[the.dome85]

Hallo,

ich hab grad vorhin den Monster Zonk im Internet gefunden wie es scheint und bräuchte dringend Hilfe, weil ich mit meinem Latein am Ende bin.

Hab auf einer Homepage (von eher zweifelhafter vertrauenswürdigkeit) gesurft. Als ich auf einen Link geklickt hab (Opera 11.64) ging ein Vollbild Fenster auf. Der Bildschirm schaut jetz ungefähr so aus:
http://jamesosw.files.wordpress.com/...rolpanel01.jpg
nur ohne die obere Leiste mit "X", Minimieren....
Soweit alles noch nicht so aufregend.... aber:
Das Ding geht nicht mehr weg und ist nach dem booten immer noch da. Task Manager lässt sich nicht starten (geht auf und verschwindet sofort wieder). Das System hängt sich aber nicht auf. Alt+Strg+Entf funktioniert noch. Sprich ich kann andere Nutzer anmelden. Leider kein zweiter Admin-Account eingerichtet... Als "Administrator" kann ich mich nicht anmelden, weil der Login-Bildschirm von Windows 7 verwendet wird...
Abgesicherter Modus --> kommt genauso.
Systemwiederherstellung --> same shit.

Achja:_Den Vollbildmodus zu deaktivieren hilft auch nicht ;-)

Jetzt weis ich ehrlich gesagt grad nimmer weiter. Windows neuinstallieren ist jetzt nicht gerade die bevorzugte Lösung.
Irgendjemand ne Idee?

Danke!

[Undertaker2011]

Da haste Dir wohl ein schönes Ding eingefahren! Aus dem Grund verschiebe ich Dich in den Security-Bereich!

[ckjthedogmaster]

Zitat:

Zitat von the.dome85

Jetzt weis ich ehrlich gesagt grad nimmer weiter. Windows neuinstallieren ist jetzt nicht gerade die bevorzugte Lösung.
Irgendjemand ne Idee?

Danke!

Kannst du den die Bildschirmauflösung noch höher stellen, vllt ist das x nur ausserhalb des sichtbaren Bildschirms.

Hast du die Möglichkeit auf Start ---> Suchen/ausführen - regedit einzugeben?


Mfg

[the.dome85]

nein taskleiste funktioniert überhaupt nicht. Es ist aber im Abgesicherten Modus (640x480 oder irgendso ne Auflösung) genauso vorhanden wie wenn ich Windows normal boote (1650x1080). Istn Laptop drum hab ich auch schon den TFT hingehängt mit 1920x1080. Ist immer des gleiche.

Noch ein paar zusätzliche Gedanken, die in der Zwischenzeit noch entstanden sind:
Ich hab ja nen zweiten Account (nicht Admin) mit dem ich mich anmelden kann. Nur leider sind die Möglichkeiten als nicht Admin überschaubar. Gibt es den eine Möglichkeit sich als "Administrator" anzumelden? Über die Windows2k Anmeldemaske geht das ja. Kann man die irgendwie aktivieren?

[ckjthedogmaster]

Man kann in "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersio n\Po licies\System" ein DWORD mit dem Namen "DontDisplayLastUserName" einfügen und den Wert auf "1" setzen.

Dann könntest du genauso gut unter

HKLM(HKEY_LOCAL_MACHINE)\SOFTWARE\Microsoft\Window s\CurrentVersion\Run

schauen, ob dort irgendein Eintrag ist, den du so nicht kennst.



Dafür benötigst du aber Zugriff auf die Registry.


Ansonsten halt mit einer Rettungscd .


Mfg

[the.dome85]

OK - ich hab das zugrundeliegende Problem gefunden:
pkg_0ll.exe
Sobald die geöffnet wird, beginnt der Scheis... wie oben beschrieben.
Jetz stellt sich nur noch die Frage, wie ich das Ding wieder los werde.
Ich kann mich jetz auch als Admin anmelden im Abgesicherten Modus (das Programm braucht dort vom Start bis zum Ausführen genug Zeit um es mit dem TastManager zu killen :-) ). Dort sehe ich in beschriebenen Order Run in der Regestry nichts auffälliges. Aber in der MSCONFIG ist ein Eintrag mit genannter Datei. Wenn ich bei diesem das Häckchen entferne, ist er beim nächsten Neustart aber wieder drin, und hinter dem Angegebenen Pfad finde ich keine solche datei. Auch über die Suchfunktion finde ich die Datei nicht ??
Gibts da andere Mittel und Wege wie ich an das Ding rankomme?

