Guten Abend die Damen und Herren,

ich komm nicht umhin hier eine Frage anzubringen, nachdem ich grad auf unliebsame Weise mit der jashla.exe Bekanntschaft gemacht habe.
Das Entfernen war nicht ganz so dramatisch, wie es sich hier in einigen Threads darstellt, aber es ist schon ärgerlich, dass so etwas passiert.
Deshalb möchte ich hier einfach einmal die Frage loswerden, wie der Spass auf den Rechner gelangen kann, also welchen Weg bzw. Wege diese Software nutzt um ein System zu sabotieren. Man kann ja nicht umhin festzustellen, dass die Idee in der Einfachheit und Effektivität schon beachtenswert ist.

Da sich hier ja viele Experten rumtreiben die die Software auch unfreiwillig eingesammelt haben und Experten die scheinbar kaum mit den Anfragen hinterher kommen, denke ich, kann ich hier vll. eine Antwort finden. Per Google lande ich ausschließlich auf Boards mit Hilfegesuchen - aber gOOgle und ich stehen seit Ewigkeiten auf Kriegsfuß

So, ein paar Einzelheiten. Bei mir läuft Win7 64Bit Pro. Das System ist auf dem aktuellsten Stand. Der Defender lief mit, aber beim Überfliegen der einzelnen Threads, auch in anderen Foren, ist das in dem Fall scheinbar genauso effektiv gegen jashla, wie eine abgelegte Fliegenklatsche auf dem Monitor.
Im Netz unterwegs war ich mit dem IE9. Lediglich gesurft. Kein DL, Mehr gibt es schon nicht zu sagen zu dem Thema.

Also hier die Quintessenz für die Lesefaulen: Welchen Weg nimmt jashla um den explorer zu ersetzen?


MfG
Quix


PS: Zum fixen eine kurze Übersicht der Schritte (der Vollständigkeit halber)
Ein Zweitnutzer, vorzugsweise mit Amdinrechten, ist Gold wert. Kein Fingerbrechen mit abgesicherten Modus starten, kein Taskmanager usw usf.
Mit WinTaste und Tab erkennt man das Dilemmena - ein übergelagertes Programm, also strg-alt-entf - abmelden - mit einem anderen User anmelden.

Die Idee dafür war schon der schwierigste Teil. Der Rest ist ja Dank der vielen netten Virenschreiber leider schon fast Routine. Virendefinition bei avira gesucht und die Punkte abgearbeitet.
zusätzlich der dort aufgelistetn Punkte noch die run, runonce von hklm, hkcu durchsucht.
Das System an sich Läuft bereits wieder, wenn die Datei jashla.exe im AppData/Roaming des betroffenen Users umbenannt wird (vorzugsweise das letzte e durch unterstrich )

PPS: da ich ja nun ein Account, nur für diese Frage angelegt habe, werde ich am WE mal die Odysse mit den Programmen abarbeiten.

Zitat:

Also hier die Quintessenz für die Lesefaulen: Welchen Weg nimmt jashla um den explorer zu ersetzen?

Ich vermute hier, dass Sicherheitslücken in alter Software ausgenutzt wurde. Also sowas wie Java RE, Flashplayer oder ein PDF-Viewer-Plugin im Browser.
Du schreibst, dein System sei auf dem aktuellsten Stand gewesen, betraf das auch die o.g. Software? Nur Betriebsystem aktualisieren reicht schon lange nicht mehr aus.
Ich weiß allerdings nicht, ob auch zwingend Adminrechte im Spiel sein müssen, ist ja auch nur eine Vermutung, dass Sicherheitslücken in veralteten Browserplugins ausgenutzt werden.

Edit: Hier ist auch ein Fall, wo ein Schädling über Facebook heruntergeladen und ausgeführt wurde => http://www.trojaner-board.de/102723-...-trojaner.html
Offensichtlich hat dieser weitere Schadsoftware in Form das BKA-Fakes installiert.

Guten Morgen,

ja, die ganzen kleinen Gimmickprogramme sind natürlich nicht immer auf dem neuesten Stand.
Grad Java ist ca. ein Jahr alt. Als PDF wird PDF-XChange-Viewer genutzt, der auch schon mind. 6 Monate auf dem Buckel hat. Flash wird umgehend installiert, wenn auf dem Monitor erscheint neue Version gefunden.
Ich pers. tippe auf den Weg per Flash - das Ersetzen bzw. Überlagern des Explorers zur Laufzeit ist meinen Augen schon ein Indiz dafür.