Da wirst du jetzt aber wohl eine Menge Spott ertragen müssen!
Andererseits: es wird alle 'normalen' PC-Nutzer beruhigen. Wenn sowas selbst jemandem wie dir passiert, steht man nicht mehr ganz so dumm da, wenn man sich selber was eingefangen hat.

Naja, mi~we. Lachen kann man nur solange, bis es einen selbst erwischt.
Trauriger Weise hatte ich schon Funde auf alten CD's. Sogar auf gekauften. Gefeit ist keiner, wahrhaftig nicht. Andy

Du solltest im besten Fall direkt am Router deinen Netzerwerktraffic im Auge behalten.
Der billige Weg das Ding einfach in den AutoRun Key zu setzen lässt zwar vermuten das kein Rootkit dabei war
aber sicher ist sicher.

Hi PaoloP, thx, das mit Traffic kontrollieren ist mir klar. Mir geht es hier generell darum, auch durchaus eine Diskussion zu entfachen, ob der pauschale Tipp mit "Windows neu installieren" irgendeinen Sinn macht, wenn man sich einen Trojaner geholt hat.

Tatsache ist doch, wenn man so ein Ding im System hat, dann kann das alles Erdenkliche anstellen. UND: Es kann sein, dass dieser Trojaner schon LANGE im System aktiv war, bevor er irgendwann sichtbar wurde.

Weiß der Henker, auf wievielen gebrannten DVDs, Backups, USB-Sticks whatever sich das Ding breit gemacht hat. Man kann eigentlich nur hoffen, dass (falls das Ding im System ist), irgendwann ein Update der verwendeten Antimalware-Lösung Alarm schlägt.

Und selbst wenn das irgendwann passiert und das Ding gegrillt wird, heißt das noch lange nicht, dass es nicht weiterhin in einer bereits mutierten Version existiert, die noch nicht erkannt wird. Ich halte den pauschalen Ansatz eine "Malware töten zu können" für falsch.

Man sollte lieber davon ausgehen, dass ein System IMMER verseucht ist und gucken, wie man damit klarkommt, welche Strategien es gibt. Alles andere ist doch Augenwischerei.

Meine Frage: Wenn ich auf meinem PC mehrere Benutzerkonten habe (W7), sind alle betroffen oder nur der, der aktiv war als der Trojaner kam? Wie sieht es aus wenn man sich mit einem anderen Konto anmeldet?

Beste Grüße
André

Die Gretchenfrage, alles platt machen oder nicht? In den meisten Fällen kann man sich das sparen, besonders, wenn sie sich mittels solcher Meldungen auch noch beim PC-Besitzer vorstellen. Die bösartigsten Plagegeister arbeiten im Stillen, loggen alles mit, ohne dass der Nutzer es überhaupt merkt. Den PC neu aufsetzen bringt auch nichts, wenn der DAU dann so weiter macht wie bisher, weil der neue PC dann garantiert nicht lange Schadsoftware-frei bleibt.

Vor ein paar Tagen konnte ich diesen Virus auf dem PC eines Bekannten (Nein, wirklich nicht mein eigener Rechner) recht simpel ausbremsen:

- Windows im abgesicherten Modus starten
- Neues Admin-Konto einrichten
- Neustart, im neuen Konto anmelden (da läuft der Virus nicht, zumindest nicht sichtbar)
- Im konkreten Fall wurde der Screen von der Datei "jashla.exe" aufgerufen. Diese Datei habe ich unter dem neuen Konto mit der Comodo-Firewall geblockt

Die jashla.exe ist einfach nur eine versteckte Datei, die unter anderem versucht, in der Registry rumzupfuschen. Comodo hats ihr dann aber verboten. Ich hab die Datei erstmal nicht gelöscht, da vermutlich noch weitere Dateien dazugehören, die sich nicht so einfach finden lassen.

Auf diese Art kann man den Rechner zumindest vorübergehend wieder benutzbar machen.

Ich bin diesem Erpresser-Schädling dieses Jahr durch Kundenrechnern schon 4-5 mal begegnet.

http://www.nickles.de/forum/viren-spyware-datenschutz/2011/das-bka-ist-pleite-538796079.html

Eine neue Erfahrung für mich war, dass er auch im abgesicherten Modus im vollen Umfang aktiv ist und z.B. auch dort den Task-Manager unterdrückt.

Von daher verstehe ich nicht, wie Chip.de überhaupt zu der Behauptung kommt, diesem Schädling im abgesicherten Modus über den Aufruf der Registry beikommen zu können:

http://www.chip.de/news/Bundespolizei-Virus-entfernen-So-werden-Sie-ihn-wieder-los_50761972.html

Sieht für mich wie eine redaktionelle Arbeit nach dem Strickmuster aus:
Wir haben zwar (im Internet) recherchiert, dass der BKA-Schädling im Autostart diesen und jenen Schädlingseintrag vornimmt, aber wir gehen davon aus, dass dieser Schädling im abgesicherten Modus nicht geladen wird.
Und weil wir das so annehmen, basteln wir uns mal eben eine entsprechende Anleitung nach dem Motto zurecht: Wird schon stimmen... :-(

Mit einem Kniff kommt man dennoch ohne weitere Hilfsmittel dazu, eingeschränkt unter Windows zu arbeiten.
Zwischen dem Verschwinden des Windows-Ladebalkens und dem Erscheinen des Desktops (bzw. des BKA-Bildes) ist es möglich, per Strg+ Alt + Entf den Task-Manager aufzurufen und dort auf die Registerkarte "Prozesse" zu wechseln.

Zu diesem Zeitpunkt sind nur sehr wenige Prozesse geladen , so dass man recht gut bemerken kann, wenn ein weiterer Prozess dort erscheint.
Man hat genug Zeit, den neuen Prozess zu markieren und diesen durch Klick auf die Schaltfläche "Beenden" abzuwürgen, da der Schädling einige Zeit braucht, um seine Wirkung zu entfalten.

