Aspire M7810 nach "Infektion" mit einem Trojaner > Recovery schlägt fehl

[frido]

AW: Aspire M7810 - Nach Trojaner-Befall Probleme mit Recovery

@ Alexey87

.......... Im Internet wurde gesagt das eine Formatierung das einzige ist, was den wegkriegt, weil der ziemlich aggressiv sei. Naja ich war dafür leider zu faul und habe nur mit Antivir den Pc durchsuchen lassen und alles was der fand entfernt ..........

Sorry - aber dann hast Du ja jetzt die passende "Quittung" für Deine Faulheit bekommen. :rolleyes2:

Und dann auch noch AntiVir .......... :rolleyes2:

 

[Alexey87]

AW: Aspire M7810 - nach "Infektion" mit einem Trojaner > Recovery schlägt fehl

Ich bin schon genug bestraft worden. Hab jetzt wirklich alles versucht hab per USB mit gparted die versteckte Partition aktiviert und trotzdem hängt sich eRecovery beim laden auf. Weiß jetzt wirklich nicht mehr weiter. Bitte helft mir.

 

[crishan]

AW: Aspire M7810 - nach "Infektion" mit einem Trojaner > Recovery schlägt fehl

Ist denn jetzt das Windows noch auf den Partitionen drauf?

Gegen den "BKA-Trojaner" hilft die Kaspersky Rescue Disk 10,
die du hier herunterladen kannst:

Kaspersky Notfall-CD 10 herunterladen

Klick auf "Hier können sie die Software herunterladen"
Kaspersky Rescue Disk 10 Download

Das .iso brennt man sich (natürlich auf einem anderen PC),
geht dann damit zum eigenen Acer, stellt im BIOS zuvor die Bootreihenfolge
derart ein, dass der Laptop von der CD startet, bootet also das Kaspersky
Rescue System...

Nach Bestätigen des Lizenzvertrages aktualisiert (WICHTIG!) man die
Virendefinitionen, und läßt die Kaspersky Software danach ihren Dienst
versehen.

Das folgende schreibe ich aus dem Kopf, da ich gerade nicht an meinem
eigenen PC sitze:

Übrigens wird man diese Meldung mit dem UKash/wir-wolln-dein-Geld bereits
los, indem man Windows im abgesicherten Modus mit Eingabeaufforderung
startet, dann per cd %temp% in das Temp-Verzeichnis navigiert, sich dort
die nötigen Benutzerrechte verschafft (habe Syntax gerade nicht im Kopf
dafür), alle Dateien im Temp-Verzeichnis löscht, danach den reigstry-Editor
aufruft und in den HK-Local Machine und HK-Current-User Bäumen in den
Ästen 'Software-Windows NT-Winlogon' (oder war das jetzt autologon?) die
Einträge für die shell richtigstellt. Da wurde nämlich einmal explorer.exe
ausgetauscht gegen eine Datei namens "info.exe" (mit noch irgendwelchen
Soinderzeichen darin). Hier wieder den befallenen Eintrag richtigstellen, so
dass shell wieder auf explorer.exe verweist.

 

[ralppp]

AW: Aspire M7810 - nach "Infektion" mit einem Trojaner > Recovery schlägt fehl

Im übrigen ist das Update der Virendefinitionen sowohl über WLAN als auch LAN oder auch per Handy-Modem möglich!

 

[Alexey87]

AW: Aspire M7810 - nach "Infektion" mit einem Trojaner > Recovery schlägt fehl

Vielen Dank für den Tipp Chrishan,

habe alles gemacht wie du gesagt hast - die Notfall CD wird geladen -
ich wähle die Sprache aus und den grafischen Modus - dannach läd der PC ne Weile und alles sieht gut - nur das der dann bei der Meldung "waiting for uevents to be proceed" bzw kurz darauf (nach 60sec timeout) alles hängen bleibt. Im text-Modus verläuft das ganze genau so. X(

Dachte mir das das daran liegen kann das ich jetzt nur noch den "PQSERVICE "
zum booten hab und wollte das wieder mit gparted wieder rückgängig machen,
nur kommt diesma, wenn ich vom gparted booten will, eine Fehlermeldung "Datenträger entfernen Neustart: Taste drücken" und ich komm wieder zum hängenden eRecovery.

Gibts es sons nochn irgentwas anderes was ich machen kann?

