GVU virus - reboot über CD ROM nicht möglich
 

Hallo,

das ist das erste Mal, dass ich generell in einem Forum schreibe. Hoffe nichts falsches gemacht zu haben.
Leider ist mein Rechner mit dem GVU virus infiziert. Ich habe die Anweisungen von "Markusg", wie am 31.05.13 gepostet, gefolgt - leider ist ein reboot aus CR ROM nicht möglich (obwohl ich CD ROM wähle).

Ich bin ein einfacher Anwender und habe eigentlich "sehr wenig Ahnung" von all diesen Sachen.

Wenn mir jemand helfen kann, dann bitte leicht verständlich.

Prüfe bitte ob du abgesichert booten kannst und teile mit welches Windows das ist.

Hallo,

ich hatte schon vorher alle drei Möglichkeiten des abgesicherten Modus ausprobiert gehabt und bin soeben deiner Anforderung nachgegangen. Folgendes passiert:
Sobald ich den "Abgesicherter Modus mit Netzwerktreibern" selektiere erscheint eine Fenster mit der Meldung "Wählen Sie das zu startende Betriebssystem". Dabei steht zur Auswahl nur "Microsoft Windows XP Home Edition". Es handelt sich um XP service pack 3 - system 32.
Sobald ich hier bestätige erscheint ein Fenster wo abgesichertet Modus steht und danach erscheint das Windows XP Fenster mit der Anforderung den Benutzernamen zu selektieren "Administrator oder Persönlich".
Egal welchen Benutzernamen ich selektiere, Windows fährt hoch bis diese GVU Meldung kommt. Der Rest ist bekannt - nichts geht mehr.

:killpc:

Dann probieren wir das mal so:

Computer entsperren mit HitmanPro.Kickstart

Du brauchst hierfür einen USB-Stick. Achtung: Alle Daten darauf werden verloren gehen!

• Bereite deinen USB-Stick wie folgt vor: Anleitung: HitmanPro.Kickstart
• Schliesse deinen präparierten Stick an den infizierten Rechner an und starte ihn vom Stick: Anleitung: Starten vom USB-Stick
• Es erscheint ein Bootmenü von HitmanPro - wähle zunächst Methode 1 aus und wenn das nicht klappen sollte, dann Methode 2.
• Windows wird jetzt ganz normal starten. Wenn der Sperrschirm des Trojaners erscheint warte einfach ab. HitmanPro sollte in wenigen Sekunden gestartet werden (grünes Fenster).
• Klicke jetzt: Weiter > "Nein, ich möchte nur einen Einmalscan ..." > Weiter
• Der Computer wird jetzt untersucht, mache in dieser Zeit bitte nichts.
• Klicke dann weiter, um die Funde in die Quarantäne zu verschieben.
• Klicke jetzt unten links auf "Logfile speichern" und lege es auf dem Desktop ab.
• Lasse den Rechner neu starten, berichte ob alles geklappt hat und poste mir hier das Logfile von HitmanPro.

Video-Anleitung: HitmanPro.Kickstart in Aktion (englisch)

Folgendes Problem: Der saubere Laptop worüber ich HitmanPro gedownloaded und im Stick gespeichert habe ist eine 64 Version wobei der befallene Rechner (altes Gerät) die 32 Version hat. Deshalb bekomme ich folgende Meldung

64-Bit Betriebssystem erkannt.
Diese Version unterstützt nur 32-Bit Versionen von Windows.
Klicken Sie auf "OK" um ... die 64-Bit Version herunterzuladen.

Was kann ich jetzt tun?

Übrigens, beim befallenen Rechner habe ich folgende Änderung im Bios vorgenommen:

Hard disk boot priority
1st Bood device [USB-FDD]
2nd Bood device [USB-CDROM]
3rd Bood device [Hard Disk]

Mir ist der unterschied von USB-FDD und USB-CDROM nicht bekannt und dachte lieber diese Reihenfolge dann booted der Rechner schon vom richtigen. Ist diese Einstellung ok?

Naja ein USB Diskettenlaufwerk hat praktisch niemand :)

Soweit ich mich erinnere mußt du den Stick dann mit der anderen Version vorbereiten. Wenn das auch nicht klappt, dann versuche bitte den Stick bei einem Freund/Bekannten/Familie vorzubereiten.

Die Bootreihenfolge sollte okay sein. Aber normalerweise reicht es einfach mit einem Tastendruck das Bootmenü aufzurufen.

Hast du ggf. eine Installationsdisk zur Verfügung?

Du meinst ich kann die 64 Bit Version benutzen obwohl das System die andere hat?

Ich glaube eine Installationsdisk zu haben. Diese als ich den PC gekauft hatte. Aber wenn ich diese benutzen soll, dann gehen doch alle Daten verloren und ich muss alles neu installieren, oder?

Ja probiere es doch einfach.

Die Installationsdisk enthält Tools mit denen wir da ran können.

Hallo,

hitmanpro mit 32bit bekomme ich nicht mit kickstart hin. Habe es mit der 64er Version geschaft, diesen im Rechner gesteckt und eingeschaltet. Bei insgesamt drei Versuchen bekam ich den gleichen Ablauf.

