[pablo.rodriguez]

oder Du probierst Beitrag #110....

[adamczik]

Hallo zusammen,

jetzt hat es meinen Rechner erwischt. Hab es bereits mit der avira-cd versucht und wie bei meinen Vorgänger hat es nicht geklappt. Hat jemand eine Möglichkeit gefunden, ohne das ich XP neu drauf packen muss....

[trim]

habe mal ne frage wie bekommt ihr alle den scheiß was Download ihr für müll ??

[BlueElox]

Wir hatten Glück, da wir zwei Benutzer hatten und der nicht verwendete der Admin war.
Dann mit dem Administrator eingelockt und Systemwiederherstellung ausgeführt.
Butz...alles wieder da.......virus weg!!!
Hardcore Glück!!!!

[Cy.Pinun]

macht einfach das was bei #110 beschrieben ist hat 1a funktioniert ;D

[pablo.rodriguez]

Zitat:

Zitat von Cy.Pinun

macht einfach das was bei #110 beschrieben ist hat 1a funktioniert ;D

DANKE :-)!!! Endlich einer der sich alle Beiträge durchliest und nicht nur einfach auf die letzte Seite springt und in den letzten 3 Posts nach einer Antwort sucht!!!

[donnelly]

Entfernung des BKA:

PC starten - F8 drücken - Abgesicherte Modus mit Eingabeaufforderung auswählen

Als Admin anmelden - Konsole startet - regedit eingeben

Im Editor so vor gehen:

HKEY Local Maschine-Software-Microsoft-Windows NT-Current Version-Winlogon anklicken
dort gibt es einen Eintrag mit Shell - rechte Maustaste ändern- bei Wert muss explorer.exe stehen

Steht dort Explorer.exe dann geht es so weiter:

Hkey Current User-Software-Microsoft-Windows NT- Current Version - Winlogon
steht dort Shell rechte Maustaste drauf ändern und explorer.exe eintragen

Habt ihr das gemacht den Reg.Editor closen

Zurück zu der Konsole folgendes eingeben sehr wichtig:

shutdown -r -t 0 Enter drücken <---Macht ihr das nicht werden die geänderten Werte nich übernommen in der Reg

Rechner fährt normal hoch und dann scannt ihr euren Rechner mit Antiviren Software.

[pablo.rodriguez]

Zitat:

Zitat von donnelly

Entfernung des BKA:

PC starten - F8 drücken - Abgesicherte Modus mit Eingabeaufforderung auswählen

Als Admin anmelden - Konsole startet - regedit eingeben

Im Editor so vor gehen:

HKEY Local Maschine-Software-Microsoft-Windows NT-Current Version-Winlogon anklicken
dort gibt es einen Eintrag mit Shell - rechte Maustaste ändern- bei Wert muss explorer.exe stehen

Steht dort Explorer.exe dann geht es so weiter:

Hkey Current User-Software-Microsoft-Windows NT- Current Version - Winlogon
steht dort Shell rechte Maustaste drauf ändern und explorer.exe eintragen

Habt ihr das gemacht den Reg.Editor closen

Zurück zu der Konsole folgendes eingeben sehr wichtig:

shutdown -r -t 0 Enter drücken <---Macht ihr das nicht werden die geänderten Werte nich übernommen in der Reg

Rechner fährt normal hoch und dann scannt ihr euren Rechner mit Antiviren Software.

Aber nicht vergessen den Autostart zuvor zu überprüfen (hklm\software\...\run und hkcu\software\...\run (wenn man mehr als einen Benutzer hat dürfte hkcu nur mit einer batch-datei oder ähnlichem zu bewerkstelligen sein)
zu überprüfen... Sonst fängt man sich das Teil eventuell gleich wieder ein.

