Cpt. Subtext
Lieutenant
- Registriert
- Apr. 2010
- Beiträge
- 727
aliriza schrieb:
Leider ist dies nicht immer ganz so einfach da man ja auch gewisse Daten retten möchte. Und wer weiss schon bei der Vielzahl an Viren wo sich der Mist überall ausbreitet.
Bundeskriminlamt sperrt PC - Virus
- Ersteller Danny Crane
- Erstellt am
Leider ist dies nicht immer ganz so einfach da man ja auch gewisse Daten retten möchte. Und wer weiss schon bei der Vielzahl an Viren wo sich der Mist überall ausbreitet.
Phantom2k
Lt. Commander
- Registriert
- Okt. 2005
- Beiträge
- 1.910
Der erste weg den virus los zu werden geht wie folgt:
1. pc booten und mit F8 taste in den "abgesicherten modus mit eingabeaufforderung"
2. regedit.exe eingeben und enter drücken
die folgenden schlüssel öffnen:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
falls dort der eintrag "shell" existiert mit der rechten maustaste löschen.
dann noch in diesen schlüssel gehen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
und überprüfen ob der eintrag "shell" wie folgt lautet bzw dann ändern in: explorer.exe
pc normal neustarten und das programm malwarebytes installieren und durchlaufen lassen
1. pc booten und mit F8 taste in den "abgesicherten modus mit eingabeaufforderung"
2. regedit.exe eingeben und enter drücken
die folgenden schlüssel öffnen:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
falls dort der eintrag "shell" existiert mit der rechten maustaste löschen.
dann noch in diesen schlüssel gehen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
und überprüfen ob der eintrag "shell" wie folgt lautet bzw dann ändern in: explorer.exe
pc normal neustarten und das programm malwarebytes installieren und durchlaufen lassen
Zuletzt bearbeitet:
Phantom2k
Lt. Commander
- Registriert
- Okt. 2005
- Beiträge
- 1.910
@ddlab: doch es funktioniert, du musst wie ich geschrieben habe den "abgesicherten modus mit eingabeaufforderung" benutzen (der normale abgesicherte modus geht nich, da haste recht), aber mit der eingabeaufforderung gehts, hab den virus genauso auf 2 verschiedenen pc's entfernt (einmal win7 und einmal winxp)
Zuletzt bearbeitet:
Olcheck
Commander
- Registriert
- Okt. 2007
- Beiträge
- 2.811
Ich habe mir den Trojaner gestern auch eingefangen !!
Bisher die Avira Rescue CD probiert und durchlafen lassen aber ohne Erfolg. Benutzt habe ich noch die "Knoppix Linux Live CD 6.2.1" Dort kann ich hochbooten bis ich den Linux Desktop habe jedoch funktioniert die Maus nicht !
Mit dem Keyboard komme ich auch auf keinen Ordner somit fällt das auch weg. Was mir aufgefallen sit als der Trojaner das erste mal Aktiv geworden ist :
- Trojaner hat sich eingenistet -> rechts unten ist Avra aufgeschlagen und bevor sich das kleine Fenster vollständig aufgebaut hat / angezeigt wird war mein Bildschirm gesperrt.
- Nichts geht mehr auch nicht der Taskmanager.
- OK. STRG+ALT+Entf -> Menü mit den Optionen "Computer Sperren, Abmelden, etc...) erscheint.
- Auf abmelden geklickt aber da im Hintergrund ja noch -4 Programme gelaufen sind erscheint unter Win7 der verdunkelte Hintergrund mit der Anzeige "xx Programme werden noch ausgeführt. Programme werden geschlossen. Die Bildschirmsperre ist jetzt aufgehoben. (Hier schnell sein bevor Win7 selber die Programme schließt und den User abmeldet)
- Hier gibt es nun die Möglichkeit auf herunterfahren erzwingen oder abbrechen zu klicken.
- Abbrechen gewählt und siehe da, ich sehe das Windows Logo / Button Links unten.
