Hallo,

wir haben uns den BKA Virus eingefangen und nun versuchen wir diesen Startbildschirm der sich vorschiebt wieder los zu werden.

Wir haben Windows Vista.

Nach dem Doppelklicken der "Shell" ist explorer.exe bereits eingetragen.

Weiß jemand wie wir wieder Zugriff auf´s System bekommen???



P.S. Ich hoffe das das mit dem neuen Thema erstellen jetzt so richitg war...

Hallo Drahtwurm!

Leider habe und hatte ich nie Vista...
Ich hoffe einfach mal, das der Verzeichnisbaum gleich/ähnlich ist.

OK, Deine Explorer.exe wird geladen, das hatte ich ja in dem anderen Beitrag lesen können.

Das war ja auch genau der Trick, das halt genau an der Stelle, wo halt der
Aufruf für die explorer.exe war, eben jene nicht geladen wird, sondern der
hackscheiss.....

Aber irgendwo und irgendwie muss halt ein Fremdfile geladen werden, das ist
mal sicher.

Ich hab jetzt gerade keinen Plan, ob Du überhaupt irgendeinen zugriff aufs System hast? Was ist im Abgesicherten Modus?

Ok, mit dem Befehl "msconfig" und dann auf "Systemstart" kannst Du schon mal gucken, was da so alles beim Systemstart halt geladen wird.

"msconfig" lässt sich über die Taskleiste "Start" + "Ausführen" eingeben, solltest Du darauf im abgesichertem Modus Zugriff haben.

Klappt natürlich auch über den Windows-Task-Manager über "Neuer Task"
z.b. beim Abgesichertem Modus+Eingabeaufforderung/ STRG+Alt+Entf

Ok, viele Treiber und Module, die hier geladen werden, haben teilweise abenteuerliche Namen.
Aber meistens hilft ein Blick auf den Pfad, der rechts neben dem Dateinamen steht, um zu erahnen worum es sich handelt

Ein vermeindlicher Eindringling entpuppt sich dann auch mal schnell als
Tastatur-,Drucker- oder Webcamtreiber usw.

OK, im Zweifelsfalle hilft da auch mal plumpes googlen.

Allerdings lässt sich so eine professionelle Malware nicht aushebeln.
Sollte aber trotzdem immer die erste Anlaufstelle sein.

Ok, "regedit" kennst ja, da guckste dann auch noch mal schnell bei:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
und:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Da hab ich auch schon des öfteren den ein oder anderen "Besuch" aufgespürt!

Wenn Du das machst, guckste direkt an allen 3 Stellen, bei einem Neustart
zwischendurch, überschreiben die lieben Gäste auch gerne mal eine zuvor
geänderte Stelle wieder ^^

Achso, fast vergessen: Bei nem Freund von mir hatte ich letztens diesen fiesen .exe-file unter
C:\Dokumente und Einstellungen\*User*\Lokale Einstellungen\Temp
gefunden.

War ne zahlenkombination als name, falls das hilft, ka?
Naja, evtl haste ja Glück.

Ansonsten ist das wohl ein eher bescheidener Versuch Dir eine Hilfestellung anzubieten.
Ich hoffe die Profis hier im Board posten Dir noch eine kompetentere Lösung!

Ansonsten kann ich Dir nur raten, Dich für die Zukunft zu rüsten.
Es gibt da echt nette Software, die Deine gesamte Installation speichern, und im Falle eines Befalls, sie wieder zuverlässig herstellen.

Ok, nützt Dir jetzt erstmal nichts, das Kind ist ja bereits in den Brunnen gefallen.
Ich habe jetzt auch wissendlich keines dieser Produkte beim Namen genannt, weil ich die Boardregeln nicht verletzen möchte.
Hmm, weiß jetzt auch garnicht,ob das ein Verstoß gewesen wäre, aber ich bin mir sicher, das Dir hier auch noch geholfen wird.

MfG
Poolshark

Hallöchen nochmal!

Sry, hatte den Beitrag von Larusso nicht gelesen!
Sonst hätte ich mir alle weiteren Postings gespart!

