Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Bundeskriminalamt Virus [mögliche Lösung] (https://www.trojaner-board.de/97651-bundeskriminalamt-virus-moegliche-loesung.html)

Lorbeer 18.04.2011 17:54

Bundeskriminalamt Virus [mögliche Lösung]
 
Ich hab es geschafft, den Trojaner, der vorgibt vom Bundeskriminalamt zu sein und 100€ fordert, um den PC zu entsperren, ohne groß "rumzumachen" zu entfernen. Das Popup blockiert alles und neu gestartete Programme werden sofort geschlossen. Um die 30 Dateien in der Registry werden verändert und die explorer.exe durch eine andere ersetzt ...
Ich will nur eine einfache Lösungsmöglichkeit bieten für diesen gerade kursierenden und sehr lästigen Trojaner:

Ich hab Windows XP SP3 ... ich weiß nicht, ob es bei euch klappen wird.

1. Fahrt Windows normal hoch; sobald der Ladebildschirm verschwindet und der Desktop erscheint (noch nicht das Popup), öffnet sofort den Task Manager mit Strg+Alt+Entf ... seid schnell
2. Bei dem Reiter "Prozesse" sortiert ihr schnell nach Namen und beendet sofort "calc[1].exe" ... das ist sozusagen der Prozess, der alles blockt, vermute ich.
3. Wenn alles geklappt hat und nur das Hintergrundbild eures Desktops und der Task Manager zu sehen sind, geht ihr auf den Reiter "Anwendungen" und gebt bei "Neuer Task" das hier ein : %systemroot%\system32\restore\rstrui.exe
4. Die Systemwiederherstellung startet, wählt einen Punkt vor der Infektion aus und stellt wieder her .... Fertig :)

Hat bei mir geklappt, kanns aber nicht versichern. Ging halt ohne andere Programme. Ich will nur helfen, aber für eventuelle Schäden übernehme ich keine Haftung.
Was sagt ihr, ist der Rechner nun sauber? Ich hab während ich mit dem taskmanager rumgespielt hab, noch mit dem starten der infizierten explorer.exe einen ordner öffnen können und alles aus den ordner Temporary Internet Files und temp und so löschen können ... glaube aber nicht, dass das was bringt.

Gruß
Lorbeer

felix1 18.04.2011 19:58

Zitat:

Zitat von Lorbeer (Beitrag 642175)
Ich hab es geschafft

Schön für Dich:applaus:
Zitat:

Zitat von Lorbeer (Beitrag 642175)
Um die 30 Dateien in der Registry werden verändert und die explorer.exe durch eine andere ersetzt

Bist Du Dir sicher, dass Du alle erwischt hast?
Zitat:

Zitat von Lorbeer (Beitrag 642175)
Was sagt ihr, ist der Rechner nun sauber?

Ich glaube nicht, ich würde den PC einem Vollwaschgang unterziehen, z.B. mit den Programmen wie Combofix usw.

Acid303 19.04.2011 10:05

Damit hast du nur die Auswirkungen der Malware gestopt aber das Ding ist immernoch in deinem System vorhanden. Du solltest wirklich mal den Rechner untersuchen wie felix schon geschrieben hat. Gehe ersteinmal hiernach vor http://www.trojaner-board.de/69886-a...-beachten.html und arbeite den Punkt 2 ab.

Gruß

Acid
:kaffee:

nessie.89 21.04.2011 13:58

Also ich muss ehrlich gestehen das ich kein Computergenie bin und auch bei dem meisten was hier geschrieben wird, nicht genau verstehe was gemeint ist und wie was funktioniert.
Mich hat der Virus auch lahm gelegt, aber ich konnte mich noch über meinen Gastaccount anmelden. Über diesen habe ich dann mein Antivirussystem gestartet und alles noch einmal checken lassen (GData). Es wurde auch etwas gefunden und ich habe es gelöscht. Als ich dann probiert habe mich wieder über mein normales Benutzerkonto anzumelden ging es trotz dessen immer noch nicht.
ABER... und das ist der Punkt... ich hatte dann die Schnautze voll und hab den PC ausgemacht und als ich das nächste mal meinen PC benutzt habe, habe ich aus Gewohnheit und ohne nachzudenken mein Benutzerkonto angewählt und nicht den Gast und JETZT GEHT ALLES WIEDER!!! :wtf:
Ich weiß nicht woran es liegt, wie gesagt bin ich da nicht so bewandert, und weiter hab ich auch nichts am PC veranstaltet, ich bin nur froh das es jetzt weg ist