(INFO: Die Startmenüleiste reagiert trotzdem nicht nur noch Taskmanager / Abmelden möglich)
- STRG+ALT+ENTF gedrückt -> Taskmanager -> Tastmanager geht auf !!
- Hier kann man jetzt in die Regedit gehen und wie oben erwähnt die Schlüssel suchen und entfernen.
- Ist man soweit gekommen ( also in den Taskmanager) bleibt der Hintergrund schwarz und man kann nichts machen -> auch nicht mit ...neuen Task die explorer.exe aufrufen. Wie gesagt hat man jedoch die Möglichkeit in den RegEditor reinzukommen und versuchen aus dem ordner Winlogon die Schlüssel zu löschen / modifizieren.
- Fährt man jedoch den Rechner runter und bootet neu erscheint die Sperre erneut und JETZT wirds schwerig !
- Wenn man die oben von mir genannte Methode anwendent verschwindet die Sperre aber genausoschnell ist man abgemeldet. Jetzt heißt es -> SCHNELL SEIN !
- STRG+ALT+ENTF -> Abmeden und so schnell es geht wieder STRG+ALT+ENTF und versuchen in den Taskmanager zu kommen. Habe 8 Anläufe gebraucht das zu schaffen. Nun steht man hier wieder bei dem Schwarzen Bildschirm udn hat die Möglichkeit in Regedit reinzukommen.
Warum geht das nach dem Neustart so schwierig bzw. gar nicht?
- Weil anch dem Neustart man selber keine Programme (Excel, Firefox, .....) gestartet hat. Beim Abmelden kann der Rechner also sofort den Benutzer abmelden ohne iein Programm schließen zu müssen.
So konnte ich die Einträge löschen, konnte nach dem Booten normal auf mein Rechner zugreifen, habe die wichtigsten Dokumente gesichert und formatiert -> Jetzt wieder glücklich. Zudem ist das System an sich jetzt etwas schneller
HINWEIS ! Diese Methode wurde bisher nur unter Windows 7 Ultimate getestet. Ob der selbe ähnliche Vorgang auch unter Win XP funktioniet weiß ich nicht.
In dem Sinne -> Viel Erfolg !
Gruß Oli
Bisher die Avira Rescue CD probiert und durchlafen lassen aber ohne Erfolg. Benutzt habe ich noch die "Knoppix Linux Live CD 6.2.1" Dort kann ich hochbooten bis ich den Linux Desktop habe jedoch funktioniert die Maus nicht !
Mit dem Keyboard komme ich auch auf keinen Ordner somit fällt das auch weg. Was mir aufgefallen sit als der Trojaner das erste mal Aktiv geworden ist :
- Trojaner hat sich eingenistet -> rechts unten ist Avra aufgeschlagen und bevor sich das kleine Fenster vollständig aufgebaut hat / angezeigt wird war mein Bildschirm gesperrt.
- Nichts geht mehr auch nicht der Taskmanager.
- OK. STRG+ALT+Entf -> Menü mit den Optionen "Computer Sperren, Abmelden, etc...) erscheint.
- Auf abmelden geklickt aber da im Hintergrund ja noch -4 Programme gelaufen sind erscheint unter Win7 der verdunkelte Hintergrund mit der Anzeige "xx Programme werden noch ausgeführt. Programme werden geschlossen. Die Bildschirmsperre ist jetzt aufgehoben. (Hier schnell sein bevor Win7 selber die Programme schließt und den User abmeldet)
- Hier gibt es nun die Möglichkeit auf herunterfahren erzwingen oder abbrechen zu klicken.
- Abbrechen gewählt und siehe da, ich sehe das Windows Logo / Button Links unten.
(INFO: Die Startmenüleiste reagiert trotzdem nicht nur noch Taskmanager / Abmelden möglich)
- STRG+ALT+ENTF gedrückt -> Taskmanager -> Tastmanager geht auf !!
- Hier kann man jetzt in die Regedit gehen und wie oben erwähnt die Schlüssel suchen und entfernen.
