Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Weißer Bildschirm, nichts geht mehr (https://www.trojaner-board.de/137155-weisser-bildschirm-nichts-geht-mehr.html)

AUGUST 25.06.2013 12:09
Weißer Bildschirm, nichts geht mehr
 
hatte gerade das Gleiche Problem habe es ganz einfach wegbekommen

PC im Abgesicherten Modus mit eingabeauforderung Hochfahren
im Schwarzen CMD.exe Fenster Explorer.exe eingeben dann kannst du scon einmal wieder auf deinen Desktop und Arbeitsplatz zugreifen

als nächstes in der Eingabeaufforderung cmd.exe regedit eingeben

im Regedit Fester auf HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Shell gehen und den Eintrag bei Shell Kontrolieren

bei mir sah dieser Folgender masen aus explorer.exe C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Skype.dat aus

im Prinzip wird bem Booten des Rechners diesmal zwar die explorer.exe geladen aber gleich dannach auch die Virus Datei bei einem anderen rechner war dort eine Batch datei geladen worden und anstatt explorer.exe die cmd.exe welche die Batch ausgeführt hat

ok nun ändern wir den eintrag der Shell einfach in explorer.exe alles andere im Shell eintrag weglöschen \ Speichern \ PC Neustarten oder gleich die Datei C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Skype.dat Umbenennen oder Löschen

Dannach Malwarebytes CCCleaner Spybot Search and Destroy über den Rechner laufen lassen und er sollte wieder halbwegs sauber sein

mfg. August

mort 25.06.2013 12:33
Du kannst auch msconfig starten und es dort (zum teil) entfernen. Währe auch sicherer.
Man sollte aber nicht in der Registry spielen, da es das System schrotten kann. Besonders bei Leuten, die sich nicht auskennen. Auch Registry Cleaner wie CCleaner können das System zerstören.

AUGUST 25.06.2013 12:37
im msconfig wirst du nur keinen eintrag finden entweder ist er Blank also ohne irgendwelche infos oder ab und an mal wird der BKA GVU Trojaner/Loader auch als dienst ausgeführt mit ganz ominösen namen

so wie jetzt im Beschriebenen fall tarnt er sich als Skype.dat da nun mal ettliche Leute auch skype nutzen kann man natürlich alle Autostart einträge wegmachen allerdings brachte es in diesen Falle nichts da der Load Prozess direkt über die Shell statgefunden hat und nicht im Autostart zu finden war

habe noch nie gesehen das explorer.exe über msconfig im Autostart steht ;)

ansonsten hast du recht das man in der Registry nicht herumspielen sollte allerdings gibt es standard Einträge wo man nachsehen kann ob die auch so drinstehen wie sie es sollten

aharonov 25.06.2013 12:43
Von solch handgestrickten Anleitungen würd ich abraten.

Auch wenn es so ohne Zweifel klappt, den Sperrbildschirm dieser speziellen Variante zu entfernen, weiss man nicht, was sonst noch alles mitgekommen ist..

Denn das
Zitat:
Dannach Malwarebytes CCCleaner Spybot Search and Destroy über den Rechner laufen lassen und er sollte wieder halbwegs sauber sein
reicht nicht.

Wer von solchem Malwarebefall betroffen ist, sollte hier einen neuen Thread erstellen, dann nehmen wir den Rechner genauer unter die Lupe.

mort 25.06.2013 12:44
@AUGUST Das ist schon klar, aber Autostart Einträge stehen drin.

HardStylerx3 25.06.2013 12:44
es gibt kein allheilmittel.

Es ist auch heufig nicht skype.dat sondern ein anderer dateiname.

ich hab z.B die kollegen vor ein paar wochen entfernt. und heute nochmal gescannt auf virustotal.

https://www.virustotal.com/de/file/c...is/1372148217/

https://www.virustotal.com/de/file/4...is/1372148383/


ich weis nicht ob beim zweiten das zippen soviel ausmacht aber ich denke nicht ;)

mfg HardStylerx3

ps: ich sollte mir mal ne sammlung anlegen :P

AUGUST 25.06.2013 12:54
Natürlich kann man sich nicht sicher sein ob der Rechner sauber ist dazu gehört noch viel mehr

Ich empfehle ja nicht um sonst mit einem Eingeschränkten Konto im netz zu Surfen, Regelmässige Backups von Rechnern zu machen, oder einfach Ominöse Websites ala Youporn usw zu meiden

habe in den Letzten wochen wieder vermehrt diese Dinger entfernen können bei einigen war eine ganze Sammlung an Harmlosen Tools mt dabeigewesen bei anderen hatte ein schnelles Eingreifen des Benutzers (Stecker vom Netzwerk ziehen) das Nachladen unterbunden

auf alle Fäle ziehen alle diese BKA/UGV Trojaner noch ettliche standard Admin Tools oder auch kleine Hilfsmittelchen mit sich mit

nicht einmal nach den Datum kann man gehen da auch das Erstellungsdatum der Dateien angepasst wird um ein Jahr zurück oder zu anderen Zeitpunkten

Im Prinzip dient dieser thread eher dem Erfahrungsaustausch eventuell auch um zu sehen wo welche einträge verändert werden vieleicht vereinfacht das jemanden das entfernen dieses Lästigen Plagegeistes

da ist eine Diskussion denke ich über 100% Sauber oder nicht wie wir alle wissen eh fehl am Platz den die 100% Sicherheit nach egal welchen Virus ist nie gegeben

aber zumindest hat der Benutzer wieder Zugriff auf seinen Rechner um seine Daten zu Sichern und eine Umdenken in Sachen Sicherheit Vorzubereiten (Neuinstallation, Passwortänderungen usw.)

@ Hardstylerx3 ja oftmals habe ich auch diese Zahlen Buchstaben Kombination gesehen welche Automatisch generiert wird aber im momment werden immer mehr namen von Realen Dateien verwendet

hier mal die Skype.dt https://www.virustotal.com/de/file/436e758bc9c2579b58f560446ed3786c6bdca3fe4d2f329f9f34235605533794/analysis/1372161978/


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131