[white]

Zitat:

Zitat von donnelly

Entfernung des BKA:

PC starten - F8 drücken - Abgesicherte Modus mit Eingabeaufforderung auswählen

Als Admin anmelden - Konsole startet - regedit eingeben

Im Editor so vor gehen:

HKEY Local Maschine-Software-Microsoft-Windows NT-Current Version-Winlogon anklicken
dort gibt es einen Eintrag mit Shell - rechte Maustaste ändern- bei Wert muss explorer.exe stehen

Steht dort Explorer.exe dann geht es so weiter:

Hkey Current User-Software-Microsoft-Windows NT- Current Version - Winlogon
steht dort Shell rechte Maustaste drauf ändern und explorer.exe eintragen

Habt ihr das gemacht den Reg.Editor closen

Zurück zu der Konsole folgendes eingeben sehr wichtig:

shutdown -r -t 0 Enter drücken <---Macht ihr das nicht werden die geänderten Werte nich übernommen in der Reg

Rechner fährt normal hoch und dann scannt ihr euren Rechner mit Antiviren Software.

Sehr guter Tipp hat bei mir und meinem Freund super funktioniert!

Wasserdichte Anleitung.

[weasel11]

Hallo zusammen.
Habe seit Freitag auch dieses wunderbare BKA Ding, wie ichs mir eingefangen habe weiß ich auch nicht genau, da ich eigentlich kaum downloade. BS ist Win XP neuestes SP (wenn ich mich nicht täusche).

Nachdem ich alle Beiträge hier gelesen hab, entschied ich mich dafür die Kaspersky Rescue CD zu testen. Update konnte ich nach einigen Einstellungen ziehen, beim Scannen hat er auch einiges gefunden was in dem Zusammenhang zu stehen schien, allerdings war auch nach dem Löschen der BKA Screen unverändert vorhanden. Also ließ ich das ganze nochmal laufen, wieder wurden Dateien gefunden (allerdings weniger als beim ersten Mal) und wieder hat es nichts gebracht.
Eben habe ich die Avira Rescue CD getestet, die bekommt allerdings keine Verbindung zum Router (per LAN) so dass ich nur ohne Update Scannen kann. Versuche ich die Verbindung manuell einzurichten stürzt das Programm ab. Hat mich damit bisher auch nicht weiter gebracht.

Hat jemand vllt noch eine alternative Lösung für mich oder kann mir erklären warum Kaspersky nicht den gewünschten Erfolg bringt? Das schien ja bei den meisten hier zu funktionieren?

Ich habe einige persönliche Daten auf dem Rechner die ich nicht verlieren möchte.
Vielen Dank für eure Hilfe!!

[AI90]

Hallo,

ich benötige auch Hilfe!

Zuerst habe ich mir die rescue 10 CD heruntergeladen, und die Iso Datei erfolgreich installiert.Aber mein XP bootet einfahc nich von der CD,dh ich komme gar nicht erst auf die Benutzerfläche..Auch mit Boot Menu geht es nicht.

Dann habe ich den öfters beschrieben Weg mit regedit versucht.Das komische hierbei war:
Bei "curent user" hatte ihttp://mygully.com/newreply.php?do=newreply&noquote=1&p=22355262ch unter Winlogon keine Datei "Shell".

Zu guter letzt habe ich die Anleitung von taelon aus Beitrag #49 versucht.Jedes Mal wenn ich nach der Datei "0.900..." suche ,erhalte ich den schon genannten Bluescreen..

Hat jemand noch eine Idee,was ich tuen kann?

Das wichtigste wäre mir eigentlich ,wichtige Daten noch zu retten.Eine Neuinstallation ist dann nicht mehr soo schlimm.Aber die Daten bräuchte ich schon noch.

Vielen Dank im Vorraus!


Edit: Kann ich eine externe Festplatte anschließen ohne ,dass sich der Trojaner dort niederlässt?

[donnelly]

Könnte euch weiterhelfen

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[AI90]

Danke, aber gott sei Dank benötige ich es nicht mehr.

Habe es so hinbekommen:

WIe schon gesagt, war bei mir unter "Current User " keine Shell Datei/Schlüssel.
Dann habe ich einfach eine erstellt! und "explorer.exe" als Pfad angegeben..

