mir wurde auch das bombenlegen durch dieses "Fenster vom BKA" unterstellt und die lösung war eig leichter als ich dachte...
also ich habe PC Technisch genug ahnung um eine begriffe zu kennen jedoch war ich nach einigen Minuten am verzweifeln da nichts ging... (Affengriff etc)
aus "wut" musste dann die Tastenkombi ALT + F4 dran glauben ich hielt die alt taste gedrückt und "kloppte" geschätzte 50 mal auf die F4 Taste und siehe da das Fenster war weg und auch der normale desktop hintergrund hat sich estartet der normale explorer hat sich zwar nicht mehr gestartet und ich musste den PC runter fahren doch dann ging es wieder normal jedoch sobald man eine Virenprüfung macht und diesen Virus findet und auf "Malware neutralisieren" klickt öffnet es sich erneut... und man ist genau da wo man nicht hin will...
also ich kann dir keine tipps zum löschen geben aber dann kannst du wenigstens wieder normal googlen obwohl es immer recht gefährlich its mit Malware noch zu surfen..
Ich bin gerade mit der Italienischen Version konfrontiert worden... Sie war anscheinend von dem gleichen 'Hersteller' (Bundeskriminalamt-Email-Adresse)... Ich weis nicht, ob diese Version vergleichbar ist, aber ich musste ehrlich lachen.
Ich habe bei meinem PC 2 Bildschirme, der Virus tauchte auf und deckte einen ab... Der 2. funktionierte noch problemlos.
Hab dort Lösungen gegoogelt... Waren mir zu aufwändig... Habe dann einfach per Rechtsklick->Bildschirmauflösung meinen 2. Bildshcirm zum Main-Bildschirm gemacht und dann bei der Suche das Setup für Avira gesucht. (Habe normalerweise keine Virensoftware drauf) Also hab ich kurzer Hand Avira installiert, kurzen Scann drüberlaufen lassen, nach 30 Sekunden wurde der Virus gefunden und gelöscht. Reboot, fertig.
Ich weis net, ob dieser Lösungsweg anderen auch hilft, aber naja... einfach nen 2. Bildschirm dranhängen^^
Ich hoffe ich konnte irgendjemandem helfen und es ist nicht komplett veraltet^^
Danke für den Tipp mit dem 2. Bildschirm. Das bringt neue Erkenntnisse.
Dennoch ist es wohl eher empfehlenswert mit einem sauberen Rechner bzw. von einer Live-CD nach einer Lösung zu suchen und nicht mit einem verseuchten Semi-Zombie rumzusurfen...
__________________
Bitte keine Supportanfragen per PN! Dafür ist das Forum doch da.
internetverbindung trennen, normalerweise startet nach dem zweiten oder dritten systemstart der explorer, wenn nicht, versuch es über die alt+tab, du mußt irgendwie in die regedit kommen, dort den taskmanager wieder aktivieren, wenn dir die zeit nicht bleibt, geh gelcih beim start in den autostart und lösche dort die angegebene dll raus, danach hast du in der regel mehr zeit, danach in der msconfig noch alle programme rausnehmen, die dort nix zu suchen haben ...
hatte das ding schon zweimal und bin es dank sauberen laptops wieder losgeworden ...
den taskmanager aktivierst du wieder hier:
HKEY_CURRENT_USER
Software
Microsoft
Windows
CurrentVersion
Policies
System
dann den wert auf "0" setzen (müßte auf 1 stehen)
zur not geht das auch über den abgesicherten modus und ist mit panikattacke in 20 minuten erledigt ...
Inzw. sind Versionen unterwegs, die derzeit weder Malwarebytes, noch sonstwas erkennt oder entfernt. Ich hatte vorgestern das Vergnügen mit so einem Gesellen, und den hat nicht mal ComboFix erkannt, geschweige denn beseitigt.
Mein AVG hat zwar den driveby-download des Bot-Setups erkannt und Alarm gegeben, aber der Hersteller dieser Malware wirbt ja damit, daß sie selbst dann noch an der UAC vorbei seinen Bot installieren kann. Die Setups (meist Filenamen aus etlichen Ziffern) löschen sich nach Installation des Bots selbst. Der Bot selbst enthält nicht viel, an dem die Scanner ihn erkennen könnten.
eingetragen* und die Berechtigungen des Zweigs Windows manipuliert. Normalerweise sind die vom nächsthöheren Objekt vererbt. Der Bot ersetzte diese Einstellung durch den Eintrag "Alle" und "nur lesen". Das muss man rückgängig machen, um ihn löschen zu können.
Diesen Eintrag checken derzeit alle Scanner nicht. Weiß der Geier, warum. Der Bot lässt sich von einem anderen User-Account aus mit dem Taskmanager beenden.
Hinweis: Jeder sollte einen aktivierten (PW-geschützt) Admin-Account in Reserve haben! In solchen Fällen ist das ausgesprochen nützlich.
Vorgehensweise: In befallenen Account einloggen, Bot starten lassen, dann per Affengriff zum Anmeldebildschirm, in den Adminaccount einloggen, Taskmanager starten, Haken bei "Prozesse aller User anzeigen" setzen. Dann austesten, hinter welchem Task der Bot steckt, indem man die Tasks abschiesst, und nachsieht, ob das Trum noch aktiv ist. Bei mir war es ein "svchost.exe", an den der sich angehängt hatte.