- Windows xp lädt sich auf
- parallel blinkt der USB Stick
- Rechner fährt hoch wie üblich bis die GVU Meldung kommt
also bootet der Rechner nicht über USB obwohl im BIOS eingestellt.

Was nun? Bin mir sicher die Installationsdisk zu haben. Wie sollte ich damit umgehen oder haben wir noch eine Chance mit USB?

Du müßtest eben von der Installdisk booten, damit wir in die Reparaturkonsole kommen, aber du schreibst ja, dass du nicht von CD starten kannst. Aber von USB kannst du offenbar auch nicht starten. Sehr mysteriös ...

Wir müssten irgendwie eine Möglichkeit finden, irgendwie den Rechner zu starten. Aber alle diese Möglichkeiten scheinen nicht zu funktionieren. Daher bin ich auch etwas ratlos.

Und du bist absolut sicher, dass du kein Hardwarebootmenü finden kannst? So wie in diesem Post?

http://www.trojaner-board.de/132035-...ml#post1026552

Da bin ich wieder.

Frag mich bitte nicht aber irgendwie habe ich es geschafft in meinem Rechner zu kommen (von diesem scheibe ich auch jetzt). Habe hitmanpro direkt installiert und habe folgendes ergebnis bekommen:

ENDE.

Jetzt funzt zwar der Rechner aber weiss nicht ob alles ok ist. Mir ist auch folgendes aufgefallen:

Im Windows Sicherheitsfenster ist die Funktion "Automatische Updates" auf Inaktiv. Sobald ich auf den Button aktivieren klicke erscheint folgende Meldung:

"Das Sicherheitscenter konnte die Einstellungen nicht ändern. Ändern Sie diese manuell, indem Sie die Systemsteuerungsoption Automatische Updates öffnen. Wählen Sie darin die Option Automatisch (empfohlen) und klicken Sie auf ok.

Aber da ist doch auf automatische Updates eingestellt. Was kann ich hierfür tun?

Ich habe den Rechner noch nicht ausgeschaltet - habe Angst beim wiedereinschalten kommt wieder diese blöde GVU Meldung.

Vorausgesetzt es ist jetzt alles ok würde ich mich um eine Software Empfehlung, wie ich meinen PC richtig schützen kann, freuen. Zwei weitere PCs sind im Haus, allerdings laufen diese mit 64bit.

Bin gespannt auf dein Feedback.

Nein das war nur ein erster Schritt. Da ist vermutlich noch was sehr unangenehmes versteckt wie ich das sehe.

Mache bitte jetzt folgendes:

Scan mit DDS (mit attach)

Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com

• Schließe alle laufenden Programme und starte DDS mit Doppelklick.
• Ändere keine Einstellung ohne Anweisung.
• Klicke auf Start.
• Es werden 2 Logfiles auf deinem Desktop erstellt.
  • dds.txt
  • attach.txt
• Poste die beiden Logfile hier, möglichst in CODE-Tags. (Anleitung)

Ich klicke auf Start, das Programm läuft und wird innerhalb von Sekunden geschlossen aber es werden keine logfiles im Desktop erstellt. Ich habe auch die gesamte Festplatte durchsucht, da sind sie auch nicht!?!?!?

Mache ich etwas falsch?

Rechtsklick als Administrator?

Wie Rechtsklick als Administrator? Auf die DDS im Desktop?
Da kann ich doch nur Öffnen wählen.
oder
Ausführen als...
Aber bei Ausführen als kann ich nicht als Administrator sondern nur als aktueller Benutzer arbeiten.

Ist der Benutzer mit dem du arbeitest ein Administrator? Wenn nein, dann wechsele ins Adminkonto.

Geht nicht. Unter Benutzer wechseln steht keine Auswahl ausser meiner privaten.

Gibt es einen anderen Weg, welchne ich nicht kenne?

Wenn ja, bitte um eine Anleitung. Wie anfangs geschrieben bin ich nur ein Anwender und manchmal fällt es mir sehr schwer etwas zu verstehen.

Danke für all die Mühe aber ich muss jetzt Schluss machen. Ist zu spät geworden und morgen früh fängt der neue Tag seht früh an.

Wir probieren mal folgendes:

Computer mit Combofix entsperren

1. Combofix kopieren
   • Lade dir Combofix an einem sauberen Rechner (evtl. Nachbar, Freund, ...) von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
2. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
3. Combofix starten
   • Tippe explorer (Enter)
   • Finde den USB-Stick und starte Combofix mit einem Doppelklick.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle anderen Warnungen mit OK.
4. Logfile posten
   • Es könnte eine Warnung erscheinen, ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor anklicken - Anleitung)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo,

sorry - ich hatte gestern ganz andere Probleme. Also ich habe heute wieder den Rechner hochgefahren und er läuft normal für einen Anwender. Habe wieder mehrmals versucht mit dds aber diese logfiles werden einfach nicht ezeugt. Ich werde jetzt die nächste Möglichkeit wie von dir am 02.07.13 versuchen.

Folgender Ablauf:
Start mit Eingabeaufforderung
- Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
- Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
- Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.

