Hallo zusammen,

ich habe gestern ebenfalls Bekanntschaft mit diesem netten Teil gehabt. Offensichtlich eine sehr neue Version, die nicht in den HKEYS zu finden war. Ich habe Vista. Taskmanager, Regedit usw. hat alles nicht funktioniert. Habe einige Stunden hin und her probiert. Am Ende war die Lösung sehr einfach: Den Rechner im abgesicherten Modus starten, also beim Hochfahren die Taste F8 drücken. Mit einem anderen Rechner den Kaspersky-Rescue-Disk 10 auf einen Stick laden und diesen dann auf den infizierten Rechner entpacken lassen. Kaspersky laufen lassen. Hat bei mir keine 30 Sekunden gedauert. Das Teil löschen. Neu starten. Fertig.

Viel Erfolg!

Zitat:

Zitat von Dummian

Fertig.

Das ist ziemlich naiv.
Es kann sein, muss aber absolut nicht sein.Nur weil jetzt momentan keine Symptome mehr auftauchen und ein (oder auch mehrere) AV-Programme nichts mehr anzeigen ist weder gewähleostet dass die Malware tatsächlich restlos weg ist und schon gar nicht, dass nicht irgendwas am System verändert ist. Noch dazu wenn es eine neue Malware-Version wäre.
Du solltest auf jeden Fall noch Komplettscans mit mehreren anderen, miteinander niucht verwandten AV-Programmen machen.
Bis zu einer kompletten Neuinstallation muss dein System immer als potentiell "kompromittiert" gelten.

Originalposting aus unserem CS Forum von mir, sollte so passen:


Hallo Leute!

Seit ein paar Tagen macht nen neuer Trojaner die Runde und ich musste schon X mal ausrücken, um die PCs
im Bekanntenkreis zu retten (Waren alles Windows XP Installationen btw.)
Ist eigendlich sehr leicht, wenn man denn das Teil durchschaut hat.

Ok, das Teil nistet eine .exe-File auf die Festplatte und lässt diesen dann anstatt der explorer.exe
laden. Das hat dann zur Folge, das jegliche interaktion auf dem Desktop unterbunden ist.
Darüber wird dann noch ein Wallpaper geschoben mit einem kleinen Eingabefeld, in dem dann die
zuvor an der Tankstelle gekaufte Zahlenkombination, eingegeben werden kann.
Total billig und simpel, aber effektiv.
Zumal die Leute noch durch das Bild eingeschüchtert werden, aber guckt Euch das mal selber an:




Das ist ja wohl der Hammer!
Kriminelles Pack, eine Frechheit meiner Oma so einen Schrecken einzujagen!! ^^

"Die offizielle Mitteilung der Bundeskriminalamt" Kollega "Osteuropa" lässt grüßen, lol !!


Lösung:

- Rechner ausschalten / neustarten
- F8 Taste drücken, kurz bevor Windows gestartet wird, das sollte jetzt zu einem Auswahlbildschirm führen (Abgesicherter Modus ect.)
- Hat nicht geklappt? OK, Reset und nochmal... ist bei manchen Rechnern halt ne frage des Timings, gerade dann, wenn das Bios auch eine
Funktion auf F8 haben sollte. Ansonsten einfach mal die F8 "Spammen" (dauerfeuer auf die Taste^^)
- "Abgesicherter Modus mit Eingabeaufforderung" wählen + "Eingabetaste"
- Sind mehrere Betriebssysteme installiert, dann das betroffene wählen und "Eingabetaste" ansonsten nur nochmal "Eingabetaste"
- Bei der Benutzerauswahl natürlich das betroffene Profil wählen

Wenn alles fertig geladen ist, solltet Ihr jetzt die Konsole der Eingabeaufforderung sehen können.
Warum hab ich nicht direkt nur den abgesicherten Modus laden lassen? Ganz einfach, weil auch dieser bei manchen Rechnern nicht lief, also weiter...

