Auf Wunsch von Khan und Samu gehe ich mal tiefer ins Detail und daher dieses Tutorial:
Den eigenen Thread fürs "Tutorial" habe ich auf Wunsch von D3mon erstellt.
Das Ziel dieses Tutorial ist es, euch im Ernstfall gegen Viren wie die Gema/BKA/GVU... -Viren zu helfen.
Bei diesen Viren handelt es sich um Viren, welche alle möglichen Tätigkeiten des normalen Users sperren (darunter tskmgr, explorer etc..)
Sogut wie immer wird dazu noch ein Screen verwendet, welcher dir sagt, dass du irgendeinen Mist gemacht hast und über UCash,Paypal etc. bezahlen sollst ^^.
Ich werde es mit Sicherheit nicht besser erklären können, als die Leute, von denen ich das habe, SemperVideo! :D
Hier mal die Links zu den Videos:
zum Lesen den Text mit der Maus markieren
Man kann das natürlich auch über den abgesicherten Modus machen, jedoch ist da die Schwierigkeit, dass man einige Einträge schwer in der Registry findet.
Hier mal ein paar Möglichkeiten wie man das Andert schriftlich:
1. Als Vorsorge per Registry ändern
windowstaste + r -> regedit
suchen -> image File Execution
rechte maustaste auf den Ordner image File Execution (Options)
neu -> schlüssel->utilman.exe
Andere Seite (da wo nun Standard steht und sehr viel platz ist)
->neu->Zeichenfolge->Name = Debugger
Doppelklick nun auf Debugger->cmd.exe eingeben.
zum Lesen den Text mit der Maus markieren
2. Einfache Variante von Erstens.
Dies Downloaden
Entpacken
Utilman-System.reg ausführen und die .reg Datei macht dann die Änderungen, wie oben beschrieben.
zum Lesen den Text mit der Maus markieren
3. Manuell über copy/paste und umbennen. (War ganz praktisch, dies Stand nämlich als Kommentar schon unter dem Video ^^)
1. Gehe zu WINDOWS/System32
2. Suche "utilman.exe"
3. Eigenschaften -> Sicherheit -> Erweitert -> Besitzer -> Bearbeiten
4. Bei "Besitzer ändern nach" den eigenen Account auswählen -> Übernehmen -> OK -> OK
5. Nun unter Sicherheit -> Bearbeiten dem Benutzer "Vollzugriff" geben.
6. Jetzt die Datei in "utilman2.exe" umbenennen -> Fertig
Nun nur noch die cmd.exe kopieren und einfügen und in utilman.exe umbenennen.
zum Lesen den Text mit der Maus markieren
Wenn man nun einen Virus hat: (Habe meine Infos in Bezug auf den BKA-Virus, denke jedoch, dass kann man bei vielen Viren dieser Art machen)
1.Strg+Alt+Entf
2.Benutzer wechseln (da die Anwendungen nicht beendet werden sollen )
3.Unten links Erleichterte Bedienung (utilman.exe) öffnen, cmd wird geöffnet.
4.Nun können sie den Taskmgr.exe aufrufen
4.1 Ab und zu wird dieser deaktiviert: Um Taskmgr wieder benutzen zu können, in der Registry (cmd -> regedit) DisableTaskmgr suchen und den schlüssel löschen bzw den Wert auf 0 setzen.
5.Unter Prozesse alle Prozesse des Benutzers entfernen, wo sie nicht 100% sicher sind.(z.B Programme, die zuvor nicht offen waren, firefox.exe als bsp)
5.1 Bei klarem Verdacht, wäre es nicht unklug den Ort(unter Eigenschaften) zu merken, und in der Registry nach einem Teil des Ortes suchen und löschen.
5.2 Überprüfen: cmd->cd \ um ins Wurzelverzeichnis zu gelangen | cd Pfad(Ort) des Verdächtigen Prozess ( bsp: cd \Users\Benutzername\Appdate...) ; /dir , Prozess beenden (im bsp firefox.exe) und in der cmd den Teil löschen. (del firefox.exe)
6. Nun sollte man die Autostart Prozesse überprüfen.
6.1 In der Registry (ausführen->regedit) nach Run suchen(bzw RunOnce suchen, da bei Run zuviele überflüssige Ergebnisse kommen) und dort überprüfen nach möglichen Schadwares (dies ist natürlich je nach Virus anders)
6.2 Start->msconfig.exe (suchen + starten) -> Tab SystemStart ->Verdächtige Programme (z.B welche die in eurem Account gestartet werden, gibt es zwar, ist jedoch selten) lö
6.3 Wenn der nicht über Registry gestartet wird dann über Startmenu des Profils gestartet, wenn man sich einloggt. Das Problem ist dass es aufwendig ist diese zu finden.
Ich empfehle das
hier.
6.4 Bei einem Fund diesen deaktivieren.
7. Den PC neustarten
zum Lesen den Text mit der Maus markieren
Zusatzinformationen (mögliche Problemlösungen, kann erweitert werden im Falle von Problemen)
Wenn das Bearbeiten in der Registry deaktiviert wurde:
Ausführen->gpedit.msc->benutzerkonfiguration -> administrative vorlagen -> system -> (runterscrollen) zugriff auf Programme zum bearbeiten der registrierung verhindern -> deaktivieren
SemperVideo-Kanal
zum Lesen den Text mit der Maus markieren
Ich hoffe mal ich habe nichts vergessen und mein Halbwissen reichte aus zum erklären und vlt kann ich dem einen oder anderen helfen ^^.
Edit by d3Mon: warkid hat diesen Thread auf meine Anfrage erstellt, da ein externes Tutorial besser ist und schnelleren Zugriff für Leute bringt, die neu in der Community sind. Dadurch müssen sie dann nicht 1000 threads durchstöbern, und wissen direkt was hier drin ist.
Ein Dankeschön geht nochmal an warkid.
Dieser Edit ist lediglich für die anderen Mods gedacht, damit sie den Thread nicht versehentlich wegen Doppelanwesenheit des Posts löschen^^