MfG Alex


edit:

Dasselbe passiert auch mit dem Antivir Rescue System - hängt sich beim Laden einfach auf.

 

[Alexey87]

AW: Aspire M7810 - nach "Infektion" mit einem Trojaner > Recovery schlägt fehl

Auch Ubuntu Live hängt sich auf und wenn ichs mit Parted Magic versuche steht was von "pmagic-6.6.sqfs file could not be found - obwohl die Datei auf dem Stick drauf ist...

 

[crishan]

AW: Aspire M7810 - nach "Infektion" mit einem Trojaner > Recovery schlägt fehl

Ich zitiere hier einmal den Text, den ich in einem anderen Forum gefunden habe und der mir half, diesen lästigen Scareware-Trojaner weg zu bekommen:

Lösung für User mit fortgeschrittenem Wissen:

1. Start im "Abgesichertem Modus mit Eingabeaufforderung"
Beim Starten auf F8 (meistens ist es F8 ) drücken und "Abgesichertem Modus mit Eingabeaufforderung" auswählen

2. Wechseln in das Temporäre Verzeichnis
in der Konsole (so heißt das schwarze Fenster mit blinkendem Kursor) folgendes eingeben:
cd %temp%

3. Im Temp-Verzeichnis geben wir uns erstmal alle Rechte mit folgendem Befehl
cacls *.* /t /c /g jeder:f

4. Um anschließend das Tempverzeichnis zu säubern (oder auch zu löschen)
rmdir /s /q %temp%

5. Nun sehen wir uns mal die Registry an und öffnen diese mit dem Befehl
regedit

6. Wir müssen nun mehrere Pfade überprüfen. Zum Einen Unterscheiden wir zwischen HKEY_LOCAL_MACHINE (HKLM) und HKEY_CURRENT_USER (HKCU). HKLM betrifft alle Benutzer des betroffenen PC'S und HKCU betrifft nur den gerade angemeldeten Benutzer. Der Virus kann sich in beiden verstecken, daher müssen auch beide überprüft werden. Starten wir damit den Shell-Eintrag wieder zu korriegen und gehen in folgenden Pfad:
HKLM-> Software-> Microsoft -> Windows NT -> Winlogon
dort überprüfen ob für den Eintrag "Shell" der Wert explorer.exe hinterlegt ist. Falls nicht, diesen ändern. Dann das gleiche für HKCU durchführen.

7. Mit diesem Schritt wurde das lästige Bild wieder entfernt. Nun überprüfen wir über die Autostart-Einträge von wo den das Ding startet. Also wechseln wir in folgenden Pfad
HKLM -> Software -> Microsoft -> Windows -> Current Version -> Run

Alles was hier steht wird für alle Benutzer des Rechners automatisch beim Windowsstart mit gestartet. Wenn hier als Eintrag ein ziemlich langer nichts sagender und nicht sinngebender Name dabei ist (ich habe leider den korrekten Namen der Datei vergessen) dann überprüfen wo diese Datei liegt (bei mir war es der Desktop) und anschließend betroffenen Eintrag und auch Datei entfernen.
Es bietet sich an in diesem Schritt alle unnötigen Einträge zu entfernen um den Autostart etwas aufzuräumen. Aber bitte wichtige Einträge (Virenscanner etc) nicht entfernen.

Den gleichen Schritt wiederholt man für HKCU

Ist beides erledigt, schließt man den Registry-Editor.
Nun zurück zu der Konsole, in der man folgendes eingibt:
shutdown -r -t 0
und Enter drückt
(unterläßt man dieses, werde die geänderten Werte in der Registry nicht
übernommen)

8. Rechner neustarten. Windows müsste wieder wie gewohnt starten. Trotzdem zur Vorsicht nochmal mit aktuellem Virenscanner das komplette System scannen.

Obiges ist nicht auf meinem Mist gewachsen, nur mag ich das Forum, aus dem ich dies habe, hier ungern verlinken :blushing:, denn damit würde ich mir wohl erst einmal Forenurlaub einhandeln :laugh:


So ganz nebenbei: Ist denn von den Windows-Partitionen überhaupt noch etwas vorhanden?
Ubuntu und PQMagic werden sich wohl nicht grundlos einfach weghängen.
Schon einmal GParted probiert?
http://gparted.sourceforge.net/livecd.php