Sobald der Bot nicht mehr aktiv ist, kann man in den betroffenen Account gehen, einen Scanner starten (was bei der hier beschriebenen Variante derzeit nicht hilft), oder das Teil manuell beseitigen. Autorun-Einträge aller Art, die auf Files in Temp-Ordnern zielen, sind grundsätzlich faul! Bots, die im System herumfummeln, werden von Scannern gefunden. Solche, die das nicht tun, kann man manuell in den Autostarteinträgen finden und durch einfaches Löschen beseitigen.
Zusatzhinweis: Das Löschen aller Files in allen Tempordnern hilft, wenn man keinen zweiten Account hat. Das kann man zur Not auch von einem anderen System aus tun, d. h. mit der Reparaturkonsole oder bootfähigen CDs/DVDs/Sticks/etc. Niemand muss wegen dieser Malware sein System neu installieren!
* Der Filenamen wird zufällig generiert, kann also bei jedem anders lauten. Entscheidend ist der Aufenthaltsort.
Hallo! Habe mir eben den virus über irgendeinen google-link eingefangen und dann sofort sobald ich den bildschirm gesehen und "ihr betriebssystem wird gesperrt" gelesen habe, den laptop per aus-knopf ausgeschaltet. seitdem ist er aus und ich hab absolut keine ahnung, was jetzt zu tun ist..
ich hätte vor allem drei Fragen.. wär super wenn ihr mir helfen könnt.
- war es ein fehler den laptop so schnell auszuschalten?
- sind die daten noch zu retten? es sind zwar nicht viele, aber teilweise sehr wichtige daten drauf..
- welcher ist der leichteste, unkomplizierteste weg den virus zu löschen? (besitze kein cd laufwerk)
ich weiss echt nicht, wo ich anfangen soll.. und welcher weg der sicherste und unkomplizierteste ist.
würde mich wirklich sehr freuen, wenn mir jemand ernsthaft helfen würde, auch wenn die antwort wahrscheinlich schon mehrere male hier gepostet wurde
danke!!
...ich hab absolut keine ahnung, was jetzt zu tun ist..
Da du schon im richtigen Thread bist, würde ich dir raten ihn mal grob zu überfliegen und dir ein Bild von dem Virus und Vorgehensweisen zu machen.
Zitat:
Zitat von dark.shadow9
ich hätte vor allem drei Fragen..
war es ein fehler den laptop so schnell auszuschalten?
sind die daten noch zu retten? es sind zwar nicht viele, aber teilweise sehr wichtige daten drauf..
welcher ist der leichteste, unkomplizierteste weg den virus zu löschen? (besitze kein cd laufwerk)
Nö, in den meißten Fällen passiert nichts. Es kann halt zu Datenverlusten führen, wenn gerade ein Programm wie Word, etc. gerade am arbeiten war und nicht zwischengespeichert wurde. Falls du nur am surfen warst, Musik gehört hast, hast du nichts zu befürchten.
Was besitzt du denn für einen Rechner? Je mehr Infos du uns gibst desto einfacher machst du es uns dir zu helfen. Mit einem Boot-Stick könnte man dein Netbook(?) starten und die Daten auf ein externes Laufwerk kopieren.
Der ist gut
Zitat:
Zitat von dark.shadow9
ich weiss echt nicht, wo ich anfangen soll.. und welcher weg der sicherste und unkomplizierteste ist.
Gehe bitte auf die folgende Seite, schau welche Version du dir eingefangen hast und versuch mal, so gut es geht, die Anweisungen zu befolgen: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Zitat:
Zitat von dark.shadow9
würde mich wirklich sehr freuen, wenn mir jemand ernsthaft helfen würde, auch wenn die antwort wahrscheinlich schon mehrere male hier gepostet wurde
danke!!
Du willst es dir etwas zu einfach machen, da der Thread wohl zu viele Beiträge enthält. Dennoch wirst du hier Hilfe bekommen wenn du etwas Eigeninitiative zeigst und dich vorweg informierst.
__________________
Bitte keine Supportanfragen per PN! Dafür ist das Forum doch da.
Gehe bitte auf die folgende Seite, schau welche Version du dir eingefangen hast und versuch mal, so gut es geht, die Anweisungen zu befolgen: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
hi Osiris
jo, jetzt weiß ich auch welchen ich auf platte hatte, war typ 1.02
hi dark.shadow9
wenn du mit eingeschränktem benutzerkonto unterwegs warst, dann wär die sache jetzt wahrscheinlich n klacks den virus raus zu schmeißen, ich befürchte allerdings das die meisten leute eh mit ihrem admin konto im netz surfen.
schnell ausschalten bringt eh nix, das ding ist auf alle fälle voll auf platte.
kannst auch ruhig den laptop mal hoch fahren.
ich hab meine info wie ich den virus los geworden bin in einen anderen thread geschrieben, da steht auch wie du ihn erst mal umgehen kannst, so das du mit dem betriebssystem überhautp wieder arbeiten kannst, weiß allerdings nicht ob man so alle typen dieses virus umgehen kann.
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
der virus scheint ja ne menge kohle ein zu spielen, wobei ich mir nicht vor stellen kann das da jemand wirklich geld überweist!