Natürlich muss man den richtigen Prozess erwischen - andernfalls kommt man nicht drumherum, den Rechner neu zu starten und es erneut zu versuchen.

Der Desktop erscheint dann, ist aber leer (ohne Desktopsymbole, Taskleiste und Startmenü). Wer Daten beiseite sachaffen will, kann dies aber dennoch tun, indem er über den Task-Manager -> Datei -> Neuer Task im nun erscheinenden kleinen Textfeld den Windows-Explorer aufruft (Eingabe von: explorer.exe).

Wer nur einen Rechner zu Hause hat und zudem über eine deaktivierte oder zerschossene Systemwiederherstellung verfügt, kann somit dennoch an seine Daten ran.

Gruß
Shrek3

Erst einmal Danke an alle, für diese Tips ! In der Regel hat man Windows schneller platt und die Daten neu drauf, wie einen Schädling manuell zu claenen. Um den möglichen Datenverlust zu vermeiden, bietet sich die Software "Erdcommander" an. Diesen startet man von einer Live-CD mit einem freien DOS und dank einer WinOberfläche kann man dann seine Schäflein noch in Sicherheit bringen, funktioniert allerdings nicht immer, warum auch immer.
Tip 2 : Der beste Freund von Windows ist der "Pinguin-Feind (Linux)" auch mit der Live-cd eines älteren Linux zB. "Knoppix" kann man nicht nur Schaden anrichten sondern auch sein geliebtes Windows in Bezug der wichtigsten Daten retten.
.

Einige Bekannte hatten auch schon das zweifelhafte Vergnügen.

Hier meine Lösungsansätze welche das System wieder zum laufen brachte.
Ich tendiere jedoch immer wieder zum Neuaufsetzen.

Die Variante letzte bekannte funktionierende .....brachte bei mir keinen Erfolg
Ebenso verlief die Benutzung von STRG-ALT-ENTF oder der abgesicherte Modus F8 erfolglos.

Eine Reinigung mit der antivir not disk bzw der c´t security disk brachte nur bedingt Erfolg.

Nachdem die 4 Virenprogramme sich mit mehr oder weniger Erfolg ausgetobt hatten, startete der Rechner aber es gab nur einen wölckchen Bild ohne Taskleiste.

Mit Strg-Alt-Entf dann den Taskmanager gestartet.
Datei - Neuer Task
Den Explorer im Verzeichnis Windoof starten

Einen USB Stick deiner Wahl ansteuern und das auf einem weiteren Rechner dort positionierte Malware Programm z.b. Malwarebytes starten.

Installieren und einmal durchlaufen lassen und jut ist
Neu starten.
Windoof sollte nun funktionieren
Dann deine Daten retten und das System neu aufsetzen.

Fertig.

Bei einem weiteren Versuch an einem anderen Rechner habe ich dann die beiden betreffenden *.exe Dateien im
Windoof Verzeichnis mittels Benutzung von UBUNTU aufgespürt und eliminiert.
Das Prozedere mit dem USB Stick meiner Wahl musste ich jedoch wieder durchlaufen lassen.


jruess
b

Wäre interessant zu wissen wie sich das Ding einnistet.
Da MN sicher eine Windows Update gepatchte kiste hat vermute ich über den Adobe Reader, Flash oder Java.
Hat da jemand von euch Infos?

Das passierte in meinem Fall einfach bei Aufruf einer Webseite mit IE.

Ich hab ein Image. Dauert fünf Minuten und der Rechner ist wie neu. Eine DriveBy Infection kann man sich auch mit anderen Browsern als dem IE einfangen.

Man kann mit Nicht-IE Browsern das Risiko aber stark minimieren.
Ich nutze hier, egal welches OS, nur den Firefox mit NoScript und AdBlock Plus, anders gibts hier keine Webseiten zu sehen. Schon reduziert sich das Ansteckungsrisiko enorm. Hinzu kommt noch das hier Linux das Haupt-OS ist. Dadurch fällt das Restrisiko in einen Promillebereich von dem was Windows mit IE als Risiko hat.

Firefox hat sich den auch schon gefangen. Vielleicht kann man mit Sicherheitseinstellungen etwas verhindern. Aber dann funktionieren ja viele Seiten nicht.

Nicht Firefox sondern DU, weil deine Browser-Plugins (Java, Flash, Adobe Reader) veraltet und daher anfällig für genau die Exploits sind, mit denen die entspr. Seiten präpariert sind, auf denen die Drive-by-Infektion geschah.

Mein Sohn hatte den drauf.

Offline-Scan mit G-DATA fand drei infizierte Java-Apps. Weggemacht, Rechner neu gestartet und nach dem Booten kam dann nicht mehr das hübsche BKA-Bild, sondern ein nackter Desktop. - Wie gehabt ohne Taskleiste....

Neu gebootet und zwischen Ladebalken und Desktop schnell Strg, Alt + entf. gedrückt, im tatsächlich aufgehenden Task-Manager den Explorer gestartet und dann die Systemwiederherstellung aufgerufen und den Wiederherstellungspunkt vom Tag zuvor aufgerufen und und alles war wieder gut.

Kann es sein dass da einer sein System nicht gepatscht hatte, ich meine jetzt nicht das Betriebssystem, sondern die anderen Dinge sofern vorhanden, berüchtigt sind Adobe Flash etc.
Spasseshalber installier mal PSI Secunia 2.0.0.3003. Ist das Icon grün, ok, wenn rot nicht ok.

patchen hilft ;)

Das starten im abgesicherten Modus mit nur Eingabeaufforderung ist durchaus möglich. Hat bei mir schon zwei mal funktioniert. (privater laptop eines Mitarbeiters den ich erst gestern zum zweiten mal deswegen auf meinem Schreibtisch hatte)
Der Witz an dem Teil ist dass der Virus sich selbst für die Windows shell ausgibt. Die Standardshell von Windows ist die explorer.exe
Also wie man das Ding wieder zum laufen bringt ist eigentlich ganz einfach:
1. Im abgesicherten Modus mit nur Eingabeaufforderung starten.
2. temp Ordner löschen (da nistet sich das Teil ein) mit rd /s %temp%
2. regedit
3. in HKLM/Software/Microsoft/Windows NT/Winlogon den Eintrag "Shell" zurück ändern auf "explorer.exe"
4. Neustart

Dann startet der Rechner wieder normal und zwar dauerhaft.
Im Endeffekt ist aber eine Neuinstallation nötig. Keine Frage. Nur wenn man unbedingt nochmal ins System muss ist diese Vorgehensweise zu empfehlen.

