Heyho, frohes Neues, ich schau auch mal wieder vorbei.

Ich komme zurzeit an einer Stelle einfach nicht weiter :confused:
-> http://www.chip.de/news/Bundespolizei-Virus-entfernen-So-werden-Sie-ihn-wieder-los_50761972.html

Sollte einigen ein Begriff sein, dass dies zurzeit ein sehr sehr bekannter Virus ist. Hab den auch schon bei etlichen Freunden wieder entfernt, abgesichterter Modus und dann entweder die .dll im Autostart für alle User geloescht oder eben via Registry die Schlüssel geloescht.

Jetzt hab ich das Notebook meiner Freundin vor mir und zweifel langsam an mir selbst. Der userbezogene Autostart + Autostart für alle User ist leer(systemdateien + versteckte Dateien hab ich anzeigen lassen in den Ordneroptionen) trotzdem nichts darin. Registry-Werte _komplett_ bereinigt. Also den Run-Ordner, war ein verdaechtiger Eintrag -> geloescht, nachdem es nicht geklappt hat, hab ich einfach alles bereinigt.

Trotzdem kommt immernoch dieses hässliche Vollbild + taskmanager/explorer/taskbar Disabler.

______ während dem Beitrag geht mir grad ein Lichtlein auf, was ich spaeter noch ausprobieren werde. Koennt ihr das bestaetigen?
Werden Programme/Shortcuts noch _zusätzlich_ von "msconfig" unter "Systemstart" geladen, OBWOHL kein Registry Wert vorhanden ist und nichts im Autostart? Oder greift msconfig auch nur auf die Registry zu? Weil msconfig hab ich noch nicht nachgeschaut, faellt mir gerade ein.

Ansonsten noch Ideen/Anregungen woher es geladen werden koennte?

thanks for help!

Schau mal hier, vllt hilfts ja: http://www.youtube.com/watch?v=yzTKfL9aS3M&feature=channel_video_title

Also mein Vater hatte auch mal das Virus und als ich es unter MSConfig -> Systemstart deaktiviert hatte (mahmud.exe) kam nichts mehr.

https://www.youtube.com/watch?v=yzTKfL9aS3M
https://www.youtube.com/watch?v=bsv0fV5eATE

Ich kann dir (bei jeder Infektion, egal mit welchem Virus / Trojaner) nur raten das System am besten neu aufzusetzen.

Du kannst dir manchmal einfach nicht 100% sicher sein ob der Virus nicht noch irgendwas am System verändert hat, bzw: irgendwas hinterlassen hat.

Dadurch kann natürlich die Systemstabilität und Sicherheit nicht mehr komplett gewährleistet sein.

Außerdem geht ein Neuaufsetzen (+Backups) doch recht flott.

MfG

Der Trojaner ist in seiner Programmierung aber nicht auf ersichtlich intelligente Selbsterhaltung ausgelegt. Deswegen werde ich das neu Aufsetzen erst demnaechst machen wenn ich dazu komme.

Danke für die Videos! Ich werd dann noch kurz Rückmeldung geben.

Falls es dem ein oder anderen hilft, mir ist selbst noch etwas eingefallen:

Abgesicherter modus -> Registry Editor-> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon -> "Shell" Pfad zu "explorer.exe" aendern und die Datei des ursprünglichen Shell Pfads manuell loeschen.

Eventuell schafft das auch Abhilfe.

Ich kann dir dazu empfehlen: http://free-hack.com/showthread.php?t=71844 - Eine andere Möglichkeit bedauerlicherweiße nicht.

Der GEMA Virus sieht aber besser aus.
Und soll auch tiefer sitzen.
Weiß jemand zufällig ob es n gen für den Gema Virus oder so gibt?
Hätte ihn gerne.
Mfg Pwn3r

msconfig.exe->systemstart

Dann bei allen unbekannten (die nicht von Microsoft sind) Programme Häkchen raus.
Und nun erscheint der Virus nicht mehr. (Achtung: Der Virus wurde noch nicht entfernt, nur deaktiviert.)

Weiß jemand zufällig ob es n gen für den Gema Virus oder so gibt?
Selber schreiben ist angesagt.

http://bka-trojaner.de/
vllt kann das hier weiter helfen.

MSConfig -> Pfad rausgesucht - war mit in AppData wo ich sogar schon nachgesehen hatte, aber ziemlich gut als Firefox Ordner getarnt.

Systemwiederherstellung
Hijackthis
Msconfig, Registry Startups
Desinfec´t
-> fertig

Um diesen Schwachsinn wegzukriegen muss normalerweise eine kostenpflichtige Nummer anrufen (Dort wird einem dann der Unlockcode mitgeteilt) oder sonst irgendwie den nötigen code rauskriegen und eingeben.
Meistens deinstalliert sich diese Scarware (KEIN VIRUS) dann vollständig.
Xylitol postet oft die Nummer und den zugehörigen Code, sonst auf kernelmode.info nachgucken.

Soweit ich weiß reichte es bei dem Bundspolizei ding wenn man irgendeine 16 stellige Nummer eingab.

Vielleicht sind die neueren Versionen auch schon im MBR, in dem Fall also fixmbr für > XP, für XP gibt es da keine eigenen Windowsmittel allerdings können viele Backup und Rescuedisks etwas ähnliches.
Auf jeden Fall sollte man sich als Schutz vor soetwas EBFEs projekt mal anschuen.



Weiß jemand zufällig ob es n gen für den Gema Virus oder so gibt?
Hätte ihn gerne.
Erstens ist selbst programmieren tatsächlich nicht so schwer (Stichwort: SwitchDesktop()) und zweitens: Ja es gibt 'gen' oder Builder für ähnliches.
Allerdings ist es um längen einfacher sich bei einem der vielen PPI dienste anzumelden, die versorgen einen dann mit der exe und bezahlen pro inifiziertem PC.
Also der Traum jedes Bifrost kiddies (Obwohl der wahre Traum wahrscheinlich mehr in Richtung Ad-Hijacking usw geht damit man seine hard erspreadten Victims nicht direkt verliert)

Ich fasse es nicht, ich hatte ebend diesen scheiß Trojaner drauf.. und ich dachte mein System ist sicher aber es reicht ja das anklicken von einem Video und zack... hab den rotz mit Systemwiederherstellung entfernt aber ich würde trotzdem gerne mal wissen, welche guten Programme nützlich wären, dass der nicht nochmal drauf kommen kann?

noscript, firefox aktuell halten, java aus, antivirus programm, eventuell noch threatfire wenn das antiviren programm keinen echtzeitschutz hat. und brain.exe (nicht jeden scheiss anklicken oder runterladen.)

damit solltest das teil nicht so einfach mehr bekommen.