[WOBoogyBoy]

Mal eine Frage: Wenn ich mein infiziertes Netbook an einen anderen PC anschließe, kann ich dann über die Anti-Virus-Software des PCs das Netbook nach dem BKA-Virus durchsuchen? (Virenprogramm: Norton 360)

[pablo.rodriguez]

Hatte vor kurzen den besagten Virus selbst vor Augen. Ein Bekannter hat sich diesen eingefangen. Lösung für User mit fortgeschrittenem Wissen:

1. Start im "Abgesichertem Modus mit Eingabeaufforderung"
Beim Starten auf F8 (meistens ist es F8 ) drücken und "Abgesichertem Modus mit Eingabeaufforderung" auswählen

2. Wechseln in das Temporäre Verzeichnis
in der Konsole (so heißt das schwarze Fenster mit blinkendem Kursor) folgendes eingeben:
cd %temp%

3. Im Temp-Verzeichnis geben wir uns erstmal alle Rechte mit folgendem Befehl
cacls *.* /t /c /g jeder:f

4. Um anschließend das Tempverzeichnis zu säubern (oder auch zu löschen)
rmdir /s /q %temp%

5. Nun sehen wir uns mal die Registry an und öffnen diese mit dem Befehl
regedit

6. Wir müssen nun mehrere Pfade überprüfen. Zum Einen Unterscheiden wir zwischen HKEY_LOCAL_MACHINE (HKLM) und HKEY_CURRENT_USER (HKCU). HKLM betrifft alle Benutzer des betroffenen PC'S und HKCU betrifft nur den gerade angemeldeten Benutzer. Der Virus kann sich in beiden verstecken, daher müssen auch beide überprüft werden. Starten wir damit den Shell-Eintrag wieder zu korriegen und gehen in folgenden Pfad:
HKLM-> Software-> Microsoft -> Windows NT -> Winlogon
dort überprüfen ob für den Eintrag "Shell" der Wert explorer.exe hinterlegt ist. Falls nicht, diesen ändern. Dann das gleiche für HKCU durchführen.

7. Mit diesem Schritt wurde das lästige Bild wieder entfernt. Nun überprüfen wir über die Autostart-Einträge von wo den das Ding startet. Also wechseln wir in folgenden Pfad
HKLM -> Software -> Microsoft -> Windows -> Current Version -> Run

Alles was hier steht wird für alle Benutzer des Rechners automatisch beim Windowsstart mit gestartet. Wenn hier als Eintrag ein ziemlich langer nichts sagender und nicht sinngebender Name dabei ist (ich habe leider den korrekten Namen der Datei vergessen) dann überprüfen wo diese Datei liegt (bei mir war es der Desktop) und anschließend betroffenen Eintrag und auch Datei entfernen.
Es bietet sich an in diesem Schritt alle unnötigen Einträge zu entfernen um den Autostart etwas aufzuräumen. Aber bitte wichtige Einträge (Virenscanner etc) nicht entfernen.

Den gleichen Schritt wiederholt man für HKCU

8. Rechner neustarten. Windows müsste wieder wie gewohnt starten. Trotzdem zur Vorsicht nochmal mit aktuellem Virenscanner das komplette System scannen.

Bei Fragen... Einfach her damit ;-)

[pablo.rodriguez]

Zitat:

Zitat von WOBoogyBoy

Mal eine Frage: Wenn ich mein infiziertes Netbook an einen anderen PC anschließe, kann ich dann über die Anti-Virus-Software des PCs das Netbook nach dem BKA-Virus durchsuchen? (Virenprogramm: Norton 360)

Eventuell... ist aber ziemlich aufwendig und nur mit Vorraussetzungen erfüllbar.
1. Es müssen admin-Freigaben aktiv sein
2. Es muss ein Netzlaufwerk hergestellt werden (bsp. mit c$)
3. Muss mit Norton das Netzlaufwerk gescannt werden

Damit entfernst Du aber nur die infizierende Datei. Den falschen Shell- und Autostart-Einträge müssten in der Registry geändert werden. Also muss
1. der Dienst RemoteRegistry auf den Netbook an sein
2. Du dich mit Deinem PC mit der Registry des Netbooks verbinden und diese dann ausbessern

Einfacher wäre es eine Rescue-CD auf USB-Stick zu packen und von diesem zu booten.

oder meinen vorangegangenen Eintrag zu versuchen.