@samusaran1

Danke für den nützlichen und schnellen Weg

jruess
b

Da ich alle wichtigen Daten, mehrfach gesichert habe (seperate Platten, optische Datenträger und auf einem weiteren Rechner), würde ich in einem solchen Fall einfach Windows neu installieren. Ein Systembackup habe ich nicht und ich würde mich, im Falle das ich eins hätte, nicht darauf verlassen, daß es frei vom "Bundestrojaner" wäre.
Eine Neuinstallation, sollte definitiv schneller sein, wie auf die Glücksjägermethode sein System von Hand versuchen zu Retten, effektiver ist es allemal.
Das mit den mehrfachen Sicherrungen des Datenbestandes, hab ich auch den Leuten eingeimpft, die mich bei Problemen mit ihren Rechnern rufen.

Da es mich heute auch erwischt hat ... habe ich eine Frage zu den Daten
Da ich alle wichtigen Daten, mehrfach gesichert habe (seperate Platten, optische Datenträger und auf einem weiteren Rechner),

Vorab: für mich persönlich kommt nur das neu aufsetzen des Rechners in Frage.

Datensicherung gut und schön, habe ich und ist auch gar nicht so lange her. Aber es gibt dennoch ein paar (nicht unbedingt wichtige) Dateien die noch nicht gesichert sind und die ich dennoch gerne behalten möchte. Und ich komme an meine Daten noch heran (ich habe einfach das Netz abgezogen, das hat bei mir gereicht den Explorer starten zu können).

Meine Frage: wenn ich diese vom infizierten Rechner gesicherten Daten später zurück spiele auf die Festplatte, muß ich dann damit rechnen, denn Trojaner wieder mit aufzuspielen?

Danke und Gruß
Werner

Kurz und schmerzlos: JA.
Du kannst das Risiko nur senken, und zwar z.B. dadurch, dass keine Programme oder Systemdateien/Treiber usw. sicherst, sondern nur Dokumente, Videos und Bilder.
Auch die können aber Malware enthalten oder lediglich vortäuschen, ein Mediafile oder Dokument zu sein.
Also müssen die verantw. Anwendungen sicher konfiguriert werden, damit beim Öffnen nicht Scripte, Makros usw. automatisch ausgeführt werden.

http://www.oschad.de/wiki/Dateiendungen

Zum Thema Ukash noch ein Blick auf die rechtliche Seite: http://www.anwalt.de/rechtstipps/achtung-kriminelle-abzocker-geben-sich-als-bka-aus_020165.html

Hallo

Wenn ich meinen Senf noch dazugeben darf:

Da mir dieser Kollege auch schon mehrfach präsentiert wurde zur Beseitigung und die letzte als funktionierend bekannte Konfiguration manchmal nicht geholfen hat, die Rescue-CD von Kaspersky erkennt das Teil auch, sollte aber mittels LAN-Kabel oder so es erkannt wird, WLAN in´s Internet können zur Signaturaktualisierung:

http://support.kaspersky.com/de/viruses/rescuedisk

Sinnvoll ist es auch, trotz gegenteiliger Meinung bei der örtlichen Polizei Anzeige zu erstatten.
Manche tun es wohl aus Scham nicht (wer möchte sich schon bei angeblich illegalen Downloads und Kinderpornographie freiwillig melden), aber anscheinend grassiert der Trojaner derart, daß eine Bestandsaufnahme sinnvoll ist.
In unserer Tageszeitung wurde auch darauf hingewiesen, sich nicht in´s Bockshorn jagen zu lassen und zur Polizei zu gehen, vor allem aber nicht zu bezahlen.

fakiauso

Ja, der kaspersky erkennt das. - Mithin auch G-DATA (zwei Scan-Engines, eine davon kaspersky) - war bei uns ja auch so, aber der Offline-Virenscan entfernt zwar die infizierten files, repariert aber leider die Windows-Shell nicht - wie soll er das auch können.

Nach der Entfernung startet Windows dann zwar mit nacktem Desktop, es wird aber der fehlende "splashscreen" angemeckert und man soll den aktualisieren. - Wenn du das machst, installierst du dir nur das blöde Malware-Programm wieder.

Da hilft dann eben nur, zwischen Ladebalken und Destop das drücken von Strg, Alt + entfernen und dann mit einem neuen Task die explorer.exe starten und dann die Systemwiederherstellung aufzurufen. - So hat es jedenfalls auf dem Rechner meines Sohnes funktioniert.

Hallo fakiauso,

ich hatte auch mal so ein Problem.

Den 0815 Beamten geht das am Arsch vorbei, weil die beim schlafen gestört werden. Die " Arbeitstiere" wollten mich rausschmeißen. Der Fachbeamte hat mich sogar 2X angerufen, der war da richtig hinterher.

Die Bundesnetzagentur nimmt die Beschwerden auch entgegen.

Es ist wichtig das jeder Vorfall gemeldet wird, dann werden die Politiker geweckt und die Strafen verschärft.

Gruß

Kabelschrat

Hallo,
mittels einer Ubuntu Live-CD Daten der Platte sichern (müsstest ja wissen wie soetwas geht ;-)) und danach System neu aufsetzen - das einzig saubere Mittel.
Viel Erfolg wünscht Chris

Als 08/15-Beamter habe ich mehreren Anzeigenden den Link zur kostenlosen Kapersky-Rescue-Disc mit auf den Weg gegeben. Zu diesem Zeitpunkt schien das der einzige Hersteller zu sein, der das Teil erkannt und entfernt hat.
Mittlerweile sind die Anzeigen wegen des Bundestrojaners offensichtlich sehr rar geworden.