Hallo! Habe mir eben den virus über irgendeinen google-link eingefangen und dann sofort sobald ich den bildschirm gesehen und "ihr betriebssystem wird gesperrt" gelesen habe, den laptop per aus-knopf ausgeschaltet. seitdem ist er aus und ich hab absolut keine ahnung, was jetzt zu tun ist..
Genau das wollen die damit erreichen.
Die Verbreitung ist ja nun gezielt. Wie man z.b an iload.to sieht.
Hinzu kommt, das sie nun auch in Keygens eingebunden sind. Da sind speziall die von "ZWT keygen" betroffen.
Aktuelles Analyseergebnis von [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ].
Beachtlich, das immer noch kein großer Virenprogrammhersteller reagiert hat.
Der Keygen meldet: It's works fine und dann bekommste diesen Bildschirm zu sehen.
Da im abgs. Modus die Tastatur deaktiviert ist, hat man darüber schonmal keine Chance. Deshalb ist es eigentlcih nicht verkehrt, wenn man sich auf jeden Fall eine Rettungscd anlegt, mit der man im besten Fall ncoh was retten kann.
Danke erstmal für die Antworten..
Habe ein Dell Inspiron 1090 mit Windows 7.
muss ich mir in irgendeiner weise sorgen um meine Daten auf der festplatte machen?
Bin ich mit dem strikten Befolgen der Anleitung auf bka-trojaner.de als jemand der von cmd-krams absolut keine ahnung hat, auf der sicheren seite?
schliesslich bin ich als admin unterwegs gewesen, und hab noch nicht nahgeschaut, um welche version es sich handelt.
oder ist solch ein boot-stick sicherer? und wo bekomm ich sowas her..?
danke an euch
edit:
achja und ich hab grad im post #117 das hier gelesen..
Zitat:
Zitat von shadow4ever
Ich hatte diesen *netten* Virus auch :/
Unter Windows 7 ließ er sich aber durch einen leichten Trick den ich von einem Kumpel bekam sehr leicht entfernen.
Über abgesichterten Modus reingegangen und mit dem Ccleaner die Temp Dateien des iexplorers gelöscht und... er war weg =)
ist da was dran?? klingt auf jeden fall unkomplizierter als andere anleitungen..
edit2:
also. wie gesagt habe ich einen dell inspiron mit windows7.
welcher weg ist empfehlenswert?
a) post #110, der allgemein empfohlen wird
b) die anleitung auf bka-trojaner.de
c) der oben zitierte weg mit ccleaner
d) mit einem boot-stick / recovery-stick
Auf bka-trojaner.de hast du schon eine oordentliche Anleitung. Allein CCleaner hilft dagegen absolut nicht.
Deine Daten sind bei reinem Bka-Trojaner nicht in Gefahr.
Der eine sagt, er habe den sso entfernt, der andere hat ihn so entfernt....
Sicher ist nur, das anfangs der Trojaner nicht so weit verbreitet war und "pablo´s" post *110 sehr gut funktionierte.
Mittlerweise ist der Trojaner mutiert, und die Wege zur Entfernung sind besser erprobt.
Eine Entfernung ist aber trotzdem nicht, er wird unschädlich gemacht.
muss ich mir in irgendeiner weise sorgen um meine Daten auf der festplatte machen?
Die Frage habe ich doch schon beantwortet. Solange du deine Platte nicht formatierst oder sie irgendwie schredderst passiert deinen Daten nichts. Die Daten kannst du im Notfall mit einem Boot Stick aka Rescue Stick auf einen anderen Datenträger sichern.
Zitat:
Bin ich mit dem strikten Befolgen der Anleitung auf bka-trojaner.de als jemand der von cmd-krams absolut keine ahnung hat, auf der sicheren seite?
Joa, insofern es sich nicht um die neueste Variante handelt. Die Seite ist schließlich vom Bundesamt für Sicherheit...
Zitat:
...und hab noch nicht nahgeschaut, um welche version es sich handelt.
Warum hast du denn nicht nachgeschaut? Vielleicht hast du ja eine der früheren Versionen, bei denen die Entfernung mittlerweile nicht mehr so schwer ist. Abgesehen davon, ist die Seite für Leien gemacht und daher mit vielen Bildern und Erklärungen versehen.
Zitat:
oder ist solch ein boot-stick sicherer? und wo bekomm ich sowas her..?
Kaspersky leistet da gute Dienste. Habe einfach mal nach Rescue Stick gesucht und das [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] gefunden, allerdings jetzt nur auf Englisch.
Hier ein gutgemeinter Rat: du kannst auch google oder andere Suchmaschinen bemühen und wenn du eine Antwort nicht findest, oder nicht weiterkommst im Forum nachfragen. Es ist mühselig jeden Punkt zu erklären. Das macht man vielleicht ein oder zwei mal und entzieht sich dann irgendwann der Hilfestellung.
Zitat:
welcher weg ist empfehlenswert?
b) die anleitung auf bka-trojaner.de
....
d) mit einem boot-stick / recovery-stick
Halte dich an b), da dort auch die Wege vorkommen, die im Forum erwähnt werden. Die Seite hat auch den Vorteil, dass dort der "richtige" Weg besser dokumentiert ist als von irgendwelchen Usern die mit der shot gun Methode alles Mögliche ausprobieren und irgendwann nicht mehr wissen, an welchem Schritt es letzten Endes gelegen hat.