UPDATE:
In er Registry ist fast der gesamte Autostart, den ich in der MSCONFIG sehe in folgendem Ordner
HKLM\Software\Wow642Node\Microsoft\Windows\Current Version\Run

das "Wow642Node" macht mich bisschen skeptisch. Der Ordner wow642Node ist in der Registry aber sehr groß mit sehr vielen Einträgen.

*doofFrag* Hat womöglich was die gesamte Registry umgeschrieben ?!?

[ckjthedogmaster]

Ich habe erst gedacht, das im Bld zu sehende Programm das Problem ist. Das können wir nach deinem letzten Post mal getrost beiseite lassen.

pkg_0ll.exe befindet sich in

C:\Benutzer\(Benutzername)\AppData\Local\Temp und gehört zum Ransom(BKA)- Trojaner.

Analyse: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Da du Zugriff auf dein Windows System hast, kannst du auch die hier vorgestellten Programme benutzen, um das System wieder flott zu bekommen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Ein anschliessender gründlicher Virenscan ist unerlässlich.


Info: Das du unter MSconfig --> Autostart immer wieder den Schlüssel HKLM...../Run findest, ist normal, da es der Autostartordner ist.


Mfg

[the.dome85]

ok der Bastardo von Trojaner ist gelöscht, zumindest die Datei die den Ärger verursacht hat. Ich kann mich jetz auch wieder ohne das Vollbild-Problem anmelden. Allerdings wird mein Startmenü/Desktop nicht geladen (explorer.exe wird nicht geladen beim start). Wenn ich explorer.exe mit TaskManager aufrufe bekomme ich ein Arbeitsplatzwindows, aber kein Startmenü. Ich hab das SV-Take-Back programm durchgeführt, aber in dem Registry Ordner nichts mit einem Debugger Eintrag gefunden.
Achja: Rechts-Klick geht zum Teil auch net (im Arbeitsplatz)? (ist jetz aber irgendwie ein SekundärProblem denk ich).

Den Security Task Manager hab ich runtergeladen und ausgeführt. Der zeigt mir viel an, wobei mir da leider irgendwie die Kompetenz fehlt Freund von Feind zu unterscheiden.

--> http://www.fotos-hochladen.net/view/stmwf80p1aju2.jpg

Freund von mir meine gerade noch über ICQ, dass die Explorer.exe net startet kann an einem geänderten Shell liegen. Nur wie man den bei Windows 7 wieder einstellt, konnte mir weder er noch google beantworten (da finden sich nur historische Einträge für Win2k und Vista).

[ckjthedogmaster]

Ok, dann öffne nochmal die Registry und schaue in folgenden Pfad:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

nach dem Eintrag "Shell" . Dort musst du wieder explorer.exe eintragen.

Danach ein Neustart.

Sollte das nicht der Grund sein, schaue auch bitte in die beiden folgenden Pfade:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

pkg_0ll.exe sollte nicht dort stehen.

Wenn dort exen sind, die du nicht kennst oder erklären kannst, mach n Foto und lade es hoch.

[the.dome85]

hat funktioniert :-)

Der einzige Knackpunkt ist jetz nur noch, dass das Menü, welches bei einem Rechts-Klick erscheint (Kontextmenü?) auf dem Desktop oder in Arbeitsplatz Fenstern nicht mehr geht. In anderen Anwendungen (Office, Opera) scheint es zu funktionieren.

[Cr0wNet]

wenn das nicht hilft , hast du eventuell programme installiert die sich in das Kontexmenü integriert haben?
Dann probier mal das:
1. Öffne den Registrierungseditor, klicke auf “Start/Ausführen” und gebe dort “regedit” ein. Die Bestätigung mit “OK” öffnet das Tool.
2. Navigiere zum Schlüssel
“HKEY_CLASSES_ROOT\exefile\shellex”
und klicke auf “Datei/Exportieren”, um den gesamten Schlüssel zu sichern. Gebe nun einen Dateinamen, wie z.B. “Sicherung - Kontextmenü-Verankerung.reg” oder so ein und bestätige mit “Speichern”. Nun kannst du bei Problemen per Doppelklick eine Rücksicherung ausführen.
3. Markiere den Unterschlüssel “ContextMenuHandlers” und drücke die Taste “Entf” oder "Del", um diesen zu löschen.
Starte nun deinen Rechner neu und versuche den Rechtsklick - da nun alle externen Verankerungen gelöst wurden gehe ich davon aus das der Absturz oder langwierige Prozess nicht mehr auftreten wird.
Wenn es geholfen hat, dann kannst du ja nachsehen an welchem Programm es gelegen hat.
__________

[the.dome85]

also:
sfc /scannow und chkdsk /F habe ich ausgeführt. --> Kontextmenü fehlt immer noch
hab ich auch den Registry Ordner gelöscht wie Cr0wNet erläutert hat. --> Kontextmenü fehlt immer noch

Ich hab noch die Feststellung gemacht, dass wenn ich icons beispielsweise aufm Desktop mit rechts anklicke und ziehe, ein Menü "Copy here..." aufgeht. Einfaches rechtsklicken wird aber komplett ignoriert.

