GVU-Trojaner mit Webcam

Erneut gibt es eine weitere Variante des Sperrbildschirms mit GVU und BSI-Logo. Auch das BSI warnt vor dem neuen Sperrbildschirm, welches das Livebild der Webcam zeigt:

GVU-Trojaner mit Webcam

Der betroffene Anwender soll auch hier eingeschüchtert werden und zu einer Strafzahlung von 100€ bewegt werden, um den Computer wieder “freizugeben”. Auch hier gilt: Zahlen Sie auf keinen Fall. Gehen Sie statt dessen auf http://www.bka-trojaner.de. Dort stellen wir ein Tool bereit, welches Sie bei der Bereinigung Ihres Systems unterstützt.

Um sich vor einer Infektion zu schützen sollten Sie verschiedene Maßnahmen ergreifen:

90 thoughts on “GVU-Trojaner mit Webcam”

    1. Hallo DSN,

      Die Techniker sind bereits bei der Behebung des Problem, wir bitten um etwas Geduld.

      Gruß ABBZ

  1. Hi, mein Laptop hat sich gestern Abend/heute Nacht mit dem Virus infiziert (GVU-Trojaner 2.07). Ich habe den gesamten Nachmittag bis eben gerade an dem Rechner herumgemacht und bin etliche Anleitungen durchgegangen, habe die Kaspersky Rescue Disc mit Hilfe eines Zweitrechners erstellt, Malwarebytes über mein Smartphone heruntergeladen und per USB auf den Rechner übertragen etc, die Methode mit der regedit und dem Shell-String probiert etc… Alles ohne Erfolg jedenfalls. Denn natürlich habe ich den neuesten von den neuesten und es scheint noch keine Lösung zu geben.

    Bis mir eine simple, blöde Idee kam. Modem ausgemacht (damit sich der Rechner im Falle eines Scheiterns nach einem erneuten Boot-Versuch nicht mit dem Internet verbinden kann) und den PC im abgesicherten Modus hochgefahren. Windows Explorer gestartet und die gesamte Systemfestplatte C: nach “*.exe”, also sämtlichen darauf befindlichen EXE-Dateien durchsucht. Diese nach Änderungsdatum sortiert und siehe da, ich konnte gleich 2 ominöse EXEs ausfindig machen, die einen sinnlosen Namen hatten, kein Icon, eine Sinnlos-Firma in der Signatur und deren Änderungs-/Erstellungsdatum ziemlich genau in das Zeitfenster fällt, seitdem der Laptop tot ist. Beide einfach gelöscht, danach auch aus dem Papierkorb, neugestartet und siehe da: Trojaner weg.

    Was mich bei VIELEN Anleitungen im gesamten Netz extrem ärgert: ständig ist die Rede von “aktualisieren Sie dies” und “laden Sie das runter” und “brennen Sie jedes” und “scannen sie das”. Wie soll das gehen ? Diese Trojaner um die es hier geht, verhindern doch das man überhaupt an den Desktop kommt. Man meldet sich an, sieht den Trojaner-Screen und kommt sonst nirgends dran. Und der abgesicherte Modus hat leider die blöde Eigenschaft das dann so gut wie nichts mehr funktioniert, was nicht unbedingt Windows-nötig ist, u.a. das Internet. Wie soll das also gehen? Wie soll ich Malwarebytes ohne Internetanbindung im abgesicherten Modus aktualisieren bevor ich es scannen lasse? Das könntet u.a. auch Ihr mal mit in eure Anleitungen schreiben!

    Ich hatte sogar gleich 2 dieser Trojaner hier drauf. Einmal den GVU 2.07 der oben abgebildet ist und einmal einen neuen von der Bundespolizei den ich nicht identifizieren konnte.

    Meine Anleitung jedenfalls:
    1. Internet kappen
    2. Abgesicherter Modus
    3. Im Explorer alle EXE-Dateien löschen (auch aus dem Papierkorb) auf die folgendes zutrifft:
    – Änderungs-/Erstellungsdatum passt zu dem Zeitraum der Infizierung
    – unbekannt
    – unsinniger Name
    – keine schlüssige Firma in der Signatur
    – kein Icon
    4. neu starten

    FERTIG.

    1. Hallo Thomas,

      Danke für deinen Beitrag.
      Wir haben dazu ein http://forum.botfrei.de erstellt, wo man vieles dazu lesen kann.
      Kostenfei wird hier von Experten “Schritt für Schritt” bei der Entfernung der Malware geholfen.

      Gruß ABBZ

    2. Hallo Thomas,
      Echt Super von dir.
      Vielen, vielen Dank
      Gratulation und der Hinweis von Tom war auch perfekt!!!!

    3. Hallo Thomas

      Dank deines Tips, haben wir auch unseren Trojaner schnell entfernen können.
      Auch wir sassen da und fragten uns, wie wir etwas runter-oder draufladen sollen, wenn man nicht bei kommt !
      dank dir hat es uns Geld und Nerven gespart

      Besten Dank

      L.G. Heike

    4. Thomas, vielen herzlichen Dank. Ich habe jetzt Stunden mit Rescue Programmen zugebracht… …ohne Erfolg. Deine sehr einfache Beschreibung hat mir wieder Zugang zu meinem Rechner verschafft!
      Jetzt kann ich mich mit allem anderen befassen, z. B. ob noch irgendwo Reste des Trojaners rumliegen.

      Vielen Dank nochmal!

    5. Thomas danke für den Tipp. Und ich gebe Dir was die angesprochenen Maßnahmen angeht voll recht. Was nutzt das alles wenn man keine Zugriff mehr hat. Anway. Danke!

    6. Lieber Thomas,
      herzlichen Dank! Ein klasse Hinweis.
      Innerhalb kurzer Zeit funktionierte mein Laoptop wieder!