Siehe da, es lief wie geschmiert..nochmal Spyboot,Malwarebytes und Virenprogramm drüber laufen gelassen und fertig!

[cr.nk]

Hey Leute,
Habe den Virus mir gestern Abend irgendwie eingefangen...
Aufeinmal spackte alles ab und jedes Programm wurde geschlossen, nach 300fachen Rebooten ging es dann wieder und ich dachte mir nichts böses und auf einmal schwupps war das BKA-Bild da.
Nun habe ich schon jede erdenkliche vorgeschlagene Weise ausprobiert...
Habe unter "Curren User" geschaut und unter "shell" steht "explorer.exe" (musste ich erst erstellen da keine Date vorhanden war) konnte aber trotzdem nicht auf meinen pc zugreifen
und den Avira Scan habe ich auch schon durchlaufen lassen der was gefunden hat aber mir davon abrät die Dateien zu löschen ( SOLL ICH SIE LÖSCHEN ????)
und das Kasperskyprogramm funktioniert erst gar nicht.
bitte um schnelle hilfe da ich meinen pc brauche....

schonmal dank und grüße

[hk300]

Hallo Leute :
Ich muss euch mal Danke sagen, hat mit dem Virus fast ne Woche verblödel. Mit den Rescue Discs von AV oder Kaspersky hatte ich keinen Erfolg.
Aber mit dem Beitrag # 110 hatte sogar ich alls totale Prothese auf dem Gebiet Erfolg.
Der Desktop ist wider da und im Augenplick läuft noch ein Virenscann.

also Danke nochmal

da sind halt Profis im Forum.

[hunterx112]

Ich möchte mich auch herzlich bedanken. Durch eure wertvollen tipps konnte ich nun wieder den zugang in mein System erlangen.

Komsicherweise finde ich nun weder mit Avast Antivir noch mit Anvrica Antivir irgendwelche Viren auf meinem System. Woran könnte das liegen?

[elmarci84]

Hallo Leute!

Mich hat es auch erwischt Bin nicht so der PC-Crack.

Hab bisher Avira Antivir Rescue Variante ausprobiert. Dauerte knapp 3 Stunden, Es wurden auch ein Paar Viren entfernt, aber wohl nicht dieser. Laptop startet und bevor ich in Windows gelange, kommt wieder der tolle BKA Bildschirm. Es geht gar nix. Auch über den Abgesichten Modus bekomme ich es nicht hin, weil ich in diesen nicht komme. Wird automatisch neu gestartet und alles von vorn. Ich will zumindest iwie einmal an meine Dateien gelangen um diese sichern zu können um dann zu formatieren. Nun teste ich mal die Notfall CD von Kaspersky. Kann mir einer vllt helfen und mir das mal für Blöde erklären ohne dieses Fach-Chinesisch?

[juewlef]

Mir ist es gestern abend passiert. BKA screen. Heute mit 2. hier gesucht und gefunden.

wie pablo.rodriguez schon vor wochen schrieb.

Erst den PC mit F8 drücken hochfahren.

Abgesichert mit Eingabeaufforderung wählen.

Im Kommandofenster den roten text (OHNE TIPPFEHLER) eingeben.

Ich hab den rechner dann mit drücken der austaste runtergefahren.

Den ganzen kram mit dem autostart habe ich mir gespart

FERTIG

Zitat:

Zitat von pablo.rodriguez

vielleicht gehts auch ganz einfach...

füge bei Ausführen folgendes ein:
reg add "hklm\Software\microsoft\Windows nt\currentversion\winlogon" /v shell /t REG_SZ /d explorer.exe /f
Das sollte eigentlich auch helfen...
Ich weiß zwar nicht ob sich der Virus auch in den Autostart schreibt.
Falls ja, anschließend noch die RegistryPfade:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
und
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
nach unbekannten Prozessen kontrollieren und ggf. raus löschen
Zur Sicherheit eventuell hier nochmal nachfragen.

[ckjthedogmaster]

@ elmarcie84

Du musst F8 drücken beim Starten. Wenn das nicht klappt, einfach den Laptop immer wieder beim Windows Ladebalken ausschalten, irgendwann kommt das Auswahlmenü.

