GEMA Virus - neue Version, alle Tipps funktionieren nicht

[cheesa]

Hallo

Mein ... Bruder surft natürlich gerne mit einem veralteten Internet Explorer + veralteten Avira und hat sich zum zweiten Mal einen Gema Virus eingefangen. Nur leider funktionieren alle Tipps nicht. Ich hab keinen zugriff auf den Task Manager und auf die Registry. Ich kann auch mit Live CDs nichts machen da der Zugriff verweigert wird.

Gibts da inzwischen einen Tipp? Finde überhaupt keine Infos zu genau dieser Version. Überall können sie den Task Manager starten. Nur da steht immer "Task-Manager wurde durch den Administrator deaktiviert". Auch wenn ich via regedit (ich kann Windows Taste drücken) nichts machen da er ebenso gesperrt ist.

grrr -.-

mfg

 

[Guthbert]

Damit er es lernt - PC formatieren und alles neu drauf machen -und mindestens eine Woche warten lassen

GVU-Trojaner bittet Raubkopierer zur Kasse | heise Security

 

[PitGST]

Hier ist du besser aufgehoben: botfrei.de - Die BKA-Trojaner Galerie

 

[cheesa]

Nur das Problem - ich setz den PC auf -.-

 

[desMaxle]

Wieso funktionieren Live Cd's nicht?
Ich würde sagen Festplatte rausmachen und per Usb an einen anderen und Scan durchführen. Oder halt formatieren. Übringens kommt der Gema-Virus und all seine Abkömmlinge durch eine veraltete Java-Version.

 

[cheesa]

Ach du heilige jetzt war was los.

- im abgesicherten Modus mit eingabeaufforderungen habe ich msconfig gestartet und die Datei die anscheinend der Grundstein des Virus ist und zwar die "ArchiverforWin.exe" ausfindig gemacht. Und zwar in Roaming (versteckt). Dann mit CMD (also DOS) gelöscht.
- dann nochmal mit Knoppix geschaut ob die noch da ist - nein
- windows gebootet und jetzt habe ich keine Rechte auf Task-Manager und Regedit - um die letzten reste zu entfernen
- Icons vom Desktop werden nicht geladen
- im Netz gibts keine Infos zu dieser Version. Ich finde nichts.
- er kopiert seine wichtigen Daten jetzt unter win7 von der C Platte
- ich hab etwas mit DOS umgehen gelernt (cd.. usw)
- ich hab meinen kompletten Feierabend verschissen wobei ich für nen Kollegen noch ein Notebook bestellen hätte sollen -.-
- ich bin seeehr aufgekratzt
- er wird NIE wieder Internet Explorer nutzen
- das war schon das zweite mal
- der PC wird neu aufgesetzt
- er ist 32 und ist seit Win95 an PCs
- ich bin knappe 18 und aktiv seit XP dabei
- ARRRRG

 

[smoothwater]

Schau mal bei Avira nach der Avira AntiVir Rescue System im Downloadbereich unter Tools. Ist ne Live-CD auf Linuxbasis.
Damit nochmal das System scannen oder für die Zukunft parat haben ^^.

 

[cheesa]

Der ganze Krams hat nicht geholfen. Hab da einige durchprobiert. Ich könnt sowas von kotzen...

Ich darf morgen meinen freien Nachmittag (um 13 Uhr ist schluss) dafür verwenden den PC meines unachtsamen Bruders aufzusetzen.

Ist anscheinend ein ziemlicher neuer Virus. Man findet nichts dazu.

 

[jumas]

Ich darf morgen meinen freien Nachmittag (um 13 Uhr ist schluss) dafür verwenden den PC meines unachtsamen Bruders aufzusetzen.

Und wenn Du fertig bist, erstellst Du ein Image (bsp. Acronis) und wenns dann noch mal vorkommt....
In 15 Minuten ist alles erledigt.

 

[cheesa]

Sehr gute Idee. Werde ich machen. Danke

 

[Chris_2k]

Du musst einfach die Policies-Werte korrekt setzen, dann funktioniert der Zugriff auf die Registry wieder und du kannst bereinigen. Dazu per Win PE booten, über HKEY_USERS die Registry-Struktur des Benutzers laden und dann die zwei Werte (Registry*) von 1 auf 0 setzen.

Die Einträge befinden sich in: Software\Microsoft\Windows\CurrentVersion\Policies\System

 

[cheesa]

Danke, werde das Teil aber trotzdem neu aufsetzen. Wenn ich den Virus manuell über DOS lösche baut er sich wieder auf. Ich kann da leider nichts dagegen machen.