Punkt d) ist übrigens auch in Punkt b) enthalten.
Hier noch mal, geh auf die Seite, schau welche Version du hast und versuch dich an die Anleitung zu halten. Ich persönlich würde die Gelegenheit ergreifen und meine Daten sichern, die Platte formatieren, Windows neuinstallieren und in Zukunft allgemeingültige Regeln bezüglich der Sicherheit auch einhalten.
__________________
Bitte keine Supportanfragen per PN! Dafür ist das Forum doch da.
Postet nicht so viel Hörensagen. Ich fass mal zusammen, was ich sicher weiß:
a) Dieser Trojaner ist nicht auf Adminrechte angewiesen. Er befällt auch eingeschränkte Accounts.
b) Dieser Trojaner befällt Windows-Systeme über jeden existierenden Browser, auch wenn alle Komponenten auf aktuellem Updatestand sind.
c) Dieser Trojaner kann leicht und rückstandslos entfernt werden. Das System ist anschliessend so sicher wie vorher auch. Formatieren ist Blödsinn.
d) Dieser Trojaner wird von keinem existierenden Virenwächter aufgehalten. Seine jüngeren Versionen werden derzeit von keiner Scansoftware gegen Viren erkannt.
Fast alle Varianten dieses Trojaners liegen in einem der Temp-Ordner der Benutzerverzeichnisse. Wer einen Adminaccount hat, möge über den einloggen, die Anzeige der versteckten Dateien und der Systemdateien einschalten, und an folgenden Orten nachsehen:
Dort muss jedes File mit der Endung ".exe" oder der Endung ".com" gelöscht werden. In einem dieser Ordner befindet sich das Executable, das den Account blockiert. Der bequemste Weg ist die Windows-Suche nach ".com" und ".exe" auf den gesamten Ordner "C:\Users\%Benutzername%" anzuwenden, und alle Funde zu löschen.
%Benutzername% muss durch den richtigen Namen ersetzt werden, und die Anzeige von versteckten Dateien und Systemdateien aktiviert: Ordneroptionen -> Ansicht -> Haken bei "Geschützte Systemdateien ausblenden" wegnehmen, und etwas tiefer bei unter "Versteckte Dateien und Ordner" den Punkt bei "Ausgeblendete Dateien, Ordner und Laufwerke anzeigen" setzen.
Alternativ das folgende S***** per Copy & Paste auf dem Desktop als "Toggle Hidden.vbs" speichern:
PHP-Code:
Hidden = "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden" SHidden = "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden" Set Sh = WS*****.CreateObject("WS*****.Shell") St = Sh.RegRead(Hidden) If St = 2 Then Sh.RegWrite Hidden, 1, "REG_DWORD" Sh.RegWrite SHidden, 1, "REG_DWORD" Else Sh.RegWrite Hidden, 2, "REG_DWORD" Sh.RegWrite SHidden, 0, "REG_DWORD" End If Sh.SendKeys("{F5}")
Das schaltet alle versteckten Dateien sichtbar, wenn sie unsichtbar sind, und wieder unsichtbar, wenn sie sichtbar sind, ist also praktisch ein bequemer Wechselschalter für die Anzeige versteckter Dateien.
Hab mir jetzt nicht alles durchgelesen. Aber meine Freundin hats hinbekommen ihn auch auf mein Laptop zu machen -.-
Naja erste mal so ein Virus.
PC in den abgesicherten Modus. Datei ausm autostart raus und gib ihm
weg war er lol
Normal hoch gefahren Virenprogramm drübber und nie wieder gehabt
Danke an alle, die geholfen haben, bin den Virus/Trojaner heute losgeworden. (windows7)
Habe zuerst mein Wlan ausgestellt und anstatt des BKA Bildschirms kam Firefox mit "Seite nicht verfügbar". keine Ahnung obs was gebracht hat. Der Taskmanager hat sich trotzdem immer wieder automatisch geschlossen, und das Fenster ließ sich nicht schließen.
Hab mich abgemeldet, neu angemeldet, und bevor irgendetwas geladen wurde, habe ich den taskmanager geöffnet und alle Prozesse die "iskcmy.exe" oder so hießen, schnell geschlossen.
Ich hatte wieder halbwegs normalen Zugriff auf alles, hab einmal den CCleaner, Spybot S&D und Malwarebytes durchlaufen lassen, Avira neu installiert, auch durchlaufen lassen. Ich glaube, nur Malwarebytes hat was gefunden.
Und das wars! Laptop läuft wieder wie vorher, der Virus scheint doch nicht so schlimm gewesen zu sein, wie ich dachte.
PC in den abgesicherten Modus. Datei ausm autostart raus und gib ihm
weg war er lol
Die eine oder andere Version hat schon so einiges an Heidenarbeit verursacht, und da bist du dir wirklich sicher, dass du ihn los bist? Ein anderer user hatte auch schon rumgeprotzt wie einfach es gewesen wäre, ihn loszuwerden. Nach einem Scan mit Malwarebytes hieß es: "oh der befand sich noch im Temp. Ordner" oder so ähnlich
Zitat:
Zitat von Hodi
Normal hoch gefahren Virenprogramm drübber und nie wieder gehabt
Wie schon andere bemerkt haben, Virenprogramme finden den nicht unbedingt... nur weil etwas auf Anhieb nicht gefunden wird, heißt es nicht, dass es ihn nicht gibt
__________________
Bitte keine Supportanfragen per PN! Dafür ist das Forum doch da.
