[keenen]

Das mit den fehlenen Icons und der fehlenden Taskleiste hatte ich auch. Der Trojaner hatte in der Registry den Pfad (siehe Pfand link 49) verändert (...Dokumente und Einstellungen/..../test.exe)..Die test.exe-Datei war u.a. mein infizierter BKA-Trojaner. Danach habe ich die Datei am Ende wie in diesem Tread schon gesagt in "explorer.exe" am Ende umbenannt. Über SUCHE habe ich nach der test.exe gesucht und gelöscht. Danach war das BKA-Bild weg, jedoch die Icons und die Taskleiste waren nach dem Hochfahren weg.



Heute habe ich den Eintrag in der Registry mal mit meinem PC verglichen. In der o.g. Registy habe ich dann am Ende NUR noch Explorer.exe eingeragen und seitdem fährt der PC wieder normal hoch mit Icons und Taskleiste.

Ihr müsst in folgende Registry:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/ Shell

Dort im Eintrag "Shell" war bei mir : C:/Dokumente und Einstellung/admin/Desktop/test.exe


Da ich zuerst nur hinten Explorer.exe (für test.exe) eintrug, kam nach dem Hochfahren keine Icons und keine Taskleiste. Erst als ich heute den ganzen Pfad einfach in Explorer.exe geändert hatte, war alles auf dem Deskop wieder da.

Auf die test.exe kam ich mit der Rescue CD von Kaspersky. In BIOS "von CD-Rom starten" geändert. Dort dann in den Netzwerkeinstellungen die WLAN-Verbindung/Netzwerk eingestellt (infiz. Lappi vom Vater mit zu mir genommen), dann Update (Wichtig!!!) und drüber laufen lassen. Er hatte mehrere infizerte Dateien in Java gefunden.

Hoffe ich konnte einigen hiermit weiterhelfen.

(System auf dem Läppi: XP mit SP3)

Gruß
Keenen

[schuma]

ich habe auch diese problem
doch hab ich mehrere benutzer auf meinem computer und es ist nur einer davon befallen
gibt es eine möglichkeit den virus von dem anderen benutzer aus zu löschen ?

[Werner kesselt]

Ich verwende Win XP SP3 und habe auch vier Benutzerkonten. Da funktionieren die anderen drei einwandfrei. Allerdings weiß man nicht, ob man trotzdem ausgespäht wird, deswegen mache ich keine Sachen mehr, wo ich Passworte benötige. Die null08319741407456875.exe hab ich ja ganz flott gefunden und gleich gelöscht und bin auch sofort wieder zum Systemstart gekommen. Nun habe ich ebenfalls keine Taskleiste und keinen Explorer mehr und muss diesen im befallenden Konto mit dem Task-Manger über cmd starten. Kasparsky und avira Notfall CD´s funzen auch nicht, da kann ich kein Verzeichnis auswählen und bekomme so nur die Boot-CD gescannt. Weiß eigentlich jemand entweder, wie wie ich in meinem Fall die anderen Laufwerke zum scannen auswählen kann (vorzugsweise kaspersky) oder wo überall der Virus sich eingenistet hat um die befallenden Dateien mit Hand zu löschen? und natürlich wie und wo der Explorer-Eintrag in XP SP3 wieder herzustellen ist?

Leider habe ich die null0 xxxx.exe nicht mehr und damit keine vollständige Virus-Version, vielleicht ist er deswegen nicht mehr erkenn- und löschbar.

[ckjthedogmaster]

Du musst in diesem Auswahlmenü alle Platten hinzufügen.

Schaut euch diesen Reg Eintrag an:

"HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"

Bei SHELL soll nur explorer.exe stehen

Mfg

[RoAcHHcAoR]

Also bei dem infizierten Rechner den ich "behandelt habe" waren alle Konten , selbst das Admin Konto betroffen. (WinXP SP3)

Allerdings wie gesagt , fixbar mit HJT.

Der Virus wurde mit einer veralteten Version des IE runtergeladen ,und befand sich in den Temporären Internet Dateien. Nach Löschung der "Virus Datei" war BKA Bild weg . Dann Fixen der übrigen Dateien per HJT und Schwupps war auch der Explorer wieder benutzbar.

Entgegen einiger Befürchtungen ist der Virus nicht übertragbar. Zumindest meine Version nicht.