Wie gesagt "rar" geworden. Ich kann nur von mir und meinem Arbeitsfeld ausgehen.
Jeder bessere Tip ist willkommen und ergäbe dann auch eine sinnvolle und sachliche Antwort auf meinen Kommentar.

Ja, das wissen Computererfahrene.
Nur die meisten wollen erstmal eine Hilfe, um an Daten wieder ranzukommen, diese zu sichern, etc.

Um Geld zu verdienen, wird für Laien produziert und programmiert, das ist an jeder neuen Windowsversion zu merken. Vorinstalliert sind die Systeme beim "vonderStange-PC" sowieso.
Ein erfahrener User, der einen PC selber bauen und ein Betriebssystem installieren kann, ist nicht mit dem Laien zu vergleichen.
Aber genau die kommen an und fragen um Rat. Neu aufsetzen heißt für die, die Platten platt zu machen und loszulegen - und im Nacken die Frage "was passiert mit meinen Dateien?".
Backup hat man mal gehört, aber nie praktiziert.
Dateien werden in windowsvorgegebenen Ordnern gespeichert, wenige wissen, wie man "Eigene Dateien" auf eine Extra-Festplatte bringt. Noch weniger sichern regelmäßig extern ab.

Bitte erklär denen mal im akuten Fall einen "abgesicherten Modus" oder eine "Live-CD" und dergleichen.
Sie wollen eine 1. Hilfe.
Und da ist die Rettungs-CD von Kapersky eben eine Lösungsalternative, wenn computerfahrene Freunde gerade keine Zeit haben, ein zeitaufwendiges Programm durchzuziehen.
Trotz Hinweis, neu zu installieren, glaube ich, dass die wenigstens das machen und den Aufwand scheuen, wenns doch eh wieder läuft.

Laien wollen auch kein 1000-Seiten Nickles Buch lesen, sondern eine schnelle Lösung in ihrem Sinne.
Und dafür habe ich Verständnis.
Nur weil ich Auto fahre, muß ich mir kein Werkstattbuch für mein Model zulegen.

Hallo,
der Abit BE7-XP3 Rechner eines Familienmitgliedes, das viele Musikdateien lädt, war auch betroffen. Ich habe mich gewundert, warum der Hinweis auf Kasperky so spät in der Diskusion erscheint. Nach einer kurzen IN Recherche über meinen P4P 800K-XP3 habe ich die CD gebrannt und die uralte Methode „booten von CD“ auf dem befallenen Abit Rechner angewendet. Nach dem aktualisieren der Signaturen den normalen Scan ausgeführt. Kaspersky hat den Schädling und mehrere andere Trojaner, etc., gefunden und unschädlich gemacht. Der Rechner läuft seit 2 Monaten wieder störungsfrei. Der Kaspersky Aufwand ist eindeutig geringer als eine Neuinstallation. Nur eine Wiederherstellung oder Imagekopie wären schneller. Danach habe ich den Tiefenscan auf allen Laufwerken über Nacht laufen lassen. Ergebnis: Keine zusätzlichen Funde. Da dies so erfolgreich war, habe ich meinen Rechner auch mit der Kaspersky CD gescannt. Erwartet habe ich, dass nichts gefunden wird. Denn ich habe Fritz Box 7170 Router, Mc Afee, Ad Aware, Spybot und Windows Firewall und -Defender installiert. Sollte ausreichend sein, ist es aber nicht! Kaspersky hat einen Trojaner auf C: gefunden.

MfG Weva

Hallo

Nichtsdestotrotz ist natürlich auch ein scheinbar wieder laufendes System als kompromittiert anzusehen und sollte baldigst neu aufgesetzt oder durch ein definitv sauberes Image rückgesichert werden.

fakiauso

sollte sich der Trojaner tatsächlich über die div. autoruns etabliert haben,
könnte diese Vorgehensweise Erfolg haben (vorausgesetzt man verfügt
über einen kürzlich erstellten XP-Wiederherstellungspunkt)
Diesen Hilfetext habe ich bereits seit einigen Jahren auf einem Stick gespeichert:
Sollten Sie den PC nicht mehr ordentlich hochfahren können, haben Sie
die Möglichkeit über die Windows XP-CD-ROM die Systemwieder-
herstellung zu starten:
1.Legen Sie die Windows XP-CD-ROM in Ihr CD-ROM-Laufwerk ein und starten Sie den PC anschließend erneut.
2.In der folgenden Abfrage bestätigen Sie den Startvorgang von der CD.
Wenn die Willkommensseite angezeigt wird, starten Sie mit der Taste "R"
die Wiederherstellungskonsole.
3.Wechseln Sie in der Eingabeaufforderung in den Ordner "\Restore".
Geben Sie dazu ein: "CD C:\Windows\System32\Restore", und drücken
Sie "Enter"
4.Geben Sie "RSTRUI" ein, um die Systemwiederherstellung zu starten.
Sie haben anschließend die Möglichkeit, einen Wiederherstellungspunkt
zu wählen und das System in einen früheren Zustand zurückzuversetzen.

Bei Erfolg, anschließend evnt. mit 'autoruns (freeware) sich die 'Nicht-MS-Programme' genauer anschauen und gegebenfalls deaktivieren

gruessle
xaver

Hallo Michael,
hast du denn kein Image, das das System in minutenschnelle neu macht?
Ich kann mir nicht vorstellen, dass dabei Sicherheitslücken entstehen.

Gruß Wolfram

Wie wär's, mal eine Liste jener "Schutzprogramme" aufzustellen, welche diesen "Trojaner" anstandslos durchlassen? Gibt es überhaupt einen wirksamen Schutz?

Da würde auch so manche "Schutzsoftware des Jahres" demaskiert und je nach PC-Zeitschriftenverlag ernannte Platz-1-Hirsche als Günstling korrumpierter "Fach"-Jounalisten enttarnt...

Blabla, blabla, blabla...
Oder auf gut Deutsch: Klug-Sch.

