Bin halt da nicht so ein Freak :blabla:
( << darf sich auch mal irren, lachst mich jetzt auch aus ? ;) )

Nein, warum sollte ich? (falls ich gemeint war)
Fehler sind ja da um gemacht zu werden und ich kenne mich da gut aus. :balla:

Ach ja, mach dich nur wieder lustig auf Kosten alter südlicher Schatten. Du bekommst gleich ein alkoholfreies Bier. :pfeiff:

Ist Dir eigentlich schon mal aufgefallen, dass Dich hier niemand alt nennt oder so bezeichnet :pfeiff:

Shadow, das bezog sich ja nicht auf dich sondern auf unsere Winkelfunktion :D

Naja, es mag halt keiner lügen :blabla:.

Hallo zusammen,

ich habe gestern ebenfalls Bekanntschaft mit diesem netten Teil gehabt. Offensichtlich eine sehr neue Version, die nicht in den HKEYS zu finden war. Ich habe Vista. Taskmanager, Regedit usw. hat alles nicht funktioniert. Habe einige Stunden hin und her probiert. Am Ende war die Lösung sehr einfach: Den Rechner im abgesicherten Modus starten, also beim Hochfahren die Taste F8 drücken. Mit einem anderen Rechner den Kaspersky-Rescue-Disk 10 auf einen Stick laden und diesen dann auf den infizierten Rechner entpacken lassen. Kaspersky laufen lassen. Hat bei mir keine 30 Sekunden gedauert. Das Teil löschen. Neu starten. Fertig.

Viel Erfolg!

Das ist ziemlich naiv.
Es kann sein, muss aber absolut nicht sein.Nur weil jetzt momentan keine Symptome mehr auftauchen und ein (oder auch mehrere) AV-Programme nichts mehr anzeigen ist weder gewähleostet dass die Malware tatsächlich restlos weg ist und schon gar nicht, dass nicht irgendwas am System verändert ist. Noch dazu wenn es eine neue Malware-Version wäre.
Du solltest auf jeden Fall noch Komplettscans mit mehreren anderen, miteinander niucht verwandten AV-Programmen machen.
Bis zu einer kompletten Neuinstallation muss dein System immer als potentiell "kompromittiert" gelten.

Originalposting aus unserem CS Forum von mir, sollte so passen:


Hallo Leute!

Seit ein paar Tagen macht nen neuer Trojaner die Runde und ich musste schon X mal ausrücken, um die PCs
im Bekanntenkreis zu retten (Waren alles Windows XP Installationen btw.)
Ist eigendlich sehr leicht, wenn man denn das Teil durchschaut hat.

Ok, das Teil nistet eine .exe-File auf die Festplatte und lässt diesen dann anstatt der explorer.exe
laden. Das hat dann zur Folge, das jegliche interaktion auf dem Desktop unterbunden ist.
Darüber wird dann noch ein Wallpaper geschoben mit einem kleinen Eingabefeld, in dem dann die
zuvor an der Tankstelle gekaufte Zahlenkombination, eingegeben werden kann.
Total billig und simpel, aber effektiv.
Zumal die Leute noch durch das Bild eingeschüchtert werden, aber guckt Euch das mal selber an:

http://pool.public-enemy-clan.de/bilder/trojaner.jpg


Das ist ja wohl der Hammer!
Kriminelles Pack, eine Frechheit meiner Oma so einen Schrecken einzujagen!! ^^

"Die offizielle Mitteilung der Bundeskriminalamt" Kollega "Osteuropa" lässt grüßen, lol !!


Lösung:

- Rechner ausschalten / neustarten
- F8 Taste drücken, kurz bevor Windows gestartet wird, das sollte jetzt zu einem Auswahlbildschirm führen (Abgesicherter Modus ect.)
- Hat nicht geklappt? OK, Reset und nochmal... ist bei manchen Rechnern halt ne frage des Timings, gerade dann, wenn das Bios auch eine
Funktion auf F8 haben sollte. Ansonsten einfach mal die F8 "Spammen" (dauerfeuer auf die Taste^^)
- "Abgesicherter Modus mit Eingabeaufforderung" wählen + "Eingabetaste"
- Sind mehrere Betriebssysteme installiert, dann das betroffene wählen und "Eingabetaste" ansonsten nur nochmal "Eingabetaste"
- Bei der Benutzerauswahl natürlich das betroffene Profil wählen

Wenn alles fertig geladen ist, solltet Ihr jetzt die Konsole der Eingabeaufforderung sehen können.
Warum hab ich nicht direkt nur den abgesicherten Modus laden lassen? Ganz einfach, weil auch dieser bei manchen Rechnern nicht lief, also weiter...

- "STRG" und "Alt" festhalten und 1x auf "Entf" drücken (auch "Affengriff" genannt)
- Windows Task-Manager öffnet sich und wir klicken oben auf "Anwendung" danach unten rechts auf "Neuer Task"
- "regedit" eingeben und dann "Eingabetaste" drücken
- Um vernünftig arbeiten zu können, muss der Taskmanager evtl. minimiert werden.
(Das linke "-" symbol oben in der Leiste des Windows Task-Managers)

- Im Registrierungs-Editor arbeiten wir uns jetzt durch drücken auf die "+" Zeichen vor
den Ordnern vor bis:

„HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon“

Bei "Winlogon" brauchen wir jetzt das "+" Symbol nicht zu öffnen, sondern wir klicken 1x
drauf, das "Winlogon" blau hinterlegt bzw ausgewählt ist.

