Im August 2011 hatte ich das erste Mal Kontakt mit dem für mich damals unbekannten Bundespolizei Trojaner. Im Anschluss begegnete mir dieser Virus – der auch als GEMA-, UKASH- und BKA-Trojaner oder in einer aktuellen Variante auch als BSI-Trojaner bekannte Ransomware – noch ein paar mal im Bekanntenkreis.
Der Virus taucht(e) immer wieder mit der selben Masche auf: Der PC ist plötzlich gesperrt und die Betroffenen werden mit diversen Anschuldigungen von offiziell erscheinenden Behörden unter Druck gesetzt, eine bestimmte Summe per Ukash oder einem anderen Bezahlverfahren zu überweisen. Dass diese Meldung natürlich nicht wirklich vom Bundeskriminalamt oder der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen stammt, sollte eigentlich jedem klar sein. Dennoch scheinen die Hacker auch im Jahr 2013 noch einen Menge Geld hierbei zu „verdienen“.
Seit dieser Zeit hat sich dieser Schädling mehrfach „verbessert“ und von Monat zu Monat erschwerten die Viren-Programmierer die Bekämpfung der Schadsoftware.
Auch für den GVU-Trojaner 2013 gilt: Auf keinen Fall zahlen, das ändert nichts am Problem mit dem Virus
In den Kommentaren, auf anderen Webseiten die sich mit dem Problem befassen oder bei Anfragen via Facebook und Telefon, merkte ich immer öfter, dass die damals funktionierenden Schritte (natürlich) kaum noch zum Erfolg führten. Nun möchte ich aber nicht selbst einfach ein paar Tipps, die mir durch Hörensagen zugetragen wurden in diesem Beitrag veröffentlichen, sondern auf eine hilfreiche Publikationen im WWW eingehen.
Alex Ken hat eine hervorragende Video-Anleitung bei Youtube eingestellt, in der er die Vorgehensweise für eine Entfernung der aktuellen Variante vom GVU Trojaner schrittweise erklärt.
Er nennt in den Videos ein paar Links und Windows-Verzeichnisse, auf die ich in diesem Artikel nochmals verweisen möchte. Da es unzählige verschiedene Rechner- und Hardware-Kombinationen gibt, kann mit dieser Hilfe möglicherweise nicht jedem geholfen werden. So weit es mir möglich ist, antworte ich gern auf Fragen in den Kommentaren (bitte verzichtet auf eine telefonische Kontaktaufnahme). Aber auch auf Youtube hat Alex bereits erste Antworten auf Anfragen gegeben.
Teil 1 – Video GVU Trojaner entfernen
Teil 2 – Video GVU Trojaner entfernen
- Er rät dringend von der Systemwiederherstellung ab, da die Hacker den Virus so umprogrammiert haben, dass jetzt auch die wiederhergestellte Windows-Version umgehend befallen wird und eine Systembereinigung um ein Vielfaches schwieriger wird.
- Die in dem Video vorgestellte und auch funktionierende Wiederherstellung des Systems dient dazu, wieder Zugriff auf die eigenen Daten (Dokumente, Bilder, E-Mails, Favoriten etc.) zu erlangen, um sie zu sichern. Zum Beispiel auf einen anderen Rechner, USB-Stick, DVD und so weiter.
- Sein ernstzunehmender Rat ist, den Rechner anschließend so schnell wie möglich neu aufzusetzen, da mit sehr großer Wahrscheinlichkeit davon ausgegangen werden kann, dass die Viren-Entwickler weitere ungebetenen Gäste mit auf den Computer untergebracht haben.Neben dem GVU-Trojaner selbst können unerkannt und erst einmal völlig unauffällig weitere Schadprogramme installiert wurden sein. So könnte der eigene PC als Teil eines Bot-Netzwerkes, der irgendwann aus der Ferne gesteuert wird, für Angriffe auf Webserver oder Webseiten genutzt werden. Tastatureingaben, Passwörter, Onlinebanking-PINs oder E-Mails könnten mitgeschnitten und an die Angreifer gesendet werden. Das sind winzige Datenmengen, die aber in falschen Händen zu einer Menge Ärger oder finanziellen Verlusten führen können und mit Sicherheit führen.
Ergänzungen zu GVU- und BKA-Trojaner entfernen 2013
Da eine ganze Reihe Fragen zu den ersten beiden Videos eingegangen sind, hat Alex Ken nochmals eine Ergänzung zu den ersten beiden Videos bei Youtube eingestellt.
Was wird für die Bereinigung benötigt?
Ihr benötigt einen zweiten, virenfreien Rechner mit Internetzugang und CD-Brenner bzw. ein mindestens 512 Megabyte großer USB-Stick.
Die kostenlose Software Hiren’s BootCD (Download-Größe der fast fast 600 Megabyte zip-Datei im unteren Bereich der verlinkten Webseite). Die CD wie auch die darauf befindlichen Programme sind Freeware. Nach dem Entpacken kann mit dem beigefügten Brennprogramm BurnCDCC.exe die Hiren’sBootCD.15.1.iso auch direkt gebrannt werden.
Wer nicht von einer CD, sondern lieber von einem USB-Stick booten möchte, findet auch hierzu eine entsprechende Lösung unter hirensbootcd.org.
Im nächsten Schritt von der erstellte CD oder dem USB-Stick den infizierten Rechner booten, wofür möglicherweise die Boot-Reihefolge im BIOS geändert werden muss.
Hiren’s BootCD 15.2 Startmenü
Die Windows-Registry austauschen
Im nächsten Schritt wird per Windows-Explorer die komplette Registry ausgetauscht.
Die Registry findet ihr (vermutlich) unter D:\Windows\System32\config. Dort nach Änderungsdatum sortieren und nach den geänderten Dateien software und system (ggf. auch weitere) Ausschau halten, die am Tag des Viren-Befalls geändert wurden. Diese Dateien umbenennen. In den Unterordner Regback, zu den Sicherungs-Dateien der Registry, wechseln und die gesicherten Dateien software und system in das Registry-Verzeichnis kopieren.
Jetzt ist die Registry wieder bereinigt und auf dem Stand der letzten Sicherung – also vor dem Befall durch den Trojaner.