Wenn du nicht Sinn entnehmend lesen kannst oder dir die Antworten auf deine Fragen nicht gefallen, dann solltest du vielleicht deine Fragestellung nochmal überdenken, bevor du dich mit deinen Antworten blamierst.

"Gibt es überhaupt einen wirksamen Schutz?"

Ja: Linux.

Wer hat das gesagt. Lockenfrosch?????

Ich nicht.

Gruss
Sascha

Nix und wenn + dann, sondern: Nutze mal ein veraltetes Java unter Linux (nehmen wir einfach mal ein alte OO oder dessen Nachfolger) und PENG!

Das! :3

Gestern hat sich mein jüngster das Ding eingefangen.

Und das Ding wird offensichtlich weiterentwickelt. - Diesmal war das Entfernen etwas komplizierter als beim 1. Mal.

Wir haben das nur aus sportlichem Ehrgeiz gemacht und dann ein Image zurückgeschrieben.

Die Geschichte: Genau wie beim 1. Mal bei meinem Großem vorgegangen; mit GDataLife-CD entfernt, dann versucht, beim Booten zwischen Anmeldebildschirm und Windows Stgr+Entf. gedrückt - nichts!!

Dann haben wir im nächsten Versuch F8 und abgesicherter Modus - nüscht. - Dann abgesicherter Modus nur Eingabeaufforderung und mit Regedit den Expolorer wieder in die Shell geshrieben.

Das hat - dachten wir - geklappt, denn Windows bootete ganz normal.

Zur Strafe aber kamen wir nicht mehr ins Internet. Der DHCP-Client startete weder automatisch noch manuell....

AFD (unter dem Reiter "Abhängigkeiten") war futsch. Den haben wir uns dann besorgt, ins System zurückgeschrieben und dann ging es.

Aber eigentlich ist das ja ganz gut so, denn der (sportliche) Zeitaufwand betrug insgesamt 4 Stunden. - Selbst wenn man kein Image hat, ist so manches System schneller wieder neu aufgesetzt und das ist besser, als jede versuchte und/oder eingebildete Reinigung.....

Und damit sich dein Jüngster nicht bald die nächste Malware fängt, solltet ihr mal analysieren, woran es lag.
Beliebte Kandidaten: veraltete Browserplugins (Adobe Reader, Flash, Java, QuickTime), fehlende Service Packs und Sicherheitsupdates...

Danke für deinen Hinweis, aber:

Nööö, an den aufgeführten Mängeln liegt es ganz klar nicht. Ich schnüffle zwar nie bewußt auf den Rechnern meiner Kinder, aber wenn beim Scan dann so komische Dateien wie pornacces und Ähnliche auftauchen, habe ich durchaus einen zielgerichteten Verdacht...

Außerdem ist das mit Brain.exe ein Problem, wenn die Gedanken in der Hose sind...

Nun könnte ich so etwas natürlich über meinen Router sperren, aber die sind 1. vor dem Gesetz schon erwachsen und 2. nicht ganz doof und ich denke, die würden meinen Router in so einem Fall (wenn ich dann schon schlafe) einfach umgehen und sich direkt einstöpseln.....

Auch möchte ich nicht ihren sportlichen Ehrgeiz wecken, mein Routerpasswort zu hacken.....

Also ist ein aktuelles Image im Schadensfall immer die 1. Wahl.

Abgesehen davon schlampe ich auch schon mal bei Plugins, nicht lange, aber ab und an. Aber restriktive Sicherheitseinstellungen und Brain.exe und gut konfigurierte Sicherheitstools haben bei mir bislang schon mein ganzes Computerleben (seit 1986) verhindert, dass ich mir was eingefangen habe.

Ich habe auch diesen Trojaner gehabt. Musste nicht Windows komplett neu installieren.
Ich kann nur schreiben, wie es bei mir war. Kann sein, dass bei euch nicht ist.
Also mein Programm Outpost Security hat ihn gefunden und mit dem Programm könnte ich ihn auch wieder schließen. Habe mir die Log-Datei angesehen und heraus gefunden. Dass der Dateiname New.exe heißt und das er sich in die Temp Ordner befindet. Ich habe komplett den Inhalt von Ordner mit Strg+Umschalttaste+Entf gelöscht. Vorsicht, nicht im Papierkorb verschieben oder löschen! Also einfach nach New.exe suchen. Danach habe ich, das Programm CCleaner gestartet, Registry, nach Fehler suchen. Er fand den Eintrag im Registry. Habe noch herausgefunden, dass er sich noch in einen anderen Ordner ist. Ich habe den Eintrag und die andere Datei gelöscht. Seitdem nichts von Trojaner mehr.

Mike mich wundert das es mit „Letzte als funktionierend bekannte Konfiguration wieder herstellen“ funktioniert hat. Wie ich herausgefunden habe, das Programm kopiert sich neu und benennt sich um, löscht die erste Datei. Was ich nicht herausgefunden habe, ob es zufällig in einen Ordner kopiert.

Du kannst davon ausgehen, dass es nicht immer New.exe heißen wird. Das Ding wird eben ständig weiterentwickelt.

Also das Outpost das gute Stück entdeckt hat, glaub ich ehrlich gesagt nicht, wenn du mir gesagt hättest deine Antivirussoftware von "Symyantec" hat sich von allein ausgeschalten, damit sich das ei ein Nest mit Henne suchen kann, das hätte ich dir abgekauft. Warum sich die Ladenversion (gekaufte Version) abschaltet und die andere Online Version) nicht, weiß ich nicht und hab auch keinen Plan. Ist aber schon einmal interessant zu wissen, das die Virenscanner in die Schlummermodus geschickt werden was nun auch die Frage beantworten dürfte, weshalb nur Privat PC´s und nicht auch Firmen PC´s infiltriert werden dürfen. Welchen Namen der Bundestrojaner richtig hat und wie du ihn eventuell manuell orten kannst, der CCC (Chaos Computer Club) kennt eventuell die Antwort, auf das werbe geschwafel der Antivier Software kannst du derzeit verzichten, die brauchen noch einpaar Monate, um ihre Sicherheitslücke zu stopfen.

