GVU Trojaner - Lösung zum Entfernen gesucht

[2ndReality]

Hi,
mein Nachbar kam heute Nachmittag mit seinem Laptop zu mir. Scheinbar hat er sich auch diesen GVU Trojaner eingefangen.

Situation:

- Betriebssystem Windows XP.
- Startet bis zum GVU Sperrbildschirm
- ALT + STRG + ENTF öffnet NICHT den Taskmanager
- Absicherter Modus ruft AUCH den Sperrbildschirm beim Starten auf
- Kaspersky Rescue Disk bringt beim Scan den Rechner zum ausschalten. Die Suche nach "NoDesktop", "DisableRegistryTools" in der Registry bringen keine Erbenisse.
- USB Boot mit Hitman Pro reagiert nicht. Eventuell, weil ich auf meinem PC Win7 x64 installiert habe und damit den USB Bootstick für eine 32 Bit Version erstellt habe?! Oder sollte das trotzdem gehen?!

Version des GVU Trojaners noch nicht identifiziert. Sperrbildschirm zeigt einen dicken, roten Querbalken mit "Ihr Computer ist gesperrt"


Jemand eine Idee, wie ich weiter vorgehen kann? Bin langsam ziemlich ratlos.

 

[IndianSpirit]

wenn der abgesicherte nicht mal geht, bleibt nur ne neuinstallation von windoof über!

du hast die möglichkeit vielleicht über einen anderen rechner deine daten zu sichern und evtl. die platte mal checken. wobei das ja etwas riskant ist.

 

[pixelflat]

Den

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

auf der Kaspersky Disc schon versucht?

Dass sich der PC beim Scannen ausschaltet liegt jedenfalls nicht an der Software auf dem PC. Hast du die aktuellste Version der Rescue Disk und vorher ein Update gemacht?

Ansonsten erkennt wohl Malwarebytes Anit-Malware viel Ransomware...

 

[2ndReality]

Den

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

auf der Kaspersky Disc schon versucht?

Ja, über die Kaspersky Rescue CD habe ich über -> Terminal -> Windowsunlocker eingegeben und bin dann auf freischalten gegangen. Rechner neu gestartet, aber der Sperrscreen kommt trotzdem noch.

Dass sich der PC beim Scannen ausschaltet liegt jedenfalls nicht an der Software auf dem PC. Hast du die aktuellste Version der Rescue Disk und vorher ein Update gemacht?

Ja, während des Scanvorgangs schaltet sich der Laptop ab. Kann gut sein, dass er zu heiß wird. Das ist natürlich doppelt beschissen. Temperatur kann ich auch nicht kontrollieren, weil ich nicht in Windows reinkomme.

Ansonsten erkennt wohl Malwarebytes Anit-Malware viel Ransomware...

Ja, das wäre dann der nächste Schritt, vorausgesetzt ich komme mal wieder in Windows rein.

 

[Sir Arther]

Hallo,

selbes Problem hatte ich mal auf einem von mir "betreuten" PC (ich "administriere" für ein älteres Ehepaar, wo die Frau nicht wissen soll, was der Mann so macht am PC - soll ja jeder so halten wie er will !

Jedenfalls hatte sich da wohl der Mann mit sowas "abgeschossen" , kahm auch nicht in den abgesicherten Modus rein aber über das Konto der Frau. Beide hatte ich damals als Adminkonten eingerichtet aber beim Konto der Frau ein par Sperren eingebaut, das sie nicht auf das Konto des Mannes zugreifen kann (wenn man versiert ist kann man das sicher aushebeln und zurück setzen, sind ja beides Adminkonten und das wollte ich auch gewärleisten, weil beiden schließlich der PC gehört - nur des Hausfriedens willens, das die Frau alles machen kann aber die "Geheimnisse" des Mannes nicht kennt, war eigentlich der Sinn dahinter )

Na ja, jedenfalls hatte sich das fiese GVU-Teil in der msconfig unter Systemstart des Mannes eingenistet. Dort konnte ich es letztendlich deaktivieren - ich weis nicht mehr wie genau aber ich meine, es mußte gleichsam auch noch ein Registry-Schlüssel gelöscht werden, damit dieses GVU-Teil nicht mehr startet, weil es sich sonst sofort wieder in der msconfig eingenistet hat. Ich hab da im Internet damals mich fast blöde gesucht aber da gabs eine Anleitung dafür. Danach war dann auf dem befallenen Nutzeraccount ccleaner durch zu führen, weil der Virus war ja immer noch drauf, ihm fehlte aber der Schlüssel und so konnte ccleaner dieses als Datenrest eines deinstallierten Programmes erkennen und von der Platte putzen.

Startet man die Laptopfestplatte an einem anderen System bspw. über IDE to USB-Adapter, so müßt man wissen, wo die Registry des Nutzerkontos gespeichert ist - das übersteigt meine Kenntnisse, weil ich bin ja damals am laufenden System über ein anderes Konto eingestiegen.

Den Gedanken müßt hier ein User vollenden, der fitter ist als ich ...

Meißt mache ich mir bei so einem Problem Notitzen auf dem befallenen System, damit ich bei Wiederauftauchen nicht wieder so elendig lang suchen muß aber die Eigentümer sind derzeit verreist, sonst schau ich natürlich gerne, ob ich die Lösung rekonstruiert bekomme, weil was ich hier schreibe, ist reines "Gedächtnisprotokoll" ...