Mögliche Trojaner-Dateien entfernen
In weiteren Schritten gilt es Verzeichnisse-Inhalte zu löschen, in denen sich Teile des GVU-Trojaners oder Sicherungskopien der Schadsoftware gern einnisten. Alex Ken nennt die folgenden Verzeichnisse in seinem Video:
- Windows > Benutzer > Name > AppData > Local > Temp (Name durch den Benutzernamen ersetzen)
- Windows > Benutzer > Name > AppData > Roaming > Microsoft > Windows > Startmenü > Programme > Autostart (Name durch den Benutzernamen ersetzen)
- Windows > ProgramData > Microsoft > Windows > Startmenü > Programme > Autostart
- Windows > ProgramData > Temp
Außerdem unter Windows > ProgramData nach Ordnern Ausschau halten, die am Tag des Viren-Befalls geändert wurden und ggf. umbenennen.
Neustart des PCs & umgehend Malware-/ Viren-Scan durchführen
Jetzt den Rechner neu starten und Daumen drücken, dass man sich nicht eine erneut „verbesserte“ Version der Ransomware – wie der GVU-Trojaner oder BKA-Trojaner richtig genannt werden müsste – eingefangen hatte.
Ist der PC wieder normal gestartet dann sofort einen vollständigen Virenscan (kostenfreie Virenscanner wie Kaspersky, Avira, Eset, BitDefender usw. mit einer aktuellen Viren-Datenbank helfen sicherlich im ersten Schritt) durchführen. Des weiteren einen Scan mit Malwarebytes (gibt es auch erst einmal kostenfrei direkt beim Hersteller) durchführen.
Zeigen die beiden Scans irgendwelche Funde, so sind diese zu löschen und ihr seid den Trojaner los!
System zeitnah neu aufsetzen!
Alex Ken weist am Ende des Videos nochmals darauf hin, dass der Rechner neu aufgesetzt werden muss und lediglich Sicherungsarbeiten nun durchgeführt werden sollten. Wie schon beschrieben, kann sich noch alles mögliche auf dem Computer befinden, auch wenn er jetzt wieder wie vor dem Trojaner-Befall anfühlt. Nach der Neuinstallation heißt es, den Computer besser vor Angriffen aus dem Internet zu schützen.
Ein weiterer wichtiger Hinweis im Video: Auf keinen Fall die letzte Sitzung des Browsers zulassen. Auch keine Zugangsdaten irgendwo eingeben … Sichert in Ruhe eure Daten und lasst am besten die Internetverbindung unterbrochen (zieht das Netzwerkkabel heraus).
Wer sich unsicher ist, sollte immer einen Fachmann zu Rate ziehen. Ich selbst habe mit dieser Systemwiederherstellung bisher keine Erfahrung machen dürfen bzw. müssen. Alle hier genannten Informationen stammen aus den beiden GVU Trojaner Videos von Alex Ken auf Youtube, der auch in später erstellten Videos einen Live-Einblick in seine Arbeit gibt. Ich und er hoffen, dass ein paar Leuten mit dieser Anleitung geholfen werden kann.
Hallo,
vielen Dank für die Mühe und Geduld.
Ich habe, gemäß Deinen Anleitungen einen Stick erstellt.
Leider erscheint bei mir die Option des Mini XP nicht im Fenster.
Bei mir geht es gleich los mit default
Habe ich was falsch gemacht?
Ich habe Vista Home Premium auf meinem Rechner.
Danke
Carsten
Wenn „default“ heißt, dass ein Windows vom Stick startet, dann ist alles ok. Wenn dein Windows von der Festplatte startet, dann hast du vergessen im BIOS die Boot-Reihenfolge umzustellen.
Spitzenartikel, vielen Dank!
Ich habe dennoch eine Frage (wenn keine Zeit ist zu beantworten dann verstehe ich das). Ich bin Laie, habe aber (leider bevor ich diesen Artikel gelesen habe) durch googeln es geschafft , das System auf einen frühern Zeitpunkt wiederherzustellen. Habe dann alle Daten (Dokumente, Bilder) auf DVDs gebrannt und den Inhalt dieser DVDs auf meinen anderen Rechner kopiert. Natürlich werde ich nach diesem Artikel jetzt den befallenen Rechner neu aufsetzen lassen. Aber meine Bedenken: Ist der Trojander oder andere Viren jetzt mit kopiert worden auf die DVDs und somit auf meinen anderen Rechner? Habe nur die Dokumenten und Bilderbilbliothek kopiert.
Vielen Dank!
Hallo und danke für die tolle Zusammenstellung! Leider hab ich ein Problem. Die CD hab ich erstellt und die boot-Reihenfolge geändert. Ich kann mini XP auswählen, aber nach einem kurzen Ladevorgang kommt ein blauer Bildschirm der mir sagt das Windows sicherheitshalber nicht gestartet wird. Was mache ich denn falsch?
Danke und Gruß
Susi
Hallo Susi,
Gut möglich, dass dein Rechner irgendwelche „besondere“ Hardware verbaut hat, deren Unterstützung nicht durch Hirens mitgeliefert wird. Das passiert, da es einfach zu viele unterschiedliche Hardware-Komponenten gibt.
Es gibt im WWW noch eine ganze Reihe anderer Start-CDs dieser Art. BartPE, Ubuntu, Debian und wie sie alle heißen wären durchaus einen Versuch wert. Auch hier könntest du von einer CD/ USB-Stick starten und anhand der oben genannten Schritte den Trojaner entfernen.
Hitman Pro habe ich noch nicht probiert, macht aber einen guten Eindruck und ist hervorragend beschrieben.
Pssst….nicht immer den Eindruck erwecken, man könnte Trojaner mal eben „einfach so“ rückstandsfrei entfernen…das geht nicht!! Man versetzt das System maximal in einen „benutzbaren Zustand“, um dann evtl. noch wichtige Dateien zu retten. Das kann man sich aber eigentlich auch sparen, wenn man die Dateien mit einer Live-CD sichert und dann das System neu aufsetzt. Das man alle bisher genutzten Passwörter ebenfalls ändern sollte, versteht sich von selbst ;-)
http://malte-wetz.de/wiki/pmwiki.php/De/De
Hallo,
ich habe xp und die Dateien in system32/config mit Hirensboot geändert. Jedoch hat xp keine regback zum reinkopieren. was mache ich nun?