Nachdem ich die F8 Taste mehrmals gedrückt habe bekam ich zuerst die Auswahl worüber der Rechner booten soll. Dann habe ich USB Card selektiert. Im Bios ist immer noch USB Card an erster Stelle eingestellt. Erst jetzt bekomme ich die Möglichkeit den Abgesicherten Modus mit Eingabeanforderung zu selektieren. Das tue ich auch, tippe explorer und bestätige mit der Enter Taste.
Danach erscheint nur ein schwarzer Bildschirm und an jeder Ecke steht abgesicherter Modus. Jetzt passiert gar nichts mehr.

Schon 2 Mal ausprobiert.

HILFE wie gehts weiter?

Hallo,

ich habe den Rechner mit AVIRA überprüfen lassen und folgende Funde sind entdeckt worden:

Object

Objekt Fund Aktion
724db3c7-7404b096 JAVA/Dldr.Obfshlp.OA In Quarantäne verschieben
49fa7042-6524cac3 EXP/CVE-2013-1493... In Quarantäne verschieben
skype.dat TR/MalCrypt.JH.1 In Quarantäne verschieben

Ich werde jetzt die Aktion durchführen und alle in Quarantäne verschieben.

Hier noch die Befunde über das AVIRA logfile.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\SM\Anwendungsdaten\skype.dat
[FUND] Ist das Trojanische Pferd TR/MalCrypt.JH.1
C:\Dokumente und Einstellungen\SM\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\49fa7042-6524cac3
[0] Archivtyp: ZIP
--> Base.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.A.332
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Ocoo.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.A.339
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Dokumente und Einstellungen\SM\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\724db3c7-7404b096
[0] Archivtyp: ZIP
--> Cxzcxz.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.125
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Cxzcxz$Leak.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.126
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Cxzcxz$MBI.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.127
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Cxzcxz$MCS.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.128
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Nkfnkf2.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.129
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Nkfnkf3.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.130
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Nkfnkf4.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.PA
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Nkfnkf5.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.OU
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Nkfnkf6.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jgr.131
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> wh.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Obfshlp.OA
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\SM\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\724db3c7-7404b096
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Obfshlp.OA
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51ee40e3.qua' verschoben!
C:\Dokumente und Einstellungen\SM\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\49fa7042-6524cac3
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2013-1493.A.339
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494b6f4b.qua' verschoben!
C:\Dokumente und Einstellungen\SM\Anwendungsdaten\skype.dat
[FUND] Ist das Trojanische Pferd TR/MalCrypt.JH.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1b6135f5.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 4. Juli 2013 23:08
Benötigte Zeit: 1:09:57 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

13997 Verzeichnisse wurden überprüft
429753 Dateien wurden geprüft
13 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
429740 Dateien ohne Befall
6044 Archive wurden durchsucht
12 Warnungen
3 Hinweise
402734 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Es gibt da eine Variante:

Computer mit Combofix entsperren

1. Batch-Datei vorbereiten
   • Drücke Windowstaste + R > notepad (eintippen) > Enter
     Kopiere den folgenden Text vollständig in das Fenster:
     
     Code:

     ---

     @echo off
copy %0\..\combofix.exe "%userprofile%"\desktop
"%userprofile%"\desktop\combofix.exe

     ---

   • Speichere die Datei als start.bat ab und wähle auch Batch-Datei als Dateiformat.
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!).
2. Combofix kopieren
   • Lade dir Combofix von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
3. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
4. Laufwerksbuchstaben finden und Combofix starten
   • Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
   • Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird deine Batchdatei und Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
   • Wenn du es gefunden hast tippe start.bat (Enter)
   • Combofix sollte jetzt starten.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle Warnungen mit OK.
5. Logfile posten
   • Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Hallo,

nach mehrmaligen Versuchen hier mein Problem.
Ab Buchstabe D kann ich deinen Anweisungen nicht folgen. Auf meinem PC hat der Stick den Buchstaben G. Sobald ich G: eintippe und die enter Taste drücke erscheint weiterhin das schwarze Fenster mit dem blinkenden Cursor für mehrere Sekunden und dann wird Windows hochgefahren. Hier bekomme ich die Anmeldeauswahl Administrator oder Privat und an dieser Stelle schalte ich den PC aus.

Mache ich etwas falsch oder ist der PC so stark infiziert?

Auf jeden Fall danke ich dir für dir Zeit und die Mühe die du für meine Angelegenheit investierst.

Wenn du weißt, dass es g: ist, dann kannst du einfach eingeben:

g:\start.bat

Evtl klappt es dann.

Geht leider nicht.

Nach Eingabe und enter Taste erscheint wie schon beschrieben das schwarze Fenster mit dem blinkenden Cursor für mehrere Sekunden und dann wird Windows hochgefahren. Hier bekomme ich die Anmeldeauswahl Administrator oder Privat und an dieser Stelle schalte ich den PC aus.

Was noch? Würde alles ausprobieren um die Kiste rein zu bekommen.

Wir hatten eingangs doch versucht mit FRST zu scannen - funktioniert das evtl doch?

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis, nachdem du deine Logfiles hier eingestellt hast.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen