Ein Facebookvirus mit Windowsboardmitteln entfernen...

N

Nutzer_50300

Gast
Es handelt sich um den Virus im Screenshot, der da grad im Facebook geteilt wird.

Für diejenigen die einfach nur eine Lösung brauchen, ohne ihr Windows neu zu installieren;
Klickt auf "Start" gebt ein "msconfig" ein dem Fenster dann auf "Systemstart"-> unter Befehl nacht einer "winmgr.exe" gucken das deaktiviren.
Dann Task-Manager öffnen mit Strg+alt+entf Kombination auf der Tastatur, den "Prozess" -> "winmgr.exe" beenden, hier "C:\Users\"euer Benutzername"-> dadrin steckt ein Ordner "M10..." oder so ähnlich wo nur diese "winmgr.exe" drin ist, löscht das und umbedingt den Papierkorb leeren, dann neustarten und der Virus sollte weg sein.
Viel Glück das es klappt für den Fall der Fälle

---------------------------------------------------------------------------------------------------------------------------------

Für die interessierten und wie der Virus anscheinend gedacht ist den Windows-Rechner zu infizieren.



Was der Trojaner genau macht, ob etwas erspäht, oder einen Ärgern will inwiefern auch immer das weiss ich nicht.
Eines ist klar, er tarnt sich als vermeintliche Bilddatei und die Datei hat sogar ein Symbol :)

Der Dateityp ist "*.scr" also eigentlich das was für Windows ein Screensaver ist und so infiziert man auch sein System, da man das als vermeintlichen-Bildschirmschoner in's System reinlässt.

Anhand meiner Lösung oben seht ihr wo er ist und das er sich in den Autostart reinpackt und ab dann immer gleich beim Hochfahren gestartet wird der Trojaner.

Ich wusste von Anfang an das da was faul ist, denn ich lasse mir immer den Dateitypen anzeigen.
Mach ich schon seit Window98 SE so, genausowie das ich mir alle Dateien anzeigen lasse ;)

Ich hab es dann natürlich drauf ankommen lassen, weil nix wichtiges auf dem Rechner ist und ich den notfalls eh plattmachen kann.
Ausserdem setz ich mein Windows eh bald neu auf.
So kam ich zu der Lösung und es scheint zumindest so als sei das auch schon alles was man tun muss um ihn herunterzubekommen, denn so aufwändig ist der Virus glücklicherweie nicht.


Gruss Dennis_50300
 

Anhänge

  • 378756_518153474865928_690007428_n.jpg
    378756_518153474865928_690007428_n.jpg
    23,1 KB · Aufrufe: 341
Ich bin mir nicht sicher, ob ich das hier ernstnehmen soll oder besser nicht.

Wem es noch so geht, klickt den "Like"-Button...
 
Zuletzt bearbeitet:
Bekommt man den Virus, wenn man daraufklickt oder muss man da noch was runterladen?
 
Meines Wissens klickst du rauf, lädst was runter und musst danach die vermeintlichen Screensaver (die .scr-Datei) noch installieren.


Abgesehen davon: Würde man den Link mit "Wer ist das" statt "Weeeerrrr ist daaaaassss" verschicken, würden vermutlich noch viel mehr Leute raufklicken....
 
Meine Frau hatte auch son Link bekommen. Der Link sieht aus als wenn er zu einem Bild führt, in Wahrheit will er dann aber eine ausführbare Datei downloaden. Also aufpassen. Hab meiner Frau gesagt, sie soll den Scheiß lassen.

Gruß
 
xaii:

Du infizierst dein Windows nur dann, wenn du die Datei "doppelklickst".

Nur das Herunterladen an sich und auf der Festplatte rumliegen haben macht garnix soweit ich das indentifizieren konnte.

Fakt ist, das ich den einwandfrei mit meiner obigen Lösung, herunterbekommen habe.