Grüße Stefan
Hallo,
erstml muss ich dir sagen: „Top Beitrag“!!!
Ich habe nur 1 Problem, ich habe soweit alle beschriebene Dateien gelöscht. Danach hab ich einen Neustart gemacht, habe zum ersten nicht mehr den Bildschirm vom GVU/BKA aber leider noch einen weißen Bildschirm.
Habe ich eventuell etwas vergessen??
Gruß und Danke im vorraus
Hanky
Hallo!
Danke für die tollen Tipps, allerdings komme ich ab hochfahren von mini windows xp nicht weiter, es zeigt gerade noch den ordner config sys an, dort habe ich alle in Frage kommenden Dateien in .bac dateien umbenannt. Ich finde aber weiter keine regback etc. und komme deshalb nicht weiter. Wie müsste ich denn jetzt verfahren.
Danke Heike
Hallo!
Vielen Dank für deine Arbeit und die vielen Mühen!
Ich habe mit der BootCD Mini Windows XP gebootet.
Habe aber das Problem, dass das D:-Filesystem als nicht formattiert gemeldet wird. Mini XP fragt in altbekannter Manier: „D:-Disk is not formatted. Would you like to format it now?“
Wahrscheinlich hat der Virus den Master Boot Record des Filesystems beschädigt oder ähnliches.
Was kann ich machen?
Hallo,
erst einmal vielen Dank für die nützliche Anleitung.
Leider ist mir folgendes bei mir aufgefallen: die Einträge in meiner Registry sind alle aus dem Jahre 2010 und den Trojaner habe ich mir aber am 18.03.13 eingefangen.
Soll ich jetzt wirklich gegen eine so alte Registry tauschen?
Hallo,
ich kann auf dem schwarzen Bildschirm das mini xp nicht anwählen, es läßt sich überhaupt nicht navigieren und die Markierung steht auf BOOT From Hard Drive. Enter geht auch nicht. Woran kann das liegen?
Gruß
davidcz
Hallo,
Danke für die Hilfe. Der Trojaner ist weg.
Leider wird mein Benutzerorofil nicht mehr korrekt geladen und alle auf der Partition C: befindlichen Dokumente, Emails und musikdateien sind nicht mehr auffindbar. Auf der Partition D: ist jedoch alles beim alten.
Hast du einen Tip? Bräuche die Daten nämlich dringend…
Ich nutze Vista.
Beste Grüße
Danke Alex super
Hallo,
noch einmal Ich.
Ich nutze ja noch XP und wollte die „system.bak“ duplizieren/umbeenennen, aber die gibts bei mir gar nicht … habe suchen lassen.
Bin da jetzt ziemlich ratlos.
Was mache ich falsch?
Habe noch folgende Idee.
Meine Daten habe ich auf D:
Wenn ich nun C: formatiere und mein Win XP neu aufsetze, müßten doch meine Daten auf D: weiterhin vorhanden sein?
Ist dann der Trojaner auch weg?
Vermutlich ja, da der Trojaner sich an System-relevante Bereiche heftet. Noch vor der Neuinstallation unbedingt Laufwerk D scannen.
Hallo,
das mit der Navigation im DOS Modus lag an der Funktastatur – ist erledigt.
Jetzt habe ich ein größeres Problem: Ich habe ausversehen die system und software im repair-ordner gelöscht, ich dachte, ich hatte die Dateien kopiert, war aber nicht so. Komme ich an die Dateien noch irgendwie ran? Wo finde ich den die gelöschten Dateien?
Grüße
davidcz
Hallo und vielen Dank für die Darstellungen. Ich habe mir alle Videos und Beschreibungen angesehen und ganz unbedarft bin ich bei Softwareproblemen nicht, trotzdem komme ich nach vielen Stunden nicht weiter.
Der Trojaner ist einer der neuen Sorte, denn der abgesicherte Modus läuft nicht und auch die Rescue-Maßnahmen des IBM-ThinkPad kapitulieren (XP-Prof)
Der Start via CD mit der heruntergeladenen Software funktioniert dagegen einwandfrei und der Win-Explorer läuft.
Was dem XP aber fehlt, ist das regbak Verzeichnis und auch via Suche war es nicht möglich entsprechende Dateien (System und Software) auf dem Rechner zu finden, außer den beiden betroffenen natürlich. Tatsächlich befinden sich auf dem Rechner im Verzeichnis windows\repair eine software- und eine sysstem-Datei. Beide tragen jedoch das Microsoft Basisidatum 24.10.2008 (der Rechner ist gerade 2 Jahre alt). Ich habe diese Dateien dupliziert und einkopiert (vorher die originlen umbenannt). Mit denen startet der Rechner nicht (richtig), sie sind auch logischerweise wesentlich kleiner (ca. 20% der befallenen Dateien).
Ansonsten sind jede Menge Wiederherstellungsdateien gespeichert, zuletzt ein paar Tage vor dem Befall. Dort finden sich die adäquaten Registry-Dateien und die sind etwas kleiner als die befallenen.
Jetzt bin ich mit meinem Latein am Ende und frage, ob es da noch eine passable Lösung gibt?
Danke für ein Feedback
Hans-Peter
Nachtrag:
Da wegen des bei mir vorhandenen Win XP-Prof. keine Fern- oder Eigenhilfe möglich war, habe ich den Rechner zu Nokem Electronics in München gebracht. Dort wollte man das Problem für 79 EUR brutt0 beheben. Und genau das wurde dort gemacht. Als Münchner war das einfach, ich konnte darauf warten und mußte das Notebook nicht hin und her schicken.
Du konntest darauf warten, bis das System komplett neuinstalliert war und alle persönlichen Daten, die vorher gesichert wurden, wieder zurückgespielt wurden, alle Programme wieder installiert wurden und sämtliche Updates, inklusive Konfiguration der Sicherheitssoftware gemacht waren? Alle Achtung…da hast Du ja einige Stunden im Laden verbringen müssen.
Hallo, ich hab mir nun die Boot CD gebrannt.
Habe nun aber das Problem, dass der Computer von der CD nicht startet. Es kommt ein schwarzer Bildschirm mit weißer Aufschrift mit Einagbefeld.