[ckjthedogmaster]

Du solltest deinem Nachbarn trotzdem nahelegen, seine Daten zu sichern und eine Neuinstallation in Betracht zu ziehen. Nur als kleinen Tip. Und lad ihm aktuelle Versionen von Antivirussoftware, IE usw. runter.

Aber sonst läuft er wieder?

Mfg

[Werner kesselt]

Danke für die schnelle Antwort, aber in meinem WinLogon habe ich nichts von einer Shell stehen, die irgendeinen Befehl über den Explorer enthält (in keinem der Benutzerkonten). Wo kann man das im XP finden?

[ckjthedogmaster]

Dann würde ich fast behaupten, das du den Eintrag irgendwie gelöscht hast.

Das ist aber kein Problem, öffne über Ausführen und regedit die Registry.

"HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"

Achte genau auf die Folge des Eintrages. Klicke nicht auf das Kreuz vor Winlogon sondern auf den Eintrag Winlogon.

Solltest du dort nun keinen Shell - Eintrag stehen haben, dann lege dort eine neue Zeichenfolge mit dem Namen

Shell und dem Wert Explorer.exe an. Nun sollte nach nem Neustart der Explorer wieder automatisch geladen werden.

Mfg

[KalleB]

Vielen Dank an alle! Mich hat der Tip von Taelon (#49) gerettet! Jetzt noch einige Antivirs drüberlaufen lassen und der Familienrechner lebt wieder!!

[igetya]

Hallo,

möchte kurz danke sagen.
Mir hat auch der Tip von Taelon (#49) geholfen.

[SILÄS]

Bei mir hats Folgendermaßen funktioniert:

-Den Pfad aus der Fehlermeldung abgeschrieben
-Windows mit Eingabeaufforderung gestartet
-mit den Dos Befehlen bis zum letzten Unterordner vorgekämpft
und einfach Del* geschrieben.
Windows neugestartet- Virus Weg :-)
-achja und anschließend mal Anti Viren Software und Cleaner drüberlaufen lassen.

gruß Silas

[sir_andy]

Bei mir hat die Kapersky Rescue Disc das Problem behoben!
Vielen Dank an Newance@.

[Jacky07]

Hallo zusammen,

ich habe mir gestern auf dem Laptop von meiner Schwester diesen Trojaner eingefangen.

Jetzt habe ich nur das Problem, dass meine Schwester in Urlaub ist und ich nicht möchte das sie das rausbekommt... Sie hatte spaßeshalber mal zu mir gesagt, wenn ich an ihrem Laptop war ich solle ja nicht auf die Porno Seiten gehen und Ihr einen Virus drauf machen...Maja, jetzt ist es zu spät!

Jetzt kommt aber noch ein großes Problem dazu...ich kenne mich absolut nicht mit PC, Laptop´s aus! Ich weiß wo der ON Knopf ist wie ich ins Internet komme und wie ich ihn wieder herunterfahre.....

Ich bin gerade dabei diesen Kaspersky zu downloaden, wie fahre ich dann fort?

Gruß Jacky

[Mortimer123]

Ich hatte den vor ner Woche auch. Bei mir ging das alles aber recht einfach, denn bevor der Bildschirm mit dem Bezahlen beim PC-Start kam, hatte ich noch gut eine halbe Minute schwarzes Standbild.
Dort konnte ich den Task Manager öffnen - > Prozess mit nem total abartigen Namen aus Buchstaben und Zahlen beenden -> Neuer Task -> Explorer.exe
Dann lief der PC schonmal wieder wie er sollte.
Ums zu entfernen, hab ich mit folgendem Programm:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
die Verknüpfung zu der Viren-Exe aus dem Autostart gelöscht, die Datei entfernt und nochmal Avast drüberlaufen lassen. Hab bis jetzt keine Probleme mehr gehabt, hatte aber vielleicht auch nur Glück.

[wosabwahnfried]

Vielen Dank an TAELON.
BS: XP Professional aktuelles SP.

hier war der Eintrag:

test.exe im Verzeichnis DESKTOP.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Im regedit mit Strg+F nach Winlog suchen. Mit F3 Suche wiederholen, bis ein Eintrag "Shell" kommt. Dort WERT prüfen und explorer.exe eintragen.