    7. Spitzen-Erklärung Thomas!! So muss das sein! 🙂

      Ich habe wohl noch Glück gehabt, denn ich konnte über einen anderen Rechner Avira (kostenlos) runterladen und dieses Anti-Virus-Programm hat die infizierten Dateien letztendlich gefunden.
      Ich frag mich allerdings, ob noch irgendwo “Reste” von dem tollen BKA-Trojaner (Version 2.07) versteckt sind. Kann wohl einfach nicht fassen, dass der Spuk ein Ende hat, wo ich doch so viele Stunden mit der Lösungssuche verbracht habe.. :D.

    8. Morgen Jules,

      es können durchaus Reste vorhanden sein bzw. Malware, die von Avira nicht gefunden worden sind, scanne deinen Rechner mal mit dem kostenfreien Tool Malwarebytes und wenn du weiterhin Hilfe benötigst, melde dich kostenfrei in unserem http://forum.botfrei.de an. Erstelle ein neues Thema mit Beschreibung deines Problems, die Experten dort helfen dir “Schritt für Schritt” bei der Lösung.

      Grüße,
      TB, ABBZ

    9. Hallo Thomas, ich bin Dir unendlich dankbar für Deine Zeilen die Du geschrieben hast.Ich bin jetzt auch eine Woche dran gewesen den GVU Trojaner zu entfernen.Habe auch alle Foren durchkämmt und nichts kam dabei heraus.Zum Glück habe ich noch ein altes Laptop mit dem ich mir helfen konnte, was aber nur ein gutes hatte,Deinen Bericht zu lesen.Also nochmals meinen aller herzlichsten Dank und alles Gute für Deine Zukunft,,,,MfG…Wuscher

  2. Hallo,
    hatte das gleiche Problem wie Thomas.
    Dank seiner Anleitung recht schnell behoben.
    Bei mir hatte sich der Schädling als fest0r_ot.exe eingenistet.
    Ganz primitiv im Austostartordner eingetragen.

    Gruß Tom

    1. Hallo Tom,

      Danke für deine Info…
      Scanne deine Rechner noch mit dem Tool von Malwarebytes im Vollscan, damit die Schadware auch komplett vom Rechner ist.

      Gruß ABBZ

  3. vielen dank Thomas deine anleitung ist super simpel und war auch das einzige was mir geholfen hat gegen denn 2.07 trojaner :))

  4. Hallo,
    man kann diesen neuen Trojaner auch ohne abgesicherten Modus entfernen, man muss nur das System neu starten und darf keine Internet Verbindung herstellen, da er erst nach der Internet Verbindung das System blockiert. Beispiel für Win7:

    Da das Schad-Programm fest0r_ot.exe über rundll32 gestartet wird, und nicht unter seinem eigenen Namen läuft, die DOS Box (CMD) aufrufen und danach suchen. Mit dem Taskmanager geht das nicht, da dieser vom Schad-Programm blockiert wird und nur kurz aufscheint und gleich wieder verschwindet.

    tasklist /FI “IMAGENAME eq rundll32.exe”
    Abbildname PID Sitzungsname Sitz.-Nr Speichernutzung
    ========== === =========== ====== ===========
    rundll32.exe 4504 Console 1 1.992 K
    rundll32.exe 4932 Console 1 180 K <—
    rundll32.exe 4956 Console 1 1.448 K

    Entsprechend der Größe erkennt man das Programm und kann es dann mit taskkill samt seinen Unterprogrammen stoppen:

    taskkill /pid 4932 /t /f
    ERFOLGREICH: Der Prozess mit PID 6928 (untergeordnetem Prozess von PID 4788) wurde beendet.
    ERFOLGREICH: Der Prozess mit PID 4788 (untergeordnetem Prozess von PID 3748) wurde beendet.
    ERFOLGREICH: Der Prozess mit PID 3748 (untergeordnetem Prozess von PID 4956) wurde beendet.
    ERFOLGREICH: Der Prozess mit PID 4956 (untergeordnetem Prozess von PID 4932) wurde beendet.
    ERFOLGREICH: Der Prozess mit PID 4932 (untergeordnetem Prozess von PID 3208) wurde beendet.

    Nun kann man die Dateien löschen:
    C:\Users\benutzername\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    ctfmon … löschen ( = link zu fest0r_ot.exe)

    C:\Users\benutzername\Lokale Einstellungen\Temp
    fest0r_ot.exe … löschen

    Dann noch mit CMD msconfig aufrufen und in
    — Systemstart
    — ctfmon … Aktivierung bei Systemstart (Haken) entfernen

    Danach sollte alles erledigt sein.

    Achtung! Antivirus Programme wie McAffee erkennen diesen Trojaner noch nicht und stellen auch bei einem Scan des gesamten Computers keine Probleme fest!

    1. HAllo Johann,

      Danke für deine ausführliche Information, das wird aber nur der fortgeschrittenen User machen können und leider trifft die Vorgehensweise nicht auf alle Infektionen zu.
      Wir können immer Hilfe in unserem http://forum.botfrei.de gebrauchen, evtl. schaust du es dir mal an und wir können dich schon bald als Helfer begrüßen.

      Gruß ABBZ

    2. Hallo Johann,
      vielen, vielen Dank für Deine “Bedienungsanleitung”.
      Hat super geklappt und hat mir einige graue Haare erspart.

      🙂

    3. Die Anleitung funktioniert ohne Zweifel,
      nur leider habe ich keinen Admin Account bzw.
      komme da auch nicht ran !
      Ich bekomme deswegen immer “Zugriff Verweigert !”
      Kann man das irgendwie umgehen ?
      /net user geht ja auch net !

      I need help !

      Mfg
      Sebastian

    4. bei mir kommt da bei win7 tatsächlich ein syntaxfehler!….wie kann das sein?…
      ARGUMENT/option ungültig -“eq”.

      ich check’s einfach nicht!

    5. Hallo,

      wo genau kommt der Fehler? Wenn das Problem noch besteht, kannst du dich gerne in unserem kostenlosen Support-Forum anmelden und dir von unseren Experten helfen lassen.

