Reveton.C (GVU-Trojaner mit Webcam) entfernen (Vista/Win7)

1.) Starten Sie den Rechner neu (mit der Reset-Taste oder dem Ein-/Ausschalter) und drücken Sie nach dem BIOS und noch vor dem Windows-Logo die F8-Taste, um in die erweiterten Startoptionen von Windows 7 zu gelangen. Wählen Sie hier dann die Startoption ‘Abgesicherter Modus‘ aus.

Abgesicherter Modus unter Windows 7 2.) 2.) Melden Sie sich als Administrator am System an und öffnen Sie anschließend die ‘Ordneroptionen‘:
Start → Systemsteuerung → Ordneroptionen → Registerkarte ‘Ansicht’

Nehmen Sie hier folgende Einstellungen vor:
Geschützte Systemdateien einblenden Ausgeblendete Dateien, Ordner und Laufwerke anzeigen
3.) Bevor Sie die Autostart-Verknüpfung löschen, klicken Sie zunächst mit der rechten Maustaste auf die Verknüpfung und wählen Sie ‘Eigenschaften‘ aus.
C:\Users\Benutzername\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk (z.B. ctfmon.lnk)
oder alternativ Start → Alle Programme → Autostart

Eigenschaften von ctfmon.lnk Unter ‘Ziel:‘ ist hier der Pfad angegeben, unter dem sich die Datei ‘Reveton.C.dll‘ befindet. Löschen Sie die verlinkte Datei. Die Datei kann beispielsweise er_00_0_l.exe, 0_0u_l.exe oder fest0r_ot.exe heißen.

4.) Löschen Sie nun die Verknüpfung unter Autostart:
C:\Users\Benutzername\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk (z.B. ctfmon.lnk)

Autostart-Verknüpfung löschen 5.) Löschen Sie anschließend die *.pad-Datei unter folgendem Pfad:
C:\ProgramData\*.pad (z.B. noteveR.pad)

6.) Klicken Sie oben in der Symbolleiste des Internet Explorers auf ‘Extras‘ und wählen Sie ‘Internetoptionen‘ aus. Wählen Sie die Karteikarte ‘Sicherheit‘ und aktivieren Sie wieder den ‘Geschützten Modus‘ und setzen Sie abschließend alle Zonen auf die Standardstufe zurück.

Internetoptionen-Sicherheit
Obwohl Ihr Computer jetzt wieder freigeschaltet ist, kann das System weiterhin als kompromittiert betrachtet werden! Die Integrität der gespeicherten Daten ist nicht mehr gewährleistet. Reveton.C liest beispielsweise auch die im Internet Explorer gespeicherten Passwörter aus. Grundsätzlich empfiehlt es sich daher, infizierte Systeme (nach einer vorangehenden Datensicherung) komplett neu aufzusetzen. Dies schließt eine Formatierung der Festplatte mit ein. Außerdem sollte auch immer der Master Boot Record überschrieben werden.

Abschließend wird darauf hingewiesen, dass es heutzutage unabdingbar ist, Betriebssystem, Browser inklusive der Plugins sowie die Anwendungen ständig auf dem aktuellen Stand zu halten.

Tipp: Secunia Personal Software Inspector (PSI)

Eine unbekannte Datei, die man beispielsweise als Dateianhang einer E-Mail erhält, sollte niemals ausgeführt werden. Prüfen Sie, ob der Empfang rechtmäßig ist bzw. ob Sie mit dem Empfang der E-Mail gerechnet haben und prüfen Sie den Text auf Rechtschreib- und Ausdrucksfehler. Sollte die E-Mail trotzdem den Anschein haben, dass sie berechtigterweise versandt wurde, halten Sie telefonische Rücksprache mit dem Absender (die Telefonnummer finden Sie in Ihren Vertragsunterlagen oder auf der offiziellen Webseite des jeweiligen Anbieters). Seien Sie nicht nur bei Dateianhängen vorsichtig, sondern auch bei Links innerhalb von solchen E-Mails. Der Link kann Sie auch direkt zu einem sogenannten Exploits Kit weiterleiten und Ihren Computer infizieren.

Links:
Reveton.C (GVU-Trojaner mit Webcam)
Reveton.C (GVU-Trojaner mit Webcam) entfernen (XP)

This entry was posted in BKA-Trojaner, Deutsch, Ransomware, Reveton. Bookmark the permalink.