[DDR3]

Zitat:

Zitat von pablo.rodriguez

@DDR3:

Bitte Bitte Bitte... Wenn Du nicht weißt von was Du da schreibst... dann lass es doch einfach.. oder schreib eben was Du weißt.
1. über Bios wurde der Rechner zu einem späteren Zeitpunkt zurückgesetzt? Erstens meintest Du wohl früher und zweitens hat Bios wahrscheinlich nix damit zu tun. Entweder war es ein Windows-Wiederherstellungspunkt oder ein Backup-Image (Acronis etc)
2. Du bist wieder Viren-frei und es handelt sich aber nicht um einen schwerwiegenden Trojaner? Kannst Du mir denn den Unterschied zwischen Virus und Trojaner nennen? Was macht denn ein Trojaner? Schwerwiegend ist er definitiv da er ohne fachliche Kenntnisse nicht zu bewältigten ist und es für einen Laien der seinen Rechner zum Fachmann bringt äußerst teuer ist. Natürlich kann auch ein Laie einfach seinen Rechner neu aufsetzen und hat dann aber Datenverlust.
3. Ein Prog drauf welche jede Aktivität im Voraus testet? Meinst Du denn eine Sandbox? Wenn ja schützt auch diese Art von Tool niemals vor der bösen Brain.exe. Was passiert denn wenn Du im Internet auf einen Dir unbekannten PHP-Link klickst? Hast Du denn Deinen Internetbrowser non-stop in der Sandbox laufen? Den besten Schutz liefern wohl Internet-Security-Suiten und der eigene Verstand. Wenn man beispielsweise einen Drive-by-Drive-Download bestätigt wird wohl selbst die beste Internet-Secrurity-Suite mehr helfen können.

Wenn jemand den Virus hat und noch Probleme mit der Lösung da sind... hier wird jedem geholfen.
Aber bitte keine verwirrenden Beiträge über Nichtwissen

Mein Kumpel hat mir das so erklärt, und solange ich viren frei bin ist es mir egal wie auch immer..... hast ja alles schön erklärt

edit: wenn ein trojaner innerhalb von 5 minuten von meinem rechner fliegt gehe ich nicht davon aus das er besonders gefährlich war! hohoho , hoffe du fühlst dich jetzt nicht beleidigt .

[Sabrina66]

Hallo!

Ich habe jetzt in der Regedit im shell verzeichnis wieder den explorer.exe angegeben.
Trotzdem starte windows bei dem Infizierten Benutzer keinen Desktop und wenn ich versuche Taskmanager zu starten sagt er mir das ich keine Adminrechte haben.

Wenn ich ein anderen Profil auf dem selben Rechner öffne startet der Desktop ganz normal. Aber sobald ich versuche dort dann den Norton Antivirus zu installieren meckert er auch wieder das ich keine Admin rechte habe. Wo könnten diese verlorengegangen sein? bzw wo kann ich diese einstellen.

Habe als Betriebsystem XP

danke schonmal

[pablo.rodriguez]

@ddr3

neee.... passt schon.. kein Ding..
Gefährlich ist halt immer relativ. Wenn Du jetzt Deine Abschlußarbeit auf dem Desktop gespeichert hast und Dein Kumpel den Rechner aufgrund des Virus zurückgespielt hat dann wären die Daten (welche neuer sind als der zurückgespielte Stand) einfach weg. Alle Arbeit um sonst. Abgabe wäre aber übermorgen... Was dann ;-)???...