Wie kann ich weiter fortfahren?
Gruß
Tomas
… und was steht da? Was für eine Eingabe wird erwartet?
Ich habe mir auch den Virus eingefangen, aber als ich booten wollte, wechselt der PC ein paar Minuten lang zwischen einem Whitescreen und meinem Hintergrundbild hin und her. Ich habe es mit CD und USB versucht, beides ging nicht. Ich benutze einen Windows 7 Laptop. Entweder habe ich mir eine noch neuere Version eingefangen oder ich mache etwas falsch. Bitte um Hilfe.
Hat denn niemand eine Lösung für mein Problem? Ich kann seit über 4 Wochen meinen Laptop nicht mehr benutzen.
Hallo!
Ich kann mich den anderen nur anschließen – großes Lob für Deine Arbeit hier.
Vielleicht habe ich eine neue Variante bekommen (gestern Abend), jedenfalls kann ich nicht von CD oder Stick booten, auch wenn ich vorher mit F2 im Setup die Reihenfolge geändert habe. Der Rechner bootet immer von HDD. Keine Chance! Die Boot-CD habe ich gebrannt – startet nicht, auch der Stick nicht, selbst die XP-CD startet nicht.
Wie setze ich denn nun das neue System auf? Meine Dateien habe ich gesichert. Ich will nur meinen PC wieder nutzen!!!
Danke für Deine Mühe,
Stefan.
Wenn Du die Boot-CD im Rechner anschaust, was siehst Du da?
Meinst Du, was ich sehe, wenn Sie im befallenen Rechner liegt? Dort sehe ich nix, ein Start ist unmöglich. Ich habe die ISO gebrannt – mehr ist da nicht oben (Hirens.BootCD.15.2.iso). Wenn ich die Bootoption ändern will (mit CD booten), dann kann ich über Setup die Reihenfolge ändern, so dass USB und/oder CD als erstes da steht – ändern tut dies nichts. Was meinst DU dazu? Wie kann ich denn wieder von CD oder Stick starten?
..ui – ich habe die Boot-CD nochmal gebrannt, jetzt startet der befallene Rechner von ihr. Ha! Supersache! DANKE! Melde mich wieder :-)
Deine Beschreibung hat wir sehr geholfen. Danke für deine Mühe.
Hallo, sehr guter Beitrag!
Ich habe jedoch das selbe Problem wie
Vic 8. April 2013 am 16:34 hat…
Er erkennt die infizierte Partition nicht und fragt mich, ob ich diese fromatieren möchte, oder nicht…
Was kann man da tun?
Welches Betriebssystem hast Du denn?
Alternativ kannst Du auch jede andere Linux-Live-CD für diese Aktion benutzen. Knoppix ist zB sehr benutzerfreundlich für Linux-Neulinge: http://www.knoppix.org/
PartedMagic eignet sich auch sehr gut, zumal es recht flink startet und sehr klein ist, allerdings für Neulinge zunächst schwierig erscheint (aber eigentlich gar nicht ist)
Also ich habe das Betriebssystem windows 7 64bit
Ich würde natürlich auch jede andere software nehmen, um das Problem zu beheben, nur war gerade hier ein sehr schönes ausführliches tutorial…
Wieso erkennt das Mini xp denn nicht meine festplattenpartition mit dem infizierten Windows??
Nachtrag
Link zu Parted Magic
http://partedmagic.com/
Also ich habe das Betriebssystem windows 7 64bit
Ich würde natürlich auch jede andere software nehmen, um das Problem zu beheben, nur war gerade hier ein sehr schönes ausführliches tutorial…
Wieso erkennt das Mini xp denn nicht meine festplattenpartition mit dem infizierten Windows??
Ich habe dasselbe Problem wie „Hanky“ vom 8 April. Habe alle Schritte mit Hirons Boot CD unternommen und jetzt noch einen Weißen Bildschirm. Beim Rauf- und Runterfahren sehe ich meinen gewohnten Bildschirm für ein paar Sekunden und dann kommt der weiße Bildschirm. Please helb. Habe Windows vista.
das habe ich jetzt auch, dabei habe ich ganz schnell was angeklickt und windows 7 fragte mich, ob ich das Herunterfahren abbrechen möchte…
Abrechen gedrückt und jetzt habe ich gerade meinen gewohnten PC wieder, wenn ich ihn aber nun runterfahre, ist das selbe Prob wie alle hier beschreiben, jedoch kann ich gerade auf alle Daten zugreifen – werde wenigstens Bilder und Uni Sachen erstmal auf einen Stick ziehen usw.
Kann ich hier jetzt vllt auch etwas machen, um den Trojaner zu beheben, denn ich bin ja gerade im infizierten System…
Auch Dir sei die Lektüre der folgenden Artikel ans Herz gelegt:
http://malte-wetz.de/wiki/pmwiki.php/De/De
Mit den von mir verlinkten Live-CDs sollte lediglich der Zugriff auf die zu rettenden Dateien gewährleistet sein. Eine anschliessende Neuinstallation des Systems ist ratsam…steht auch oben im Artikel schon. Warum?
Darum:
http://malte-wetz.de/wiki/pmwiki.php/De/De
hallo :D echt super das du das so gut erklärst. haben das problem grade und er fährt grade neu hoch. Kann man dich auch per Telefon oder E-mail erreichen fals es nicht klappt. musste mich auf englisch durchschlagen.
Ich habe ein paar Fragen, 1. wieso ist wenn ich das mini programm zb. Windwos XP habe, das alles auf englisch. 2. Wieso will der Laptop nicht mehr Hochfahren und was kann ich dagegen tun?
Danke für diese Anleitung, hat mir sehr geholfen!
Wie entferne ich dieses sogenannte mini-windows xp nun wieder um mein vorheriges Betriebssystem wieder zu erlangen/reaktivieren? Vielen Dank schon mal im voraus :)
Nicht von CD starten. Also entweder die Boot-Reihenfolge im BIOS ändern oder einfach die CD aus dem Laufwerk entfernen.
Ja dies ist mir Bewusst. Hab meine Frage vielleicht nicht ganz korrekt formuliert. Die Dateien befinden sich ja alle noch auf dem PC, aber Programme wie Microsoft Office funktionieren nicht mehr, diese muss man neuinstallieren?