Es scheint wohl eine frische Version von diesem BKA- Drecksding zu geben. Habe ihn mir gerade eingefangen.
Zum Aussehen: Kein weißer Bildschirm mehr mit der Meldung, jetzt wird der Desktop in ein hässliche monotones Grün gefärbt, das dabei aufpoppende Fenser des BKA- Virus ist nun schwarz und unter der üblichen Anschuldigung ist jetzt eine Dropdown- Liste, welche tatsächlich vorhandene geladene Dateien beinhaltet, gruppiert in Video, Musik und Torrent. Darunter befinden sich zwei Schaltflächen, eine in Rot, welche die "Angelegenheit an das Gericht übergibt", und eine in Grün, welche mir suggeriert per PaySafeCard- Zahlung mein Strafregister zu tilgen. Natürlich lässt der Virus keinerlei Aktivitäten außerhalb seines Fensters zu. Der Taskmanager lässt sich zwar starten bzw. der Affengriff bringt mich in das Windows 7- Admin- Auswahl- Dingens, aber auch das lässt mich nach Auftauchen des Virenfensters allerhöchstens den Rechner neu starten.
Herkunft: Heute beim Surfen auf myGully hat er zugeschlagen, aber wer weiß, wann ich ihn mir wirklich eingefangen habe. Viele Möglichkeiten gibts da nicht außer iload, mygully, gw2guru, gbatemp und isnichwahr. Hat mein System schleichend infiltriert, denn auch Avira hat versagt. Sogar der Echtzeitscanner ließ sich nicht mehr aktivieren.
Bekämpfung: Windowsstart im abgesicherten Modus und eine Systemwiederherstellung auf den Zeitpunkt vor dem Windows- Update vom 30.03.12 haben es mir zumindest ermöglicht, den Computer wieder ganz normal zu benutzen. Die anschließende Reparatur des Antivirus ließ auch den Echtzeitscanner wieder starten, die folgende komnplette Systemüberprüfung brachte bisher nichts außer einer Warnung vor einem versteckten Objekt bei der Datei "ntll.dll"
Aussichten auf Erfolg: Keine. Da wird wohl wieder eine NEuinstallation mit vorheriger Formatierung der gesamten Platte hermüssen, damit auch der letzte Rest von dieser dreckigen Bazille getilgt ist.
Sowas wird doch von professionellen Programmierern gemacht, können die ihr Talent nicht mal nutzen um vernünftiges Geld mit ehrlicher Arbeit zu verdienen?
eingeschränktes benutzerkonto zum surfen einrichten!!
man kann übrigens auch einzelne programme bei einem eingeschränktem benutzerkonto mit admin rechte laufen lassen, einfach dazu auf die verknüpfung des programmes gehen, rechte maustaste, und ausführen als "und ein benutzerkonto mit admin rechten auswählen"!!
also alles kein problem, warum also nicht ständig, bzw fast immer mit eingeschränktem benutzerkonto surfen!! so kann sich kein programm über die registry installieren, und ob eine exe datei in einem temp ordner vergammelt, uninteressant!!
ich ärgere mich sogar das ich die beiden dateien gelöscht habe, aber man ist ja eben meist doch etwas voreilig!!
mit eingeschränktem benutzerkonto macht mir dieser virus sicher keine probleme mehr, ok kann natürlich doch noch mal den desktop zumüllen, aber, den bin ich in unter 5 minuten wieder los!!
übrigens, hab gestern versucht bei windows von einem adminkonto aus, den autostartordner eines eingeschränkten benutzerkontos so zu blokieren, das man da nur noch mit adminrechten etwas rein kopieren kann! ging nicht !!!
hab dann den ordner komplett gelöscht, und habe eine txt datei (mit dateierweiterungsanzeige) mit namen Autostart.txt erstellt, diese dann in Autostart umbenannt, ok ging, aber dennoch erstellt windows immer einen neuen ordner mit namen Autostart!!!
für mich ist es schon eine schwäche, dass man eben bei einem eingeschränktem benutzerkonto den autostartordner nicht durch adminrechte blockieren kann!!!
habe jetzt mehr aus jux comodo firewall installiert, da kann man auch den autostartordner einbeziehen!! http://s7.************.net/images/120403/qpgre6ds.jpg_
...s7.************.net/images.... (trotz nur gut 20 kb evtl dennoch zu groß?? über 600 pix breit!! ?? (müßt ihr euch selbst zusammen zimmern)
(ne, bilderhoster wird wohl nicht akzeptiert, ich gebe auf )
also netzwerkmäßig hab ich echt keinen plan, könnte aber evtl den virus blocken!!
und wie gesagt, scheiß drauf ob eine jämerliche exe datei in einem temp ordner versauert, wurde ja nie installiert!!
gleiches gilt für die dll datei!!
edit:
und die, die unbedingt weiter mit admin rechten surfen wollen, dann am besten sofort erstmal eine registry sicherung machen
start--> ausfühen (regedit eingeben, und ok)
dann datei-->exportieren (exportiert die komplette registry)
nach jeder neuen programminstallation diese prozedur wiederholen, und sich zeitliche notitzen dazu machen!