- Ist man soweit gekommen ( also in den Taskmanager) bleibt der Hintergrund schwarz und man kann nichts machen -> auch nicht mit ...neuen Task die explorer.exe aufrufen. Wie gesagt hat man jedoch die Möglichkeit in den RegEditor reinzukommen und versuchen aus dem ordner Winlogon die Schlüssel zu löschen / modifizieren.
- Fährt man jedoch den Rechner runter und bootet neu erscheint die Sperre erneut und JETZT wirds schwerig !
- Wenn man die oben von mir genannte Methode anwendent verschwindet die Sperre aber genausoschnell ist man abgemeldet. Jetzt heißt es -> SCHNELL SEIN !
- STRG+ALT+ENTF -> Abmeden und so schnell es geht wieder STRG+ALT+ENTF und versuchen in den Taskmanager zu kommen. Habe 8 Anläufe gebraucht das zu schaffen. Nun steht man hier wieder bei dem Schwarzen Bildschirm udn hat die Möglichkeit in Regedit reinzukommen.
Warum geht das nach dem Neustart so schwierig bzw. gar nicht?
- Weil anch dem Neustart man selber keine Programme (Excel, Firefox, .....) gestartet hat. Beim Abmelden kann der Rechner also sofort den Benutzer abmelden ohne iein Programm schließen zu müssen.
So konnte ich die Einträge löschen, konnte nach dem Booten normal auf mein Rechner zugreifen, habe die wichtigsten Dokumente gesichert und formatiert -> Jetzt wieder glücklich. Zudem ist das System an sich jetzt etwas schneller
HINWEIS ! Diese Methode wurde bisher nur unter Windows 7 Ultimate getestet. Ob der selbe ähnliche Vorgang auch unter Win XP funktioniet weiß ich nicht.
In dem Sinne -> Viel Erfolg !
Gruß Oli
Zuletzt bearbeitet:
Habe gestern das Notebook der ´Schwiegertochter in spe´ bekommen, das durch bewussten Virus ´lahmgelegt´ war. Die zitierte CD von AVIRA hat es dann wiederbelebt, will sagen, sie funktionierte astrein und hat den Virus erkannt und beseitigt - alles läuft wieder quite normal.
Schöne Osterfeiertage
Cpt Foto
Schöne Osterfeiertage
Cpt Foto
Agi Hammerklau
Banned
- Registriert
- März 2008
- Beiträge
- 2.897
Hoffe ich bekomme jetzt keine hinter die (Osterhasen-)Löffel, es ist Werbung aber mit Informationen http://www.computerwissen.de/ meine Postfächer werden regelmässig überschwemmt und dazwischen sind gute Dinge.
Zuletzt bearbeitet:
Boogeyman
Vice Admiral
- Registriert
- März 2005
- Beiträge
- 6.816
@Olilolli
Also koordiniertes Vorgehen sieht bei mir anders aus. Gibt jetzt schon diverse Seiten, die dazu Lösungen anbieten.
https://www.botfrei.de/
Durch die "Anleitung für Experten" erreicht man nur wieder den Zugriff auf den Rechner, die Malware ist aber immer noch vorhanden und muss noch entfernt werden.
Also koordiniertes Vorgehen sieht bei mir anders aus.
Gibt jetzt schon diverse Seiten, die dazu Lösungen anbieten.https://www.botfrei.de/
Durch die "Anleitung für Experten" erreicht man nur wieder den Zugriff auf den Rechner, die Malware ist aber immer noch vorhanden und muss noch entfernt werden.
Marcel55
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.002
Für solche fälle habe ich jederzeit eine Live-Linux-CD mit Backup und Antivirensoftware.
Benutzen musste ich sie nie, da ich bisher nur einmal von einem Virus befallen war...das war 2004.
Aber dieser Virus ist schon heftig, und vorallem soll man dann auch noch eine Gebühr Zahlen, damit der PC wieder benutzbar ist. Es gibt schon einige Ahnungslose, die darauf reingefallen sind.