Lies den Artikel oben einfach noch mal …auch bis zum Ende ;-)
Die Lösung steht ja da drin…
Hi,
danke für diesen Super Beitrag, aber…
ich bin die mit dem Brotmesser in deinem Gehirn :-)
habe Windows XP, habe in „windows repair“ die „System.bak“ dupliziert, in „system“ umbenannt und die windows/system32/config/system mit dieser ersetzt. Wenn ich den PC jetzt aber hochfahre, sagt er mir: Windows konnte nicht gestartet werden, da folgende Datei fehlt oder beschädigt ist: windows/system32/config/system. Er sagt man könne es mit der Original CT reparieren… aber die hab ich natürlich nicht.. oh man
Was nun? Hab ich was falsch gemacht? Kann ich die alte System datei wiederherstellen?
Danke LG Steffi
1. reicht es nicht, „nur“ die SYSTEM zu ersetzen. Die Registry besteht aus weit mehr Dateien…
2. Erreichst Du damit zwar, dass Dein System wieder startet, aber das System kennt keine der installierten Programme und Treiber. Was im Ordner „Repair“ liegt, ist der Systemzustand unmittelbar nach der Installation…das ist für einen normalen Betrieb nicht unbedingt zu gebrauchen.
Am Ende des obigen Artikels steht auch:
System zeitnah neu aufsetzen!
Alex Ken weist am Ende des Videos nochmals darauf hin, dass der Rechner neu aufgesetzt werden muss und lediglich Sicherungsarbeiten nun durchgeführt werden sollten….
Ok, System oder Rechner neu aufsetzen – blöde Frage: heißt das Windows neu installieren? Ich habe windows vista, kann ich das mit meiner Recovery Disc machen?
2. Frage: ich komme wieder an meine Dateien heran. Wenn ich die nun auf eine exteren Festplatte speichere, um den Computer dann neu aufzusetzen, besteht dabei dann die Gefahr, dass der GVU oder BKA Trojaner auch diese Festplatte infiziert?
Ja, das heisst „Windows neu installieren“. Das kannst Du mit Deiner Recovery-CD machen, solltest Dir aber im Klaren darüber sein, dass das System dann wieder im Werks- / Ausgangszustand ist. Wenn Du also eine Recovery-Disc hast von Vista ohne Servicepack, müssen natürlich sämtliche Updates seit Erstellung der Disc wieder gemacht werden..
Wenn es sich bei Deinen gesicherten Daten nicht gerade um ausführbare Programme handelt, ist die Wahrscheinlichkeit eher gering, dass sich da noch etwas befindet. Bilder, Musik, Dokumente werden in der Regel nicht befallen (obwohl es durchaus auch Viren gibt, die in mp3 oder *.jpg versteckt sein können; mir ist aber bisher kein Fall bekannt, wo das in Zusammenhang mit dem BKA-Trojaner passiert wäre)
Vielen Dank für ausführlichen Infos!! Ich habe nun alle Daten gesichtert. Wie aber sieht es mit meinen EMails aus? Muss ich die aufgeben? Ich arbeite mit Thunderbird. Gibt es eine Möglichkeit von der DOS-Ebene aus (von der aus komme ich über explorer.exe im Moment zu meinen Daten) auf Thunderbird zuzugreifen bzw. auf die Liste der empfangenen Mails?
@bagman hat eigentlich ja eigentlich schon alles gesagt.
Ich würde auf jeden Fall nochmal die externe Festplatte nach Viren scannen.
Ich kann dir auf der Stelle nicht die genaue Verzeichnisse nennen, in denen Thunderbird die Mails speichert. Aber diese Daten kannst du problemlos sichern und später wieder nutzen.
Sorry, musst du selbst mal nach „Mailverzeichnis Thunderbird“ googeln.
Das sollte sich sogar im Thunderbird in der Hilfe nachschlagen lassen ;-)
Mal so als Tipp :
http://www.netzwelt.de/news/92236-anleitung-mozbackup-sichert-firefox-thunderbird.html
Danke an alle für die Hilfe! Habe meine Mails ganz leicht erreicht, weil ich im abgesicherten Modus doch an das Programm rangekommen bin (einfach anklicken, hatte ich vorher nicht gesehen)
Noch ein Tipp für alle Ahnungslosen wie mich: bei mir hat NUR der „Abgesicherte Modus mit EIngabeaufforderung“ funktioniert. „Abgesicherter Modus“ allein hat dazu geführt, dass Windows normal starten wollte und dann der Virus wieder zugeschlagen hat (weißer Bildschirm) – Vielleicht hilfts wem …
Das ist auch korrekt so, da der Ukash-Trojaner beim Systemstart eine Inrernetverbindung aufbaut und erst dann das System sperrt. Wenn man das Kabel vom Router trennt, führt das zum gleichen Erfolg und das System kann in den meisten Fällen (je nach Variante des Trojaners) normal gestartet werden. Nur bei neueren Varianten des Trojaners wird das System trotzdem blockiert und auch der abgesicherte Modus funktioniert nicht mehr.
Hallo
Ich habe deine Anweisungen bis zum letzten Schritt befolgt, jedoch fiel mir auf, dass ich den letzten Ordner namens „TEMP“, den man auch vorsichtshalber löschen sollte, nicht im Ordner „ProgrammData“ finden konnte. Ich weiß nicht, ob dies eine Rolle beim Entfernen des Virus spielen kann.
Danach habe ich, wie du beschrieben hast, den PC neugestartet, wobei weder Windows noch der GVU-Trojaner ordnungsgemäß gestartet ist, sondern es erschien ein Fenster namens „Systemstartreperatur“. In diesem Fenster wählte ich die Option „Windows wiederherstellen“ und es passiert praktisch nichts, also Windows startet nicht ordnungsgemäß. Ich hoffe du kannst mir weiterhelfen und danke für die bisherige Hilfe :)
LG Paul
Die Ordnerangaben oben im Text sind nicht für alle Windows-Versionen gleich.
Ohne zu wissen, mit welcher Windows-Version man es zu tun hat, kann man da auch nicht viel helfen.
Man sollte übrigens auch nicht den Temp-Ordner löschen, sondern nur die Inhalte des Ordners.
