GVU-Trojaner: Ich kann noch nicht mal von CD/USB starten
 

Guten Abend.
Ich habe hier den Rechner eines Bekannten, der mit dem GVU-Trojaner befallen ist.
Ich habe bereits mehrfach versucht von einer Boot-CD oder USB zu starten und obwohl die Einstellung im BIOS richtig waren, war es mir nicht möglich von CD oder USB zu starten. Beim letzten Versuch mit Hiren's Boot CD auf CD ist sogar wieder von der Festplatte gestartet worden, obwohl im Bios CD als erstes und einziges Bootlaufwerk eingestellt ist.

Meine Frage:
Was kann ich machen um den GVU-Trojaner dennoch loszuwerden?
Oder aber (da es nur um Datenrettung geht, der Rechner soll danach nicht weiter verwendet werden): Kann ich die Festplatte ausbauen, am neuen Rechner als externe Platte anschließen und die Daten rüberziehen oder riskiere ich damit eine Infektion des neuen Rechners?

Besten Dank schon mal.
Mit freundlichem Gruß
Newjoe

Hi, schaun wir mal, ob das geht:Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

"Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option."

Sorry, mein Fehler, ich hätte erwähnen sollen, dass das noch ein XP-Rechner ist.

Kann man XP in die System Reparatur Option booten?

Ich habe beide runtergeladen, im Bios auf USB (CD und Festplatte auf disabled) umgestellt, aber bekomme die Meldung:

Boot Failure
Reboot and select proper boot device

Genau die gleiche Meldung wie schon bei den vorangegangen Versuchen mit anderen Programmen auf CD, DVD oder USB.

Hi,
versuch mal dies:
Erstellen einer UBCD4Win-CD und Scan mit FRST (Windows XP)

Die folgenden Schritte sind sehr komplex, daher druckst du dir die Anleitung besser aus. Außerdem brauchst du:

• Einen funktionierenden Computer
  mit DVD/CD-Brenner
• Einen CD-Rohling.
• Einen USB-Stick.

Falls du bei den folgenden Schritten eine Fehlermeldung bekommst, gib mir bitte Bescheid und gib an, an welcher Stelle das genau passiert ist.

A) Lade dir bitte die Ultimate Boot CD für Windows

• Speichere es auf deinen Desktop und doppelklicke
  die UBCD4Win.EXE.
• Folge den Anweisungen auf dem Bildschirm.
• Wichtig:
  • Installiere es nicht in einen Ordner mit Leerzeichen!
  • Dein
    Virusscanner könnte anschlagen, wenn die Dateien entpackt werden. Dies sind aber Fehlalarme.

B) Lege deine Windows XP CD mit SP1/SP2/SP3 (Servicepacks) in dein CD-Laufwerk

• Doppelklicke die UBCD4WinBuilder.exe im Ordner c:\ubcd4win,
  falls du nicht gleich vom Setup dorthin gesprungen bist.
• Unter Windows Vista / 7 / 8 musst du den Builder mit Rechtsklick > Als Administrator starten.
• 
  Klicke Ich stimme zu, bei der nächsten Frage: Nein
• Im folgenden Menü mache folgende Einstellungen:
  • Quelle: Klicke "..."
    und wähle das Laufwerk aus.
  • Zusätzliches: Lass das hier leer.
  • Zielordner: Hier steht "BartPE", lass das so.
  • Bootmedium: "ISO-Image
    erstellen" sollte angewählt sein - belasse dies so.
  Hinweis: Falls deine XP-CD das Service Pack 1 enthält (nur dann), mache bitte folgendes:
  • Klicke auf Plugins.
  • Deaktiviere
    !Critical: DComLaunch Service
  • Aktiviere !Critical: LargeIDE Fix
  • Klicke: Schliessen
  Hinweis: Falls du eine Installations-CD von Dell hast, dann folge bitte diesem Link für weitere Hinweise.

C) Klicke jetzt auf den Start-Button

• Klicke zum Erstellen des Verzeichnisses auf Ja.
• Klicke auf "Ich stimme zu", warte
  einige Minuten während das Image erstellt wird und dann auf schliessen > Beenden.

D) Brenne das ISO-Image auf den CD-Rohling: Anleitung

E) Lade Farbar's Recovery Scan Tool auf den sauberen Rechner und speichere es auf den USB-Stick.

