Hilfe "File Restore" Trojaner Firmenlaptop

[Berserker06]

Hi Leute,

 

ich hab ein Riesenproblem. Auf meinen Firmenlaptop ist ein Trojaner "File Restore", der- wie ich schon erfahren habe- falsche Systemmeldungen anzeigt und man Geld bezahlen soll, damit alles wieder hergestellt wird.

Die Symbole auf dem Desktop sind auch verschwunden und die Dateien ebenfalls.

 

Ich habe im Netz gesucht, aber auch immer nur Anleitungen im schlechten Deutsch (sprich mit Übersetzer) gefunden, bei denen man auch wieder ein Programm kaufen muss. Da bin ich dann auch vorsichtig.

 

Kennt sich jemand damit aus? Ich sitze mittlerweile seit Mittag an dem Problem.

 

Danke schon mal für die Hilfe.

[Landru]

Also ich würde Dir, sofern Du nen zweites System zur Verfügung hast, raten die Platte auszubauen und is das zweite System zu hängen.

Daten sichern und nachm formatieren nen sauberes Windows aufsetzen.

Grüße,

Landru

[Dahner]

Hast das schon probiert:

 

Delete File Restore files:

%AppData%\Microsoft\Internet Explorer\Quick Launch\File_Restore.lnk

%Desktopdir%\File_Restore.lnk

%Programs%\File Restore\File Restore.lnk

%Programs%\File Restore\Uninstall File Restore.lnk

%CommonAppData%\[rnd_0].exe

%CommonAppData%\[rnd_1]

%CommonAppiData%\[rnd_1].exe

Delete File Restore registry entries:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[rnd_0].exe %CommonAppData%\[rnd_0].exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr 0

 

In der Regel lassen sich solche Fake-Trojaner einfach vom System löschen ohne das reste davon auf

dem PC zurückbleiben. Geh in den Abgesicherten Modus und lösche die oben genannten Dateien und

Registry Einträge. Nach einem Neustart hast dann deine Ruhe.

 

Formatieren und windows neu installieren ist wirklich nur in Ausnahmefällen nötig.

 

Edit:

Wie man an den Registierungseinträgen erkennen kann ist dieser Trojaner vom dem alt bekannten BKA-Trojaner

oder dem Bundespolizeitrojaner garnicht so unähnlich....Taskmanager deaktivieren und dann ne exe starten die einem irgend einen Blödsinn vorgaukelt (damals wars glaub ich eine einfach Internetseite die da in Vollbild geladen wurde

und aus der man nicht mehr raus kam).

 

 

Weisst du noch wo du dir den eingefangen hast oder haben könntest ?

Ich sammel die Kerlchen inzwischen als Anschauungsobjekte und damit ich immer gleich weis mit welchem ich es

zu tun habe und wo die Files liegen wenn ich mal wieder einen Kunden PC hier hab der nen Trojaner hat.

bearbeitet 25. Oktober 2012 von Dahner

[Landru]

Dahner, da muss ich Dir leider wiedersprechen, es geht nach einem Befall nichts über das neuaufsetzen des Systems.

Da man nie genau weiß welchen Schädling in welcher Version man sich eingefangen hat kann niemand wissen was sich da sonst noch so alles rumtummelt, welche Lücken er ins System gerissen und welche Einstellungen er verändert hat.

 

Ich kenne kein relevantes Malwareboard oder Seite auf dem nicht bei kompromitierten Systemen eine Neuinstallation empfohlen wird.

Das schnelle Fixen damit man die Daten sichern kann ist natürlich kein Thema, aber weiter würde ich mit dem System nix mehr machen.

 

Grüße,

Landru

[Dahner]

Bei einem "schweren" Trojanern geb ich dir recht Landru.

 

Bei einem großteil der Trojanern die am häufigsten die Rechner lahm legen handelt es sich um

einfache Dateien die da nach dem Systemstart geladen werden und nichts relevantes am System

ändern. Damit meine ich die Art von Trojaner bei denen man sich z.b. "freikaufen" kann.

 

Trojaner die auf richtig Schaden aus sind zeigen sich meist durch wesentlich größere Schäden/

Veränderungen am Betriebssystem und diese würden auch nie zulassen das man ihre Dateien

so einfach löscht. Die erkennt man oft daran das sie den virenscanner und andere Schutzsoftware

lahmlegen, deinstallieren und/oder dessen installation verhindern.

 

Wie dem auch sei ich würde diesen als nicht so gravierend einstufen und nicht gleich formatieren.

Am ende muss er das aber selber wissen was ihm lieber/sicherer ist.