Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bundeskriminalamt Trojaner, Ukash (https://www.trojaner-board.de/97551-bundeskriminalamt-trojaner-ukash.html)

gst 16.04.2011 13:01
Bundeskriminalamt Trojaner, Ukash
 
Ich habe so einen Rechner bekommen, der nur noch das bekannte Logo zeigt, daß man 100 Euro per Ukash bezahlen soll, und der Rechner wird freigeschaltet.
Ob das so stimmt, weiß ich nicht, im Netz hieß es, dass das Geld futsch ist.
Ich habe den Trojaner erstmal kurzfristig ausser Kraft gesetzt. Vom Rechner entfernen war nicht nicht die Rede, aber ich komme wieder ins System.
Unter XP ging das so:
Beim Starten läuft der Windows-Bildschirm, die og. nette Seite ist noch nicht da. Dabei versucht man schon, über Strg-Alt-Ent den Taskmanager zu starten. Wenn das dumme Bild zu sehen ist, ist alles zu spät-> Neustart, nächster Versuch.
Wenn man den Task-Manager hat, schon halbe Miete.
Dann "Datei" - (Neuer Task) Ausführen anwählen.
In das Fenster gibt man
regedit
ein. Man kann viel falsch machen, und tut alles auf eigene Gefahr!
Man klickt sich unter Arbeitsplatz (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon) zu Winlogon hin.

Winlogon hat einige Einträge, ca eine Seite. Man sucht den Eintrag "Shell".
Wenn da nicht "Explorer.exe" steht, hat man die richtige Stelle gefunden. Man schreibt den Eintrag ab (zum späteren Löschen) und überschreibt das Feld mit "Explorer.exe" (Die Anführungszeichen natürlich nicht!)
Regedit beenden, im Browser den Verlauf löschen und die vorher unter Shell benannte Datei finden und löschen.
Rechner herunterfahren.
Dann mit der aktuellste Viren-CD z.B. von Avira (möglichst von heute) booten und die Viren-Install Datei etc löschen. Der Rechner ist sicher nicht völlig frei, aber man wieder herankommen. Die sauberste Lösung ist definitiv plattmachen und Neuinstallation und keine mehr Porno-Seiten aufrufen!
gst

markusg 16.04.2011 14:46
hast du ne ahnung wo du dir den eingefangen hast? link per pm bitte.
und ich möchte jedem davon abraten in der registry rum zu fummeln, der davon keine ahnung hatt, sonst hat er am ende ein nicht bootbares system
formatierst du oder willst du bereinigen.

gst 16.04.2011 18:02
Zitat:
"Man kann viel falsch machen, und tut alles auf eigene Gefahr!"
Einige Leute hatten arg Streß, überhaupt an ihre Daten heranzukommen, und da ist die von mir dargestellte Krücke besser als nichts. Die Datei, die offenbar nach Entpacken die explorer.exe ersetzt, wird jedenfalls nicht durch Avira erkannt, (aktuellste version) sondern nur die heruntergeladene Version. Einen befallenen Rechner kann man derzeit nur über den Eingriff in die Registry wieder von der eigenen Festplatte hochfahren.
Der Rechner ist von einem Kriminalbeamten, der für seinen Vortrag zur Gewaltprävention unter dem Punkt Pädophilie ein paar abschreckende Beispiele bringen wollte und dabei gleich unfreiwillig einen Beleg über die Gefahren des Internets mit einkassierte.
gst

markusg 16.04.2011 18:04
nein man muss nicht per hand an die registry, wir machen das ja hier auch mit bootbaren cds.
das beantwortet nicht meine frage ob du einen dropper hast, oder einen link, den ich gern als private nachicht hätte


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19