU Trojaner eingefangen. Aktuell startet der PC nach der Anmeldung meines Benutzeraccounts (es gibt nur diesen einen) mit einem Dialogfenster, in dem ich gebeten werden, ein Kameramedium auszuwählen. Breche ich ab oder klicke ich das Fenster weg, erscheint die bekannte GVU-Warnseite und ich kann garnichts mehr tun.
Nach einigem Googeln, habe ich auf einem Zweitrechner die Hirens Boot CD gebrannt und damit wie in Alex Kens Youtube Videos die Dateien unter Windows-System32-config umbenannt, aus der Regbak "system" und "software" in den Ordner kopiert und die Temp-Verzeichnisse unter Program Data und Users gelöscht. Einige auffällige Dateien, die er in seinem Video fand, gab es bei mir nicht bzw. ich vermute, sie verstecken sich woanders (???) Jedenfalls führte ein Neustart, der am Ende dessen stehen sollte, nicht zum Erfolg - alles wie gehabt - der Trojaner ist noch da.
Ich habe nun zusätzlich das Farbar's recovery scan tool runtergeladen. Dies konnte ich nur direkt auf dem Zweitrechner (wird automatisch in einen Download-Ordner geladen) speichern und habe es dann auf den USB-Stick kopiert.
Wenn ich meinen befallenen Rechner über den USB-Stick starten möchte, bekomme ich aber die Meldung "Medienfehler - für Neustart drücken" und kann dann wieder nur die Mini XP-Version über Hirens oder eben normal starten, was ja aktuell nichts bringt, da der Trojaner alles blockt.
F8 während des Hochfahrens führt auch zu keinem Ergebnis. Ich habe außerdem noch versucht im Mini XP-Modus die Farbar Recovery über den Stick zu starten. Der Scan läuft auch durch, wirft am Ende aber nur eine Datei mit "Whitlist"-Elementen aus.
Als völliger Laie bin ich nun ratlos und weiß nicht, was ich falsch gemacht bzw. vergessen habe und hoffe daher sehr auf kompetente Ratschläge aus dem Forum!!!
Viele Grüße
Sabrina

Hallo Sabrina,

was hast du denn für ein Betriebssystem? Windows XP, Vista, 7? Ist es ein 32-bit oder 64-bit Rechner?

Ja, sorry, hätte ich vielleicht erwähnen sollen;-) - Windows 7.
Viele Grüße

Dann versuch nochmals FRST.
Du musst das nicht von Stick booten, sondern in die Reperaturoptionen gehen:


Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager

• Starte den Rechner neu auf.
• Während des Hochfahrens drücke mehrmals die F8 Taste.
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und boote von der CD.
• Wähle die Spracheinstellungen und klicke Weiter.
• Klicke auf Computerreparaturoptionen.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.

• Gib nun bitte notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
  • Lese nun hier den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl ein und drücke Enter:

  e:\frst64.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
• Akzeptiere den Disclaimer mit Yes und klicke Scan.

Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.

Habe gestartet und es mit F8 versucht. Die Option "Computer reparieren" erschien nicht, stattdessen startete jetzt erstmals das Systemreparaturprogramm. Das lief durch und bot mir am Ende wieder das bekannte 1. Starten vom Hard Drive, 2. Windows Mini XP, 3. Dos irgendwas etc. Das Starten mit 1. zeigte, dass der Trojaner noch da ist.
Ich habe den Rechner wieder ausgemacht, neuer Startversuch mit F8 führt wieder nur auf die BIOS Seite mit den obigen Möglichkeiten.
Muss ich die Boot-Reihenfolge wieder ändern und Hard Drive auf 1 setzen und außerdem die Hirens CD rausnehmen, bevor ich es erneut versuche?
VG

Ja, Hirens CD raus, von Hard Drive booten und mit F8 versuchen, in das Menü zu gelangen, wo du die Reperaturoptionen auswählen kannst. (Das ist übrigens dasselbe Menü, wo auch ein Start in den abgesicherten Modus aufgeführt werden sollte!)

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.