[pablo.rodriguez]

Zitat:

Zitat von Sabrina66

Hallo!

Ich habe jetzt in der Regedit im shell verzeichnis wieder den explorer.exe angegeben.
Trotzdem starte windows bei dem Infizierten Benutzer keinen Desktop und wenn ich versuche Taskmanager zu starten sagt er mir das ich keine Adminrechte haben.

Wenn ich ein anderen Profil auf dem selben Rechner öffne startet der Desktop ganz normal. Aber sobald ich versuche dort dann den Norton Antivirus zu installieren meckert er auch wieder das ich keine Admin rechte habe. Wo könnten diese verlorengegangen sein? bzw wo kann ich diese einstellen.

Habe als Betriebsystem XP

danke schonmal

das war die Geschichte mit dem HKCU was ich in dem Post weiter oben erwähnt habe... mmh... was könnte man machen... Wenn Du soweit bist dass es unter einem anderen Benutzer geht.. mach folgendes:

1. Starte Windows mit einem funtkionierendem Konto und öffne den Editor
start -> ausführen -> notepad (in das Fenster eingeben)

2. Schreibe folgendes in die Zeile:
@echo off
reg add "hkcu\Software\microsoft\Windows nt\currentversion\winlogon" /v shell /t REG_SZ /d explorer.exe /f

3. das speicherst Du dann als rettung.cmd ab (vorsicht: bei Dateityp alle Dateien angeben)

4. die Datei in den Autostart kopieren
auf "Start -> Programme" einen Rechtsklick und "öffnen für alle Benutzer" auswählen. Dann Doppelklick auf Programme -> dann Doppelklick auf Autostart. Dorthin die Datei kopieren.

Dann hoffen dass im Autostart der Registry des HKCU nix steht und Rechner neustarten. Hoffen dass es funktioniert. Wenn nicht dann müssen wir den Autostart der Registry entfernen. Schreib dann nochmal falls es nicht klappen sollte oder falls es Fehler gibt

Nachtrag:
Denke ich hab ein wenig zu schnell geantwortet. Scheinbar funtkioniert das Profil ohne Adminrechte. Da wird der AutostartEintrag wahrscheinlich nicht funktionieren. Hast denn das schonmal ausprobiert was ich weiter oben geschrieben habe? Ab in den abgesicherten Modus und los gehts... Schritt 1 bis 8

[Sabrina66]

Hallo,

ich komm auch in den Regedit rein. Kann ich das dann nicht direkt eintragen?

[Sabrina66]

HUHU

So hab den müll jetzt runter.
1.Ich startete jetzt mit Abgesicherten Modus mit Eingabeaufforderung

2. Dann dort "reg add "hkcu\Software\microsoft\Windows nt\currentversion\winlogon" /v shell /t REG_SZ /d explorer.exe /f" eingeben

3. Dadurch kommt der Desktop wieder. Dann bin ich in den Windows Ordner unter System 32 befindet sich die rstrui.exe. Mit diesem Programm hab ich die Systemwiederherstellung aktiviert auf den stand von 1 woche vorher.

4. Jetzt läuft es wieder ganz normal! Installiere jetzt noch Norton 30 Tage Testversion und bereinige meine komplette Festplatte.

Die Lösung gilt für XP - Systeme keine ahnung ob das bei den anderen genauso funzt.

Danke nochmal an alle !

[shadow4ever]

Ich hatte diesen *netten* Virus auch :/
Unter Windows 7 ließ er sich aber durch einen leichten Trick den ich von einem Kumpel bekam sehr leicht entfernen.
Über abgesichterten Modus reingegangen und mit dem Ccleaner die Temp Dateien des iexplorers gelöscht und... er war weg =)

[Georgemaster99]

Wer solche Beiträge schreibt wie "Recher neu machen" --bitte, könnt ihr nicht einfach die Schnauze halten? Wieso muss man immer Labern des Laberns wegen. In diesem Thread sollten nur Leute posten, die das Problem tatsächlich hatten bzw beseitigt haben. Was hab ich mich gestern geärgert bei diesen unsinnigen Kommentaren!