- Auf der rechten Seite suchen wir jetzt die Zeichenfolge: "Shell" ,die wir doppelklicken
- Aha, da is datt Schwein!!
- OK, den Pfad merken wir uns (noch besser:aufschreiben!), da der uns genau zum "Übeltäter" führt!! ahahahaaaaa !
- Die Zeile löschen wir und schreiben "Explorer.exe" rein und ja, OHNE die Gänsefüße!!
- Auf "OK" drücken und den Registrierungs-Editor mit klick aufs "x" oben rechts schließen.

- Jau, weiter gehts im Windows Task-Manager, der wir durch einen erneuten "Affengriff" reaktivieren.
(alternativ kann man auch unten links das minimierte Fenster durch drücken des linken Icons wiederherstellen)

- Unter Anwendungen wieder "Neuer Task" gedrückt und dann auf "durchsuchen....."
- Jetzt klicken wir uns durch, bis wir die Datei gefunden haben, dessen Pfad und Namen wir uns ja aufgeschrieben hatten.
- rechts anklicken und im pulldownmenü auf "löschen" klicken, fertig..das Schwein ist erledigt...Rechner neu starten und gut is!

-------------------------------------------------------------------------------------------------------------------------

OK, einigen von Euch wird es nicht gelingen den angegebene Pfad zu finden, weil sich ein Teil der Ordner vor Euch versteckt.
Zumindest bei der Windows Standard-Einstellung.
Aber keine Panik, das machmer schon....also weiter gehts.....

- Windows Task- Manager = Unter Anwendungen "Neuer Task" und "explorer.exe" eingeben + "Eingabetaste" (paar sekunden warten)
- Task - Manager minimieren
- Eingabeaufforderungs-Konsole minimieren
- Arbeitsplatz öffnen (Taskleiste-Arbeitsplatz oder Desktopicon Arbeitsplatz, je nach Konfiguration halt^^)

Sollte sich der Arbeitsplatz nicht öffnen lassen, weil keine Icons/Taskleiste vorhanden sind/ist, muss der Rechner an dieser Stelle neu
gestartet werden.ABER ACHTUNG: Windows MUSS im "Abgesicherten Modus" hochgefahren werden, nicht normal......
An dieser Stelle nicht die F8-Taste vergessen und immer eine Hand am Reset-taster!!
Sollte das in die Hose gehen, gehts nochmal ganz von vorne los, also obacht!

- Ok, so oder so....Arbeitsplatz öffnen....
- In der Leiste oben (mouseover) auf "Extras" und dann auf "Ordneroptionen" klicken
- Oben auf "Ansicht" klicken
- Runterscrollen bis "Versteckte Dateien und Ordner" und den Haken (Punkt) bei:
"Alle Dateien und Ordner anzeigen" setzen.
- unten auf "OK" klicken
- Jetzt kann die Datei, dessen Pfad wir uns aufgeschrieben hatten erneut gesucht und gelöscht werden, fertig!
- Rechner neustarten und mir ewig dankbar sein...ok, ich würd auch nen kaltes Bier nehmen ^^



Wie unschwer zu erkennen ist, hab ich diesen Guide für Leute verfasst, die unkundig sind.
Für die Profis hier im Forum hätte ein einziger Satz gereicht, aber evtl. verirrt sich ja jemand über Google hierher.


MfG
Poolshark

http://pool.public-enemy-clan.de/bilder/Sunshine.jpg


Edit: hohen8 hatte das schon so ähnlich gepostet, sry..naja, passt schon

@poolshark

vielen dank für deine tolle beschreibung. klappt auch alles soweit nur im regeditor unter winlogon steht rechts kein shell. unter name steht nur standard, buildnumber, excludeProfiledirs, parseautoexec.

und die ordner waren bei mir nicht versteckt. habe aber nochmal nach gesehen.

und nun ?

LORBEER: ...und beendet sofort "calc[1].exe" ...

Bei mir (xp, sp3) hieß die Gute "readme[1].exe".

Ansonsten viiiiiiiiiiiiiiiiiielen Dank für den super Tipp, die Rescue-Discs von Kaspersky und Avira waren nämlich erfolglos:glaskugel2:!!

Maximale Erfolge!

@pako

Es klappt nicht, weil ich mich verschrieben habe.

„HKEY_Local_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon“

ist der richtige Pfad, nicht "HKEY_CURRENT_USER" !!!

Tschuldigung, tut mir leid!

@Poolshark

ich habe auch dieses Problem.
Allerdings Vista auf dem Rechner. Nun habe ich diese Shell gefunden aber nach dem Doppelklick befindet sich nur ein Fenster mit folgendem Inhalt:
Shell
explorer.exe

Eine Idee wo ich den Pfad ausmachen könnte?

Vielleicht steh ich ja auch nur auf der Leitung...ärgerlicher schwachsinn eben!!!

Es gibt nicht "die Lösung" für diesen Befall! Der Startort sowie Dateiname kann immer variieren! Außerdem ist jedes System und auch fast jede Infektion eine ganz indivuelle Sache, deswegen sollte jeder mit Befall einen eigenen Strang eröffnen!

Ich hab auch Vista... Bei mir kommt das gleiche wie bei dem user 2 über mir... Zudem kann ich im Task Manager nicht auf durchsuchen klicken... Klappt einfach nicht... Was tun?