So, nun mal los, Oton Larusso:
http://www.trojaner-board.de/97651-b...loesung-4.html


(1)Ich weiß nicht so ganz ob ich zu dieser Lösung was sagen soll, oder einfach mal die Klappe halten ( was mir besonders schwer fällt ).
(2) Rein theoretisch könnte ich auch eine .exe schreiben, welche man auf einen USB Stick speichert, Windows mit Eingabeaufforderung startet und dann die .exe ausführt.
(3) Warum hab ich das nicht gemacht ? Mal darüber nachdenken.
(4) Also bitte, spart euch solche Anleitungen. Sowas kann mehr kaput machen als wieder heile.
(5) Ausserdem möchte ich erneut darauf hinweisen, dass der Support in Malwareangelegenheiten ausschließlich dem Malware Team bzw Kompetenzteam erlaubt ist.
-------------------------------------------------------------------------

Zu 1: Was haste denn gegen die Lösung?
Zumindest beim Pako1 scheint es ja funktioniert zu haben.
Na klar hast Du mehr Plan von der Materie, hast aber keinen Versuch
unternommen Pakos Rechner wieder fit zu kriegen,oder?
Und wieso die Klappe halten? Weil Du es eh besser weisst und lieber für Dich behälst?
Oder besser noch, zeig mir meine Verfehlung auf; Was stimmt nicht an meinem Text?

Zu 2:gute Idee Meister, hab ich auch schon drüber nachgedacht

Zu 3:Komm ich nicht drauf, verrat mir Dein Geheimnis.....wäre doch ne
coole Sache den Leuten schnell und effektiv zu helfen

Zu 4: Hmm, ich dachte genau DARUM gehts hier im Board, den Leuten zu helfen...hmm komisch...und den "Originalzustand" der Reg wiederherzustellen
hat noch nichts verschlimmert. Was soll dabei kaputtgehen, was nicht schon kaputt ist?
Es geht doch NUR darum, die Veränderung, die durch die Malware entstanden ist, wieder rückgängig zu machen,oder ?

Zu 5: OK, mein Fehler, wusste wirklich nicht, das man sich hier nur als
"Opferlamm" anmelden kann und darf, um anschliessend um hilfe zu betteln zu können.

Ich war so naiv zu denken, das man hier auch seine Lösungsansätze posten darf, die dann von den Profis ergänzt und/oder korrigiert werden.

OK, Euer Board, Eure Regeln, dem werd ich mich fügen und bitte um die deaktivierung meines Accounts.

Ich gehe mal davon aus, das auf dieses Posting eine herbe Gegendarstellung erfolgt und dann der Thread geschlossen wird, damit der Spinner Poolshark keine Gelegenheit erhält weiterhin zu stören......oder das Posting komplett
entfernt wird...zumindest würde mich das nicht wundern.

Und Dein: Lerne zurück zu schlagen und unterstütze uns! Kannste Dir auch sparen, das wirkt irreführend!

Eigendlich liegt mir jetzt noch was "derbes" auf der Zunge, das ich mir aber
zähneknirschend erspare...... machts gut Leute, bb


P.S. Ich werde Deinen Post mal auf meinem Board veröffentlichen, damit die Leute mal was zum lachen haben, das wird ein Spaß! Motto: Arroganz mal ganz anders.......

Zitat:

Zitat von Poolshark

OK, Euer Board, Eure Regeln, dem werd ich mich fügen ...

Und warum verstößt du genau jetzt noch weiter dagegen?
"Hier" ist das Unterforum "Sicherheit" => "Diskussion" => "Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches. Störer werden "sanft aus dem Raum begleitet"."
(Subforenuntertitel noch einmal für Leseschwache wiederholt.)Zu behaupten man hielte sich an Regeln mit gleichzeitigem und wiederholtem Verstoß ist schon recht dreist.
Wenn du über etwas diskutieren willst, dann mache es bitte im jeweils dafür vorgesehen Bereich.

Zitat:

Zitat von Shadow

Und warum verstößt du genau jetzt noch weiter dagegen?
"Hier" ist das Unterforum "Sicherheit" => "Diskussion" => "[I]Hier sind ausschließlich fachspezifische Diskussionen erwünscht.

Hallo Shadow!
Ja, die Kritik ist wohl berechtigt; Den Schuh muss ich mir wohl anziehen.
Der Eröffner hat seinen Post wohl im "falschem Bereich" gepostet und ich Depp bin gleich hinterher.

Man hätte ja jetzt auch den Post, mit einem Hinweis versehen, einfach in die richtige Zone verschieben könnne, aber das bleibt natürlich Euch überlassen und geht mich weiter nichts an.

OK, die ein oder andere Bemerkung hätte ich mir auch sparen sollen.
Unterm Strich bin ich da auch wohl zu weit gegangen und möchte mich dafür
entschuldigen.

Ich werde Eure Community nicht weiter stören und wünsche weiterhin viel Erfolg.

Grüße,
Poolshark