Nur zur Info, Outpost ist keine Antivirussoftware! Erkundige dich erst mal, um welche Software es sich handelt, bevor du hier so was schreibst. Ob du mir glaubst oder nicht. Das Programm hat ihn gefunden, könnte durch das Programm es beenden und verhindern das Er sich noch mal startet.;-) der Rest war Handarbeit und verschieden Software könnte ich dann die Einträge löschen im Register.;-) somit könnte er sich nicht mehr starten.;-D

Sorry, bei mir zählt auch Software mit einem basis -Virenschutz schon zu einem Antitool, spielt aber im Grundegenommen auch keine Rolle, wichtig ist das das Baby dann scharf ist , wenn es scharf sein sollte und eben nicht seinen Sekundenschlaf hält.

Hallo Michael,
hallo Forum,

selbst der sorgsamste User bleibt in heutigen Zeiten nicht ungeschoren. Heulen hilft allerdings nichts, handeln ist angesagt. Vorher und nachher!

Vorher steht eine ordentliche externe Datensicherung immer gut zu Gesicht und auch die Systemwiederherstellung sollte bei windows nicht abgeschaltet und immer auf dem aktuellen Stand sein.

Nachher, wenn es passiert und schon längst zu spät ist, hilft kein Palaver, sondern nur ein frisches Betriebssystem.

Es ist wie beim ersten Mal! Kondom nicht vergessen und immer sicher anwenden!

MfG.
violetta

Hm, bei eBay bekommt man für rund 10€ eine Jahreslizenz für Kaspersky IS 20xx. Ich frage mich, warum User sich allgemein nicht besser schützen. Mangelnde Aufklärung? Keine Peilung? Ignoranz?
Aber die ganzen Noobs machen einfach zu wenig. Wie oft hab ich schon gehört: "Virenschutz? Äh, hab ich das? Hab ich nicht."
Und der Fridolin kanns dann wieder richten. Und selbst wenn Hersteller von Systemen noch so sehr Testversionen für Norton mitinstallieren, ich denke es liegt an mangelnder Wahrnehmung bezüglich der Materie.

Ich vertraue schon lange nicht mehr nur Virenscannern und Windows Update. Mein bevorzugtes PC-Präservativ nennt sich Deep Freeze.

http://www.faronics.com/enterprise/deep-freeze/

Alternativ kann ich das kostenlose Sandboxie empfehlen.

http://www.sandboxie.com/

Sandboxie arbeitet nach einem etwas anderen Prinzip, ist aber ebenfalls ziemlich effektiv darin, Dreck aus dem System zu halten. Obwohl mir das Konzept hinter Deep Freeze noch einen Tick mehr zusagt.

Virtuelle Maschinen sind eine weitere Möglichkeit. Und täusche ich mich oder arbeiten Internet-Cafés (ich war in noch keinem) schon seit jeher mit ähnlichen Schutzsystemen (Hardwareseitig Reborn-Cards, Software a la MS Steady State....)?

Ich habe oft das Gefühl, daß viele Standard-Nutzer gar nicht um die heutigen softwareseitigen Optionen zur Systemsicherheit wissen. Erklärt man ihnen dann die Funktion einer Sandbox oder die Option einer 'Systemeinfrierung', reagieren sie, als hätte man gerade aus einem Science Fiction Roman zitiert.

"Waaaas, sowas gibts? Eeeecht?"

Wobei ... hinsichtlich 'Systemeinfrierung' kam auch schon der Kommentar, daß Windows sowas seit jeher konnte. *fg*

Deep Freeze klingt gut; ist so eine Art "Life-Image", gell?

Man wird wohl nur an den Patch-Days etwas aufpassen müsse, damit das System nicht auf den alten Stand zurückfällt.

Oder ist es gar so, dass einem Sicherheitspatches dann sch....egal sein köenn?

Du kannst den Schutzschirm von Deep Freeze jederzeit per Passwort runterfahren, um entsprechende Updates aufzuspielen. Du solltest Dir allerdings strikt angewöhnen, bearbeitete Dokumente bzw. Dateien stets auf eine andere Partition oder extern auf USB Stick/ USB Festplatte auszulagern. Macht der Gewohnheit: Man fährt in der Eile den PC runter und denkt nicht mehr dran, daß alles, was man zuvor angestellt hat, mit dem Neustart futsch ist. Insofern wäre es vielleicht taktisch klug, nicht gleich auf dem Arbeitsrechner mit Deep Freeze zu üben. ;-)

Wenn Du primär den Browser absichern willst, reicht Sandboxie aus. Du kannst auch so ziemlich jedes andere Programm in der Sandbox laufen lassen. Schwierig wird es nur, Software direkt in Sandboxie zu installieren bzw. sie dann dort wiederzufinden. ;-)

Wenn Du häufig Software austesten und Dein System generell sauber halten willst, bist Du mit Deep Freeze deshalb besser beraten.

Ich doch auch. Aber sag das mal dem Studenten, der den PC ausschaltet, davonhastet und sich erst später klar macht, daß er Deep Freeze während dem mehrstündigen Schreiben an der Diplomarbeit aktiviert hatte. ;-)

Und ein Restrisiko bleibt trotz externer Sicherung: Daß Dir der PC mit aktiviertem Deep Freeze während der Arbeit an einer neu erstellten Datei abstürzt bzw. dann von selbst rebootet.

Ein "firts run" popup mit einem Verhaltenscodex für die generelle Nutzung des PCs und des Internets wäre doch was. Einfach geschrieben, aussagekräftig, knapp und dennoch gehaltvoll. Die großen Hersteller (Asus, Samsung etc.) sollten sowas draufpacken.