      Grüße,
      CG (ABBZ)

  5. Hallo Thomas
    Ich habe mich mit dem GUV 2.07 infiziert. Bin ein kompletter Laie wenn es um Computer geht. Ist es besser wenn ich meinen Computer zur Reparatur gebe? Oder kann ich das selber machen? Wie genau geht die suche?
    Ich habe unser Internet abgeschalten. Mein Notebook ist infiziert. Kann ich unseren Haupt-Computer benutzen?
    Danke im Voraus

  6. Ich habe bei dem Forum schon hingeschrieben abermals klingt alles latainisch für mich. Ich bin wirklich ein Laie und kann nicht viel mit dem Computer machen.

  7. Nein leider nicht. Ich habe mich richtig erschrocken als die GVU Meldung erschien. Ich wollte schon bezahlen aber habe gesehen, das mit davon abgeraten wurde. Somit bin ich auf Eure Internet Seite gestoßen. Leider ist das alles so kompliziert. Ich habe WLan abgeschalten. Ich brauche aber Internet, weil ich auf Jobsuche bin. Habe auch Angst an was für Daten die kommen können. Kann ich Internet wieder anschalten und unseren Hauptcomputer benutze ? Der Laptop ist betroffen und den will ich lieber nicht benutzen.
    So ein Mist aber auch. Bin noch nicht lange in dieser Stadt und muss jetzt einen Reparaturdienst suchen

    1. Hallo Dannii,
      Mach doch einfach was man dir dort sagt, wenn du was nicht verstehst, fragst du!!

      Gruß ABBZ

  8. Hilfe mein Brüder Hat sich den GVU Trojaner 2.07 eingefangen.
    da ich erst einen hatte der sich sehr leicht und schnell entfernen lies hab ich gesagt ich mach das
    aber leider bekomme ich das nicht hin
    kann mir irgend jemand bei der entfernung helfen

  9. Hallo Goleador,vielen dank für deine klare Aussage. Leider kann ich die nicht löschen. Sie erscheinen immer wieder. Habe auf google nach trojan Virus entfernen gesucht und die Anleitung F8 usw benutzt aber ich kann leider auch nicht auf ein anderes Datum zurück setzen. Jetzt kann ich mit nur noch auf einen anderen PC die
    Informationen zu Kaspersky Rescue CD holen und es so versuchen. Alles sehr kompliziert. Wie gesagt, ich bin weiblich blond und dies ist zu kompliziert.
    Kann ich einen anderen PC in unserem Hause benutzen? Ist nur mein Laptop befallen?

  10. ERSTE-HILFE-MASSNAHMEN FÜR INFIZIERTE:

    Hey Ihrz!
    Mich hat es gestern Mittag auch mit dem brandneuen Bundespolizei-Trojaner erwischt. Nichts ging mehr! Alle Hilfestellungen, die ich im Internet fand, haben nicht funktioniert…, selbst die Boot Programme wie z.b. Kaspersky Rescue Disk etc. haben den Trojaner noch nicht einmal vorübergehend aushebeln bzw. deaktivieren können. Ich verdanke es rein einem Zufall, daß ich herausfinden konnte wie der Trojaner heißt und ich ihn beseitigen kann, da die böse Anwendung bei einem versuchten Neustart während des “Shutting-down” meines Betriebssystems abgestürzt ist und ich somit Zugriff auf meinen Rechner hatte, wodurch ich alle weitere Maßnahmen einleiten konnte.
    SO, lange Rede, kurzer Schwachsinn…. ;P

    ———————————————————————————————————-
    Die neue Version des Bundespolizei Virus trägt den Namen “fest0r_ot.exe” !!!

    – Startet also den Rechner im “Abgesicherten Modus”

    – Sobald euer System in diesem Modus hochgefahren ist, sucht ihr euch über den “Explorer” die Datei “fest0r_ot.exe”.
    Diese böse Anwendung hat sich (so war es zumindest bei mir) im Ordner: “C:\Benutzer\Tommy\AppData\Local\Temp” eingenistet.
    –>> ACHTUNG: Der oben genannte Ordnername “Tommy” wird bei euch anders heißen! Der Name richtet sich hierbei nach dem Benutzernamen den ihr eurem Computer gegeben habt

    – Wenn ihr die “fest0r_ot.exe” gefunden habt, löscht diese!

    – Danach öffnet die “Registry” über den Befehl “regedit”

    – Dort im Ordnerbaum “HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SHARED TOOLS\MS-CONFIG\STARTUPFOLDER\C:^USERS^TOMMY^APPDATA^ROAMING^MICROSOFT^WINDOWS^START MENU^PROGRAMS^STARTUP^CTFMON.INK”
    In der dort befindlichen Datei “command” ist die Dateiverlinkung als Wert “fest0r_ot.exe” eingetragen.
    Diesen Wert löscht ihr ebenfalls komplett raus!

    – weiterhin solltet ihr noch die “CTFMON.EXE” deaktivieren (Hilfestellung und ein kleines, unkompliziertes Programm, was das für euch erledigt) gibt es hierzu im Internet. Gebt einfach “ctfmon.exe deaktivieren” bei Google ein.

    – jetzt startet den Rechner wieder ganz normal, wie gewohnt. Die Sperre müsste nun ausgehebelt sein

    ———————————————————————————————————-

    Ich gebe euch keine Garantie, daß es funktioniert und daß der Trojaner damit beseitigt ist! Jedoch habt ihr hierduch vorerst wieder vollen Zugriff auf euer “normales” Betriebssystem und könnt weitere Schritte einleiten, ohne den Rechner andauernd im Abgesicherten Modus zu starten.
    Ich rate euch die neuesten Updates für Windows, Virenscanner und Malware Programme runterzuladen und alles von diesen scannen zu lassen!
    Bei mir wurde seitdem nichts mehr gefunden….