Ok ich benzte nicht "msconfig" sondern den "Autostart" vom Ccleaner, das sollte mit msconfig aber genauso gehen.

realAudioslave:
Nicht bei jedem funktioniert die "brain.exe" sogut da nicht drauf reinzufallen.
Bei mir in der Freundesliste ist es mindestens einer Person passiert, sich zu infizieren :)

Standard1507:
Genau so ist es, der eigentliche Dateityp ist aber nunmal "*.scr"

wertewandel:

Was auch immer du damit meinst, ich hab bisher kein und ich will auch kein Copyright auf die Lösung.
Soll ja für alle da sein, also sprich für die Community, vielleicht mag es jemand noch in andere Sprachen übersetzen :D


Gruss Dennis_50300
 
Zuletzt bearbeitet von einem Moderator:
Ist ja ziemlich einfallsreich der Virus...Gibts denn heutzutage immer noch Leute die darauf reinfallen?
 
xaii:

Scheint so, zumindest probiert man es ja auch aus was zu erreichen.

Wichtig ist einfach nur zu wissen, das wenn es nun passiert ist, man den definitiv wieder herunterbekommt ohne das man gleich den ganzen Rechner neumachen muss.

Dank meiner "windows 7 firewall control(free)" von Sphinx, bin ich mir sogar sicher das der nichtmal wenn er etwa hätte erspähen können an Daten, auch nur Ansatzweise etwas hätte herausschicken können von erspähten Daten :lol:


Gruss Dennis_50300
 
Hab mir ähnliches per Skype geholt.
Der war aber schwieriger loszuwerden.
MSE + Stinger und gefühlte 50 Neustarts habens aber gerichtet.

Mein "Bild" hat mit einem Klick drauf eine Homepage geöffnet, sonst nichts.
Aber dann war unten Rechts plötzlich ein gelbes Dreieck(Firewall aus!) und der MSE auf Rot(ausgeschaltet) und der Wurm schon auf der Platte.
 
Ich weiß gar nicht was du hast - bei Facebook wird doch eh so gut wie alles ausspioniert - kommt es da wirklich noch auf das ein oder andere Detail an??
Ich will ja nicht hetzen, aber du willst ja ein "Gläserner Mensch" werden, sonst wärst du ja nicht dabei - denk dir nix dabei - ich habe auch eine schwere Gehirnerschütterung gehabt und rieche auch nix mehr :lol:
 
Und woher weiß der TO, das der Virus komplett entfernt wurde? Kann genau so gut sein, das nur der "auffällige, sichtbare" Teil entfernt wurde.
 
Darkscream schrieb:
Ich weiß gar nicht was du hast - bei Facebook wird doch eh so gut wie alles ausspioniert - kommt es da wirklich noch auf das ein oder andere Detail an??
Ich will ja nicht hetzen, aber du willst ja ein "Gläserner Mensch" werden, sonst wärst du ja nicht dabei - denk dir nix dabei - ich habe auch eine schwere Gehirnerschütterung gehabt und rieche auch nix mehr :lol:

Sprach Ralf Schmidt, geboren 1967 aus Donauwörth, soll ich weiter machen? Schwätzer.
 
xaii schrieb:
Ist ja ziemlich einfallsreich der Virus...Gibts denn heutzutage immer noch Leute die darauf reinfallen?

Leider ja - ich hab gestern fünf oder sechs Nachrichten mit dem Link bekommen... (und das beste: einer von denen, die das Ding bei sich installiert haben müssen ist Informatiker... :rolleyes:)
 
Darkscream schrieb:
Ich weiß gar nicht was du hast - bei Facebook wird doch eh so gut wie alles ausspioniert - kommt es da wirklich noch auf das ein oder andere Detail an??
Ich will ja nicht hetzen, aber du willst ja ein "Gläserner Mensch" werden, sonst wärst du ja nicht dabei - denk dir nix dabei - ich habe auch eine schwere Gehirnerschütterung gehabt und rieche auch nix mehr :lol:

Was hat das eine bitte mit dem anderen zu tun?
Nur, weil ich einer Person mein Auto gebe, heisst das nicht, dass nun auch andere kommen und sich das nehmen dürfen! oO
 
Update:

Es hinterleasst ausserdem auch noch temporeare Dateien.