"First Run" meine ich natürlich.

war doch klar, dass das ein "Dreher" war!

jetzt nachher kann man leicht gscheiter sein...werden manche sagen.
trotzdem haben grade wirkliche fachleute schon von beginn an gesagt und geschrieben,
dass die pure datenanhäufing die ziele, die vorgegeben werden, nicht erreichen kann.
das fiasko mit verfassungsschutz beweist es :
trotz datensammeln, imsi catchern, usw, haben die wahren täter für jahre unbemerkt ihr unwesen treiben können.

nur otto normalverbraucher und maxine musterfrau müssen fürchten, dass sie
im radar auftauchen, weil bei ALLES SAMMELN es leicht passieren kann, ohne was damit
zu tun zu haben, mit involviert wird.

jetzt genau ist der zeitpunkt, wo wahre demokraten ob der bewiesenen unbrauchbarkeit
des eichhörnchendatensammelns , tätig werden müssen.

wo ist die piratenpartei?



dass die sogenannten verfassungsschützer anscheinend zuviel freiheiten und zuwenig kontrolle hatten, kann man bei der gelegenheit auch gleich gutmachen.

kontrolliert die kontrolleure mindestens so streng....wie alle anderen!

Hi Mike, hi Leute,
Ich scanne grad ein Laptop einer Kundin mit der Avast-bootdvd, der hat 2 verdächtige Einträge gefunden und zwar in der pagefile.sys (Auslagerungsdatei) in der hyberfile.sys (Ruhezustand).
Einer davon ist ein adloader, oder so... Ob der damit gegessen ist wird sich zeigen, jedenfalls sehr hartnäckig das teil...
Das wäre somit ne art speicherresistenter Schädling.
Ich melde mich später mit details!

Gruß wapjoe

Guck mal hier:

http://www.gutefrage.net/frage/avira-virusscanner-hat-mich-gewarnt-die-dateien-pagefile-sys-und-hiberfil-sys-sind-verdaechtig

und hier:

http://forum.avira.com/wbb/index.php?page=Thread&postID=767440

Das sind exklusive Windows Dateien, auf denen andere Programme weder lesen, schreiben oder löschen können.

Wenn du die Pagefile.sys löschst oder änderst, wird das finster für Windows.....

Ich denke mal, dass das ein klassischer Fehlalarm ist, der ausgegeben wird, weil der Scanner darauf keinen Zugriff hat...

Aber ich lasse mich gern eines Besseren belehren; Viren werden ja auch immer schlauer - aber soooooo schlau???

Hi winni,
Mag sein dass es eine fehlmeldung seitens avast war, hab mal gegoogled, aber die meinungen gehen auseinander...
Nachdem ich die beiden files entfernt hatte, hab ich über die boot-dvd in der registry noch verdächtige einträge entfernt.
Und ich habe einen eintrag gesetzt, der die ALD beim hochfahren neuerstellt und das laptop fuhr einwandfrei hoch und der bka-trojaner war nicht mehr aktiv.
Ob sich das teil wirklich in eine der dateien gefressen hat, oder über die reg startet, weiß ich nicht...
Aber kann es nicht sein, dass das teil sich als systemdatei tarnt und in die ALD auslagert?
Hartnäckig genug ist es mittlerweile auf jedenfall und wundern würde es mich nicht, besonders wie schlecht die leute ihre rechner sichern und updaten... ;-)

Gruß wapjoe

Moin, wapjoe!

Das Wesentliche ist: War nach dem Hochfahren des Rechners denn das von Mike gezeigte Bild da, dass den Desktop überlagerte und einen Zugriff auf diesen verhinderte? - Das ist das Eigentliche am "BKA-Trojaner", der die Explorer.exe in der Registry überschreibt. Wenn das nicht war, dann sollte das eigentlich ein Fehlalarm gewesen sein.

Eigentlich... Aber nun scheint ja alles OK zu sein.


Ansonsten habe ich natürlich keine Ahnung, wie geschickt die Virenschreiber sind, um die Exklusivität der ALD auszutricksen. - Eigentlich sollte das aber nicht möglich sein. Aber wer weiß schon wirklich, was alles möglich ist. Letztlich ist das BS auch nur eine Software und Software läßt sich eben mit Software austricksen.

Aber erschreckend wäre das schon.

Nabend winni,
Jo vorher kam die ucash, oder auch bundespolizei-seite den desktop blockiert und ich meine nicht mal der abgesicherte modus war möglich, kann mich aber auch vertun.
Kundin kann wieder auf ihre daten zugreifen, hab ihr aber empfohlen die daten zu sichern und neu zu installieren.
Meine kollegen und ich sind schließlich keine viren-experten und für 15,-- sollte man keine wunder erwarten!

Aber erschreckend ist es schon, wenn man sieht wie krass das teil mittlerweile mutiert ist, wundern würde mich so ein raffiniertes verhalten auch nicht mehr... ;-)

Gruß aus köln
wapjoe

Ja, Neuinstallation ist mittlerweile wohl unumgänglich.

Die erste Version von dem Teil ließ sich wohl tatsächlich noch rückstandslos entfernen, aber die Folgeversionen waren heftiger und für 15 € würde ich grad mal einen Offline-Virenscan mit ner Boot-CD machen! ;-)

hehe, stimmt schon ist zu günstig, wobei die 15,-- nur das scannen ansich umfasst, aber nicht die Entfernung der Viren, das ginge dann nach Zeit...

Wir haben uns mittlerweile entschieden das Mistvieh abzulehnen, bzw. ne Neuinstallation anzubieten ggf. noch ne Datensicherung durchzuführen, bringt auch einiges an Kohle rein und es gibt genug leute, die sich ne installation nicht zutrauen... ;-)

Was hat man von "System platt machen", da rödelt man unendlich um sein System wieder so hin zu bekommen wie man es gern haben will - und Bumms, nach 10min ist das oder ein anderes Dingens wieder da. :-(((
Ob da die beste AV-Software auch wirklich hilft?? Die Brüder sind doch inzwischen so gut, dass sie den Virenscanner zeitweilig ausschalten. So lange nichts auffälliges auf meinem LAP geschieht, sehe ich das alles recht gelassen, zumal meine Verbindung so langsam ist, dass wohl Keiner Stunden wartet bis seine bösen Absichten auf meinem Rechner sind - oder???