    Ich hoffe ich konnte euch ein wenig helfen und hab das ganze nicht allzu kompliziert erläutert… 😉
    Ich wünsche Euch einen hoffentlich Trojaner-freien Sonntag und ein bald wieder laufendes Betriebssystem! 🙂
    Cyyyyya

    1. Hallo Tommy,

      Danke für die hilfreichen Informationen, wir können immer Hilfe in unserem http://forum.botfrei.de gebrauchen. Evtl. schaust du mal vorbei und wir können dich bald als Helfer begrüßen.

      Gruß ABBZ

  11. GVU Trojaner loswerden
    ======================
    Der GVU Trojaner ist ein ziemlich strohdoofer Trojaner, der sich ganz leicht eliminieren läßt. Dazu brauchts auch keinerlei Spezial-Software.

    Erkennung
    =========
    Wenn er zuschlägt kriegt man eine fake-Meldung mit einer Zahlungs-Aufforderung, die behauptet, man hätte was illegeles gemacht oder angesehen – ein echter Witz (wer tut das nicht ?).

    Man erkennt das Ding recht einfach indem man CTRL-ALT-DEL drückt und den Taskmanager nur ganz kurz aufblitzen sieht. Der Trojaner ist dann bereits gestartet worden und schickt ein CLOSE event an den Taskmanager, wie das auch passieren würde, wenn man den beenden-button klickt (das rote Kreuz rechts oben im Fenster). Das ist echt dilletantisch und kindisch. Für wie doof halten die uns eigentlich ?

    Arbeitsweise
    ============
    Der Trojaner schreibt sich selbst als Prozess, der über die rundll32 gestartet wird und den Namen ctfmon.lnk trägt in die autorun-Datei (das ist natürlich keine Datei, sondern ein Registry-Eintrag). Man kann das ganz einfach mit Rechtsklick entfernen (Start->Programme->autostart Rechtsklick und ctfmon löschen). PS: ctfmon ist der Name eines unschädlichen Windows-Prozesses. Dieser Name wird zur Tarnung verwendet, weil es genau dieser Name ist, der im Taskmanager aufgelistet wird, wenn man ihn überhaupt zu sehen bekommt. Wahnsinnig genial !

    Weg damit !
    ===========
    Los wird man diesen Schädling über den abgesicherten Modus (beim booten von Windows F8 drücken). Dann mit dem Windows Explorer in ‘C:/Dokumente und Einstellungen//Lokale Einstellungen/Temp’ die Datei fest0r_ot.exe löschen. Das ist die Schad-Anwendung. Wer es ernst meint kann auch noch den Papierkorb leeren. Das brauchts nicht und kann auch erst nach dem anschließenden Reboot gemacht werden. Fertg ist die Laube ! Den autorun-Eintrag kann man noch im abgesicherten Modus ausradieren oder eben später, dann meldet Windows allerdings eine fehlende Datei – ach wie schlau.

    Fazit
    =====
    Mehr isses nicht – ein deppertes Programm, das dem Task-Manager ein CLOSE sendet und seinen Start ständig im autostart erhält. Isser nicht süß der kleene ? Echt putzig – und mehr kriegen diese Hirnies nicht hin ? Die Welt verkommt immer mehr ins Triviale, das hat echt Hauptschul-Niveau (nein das ist keine Creme…). Wenn in Zukunft noch mehr solche Luschen in Umlauf kommen freu ich mich drauf…

    Grüße Chris

    1. Hallo Chris,

      Danke für die Information und die Hilfe..
      Denkt bitte daran, den Rechner mit dem Tool von Malwarebytes zu scannen um Reste zu finden und zu löschen…

      Gruß ABBZ

    2. Danke nochmal @tommy für die tollen tipps. nachdem kaspersky rescue nicht klappte fing ich schon an zu verzweifeln, und bin dann zum glück auf diese tolle Seite hier gestoßen.
      ich hab zwar die fest0r_ot.exe nicht direkt gefunden. bzw. mein suchlauf hat es nicht. aber ich hab dann einfach mal den gesamten inhalt des …/appdata/…/temp ordners gelöscht, weil ich noch wusste, dass in dem ordner eh nichts systemrelevantes steckt/der ordner mir schon immer wieder mal als supekt auffiel. –>den sollte man eh öfter mal leeren.
      und schwupp – beim neustart meldete runll32 die fest0r_ot.exe als fehlend. 🙂 und ich kann wieder ins netz – dann gleich malwarebytes runtergeladen.
      Hab jetzt gerade einen malwarebytes quickscan durchgeführt und der hat trojan.ransom.gen gefunden im …/roaming/…/startup/ctfmon.ink. den hab ich entfernt.
      werde dann gleich mal einen full scan mit malwarebytes machen, zusammen mit der ext. platte, die noch angeschlossen war.

      @TB ist das ok das nun im normalen win betrieb zu machen, oder empfehlt ihr da auch noch abgesichert.?
      ich bin noch etwas ängstlich an den pc andere sticks und platten anzuschließen, bin ich da jetzt erstmal vor kreuzinfektionen sicher?
      oder inwiefern sind diesee trojaner auf externe speichermedien abgerichtet.
      soll ich trotzdem lieber das system neu aufsetzen?
      (dafür müsste ich mir evt. noch eine neue externe zwecks datensicherung kaufen, und die sind gerade so teuer)
      thx!

    3. Hallo Willow,

      Überprüfe alle Laufwerke mit Malwarebytes im Vollscan…
      Sicher sein, nach einer Infektion, kann man nur mit einer Neuinstallation.

      Wie du seien System absichern kannst lese dazu diesen Beitrag: https://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/

      Wenn du weiterhin Hilfe benötigst, melde dich bitte in unserem kostenfreien forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ

  12. Für alle Nicht-Experten bei denen o.g. Weg nicht funktioniert: Da unser Computer für zwei user eingerichtet ist, und nur ein Zugang durch den Trojaner blockiert war, konnte ich das Internet security Packet von Avira herunterladen, das dann die schon erwähnte fest0r_ot.exe Datei gefunden und entfernt hat.