- "STRG" und "Alt" festhalten und 1x auf "Entf" drücken (auch "Affengriff" genannt)
- Windows Task-Manager öffnet sich und wir klicken oben auf "Anwendung" danach unten rechts auf "Neuer Task"
- "regedit" eingeben und dann "Eingabetaste" drücken
- Um vernünftig arbeiten zu können, muss der Taskmanager evtl. minimiert werden.
(Das linke "-" symbol oben in der Leiste des Windows Task-Managers)

- Im Registrierungs-Editor arbeiten wir uns jetzt durch drücken auf die "+" Zeichen vor
den Ordnern vor bis:

„HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon“

Bei "Winlogon" brauchen wir jetzt das "+" Symbol nicht zu öffnen, sondern wir klicken 1x
drauf, das "Winlogon" blau hinterlegt bzw ausgewählt ist.

- Auf der rechten Seite suchen wir jetzt die Zeichenfolge: "Shell" ,die wir doppelklicken
- Aha, da is datt Schwein!!
- OK, den Pfad merken wir uns (noch besser:aufschreiben!), da der uns genau zum "Übeltäter" führt!! ahahahaaaaa !
- Die Zeile löschen wir und schreiben "Explorer.exe" rein und ja, OHNE die Gänsefüße!!
- Auf "OK" drücken und den Registrierungs-Editor mit klick aufs "x" oben rechts schließen.

- Jau, weiter gehts im Windows Task-Manager, der wir durch einen erneuten "Affengriff" reaktivieren.
(alternativ kann man auch unten links das minimierte Fenster durch drücken des linken Icons wiederherstellen)

- Unter Anwendungen wieder "Neuer Task" gedrückt und dann auf "durchsuchen....."
- Jetzt klicken wir uns durch, bis wir die Datei gefunden haben, dessen Pfad und Namen wir uns ja aufgeschrieben hatten.
- rechts anklicken und im pulldownmenü auf "löschen" klicken, fertig..das Schwein ist erledigt...Rechner neu starten und gut is!

-------------------------------------------------------------------------------------------------------------------------

OK, einigen von Euch wird es nicht gelingen den angegebene Pfad zu finden, weil sich ein Teil der Ordner vor Euch versteckt.
Zumindest bei der Windows Standard-Einstellung.
Aber keine Panik, das machmer schon....also weiter gehts.....

- Windows Task- Manager = Unter Anwendungen "Neuer Task" und "explorer.exe" eingeben + "Eingabetaste" (paar sekunden warten)
- Task - Manager minimieren
- Eingabeaufforderungs-Konsole minimieren
- Arbeitsplatz öffnen (Taskleiste-Arbeitsplatz oder Desktopicon Arbeitsplatz, je nach Konfiguration halt^^)

Sollte sich der Arbeitsplatz nicht öffnen lassen, weil keine Icons/Taskleiste vorhanden sind/ist, muss der Rechner an dieser Stelle neu
gestartet werden.ABER ACHTUNG: Windows MUSS im "Abgesicherten Modus" hochgefahren werden, nicht normal......
An dieser Stelle nicht die F8-Taste vergessen und immer eine Hand am Reset-taster!!
Sollte das in die Hose gehen, gehts nochmal ganz von vorne los, also obacht!

- Ok, so oder so....Arbeitsplatz öffnen....
- In der Leiste oben (mouseover) auf "Extras" und dann auf "Ordneroptionen" klicken
- Oben auf "Ansicht" klicken
- Runterscrollen bis "Versteckte Dateien und Ordner" und den Haken (Punkt) bei:
"Alle Dateien und Ordner anzeigen" setzen.
- unten auf "OK" klicken
- Jetzt kann die Datei, dessen Pfad wir uns aufgeschrieben hatten erneut gesucht und gelöscht werden, fertig!
- Rechner neustarten und mir ewig dankbar sein...ok, ich würd auch nen kaltes Bier nehmen ^^



Wie unschwer zu erkennen ist, hab ich diesen Guide für Leute verfasst, die unkundig sind.
Für die Profis hier im Forum hätte ein einziger Satz gereicht, aber evtl. verirrt sich ja jemand über Google hierher.


MfG
Poolshark




Edit: hohen8 hatte das schon so ähnlich gepostet, sry..naja, passt schon

@poolshark

vielen dank für deine tolle beschreibung. klappt auch alles soweit nur im regeditor unter winlogon steht rechts kein shell. unter name steht nur standard, buildnumber, excludeProfiledirs, parseautoexec.

und die ordner waren bei mir nicht versteckt. habe aber nochmal nach gesehen.

und nun ?