Oben siehst du ja, was du eingeben musst.

Danach, und das empfehle ich auch juewlef, den Autostart- Ordner zu untersuchen, und die hier im Thread bereits genannten Sachen zu löschen.

Mfg

[coolmarcel]

Es ist ebenfalls möglich sich ein Livesystem zu brennen oder auf dem Stig zu ziehen
zb: Windows 7 PE oder Linux Livesysteme. Davon gibts ebenfals genug im Internet.
Jetzt nur noch den Falschen Registry key löschen oder wenns ein anderer Virus ist wo die
avira und andere Tools warum auch immer Versagen löschen.
Im zweifelsfall wenn alles nichts nützt:
-alle wichtigen Daten mit ein Livesystem (Linux) auf DVD's oder USB Stig's
oder was auch immer kopieren
-danach eine Betriebssystem DVD-Rom booten und das System neu installieren

Warnung Die letzte Möglichkeit ist nur im Notfall geeignet, weil man danach die meisten Programme neu installieren muss (zb: Microsoft Office)
Meistens werden die alten Datein in ein Ordner (Windows.old) auf der C Festplatte
verschoben.

Livesystem Download: http://linux.softpedia.com/get/System/Operating-Systems/Linux-Distributions/KDE-4-Live-CD-26097.shtml

[elmarci84]

Hey Leute,

vielen Dank. Aber das funktioniert auch nicht. Habe es wie beschrieben gemacht:

Starten - F8 - abgesicherter Modus mit Eingabeaufforderung

Dann ratterte der Bildschirm einiges durch

Loadet: \windows\system32\drivers\mountmgr.sys
usw....

Dann kam war der Bildschirm auf einmal schwarz (noch noch den Mauspfeil konnte man sehen und bewegen und dann startete der Laptop einfach wieder neu.

Ich hatte gar nicht die Möglichkeit, etwas einzugeben...

Hab Bilder gemacht, aber leider weiß ich nicht wie man die hier anfügen muss.

PS: Kaspersky Rettungs-CD hab ich auch durchlaufen lassen, hat aber ja nun auch nicht geklappt.

Was nun?

[ckjthedogmaster]

Du willst ja eh neu installieren, dann mache doch erst eine Reparatur installation, dann sicherst du deine Daten, und installierst danach komplett neu.

[elmarci84]

nun, unbedingt neu installieren wollt ich nicht zwingend. aber um sicher zu gehen, dass dann alles wieder in ordnung ist würde ich dies auf grund dessen machen.

wie mach ich das denn?

wiederherstellungs cd einlegen und dann reparieren?
so komm ich wieder ins windows um meine daten zu sichern und dann wieder über die wiederherstellungs-cd´s eine formatierung starten?

aber wenn ich durch die peparatur wieder ins windows gelange, dann sollte es ja eh wieder laufen, wenn ich meine daten somit sichern kann?

[bundeskriminalamtt]

Ich hab jetzt nicht den Thread komplett gelesen, daher verzeiht mir bitte wenn ich etwas schon lange bekanntes poste!

vorab:
a)ich bin kein progamierer
b) ich versuchs mit meinen worten zu erklären, wenn einer damit nen problem hat, soll er sich was anderes durchlessen
c) rechtschreibfehler könnt ihr behalten^^
d) wer immer diesen scheiss entwickelt hat, ist nen s*****kiddie, wenn ich sowas mal irgendwo erfahre, das irgendeiner sone scheisse ins netz packt, gibs aufs maul!

ok....
Ich hab ihn ganz einfach weggekriegt, auch ohne irgendwelche Befehle usw....

