Ich hab beruflich in letzter Zeit mit einer extremen Version des Viruses zu tun, alle bisherigen Wege zeigten keinerlei Wirkung und er Regenerierte sich ständig neu.
Der Weg zeigt eine 100% zerstörrung des Viruses der sich mit einem aus XP Zeiten bekannten Ausschaltvirus verbunden hat.



BKA/GVU Ganz schwere Version
Wenn selbst im Abgesicherten Modus mit Eingabeaufforderung der Virus screen erscheint ist es die schwerste mir bekannte Version.
Nach langer Arbeit endlich am Ziel:
..Entweder Platte abschliesen und extern die regedit bearbeiten oder bei Möglichkeit im Abgesicherten Modus (egal welcher).
…*Username*PC Blau unterlegen – auf bearbeiten (oben Reitermenue) dort auf suchen -> erstmal die ctfmon.exe – löschen erneut suchen und wieder löschen, wiederholen bis keine Suchtreffer mehr da sind!!! Dann msconfig.lnk (kleines L) suchen und löschen – bis keine Treffer mehr in der suche vorhanden sind. Nachdem keine Treffer mehr vorhanden sind, nach geänderten reg.. Einträgen suchen, shell wieder auf explorer.exe, abändern.
Nach abschluß nicht explorer starten, da der Virus immer noch aktiv aber nicht mehr ausgeführt wird. Herunterfahren, Festplatte ausbauen und extern an einem anderen Rechner anschließen und von dort auf die Benutzerkonten zugreifen, (Ausgeblendete Systemdateien aktivieren + die Verstecken), alle APPdata Ordner durchsuchen und *.dat dateien entfernen (löschen). Platte wieder einbauen, starten – freuen.
Im Abschluss noch von jedem Browser die Downloads und Verlauf löschen. Den Windows eigenen Downloadordner leeren – nicht vergessen den Mülleimer auf dem Desktop leeren.
Danach eine Gescheite AntiVirensoftware Installieren.

hi
und wenn andere malware drauf ist, die malware nicht als dat file gestartet wird etc? solche anleitungen sind eher halbherzig und sollten daher nicht benutzt werden, da via exploit packs noch anderes nachgeladen werden kann
wieso sollte man die ctfmon.exe löschen, die ist legitim
warum alle +*.dat löschen, es gibt legitime...

Hallo markusg,
das die beschreibung Halbherzig ist, geb ich dir vollkommen recht. Aber der tiefere Sinn liegt wie beschrieben darin, das es eine modifizierte neue Version des GVU gibt.
Wie ich über 3 Tage feststellen konnte, hängt diese Art nicht hinter der explorer.exe, irgendwas ran das man ihn vll. leichter finden könnte, nein vielmehr verfälscht diese Art bzw. Version die Regestry ganz tief im System.
Diese Version hat den normalen GVU-Screen, mit den sofort abmelde efekt (in allen abgesicherten) und den spaßigen Verschlüssler.
Mit jedem normalen Weg wie hier im gesamten Forum beschrieben, bekommst du Ihn nicht geschlagen. Da ich hier auf 3 Tage jeden Weg angewendet habe und kläglich Versagt habe, habe ich den Weg im ersten Post erstellt - als kleine hilfestellung für euch die sich damit auskennen.
Will ja nichts sagen, ich verstehe ja wohl nicht viel davon, wie dein Post sich liest (wie ich das deute). Nein, verstehe wirklich nichts davon (ironie) ich arbeite ja nur als Leiter der Technik in einem IT-Fachhaus als Zertifizierter Virenspezialist (Kas.....).

Mit den *.dat dateien magst du recht haben, man sollte sie sich genau anschauen. Aber erklär mal einen Skype-benutzer das (ach welch Wunder) der BKA-Virus in Urform meißt als skype.dat auf fast jeden Rechner zu finden ist (ca. 70% meiner Fälle).

So, falls du dich jetzt Angegriffen füllst, war nicht gewollt - ich habe wie jeder Mensch auch einige Macken. Aber den Weg in Post 1 habe ich reingestellt als ich ca. 49 Stunden mit paar Kaffepausen die verschlüsselung des Virus (thermik) entschlüsselt habe.

Also denn, ein einfacherer Weg für Homeanwender wird erstellt und der erste Post damit ersetzt.

hi,
natürlich bekommst du ihn gelöschst mit unseren Methoden, sonst hätten wir ja dauernd unzufriedene Nutzer bei denen der Sperbildschirm noch aktiv ist :-)
die von dir beschriebene Variannte gibts schon ne weile.