Ich habe gestern 2 Rechner auf folgenden Wege bereinigt:


Wenn die Meldung auftaucht ist der Rechner auf normalem Weg nicht mehr zu gebrauchen, alt+strg+ent etc, kann man alles vergessen.
Wie gehe ich vor?


1.Neustart, im abgesicherten Modus mit Eingabeaufforderung. Von dort aus die explorer.exe starten. Wenn das bereits funktioniert bitte unter program files den "Mozilla Firefox"Ordner löschen (oder den jeweiligen Browser-Ordner).

Und jetzt ganz wichtig:

C:\\Users\\username\\AppData\\*Local\\ Temp\\0.9002219676288025.exe

Der Ordner AppData ist ein versteckter Ordner und muss u.U erst angezeigt werden (unsichtbare Ordner anzeigen in Ordneroptionen)-->Die Datei heisst so oder ähnlich, bei mir war es eine Zahlenkombination die mit 0.600 losging--jedenfalls ist es eine .exe ,meist zwischen 100+200 kb gross (bei mir 139kb und mit Rechtsklick stand in der beschreibung iwas von madtb... etc)

DIE LÖSCHEN! Bei meinem anderen rechner gab es in dem Ordner sogar noch eine 2te Datei, ähnlicher Name aus Zahlen bestehend.

Neustarten- nochmal trojaner-scanner laufen lassen (z.B Malwarebytes), der wird noch etwas finden, nochmal Neustart --->erledigt.


2. Wenn jemand nicht aus der Eingabeaufforderung den Explorer öffnen kann ohne dass das Bundeskriminalamt Logo erscheint, per Rescue Disc von avira Vorarbeit leisten, scannen lassen (er findet ca 5 rote Einträge) und danach bei 1. weitermachen.

Normaler Windows-Start wird nichts bringen; zwar erkennt man eine Veränderung, da der Bildschrim immerhin bei alt+strg+entf jetzt schwarz wird, aber man kann trotzdem noch nicht den Task-manager starten!
Also, ab jetzt bei 1. weitermachen, die Datein von Hand löschen und dann sollte das Problem behoben sein.

Kapersky hat bei mir übrigens überhaupt nichts gebracht.

Viel Glück.

[pablo.rodriguez]

@Georgemaster99

hast Du Dir denn die Mühe gemacht meinen Post #110 zu lesen.
Du solltest nicht über andere schimpfen wenn Du es selbst nicht besser macht...
Dein Post zeigt zwar Wissen auf... jedoch liest es sich etwas nach halbwissen, da manches keinen Sinn ergibt... Well Done

1.) Warum denn bitte unter Program Files den Browser Ordner löschen? Was hat der denn damit zu tun? Mozilla schreibt seinen Daten alle in einen Ordner in Appdata\Roaming...
2.) Das Bild ist da, weil der Shell-Eintrag in der Registry nicht der richtige ist... Da gehört einfach wieder explorer.exe eingesetzt... Punkt.. Nix Rescue (klar kann funktionieren, braucht man aber doch nicht)
3.) Am einfachsten kommt man in das Temp-Verzeichnis indem man in der cmd-Box (Eingabeaufforderung) start %tmp% eingibt

An alle Betroffenen:

Bitte haltet Euch einfach an #110
Dankeschön!!!