Mit einem Angepassten Surfverhalten kann man sein Risiko jedoch minimieren.
Und mein Tipp:
Jeder der noch kein Live-Linux hat, brennt sich jetzt schnell eins
Benutzen musste ich sie nie, da ich bisher nur einmal von einem Virus befallen war...das war 2004.
Aber dieser Virus ist schon heftig, und vorallem soll man dann auch noch eine Gebühr Zahlen, damit der PC wieder benutzbar ist. Es gibt schon einige Ahnungslose, die darauf reingefallen sind.
Mit einem Angepassten Surfverhalten kann man sein Risiko jedoch minimieren.
Und mein Tipp:
Jeder der noch kein Live-Linux hat, brennt sich jetzt schnell eins
aemonblackfyre
Captain
- Registriert
- Dez. 2006
- Beiträge
- 3.321
habs beim kumpel über systemwiderherstellung geregelt...
hat alles bestens geklappt - es ging anfangs garnicht mehr... kein taskmgr und dieser fullscreen kram war die ganze zeit vorhanden. egal ob abgesichert oder sonstwie
mit der wiederherstellung geht das ganze schnell problemlos und mit nur minimalem daten verlust.
hat alles bestens geklappt - es ging anfangs garnicht mehr... kein taskmgr und dieser fullscreen kram war die ganze zeit vorhanden. egal ob abgesichert oder sonstwie
mit der wiederherstellung geht das ganze schnell problemlos und mit nur minimalem daten verlust.
johannmuenchen
Newbie
- Registriert
- Apr. 2011
- Beiträge
- 1
So wie Phantom2k es beschrieben hat, funktioniert es.
Anzumerken ist lediglich, dass aus dem vermutlich zuerst gefundenen "shell-eintrag" zu ersehen ist, welches programm beim logon aufgerufen wird und in welchem ordner es sich befindet.
bei mir handelte es sich um PIKTQBXB.EXE.
Anzumerken ist lediglich, dass aus dem vermutlich zuerst gefundenen "shell-eintrag" zu ersehen ist, welches programm beim logon aufgerufen wird und in welchem ordner es sich befindet.
bei mir handelte es sich um PIKTQBXB.EXE.
und in welchem ordner ists?
bin grade dabei den rechner meiner freundin zu reparieren.....hat sich das ding eingefangen
bin grade über ubuntu drin um daten zu sichern.
muss aber gestehen wenn ich ihn so ohne neu aufsetzen am zipfel bekommen würde, wärs angenehmer
bin grade dabei den rechner meiner freundin zu reparieren.....hat sich das ding eingefangen
bin grade über ubuntu drin um daten zu sichern.
muss aber gestehen wenn ich ihn so ohne neu aufsetzen am zipfel bekommen würde, wärs angenehmer
Agi Hammerklau
Banned
- Registriert
- März 2008
- Beiträge
- 2.897
Eine neue Abart möchte dass man eine teure Telefonnummer anruft (wahrscheinlich in Russland).
Der Eingabecode für das Fenster der Entsperrung des PCs ist (falls noch nicht geändert):
754-896-324-589-742
Der Eingabecode für das Fenster der Entsperrung des PCs ist (falls noch nicht geändert):
754-896-324-589-742
hugobatz
Cadet 3rd Year
- Registriert
- März 2006
- Beiträge
- 58
Hatte einen sehr aktuellen Befall mit dem beschriebenen Virus/Wurm und die Methode von Phantom2k funktioniert immernoch.
Der Schädling nannte sich bei mir jashla.exe und saß in C:/DokumenteundEinstellungen/BENUTZER/Anwendungsdaten
Hab wie beschrieben die Registereinträge im Abgesicherten Modus geändert und die Datei gelöscht!
Vielen Dank
Der Schädling nannte sich bei mir jashla.exe und saß in C:/DokumenteundEinstellungen/BENUTZER/Anwendungsdaten
Hab wie beschrieben die Registereinträge im Abgesicherten Modus geändert und die Datei gelöscht!