    Good luck, Woff

  13. Hallo an alle Hilfesuchenden des GVU mit webcam!

    Ich hab ihn mir in der Nacht von Freitag auf Samstag eingefangen.
    Die Probleme brauche ich euch ja nicht nochmal beschreiben.

    Wer unter fest0r_ot.exe nichts finden kann, sollte in den o.g. Verzeichnissen nachschauen ob dort statt dessen ein absolut nichts-sagender Name auftaucht.

    In meinem Fall war “4623722cos240756.exe”!

    Sehr praktisch ist auch der Hinweis gewesen, mit einem anderen Benutzerkonto auf gesamt C:\ nach “*.exe” zu suchen und nach Datum zu sortieren.

    MfG
    Onex

    PS: Haltet die Ohren steif und verzweifelt nicht!!! 😉

    1. Hallo Onex,

      Danke für deine Hilfe, braucht ihr dennoch Unterstützung,
      Meldet euch bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ

  14. Nachdem ich mir die wirklich guten Beiträge durchgelsen habe, war es nicht schwer wieder Zugriff auf den PC zu haben. Einfach im abgesichertem Modus nach der fest0r_ot.exe gesucht und gelöscht. Den PC neugestartet und siehe da ich habe wieder zugriff auf mein PC. Es wird nur gesagt das die .exe fehlt.
    Achtet daruf das ihr den PC noch mal durch scant mit anti-malware. Dadurch wird der Virus kommplett entfernt. Bei mir hat mein antiviren- system

    1. Freut mich sehr zu hören, daß ich Dir zum wieder laufenden Betriebssystem beitragen konnte! 🙂
      Bezüglich der darauf folgenden Fehlermeldung beim hochfahren von Windows, hatte ich ja bereits geschrieben, daß man die Einträge in der “Registry” löschen und die “ctfmon.exe” deaktivieren muß, da diese beiden dafür verantwortlich sind, die ursprüngliche “fest0r_ot.exe” direkt beim Systemstart mit zu starten. Und da man diese Datei ja zuerst gelöscht hat, kommt die Fehlermeldung, da sie ja nicht mehr gefunden werden kann.
      So denn, wie ONEX bereits schon sagte, “verzweifelt nicht!”, meistens sieht es bei dieser Art von Trojanern schlimmer aus, als es im Endeffekt ist! 🙂

  15. Sorry bin ausversehen auf senden gekommen.

    Also mein Antivirensystem hat noch ein Spyware gefunden.Danach alles updaten. Hab gelesen der Virus kommt durch Lücken vom Betriebssystem oder durch nicht aktuelle Plug-ins im Browser wie Java oder Adobe Flash Player. Und ein Add-blocker schadet auch nicht.

    Könnt ihr bitte die anti-malware auf eine aktuellere Version bringen? Die war bei mir über 100 Tage alt.

    Es hat alles gut geklappt und mein PC läuft jetzt wieder Viren frei.

  16. Also mit der einfachen Löschung der Datei
    –> fest0r_ot.exe
    und der Verknüpfung im Autostart
    –> ctfmon.lnk
    ist es nicht getan !!!

    Ihr müsst auch noch die hinterlassenen Dateien der HTML Seite löschen …
    (Das Script ist auchgebaut mit einer Haupt HTML Seite und mit JS Scripten)

    Ihr findet den Rest unter …
    %homedrive%\Users\All Users\
    –> Dort ist ein Ordner mit zufallsgenereiten Buchstaben (bei mir “rwphqdikzyyqmsy”) denn solltet ihr auch löschen !!!

    Damit sollte der Rest auch endgültig gelöscht sein …

    HINWEIS:
    Der Virus kommt durch ein geladenes Shockwave Flash Object (bei mir “heias_sc[1].swf”) für Werbung auf den Computer!

    1. Hallo F.L.

      die ctfmon.lnk ist soweit immer gleich, aber Vorsicht, der Schädling kann anders heißen.
      Wenn ctfmon.lnk gelöscht wird, dann wird der Winlocker nicht mehr gestartet.

      Wenn ihr Hilfe braucht, meldet euch bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ

    2. Bei mir gibt es kein Ordner der mir komisch vorkommt.
      Denke mal Malwarebytes hat das alles schon bereinigt.

      Mein PC läuft wieder und mein Anti-Viren(Sophos) hat auch nicht mehr zu meckern.
      Dank Secunia PSI ist wieder alles aktuell.

  17. Hallo,

    ich hab mir den Virus ebenfalls eingefangen. Ich habe die ganzen Antworten bereits durchgelesen und die Anweisungen verfolgt. Im abgesicherten Modus habe ich die exe. Datei jedoch nicht finden können. Ich bin langsam am Ende meines Lateins.

    Ich hoffe, dass mir jemand noch helfen kann. Aber ich habe keinen großen Schimmer von IT. Also wenn ihr mir antwortet, dann bitte in einer verständlichen Weise. (Stellt euch vor eure Oma sitzt vorm Rechner!!!)

    Bis dann

    1. Moin Robin!
      Bedenke, daß die Datei, die wir genannt haben (“fest0r_ot.exe”) das Zeichen nach dem Wort “fest” NICHT der Buchstabe “O” ist, sondern die ZAHL “0”. Vielleicht hast du deswegen die Datei nicht gefunden.
      Jedoch muß man noch dazu erwähnen, daß dies kein Allgemeinrezept darstellt! Die schädliche Datei kann bei dir anders heißen.
      Eine andere Möglichkeit besteht darin, daß du den Rechner im Abgesicherten Modus startest, und dann nach allen Dateien durchsuchst, die zum Infektionszeitpunkt erstellt oder geändert worden sind.
      Verfahre dabei wie folgt:

      – Wenn du den PC anmachst, drückst du alle ein-zwei Sekunden lang immer wieder auf die “F8” Taste. Irgendwann erscheint dann ein Menü, wo du den “Abgesicherten Modus” auswählen kannst.