Man kann die temporären Dateien zB auch über den Eigenschaftendialog des System-Laufwerks im Explorer löschen.
Zusätzlich durch Eingabe von %temp% in das Ausführen-Feld (Win + R). Diese Funktionen gelten für alle Windows-Versionen.
Eine kleine Hilfe ist aber auch das Mini-Programm „Temp File Cleaner“ vom Programmierer „Oldtimer“ auf Geekstogo
http://www.geekstogo.com/forum/files/file/187-tfc-temp-file-cleaner-by-oldtimer/
Diese kleine Exe-Datei legt man einfach auf dem Desktop ab (Notwendig!) und startet sie bei Vista und Win7 „Als Administrator“per Rechtsklick. Xp-User können sie einfach so starten. Nach dem Durchlauf wird ein Neustart verlangt, da manche Dateien erst dann entfernt werden können, weil sie noch in Benutzung sind.
Hallo,
heute Morgen war auf einmal der GVU-Trojaner auf meinem Computer.
Seid Stunden versuche ich nun das Ding loszuwerden.
Ich habe die Harens Boot CD gebrannt und versucht auf den PC laufen zu lassen.
Nix geht.
Es ist ein Windows 7 Rechner.
Kann mir bitte geholfen werden?
Ich brauche den Rechner auch für die Steuer und zum Rechnungen (offline) schreiben.
Vielen Dank
Liebe Grüße,
Linda
Für Windows 7 ist dieser Beitrag geschrieben. Vielleicht noch mal genauer lesen und parallel die Videos schauen …
Ansonsten mal einen Blick auf die Kaspersky-CD werfen, vielleicht kommst du damit besser zurecht.
Danke:-)
Ich habe es geschafft mit strg alt entfernen ( länger auf den caps bleiben) den Rechner herunter zu fahren.Die gebrannte CD schnell eingelegt. Nun wuselt mein Mann herum und versucht sein Glück.
Ich bin Laie und schon stolz das ich soweit bin :-)
Immerhin hab ich kapiert wie ich an die blöde Seite herumkomme.
Wenn ich meine Daten die ich beruflich brauche auf dem Stick habe, möchte ich ein Virenprogramm.
Ist das von Kaspersky zu empfehlen?
Hat eigendlich irgendjemand schon einmal Anzeige erstattet?
Es handelt sich hier um Erpressung, Nötigung, Rufmord und Unterstellungen die man im realen Leben auch nicht auf sich sitzen lassen würde.
Und nicht nur das, ich habe Bilder und Daten auf dem PC die niemanden etwas angehen. Davon mal abgesehen ist heute der 1. und ich muss Rechnungen schreiben.
Wie kommt man an diese Idioten? Ich bedanke mich für die Ratschläge und werden die Seite mal fleissig liken , sharen und tweeten:-)
Einen schönen 1. Mai Feiertag wünsche ich,
Linda
Man benutzt eigentlich nicht den Rechner, den man für „wichtige“ berufliche Dinge nutzt, nicht auch für privates Surfen im Netz, wenn einem seine Daten wirklich wichtig sind. Nicht zuletzt aus diesem Grund sind viele Arbeitgeber auch gegen eine Nutzung des Internets zu privaten Zwecken am Arbeitsplatz oder die Rechner sind entsprechend abgesichert.
Wenn es sich schon nicht vermeiden lässt, sollte man zumindest dafür sorgen, dass man für den Alltag nur ein eingeschränktes Benutzerkonto einrichtet. Ein Virus darf auf dem PC all das, was der Benutzer auch darf…ist der Benutzer Administrator, ist der Virus AUCH Administrator.. (!)
Ein Virenschutzprogramm ist auch nur die halbe Miete, da ein Virus zuerst versuchen wird, genau dieses Programm aus dem Verkehr zu ziehen. Es ist übrigens ein Trugschluss, wenn man meint, man könnte sich Sicherheit mit einem Programm erkaufen…das geht nicht! Schon gar nicht, wenn man sogenannte „Internet Security Suites“ kauft…
Ein kostenloses Antivirenprogramm ist auf keinen Fall schlechter, als die Kaufvariante. Kaspersky ist sicher als Virenschutz gut, kostet aber auch…Avira ist auch gut…davon reicht auch die kostenlose Version, wenn man sie gut einstellt…
Anzeige erstellen…gut..gegen wen denn? ;-)
Machst Du denn auch Automobilhersteller dafür verantwortlich, wenn jemand aus Unachtsamkeit mit dem Auto verunglückt? ;-)
In der Regel installiert sich auch so ein „BKA/GVU-Trojaner“ nicht von alleine…das wird durch denjenigen gemacht, der den PC bedient… Genau das ist aber auch sehr leicht zu verhindern…auch OHNE, dass man teure Pseudo-Schutz-Software dafür kauft ;-)
http://malte-wetz.de/wiki/pmwiki.php/De/De
Hoppla…da hab ich zu schnell weggeschickt ;-)
„Man benutzt eigentlich den Rechner, den man für “wichtige” berufliche Dinge nutzt, nicht auch für privates Surfen im Netz,…“
So ist es richtiger ;-)
Hi,
Erstmal vielen Dank für die tolle Anleitung, die sicherlich auch funktioniert wenn man nicht wie ich Idiot zuerst rum probiert bevor man sie liest…Ich habe den Fehler gemacht Windows im abgesicherten Modus zu starten….danach dann diese Anleitung Schritt für Schritt befolgt…neugestartet….und dieser ****** kommt wieder :-( Was mache ich jetzt? Hilfe!
Die Glaskugeln sind gerade leider alle zum Nachpolieren in der Werkstatt… :-(
Von welchem Windows redest Du? kannst Du mal Dein Vorgehen so beschreiben, dass das auch jemand versteht, der NICHT mit Dir an Deinem PC sitzt? :-)
Dann hat man als Helfer auch eine Chance …
Danke für den Anpfiff:-)
Stimmt, mit dem PC sollte man nicht surfen.
Ich tue das auch nicht, sondern mein lieber Mann.
Der Rechner funzt dank eurer Hilfe wieder. Wir benützen ihn nun nicht mehr für Internetbanking usw bis er neu aufgespielt ist.