Shadow 24.04.2011 09:14

Zitat:

Zitat von nessie.89 (Beitrag 643781)
ich bin nur froh das es jetzt weg ist

Weg ist wohl das Symptom, aber wohl eher nicht unbedingt die Malware.
Warum war der Gastaccount aktiviert? Absichtlich?

lupuslazuli 24.04.2011 12:10

Hallo,
hab' besagtes Problem wie folgt mit verdächtig wenig Aufwandt "beseitigt".
- PC vom Internet getrennt
- Anmelde unter anderem Benutzernahmen ( über Strg+Alt+Entf)
- Aktuellen CCleaner rigoros löschen lassen damit die Scanner nicht soviel zutun haben
- Malewarebytes(instaliert), Spybot(instaliert), Stinger, Bitdefender und Antivir( installiert) drüberlaufen lassen
- Nach Neustart und ich konnte mich wieder mit dem betroffenen Hauptbenutzerkonto anmelden. Keine weiteren Funde außer ein paar TrackerCookies. Das System ist scheinbar frei von Viren Trojanern :blabla:

Was genau empfiehlt sich den aktuell so für einen sogenannten Vollwaschgang? ( Keine Lösung mit Backup & Neuinstallation etc. bitte)
Ich dachte an die CD aus der c't 8/2011...
Oder gibt's was vergleichbares mit aktuellen Signaturen zum Download?
Meine Antiviren-Werkzeugkasten ist etwas in die Jahre gekommen.

Danke im Voraus...
Ach ja, Frohe Ostern!

P.S.: Eventl. sollte ein eigener Thread zum Thema Vollwaschgang gestartet werden. Trotzdem Poste ich erstmal hier herein da es evtl. ein paar Leuten den Tag rettet... :Boogie:

cad 24.04.2011 13:08

Zitat:

Zitat von lupuslazuli (Beitrag 645568)
Das System ist scheinbar frei von Viren Trojanern :blabla:

Betonung auf scheinbar

Trokiller 24.04.2011 18:44

CCleaner hat nicht den Virus gelöscht, sondern nur eine EXE-Datei im Temp Ordner, dessen Namen variert. Der Virus ist trotzdem Vorhanden, ich hatte den Virus auch und keine Zeit den Taskmanager zu starten, ich habe es mit einer Live-CD gemacht...

Ausführlich steht das ganze mit Hintergrundinformationen in diesem Sicherheitsblog von mir(hxxp://thinksave.blogspot.com/)

Damit ist aber immer noch nur ein Teil gelöscht...
Ich werde noch in den nächsten Tagen noch weitere Posts hier, sowohl in meinem BLog schreiben

Außerdem problematisch ist dass, der Virus von den fasst allen Antivirentools nicht Entdeckt wird.. Wen es näher Interressiert kann das nochmal genau auf meinem Blog nachlesen(habe jetzt keine Lust alles doppelt zu schreiben)

Fiele Grüße Trokiller

Gallomino 29.04.2011 11:25

Ich habe hier die offizielle Empfehlung des BSI (Bundesamt für Sicherheit im Internet oder so):

SICHER o INFORMIERT
Extraausgabe vom 19.04.2011

Verbreitung durch "Drive-by-Exploits"

Erpressungsversuche durch Schadsoftware

In einer Pressemitteilung
hxxp://www.bka.de/pressemitteilungen/2011/pm110401.html
[hxxp://www.bka.de/pressemitteilungen/2011/pm110401.html]
vom 01.04.2011 warnen die Bundespolizei und das Bundeskriminalamt vor einer aktuellen Erpressungsvariante durch Schadsoftware. Die Infektion des PCs zeigt sich durch ein Pop-Up-Fenster, in dem der Nutzer zur Zahlung einer vermeintlichen "Strafe" aufgefordert wird. Andernfalls werde seine Festplatte geloescht. Die Taeter nutzen dabei rechtswidrig die Logos des Bundeskriminalamtes, der Bundespolizei und anderer Institutionen, wie zum Beispiel der Hersteller von Virenschutzprogrammen.

