Hallo Alle,

eine Panne macht mir Probleme. Beim Lesen von mails auf Yahoo (zufälliger klick oder überfahren auf Werbung?) blinkt ein formatfüllendes Poster auf "... Urheberrechtsverletzung ..." und der Versuch auf ein anderes Fenster umzuschalten endet in einem undurchdringlich grauen Bildschirm. Ach so - inmitten des Desktops ein winziger Button mit zwei Doppelpfeilen rechts - wie für schnellen Vorlauf :(

Wiederstart mit Eingabeaufforderung. Der ursprüngliche Desktop kommt, danach der formatfüllende graue Bildschirm, mehr Aktion ist nicht möglich.

Nochn Wiederstart wie vor, Ergebnis wie vor.

Wiederstart mit Anmeldung als Administrator. Korrekter Start, alles da, sieht gut aus. Virenscan der Bootsektoren (Avira Internet Security 2012) mit anschließendem Scan nach versteckten Dateien ergibt null Funde.

Abmelden, Anmelden als üblicher User (ich nenne den hier mal einfach dau) => grauer Bildschirm - sonst wie oben. Abmelden mit Taskmanager geht, Anmeldung als Admin.

Ich bekomme zwar den Desktop vom dau angezeigt ("C:\Dokumente und Einstellungen\dau\Desktop"), aber wie bitte ändere ich als Administrator das Aussehen des Desktops um dieses dämliche Desktop-Grau wieder wegzubekommen? Derzeit bin ich noch nicht der Meinung, dass ich einen gefährlichen Virus beherberge - oder irre ich mich da? Anm.: dieses Posting von einem Notbook.

Danke für Hilfe

Nachtrag: ginge es auch den GESAMTEN Benutzeraccount - wichtig z.B. Outlook etc - in einen neuen, "sauberen" Benutzeraccount zu überführen?

(zufälliger klick oder überfahren auf Werbung?) blinkt ein formatfüllendes Poster auf "... Urheberrechtsverletzung ..."

Hallo,
wird doch wohl hoffentlich nicht der BKA-trojaner sein? Hier ein paar Vergleichsposter: (Link entfernt, da sich der Inhalt auf der verlinkten Seite geändert hat - wohl ein anderer Domainbesitzer?)

Gruß
Searcher

... wird doch wohl hoffentlich nicht der BKA-trojaner sein? ...Doch, er ist es. Ich arbeite gerade daran. Halb Glück gehabt, hoffe ich jedenfalls. Halb Glück, weil ich im Administratoraccount den Wiederherstellungspunkt vom letzten Wochenende nutzen konnte - jetzt ist wenigstens die Desktopbremse weg, die nach dem schnellen, aber eben zu späten Abschalten des WLANS als graue Fläche alle Kommunikation zwischen mir und dem Computer verhinderte. Quelle vermtulich ne Worddatei von einem guten Bekannten.
Aktuell läuft Luke Filewalker über meine vier Platten im Desktop im üblichen Nutzeraccount. Funde 0, verdächtig 0, Warnungen 0, durchsuchte Dateien ne halbe Million, etwa die Hälfte. Danach mal weiter sehen. Vermutlich mal wieder "alles neu", sprich neue C: aufsetzen in der Hoffnung, dass die D, E und F heil geblieben sind. Aber noch läuft Luke.

Aaaalso:
Dein Benutzerprofil liegt normalerweise unter C:\Dokumente und Einstellungen\Nutzername - Dazu gehören neben den "Eigenen Dateien" (sofern du sie nicht an einen anderen Ort verschoben hast) und dem Desktop auch die Konfigurationen/Profile vieler anderer Anwendungen. Vieles (unter anderem die Profile von Mozilla-Anwendungen) liegt im Unterordner "Anwendungsdaten", manches evtl. auch in "Lokale Einstellungen\Anwendungsdaten".

Das ganze Zeug zu transferieren bedeutet Handarbeit. Alles zu kopieren ist meist unerwünscht (in den Ordnern sammelt sich auch eine Menge Müll) und in deinem Fall mit dem Risiko verbunden, das Problem mit in das neue Profil zu übertragen. Normalerweise sollten dabei keine Komplikationen auftreten. Beachte auch den Ordner "Startmenü", manche Programme installieren sich nur in das Startmenü des angemeldeten Nutzers statt in das globale Startmenü (dessen Inhalt im Ordner des Nutzers "All Users" liegt).

Eins noch: Du solltest von einem vertrauenswürdigen System aus einen vollständigen Scan der Festplatte machen. Es gibt u.a. von Avira ein Boot-Image mit dem man von CDs oder USB-Sticks einen Virenscan machen kann. Das Urteil eines Virenscanners hat schon nicht viel Aussagekraft, in einer potentiell infizierten Umgebung gewonnenen Ergebnisse sind komplett wertlos.

So, das waren die harten Bandagen, jetzt zur Schlüsselloch-OP: Wenn der Scanner keinen weiteren Befund meldet, kannst du in einer optimistischen Grundannahme davon ausgehen, mit dem Schrecken davon gekommen zu sein. Dann wäre es an der Zeit, deine Oberfläche wieder in einen normalen Zustand zurückzuversetzen. Da nur "dau" betroffen ist, sehe ich wenige Möglichkeiten: Einen Autostart-Eintrag (Benutzer-Autostarts liegen im Benutzerordner unter "Startmenü\Programme\Autostart", prüfe sicherheitshalber auch den Autostart von "All Users"), einen Autostart-Eintrag in der Registry, einen Hintergrunddienst (diese beiden Fälle kann man mit msconfig prüfen) oder möglicherweise auch Spielereien mit Active Desktop. Ich gehe Mal vom ersten Fall aus, alles andere erfordert mehr Informationen über dein System (und ggf. etwas Interaktion).

