Die Meldung sieht so aus:
Das EJPD wolle einem belangen, natürlich in Zusammenarbeit mit Microsoft und dergleichen. Der Trojaner ist ziemlich aufwendig gestaltet und - das ist die Krux am Ganzen - man gelangt kaum mehr zu seinem Desktop.
Was ist hier zu tun? Ich habe mir mal die Zeit genommen und das Ding analysiert.
Meines Erachtens wird der Trojaner über Java auf die Kiste geladen - wahrscheinlich, wenn ihr im Internet den FlashPlayer benötigt, ein PDF öffnet oder dergleichen. Angezeigt wird dann ein Java-Update, dass den Computer ohne Vorwarnung bootet. Startet er dann wieder auf, habt ihr den Trojaner auf eurem Gerät.
Fakt ist, dass freie Anti-Virus-Software den Trojaner nicht erkennt (etwa Avira). Einzig die herkömmlichen, marktführenden Programme von Kaperski oder Norton können dies. Empfehlenswert ist ebenfalls Eset NOD32-Antivirus.
Aber auch ohne kostspieliges Anti-Virus kriegt man das Ding von seiner Kiste weg.
Als erstes muss man mal zu seinem Desktop gelangen. Mit der Tastenkombination Alt + Ctrl + Delete gelangt man ins Windows-Benutzermenü. Es reicht nicht, den Taskmanager zu starten; dieser wird geblockt. Am besten klickt ihr auf "Benutzer abmelden".
Da der Trojaner nun auch das Abmelden blocken will, erscheint die Meldung, dass ein Programm nicht beendet werden kann. Jetzt einfach auf Abbrechen klicken und schon seit ihr in eurem Desktop angelangt.
Nun wird's tricky: Entweder ihr aktualisiert mal euer Anti-Virus und schaut, ob was gefunden wird.
Wenn ja: Glück gehabt. Wenn nein: Jetzt dürft ihr ein wenig Informatiker spielen.
Solltet ihr nicht auf euren Desktop gelangen, dann startet eure Kiste neu, drückt während des Bootens auf F8 und wählt die Option "Abgesicherter Modus mit Eingabeaufforderung" aus. Die Anleitung fürs weitere Vorgehen findet ihr hier.
Weiter im Text:
Als erstes öffnet ihr "regedit". Das ist eine Win-Funktion, bei der ihr eure Registry-Einträge überprüfen könnt. Einfach auf Start und dann bei "Programme suchen" regedit eingeben - dann solltet ihr es finden.
Folgenden Pfad bitte eingeben bzw. suchen:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
Dort müsst ihr nun den Eintrag "Shell" auswählen. Das sieht so aus:
Was ist hier zu tun? Ich habe mir mal die Zeit genommen und das Ding analysiert.
Meines Erachtens wird der Trojaner über Java auf die Kiste geladen - wahrscheinlich, wenn ihr im Internet den FlashPlayer benötigt, ein PDF öffnet oder dergleichen. Angezeigt wird dann ein Java-Update, dass den Computer ohne Vorwarnung bootet. Startet er dann wieder auf, habt ihr den Trojaner auf eurem Gerät.
Fakt ist, dass freie Anti-Virus-Software den Trojaner nicht erkennt (etwa Avira). Einzig die herkömmlichen, marktführenden Programme von Kaperski oder Norton können dies. Empfehlenswert ist ebenfalls Eset NOD32-Antivirus.
Aber auch ohne kostspieliges Anti-Virus kriegt man das Ding von seiner Kiste weg.
Als erstes muss man mal zu seinem Desktop gelangen. Mit der Tastenkombination Alt + Ctrl + Delete gelangt man ins Windows-Benutzermenü. Es reicht nicht, den Taskmanager zu starten; dieser wird geblockt. Am besten klickt ihr auf "Benutzer abmelden".
Da der Trojaner nun auch das Abmelden blocken will, erscheint die Meldung, dass ein Programm nicht beendet werden kann. Jetzt einfach auf Abbrechen klicken und schon seit ihr in eurem Desktop angelangt.
Nun wird's tricky: Entweder ihr aktualisiert mal euer Anti-Virus und schaut, ob was gefunden wird.
Wenn ja: Glück gehabt. Wenn nein: Jetzt dürft ihr ein wenig Informatiker spielen.
Solltet ihr nicht auf euren Desktop gelangen, dann startet eure Kiste neu, drückt während des Bootens auf F8 und wählt die Option "Abgesicherter Modus mit Eingabeaufforderung" aus. Die Anleitung fürs weitere Vorgehen findet ihr hier.
Weiter im Text:
Als erstes öffnet ihr "regedit". Das ist eine Win-Funktion, bei der ihr eure Registry-Einträge überprüfen könnt. Einfach auf Start und dann bei "Programme suchen" regedit eingeben - dann solltet ihr es finden.
Folgenden Pfad bitte eingeben bzw. suchen:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
Dort müsst ihr nun den Eintrag "Shell" auswählen. Das sieht so aus:
Klickt doppelt auf "Shell" und ändert dort den Wert (sollte mit einer Endung "...new.exe" sein) auf "explorer.exe".
Nun eure Kiste neustarten. Der Computer sollte nun ohne Blockierung aufstarten.
Hinweis: Es gibt zig Variationen des Trojaners. Möglicherweise findet ihr diesen auch unter folgendem Pfad in eurer Registry:HKEY_LOCAL_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION.Möglicherweise hat sich aber der Trojaner auch in der Datei "explorer.exe" eingenistet.
Wichtig ist Diese nicht löschen, da ansonsten der Computer nicht mehr ordnungsgemäss hochfährt! Was helfen kann, ist 1. eine Systemreparatur (ersetzt die befallene Datei), 2. wenn man die "explorer.exe" von einem identischen Betriebssystem via USB-Stick auf seinen Rechner kopiert oder 3. dass man ein Backup wiederherstellt.
Zum Entfernen des Trojaners empfehle ich euch diesen Link. Hier sollte alles wesentliche drin stehen, wie man das Ding von seiner Kiste kriegt.
So, ich hoffe, ich habe euch geholfen und ihr kommt bei meinem Crashkurs mit. Ansonsten einfach kontaktieren!
Nun eure Kiste neustarten. Der Computer sollte nun ohne Blockierung aufstarten.
Hinweis: Es gibt zig Variationen des Trojaners. Möglicherweise findet ihr diesen auch unter folgendem Pfad in eurer Registry:HKEY_LOCAL_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION.Möglicherweise hat sich aber der Trojaner auch in der Datei "explorer.exe" eingenistet.
Wichtig ist Diese nicht löschen, da ansonsten der Computer nicht mehr ordnungsgemäss hochfährt! Was helfen kann, ist 1. eine Systemreparatur (ersetzt die befallene Datei), 2. wenn man die "explorer.exe" von einem identischen Betriebssystem via USB-Stick auf seinen Rechner kopiert oder 3. dass man ein Backup wiederherstellt.
Zum Entfernen des Trojaners empfehle ich euch diesen Link. Hier sollte alles wesentliche drin stehen, wie man das Ding von seiner Kiste kriegt.
So, ich hoffe, ich habe euch geholfen und ihr kommt bei meinem Crashkurs mit. Ansonsten einfach kontaktieren!
Keine Kommentare:
Kommentar veröffentlichen
Wir freuen uns jederzeit über Anregungen, Kritik, Lob, Ideen und dergleichen.