[Tutorial]Wie werde ich den BKA/Polizei - Paysafecard Virus los

  • Moin,
    aus gegebenen Anlass werde ich euch jetzt ein kleines Tutorial schreiben. Heute Morgen hat es mich leider erwischt, hätte nie gedacht, dass in AlterIWnet für MW3 der Virus steckt. Naja, egal.
    Folgendes:
    Wenn sich auf eurem Bildschirm ein weißes Fenster ohne Grund öffnet und euer Antiviren Programm diese Aktion verhindern kann, indem es euch fragt ob ihr diese Aktion zulassen wollt, klickt nein! Mein Fehler wars, dass ich gedacht habe COD MW3 öffnet sich. Dann habt ihr erstmal verloren. Der Taskmanager geht nicht mehr, ihr könnt noch nichtmal dauerthaft wieder auf den Desktop switchen.


    Die (vorrübergehende) Lösung:

    • Startet den PC im Abgesicherten Modus mit Netzwerktreibern neu. Hier greift der Virus nicht, euer Antivir ist hier leider auch nutzlos.
    • Jetzt merkt ihr wahrscheinlich, dass ihr keine Rechtsklicks mehr machen könnt. Das macht aber erstmal nicht. Ihr geht auf Start->Ausführen (War bei mir nicht mehr in der Suche zu finden, genauso wenig CMD)
    • Zwischenschritt falls ihr diese 2 Sachen nicht in der Suche findet: Öffnet den Editor, schreibt "start" rein und speichert diese Datei auf dem Desktop. Die Dateienden muss .bat sein.
    • Nun doppelklickt ihr eure .bat Datei. Die CMD Box müsste sich nun geöffnet haben. In dieser gebt ihr "msconfig" ein. Die Systemkonfiguration öffnet sich.
    • Jetzt geht ihr wenn ihr Vista/7 habt auf Systemstart und deaktiviert den Eintrag: "winlog", der Hersteller sollte unbekannt sein.


    Wenn ihr diese Schritte erfolgreich durchgeführt habt startet den PC normal, ihr seid aber noch nicht fertig, denn jetzt müsst ihr schnell sein. Sobald das "Windows wird gestartet" Bild weg ist, drückt ihr STRG+Alt+Entf und öffnet den Taskmanager. Hier befindet sich 2 mal der Prozess "winlog". Wenn ihr eine 32Bit Windows Version habt müsst ihr euch beeilen und schnell eine aussuchen und den Prozess beenden. Habt ihr den richtigen erwischt startet Windows normal. Bei 64Bit Systemen ist das ganze schon einfacher. Der falsche "winlog" Prozess hat nämlich ein *32 hinter dem Namen ;) .
    Wenn Windows dann wieder richtig startet, wiederholt den Schritt mit der Systemkonfiguration damit ihr nicht bei jedem Systemstart einen Prozess beenden müsst. Nun sichert ihr euch am besten alle wichtigen Dateien und macht eine Systemwiederherstellung. Der Rechtsklick und Diverse andere Sachen von Microsoft bleiben leider deaktiviert. Ich hab keine möglichkeit gefunden diese zu aktivieren. Oder ihr installiert einfach Windows neu^^


    Achtung: Diese Schritte funktionieren nur bei dem Virus, bei dem der winlog-Prozess betroffen ist!


    Ich hoffe ich konnte euch damit ein wenig helfen :)

  • Im Abgesicherten Modus sparst du dir das anlegen einer .bat datei usw.
    Es wird nix geladen und du kannst alles ganz sauber Starten.


    ggf. lässte dann die Virenscanner durchlaufen usw.


    du kannst normal taskmanager aufrufen, msconfig starten usw.

  • Das so Geil, Sorry, PSC Polizei/BKA ;DD ! Naja... wer das Zahlt der solls zahlen!

  • Im Abgesicherten Modus sparst du dir das anlegen einer .bat datei usw.
    Es wird nix geladen und du kannst alles ganz sauber Starten.


    ggf. lässte dann die Virenscanner durchlaufen usw.


    du kannst normal taskmanager aufrufen, msconfig starten usw.


    Bei dem Virus, den ich hatte konntest du die oben genannten Dinge eben auch nicht ;) Außerdem musst du erstmal rausfinden was genau infiziert ist.

  • Wie ich Viruse hasse!
    Und dan noch so welche, die den Pc steuern .....

  • Wie ich Viruse hasse!
    Und dan noch so welche, die den Pc steuern .....


    Es heißt Viren ;)


    Schön das du das erlärt hast ist mal eine alternative für die SemperVideo Methode.
    Aber der Virus trägt sich nicht immer als winlog ein sondern auch als Firefox usw. ein.
    Die Schritte zum entfernen müssten aber noch die gleichen sein ;)
    Du könntest den Virus auch komplet löschen (von der Platte auch) der pfad zum virus steht in msconfig drin,
    der führt im normalfall nach Appdata (Ausführen -> %Appdata%) wenn du den löscht bist du wieder sicher (dein Antivirus erledigt das vll. auch für dich)
    Den Taskmanager freizustellen ist schon etwas schwerer da du nicht mehr auf regedit zugreifen kannst (ausser mit der SemperVideo Methode).
    man könnte ja versuchen ob ccleaner die einträge auch löschen würde :p


    Ach hier link zu SemperVideo: Link

  • Mich hats eben erwischt.. wollte nen Anime auf ner Stream Seite anschauen ._.


    Leider funktioniert das bei mir nicht. Ich kann weder auf start klicken noch rechtsklick machen etc.
    Ich bitte um Hilfe kenn mich in der Richtung nich so aus ^^ bin jetzt über nen notebook im Forum

  • Als ich den Gema-Virus hatte (ist schwerer zu entfernen) hab ich den über die Registry, autostart, Windows Verzeichnis und abgesicherten Modus gelöscht.
    Kurz gesagt -> PC nach 2 Tagen neu gemacht aus angst eines Trojaner Downloaders...

  • Hier scheitert es bei mir. Ich finde in dem Verzeichniss lediglich: (standard), Build Number, ExcludeProifleDirs, FirstLogon, ParaseAutoexec



    @Agida - geht ja nicht das fenster ist immer im Vordergrund. Selbst dder Taskmanager rutscht nach hinten.

  • iBlacky Wie gesagt, einfach mal mit Linux booten, dann halt die Systemwiederherstellung auf die erweiterte Hilfe oder so klicken, halt wie mit CMD, nur mit der SYSWH


    @Robbe Über Registry, der Virus startet sich aber immer noch :) Dann fügt er die Einträge wieder hinzu..

  • Zitat

    Windows 7: HKEY_Current_User\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\Winlogon

    1x war ich da drinne und dann bei HKEY_LOCAL_MACHINE


    War aber schon etwas her. Villeicht werd ich mal ein Video mit ner Virtuellen Maschine machen. Also PC-System im PC und mir da den Virus draufziehen.

    Det blæser en halv pelikan.

    I may look calm. But inside my mind I have killed you 20 times in 5 minutes in 20 different ways.