Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Neue Version Bundespolizei Schädling -> Entfernung (https://www.trojaner-board.de/112270-neue-version-bundespolizei-schaedling-entfernung.html)

savant2k6 25.03.2012 13:36
Neue Version Bundespolizei Schädling -> Entfernung
 
Heute habe ich mir offenbar eine neuere Version des Bundespolizeit Schädlings eingefangen. Das angezeigte Bild hat sich ein wenig verändert und auch die Art und Weise, auf die sich der Schädling ins System einträgt.

http://i42.tinypic.com/a9slk.jpg

Hier eine kleine Anleitung, wie man das Ding wegbekommt. Die Anleitung geht davon aus, dass man den Registrierungs-Editor schon einmal verwendet hat. Wer damit nichts anfangen kann, sollte lieber jemanden zur Hilfe rufen, der die folgenden Begriffe vollkommen versteht.

Anleitung zum Entfernen des Bundespolizei Schädlings (aktuelle Version, heute "eingefangen"):

1) Windows im abgesicherten Modus starten (vor Windows Start Taste F8 drücken)

2) Regedit öffnen und folgenden Pfad suchen:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

3) Ihr solltet dort den folgend genannten "Load"-Eintrag finden:

"Load" = "C:\Users\[BENUTZERNAME]\LOCALS~1\Temp\[DATEINAME].EXE"

Notiert den Dateinamen _und_ Pfad der dort genannten Datei [DATEINAME].EXE! Mit diesem Eintrag wird die Schädlingsdatei beim Start geladen. (Die Datei hieß bei mir beispielsweise "MSWALQ.EXE"; könnte aber auch zufällige andere Namen haben)

4) Öffnet den Windows Explorer (Windows Taste + E), navigiert an den eben notierten Dateipfad und löscht die Datei [DATEINAME].EXE durch markieren und Drücken von "UMSCHALTEN + ENTF".

5) Löscht ebenso die Dateien im folgend genannten Ordner:

C:\Users\[BENUTZERNAME]\AppData\Roaming\gizza

Dieser Ordner enthält das Bild welches angezeigt wird und die ermittelte IP Adresse des Rechners.

6) Startet den Rechner neu. Der nervige Bildschirm mit der Zahlungsaufforderung sollte jetzt nicht mehr erscheinen.

7) Öffnet erneut den Registry Editor als Administrator (!) und löscht den unter 3) gennanten "Load"-Eintrag nachdem Ihr die Rechte auf den übergeordneten Registry-Pfad so gesetzt habt, dass "Jeder" Vollzugriff hat.

8) Dieser Starteintrag kommt mehrfach in der Registry vor. Sucht deshalb in der Registry mit Taste STRG+F (Suchen) nach dem eben notierten Dateinamen [DATEINAME].EXE in der gesamten Registrierung. Es sollten sich mehr "Load"-Einträge wie der unter 3) genannte finden. Löscht diese komplett.

9) Der Schädling sollte nun ruhe geben und es ist Zeit für gute Schutzmaßnahmen wie einen Durchlauf des aktualisierten Virenscanners (sollte vorhanden sein) sowie Malwarebytes Anti Malware.

Savant

markusg 25.03.2012 15:46
naja, die genutzten sicherheitslücken bleiben in der anleitung offen, außerdem wird nicht nach unbekannter malware gesucht, denn ein malwarebytes durchlauf und ein durchlauf des avs sind keine garantie.
also, ne manuelle analyse ist in jedem falle nötig.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131