[Lisa77]

Hallo,
ich habe den Virus auch und wollte mich nach den Tipps richten und habe eine Systemwiederherstellung versucht. Leider ist das nicht möglich, weil mir windows sagt, dass keine Wiederherstellungspunkte auf dem Systemdantenträger des Computers erstellt worden sind. Was kann ich nun tun?
Die Kapersky Rescue CD hab ich runtergeladen und auch noch ein anderes Programm für nen USB Stick, weil mein CD Laufwerk nicht mehr funktioniert. Bin da aber auch nicht weiter gekommen.
Könnte mir bitte jemand helfen??? Wie ihr seht, habe ich nicht viel Ahnung von Computern.
Achja, Betriebssystem Vista

[Lisa77]

und zu #110: Wie kann ich denn die Datei unter shell zu explorer ändern??

[pablo.rodriguez]

ein Doppelklick auf "Shell" machen dann den Eintrag der vorhanden ist (da kannst dann was eingeben) einfach mit explorer.exe überschreiben

Bist bis zu diesem Schritt gekommen?

[Lisa77]

Ich hab den Laptop jetzt ein paar Minuten vom Stromnetz genommen und jetzt ist das Bild weg. Versuche gerade einen DE-Cleaner zu installieren und drüberlaufen zu lassen. Was muss ich noch installieren? Und muss ich das bei Shell dann trotzdem ändern mit dem explorer??
Vielen, vielen Daaaaaaaaaaank!!!!!

[WOBoogyBoy]

Zitat:

Zitat von pablo.rodriguez

Alles was hier steht wird für alle Benutzer des Rechners automatisch beim Windowsstart mit gestartet. Wenn hier als Eintrag ein ziemlich langer nichts sagender und nicht sinngebender Name dabei ist (ich habe leider den korrekten Namen der Datei vergessen) dann überprüfen wo diese Datei liegt (bei mir war es der Desktop) und anschließend betroffenen Eintrag und auch Datei entfernen.
Es bietet sich an in diesem Schritt alle unnötigen Einträge zu entfernen um den Autostart etwas aufzuräumen. Aber bitte wichtige Einträge (Virenscanner etc) nicht entfernen.

Ich habe da mehrere Sachen stehen...! Diejenigen, die mir nix sagen, liste ich mal auf:

Alcmtr
IgfxTray
Persistence
RTHDCPL
SynTPEnh
Tboqimifixejowe

Ich weiß nicht, ob einer davon wichtig ist, sonst würde ich alle löschen...! Kann mir jemand weiterhelfen und mir vielleicht sagen, welche ich löschen kann bzw. falls einer von euch den Namen der zu löschenden Datei kennt, mir sagen, welcher aus der Liste es ist?

[WOBoogyBoy]

Zitat:

Zitat von Sabrina66

3. Dadurch kommt der Desktop wieder. Dann bin ich in den Windows Ordner unter System 32 befindet sich die rstrui.exe. Mit diesem Programm hab ich die Systemwiederherstellung aktiviert auf den stand von 1 woche vorher.

dieses rstrui.exe gibts bei mir nit...! Was nun?

[Virenkiller]