Die Verbreitung dieses Schadprogramms findet nach aktuellem Kenntnisstand durch so genannte "Drive-by-Exploits" statt. Dabei werden beim Surfen im Internet Schwachstellen im Betriebssystem oder einer Anwendungssoftware ausgenutzt, um ohne weitere Nutzerinteraktion schaedliche Programme auf dem PC zu installieren.

Nach der Infektion des PCs ist der Zugriff auf den Desktop blockiert.
Im laufenden Betrieb kann das Schadprogramm daher nicht entfernt werden.
Abhilfe ist durch die Verwendung einer so genannten "Rescue-CD"
moeglich, wie sie von verschiedenen Herstellern von Antivirus-Software kostenfrei zur Verfuegung gestellt wird.

Nicht alle dieser Rescue-CDs entfernen das Schadprogramm jedoch vollstaendig und setzen die durch das Schadprogramm durchgefuehrten weiteren Modifikationen am Betriebssystem korrekt zurueck. Weitere Informationen hierzu koennen Sie bei den einzelnen Herstellern erfragen.

Nach aktuellem Kenntnisstand des BSI ist kostenfrei zumindest die vom Hersteller Kaspersky zum Download angebotene "Rescue Disk 10" in der Lage, die aktuelle Variante des Schadprogramms vollstaendig zu entfernen und weitere Modifikationen rueckgaengig zu machen. Informationen und Download "Kaspersky Rescue Disk 10"
hxxp://support.kaspersky.com/de/viruses/rescuedisk
[hxxp://support.kaspersky.com/de/viruses/rescuedisk].

Das Service-Center des Bundesamts fuer Sicherheit in der Informationstechnik steht fuer Fragen von Privatnutzern unter 01805-274100 (14 ct/Minute aus dem deutschen Festnetz) oder unter mail@bsi-fuer-buerger.de zur Verfuegung.

Weiterer Angriff: Angebliche Probleme mit der Lizenz des Betriebssystems

Eine weitere aktuelle Erpressungsvariante durch Schadsoftware sperrt den Benutzer von seinem System aus und fordert ihn auf, die Lizenz seines Betriebssystems ueberpruefen zu lassen. Dazu sei es notwendig, eine Telefonnummer im Ausland anzurufen, um einen Entsperrcode fuer seinen PC zu erhalten.

Auch hierbei handelt es sich um eine Erpressungsvariante, bei der die Taeter das bekannte Layout von Meldungen zur Lizenzierung des Betriebssystems Microsoft Windows nachbilden. Ruft ein Betroffener eine dieser Nummern an, entstehen hohe Telefonkosten, bis er einen Entsperrcode erhaelt, wie der Sicherheitsdienstleister F-Secure herausgefunden hat hxxp://www.f-secure.com/weblog/archives/00002139.html
[hxxp://www.f-secure.com/weblog/archives/00002139.html].

In diesem konkreten Fall koennen Betroffene auf einen teuren Anruf verzichten, und sich stattdessen mit dem fuer diese Schadsoftware generischen Freischaltcode 1351236 behelfen. Bisherige Untersuchungen zeigen, dass der Zugriff auf den PC nach Eingabe dieses Freischaltcodes wieder moeglich ist.

In beiden Faellen jedoch gilt: Es kann nicht ausgeschlossen werden, dass bei der Infektion zeitgleich auch noch weitere Schadsoftware auf dem PC installiert wurde. Daher empfiehlt das BSI, infizierte Systeme grundsaetzlich neu aufzusetzen oder eine Komplettsicherung (Backup) des PCs von einem Zeitpunkt vor der Infektion zurueck zu spielen.

Zum Schutz vor Infektionen durch Drive-by-Exploits sollten Anwender darauf achten, neben der Verwendung eines aktuellen Virenschutzprogramms zeitnah alle jeweils verfuegbaren Sicherheitsupdates fuer das Betriebssystem und Anwendungssoftware (wie beispielsweise Webbrowser, Acrobat Reader, Flash, Java, Multimedia-Player, usw.) zu installieren.


-----------------------------------------------------------------------

Die Extraausgabe "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Buerger-CERT. Die Informationen werden vom Bundesamt fuer Sicherheit in der Informationstechnik, hxxp://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht uebernommen werden.