später kann man die exportierte registry jederzeit wieder importieren, nur, man darf zwischenduch nicht die exportierte reg.datei mit admin rechten anklicken, denn dann "importiert" sich diese reg datei bei mausklick.
es ist übrigens auch keine schlechte idee die reg daten vor einer "fraglichen" programm-neu-installation in gleicher weise vorher zu sichern, hatte man es dann wirklich mit dreck zu tun, kann man den alten zustand der registry durch import leicht in den alten zustand bringen, mit admin rechten natürlich.
habe hier bei gulli gelesen, das diese zecken nichtmal vor eingeschränkten konten halt machen.....die registery so zu blocken, das änderungen nicht möglich sind, wäre wohl erstmal das einzige, was diese MISTVIECHER stoppen kann.....langsam juckt es mir inne finger, diese teile mal über einen deassembler zu jagen und dann mal schauen, wie die so abgehen......wenn jemand mir mal diese rohdatenpest bereitstellen könnte.....wäre dankbar
und das wir hier bei gulli von den machern observiert werden........sollte uns allen klar sein........finden wir eine lösung, basteln die wieder einen neuen mutanten.......habt ihr berufsverbrecher aus st petersburg denn wirklich nix besseres im kopp als russenscheisse ????? der dreck kommt nämlich immer aus dieser verkackten stadt........
pfui pfui spinne......schämt euch
hi stanleybeamish
ja, eingeschränkte benutzerkonten ist keine schranke, allerdings mit blockierung der registry ists dann nu mal sicherlich nicht getan!!
aber, vermutlich der größte teil der user welche eingeschränkte benutzerkonten benutzen, sollten auch klar kommen wenn sie befallen sind!!
edit:
user welche keine eingeschränkten benutzerkonten benutzen, wissen wahrscheinlich eh nicht warum man überhaupt solche benutzen sollte!!
unter der üblichen Anschuldigung ist jetzt eine Dropdown- Liste, welche tatsächlich vorhandene geladene Dateien beinhaltet, gruppiert in Video, Musik und Torrent.
Würdest Du uns bitte mal genauer erklären, was "tatsächlich vorhandene geladene Dateien" bedeuten soll? Du willst uns doch nicht ernstlich erzählen, dieses Scherzprogramm hätte Deine Festplatten gescannt, mal eben alle Videos, Musik und Torrents analysiert, und per Kristallkugel-Plugin (oder wie auch immer) überprüft, welche davon tatsächlich bezahlt sind und welche nicht?
Zitat:
Der Taskmanager lässt sich zwar starten bzw. der Affengriff bringt mich in das Windows 7- Admin- Auswahl- Dingens, aber auch das lässt mich nach Auftauchen des Virenfensters allerhöchstens den Rechner neu starten.
Janun, das machen alle Varianten seit einem Jahr so. Hindert niemanden daran, mit einem anderen Account einzuloggen und von dort aus dem Spuk ein Ende zu bereiten.
Zitat:
Herkunft: Heute beim Surfen auf myGully hat er zugeschlagen, aber wer weiß, wann ich ihn mir wirklich eingefangen habe. Viele Möglichkeiten gibts da nicht außer iload, mygully, gw2guru, gbatemp und isnichwahr.
Die Verbreitung erfolgt über Werbeeinblendungen. Die Verbrecher haben sich in einige der Werbepools eingeschlichen, sodaß es wenig nützt, die Seiten zu kennen, auf denen man sich das Ding eingefangen hat. Es ist heute hier und morgen da. Die betroffenen Foren- und Blogbetreiber sind dagegen machtlos und könnten höchstens die gesamte Werbung canceln.
Zitat:
Hat mein System schleichend infiltriert, denn auch Avira hat versagt.
Das ist auch schon seit längerem so.
Zitat:
Die anschließende Reparatur des Antivirus ließ auch den Echtzeitscanner wieder starten, die folgende komnplette Systemüberprüfung brachte bisher nichts außer einer Warnung vor einem versteckten Objekt bei der Datei "ntll.dll"
Auf einem zurückgesetzten System befinden sich von diesem Schädling keine Reste mehr. Da lohnt das Suchen gar nicht.
Zitat:
Aussichten auf Erfolg: Keine. Da wird wohl wieder eine NEuinstallation mit vorheriger Formatierung der gesamten Platte hermüssen, damit auch der letzte Rest von dieser dreckigen Bazille getilgt ist.
Verbreite nicht so einen Quark. Ich werde den Verdacht sowieso schon nicht los, Du erzählst uns hier einen vom Pferd.
Zitat:
Sowas wird doch von professionellen Programmierern gemacht, können die ihr Talent nicht mal nutzen um vernünftiges Geld mit ehrlicher Arbeit zu verdienen?
Tun sie doch. Die Lücke haben uns die servilen Profis von Microsoft geliefert, um damit ihren stattsbürgerlichen Beitrag zu leisten. Die Botnetz-Software kommt von einer Profi-Schmiede. Ist wohl für andere Zwecke gedacht. Dass die großen Anbieter von Antivirensoft gekonnt weggucken (Wer u. a. Schreibzugriffe auf Windows/Load nicht bemerkt, der will sie nicht bemerken), verdanken wir der Gesellschaftsfähigkeit infantiler Ideen und krankhafter Servilität. Die gehören alle weggesperrt.