Siehe genaue Anweisung von User TAELON (ist VISTA).

Virus kam genau wie von Dir beschrieben. Meine Firewall hat auch noch gefragt, ob Zugriff auf cz-Seite zugelassen werden soll. Habe 2-mal NEIN bestätigt. Hat nichts geholfen. Die Seite hat auch irgendetwas mit JAVA angezeigt.

Vielen Dank ans Forum.

Regards
wosabwahnfried

[Jane Isklar]

Hallo Leute!

Vielleicht einfach mal mit einer Linux-Live-Distribution starten (eventuell mit einigen Security-Tools drauf), und bearbeitet dann das befallene Betriebssystem! Also vielleicht einen Virus-Scan von dort aus machen, und auch den besagten Reg-Key löschen...

Im Übrigem: Dessen ungeachtet, dass der Eingriff des Schädlings ziemlich aggressiv ist, ist der Rest wirklich sehr billig gemacht - LOL!

100 € - oder [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] - Epic Fail!

Jane Isklar

[Aussenlander]

Ich hatte mir den Trojaner auf meinem Arbeitslaptop in einem Useraccount in Windows 7 (Updates auf dem neuesten Stand) eingefangen. Konnte dann allerdings vom Adminaccount, der nicht betroffen war, mit dem Kaspersky Virus Removal Tool vier infizierte Dateien aufspüren und löschen. Danach hatte alles wieder geklappt. Bei mir war auch die oben erwähnte Änderung in der Registry nicht erfolgt.

Meine installierte Antivirensoftware (Mcafee) hatte allerdings nichts gefunden . Aber von Mcafee hab ich sowieso nie was gehalten. Würde ich privat auch nicht benutzen.

Danke für die Tips
Aussenlander

[BDSOFT01]

Hallo! Auch mich hatte es erwischt. Im abgesicherten Mode erschien das Bild aber auch, so dass keine
Eingaben gmacht werden konnten. Dank eines gesicherten Backups konnte ich den Übeltäter wieder loswerden. Nun benutze ich ein sog. Sandboxprogramm. Wer kann mir Erfahrungen damit berichten?
BDSOFT01

[Gulnur]

hi, also meine frage kommt jetzt vielleicht etwas dumm rüber, aber:
ich habe keine ahung von pc usw aber ich finde bestimmt jemanden der das was ihr alle schreibt versteht
meine frage:
wenn man das machen würde, was ihr alle gesschrieben habt, bleiben dann meine dateien oder werden die gelöscht?
ich hatte sehr wichitge sachen auf meinem pc und ich hatte sie leider nicht aufm stick oderso...

[ckjthedogmaster]

@Gulnur

Die hier angegebenen Hilfestellungen funktionieren in der Regel ohne Datenverlust.
Man sollte nur darauf achten, das man die Tipps korrekt durchführt.

Da aber an der Registry was geändert wird, bzw. auch "schädliche " Dateien gelöscht werden, kann es unter Umständen sein, das Windows nicht starten wird. Kann geschehen, wenn du z.b. falsche Einträge in die Registry schreibst.

Aber selbst das würde im Zweifel nicht das große Problem sein, weil z.b. durch ne Reparaturinstallation würden die Standardwerte zurückgeschrieben, Dateien wären so ziewmlich noch da.

Oder aber man baut die Platte aus dem Pc aus und schliesst sie in einem anderen System an. Dann könnt man zur Not die Daten einfach rüberkopieren.


Mfg

[antibkavirus]

Hey mein PC ist auch von diesem Virus betroffen.
Aber ich kann noch den Taskmanager starten und programme auführen.
So bin ich auch gerade in dieses Forum gekommen.
Was kann ich jetzt machen außer windows neu zu installieren.
Hier wurde doch iwas mit Taskmanager geschrieben.
Bitte um ausführliche erklärung.

MfG

[Jane Isklar]

Hallo ihr Lieben! ;-)

Darf ich mal fragen, WAS ihr denn so macht, vor allem WO, weswegen ihr euch immer so etwas einfängt?

Jane

[mofucka]

Zitat:

Zitat von unikator

Warum soviele Experimente?
Brennt Euch eine aktuelle Rettungs_CD der bekannten Antivirushersteller und startet
von dieser und lasst das Virenprogramm seine Arbeit tun.

