Guten morgen. Ich will euch hier mal kurz beschreiben, wie ihr den fiesen BKA, auch U-Kash Virus, 2.0 entfernen könnt.
Ihr braucht kein spezielles Wissen und ihr müsst den PC nicht wiederherstellen (KEIN DOWNLOAD NÖTIG)!
Zuerst krallt ihr euch den PC, der mit dem Virus infiziert ist und schaltet ihn, falls noch nicht geschehen, aus. Als nächstes startet ihr Windows im Abgesicherten Modus mit Eingabeaufforderung (!) (dazu den PC einfach am Schalter aus machen und dann im Startmenu den Punkt Abgesicherter Modus mit Eingabeaufforderung auswählen und mit Enter bestätigen). Nach dem Boot-Up solltet ihr nichts sehen, nur einen schwarzen Bildschirm mit eurer Build-Version etc. und natürlich die Eingabeaufforderung. Dort gebt ihr folgendes ein: explorer.exe und bestätigt mit Enter. Wartet kurz bis es geladen hat. Danach klickt ihr auf das Windows Symbol unten rechts und gebt folgendes ein: %appdata%. Dann soltet ihr in einem Ordner landen. Dort sucht ihr nach einer verdächtigen .exe Datei (bekannte Namen des Virus: jashla.exe mahmut.exe mahmud.exe) und benennt sie um (WICHTIG!).
Es wird Zeit den falschen Registry Eintrag zu fixen.
Dafür drückt ihr Windows+R und gebt in dem Fenster regedit ein (Administrations-Rechte werden benötigt!). Dort navigiert ihr zu folgendem Ordner. In Windows 7/Vista:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Unter XP
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Als nächstes gebt ihr dem Schlüssel Shell den Wert explorer.exe
Sollte an diesem Schlüssel alles OK sein navigiert nach:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
(unter Windows 7/Vista)
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
(unter XP)
und schaut bei den Schlüsseln nach Dateien die in euch nichts sagenden Pfaden liegen. Macht diese Dateien ausfindig und löscht gegebenen falls den Schlüssel und benennt die Datei um (falls es nicht die selbe ist, die ihr vorher schon umbenannt habt).
Schaltet den PC aus und versucht Windows normal zu starten (wenn es nicht geht, alles nochmals durchgehen).
Als nächstes geht ihr auf Virus-Total und uploaded die verdächtige
Datei(en). Hier wird sie von mehreren Namenhaften Virenprogrammen gleichzeitig gescannt. Bei mir war das Ergebnis eindeutig: Mehrere Scanner schlugen Alarm.
Mit der Datei könnt ihr nun machen, was ihr wollt. Sie wurde durch das umbenennen unschädlich gemacht. Ich empfehle euch aber, sie zu löschen.
-GESCHAFFT!-
Viel Glück euer ReflaX'
//edited zur besseren Übersicht
Ihr braucht kein spezielles Wissen und ihr müsst den PC nicht wiederherstellen (KEIN DOWNLOAD NÖTIG)!
Zuerst krallt ihr euch den PC, der mit dem Virus infiziert ist und schaltet ihn, falls noch nicht geschehen, aus. Als nächstes startet ihr Windows im Abgesicherten Modus mit Eingabeaufforderung (!) (dazu den PC einfach am Schalter aus machen und dann im Startmenu den Punkt Abgesicherter Modus mit Eingabeaufforderung auswählen und mit Enter bestätigen). Nach dem Boot-Up solltet ihr nichts sehen, nur einen schwarzen Bildschirm mit eurer Build-Version etc. und natürlich die Eingabeaufforderung. Dort gebt ihr folgendes ein: explorer.exe und bestätigt mit Enter. Wartet kurz bis es geladen hat. Danach klickt ihr auf das Windows Symbol unten rechts und gebt folgendes ein: %appdata%. Dann soltet ihr in einem Ordner landen. Dort sucht ihr nach einer verdächtigen .exe Datei (bekannte Namen des Virus: jashla.exe mahmut.exe mahmud.exe) und benennt sie um (WICHTIG!).
Es wird Zeit den falschen Registry Eintrag zu fixen.
Dafür drückt ihr Windows+R und gebt in dem Fenster regedit ein (Administrations-Rechte werden benötigt!). Dort navigiert ihr zu folgendem Ordner. In Windows 7/Vista:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Unter XP
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Als nächstes gebt ihr dem Schlüssel Shell den Wert explorer.exe
Sollte an diesem Schlüssel alles OK sein navigiert nach:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
(unter Windows 7/Vista)
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
(unter XP)
und schaut bei den Schlüsseln nach Dateien die in euch nichts sagenden Pfaden liegen. Macht diese Dateien ausfindig und löscht gegebenen falls den Schlüssel und benennt die Datei um (falls es nicht die selbe ist, die ihr vorher schon umbenannt habt).
Schaltet den PC aus und versucht Windows normal zu starten (wenn es nicht geht, alles nochmals durchgehen).
Als nächstes geht ihr auf Virus-Total und uploaded die verdächtige
Datei(en). Hier wird sie von mehreren Namenhaften Virenprogrammen gleichzeitig gescannt. Bei mir war das Ergebnis eindeutig: Mehrere Scanner schlugen Alarm.Mit der Datei könnt ihr nun machen, was ihr wollt. Sie wurde durch das umbenennen unschädlich gemacht. Ich empfehle euch aber, sie zu löschen.
-GESCHAFFT!-
Viel Glück euer ReflaX'
//edited zur besseren Übersicht