Habe gestern von einem Bekannten gehört das sein Rechner 2 x betroffen war.
Der meinte im abgesicherten Modus hätte er das dann mit der CD hinbekommen.
Virenschutz hilft nicht, das hat er mir auch gleich erklärt, er hatte auch alles drauf.
Ob ich nun noch das Elster für die Steuer benützen soll? Wohl lieber nicht, ich muss sehen das ich das auf den Laptop bekomme der Rechner clean ist.
Nun, der Hersteller meines Autos hat mich noch nie erpresst.
Mittlerweile betrachten wir das nun auch eher mit Humor.
Auf alle Fälle Danke für eure Hilfe.
LG Linda
Ich nutze Avira Pro und habe mir bislang noch keinen dieser Plagegeister eingefangen. Wirf mal einen Blick auf diese Infos, vielleicht hilft das zusätzlich zum Schutz vor einem erneuten Befall.
Die Elster-Software wird es demnächst ohne Java geben. Damit könnte man Java auch komplett vom System deinstallieren und hat so eine Gefahrenquelle weniger.
Da Avira in der Pro- und Gratisversion die gleiche Scanengine haben, ist man mit der Gratis-Version genauso gut geschützt. Ich habe aber auch schon mit Avira ein (Test-) System erfolgreich mit dem Ukash-Trojaner infiziert ;-)
Was aber auch logisch ist, denn ein Virenschutz kann immer nur vor Schadcode schützen, den es auch per Virendefinition erkennt Die heuristische Erkennung schlug ebenfalls fehl, bzw. der Virus hat so schnell Avira lahmgelegt, dass es nicht mehr reagieren konnte…Aber schon mit dem nächsten Update war auch diese Variante blockiert.
Was heisst denn bei Deinem Bekannten „er hatte alles drauf“?
Es schadet nicht, auch mal diesen Artikel zu lesen, um zukünftigen Befall möglichst zu vermeiden:
http://board.gulli.com/thread/1522253-leitfaden-rechnersicherheit-kompromittierung-deines-system-verhindern-und-erkennen/
Hallo.
Zunächst mal vielen Dank für die tolle Arbeit.
Ich habe soeben alles so gemacht, wie beschrieben und es hat bislang problemlos funktioniert (bin jetzt bis zum Neustart gekommen, d.h. 6:40 min. im zweiten Video).
Leider passiert nun gar nicht mehr. Der Laptop scheint hochzufahren, es erscheint die Meldung „Windows lädt Dateien“, dann fährt er wieder hoch, die Meldung erscheint usw.
Ich habe aktuell keine Ahnung, wo der Fehler liegt.
Wenn mir jemand helfen könnte, wäre ich ausgesprochen dankbar.
Grüße.
Welches Windows lädt denn gerade Dateien…? Es gibt ja mehr als nur 1 Windows ;-)
Liebe Leute,
das mit dem Neuinstallieren von Windows vista ist leider nicht so einfach, wie ich dachte. Mein Computer meldet mir nämlich, dass er KEINE NETZWERKHARDWARE findet. Somit kann ich auch das Service Pack, das ich auf USB gespeichert habe und installieren wollte, nicht installieren (gleiche Meldung: Keine Verbindung zum Internet). Wieso findet dieser Drecks-Computer keine Netzwerkhardware?? – völlig verzweifelte Grüße an Alle
Du hast doch sicher auch eine CD mit Treibern für Dein Mainboard…? Ansonsten hilft auch ein Besuch der Herstellerwebseite Deines Mainboards…
Du kannst doch das Betriebssystem nicht dafür verantwortlich machen, dass es keine Hardware erkennt, die womöglich neuer als das Betriebssystem selbst ist? Auch möchte nicht jeder Hersteller dafür zahlen, dass seine Hardware in das Installationsmedium des Betriebssystems integriert wird.
Hast Du schon mal eine Treibersuche angestossen, bei der Du Windows auch online nach Treibern suchen lässt? Oft wird dann die Hardware auch erkannt und der passende Treiber heruntergeladen. Zuerst sollte aber der Chipsatztreiber vom Mainboard installiert werden und dann erst die restliche Hardware…
wie boote ich wenn ich windows 8 habe?
bin im boot menü jedoch sieht dieses komplett anders aus
Mit dem Boot-Menü des Mainboards hat das Betriebssystem wenig zu tun…
Meinst Du vielleicht das Menü, wo man wahlweise abgesichert oder normal starten kann? Das musst Du in Windows selbst in den erweiterten Startoptionen einstellen…
http://blog.botfrei.de/2013/02/windows8-und-keine-moglichkeit-fur-den-abgesicherten-modus-oder/
Vielen Dank für die Anleitung.
Hat mir aus der Patsche geholfen.
Biste auch Musiker?
Hab bei dir den Elicenser Ordner gesehen.
Cubase Nutzer?
Ich habe das programm wie oben erklärt auf einen usbstick gepackt. Aber wenn ich meinen laptop dann mit dem usbstick starte und „default“ drücke kommt bei mir die Fehlermedung das PMAGIC_2012_10_10.SQFS nich gefunden wurde. Was mache ich falsch?
Es reicht nicht aus, das Programm einfach auf einen USB-Stick zu „packen“. Es muss ein bootfähiger USB-Stick erstellt werden, bzw alternativ eine bootfähige CD, was für die meisten die einfachere Lösung wäre, da sich ab Hirens Boot-CD 15.2 einiges geändert hat. Die Fehlermeldung zeigt, dass Du irgendeinen Punkt in der Anleitung übersehen hast, bzw. eine veraltete Anleitung für v15.1 benutzt hast, die nicht mehr aktuell ist.
Hallo Alex! Ich danke dir für deine Hilfe. Wenn du eine Frau wärst, würd ich dich sofort heiraten. Du hast mir echt geholfen!! Werde diese Anleitung unbedingt weiterempfehlen!!!
Einen Partnervermittlungs-Trojaner gibt’s meines Wissens noch nicht ;-)
Vielen Dank für die ausführliche Anleitung. Mein Problem (ähnlich Stefan vom 7.4 und Hans Peter vom 9.4): Ich habe win xp prof und und es gibt keine Ordner „Regback“ mit den Sicherungsdateien. Wo können sich die Sicherungsdateien sonst befinden? Danke für einen Rat.