29 Responses to Reveton.C (GVU-Trojaner mit Webcam) entfernen (Vista/Win7)

  1. robernd says:

    GVU Trojaner mit Webcam Bild (Win7).
    Schönen Dank für die Anleitung zur Entfernung des Trojaners. Bei mir hat sie 100% funktioniert. Alle sonst empfohlenen Wege (auch Kasperskys WindowsUnlocker) waren ein Fehlschlag. Schlimmer noch, sie haben mich animiert, verschiedene Files zu löschen, die Windows dringend benötigt. Z.B. die Win Firewall.
    Meine Version des Trojaners hat den Programmnamen “install_0_msi.exe”. Dieses vermeintlich ausführbare Programm lässt sich nicht direkt starten, ein Blick in dessen Eigenschaften zeigt den Originalnamen COMPSTUI.DLL.

    Wenn der Trojaner im normalen Win7 mit gekappter Netzwerkverbindung aktiv ist, würgt er den Taskmanager sofort nach dem Start wieder ab. Lauffähig bleibt der Prozess Explorer (procexp.exe) aus der SysinternalsSuit http://technet.microsoft.com/sysinternals.

    Der Prozess Explorer zeigt zwei Prozesse von rundll32.exe, die dem aktuellen Benutzer gehören. Ein erstes Mal (weiter oben in der Liste) aufgerufen aus dem Pfad Windows/sysWOW64/ (markiert als 32 Bit Image). Ein zweiter Aufruf aus dem Pfad Windows/system32/ (markiert als 64 Bit Image). In beiden Fällen ist die Aufruf Command-Line gleich und enthält den Namen des Trojaners. Im zweiten Fall (system32) ist ein Autostart Verzeichnis eingetragen, im ersten Fall (sysWOW64) nicht. Weitere rundll32 Aufrufe gibt es nach dem Win-Start nicht.
    procexp erlaubt es, Prozesse einzufrieren (suspend), ohne sie zu entfernen. Beim ersten rundll32 (sysWOW64) ist der Trojaner praktisch abgeschaltet und der Taskmanager lässt sich starten. Beim zweiten rundll32 ist suspend unwirksam.

    Mit procexp wollte ich nach den Fehlschlägen mit kommerzieller Software selbst Hand anlegen. Im Nachhinein kann ich sagen, dass ich kurz vor dem Ziel abgebrochen habe, um noch einmal im Internet zu suchen – und diese Anleitung zu finden. Ich habe mit procexp nach und nach alle Prozesse suspendiert und jeweils ausprobiert, ob sich der Taskmanager starten lässt. Das ist etwas langwierig, weil man dabei auch manchmal Windows abschießt. Mit nur wenig mehr Geduld hätte ich den richtigen rundll32-Prozess erwischt – und der Einstieg in die (bedingte) Reinigung wäre geschafft.

  2. S33C says:

    Hat alles super funktioniert! Im Prinzip war alles so wie in der Anleitung. Vielen Dank!!!

  3. Andreas says:

    Danke für die Beschreibung. Hat funktioniert..

  4. Majo says:

    Hallo, bei meinem Trojaner lässt sich die Verknüpfung nicht löschen. Es ist sofort eine neue da. Über den Pfad habe ich die Anwendung gefunden (glaube ich) und auch die lässt sich nciht löschen, weil sie woanders aktiv ist und erst geschlossen werden soll. Ich weiß aber nciht wo ich sie schließen kann.
    Bei mir heißt die Datei wgsdgsdgdsgsd.exe.GOF1
    Und die Anwendung unter PROGRA (welle) 3 heißt Isass.
    Task – Manager funktioniert auch nicht.
    Kann mir jemand helfen? Bin nicht sehr bewandert am Computer. Also Erklärungen immer wie für Doofe.
    Vielen Dank im Voraus

  5. Fräulein Mausweh says:

    Vielen Dank für die verständliche Anleitung. Jetzt habe ich mir schon zum dritten Mal so ein MistDing eingefangen ( und sollte es mittlerweile im Schlaf auswendig können) Allerdings habe ich das mit der .pad zum ersten Mal gelesen und prompt auch noch zwei Weitere gefunden -.-
    Andere Anleitungen sprachen auch nicht vom Neuaufsetzen, welches bei mir jetzt definitiv ansteht ( war ohnehin geplant und deshalb ärgere ich mich jetzt einfach mal nicht)
    Übrigens habe ich ihn mir immer gleich eingefangen: beim Herunterladen von Legalem CustomContent für ein Spiel, zu dessem Download ich über adfly geleitet wurde ( ohne adfly keine Probleme, adfly: Zack Trojaner ) keine Ahnung ob das relevant ist, aber bei drei Mal in Serie schon auffällig, leider gibt nicht jeder kleine Modder auch an, dass er seine Downloadlinks über adfly anbietet (dammit)