Kaspersky Rescue Disk erkannte grad noch->196042.exe und 923757.exe

Diese koennen allerdings das System nicht wiederinfizieren, jedenfalls nicht den Leihen, weil er nicht in ^Windows/Temp^ herumeiert z.B.

Es hinterlässt also in den Temp-Geschichten der Windows-Umgebungsvariablen noch versuchte Tempdateien.

Ich bin jetz gerad noch am überlegen, wie ich das am besten dem Laien noch formuliere damit er/sie sein System wirklich wieder 100% sauber bekommen kann.


Gruss Dennis_50300
 
@Dennis50_300
Sag mal, wen wolltest du damit eigentlich hinterm Ofen hervorlocken? Abgesehen davon sollte man nicht in einem Security Forum Links sehen lassen die zu Malware führen bzw zu mit Malware infizierten Webseiten!! Wegen deinem Virus: Keine Chance hat der bei Avast: Avast normal installiert wird der Zugriff der Webseite durch den Webschutz verhindert: Zweitens mit deaktivierter Avast Schutzsteuerung konnte ich mir die infizierte Datei downloaden und mit manueller Überprüfung dieser wird der Virus auch gleich erkannt: Drittens: ist Avast Schutzsteuerung wieder aktiviert und ich versuche die Datei auszuführen, landet "dein schöner" Virus gleich in den Avast Virus Container(Quarantäne):
Fazit: hat man ein vernünftiges Virenschutz Programm installiert, hat dein komischer Facebook Virus keine Chance ein System zu infizieren bzw sich darauf einzunisten.
 
grünel schrieb:
Sprach Ralf Schmidt, geboren 1967 aus Donauwörth, soll ich weiter machen? Schwätzer.
Ich stehe hinter meinen Zitaten, sonst hätte ich ja nix angegeben - schön für dich das du nachgeschaut hast - endlich mal einer der jetzt mit Kopf nach oben rum laufen kann - du bist ja echt schlau - wären alle so wie du hätten wir bestimmt "Kontrolle Pur" - kannst ja vorbei kommen und wir können das ausdiskutieren :freak:

Und was weißt du sonnst - was hast du vor 278 Tagen getrieben?
 
purzelbär:

"...hinterm ofen vorlocken..."

Was willst du mir damit sagen ?

Was für ein Link ?
Ich hab keinen Link im Posting 1. eingefügt, nur ein Bild, nämlich das was soviele teilen im Facebook damit jeder bescheid weiss das das ein Virus ist.


Gruss Dennis_50300
Ergänzung ()

Achso das ich 2 verseuchte, ausführbare Dateien im Temp-Ordner hab liegt wahrscheinlich daran das ich mit Absich das ding 2 mal ausgeführt habe um es schwieriger zu machen und so die Herausforerung zu erhöhen :D


Gruss Dennis_50300
 
Setz mal deine Lesebrille auf! Auf deinem Bild kann man klar den Link zu dem Virus ablesen und wenn man den abtippt landet man dort mit dem Browser. So etwas was du machst, ist in anderen Security Foren ein NoGo weil sich das dort nicht gehört!
Ergänzung ()

Zitat:
"...hinterm ofen vorlocken..."
Was willst du mir damit sagen ?
Ganz einfach: wen wolltest du damit beeindrucken als du den Thread eröffnet hast? wie du siehst, wenn man ein aktuelles Virenschutz Programm hat und sich auch bei Facebook umsichtig bewegt und dort nicht auf alles klickt was nicht bei 3 auf den Bäumen ist, dann kriegt man deinen genannten Virus erst gar nicht auf die Platte.
 
Zurück
Oben