WICHTIG
<<<<setzt vorraus das ihr einen aktuellen Malware/Virenscanner auf der Platte habt!!!!>>>>
wer keinen hat, dem kann ich erstmal so auch nicht helfen.... wer das hier liest, und selber nicht das problem hat, sollte sich spätestens jetzt nen virenscanner holen...
(ich nutze unter anderem malwarebytes, sollte jeder auf der platte haben wie ich finde)

Also bekannt ist ja, das man nicht auf den Desktop, usw zugreifen kann, strg alt entf, alt+f4, usw alles sinnlos, auch im normalen abgesicherten modus ...
daher habe ich mir gedacht, fahre ich windoof einfach nicht komplett hoch..., aber lest ersma, vieleicht hilfts den einem oder anderen, jedenfalls war das teil bei mir nach 5min wieder runter (aktuell lass ich noch diverse Scanner über meine Platte drüberrattern)
Ich gebe meine Schritte Schritt für Schritt so wieder, wie ich ihn losgeworden bin:

1. "abgesicherten Modus mit Eingabeaufforderung" wählen
2. wenn der Computer im Modus "abgesicherter Modus mit Eingabeaufforderung" gestartet ist (also diese command.wasweisichfenster da ist) drückt ihr STRG+ALT+ENTF !!!
3. Nun müsstet ihr das Menü sehen können, wo z.B. auch der Taskmanager ist, den öffnen!!!
4. Da wir eh im abgesicherten Modus sind brauchen wir keine Task usw. beenden.... wir brauchen einen Zugang um auf den Ort im Computer zu kommen wo der Viren/Malwarescanner ist, also einfach irgend was aufmachen (ich habs über die z.B. über die "Hilfe" gemacht) schon haben wir ein FENSTER, wo man in die Adressleiste einfach den Namen der Festplatte eintippt, wo unser Virenprogramm drauf ist (bei mir isses Festplatte "d" , ergo habe ich "d:" eingegeben
5. jetzt einfach den ordner mit eurem virenscanner finden, die .exe öffnen (meistens sind die scanner unter progamme, oder program files installiert)
6. virenscanner laufen lassen, das teil killen, neustarten, <--natürlich wieder normaler windoofmodus, weitersurfen...

Anmerkung: ich empfehle euch dannach trotzdem dringend genaustens die Festplatten zu scannen mit diversen Progs, links gibts hier ja genug, oftmals haben die dinger irgendwo noch Hintertürchen eingebaut... (Ich nehme übrigens "hijackthis" und CCleaner, beides nur von seriösen Quellen ziehen, am besten chip.de oder so)

Wenn mein Beitrag auch nur irgend jemanden hier Helfen konnte, freuts mich, dann hab ich diesen Text nicht umsonst in die Tasten gehämmert!

mfg und cu

[slahn]

@ bundeskriminalamtt:
Ich verstehe leider nicht ganz, wie du vor gegangen bist
Von welcher version von Windows reden wir hier ?

[bundeskriminalamtt]

Zitat:

Zitat von slahn

@ bundeskriminalamtt:
Ich verstehe leider nicht ganz, wie du vor gegangen bist
Von welcher version von Windows reden wir hier ?

Ich nutze Windows Vista, Service Pack 1, meinst du das?

[slahn]

Sorry, Anscheinend habe ich schon so lange den Abgesicherten Modus nicht mehr verwenden müssen, dass ich irgendwie die Option "abgesicherten Modus mit Eingabeaufforderung" vergessen/verdrängt habe.

Tolle Erklärung, wenn sie auch noch Funktioniert (ich hab mich noch nicht infiziert und kann es somit nicht testen) ist es noch besser

Aber dein Name ist für dieses Thema halt ein wenig Böse

[lusche2008]

ich habs etwas anderst gemacht ...

PC starten - Abgesicherte Modus mit Eingabeaufforderung auswählen

Als Admin anmelden - Konsole startet - explorer eingeben

danach habe ich unter programme mir mein Malwarebytes' Anti-Malware gesucht und gestartet und suchen lassen er hat einträge gefunden die ich dann entfernt habe und neu gestartet ... und es ging wieder ....

Vorrausetzung ist man hat den Malwarebytes' Anti-Malware aufen Pc ....

