Ich habe soeben einen PC von einem UKASH Trojaner befreit.
Bei dieser Variante hat sich die Datei jashla.exe in das Verzeichnis
c:\Dokumente und Einstellungen\USER\Anwendungsdaten\ kopiert.
und die Shell auf diese Datei umgebogen, sodass das unten dargestellte
Bild nach dem Start von Windows ewrscheint und somit der PC für den
"normalen" User unbedienbar ist.
Zur Beseitigung des Trojaners bin ich wiefolgt vorgegangen:
1) Starten des PC im Abgesicherten Modus mit Eingabeaufforderung
2) Starten des Registry Editors mit regedit.exe
3) Im Registry Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell die umgebogene shell von c:\Dokumente und Einstellungen\USER\Anwendungsdaten\jashla.exe wieder in Explorer.exeändern.
4) c:\Dokumente und Einstellungen\USER\Anwendungsdaten\jashla.exe löschen.
Danach startete der PC wieder ganz normal.
No comments:
Post a Comment