[ckjthedogmaster]

HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer

und

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr ent- Version\Policies\Explorer

nachschauen, ob dort der Eintrag "NoViewContextMenu" vorhanden ist. Wenn ja, dann bitte löschen und neustarten.

[Cr0wNet]

es muss irgendwo in der registry ein wert sein der diesen rechtsklick verhindert...
geh ml in die registry und begebe dich in die suche und gebe dort ein Disable rightclick..
wenn du da nix findest gebe nur disable ein und schaue was sich mit rechtsklick unter umständen nach englishen begriffen suchen ähnelt....
ich werde aber selbst noch mal schauen was es sein kann

[Cr0wNet]

aber das sagte ja ckjthedogmaster auch schon....

Wenn man mit der rechten Maustaste auf ein Objekt im Explorer bzw. auf dem Desktop klickt, erscheint das "Kontextmenü".

Wenn man es aus irgendwelchen Gründen deaktivieren möchte, muss man wie folgt vorgehen:
Start -> Ausführen -> regedit
Pfad: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer
Schlüssel: NoViewContextMenu
Rechtsklick -> Neu -> DWORD-Wert
Schlüsselname: NoViewContextMenu

Werte: 1 = Das Desktop/Explorer Kontextmenü wird nicht angezeigt
0 = Das Desktop/Explorer Kontextmenü wird angezeigt.

[the.dome85]

super funktioniert wieder :-)

Ein RIESEN DANKE an alle Helfer!!!! Das war jetzt mal echt ein super Positiv-Beispiel für Hilfe in Foren und echte Werbung fürs MyGully-Board.

Nun noch ne Frage zum Thema Lessons-Learned ;-) Die Interessiert den einen oder anderen Leser vllt auch:
Wie kann ichs in Zukunft verhindern, dass mir sowas wiederfährt ?
Ich mein Updates sind installiert und VirenScanner war am ullern, als das passiert ist. Die Illusion von "Sicherheit" war also vorhanden. Und so der totale Vollpfosten bin ich auch nicht, der bei allem erstmal "OK" drückt - im Gegenteil. Ist die Konsequenz dann wirklich, dass man nur noch mit nem Gast-Account surfen sollte und nur in den Admin-Account wechseln sollte, wenn man was spezielles erledigen muss? Oder ist man vor sowas schlicht und ergreifend nie sicher?

[ckjthedogmaster]

1. Sollte man nie als Admin im Netz surfen. Eingeschränktes Benutzerkonto nutzen.

2. Browser und Antivirensoftware sind erstmal schutzlos gegen diesen Trojaner,
Es hilft aber schon Nos***** oder Adplus zu installieren.

3. Eine Rettungscd zur Hand zu haben, um so die Registry noch bearbeiten zu können.

4. Hier in diesem Bereich hin und wieder die aktuelle Entwicklung zur Entfernung und Vorbeugung verfolgen.


Mittlerweise scheint es leider so, als hätte der BKA Trojaner alle anderen Viren vom Markt gefischt.

Verbreitungsformen sind derzeit verstärkt in Emails als Anhang, gefolgt von den verseuchten Keygens, desöfteren aber auch als iframe auf Webseiten.

Bekannte Webseiten waren Iload, derzeit gamescopyworld, gwarez und Vorsicht ist auf allen Seiten geboten, wo diese xxx- Werbebanner um sich schlagen.


In deinem Fall würde ich abschliessend noch einen ordentlichen Virenscan mit Kas.. empfehlen.

Mfg

[ckjthedogmaster]

@ muster: Dann hast du bis jetzt ja mal Glück gehabt. ICh denke aber bei dir, das du da aber selber genug erfahren bist, und deine wichtigen Daten gesondert von BS absicherst.... und so wäre es kein Problem, das BS einfach im Falle eines Befalls zu ersetzen.