Immer tagesaktuell gibt es zum Beispiel:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Tips dazu:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

habe die cd drüber laufen lassen, das bild ist auch weg nur...
sehe ich jetzt nur meinen desktophintergrund(das bild) keine leiste kann nix mahcne außer taskmanager.
abgesicherter modus -> schwarzer bildschirm

[ckjthedogmaster]

Damit der explorer wieder angezeigt wird, solltest du den Reg.-Eintrag überprüfen.

Wurde auch schon mehrmals gepostet:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell

dort muss : explorer.exe

stehen, dann funktioniert das auch wieder .

Mfg

[pat216]

Habe auch den Shell Wert wieder auf explorer.exe geändert und bei mir öffnet sich beim starten der normale Datei Explorer???

[mofucka]

vielen lieben dank
mein fehler war das ich taelons post gelesen habe und unter "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
nach einer shell datei suchte fand aber nichts^^
jetzt läufts aber

[Snaiz]

also bei mir ist das so dass bei der shell datei schon längst explorer.exe steht aber er wird trotzdem nicht angezeigt -.-
sobald ich versuche vom usb stick oder von cd zu boote spackt der ab und zeigt mir nur noch ein blauen bildschirm an wo irgendwas steht mit ...ihr computer ist beschädigt usw ...und dann macht der garnichts mehr

[3pac]

Hatte mir heute auch diesen Vierus zugelegt, da ich nicht gerade viel über Computer weiß habe ich in vielen Foren nach einer Lösung gesucht. In den meisten fand ich das man es mit Rettungs CD´s wieder beheben könne. Ich habe die von Antivir und von Kaspersky versucht.
Kaspersky konnte bei mit irgendwie den Pfad oder so nicht finden.
Antivir hab ich 2 Mal laufen lassen.
Dann habe ich (wärend Antivir das 2te Mal lief) im Internet noch etwas mit Task-Manager gfunden, und zwar meinte einer das man irgendwie nach dem Ladebildschirm versuchen sollte den Task-Manager zu starten. Als Antivir fertig war und es wieder nicht klappte wollte ich das mit dem Taskmaneger probieren, mein Glück im Unglück war das ich den Task-Manager schon da wo das System angefangen hat zu starten (also wo ganz am anfang steht z.B. HP,Acer, oder Toshiba) aufrufen wollte . Als ich das machte startete der Rechner immer neu und dan als ich aufhörte ihn zu quelen kahm ne meldung "Windows normal starten oder Starten mir Reparaturprogramm oder so. Da machte ich auf Reparaturprogramm und als es fertig war kahm der Vierus nicht mehr.

Ich würde jetzt gerne wissen ob er weg ist

[namenochfrei]

nochmal nur so zur info:
(ich hab die halbe 2te und die 3te seite des threads übersprungren, also nur für den fall,dass es da noch nicht steht), wem es hilft:
bei mir hieß die Datei swytrb2q.exe und war 100 Kb groß. Eine Datei mit der gleichen Größe und mit gleichem Erstelldatum war im Java cache ordner zu finden, die hab ich ebenfalls gelöscht. Rein kommen tu ich jetzt wieder, der Scan mit Avira Antivir läuft noch, ist der ausreichend oder sollte ich noch andere programme zusätzlich benutzen?

Hier noch mal alle dateiinfos die ich rausgekriegt hab:


Name: swytrb2q.exe
Beschreibung: OLE PropertySet Implementation
Version: 5.12600.0
Größe: 100 Kb
Datum: 30.4.2011
Icon: Irgendwas komisches rechteckiges, dass nur aus vereinzelten, nicht zusammenhängenden Pixeln bestand (also zwischen den einzelnen Pixeln war weiß)

[DEINEMUDDADEINEMUDDA1]

Zitat:

Zitat von BDSOFT01

Im abgesicherten Mode erschien das Bild aber auch

Das ganz sicher nicht, du hast mit Sicherheit ausversehen Windows wieder normal gestartet

[namenochfrei]

doch, das kann ich auch bestätigen, zumindest bei vista ist bei mir auch im abgesicherten modus das bild noch gekommen. Der Virus den ich hatte unterschied sich auch im Text etwas von der Version die im ersten Post vorkommt, der ist jetzt etwas realistischer und leider nicht mehr ganz so amüsant wie zu anfang
Ich hab Vista mehrmals im abgesicherten modus starten lassen und immer war das bild da. Könnte vllt daran liegen, dass der Virus im laufe der Zeit angepasst wurde und sich nur früher nicht auf den abgesicherten modus bezog!?
einzig über die Eingabeaufforderung kommt man noch an die Systemdateien ran.
Wenn in der registry der explorer durch den virus ersetzt wird, dann müsste sich das doch auch auf den abgesicherten modus beziehen.