  6. PC Problem says:

    Hallo!
    Ich habe auch diesen Virus auf meinem PC und bin der Anleitung gefolgt, aber ich habe nun ein problem. Ich bin bis zu dem Schritt 3) gekommen, aber ich weiß nicht was genau ich unter Ziel löschen soll, da bei mir keines der beispiele steht. Bei mir steht unter Ziel
    C:\ProgramData\Isass.exe C:\Users\Nele\AppData\Local\Temp\wpbt0.dll.GOF1
    Könnt ihr mir bitte helfen, was ich davon löschen muss?
    Liebe Grüße bitte um schnelle antwort =)

  7. Majo says:

    So, jetzt weiß ich ein bisschen mehr.
    Zum einen kann man auch über das Startmenue (links unten) und bei Suchen “Ausführen” eingeben, dann “msconfig” eingeben, und unter dem Reiter Systemstart zu den Programmen kommen, die automatisch starten. Dort kann man den Trojaner suchen und den Haken wegmachen, sodass er zumindest nicht automatisch öffnet und den PC blockiert.
    Dann hat mein lieber Virenscanner den Trojaner in den Container verschoben und ich weiß jetzt den Pfad, wo er ursprünglich war: C:/users/name/AppData/Local/Temp
    Vielleicht hilft das einigen weiter.

  8. Michi says:

    Wollt mich auf diesem Wege 1000 Mal bedanken!Hat super geklappt!

  9. Aspasia says:

    Leider komme ich nur bis zu Punkt 3. Wenn ich die dort verlinkte Datei löschen will, wird mir gesagt, dass diese in einem anderen Programm geöffnet ist und deshalb die Aktion nicht abgeschlossen werden kann. Hat jemand eine Idee, was ich machen kann? Vielen Dank!

  10. dmw says:

    ….vielen dank, hat wunderbar geklappt…das war die einzige wirklich vernünftige anleitung für leute wie mich, die sich mit detaillierter programmierung etc. nicht auskennen…

  11. LisaSmiley says:

    Bei mir klappt das nicht mit der rechten Maustaste und dem makieren. Sonst klappt ja alles…könnte mir bitte wer helfen?

  12. m.c. says:

    hallo,
    also ich habe das versucht, aber irgendwie klappt das bei mit nicht.
    auch im abgesichten modus kann ich nichts machen weil das bild erscheint.
    gibt es noch irgendeinen anderen weg? ich habe echt schon alles versucht, aber ich kriege den trojaner einfach nicht weg.
    lg

  13. Ze Pequeno says:

    Hi,
    bin der Anleitung gefolgt, bis jetzt hat alles wunderbar geklappt, habe alle dazugehörigen Datein (isaac.exe, ctfmon, etc.) gefunden, kann isaac.exe aber nicht löschen, da ich angeblich keine Berechtigung dazu habe, bin aber als Admin im Sytem eingeloggt.. Finde momentan keine Lösung was kann ich tun?

  14. CaptainAnonymus says:

    Tausend Dank! Hat sofort geklappt, bei mir konnten zwar die Eigenschaften nicht angezeigt werden, durch die Pfadbeschreibung konnte ich den Virus aber schnell finden und löschen, bei mir hieß er “runctf” ohne Gänsefüßchen. Gott segne und schütze den uploader dieser Anleitung! :-) Danke und immer wieder Danke!

  15. Tropentiger says:

    Vielen Dank für diese elitäre Beschreibung, Sie sind mein persönlicher Held des Abends!!! :D

    Ich hatte es vorher über den “WindowsUnlocker” von Kaspersky völlig erfolglos versucht und konnte im Netz auch sonst nur durchgehend schlechte, unpräzise Hinweise finden – Ihrer aber war Gold wert, wenn gleich meine Schaddatei anders hies (endete auf *H1N1.exe).

    Aber das Vorgehen zur Berseitigung war analog zu dem hier von Ihnen Beschriebenen und ich komme jetzt zumindest wieder ins System, um dann (nach geordnetem Backup aller wichtigen Datein) das unvermeidlich Notwendige durchführen zu können…

    Tausend Dank!

  16. Michael says:

    Hallo,

    Vielen Dank für die Anleitung, die auch für mich als Anfänger verständlich war.
    Doch habe ich das gleiche Problem wie der User Majo vom 26.10.12; 05:02.
    Ich kann die Verknüpfung nicht löschen.

    Ich muss jedoch noch anführen, dass ich einen Aldi PC habe mit vorinstallierter Software, so dass es mir gar nicht möglich ist in dem abgesicherten Modus zu starten.
    Aber ich komme unter der Systemsteuerung auch zu der in Schritt 2 oder 3 genannten Datei. Dort sehe ich vier Einträge:
    desktop.ini
    OneNote 210
    runctf
    Versandhelfer
    Schon vom Erstelldatum gesehen muss die Datei runctf die Böse sein.

    Wenn ich dann auf Eigenschaften gehe und den Pfad löschen will geht es nicht und es kommt die Meldung
    “Verknüpfungsproblem”
    Der im Feld “Ziel” angegebene Name “” ist ungültig. Stellen Sie sicher, dass der Pfad und Dateiname richtig sind.