      – Im Abgesichterten Modus hast du nur beschränkt Zugriff auf gewisse Ressourcen, bzw. Anwendungen deines Rechners, da der Rechner in diesem Modus nicht alle Treiber und Programme mitstartet. Wunder dich also nicht, falls dein AntiViren Programm, Internet oder sonstige Anwendungen dort nicht funktionieren.

      – Nun öffnest Du ein Dateifenster (Beispielsweise einfach auf deine Festplatte C: klicken)

      – In diesem Fenster kannst du in einer Leiste “nach Programmen und Dateien Suchen”

      – Dort müsste auch eine “Erweiterte Suchoption” vorhanden sein, bei der Du unterschiedliche Filteroptionen, wie “Datum”, “Dateigröße” etc. anwählen kannst.

      – Wähle die Option “Suche nach Datum”

      – Hier gibst Du nun den maßgeblichen Zeitpunkt an, wo sich Dein Rechner verabschiedet hat (z.B. wenn sich Dein Rechner gestern infiziert hat “17.07.2012”) und starte die Suche

      – Ich hoffe Du hast an dem besagten Tag nicht allzu viel Installiert oder generell Dateien erstellt. Denn nun mußt Du schauen, ob dort irgendwelche Dateien ausgespuckt werden, die Dir schleierhaft vorkommen. Nimm als Orientierungshilfe der Datei, die von einigen Usern in diesem Forum oben bereits genannten Verzeichnisse.

      – Super wäre es, wenn Du noch ungefähr die Uhrzeit der Infektion weißt. Somit kannst Du nämlich den Schädling noch besser herausfiltern und eine “nichtsaussagende” Datei besser erkennen

      ———————————-
      !!!!! ABER ACHTUNG !!!!!
      ———————————-

      >>> LÖSCHE DIE MUTMAßLICHE BÖSE DATEI NICHT SOFORT!!! <<<
      Denn wenn Du wirklich nicht so viel Ahnung haben solltest, kann es Dir passieren, daß Du eine falsche, vielleicht sogar wichtige Datei Deines Systems löschst!
      Ich empfehle Dir also, benenne die Datei einfach um. Du kannst Sie ja direkt z.B. nach ihrer Eigenschaft benennen "Virus".

      – Wenn Du dies getan hast, startest Du den Rechner einfach wieder ganz normal neu

      – Wenn sich nun Dein Rechner nicht mehr sperrt, bist Du auf dem richtigen Weg. Eine eventuell auftretende Fehlermeldung beim starten von Windows, wie z.B. "Konnte die Datei "blablabla.dll" nicht ausführen oder starten" bestätigt Dir in der Regel daß Du ins schwarze getroffen hast…

      – Nun kannst du mit gutem Gewissen die von dir umbenannte Datei schlußendlich löschen!

      – Um nun die Autostart-Funktion zu entfernen, womit die Fehlermeldung beim starten von Windows behoben wird, mußt Du so verfahren, wie ich es bereits vorher schonmal beschrieben hatte (siehe hierzu das Posting vom 15.07.2012 von mir ab dem Teil "Öffnet die Registry")

      – Lade Dir aber nun noch alle aktuellen Updates vom AntiVirus Programm runter und vor allem die bereits oben genannten Programme "Malwarebytes" und "Secunia" und lasse sie Dein System scannen!

      Wenn nun nichts mehr gefunden wird, biste grün! 😉
      Ich hoffe, ich konnte Dir weiterhelfen und Du konntest das Problem beheben!
      Schreib doch kurz noch eine Antwort, damit ich weiß ob es bei Dir funktioniert hat.
      Greetz 🙂

  18. Hallo,

    bei mir hieß das Ding

    C:\Users\ich\AppData\Local\Temp\toip0_tmp.exe

    zur gleichen Zeit ist noch eine Datei

    V.class

    erstellt worden. Hat die was damit zu tun?

    Alles in allem 3h Arbeit für nix, so eine Scheiße.

    Cheers
    Andreas

    1. Hallo Andreas,

      Es ist nicht immer so einfach wie es aussieht…, melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ

  19. letztes WE hatten wir einen laptop mit dem gvu-trojaner hier. soweit kein problem für uns, wir bekommen sowas nur gebracht, selbst haben wir nie probleme. der bundespolizeitrojaner tickt ähnlich und beehrte diverse bekannte inzwischen schon 4-5 mal.
    im abgesicherten modus hat man das problem scheinbar relativ schnell im griff, allerdings sichern wir dann von dem rechner alles, was gesichert werden muss und installieren grundsätzlich das system neu. alles andere ist uns zu riskant.

    sollte vielleicht erwähnen, dass wir beide in der IT arbeiten, mein mann zudem in einer institution mit sehr hohen sicherheitsstandarts. vielleicht sind wir übervorsichtig, aber nachdem wir einen rechner ohne neuinstallation scheinbar clean zurückgegeben hatten, ging das nur ein halbes jahr gut und schon war das biest wieder drauf. wiederholt die aufregung bei dem gleichen rechner müssen wir nicht haben – noch dazu, wenn onlinebanking etc über diesen computer abgewickelt wird. daher: neuinstallation in jedem fall… und sämtliche bisherigen paßworte ersetzen durch neue!