Unter hxxp://www.buerger-cert.de haben Sie die Moeglichkeit, den Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de


Bevor ich die gefunden habe, habe ich meinen Rechner folgendermaßen befreit:
1. mit BartPE-CD gestartet
2. mit Ghost 7.7 Image gezogen
3. mit Zweitrechner das Image auf eine externe Festplatte entpackt
4. bei dieser externen Festplatte eine upgedatete Version von Malwarebytes Anti-Malware und aktuelles AntiVir drüberlaufen lassen
5. drei Einträge entfernt
6. alles wieder mit Ghost 7.7 zum Image gepackt
7. mit BartPE-CD und Ghost 7.7 auf die Ursprungspartition (vorher Formatiert) zurückgeschrieben
8. mit Windows-XP-Installations-CD repariert
9. und lief! :singsing:

hohen8 01.05.2011 07:37

servus leute
nachdem ich hier viele infos bekommen habe möchte ich einfach meinen weg angeben wie ich es zumidest in meinem fall erreicht habe wieder kontrolle über den rechner zu erlangen.
dies soll keine allgemein gültige lösung sein, nur ein vielleicht funktionierender weg den bka- virus oder trojaner der sich als totale blockade breitmacht zu umgehen und eine systemsicherung o.ä. zu ermöglichen.
betriebssystem windows ultimate 64-bit

abgesicherter modus alleine u.ä. hat alles nicht funktioniert, systemwiederherstellung mangels vorheriger sicherung nicht möglich, kapersky rescue 10 ohne wirkung

beim bootvorgang mit f8 in die verschiedenen startmöglichkeiten wechseln
abgesicherter modus mit eingabeaufforderung wählen

im dos fenster regedit:

pfad: "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
unter shell eintrag geggen "explorer.exe" austauschen, vorherigen von der malware veränderten eintrag separat für später notieren.

fenster geöffnet lassen

im dos fenster explorer.exe eingeben

dann startete der rechner im abges modus.
im task manager lief eine cmd.exe, diesen prozess beendet, keine negative auswirkung auf das system erkenntlich.

virsusscanner in mein fall avira gestartet, der hatte 2 verzeichnisse gefunden.

rechner neu gestartet, bka fenster war wieder da.

daher habe ich das gleiche wie oben nochmals durchgeführt.
wieder war shell ersetzt durch eine andere zeile.


wieder notiert, wieder durch explorer exe ersetzt

wieder im dos fenster explorer.exe aufgerufen

den eintrag gesucht, war auf dem desktop gespeichert
zuerst erweiterung verändert um ihn unschädlicher zu machen
null0.9128018318511731. die endung hab ich leider verändert und vergessen...
dann gelöscht

wieder neu gebootet
seither zumindes habe ich wieder normale kontrolle über den rechner.

ob das die anueinstallation ersetzen kann denke ich nicht, aber es hat mir bisher geholfen akut wieder zu arbeiten.
viel erfolg und viele greets,
martin

Larusso 02.05.2011 08:22

Der Weg die Windows Shell wieder zu reparieren ist schon mal nicht schlecht. Aber ich finde es lustig wenn jemand in der Registry hantiert und dann sowas von sich gibt.

Zitat:

im task manager lief eine cmd.exe, diesen prozess beendet, keine negative auswirkung auf das system erkenntlich.
Die cmd.exe wird benötigt damit sich das MS- DOS Fenster öffnet, welches wahrscheinlich im Hintergrund noch gelaufen ist.

Der Befehl explorer.exe in diesem Fenster "zwingt" quasi die GUI zu starten damit man nen Desktop hat ^^

Shadow 02.05.2011 13:08

Zitat:

Zitat von Larusso (Beitrag 651178)
MS- DOS Fenster

:eek: Unter Windows NTx? :pfeiff:

cosinus 02.05.2011 16:36

Zitat:

Zitat von Shadow (Beitrag 651339)
:eek: Unter Windows NTx? :pfeiff:

DOS-Box? :crazy::lach:

Larusso 08.05.2011 10:22

Ups, verschlafen :D

Joa, ich nenne das schon immer DOS Box (CMD) :zunge:

cosinus 08.05.2011 14:02

DOS-Box umgangsprachlich geht noch, wobei DOS-Box eigentlich ein richtiger Emulator ist => DOSBox, an x86 emulator with DOS

Aber MS-DOS-Fenster unter WindowsNT hat Shadow wohl richtig Weh getan, da blutet sein Herz :D

Larusso 08.05.2011 15:21

Bin halt da nicht so ein Freak :blabla:
( << darf sich auch mal irren, lachst mich jetzt auch aus ? ;) )