Bis jetzt hab ich mir eigentlich alle viren an die ich mich erinnern kann über java eingefangen. Scheint die größte sicherheitslücke im Firefox zu sein...

Wenn ihr den Virus entfernt habt, lohnt es sich auf jedenfall das Cache Verzeichnis von JAVA (C:\Users\***\AppData\LocalLow\Sun\Java\...) sehr gründlich zu checken. evtl kommen da auch noch andere Viren zum Vorschein.

[privat008]

Wo Fangt ihr euch die Dinger ein! Intesressiert mich mal?? Weil ich habe das noch nie gehabt!!

[Farbteufel]

Hallo, ich habe ebenfalls das Problem mit diesem Virus...naja ich weiß nicht sicher, ob ich eins habe.
Habe fröhlich gesurft auf der suche nach Bildern für meine Abschlussarbeit(falls es hilft und wen interresiert gegoogled nach David LaChapelle(ein Künstler) bei dem Klick auf ein Bild hatte ich den Virus)
Und zack die vermeindliche SeitePanik!!!).
Die kostenlose Antivirversion meldete sich zwar, doch machen konnte ich nichts außer Neustart.
Computer ist hochgefahren...scheint alles zu funktionieren...aber ich bin mir nicht sicher:-( hat jemand einen Rat, habe Angst das trotzdem was auf meinem PC ist...und das meine Masterthesis flöten geht...
Bin erst beruhigt wenn ich weiß da ist Nichts.
LG

[DDR3]

lol. hatte seit gerstern den selben trojaner, hab nen kumpel bescheid gesagt der mein computer einfach zu einem FRÜHEREN zeitpunkt zurück gesetzt hat, nun bin ich wieder trojaner frei,ist also kein "schwerwiegender" trojander (aber nerven tut er ) .

@ jane_isklar - hab bei goldesel was runterladen wollen

[pablo.rodriguez]

@DDR3:

Bitte Bitte Bitte... Wenn Du nicht weißt von was Du da schreibst... dann lass es doch einfach.. oder schreib eben was Du weißt.
1. über Bios wurde der Rechner zu einem späteren Zeitpunkt zurückgesetzt? Erstens meintest Du wohl früher und zweitens hat Bios wahrscheinlich nix damit zu tun. Entweder war es ein Windows-Wiederherstellungspunkt oder ein Backup-Image (Acronis etc)
2. Du bist wieder Viren-frei und es handelt sich aber nicht um einen schwerwiegenden Trojaner? Kannst Du mir denn den Unterschied zwischen Virus und Trojaner nennen? Was macht denn ein Trojaner? Schwerwiegend ist er definitiv da er ohne fachliche Kenntnisse nicht zu bewältigten ist und es für einen Laien der seinen Rechner zum Fachmann bringt äußerst teuer ist. Natürlich kann auch ein Laie einfach seinen Rechner neu aufsetzen und hat dann aber Datenverlust.
3. Ein Prog drauf welche jede Aktivität im Voraus testet? Meinst Du denn eine Sandbox? Wenn ja schützt auch diese Art von Tool niemals vor der bösen Brain.exe. Was passiert denn wenn Du im Internet auf einen Dir unbekannten PHP-Link klickst? Hast Du denn Deinen Internetbrowser non-stop in der Sandbox laufen? Den besten Schutz liefern wohl Internet-Security-Suiten und der eigene Verstand. Wenn man beispielsweise einen Drive-by-Drive-Download bestätigt wird wohl selbst die beste Internet-Secrurity-Suite mehr helfen können.

Wenn jemand den Virus hat und noch Probleme mit der Lösung da sind... hier wird jedem geholfen.
Aber bitte keine verwirrenden Beiträge über Nichtwissen