    1. Hall sue,

      Danke für deinen Beitrag, du hast vollkommen Recht, absolute Sicherheit bekommt man nach einer Infektion nur mit einer Neuinstallation…

      Gruß ABBZ

    2. Hi, SUE es ist schön das mit der Datensicherung und dem Neuaufsetzen, jedoch sollte eine Sensibelisierung der Kunden/Bekannt noch mit eingebracht werden. Sprecht doch auch mal deren Surfverhalten an. Von wegen ich hab nur was geschaut zieht bei mir nicht. Zumal 2 mal in einem halben Jahr der gleiche lässt doch schon auf ein Riskantes Surfverhalten schließen. Nicht böse sein komme selbst aus der IT.
      Kenne die Spielerei also auch, fernanfrage per telefon zum GVU, da ich nicht hin konnte , konnte ich dem Fall nur ein Neuaufsetzen empfehlen.
      Cu

  20. Ich möchte nur mal so am Rande 2 Dinge mit einbringen.
    CCleaner von Piriform und Autoruns von wehm war der noch die Profis kennen den.
    CCleaner gibt es auch für den USB-Stick. Und ich möchte nur kurz darauf eingehen.
    Unter Extras des CCleaner gibt es Autorun dort kann man Programm Autostart aktivieren und deaktiviern bzw lösche.
    In der Regel befinden sich diese netten Plagegeister in den Tempordnern des Users.
    Also wie gehabt Rechner im Abgesichtern Modus starten. CCleaner starten.
    1. Cleaner Option wählen -> Analysieren -> Start Cleaner
    Das löscht die Temp dateien sowohl die vom System als auch die von den Browsern.
    2. Registry Option wählen -> Nach Fehlern suchen -> Fehler beheben ->
    Änderungen in der Registrie sichern? Jeder wie er mag !! Aber achtung !!
    Alle beheben !!
    Die löscht die fehelnden registry-verweise in die Temp ordner.
    3. Extras Option wählen -> Autostart ->
    Hier könnt ihr unter den Menupunkten Windows | Internet Explorer | Scheduled Tasks | Context Menü
    unnötige Einträge löschen oder deaktivieren !!

    Bitte nicht böse sein, das ich hier nicht auf Autoruns eingehe da es um weites Komplexer ist.

    Noch ein Hinweis für FireFox User , hierfür gibt es ein Addon Namens “NoScript” schaut es euch einfach mal !!

  21. ich wollte es mit einem USB-Stück machen, aber Kaspresky_Rescue_to_USB kann es einfach nicht sehen / erkennen.
    Wer hat hier Erfahrung?

    1. Hallo Uzb,

      du kannst dich kostenlos in unserem Support-Forum anmelden. Unsere Experten helfen dir “Schritt-für-Schritt” bei der Bereinigung deines Rechners.

      Grüße,
      CG (ABBZ)

  22. Die obige Anleitung hat bei mir einwandfrei funktioniert. Es reicht eigentlich aus, den Eintrag aus dem Startmenu zu entfernen. Die eigentliche exe habe ich noch nicht gefunden – hoffe aber dass ein baldiges Update des Virenscanners dann drauf hat.
    Vielen Dank noch mal!
    Jedem der sich etwas auskennt kann ich nur raten es zu versuchen mit dem manuellen Entfernen des Trojaners.

    Grüße
    Marcus

  23. Habe mir heute morgen den 2.07 – Trojaner gefangen…
    Diese Seite hat definitiv geholfen, danke dafür..

    Bei mir unter Win7 hieß das Ding deo0_sar.exe und hatte sich in
    C:\Users\User\AppData\Local\Temp\deo0_sar.exe
    eingenistet… Jetzt schmeißt ctfmon noch eine Fehlermeldung, dass er eben diese Datei nicht öffnen kann, aber das bekomm ich auch noch hin…

    Wichtig ist im abgesicherten Modus den PC hochfahren, dann in C:\ nach allen exe – Dateien zu suchen, die an dem Tag der Infektion erstellt worden sind..
    Gleichzeitig mit Malwarebytes einen Scan laufen lassen..

    Ich hoffe, dass ich das Teil damit erledigt habe… Werd jetzt noch drei AntiVir-Programme drüber laufen lassen und hoffe, dass das die Lösung des Problemes war..

    1. Hallo Steer,

      zur Sicherheit kannst du dich kostenlos in unserem Support-Forum anmelden. Unsere Experten können dann gezielt nochmal drüberschauen.

      Grüße,
      CG (ABBZ)

  24. Hallo zusammen,

    hab mir gestern Abend den GVU 2.07 eingefangen.. Erstmal geschockt denn ich habe von dem bisher nichts gehört..
    Am zweiten PC gegoogelt und auf euer Forum gestossen. Da ich den PC zum arbeiten brauche musste ich nach eigenen Lösungen suchen und hab dann mal mit der oben beschriebenen Methode nach den “*.exe” im abgesicherte Modus gesucht. Zum Glück war der Befall in der Nacht na einer Runde Anno und somit nicht viel andere Dateien die zu der Zeit erstellt wurden. Habe also eine “deo0_sar.exe” gefunden… Gelöscht und nun geht es wieder.. Lasse gerade den Malware durchlaufen und hoffe der macht dann die komplette/weitere Bereinigung..
    Oder muss/sollte ich das mit der Registry und ctfmon selber auch noch machen?!

    Vielen Dank schonmal für Hilfe und Antworten,
    Thomas

    1. Hallo Thomas,

      das lässt sich leider nicht so allgemein sagen, da sich auch diese Trojaner ständig verändern. Unsere Experten können sich dein System gerne mal anschauen, dafür müsstest du dich dann aber in unserem Support-Forum anmelden.

      Grüße,
      CG (ABBZ)

  25. Moin, ich hatte gestern auch den Trojaner an Bord und konnte den Rechner nur noch hart, durch abschalten, herunterfahren. Nach Hochfahren (F8 Taste) im Debug Modus, konnte ich zunächst die aktuellen Informationen im Internet sammeln. Mein G-Data hat mich auf die rundll.exe aufmerksam gemacht. Nach Neustart habe ich gleich im Taskmanager den Prozess rundll.exe gestoppt und siehe da, die Sperre war aufgehoben. Danach habe ich gezielt nach der rundll.exe gesucht und dabei das Orignal-Programm sowie 4 weitere mit aktuellem Datum und einer Dateinamenergänzung aus mehreren Zahlen gefunden. Die habe ich dann erstmal gelöscht. Als nächstes habe ich das Malware Programm runtergeladen und einen Scan durchgeführt. Im Ergebnis waren drei Dateien als infiziert ermittelt, die ich dann gelöscht habe. Heute morgen habe ich dann zusätzlich den CC-Cleaner geladen und auch gleich angewendet. Mein Rechner funktioniert wieder einwandfrei.
    Dank an alle die Ihre Info ins Netz stellen.
    Gruß aus der Nähe von Hildesheim
    Thomas B

    1. Hallo Thomas,

      wenn der Sperrbildschirm nicht mehr erscheint, heisst das nicht, dass der Rechner wieder “sauber” ist. Du kannst dich kostenlos in unserem Support-Forum anmelden, da können unsere Experten nochmal drüberschauen.