Aber generell haben Viren und andere Schadsoftware leichteres Spiel, bei einem Adminkonto.

Nun zu dem Bildchen mit der Shell Extension....

Diese ist von Microsoft. Klar könnt man diese löschen, aber stellt im eigentlichen Sinne keine Gefahr dar. Einzige, warum sie als potenziell gefährlich gilt, es handelt sich um ein BHO (BrowserHelperObject) und sammelt Daten. ....

Naja, wer macht das nicht.

Da seh ich eher z.b. das Modul "Facemoods" als entfernungswürdig. Es sammelt nicht nur Daten, in meinen Augen ist es auch Malware, da es das System ohne vorherige Frage ändert.. Mistet das System voll mit unsinnigen Einträgen, ändert ohne vorher zu fragen die Startseite des Browsers, nistet sich als Addon ein,... und und und....

Sowas könnte man durchaus noch entfernen.

Mfg

[tokenentry]

Hallo ,

hatte den Virus gestern auch und konnte ihn glücklicherweise mit Ad-aware entfernen (hatte aber auch, im Gegensatz zu "the.dome85", im abgesicherten Modus nicht diesen alles ausfüllenden gvu Bildschirm und konnte so Ad-aware starten.
Allerdings bekomme ich jetzt bei jedem Windows Start die Fehlermeldung.



Also irgendwo besteht noch der Pfad zum Ausführen der Datei aber die Datei ist (zum Glück weg),
wenn ich das richtig verstehe ?

Habe hier den Thread mitgelesen aber trotzdem eigentlich die Datei oder den Pfad nirgends gefunden.

Vielleicht hätte da noch jemand Hilfe für mich ?

danke


gruß

tokenentry.

[Cr0wNet]

sers

ich lade dir mal eine Programm hoch mit dem man autostart Programme entfernen kann,denn der Fehler tritt auf weil ein Pfad der beim Windows Start ausgeführt werden soll aber die datei schon gelöscht wurde,du musst dann alle nicht gefundene Programme gleich löschen und Programme die du nicht kennst auch entfernen!

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]



Bedienung:

Zip entpacken,
die autoruns.exe anklicken
und rot makierte Einträge löschen
not Found Einträge löschen

PS:
es gibt auch rot makierte Einträge die das Programm nicht zuordnen kann weil es von Unbekannten Herstellern stammt,daher nur löschen wenn du dir sicher bist"
da du aber weisst wie die datei heisst die immer mit hochfahren will,kannst du auch wenn du den Pfad siehst diesen löschen

[tokenentry]

Danke für die Antwort und den Link , ich hätte das auch schon mit dem Tool von "muster" (Security Task Manager , was ja eigentlich praktisch die gleichen Programme zeigt) aber bei beiden Tools wird der Link und auch die Datei nicht gezeigt , deswegen finde ich die Datei nicht.

;-(

[ckjthedogmaster]

Hey Cr0wNet

Dein Bildchen ist etwas zu groß, könntest du es ändern.

Edit, dann mach mal ein Bild von dem Ergebnis.


Mfg

[Cr0wNet]

ckjthedogmaster danke für den Hinweis,das Bild hatte ich schon geändert!
Doch wenn es noch kleiner ist erkennt man nicht mehr richtig was Pfade ,Programme etc. ....... sind!


tokenentry
mach mal ein screenshot von dem Programm wenn es gescannt hat und lade das Bild dann auf diese Webseite hoch und speichere den Direktlink

ich erkenne auf deinem Bild dass die Fehlermeldung von der RunDll Datei gemeldet wird,also gehe ich davon aus du hast kein Vollscan gemacht,denn wenn du ein Vollscan machst werden Registry und Dll sowie exe Dateien die automatisch starten gescannt und angezeigt

[tokenentry]

Danke für die Antworten.
Also bei der Suche nach der Datei findet er leider nichts :



@Cr0wNet :
Meintest du Vollscan bei Autoruns ? Also beim Scan steht da oben links "everything" , denke das ich dann alles gescannt habe . Ich kann das Posten wenn das was bringt , sind aber 5 Screenshots.

;-/

[tokenentry]

Autoruns Scan :


Screenshot 1



Screenshot 2



Screenshot 3



Screenshot 4



Screenshot 5


Edit :
@Osiris1983Sorry für zu große Bilder und danke für den Hinweis.

[Osiris1983]

Machst du bitte deine Bilder kleiner?