Derzeit ist jedes Windows ein schweizer Käse, und das nicht etwa zufällig. Der genutzte Exploit ist seit einem Jahr bekannt. Wenn sowas nicht abgestellt wird, dann weil man es nicht abstellen will, und nicht etwa weil man nicht könnte.
hi agehill
da hast du unbedingt recht, blockieren der reg wäre pillipalle.....hab diese DRECKSVIECHER mal genauer beobachtet.....die kommen als " Drive by Download " erstmal unmöglich , das zu stoppen...dann basteln sie sich im tempordner zusammen und schiessen alle tasks ab....also auch spybot und andere tools, die die reg schützen könnten.....die wird dann modifitiert, damit der neustart mal was neues zeigt unseren freund aus dem osten und weil windows wie oben beschrieben ein schweizer käse ist, kann man nur hoffen, nicht infected zu werden....es reicht ein filmchen bei youtube oder ähnliches, was der gewohnheit zufolge als ungefährlich empfunden wird....wenn man schnell genug arbeitet, kann man versuchen, den taskmanager vor aktivierung der zecke zu starten und schnell alles abschiessen, was sich da als unbekannt zeigt....dann läuft windows erstmal...im tempordner ist dann eine unbekannte *.exe, habe eine kopie von explorer.exe gebastelt , die genauso genannt und den dreck überschrieben....ging, aber das ist keine lösung für normaluser.....durchs überschreiben hab ich depp mir die möglichkeit genommen, das ding mal auszuspionieren, macht nix, werd schon noch einen zu fassen kriegen. mit windows wäre das eh kaum möglich, womöglich aktiviert der sich auch noch beim deassemblieren wenn ich nicht aufpasse....und weil der alle tasks abschiesst, wäre ich wieder am anfang...
Bevor noch weiter geraten wird schaut hier mal nach: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] Da findet man recht einfach den jeweils passenden und hilft bei den gängigsten Varianten von Bundespolizei-, GEMA-, BKA-Trojaner, usw.
__________________
The problem of human is not human beeing itself, but rather what makes him so human!
Meine Schwester hatte vor 2 Tage eine Variante des GEMA Trojaners auf dem Laptop, der sogar den Task Manager Blockiert hat und im Abgesicherten Modus aktiv war.
Konnte Ihn nur dank der Kapersky Rescue Disk 10 entfernen.
Zitat:
Zitat von pablo.rodriguez
vielleicht gehts auch ganz einfach...
probier es doch mal, dass Du via Affengriff (strg + alt + entf) den Taskmanager startest...
Dort dann auf
"Datei -> Neuer Task" drücken
füge bei Ausführen folgendes ein:
reg add "hklm\Software\microsoft\Windows nt\currentversion\winlogon" /v shell /t REG_SZ /d explorer.exe /f
Das sollte eigentlich auch helfen...
Ich weiß zwar nicht ob sich der Virus auch in den Autostart schreibt.
Falls ja, anschließend noch die RegistryPfade:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
und
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
nach unbekannten Prozessen kontrollieren und ggf. raus löschen
Zur Sicherheit eventuell hier nochmal nachfragen.
Würdest Du uns bitte mal genauer erklären, was "tatsächlich vorhandene geladene Dateien" bedeuten soll? Du willst uns doch nicht ernstlich erzählen, dieses Scherzprogramm hätte Deine Festplatten gescannt, mal eben alle Videos, Musik und Torrents analysiert, und per Kristallkugel-Plugin (oder wie auch immer) überprüft, welche davon tatsächlich bezahlt sind und welche nicht?
Janun, das machen alle Varianten seit einem Jahr so. Hindert niemanden daran, mit einem anderen Account einzuloggen und von dort aus dem Spuk ein Ende zu bereiten.
Die Verbreitung erfolgt über Werbeeinblendungen. Die Verbrecher haben sich in einige der Werbepools eingeschlichen, sodaß es wenig nützt, die Seiten zu kennen, auf denen man sich das Ding eingefangen hat. Es ist heute hier und morgen da. Die betroffenen Foren- und Blogbetreiber sind dagegen machtlos und könnten höchstens die gesamte Werbung canceln.
Das ist auch schon seit längerem so.
Auf einem zurückgesetzten System befinden sich von diesem Schädling keine Reste mehr. Da lohnt das Suchen gar nicht.
Verbreite nicht so einen Quark. Ich werde den Verdacht sowieso schon nicht los, Du erzählst uns hier einen vom Pferd.
Tun sie doch. Die Lücke haben uns die servilen Profis von Microsoft geliefert, um damit ihren stattsbürgerlichen Beitrag zu leisten. Die Botnetz-Software kommt von einer Profi-Schmiede. Ist wohl für andere Zwecke gedacht. Dass die großen Anbieter von Antivirensoft gekonnt weggucken (Wer u. a. Schreibzugriffe auf Windows/Load nicht bemerkt, der will sie nicht bemerken), verdanken wir der Gesellschaftsfähigkeit infantiler Ideen und krankhafter Servilität. Die gehören alle weggesperrt.
Derzeit ist jedes Windows ein schweizer Käse, und das nicht etwa zufällig. Der genutzte Exploit ist seit einem Jahr bekannt. Wenn sowas nicht abgestellt wird, dann weil man es nicht abstellen will, und nicht etwa weil man nicht könnte
.