      Grüße,
      CG (ABBZ)

  26. hejo:D

    habe den virus heute bekommen…

    einfach neues benutzerkonto hier eingerichtet…

    und geht dort alles perfekt…

    also einfach ein neues konto beim läppi errichten alles funzt…

    1. hab dann noch mein avira antivir durchlaufen lassen und der hat nichts gefunden…

      altes konto gelöscht wo nichts mehr ging…

      sollte weg sein! seit 5h keine meldung mehr

  27. Hallo!

    Ich habe den GVU Virus schon seit Freitag abend. Heut war n Freund hier und wollt mir mit der DE Cleaner Rettungs CD helfen. War aber nichts. Gestern hatte ich es mit einer Sytemwiederherstellung zu einem früheren Zeitpunkt versucht… wurde abgelehnt. Kaspersky habe ich drüber laufen lassen… kein Erfolg. Nun schaue ich gerade nach einer auffälligen exe-Datei. Die o.g. fest0r_rot.exe, deo0.sar.exe oder toip0_tmp.exe finde ich nicht. Die einzig auffällige Datei wäre wenn “roper0dun”. Befindet sich in C:\Benutzer\Administrator\AppData\Local\Temp. Bei Typ steht nur “Anwendung”. Ich mag nicht vorschnell etwas entfernen. Wisst ihr mehr?? Ne Idee, was ich sonst noch tun könnte?

    Vielen lieben Dank schonmal,
    Neele

    1. Hallo Neele,

      Ferndiagnose ist bei diesen Infektionen etwas schwierig bis riskant, ich kann Dir anbieten, dass du dich in unserem http://forum.botfrei.de anmeldest, dort deine Problem in einem neuen Thema erstellst, die Experten werden schnell bei der Lösung helfen.

      Gruß ABBZ

  28. Hatte heute auch einen GVU Virus drauf, (Kasperski Rescue hat leider nichts gefunden) habe festgestellt dass wenn ich den PC vom Internet trenne GVU nicht erscheint und dass andre Benutzerkonten nicht betroffen sind. Also Internet aus auf mein Konto, ein neues mit Adminrechte eingerichtet, und mit diesem Malwarebyts heruntergeladen, hat 3 Dateien gefunden aber nicht nur .exe alles gelöscht und nur geht es wieder.

    1. Morgen Palakiko,

      sehr gut gemacht… Du solltest dir im Anschluss diesen Bericht anschauen, wie du deine System in Zukunft vor Malware freihalten kannst.

      Gruß ABBZ

  29. also ich habe bei mir auch den gvu trojaner festgestellt und das zum zweiten mal.
    beim ersten mal konnte ich ihn durch eine einfache systemwiederherstellung wegschaffen. doch jetzt ist er ein zweites mal drauf.
    ich bin mir 100 % sicher das ich nichts schlimmes gemacht habe deshalb hab ich diesen blödsinn nicht ernstgenommen außerdem verfolgt der staat solche kleinigkeiten wie dort angegeben nicht so extrem das man direkt eine sperre bekommt dazu ist der staat nicht in der lage bei 80 mio. rechnern.
    beim zweiten mal hab ich das nicht geschafft den trojaner so wegzubekommen aber das mit den exe dateien durchchecken werd ich mal versuchen.
    damit ich mein pc überhaupt bedienen kann trenne ich sofort nach hochfahren des pcs die internetverbindung.

  30. Ich hatte jetzt den GVU-Trojaner schon zum 3. oder 4. Mal auf dem Rechner (gehabt). Bei mir half folgendes:

    1.) Kasperski-CD auf anderen Rechner runterladen und brennen
    2.) Kasperski 3 Mal durchlaufen lassen,denn ich konnte den Grafikmodus nicht aktivieren!
    3.) Danach war der Trojaner anscheinend weg, denn ich konnte normal starten!
    4.) Mit Malwarebytes das System im Quickmodus gescannt. MB fand trotzdem da noch 31 (!) Malware und Trojaner und entfernte diese!

    Als nächstes werde ich noch einen VollScan mit MB machen und außerdem werde ich mir SecuniaPSI beschaffen und damit den Computer checken!

    1. Bei mir läuft secuniaPSI nicht! Jedenfalls hat er nach Aufruf und 10 Minuten Laufenlassen nichts angezeigt!

    2. Morgen Jochen_S,

      danke für deinen Beitrag.
      Die Frage die sich bei mir stellt. warum schon das 4. mal infiziert?
      Du solltest dich in unserem Forum melden, damit wir uns deinen Rechner anschauen können. Evtl. hast du nicht nur die UKASH- Infektion auf dem Rechner! Lass dir von uns “Schritt für Schritt” helfen.

      Grüße,
      TB, ABBZ

  31. hallo,

    also bei mir ging die webcam an und machte ein bild .es stand die adresse und mein benutzername dort ist das jetzt echt oder ???

    1. Hallo daan,

      du könntest mit Malware infiziert sein, überprüfe deinen Rechner bitte mal mit Malwarebytes nach dieser Anleitung.

      Grüße,
      TB, ABBZ

  32. Pingback: 7 Links, die ich noch loswerden wollte (2012/29) - Servaholics

Kommentare sind geschlossen.