[Espera]

Hey Leute!
also ich bin eine absolute niete was computer und so angeht.
jedenfalls habe ich mir diesen virus/ trojaner einfangen und habe dann (lacht mich nicht aus, aber ich hab anfangs überhaupt nicht an ein virus gedacht) beim bka auf ner hotline angerufen, die mir dann gesagt habe ich soll mich ans bsi wenden. die haben mir das kapersky empfohlen.
das programm ist jetzt schon 2 mal durchgelaufen und hat nichts gefunden. ich habe jetzt bei den einstellungen die leiste auf hoch gesetzt und er sucht wieder...
meint ihr er wird diesmal was finden?

ich würde es ja gern versuchen wie es hier empfohlen wird, aber ich versteh gar nichts

[pablo.rodriguez]

@espera

lies Dir bitte Beitrag #110 durch und gib Bescheid ob Du damit zurecht kommen würdest

[coolmarcel]

Wahrscheinlich hast du direkt nachdem das BIOS kam F8 gedrückt und dann auf:
"Computer reparieren". Das funzt aber nur bei Windows 7 und Windows 8.

[Walte]

Ist jemandem das Problem bekannt, dass man bei der Kaspersky-Rettungs-CD nicht das "A" zum Akzeptieren des Vertrages eingeben kann und daher nicht weiterkommt?

Versuche es jetzt auch mal mit abgesichertem Modus w/ Eingabeaufforderung, sollte doch auch unter Win7 klappen, oder?

danke bis hierhin für eure Tipps, leider hab ich's noch nicht bereinigt bekommen :/


__
EDIT: Danke @bundeskriminalamtt, lasse gerade den Spybot Search & Destroy drüberlaufen, hoffe der findet das. Malwarebytes werde ich mir holen, wenn das System wieder läuft.

--> "Gratuliere, es wurden keine Spione gefunden!" -.- Nächster Versuch: Avira AntiVir...

[pur.t.zel]

Hey! Habe mir auch diesen fiesen Virus gestern im Netz eingefangen. Bei mir ging auch nix. Task- Manager konnten wir nicht starten, im gesicherten Modus konnten wir auch nicht rein, schließlich haben wir beim Start F4 gedrückt und haben die Festplatte C plattgemacht, nur um auf Nummer sicher zu gehen.
Nun habe ich aber Angst, dass dieser Trojaner immer noch da ist, da er sich so vielfach einnistet.
Da ich eigentlich eine totale Niete in Punkto Computer bin, könnte mir da Einer helfen und mal sagen, wie ich es bis auf den Virencheck prüfen kann, bzw. wenn man die Platte platt macht, ist der dann auch wirklich weg?

[ckjthedogmaster]

Wenn du deine Festplatte platt gemacht hast, dann ist er so ziemlich sicher ausm System.

Bei anderen Viren ist es aber durchaus möglich, das sie sich z.b: auch auf D: oder anderen Laufwerken einnisten und beim Ausführen eine neuinfektion verursachen.

[masse01]

1.stecker ziehn! 2.beim hochfahren fragt der PC automatisch nach einer systemwiederherstellung muss man par mal probieren! hatte schon 2 fälle wo es geklapt hat !!!!! wer ein laptop hat akku raus und ans netzteil anschliesen dan hochfahren und netzstecker ziehn netzstecker wieder dran und neu starten....dan fragt das setup nach neustart euch ob normal starten oder starten mit systemwiederherstellung das 2. führt ihr aus ( systemwiederherstellung) das ganse ging bei 2 rechnern die win 7 drauf haben! bei xp hat i den fall noch nicht ! viel spass aber es geht zu 100% bei win 7 weil die systemwiederherstellung vom setup augefürt wirt und nicht unter dem betiebssystem was der virus ja blockt!!!! und habt geduld ihr müst es mermals probireren ...das setup zeigt die otion nicht gleich bein ersten mal an warum ist mir auch ein rätzel wen noch fragen sind ne mail an mich und i geb euch meine nummer und ich erklär euch das schritt für schrit am tel: wie ihr vor gehn müsst: MFG rene´