So die Krücke (E8400, 4gb ram, 9800GTX+ 1gb) läuft wieder. Hab alles wichtige installiert. Seine TV Karte und so kleinkram kann er wohl selbst... hat ja eh 2h gedauert alles zu besorgen.

Und achja.

Vielen Dank an alle die mir Tipps gegeben haben. Aufs' Luxx ist immer verlass!

 

[IronAge]

Am besten nimmt man die Kaspersky Notfall CD ... die enthält außer dem Antivirus mit dem Exes identifizierbar werden einen Registry-Editor.

Kaspersky WindowsUnlocker - Anwendung für die Bekämpfung von Ransomware

Nachdem man weiß wie die Dateien heißen kann man danach die Registry durchsuchen und muss sie aus den für Autostart relevanten Einträgen entfernen.

Wichtig ist auch dass man für den Wert HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon SHELL wieder auf explorer.exe setzt.

Die Exes/DLLs des Schädlings werden neuerdings im Ordner Anwendungsdaten des zum Zeitpunkt der "Infektion" aktiven Benutzerprofils abgelegt.

Wenn man wieder im Windows ist muss man noch die Policies anpassen damit man wieder Zugriff auf den Taskmanager/Desktop-Icons hat.

 

[cheesa]

Ich hab mit genau dieser Live CD hantiert. Nur die Automatische Funktion (WindowsUnlocker) hat nicht funktioniert. Aber schönen Dank. Ich hätte aber kein gutes Gefühl den Virus einfach zu entfernen. Ich weis nicht was der alles anstellt, nicht das ich auch noch befallen werde.

 

[IronAge]

Ich habe das so von einem System entfernt das weiter genutzt wird ... keine Probleme mehr ... wurde nicht neu aufgesetzt.

 

[cheesa]

Habs mir mal notiert. Wenn wiedermal der Fall eintritt. Erstmal PC fertig einrichten und dann eine Kopie der C Platte erstellen. Hab meinen Bruder Spaßeshalber eine IE Verknüpfung gebastelt die den PC zum herunterfahren bringt. Der wirds noch lernen Opera zu nutzen. (oder für was er sich dann im Endeffeckt entscheidet)

Ich hasse solche Viren, die Programmierer sollten lieber mal arbeiten gehen als andere abzuzocken. Ist das ganze nicht illegal? In diesem Virus kann man doch bestimmt nachsehen wohin die PSC Codes gehen oder? Kann man die nicht ertappen?

Der Virus hat übrigens auch die Wiederherstllungspunkte infiziert.

 

[NicoRR]

Ich kann programmieren was ich will, der Depp der's ausführt ist doch selbst schuld

 

[cheesa]

Auch so sachen mit Geld?

Internet Explorer wurde elimimniert. Wenn ich den nochmal erwische.

 

[BerndH]

Das kann mit jedem Browser passieren:
drive by download - Google-Suche
Letztendlich kommt ma dann zu Firefox mit NoScript.
Die Programme aktuell halten.

Secunia Personal Software Inspector (PSI), Download bei heise

 

[cheesa]

Blöderweise ist bei keinem von Uns (4 PCs) jemals ein Virus gekommen in den letzen 2 Jahren. Jeder nutzt Opera oder Firefox. Nur beim Bruder nutzt IE und hat andauernd solche Probleme. Er ladet auch so krams von P2P runter, da würde mich auch nichts wundern.

 

[BerndH]

Er ladet auch so krams von P2P runter, da würde mich auch nichts wundern.

Da haben wir es doch! Kein Wunder.

Dann soll er seinen Kram allein machen.

 

[yorubacuda]

Dieser Post wurde auf Wunsch des Verfassers gelöscht

 

[cheesa]

Er hat schon lange nix mehr von dort gezogen. Aber die Viren brechen ja nicht gleich aus.

Er ist leider zu faul sich seinen Krams zu machen. Mit VMs kann er sowieso nicht umgehen.

 

[Boy2006]

Wieso installierst du ned einen Kaspersky das teil kostet 19,90€ und richtest die Kindersicherung ein.
Dann kann er nix deinstallieren oder löschen.

 

[cheesa]

Er ist 32, wohl zu alt für eine Kindersicherung.

 

[Boy2006]

Dann sollen seine Pfleger eben schauen der der AV (ned Antivir das glumpad) lauft.

 

[cheesa]

Macht ja eh alles der kleine Bruder

 

[Boy2006]

wie klein?

 

[cheesa]

Ich, im Oktober 18

 

[Boy2006]

trotzdem kannst du den kaspersky mit kindersicherung einrichten