Nun, das will ich hiermit gerne - wenn auch recht spät - tun. Hier ein Screenshot, den ich mit meinem Handy geschossen habe:
Ich erzähle also einen vom Pferd, ja? Das habe ich ehrlich gesagt nicht nötig. Das ist der BKA- oder Wasauchimmer- Virus, der sich bei mir vor zwei Monaten eingeschlichen hat. Entsprechend meines vorangegangenen Posts habe ich ihn beseitigt. Und ich traue eben einer einfachen Systemwiederherstellung nicht, weil das nicht unbedingt bedeutet, dass er wirklich weg ist. Und zwar weg von allen Partitionen.
wie auch schon in meinen posts kann ich nocheinmal aus andere quelle zeigen,
wies funtzt. auf YT sind ein paar videos von einem typen, der das echt gut erklärt ..
Ich erzähle also einen vom Pferd, ja? Das habe ich ehrlich gesagt nicht nötig. Das ist der BKA- oder Wasauchimmer- Virus, der sich bei mir vor zwei Monaten eingeschlichen hat.
Meiner Meinung nach wird dieser Virus bereits von zig Trittbrettfahrern benutzt, so das es mittlerweise zig andere Versionen gibt, und es werden sicher noch genug folgen.
An die Hintemänner, bzw. wo das Geld hingeht lässt sich auch nicht zurückverfolgen...
Das einzige was immo wirklich übel ist, das man das System so gut wie garnicht vor dem Virus schützen kann, geschweige im Netz erkenen kann. Ein Virenscanner ist da im Grund komplett untauglich...
Man kann halt nur wie bereits schon des öftern gesagt wurde, durch Addons wie Nos*****, etc.. und deaktiviertem Java den Browser sicherer machen.
Das schützt wiederum nicht vor der Variante, die sich in den Keygens befindet. Dort wird meist der Virenscanner deaktiviert, der Keygen gestartet und zack ist der Pc lahmgelegt.
Und für Laien, ist das überhaupt nicht mehr zu beheben...
Also ich finden den letzten Satz unten rechts am besten: "Sie haben auch die Möglichkeit, alle Ihre Vorstrafen aus der Datenbank zu entfernen."!
Oh wie geil, ich bin also dann nicht mehr vorbestraft wegen Körperverletzung, Diebstahl, Einbruch oder Mord wenn ich 100€ zahle.
Was ich aber nicht verstehen kann, ich bin nun ja nicht gerade wenig im Web unterwegs und ich habe bis heute mir so ein Ding nicht eingefangen. Ob es wohl doch so was wie einen "Sicheren PC" gibt und ein User der davor sitzt und weiß was er macht?
__________________
Meine Liste was wir nicht brauchen: GVU, GEMA, GEZ, Religionen, Radikale(Rechts o. Links), Kriege, Drogen, Steuerverschwendung, TTIP, Zahnbürste mit Bluetooth, Helene Fischer
An die Hintemänner, bzw. wo das Geld hingeht lässt sich auch nicht zurückverfolgen...
Und für Laien, ist das überhaupt nicht mehr zu beheben...
schau dir die obig gennanten videos an . der zeigt dir genau, welche domains unter welchem namen, von welcher ip und kreditkarte verwendet werden .
extra, damit ihr die daten ans bka bzw die polizei weitergeben könnt.
( ansonsten wären die damit ja wohl total überfordert ^^ )
das ist sehr wohl von laien zu beheben. wie gesagt. das video zeigt genau wie man gegen jede möglichen versionen deser software
( welches KEIN virus ist sondern eine Hijack-Schadsoftware )
vorgehen kann.
Bevor irgendein müll gepostet wird, bitte, liebe user, labert nicht einfach nur mit halbwissen rum, sondern informiert euch voher!
Zitat:
Zitat von stanleybeamish
sehr interessant......was diesen virus betrifft.....
Bundespolizei Schadware Forensics
warum postest, du das, was von den gleichen leuten ist, wo ichs schon voher gepostet habe ..
trozdem danke weil genau der link ist es, der anzeigt wo die verbindungen hingehen.
an meinen lieben [ ckjthedogmaster ]
schaus dir einfach an .. [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
__________________
Nichts hier. Trozdem mal bedanken.
Du meinst sicherlich dein Posting " Die Lösung " .....
Thema 1 ist " Bundespolizei Virus "
Thema 2 ist " Bundespolizei Virus 2.0 "
Thema 3 ist " Bundespolizei Virus 3.0 "
Thema 4 ist " Bundespolizei Virus 4.0 "
Thema 5 ist " Gema Virus "
Meines ist nicht dabei...... deshalb mal nichts über das vertreiben von diesen Zecken...
Bin inzwischen auf der Suche nach diesem Rattenkram um dann mal folgendes zu wagen....
Hier hat SemperVideo mal den Bundestrojaner auseinandergepellt.....
Das Biest umgeht sämtliche Scanner mit Leichtigkeit......genauso, wie unser "Freund " ......
Da vermute ich doch mal, das es sehr wohl eine Abwehrmöglichkeit gibt, aber dadurch dieser Bundestrojaner auch erstmal nichtmehr "installiert" werden kann....." Drive by Download" ist erstmal das, was am interessantesten als Schleuse in Frage kommt.........
(müßt ihr euch selbst zusammen zimmern)
)
Linear-Darstellung