Shadow 08.05.2011 17:57

Zitat:

Zitat von Larusso (Beitrag 654684)
Bin halt da nicht so ein Freak :blabla:
( << darf sich auch mal irren, lachst mich jetzt auch aus ? ;) )

Nein, warum sollte ich? (falls ich gemeint war)
Fehler sind ja da um gemacht zu werden und ich kenne mich da gut aus. :balla:

Shadow 08.05.2011 18:00

Zitat:

Zitat von cosinus (Beitrag 654610)
Aber MS-DOS-Fenster unter WindowsNT hat Shadow wohl richtig Weh getan, da blutet sein Herz :D

Ach ja, mach dich nur wieder lustig auf Kosten alter südlicher Schatten. Du bekommst gleich ein alkoholfreies Bier. :pfeiff:

cad 08.05.2011 19:43

Ist Dir eigentlich schon mal aufgefallen, dass Dich hier niemand alt nennt oder so bezeichnet :pfeiff:

Larusso 08.05.2011 21:00

Shadow, das bezog sich ja nicht auf dich sondern auf unsere Winkelfunktion :D

Shadow 09.05.2011 16:18

Zitat:

Zitat von cad (Beitrag 654836)
Ist Dir eigentlich schon mal aufgefallen, dass Dich hier niemand alt nennt oder so bezeichnet :pfeiff:

Naja, es mag halt keiner lügen :blabla:.

Dummian 04.08.2011 02:20

Hallo zusammen,

ich habe gestern ebenfalls Bekanntschaft mit diesem netten Teil gehabt. Offensichtlich eine sehr neue Version, die nicht in den HKEYS zu finden war. Ich habe Vista. Taskmanager, Regedit usw. hat alles nicht funktioniert. Habe einige Stunden hin und her probiert. Am Ende war die Lösung sehr einfach: Den Rechner im abgesicherten Modus starten, also beim Hochfahren die Taste F8 drücken. Mit einem anderen Rechner den Kaspersky-Rescue-Disk 10 auf einen Stick laden und diesen dann auf den infizierten Rechner entpacken lassen. Kaspersky laufen lassen. Hat bei mir keine 30 Sekunden gedauert. Das Teil löschen. Neu starten. Fertig.

Viel Erfolg!

Shadow 04.08.2011 07:06

Zitat:

Zitat von Dummian (Beitrag 689677)
Fertig.

Das ist ziemlich naiv.
Es kann sein, muss aber absolut nicht sein.Nur weil jetzt momentan keine Symptome mehr auftauchen und ein (oder auch mehrere) AV-Programme nichts mehr anzeigen ist weder gewähleostet dass die Malware tatsächlich restlos weg ist und schon gar nicht, dass nicht irgendwas am System verändert ist. Noch dazu wenn es eine neue Malware-Version wäre.
Du solltest auf jeden Fall noch Komplettscans mit mehreren anderen, miteinander niucht verwandten AV-Programmen machen.
Bis zu einer kompletten Neuinstallation muss dein System immer als potentiell "kompromittiert" gelten.

Poolshark 08.08.2011 00:49

Originalposting aus unserem CS Forum von mir, sollte so passen:


Hallo Leute!

Seit ein paar Tagen macht nen neuer Trojaner die Runde und ich musste schon X mal ausrücken, um die PCs
im Bekanntenkreis zu retten (Waren alles Windows XP Installationen btw.)
Ist eigendlich sehr leicht, wenn man denn das Teil durchschaut hat.

Ok, das Teil nistet eine .exe-File auf die Festplatte und lässt diesen dann anstatt der explorer.exe
laden. Das hat dann zur Folge, das jegliche interaktion auf dem Desktop unterbunden ist.
Darüber wird dann noch ein Wallpaper geschoben mit einem kleinen Eingabefeld, in dem dann die
zuvor an der Tankstelle gekaufte Zahlenkombination, eingegeben werden kann.
Total billig und simpel, aber effektiv.
Zumal die Leute noch durch das Bild eingeschüchtert werden, aber guckt Euch das mal selber an:

http://pool.public-enemy-clan.de/bilder/trojaner.jpg


Das ist ja wohl der Hammer!
Kriminelles Pack, eine Frechheit meiner Oma so einen Schrecken einzujagen!! ^^

"Die offizielle Mitteilung der Bundeskriminalamt" Kollega "Osteuropa" lässt grüßen, lol !!