Analyse auf [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] :
---------------------------------------
Antivirus Version Last Update Result
AhnLab-V3 2011.05.17.00 2011.05.16 -
AntiVir 7.11.8.37 2011.05.16 -
Antiy-AVL 2.0.3.7 2011.05.16 -
Avast 4.8.1351.0 2011.05.16 -
Avast5 5.0.677.0 2011.05.16 -
BitDefender 7.2 2011.05.17 -
CAT-QuickHeal 11.00 2011.05.16 -
ClamAV 0.97.0.0 2011.05.16 -
Comodo 8727 2011.05.17 Heur.Suspicious
Emsisoft 5.1.0.5 2011.05.16 -
eTrust-Vet 36.1.8330 2011.05.16 -
F-Prot 4.6.2.117 2011.05.16 -
F-Secure 9.0.16440.0 2011.05.17 -
Fortinet 4.2.257.0 2011.05.14 -
GData 22 2011.05.16 -
Ikarus T3.1.1.103.0 2011.05.16 -
Jiangmin 13.0.900 2011.05.16 -
K7AntiVirus 9.103.4648 2011.05.14 -
Kaspersky 9.0.0.837 2011.05.16 Trojan-Ransom.Win32.Chameleon.ly
McAfee 5.400.0.1158 2011.05.17 -
McAfee-GW-Edition 2010.1D 2011.05.16 -
Microsoft 1.6802 2011.05.16 -
NOD32 6127 2011.05.16 -
Norman 6.07.07 2011.05.15 -
nProtect 2011-05-16.01 2011.05.16 -
Panda 10.0.3.5 2011.05.16 -
PCTools 7.0.3.5 2011.05.13 -
Prevx 3.0 2011.05.17 -
Rising 23.58.00.06 2011.05.16 -
Sophos 4.65.0 2011.05.17 -
SUPERAntiSpyware 4.40.0.1006 2011.05.17 -
TheHacker 6.7.0.1.198 2011.05.16 -
TrendMicro 9.200.0.1012 2011.05.16 -
ViRobot 2011.5.16.4461 2011.05.16 -
VirusBuster 13.6.357.0 2011.05.16 -



Wird also fast nie richtig erkannt !

[olejole]

am saubersten ist immer noch , das Betriebssystem neu aufzuspielen.
So hab ich es auch gemacht.

[pablo.rodriguez]

Zitat:

Zitat von WOBoogyBoy

Ich habe da mehrere Sachen stehen...! Diejenigen, die mir nix sagen, liste ich mal auf:

Alcmtr
IgfxTray
Persistence
RTHDCPL
SynTPEnh
Tboqimifixejowe

Ich weiß nicht, ob einer davon wichtig ist, sonst würde ich alle löschen...! Kann mir jemand weiterhelfen und mir vielleicht sagen, welche ich löschen kann bzw. falls einer von euch den Namen der zu löschenden Datei kennt, mir sagen, welcher aus der Liste es ist?

Die autostart-Einträge sind bei jedem anders... je nachdem welche Software die haben.
In Deinem Fall ist der unterste äußerst seltsam...
Aber ich finde auch keine Virenschutzprogramme darunter... Also kannst Du ruhigen gewissens auch einfach alle Einträge vorerst entfernen... Wie gesagt es handelt sich nur um Programme die automatisch mitstarten.. Streng genommen braucht Windows das nicht.. (Ausnahme wäre eventuell ein Virenscanner)

[vogelspatz]

Zitat:

Zitat von Erebos76

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] als Mailadresse.

Genial.

WOW DAS E C H T E Bundeskirminalamt hat ja auch kein Geld für ´ne bessere E-Mail , oder :-) ?=?!

[Lisa77]

Hallo,
ich bins leider nochmal. So langsam bin ich wirklich am verzweifeln. Ich habe nun gestern den DE-Cleaner von Kapersky durchlaufen lassen, kurz vor der Hälfte hat er mir gesagt, dass ein spezieller Reparationsvorgang durchgeführt werden muss. Und danach ein Neustart. Bei diesem Neustart ist mein Laptop nicht mehr wirklich angegangen, sondern bei dem Bildschirm mit den Benutzern kommt fast sofort ein blaues Bild mit Schrift (irgendwas mit F8 konnt ich nur lesen) und startet er neu und das wieder und wieder. Habe nun den DE-Cleaner im abgesicherten Modus laufen (schon ca. 29 Ereignisse gefunden) , glaube aber, dass er die Dateien nur löschen kann, wenn ich einen normalen Neustart mache, was ja aber nicht möglich ist.
Mit der Rescue CD bin ich auch nicht weiter gekommen. Habe sie Anleitung auf USB gemacht (formatiert, bootfähg gemacht, spezielles Programm zum konvertieren), aber sie tut leider auch nicht.
ich bin wirklich hilflos und auch noch im Ausland, wäre um jede Hilfe sehr dankbar!!!!