    Ich bekomm die Verknüfung nicht gelöscht.

    Wenn ich dann die Datei runctf löschen will, wie im Schritt vier beschrieben, geht es nicht. Sie ist kurz weg kommt aber sofort wieder.

    Ich habe aber auch entdeckt, dass unter dem unter folgender Adresse
    C:Michael
    die folgende Datei abgespeichert ist.
    wgsdgsdgdsgsd.exe Erstelldatum 06.12.12 Größe 250KB

    Bringt es etwas wenn ich diese Datei lösche?
    Oder wie kann ich den Pfad bei dem Startmenü löschen?

    Danke im Voraus

    Michael

  17. Benny says:

    Hat Super geklappt. Gott segne dich.

    An MICHAEL

    Habe auch einen Aldi PC !!!

    Ja, lösche wgsdsdgs……exe – dann kannst du auch die Autostart Verknüpfung löschen.
    Bei mir hieß die auch – runctf –

    Dann alles weitere wie beschrieben … und es klappt.

    Vielen Dank.

  18. T.a says:

    Hab das gleiche Problem wie m.c.
    Auch wenn ich im abgesicherten Modus starte, kommt das Bild :(
    Gibt’s noch eine andere Lösung?

  19. Ich says:

    Hab gerade herausgefunden, dass ich auch diese wgsdgs… .dll habe.
    Habe ich nun bei Systemstast deaktiviert. Aber was nun?

  20. Linda says:

    VIelen Lieben Dank!! Hat alles funktioniert :)
    Bin mir jetzt nur nicht so ganz sicher ob der Virus denn auch wirklich von meinem Laptop runter ist oder ob ich quasi nur den autostart des viruses ausgeschaltet habe ..
    habe sofort antivir laufen lassen und das zeigt mir auch keine funde an, aber bin irgendwie doch noch etwas ängstlich. was kann ich denn tun damit ich wieder ganz sicher sein kann ?

  21. Sking says:

    Habe ein ähnliches Problem wie Majo, die Verlinkung erscheint sofort wieder, dann weiß ich auch nicht, was ich alles löschen soll vom Ziel! Der Virus heißt bei mir runctf und im Ziel steht C:windows\system32\rundl32.exe C:users\SALVAT~1\wg………. H1n1. Wenn ich dann bei Ausführen die Datei suche finde ich eine mit .pad weiß aber nicht wie man die löscht oder wo.

    Bitte helft mir, ich weiß nicht was ich machen soll !

  22. Marcel says:

    Hallo
    Bei mir war der Name der datei runctf……

  23. Hilmar says:

    Dank dir wirklich sehr
    Besser als jedes GVU löschvideo von Youtube :)
    Daumen Hoch

  24. Stefan H says:

    sobald ich in den abesicherten modus gehe kommt direkt das bild bilder…kann nichts machen…jemand eine idee`?? bitte bitte

  25. Clonnike says:

    Hallo,
    eine super Beschreibung. Konnte den Trojaner sofort entfernen. Jetzt kann ich zwar noch nicht auf die ursprünglichen Benutzerdateien zugreifen aber mit dem neuen Benutzer funkt es wieder.
    Vielen Dank!!!!

  26. Help says:

    Hi, danke hab das jetzt hingekriegt.

    Mein Problem ist aber das ich keine datensicherung gemacht hab und mich würde jez interessieren wie ich mein pc formatieren soll.

    ich hab einen Pc von Packed bell und als ich das letzte mal neu aufgesetzt hatte ging garnichts mehr

    Ich will das nicht nochmal riskieren da ich keine Garantie mehr hab
    Hoffentlich kann mir jemand helfen.
    Danke im voraus

  27. FR says:

    Ich konnte auch nichtin den abgesicherten modus da dort dieses bild auch war.

    Aber denn bin ich nicht auf abgesicherten modus gegangen sondern auf Computer reparieren.
    Danach auf Computer wiederherstellen..das letzte update ausgewählt und hat 100% geklappt. :)

  28. Peter says:

    Vielen Dank für die Hilfe!
    Endlich mal eine präzise Anleitung mit der man etwas anfangen kann!
    Damit konnte ich das Mistding entfernen.
    Ich benutze Win7

  29. Joe says:

    Wenn man im abgesicherten Modus das Bild wieder bekommt, dann muss man den alt+strg+entf drücken, rechts unten auf pc neustarten, dann frägt er, ob man warten soll, bis das Hintergrundprogramm fertig ist o.ä., dann auf abbrechen gehen. das Schadprogramm wurde dann gelöscht und man bleibt im abges. Modus.
    Das gilt auch für den normalen Modus.
    VG

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>