Zitat:

§ 3.11 Keine Bilder die größer sind als 650x700 Pixel

Diese und die die anderen Regeln findest du hier:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Gruß, Osiris

[Cr0wNet]

bild 5 die file not found einträge von dem FunUnify programm entfernen
bild 3 die ersten einträge entfernen


bild 2 die letzten rot makierten einträge entfernen
bild 1 die Kies Programm einträge(file not found) entfernen
bild 1 den aller ersten einträg entfernen


und ja darkspirit meinte genau den scann
wenn du die einträge entfernt hast scanne erneut
und starte dein PC neu

[Osiris1983]

@Cr0wNet

Doppelposts sind erst nach 48 h erlaubt.

Zitat:

§2. 5 In allen anderen Bereichen außerhalb der Börse sind Doppelposts erst nach dem Ablauf von 48 Stunden erlaubt, sofern auf das Thema keine Antwort gegeben wurde.

Bitte benutze den edit-Button unten Rechts neben deinem Post, falls du deine Beiträge korrigieren oder ergänzen möchtest.

Mache dich bitte noch mal mit den [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] vertraut.

Es Grüßt, Osiris


Edit: Cr0wNet, die Maße zu den Bildern galten auch für dich. Bitte mach dein [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] kleiner. Danke

[tokenentry]

Zitat:

Zitat von Cr0wNet

und gibt es schon besserungen

Danke für die Antwort.

Die Fehlermeldung bekomme ich immernoch :



Was ja verständlich ist , schließlich habe ich nichts gelöscht (da nichts gefunden) was mit der Datei zu tun , hat.


Wo könnte ich denn den link noch finden um ihn zu löschen ?


gruß

[ckjthedogmaster]

Zitat:

Zitat von tokenentry

Was ja verständlich ist , schließlich habe ich nichts gelöscht (da nichts gefunden) was mit der Datei zu tun , hat.



gruß

Hast du die Sachen, die CrowNet dir gesagt hat, nicht gelöscht?

Mfg

[tokenentry]

Doch ,aber ich denke das der Pfad zu : [pkg_0ll.exe] irgendwo anders gespeichert ist oder versteckt ist ?

Weiß jemand etwas zu diesen Dateien : "rarext64.dll" und "rarext.dll" ?

[Cr0wNet]

Zitat:

Zitat von Osiris1983

@Cr0wNet

Doppelposts sind erst nach 48 h erlaubt.



Bitte benutze den edit-Button unten Rechts neben deinem Post, falls du deine Beiträge korrigieren oder ergänzen möchtest.

Mache dich bitte noch mal mit den [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] vertraut.

Es Grüßt, Osiris


Edit: Cr0wNet, die Maße zu den Bildern galten auch für dich. Bitte mach dein [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] kleiner. Danke

ja danke für den Hinweis hab das Bild ganz raus genommen

[tokenentry]

Zitat:

Zitat von DARKSPIRIT

wie soll man dir helfen wenn du nicht mit machst ,erstens hättest du zum entfernen dieses Virus ein anderes Tool verwenden sollen das genau die versteckten Einträge mit löscht...

Entschuldigung wenn ich nicht richtig mitgezogen habe , bin wahrscheinlich verwirrt weil ich auch noch an zwei anderen Computer Problemen rumdockter die aber nichts mit einem Virus zu tun haben.
Sorry.
Meinst du mit "anderem Tool" den hier im Thread erwähnten "Security Task Manager" ?
Der liefert mir auch Ergebnisse aber leider nichts zu dieser "GVU-Datei" :

Security Task Manager Screenshot 1

Security Task Manager Screenshot 2

Zitat:

Zitat von DARKSPIRIT

und zweitens erkenne ich ein Virus in deinen Screenshots namens Picture.exe wo Cr0wNet schon sagte dass du die Einträge löschen sollst.....
danach mache ein registry clean up mit einem reinigungs tool wie von TuneUp oder dem registry Cleaner!
und die rarext64.dll" und "rarext.dll Dateien kannst du lassen die sind von Winrar

Ich habe die Einträge gelöscht. Danke Cr0wNet.

Werde jetzt mal mit TuneUp eine Reinigung machen,
danke soweit

Gruss.


Edit :

Hat geklappt , die Fehlermeldung ist weg , dank eurer Hilfe , vielen Dank !
Tune Up hat die Fehler behoben, und ich dachte mit diesen Programmen würde man seine Registry in Null-Koma-Nix zerschiessen.
Naja vielleicht war das vor ein paar Jahren so. Aber jetzt scheint alles wieder im Lot.

[Cr0wNet]

kein Problem wir helfen gerne