Disclaimer: Ich nutze seit fast zwei Jahren Linux als Primärbetriebssystem und Windows nur noch sehr sporadisch. Es gibt kompetente Hilfe im Trojaner-Board, evtl. möchtest du dich auch an die Jungs und Mädels dort wenden.

mfG
Markus

Nachtrag:

Aktuell läuft Luke Filewalker über meine vier Platten im Desktop im üblichen Nutzeraccount.

Don't! Ein Angeklagter kann nicht sein eigener Richter sein. Nimm das AntiVir Rescue System (http://www.avira.com/de/download/product/avira-antivir-rescue-system) und scanne von da aus.

Mit so einem musste ich auf einem fremden Lappy auch rumkämpfen. Irgendwann hatte ich dann die Nase voll und hab die gesamte Platte formatiert. So konnte ich nachts ruhig schlafen. Wer weiß ob mit Hilfe der ganzen Anleitungen wirklich alles was schädlich ist beseitigt wird.

BTW. heute eine E-Mail von einem Spiele-Publisher bekommen, dass ich mit Accounts und virtuellen Gütern handeln würde. Um zu verifizieren, dass ich ganz normaler Spieler bin, "muss" ich auf einen Link klicken und meine Login-Daten samt geheimer Frage etc. eingeben. Bei Verweigerung wird mein Account gesperrt. Sieht alles super echt aus. Der Teufel steckt im Detail. ;)

... Boot-Image ... Virenscan machen ... So, das waren die harten Bandagen ...Danke Markus, durch Autostart etc bin ich schon durch, ohne Ergebnis. Wie oben gesagt läuft gerade der Filewalker - und klar ist mir ja schon, dass der in dem korrumpierten Rechner recht blind sein kann. Der Avira-Rettungsanker (die CD) ist vorrätig oder wird bald runtergeladen.


... optimistischen Grundannahme ... mit dem Schrecken davon gekommen zu sein ...Ich bin fast immer optimistisch (Sonntagskind!!) aber bei Internet und Co eigentlich überhaupt nicht. Mein letzter Virus war der 1705 - auf einem Firmenrechner. Das war vor sicher zwanzig oder mehr Jahren und den hatte ich als Warnschild auf ner 5-1/4"-Diskette im Büro.

Danke für den Hinweis auf das AV Rescue System, mal sehen. Das "mseinstall.." lädt gerade (bei mir mit Rauchzeichengeschwindigkeit).

Ja, Linux. Hatte ich mit viel Interesse und Enthusiasmus mit der 3er Knoppix angefangen und in meiner industriellen Umgebung wieder schnell weggelegt. Aber es ist ja nie zu spät. Im Moment bin ich eben mit meinem Notebook unterwegs. Das ist sauber - an ein "noch" will ich jetzt schon garnicht denken.

Danke für Anteilnahme und Informationen.

PS: fast sechshunderttausend Dateien und noch kein Fitzelchen Unheil zu sehen.

Ich bin im Moment mit einem "nicht-Windows" Lappy unterwegs, habe aber Win-Rechner zuhause. Da nutze ich ab und zu mal eine Alternative zum Taskmanager, der etwas mehr Details zu den laufenden Prozessen zeigt. Dummerweise fällt mir der Name nicht mehr ein. Ich glaube, es heißt Process Explorer. Vielleicht kannst du es auf Deinem Rechner irgendwie anschmeißen und in 'nen Blick in die Liste mit Prozessen werfen.

EDIT: es Zeigt auch (farbig und in %), welche Prozesse als potenziell gefährlich sein könnten.

Das einfachste wäre eine Systemwiederherstellung von früher, als noch nichts infiziert war.
http://bka-trojaner.de/ <- sollte Tipps haben, wie man das Ding loskriegt,
neu aufsetzen sollte eigentlich nicht nötig sein.

Grüße

EDIT: sorry ich sehe grade, der Link war schon da

Das einfachste wäre eine Systemwiederherstellung von früher, als noch nichts infiziert war ...Danke, genau das hatte ich nach dem ersten Schreck gemacht.

Zuerst Internet abgeschaltet, dann als Administrator angemeldet, einen neuen Nutzer mit eingeschränkten Rechten erstellt und die Autostart abgegrast. Etliche unerklärliche Links ("Suche" *,* von "heute) gelöscht, dann ist mir diese Sache mit der Wiederherstellung eingefallen - also eine von vor wenigen Tagen gefahren. Danach eine komplette Systemprüfung - mit dem Ergebnis Null in allen Punkten. Letzteres war mir aber fast suspekt - denn irgendetwas war ja drauf gewesen.

AVIRA-rescue_system-common-en.iso geholt auf dem Notebook und ne CD gebrannt (die weigert sich den Desktop zu booten - vielleicht falsch gebrannt??).

Mit schlechtem Gewissen nen üblichen, normalen Start ohne IP-Connectivität. Das sah aus wie immer. WLAN an - und es sah aus wie immer. Danach ins Bett . . .

Danke allen Helfern