Du hast die anderen Antworten dazu, betreffend XP und „Regback“, auch gelesen…?
Es ist sinnvoller, die wichtigen Dateien zu sichern und das System neu aufzusetzen, (wie es auch oben erwähnt wurde) als sich mit dieser halbherzigen Teilreparatur lange aufzuhalten. Ein funktionierendes System ist damit nicht wieder herzustellen und Reste des Schädlings verbleiben ebenfalls unerkannt auf dem System und können evtl. später erneut zu Problemen führen.
Dein Video hat SEHR geholfen…
Habe eigentlich immer aktuelle Virensoftware drauf (Avira)… keine Ahnung, wie ich mir den bloeden Trojaner gezogen habe.
Bei mir war das Problem:
Windows\User\Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msconfig
nach Umbenennung und deiner Anleitung geht Win7/64bit wieder.
Die naechsten Tage ist leider eine Neuinstallation angesagt :-(
THX
stick
Hi, auch ich bekommen nach Durchführung der Anleitung immer noch den weissen Screen. Ganz kurz kam das normal Menü, dann ein blauer Bildschirm und 2 Sek. später der weisse.
Jetzt ein Frage: Könnte ich nicht die ISO CD nutzen, um über die CD auf meine Daten zuugreifen und diese zu sichern(auf externe Festplatte) und danach direkt mit der Neuinstallation beginnen? Oder ziehe ich mir dann evtl. den Trojaner mit rüber?
Gruß
praetorian
Es wäre nicht wirklich schlimm, wenn Du mal Dein Betriebssystem nennen würdest. Es ist ja nicht so, das für jede Variante die exakt gleiche Lösung gilt ;-)
Sorry, du hast recht. Ich habe Windows 7.
Gruß und danke schon mal für deine Hilfe.
praetorian
Windows 7 Home Premium 64-bit
praetorian
Da es dir ja in erster Linie nur um das Sichern der Daten geht: Ja, das sollte mit der ISO auch funktionieren. Dafür kannst Du aber auch jede x-beliebige Linux-Live-CD nehmen. Vielleicht wäre ein Knoppix sogar noch einfacher, da es sich optisch sehr an Windows anlehnt, um die Bedienung einfach zu halten:
http://www.knoppix.org/
In der Regel sind Dokumente, Bilder, Musik etc nicht mit Schadcode infiziert, so dass Du diese Daten einfach kopieren kannst. Anders sieht der Fall bei heruntergeladenen ausführbaren Programmen aus…da wäre mir das Risiko zu hoch…
Auf der Hiren’s Boot CD ist ja auch ein Linux Programm drauf (Parted Magic), dann nehme ich das. Die Daten habe ich damit schon ausfindig gemacht und ausführbare Programme sind auch nicht dabei. Danke für die schnellen Antworten.
Grüße von praetorian
Ja, Parted Magic ist auch das System meiner Wahl, allerdings nutze ich das als eigenständiges System, weil es da wesentlich flotter bootet
http://partedmagic.com
Hi! Erst mal vielen Dank für die Videos! Habe auf meinem infizierten Laptop Windows 7 Prof und die Anweisungen der beiden Vids befolgt (Boot-CD erstellt, Dateien gelöscht/ umbenannt, etc.). Nach dem Neustart erscheint jedoch die Meldung ‚Desktop wird vorbereitet…‘ und danach kommt nur ein Standard-Desktop, sämtliche gespeicherte Dateien (Bilder, Dokumente, Videos) fehlen. Hab‘ ich jetzt etwa eine Datei zu viel gelöscht? Vielen Dank für eine Antwort!
Deine Dateien sollten sich im Ordner C:\Users\Dein Benutzername\ befinden…
Die im Video beschriebene Lösung ist nur dazu da, damit das System wieder startet und man wieder an seine Dateien kommt. Das System sollte danach eh neu aufgesetzt werden.
servus
hab alles wie im video durchgeführt.
ergebniss: pc fährt jetzt nicht mehr hoch!!!!
„…wie im video…“
Welches von beiden?
Hallo,
ich habe mir heute mittag den BKA Virus eingefangen und hab genau das gemacht was in den zweit Videos gesagt worden ist.
Es hat aber nicht funktioniert. :((
Was könnte ich falsch gemacht haben?
Ich habe richtig angst, ob mein PC wieder wird bzw was die alles damit anstellen. :(
Vielen für Ihre Hilfe im Vorraus
mfg
Max
ps.: bei dieser BKA … Seite machen die über meine Kamera immer wieder ein Foto von mir bzw meinem Umfeld (wo ich gerade bin, von meinem Zimmer, was hald gerade alles vor der Kamera ist)
Deine Webcam ist an. Schalte sie aus oder häng‘ einen Lappen drüber wenn’s dich stört.
Pauschal wir dir hier ohne weitere Infos niemand sagen können, was du vielleicht übersehen haben könntest oder was bei dir einfach anders ist …
Ich habe heute einen weiteren Artikel zu diesem Schädling veröffentlicht, aber selbst noch nicht ausprobieren können: https://www.redirect301.de/bka-trojaner-automatisch-entfernen.html
Schau dir das mal an. Wenn das so klappt, ist’s absolut einfach den Trojaner los zu werden.
Vielen dank.
Ich hoffe es funktioniert. :)
Herzlichen Dank für die Hilfe!
Ich habe mir jetzt mehrfach die unterschiedlichen Möglichkeiten der ‚Hiren’s bootCD‘ angeschaut. Das Menü sieht exakt so aus wie in deiner Abbildung (s.o. Hiren’s BootCD 15.2 Startmenü).
Allerdings kann ich dort kein Mini Windows 7 finden.
Wenn ich von der CD aus boote, startet sofort das VAIOcare Wiederherstellungssystem.
Soll ich mir die von dir beschriebenen Ordner über mini Windows xp zusammensuchen?
Funktioniert das überhaupt?
Schönen Gruß und nochmals vielen Dank!
Es gibt ja auch kein „Mini-Windows 7 “ ;-)
Aber mit dem Mini-XP kommt man ja auch problemlos an die zu sichernden Daten. Das Dateisystem ist in der Regel NTFS…das wird von jeder Windows-Version ab Win2000 gelesen.