[pablo.rodriguez]

Oh je oh je.. Lisa...

Das was Du hast nennt sich Bluescreen... Den siehst Du nur nicht, da der Rechner noch nicht korrekt eingestellt ist

Also mit F8-Taste starten, dort wo Du auch in den abgesicherten Modus kommst. In diesem Menü hast Du weiter unten auch die Möglichkeit den automatischen Neustart bei Fehlermeldung zu deaktivieren

Dann Rechner Neustarten und Posten was Dein Bluescreen für nen Fehlercode aufzeigt. Eventuell selber danach googlen

Ein Bluescreen kann Hard, - oder auch Software bedingt sein.

Meine Vermutung ist dass Dir der Scanvorgang wichtige Systemdateien zerschossen hat und daher nur eine Reperaturinstallation mit Windows-Datenträger Dich noch retten kann... Oder mit Glück im Abgesicherten Modus finden was jetzt nicht mehr funktioniert...

Mit Pech liegts an der Hardware.

Toi Toi Toi

[robopoke]

leute.. ich hab GENAU das GLEICHE problem...

aber ich hab eine vorläufige lösung. wenn ihr strg-alt-entf die ganze zeit drückt, nachdem ihr euch eingeloggt habt, musst ihr sehr schnell den prozess "0.22[...].exe" beenden.
dieser prozess erscheint zweimal also 2 mal schnell alt-p für prozess beenden.

nachteil: das muss man immer wieder machen
vorteil: immerhin, PC funnzt ansonsten ganz ok nur wird der explorer.exe net vollkommen wiederhergestellt

[robopoke]

ich hab nen screenshot gemacht, bevor ich den prozess beendet habe.

hier:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[lilprof]

Seit gestern abend schlag ich mich mit diesem Drecks-Virus-Trojaner rum.
Über laptop hab ich hier im thread rumgestöbert und alles mögliche ausprobiert.
Hab xp SP3 drauf;
Rescue Discs haben nix gebracht, weder AV noch Kaspersky;
Über den abgesicherten Modus war auch nix zu holen, weil das Drecks-BKA-Bild sich auch da vor geschoben hat.
Erfolg nach einigen Stunden rumprobieren ging dann wie von robopoke beschrieben über den Aufruf des Taskmanagers mit strg+alt+entf unmittelbar nach der windowsanmeldung und vor Auftauchen des BKA-Bildes - das sind nur Sekunden, in denen man auch Prozess beenden klicken muss!
Dann hab ich über den Taskmanager => Datei => Neuer Task (Ausführen) mit regedit den Eintrag von HKEY_LOCAL_MACHINE-> Software-> Microsoft -> Windows NT -> Winlogon-> Shell gesucht und durch explorer.exe ersetzt.
Jetzt läuft alles wieder normal :-)

P.S.:
Jrtzt hab ich den Eintrag aus Shell raus, hab mir aber leider vor dem Löschen des alten Eintrags net gemerkt, wo diese shice-exe (bei mir hieß sie "about(1).exe") abgelegt war.
Ich würde sie schon gerne von meinem PC entfernen, auch wenn sie zur Zeit keine Unruhe stiftet.
Sie war irgendwo bei "Dokumente und Einstellungen" - weiß jemand, wo genau ich suchen muss?
Weder AV, noch Kaspersky, Malwarebytes oder sdfix hat sie gefunden ....

[pablo.rodriguez]

das mit dem abgesicherten Modus funktioniert auch nur wenn man "abgesicherter Modus mit Eingabeaufforderung" eingibt.

Die Datei findest Du meistens entweder in Deinem Standart-Downloadverzeichniss (wenn Du sie erst gespeichert hast) Wenn Du damals gleich auf Ausführen gegangen bist liegt diese wohlmöglich in Deinem Temporären Verzeichnis.