Lösung:

- Rechner ausschalten / neustarten
- F8 Taste drücken, kurz bevor Windows gestartet wird, das sollte jetzt zu einem Auswahlbildschirm führen (Abgesicherter Modus ect.)
- Hat nicht geklappt? OK, Reset und nochmal... ist bei manchen Rechnern halt ne frage des Timings, gerade dann, wenn das Bios auch eine
Funktion auf F8 haben sollte. Ansonsten einfach mal die F8 "Spammen" (dauerfeuer auf die Taste^^)
- "Abgesicherter Modus mit Eingabeaufforderung" wählen + "Eingabetaste"
- Sind mehrere Betriebssysteme installiert, dann das betroffene wählen und "Eingabetaste" ansonsten nur nochmal "Eingabetaste"
- Bei der Benutzerauswahl natürlich das betroffene Profil wählen

Wenn alles fertig geladen ist, solltet Ihr jetzt die Konsole der Eingabeaufforderung sehen können.
Warum hab ich nicht direkt nur den abgesicherten Modus laden lassen? Ganz einfach, weil auch dieser bei manchen Rechnern nicht lief, also weiter...

- "STRG" und "Alt" festhalten und 1x auf "Entf" drücken (auch "Affengriff" genannt)
- Windows Task-Manager öffnet sich und wir klicken oben auf "Anwendung" danach unten rechts auf "Neuer Task"
- "regedit" eingeben und dann "Eingabetaste" drücken
- Um vernünftig arbeiten zu können, muss der Taskmanager evtl. minimiert werden.
(Das linke "-" symbol oben in der Leiste des Windows Task-Managers)

- Im Registrierungs-Editor arbeiten wir uns jetzt durch drücken auf die "+" Zeichen vor
den Ordnern vor bis:

„HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon“

Bei "Winlogon" brauchen wir jetzt das "+" Symbol nicht zu öffnen, sondern wir klicken 1x
drauf, das "Winlogon" blau hinterlegt bzw ausgewählt ist.

- Auf der rechten Seite suchen wir jetzt die Zeichenfolge: "Shell" ,die wir doppelklicken
- Aha, da is datt Schwein!!
- OK, den Pfad merken wir uns (noch besser:aufschreiben!), da der uns genau zum "Übeltäter" führt!! ahahahaaaaa !
- Die Zeile löschen wir und schreiben "Explorer.exe" rein und ja, OHNE die Gänsefüße!!
- Auf "OK" drücken und den Registrierungs-Editor mit klick aufs "x" oben rechts schließen.

- Jau, weiter gehts im Windows Task-Manager, der wir durch einen erneuten "Affengriff" reaktivieren.
(alternativ kann man auch unten links das minimierte Fenster durch drücken des linken Icons wiederherstellen)

- Unter Anwendungen wieder "Neuer Task" gedrückt und dann auf "durchsuchen....."
- Jetzt klicken wir uns durch, bis wir die Datei gefunden haben, dessen Pfad und Namen wir uns ja aufgeschrieben hatten.
- rechts anklicken und im pulldownmenü auf "löschen" klicken, fertig..das Schwein ist erledigt...Rechner neu starten und gut is!

-------------------------------------------------------------------------------------------------------------------------

OK, einigen von Euch wird es nicht gelingen den angegebene Pfad zu finden, weil sich ein Teil der Ordner vor Euch versteckt.
Zumindest bei der Windows Standard-Einstellung.
Aber keine Panik, das machmer schon....also weiter gehts.....

- Windows Task- Manager = Unter Anwendungen "Neuer Task" und "explorer.exe" eingeben + "Eingabetaste" (paar sekunden warten)
- Task - Manager minimieren
- Eingabeaufforderungs-Konsole minimieren
- Arbeitsplatz öffnen (Taskleiste-Arbeitsplatz oder Desktopicon Arbeitsplatz, je nach Konfiguration halt^^)

Sollte sich der Arbeitsplatz nicht öffnen lassen, weil keine Icons/Taskleiste vorhanden sind/ist, muss der Rechner an dieser Stelle neu
gestartet werden.ABER ACHTUNG: Windows MUSS im "Abgesicherten Modus" hochgefahren werden, nicht normal......
An dieser Stelle nicht die F8-Taste vergessen und immer eine Hand am Reset-taster!!
Sollte das in die Hose gehen, gehts nochmal ganz von vorne los, also obacht!