F) Schließe den USB-Stick an den infizierten Rechner an, lege die UBCD4Win-CD ein und starte ihn.

• Sorge dafür, dass der Computer von CD startet.
  (Anleitung)
• Es erscheint ein Fenster in dem du die Ultimate Boot CD für Windows
  auswählst und Enter drücken sollst. Dies kann eine Weile dauern, sei einfach geduldig.
• Wenn der Desktop erscheint, wird eine Nachricht erscheinen:
  Do you want to start Network support? Antworte mit Ja, wenn du sofort online gehen willst, um dein Logfile zu posten.
• Es erscheint ein
  blauer Desktop mit grüner Schrift und einigen Icons auf der linken Seite.

G) Klicke auf das Computersymbol oben links, finde Farbar's Recovery Scan Tool (FRST.exe) auf deinem USB-Stick.

• Starte FRST mit einem Doppelklick.
• 
  Bestätige die Abfrage.
• Klicke auf Scan
• Ein Logfile namens FRST.txt wird erstellt. Poste es hier in deinem
  Thema, möglichst in CODE-Tags (#-Symbol im Editor).

Klasse, das hat funktioniert ... hier das Ergebnis:
FRST Logfile:
--- --- ---

Hi,
es sind meherere Schritte auszuführen, mache dies nach Reihenfolge, stoppe bei Problemen.
poste Logs und Erfolgsmeldungen möglichst gleichzeitig.
1.
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

2.
http://download.bleepingcomputer.com...xp/winmgmt.reg
Datei laden, doppelklicken, Nachfrage bestätigen, neustarten.
3.
Navigiere bitte zu:
C:\FRST\Quarantine
Rechtsklick, mit Winrar oder einem anderen Archvierer packen und im Uploadchannel hochladen.
Trojaner-Board Upload Channel
4.
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.


5. Poste nun Farbas Fixlog, tdss Killer Log, Rückmeldung ob Upload geklappt hatt

Bevor ich loslege:

Was genau verstehst Du unter:

"Starte deinen Rechner erneut in die Reparaturoptionen"?

Der Begriff ist mir so nicht geläufig und ich frag lieber nach, bevor ich was falsches mache.

Besten Dank auf jeden Fall schon mal!

Hi,
einfach frst starten, wie du es zum erstellen des Logs gemacht hast.

Hi,
jetzt hab ich endlich Zeit gefunden weiterzumachen
Schritt 1 ist erledigt ... hier das Ergebnis:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 03-06-2013 02
Ran by SYSTEM at 2013-08-05 10:23:09 Run:1
Running from F:\
Boot Mode: Recovery

==============================================

C:\Windows\Tasks\At1.job => Moved successfully.
C:\Windows\Tasks\At2.job => Moved successfully.
C:\Windows\Tasks\At3.job => Moved successfully.
C:\Windows\Tasks\At4.job => Moved successfully.
C:\DOKUME~1\ALLUSE~1\ANWEND~1\zdv4b.dat => Moved successfully.

==== End of Fixlog ====

Soll ich jetzt mit Schritt 2 weitermachen?

Auch die Schritte 2+3 sind erledigt.

Bei Schritt 4 gibt es ein Problem.

Wenn ich die tdsskiller.exe starte erhalte ich erst

Can't initalize log

dann

Can't load drivers

Ich kann den Scan dann starten, aber es wird wohl keine log erstellt ... zumindest finde ich
keine ... Was tun?

Machen wir erst mal folgenes:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Das funktioniert leider auch nicht:

Es kamen unzählige Fehlermeldung, dass irgendwelche Ordner nicht geöffnet werden könnten, allesamt auf Laufwerk X, wo das von CD gestartet XP liegt. Nachdem ich alle ignoriert habe, lief der Installationsbalken fast bist nach rechts, ist jetzt aber hängengeblieben und es passiert gar nichts mehr.

Hi,
du solltest ja auch nicht von der cd aus arbeiten sondern ganz normal starten, das sollte gehen.
Wenn du auch tdss killer nicht im Windows ausgeführt hast, dann dies auch noch mal versuchen

Wenn ich von Festplatte starte schaltet sich leider wieder der GVU-Trojaner ein.

Dann poste ein neues FRST Log

FRST Logfile:
--- --- ---