Start -> ausführen -> %tmp%

Den Inhalt dieses Verzeichnis kann auch gerne komplett entfernt werden. Da befinden sich meist temporäre Dateien aus Installation- oder Surftätigkeiten.

[Feili123]

Zitat:

Zitat von 471112

1. Wäre es nicht einfacher, die 100 € zu zahlen?

Na top 100 eu sind dann wech .
und der vierus ist immernoch da.

rofl

[Terri2307]

Hallo allerseits!

mir ist gestern dasselbe passiert. Wahrscheinlich auf facebook eingefangen....aber wen wundert es.

bei vista hatte auch ich selbst im abgesicherten modus null chance überhaupt zugriff auf irgendwas zu bekommen.
war schon ziemlich angenervt und wollte das book endlich platt machen.
Also griff ich zur Windows--CD und dachte mir, naja ein reparaturversuch kann ja nicht schaden. war aber erfolglos.
Aber die Systemrückstellung, DIE hat tatsächlich funktioniert. Hab dann den Virenscanner nochmal drüberlaufen lassen und es wurde nichts gefunden.
mals sehen ob es so bleibt. werde heut noch nen zweiten scanner prüfen lassen.

Die persönlichen Daten und Dokumente bleiben von der Systemrückstellung völlig unberührt ;-)

[Lisa77]

Hallo,
hab immer noch den Bluescreen und folgende Fehlermeldung:
STOP: 0x0000008E (0xC0000005, 0x8223D3F1, 0x89FA791C, 0X00000000)
Hab schon im Internet gegoogelt, aber nicht wirklich etwas gefunden. Kann mir jemand bittebitte helfen????
Viele Dank!!!!

[ckjthedogmaster]

Ist der Laptop denn zwischenzeitlich normal gestartet?

Hast du die Möglichkeit, deine Dateien zu sichern und das Betriebsystem neu zu installieren?

Das wäre aus meiner Sicht die beste Lösung. Wahrscheinlich hast du deine Systemdateien zerschossen, oder du hast nach wie vor ein Virusbefall auf deinem Rechner. Wenn du auf die Registry zugriff hast, schaue auch bitte mal in folgenden Reg Eintrag:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run nach Mszx23.exe, oder ner .sys Datei.

Bei ner Neuinstallation würde ich dir auch gleich raten von Vista auf Win7 umzusteigen.

Mfg

[devos87]

bitte hilft mir !!!!!!!!!!!!!!!!!!!!
ich habe einen asus ee pc (netbook mit windows 7).also kein laufwerk. bei meinem glück hab ich auch mir den bescheuerten bka trojaner eingefangen. ich habe garkein zugriff mehr wie viele andere hir. Mein problem ist es das ich keine recovery cd habe und auch keinen usb recovery gemacht habe.
kann mir bitte jemand weiter helfen???

ps.: ich habe garkeine ahnung was pc oder sonst was betrifft.

[trim]

1. Festplatte vom PC . Netbook und so weiter raus
2 Wo anders anschließen als 2 Festplatte
3. Wichtigen Daten Rauskopiren
4 Festplatte Löschen und Windows (?) wieder Installieren

PS wer das alleine nich kann es gibt Computerläden die so was auch machen aber trozdem würd ich schrit 1-3 alleine machen kann man geld sparen wen man Windows nich Insallieren kann

[Souldaddy2010]

Auch eine Möglichkeit:

Mit Hilfe des Freeware Tools "WinSetupFromUSB 0.2.3" einen USB Stick mit originalen Betriebssystem erstellen und von ihm aus das Betriebsystem neu installieren.

Das Tool kannst du hier kostenlos runter laden:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Du bräuchtest nur jemand anderes mit einen DVD Laufwerk im PC, eine originales Betriebsystem (oder lädst dir ein Windows untouch in der Version runter, welche du benötigst), und ein 4GB USB Stick. Fertig. Der Rest ist relativ einfach erledigt.