Vielen Dank
Hatte mir gerade auch soetwas eingefangen...
Der Bildschirm wurde nur bei aktiver Internetverbindung gesperrt mit der Aufforderung 100€ per paysafe zu zahlen (Kabel raus -> keine Sperre, jedoch funzte der Taskmanager und Msconfig nicht)
Avira hat nichts gefunden. Dieses Prog von Malwarebytes hat nichts gefunden.
Mit beiden auch im abgesicherten Modus probiert...
Okay bisschen hirn eingeschaltet, in den windows/system32 ordner rein, taskmgr.exe und msconfig.exe rauskopiert und umbenannt.
Natürlich kann man sie nun ausführen.
In msconfig in den reiter systemstart geguckt, irgend so nen namen gefunden der mir seltsam vorkam, haken raus (direkt daneben steht das verzichnis der .exe) zu dem ordner gegangen, versucht zu löschen -> geht nicht, wird ausgeführt...
Taskmanager gestartet -> prozesse -> komisches ding beenden
komische.exe löschen
fertig
Inet geht wieder
Der Bildschirm wurde nur bei aktiver Internetverbindung gesperrt mit der Aufforderung 100€ per paysafe zu zahlen (Kabel raus -> keine Sperre, jedoch funzte der Taskmanager und Msconfig nicht)
Avira hat nichts gefunden. Dieses Prog von Malwarebytes hat nichts gefunden.
Mit beiden auch im abgesicherten Modus probiert...
Okay bisschen hirn eingeschaltet, in den windows/system32 ordner rein, taskmgr.exe und msconfig.exe rauskopiert und umbenannt.
Natürlich kann man sie nun ausführen.
In msconfig in den reiter systemstart geguckt, irgend so nen namen gefunden der mir seltsam vorkam, haken raus (direkt daneben steht das verzichnis der .exe) zu dem ordner gegangen, versucht zu löschen -> geht nicht, wird ausgeführt...
Taskmanager gestartet -> prozesse -> komisches ding beenden
komische.exe löschen
fertig
Inet geht wieder
Boogeyman
Vice Admiral
- Registriert
- März 2005
- Beiträge
- 6.816
@SoJiro
Nur weil dein Internet wieder geht, ist die Malware noch lange nicht weg.
Auch ist deine Vorgehensweise alles andere als strukturiert, durch planloses rum wurschteln bekommt man das auch nicht vollständig weg.
Jetzt weiß ich auch, wo die ganzen Botnetze her kommen, weil User dilettantisch am eigenen Rechner rum pfuschen und glauben sie hätte die Malware erfolgreich entfernt.
Nur weil dein Internet wieder geht, ist die Malware noch lange nicht weg.
Auch ist deine Vorgehensweise alles andere als strukturiert, durch planloses rum wurschteln bekommt man das auch nicht vollständig weg.Jetzt weiß ich auch, wo die ganzen Botnetze her kommen, weil User dilettantisch am eigenen Rechner rum pfuschen und glauben sie hätte die Malware erfolgreich entfernt.
Eine komplette Neuinstallation ist hier unumgänglich
Viren entfernen ein Irrglaube womit du zwar die Symptome entfernt und die Spuren verwischt hast, den eigentlichen Schädling aber nicht angerührt hast.
Und niemand kann nachvollziehen was der "Freund" bereits alles nachgeladen hat.
Du kannst gern mal ein OTL log reinstellen, du wirst erstaunt sein was man damit alles zutage befördern kann was mbam nicht "gefunden" hat...
Viren entfernen ein Irrglaube womit du zwar die Symptome entfernt und die Spuren verwischt hast, den eigentlichen Schädling aber nicht angerührt hast.
Und niemand kann nachvollziehen was der "Freund" bereits alles nachgeladen hat.
Du kannst gern mal ein OTL log reinstellen, du wirst erstaunt sein was man damit alles zutage befördern kann was mbam nicht "gefunden" hat...