- Ok, so oder so....Arbeitsplatz öffnen....
- In der Leiste oben (mouseover) auf "Extras" und dann auf "Ordneroptionen" klicken
- Oben auf "Ansicht" klicken
- Runterscrollen bis "Versteckte Dateien und Ordner" und den Haken (Punkt) bei:
"Alle Dateien und Ordner anzeigen" setzen.
- unten auf "OK" klicken
- Jetzt kann die Datei, dessen Pfad wir uns aufgeschrieben hatten erneut gesucht und gelöscht werden, fertig!
- Rechner neustarten und mir ewig dankbar sein...ok, ich würd auch nen kaltes Bier nehmen ^^



Wie unschwer zu erkennen ist, hab ich diesen Guide für Leute verfasst, die unkundig sind.
Für die Profis hier im Forum hätte ein einziger Satz gereicht, aber evtl. verirrt sich ja jemand über Google hierher.


MfG
Poolshark

http://pool.public-enemy-clan.de/bilder/Sunshine.jpg


Edit: hohen8 hatte das schon so ähnlich gepostet, sry..naja, passt schon

pako1 08.08.2011 07:59

@poolshark

vielen dank für deine tolle beschreibung. klappt auch alles soweit nur im regeditor unter winlogon steht rechts kein shell. unter name steht nur standard, buildnumber, excludeProfiledirs, parseautoexec.

und die ordner waren bei mir nicht versteckt. habe aber nochmal nach gesehen.

und nun ?

NEMORIVAGUS 08.08.2011 11:09

LORBEER: ...und beendet sofort "calc[1].exe" ...

Bei mir (xp, sp3) hieß die Gute "readme[1].exe".

Ansonsten viiiiiiiiiiiiiiiiiielen Dank für den super Tipp, die Rescue-Discs von Kaspersky und Avira waren nämlich erfolglos:glaskugel2:!!

Maximale Erfolge!

Poolshark 08.08.2011 11:42

@pako

Es klappt nicht, weil ich mich verschrieben habe.

„HKEY_Local_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon“

ist der richtige Pfad, nicht "HKEY_CURRENT_USER" !!!

Tschuldigung, tut mir leid!

Drahtwurm 08.08.2011 12:33

@Poolshark

ich habe auch dieses Problem.
Allerdings Vista auf dem Rechner. Nun habe ich diese Shell gefunden aber nach dem Doppelklick befindet sich nur ein Fenster mit folgendem Inhalt:
Shell
explorer.exe

Eine Idee wo ich den Pfad ausmachen könnte?

Vielleicht steh ich ja auch nur auf der Leitung...ärgerlicher schwachsinn eben!!!

cosinus 08.08.2011 13:21

Es gibt nicht "die Lösung" für diesen Befall! Der Startort sowie Dateiname kann immer variieren! Außerdem ist jedes System und auch fast jede Infektion eine ganz indivuelle Sache, deswegen sollte jeder mit Befall einen eigenen Strang eröffnen!

Prinz-Baro 08.08.2011 13:26

Ich hab auch Vista... Bei mir kommt das gleiche wie bei dem user 2 über mir... Zudem kann ich im Task Manager nicht auf durchsuchen klicken... Klappt einfach nicht... Was tun?

pako1 08.08.2011 13:34

ok klasse komme wieder rein danke ! und nun? wie reinige ich alles ? oder ist damit alles weg?

Larusso 08.08.2011 14:24

Ich weiß nicht so ganz ob ich zu dieser Lösung was sagen soll, oder einfach mal die Klappe halten ( was mir besonders schwer fällt ).

Rein theoretisch könnte ich auch eine .exe schreiben, welche man auf einen USB Stick speichert, Windows mit Eingabeaufforderung startet und dann die .exe ausführt.

Warum hab ich das nicht gemacht ? Mal darüber nachdenken.

Also bitte, spart euch solche Anleitungen. Sowas kann mehr kaput machen als wieder heile.

Ausserdem möchte ich erneut darauf hinweisen, dass der Support in Malwareangelegenheiten ausschließlich dem Malware Team bzw Kompetenzteam erlaubt ist.

Da GuRu 08.08.2011 15:24

hier gehts weiter http://www.trojaner-board.de/69886-a...-beachten.html

;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131