Gruß
Waldschrat

Mach mal

Bei mir macht es nicht alle 10 Minuten "Bumms"...

Ich hatte mehrere Benutzerkonten unter XP angelegt. Gesurft wurde mit dem Konto mit eingeschränkten Rechten. Dort wurde sich mit Firefox der Bundespolizeitrojaner eingefangen.

Da war die Vorgehensweise erfreulich einfach. Als Admin anmelden, Dateien des Benutzers in ein Verzeichnis außerhalb seines Benutzerkontos verschieben. Benutzerkonto löschen und neu anlegen. Benutzerdateien in das neue zum Benutzerkonto gehörende Verzeichnis verschieben.

Ich habe diesmal das Dateiverschieben von der entsprechenden Funktion in der Benutzerverwaltung erledigen lassen - hat erstaunlicherweise ca. eine dreiviertel Stunde gedauert gegenüber dem manuellen Zurückverschieben über Explorer, die keine fünf Minuten gedauert hat. Beim nächsten Mal mache ich das gleich über Explorer vor dem Löschen des Benutzerkontos.

Anläßlich dieser Erfahrung habe ich mir gleich noch ein zweites Admin-Konto angelegt. Falls das erste Admin-Konto irgendwie kaputtgeht, kann ich von dem zweiten Reparaturversuche starten.

Hilfreich ist natürlich, wenn man eine Sicherung der Benutzereinstellungen hat, z. B. mit Acronis True Image 11, damit man diese zügig wiederherstellen kann.

Dateimanipulationen auf der Basis unterschiedlicher Benutzerkonten sind im Ernstfall wirkungslos.
1. Malware ist leider nicht so zuvorkommend, sich an die Berechtigungen der versch. Konten zu halten.
2. Zusammen mit dem BKA-Trojaner gelangt WEITERE Malware auf den PC, deren Komponenten du mit ziemlicher Sicherheit weder entfernt noch überhaupt bemerkt hast.

Ein derart infizierter Rechner ist, so unangenehm das im Einzelfall auch sein mag, neu aufzusetzen.

Kleiner Tipp:

http://www.iron-city.de/index.php/seuchen/247-bka-trojaner
http://www.iron-city.de/index.php/seuchen/263-ratgeber

Genau! - Da bist mir glatt zuvorgekommen. - Habe mich sofort gefragt, was denn der Quatsch mit den Benutzerkonten bieten soll?

Als mein Sohn das Ding auf dem Rechner hatte, war es völlig wurscht, welches seiner 3 Konten er aufrief. - Überall legte sich sofort das BKA-Bild über den Desktop....

moin!
war ebenfalls von diesem Trojaner betroffen! habe die Option "früheren Zustand des Computers wiederherstellen" gewählt und siehe da... kein Trojaner mehr... jedoch möchte ich das nun prüfen lassen.

wo kann ich eine logfile senden?
gruss
yves

Die haben wichtigeres zun tun als Dir diesen Trojaner zu schicken, und wenn würdest Du diesen nicht finden.
SAD but true. Und wenn war / ist es ein Trittbrettfahrer.

@conqueror: wer soll mir was schicken???

danke für dein posting
ich habe doch nur gemeldet, dass dieser bekannte Bundespolizei-Trojaner auch auf meinem computer war...
es ist mir schon klar dass die Bundespolizei keine Trojaner schickt (bzw. schickt sie zwar schon welche, aber das ist eine andere Geschichte...)

mir geht es nun darum, dass dieser Trojaner von meinem computer entfernt wurde... aber ich möchte sicher sein, dass er komplett entfernt ist... und ich weiss nicht wie ich das prüfen kann :-)

Die Frage ist nicht, ob der entfernt wurde, sondern vielmehr, was er noch alles so nachgeladen hat. - Das läßt sich so nicht mehr zuverlässig prüfen. Malware ist heutzutage einfach zu clever gemacht.....

Die einzige Art und Weise, wie du noch etwas überprüfen kannst, wäre ein Logfile erstellen und das dann auf eines der bekannten Trojaner-Boards zu schicken; zwechs Überprüfung.

Oder aber mit einer Life-CD mit einem Virenscanner das System booten. Der kann dann Sachen finden, die ein Virenscanner unter einem gestarteten Windows nicht finden kann.

Aber wirklich sicher sind auch diese beiden Möglichkeiten nicht....

Wenn Du schon so fragst, gar nicht.
Du bist nur sicher wenn Du Deinen PC plättest und neu installierst. Glaube es mir !

Sehe ich genauso und ich erspare mir ein Haufen "Graue Zellen" des möglichen danach ...

Nur noch mal der Vollständigkeit halber:

Ganz lustig. Auf unserem ollen Testsystem mit der neuesten Variante dieses "Freundes" war noch eine alte Gdata InternetSucurity drauf, die auch noch supportet wurde, da wir immer eine Dreier-Lizenz für unsere Haus-PCs laufen hatten und haben.

Verseucht war nur das Admin-Konto. Das mit eingeschränkten Rechen nicht. Spaßeshalber haben wir die olle GData-Version mit frischen Defs. versorgt, gescannt und siehe da:

Das Proggie fand den Schädling, entfernte ihn unter Windows unterm Konto mit der Einschränkung.

Wir haben den Benutzer gewechselt, und das Admin-Konto startete einwandfrei. Systemwiederherstellung ausgeschaltet, Neustart und immer noch alles paletti!

Ne aktuelle Boot-CD von GData 2012 gebrannt, Offline-Scan durchgeführt und es wurde auch da nichts gefunden.

Ich sage nicht, dass das System clean wäre, aber das ist die stärkste Leisung, die wir bisher gesehen haben! Alle anderen Entfernungstools aus dem Internet sind erbärmlich gescheitert, ebenso wie jeder "Trick" (Affengriff und Konsorten mit Systemwiederherstellung und danach fehlendem Internetzugriff).

Wie gesagt, das ist ein reines "Virentestsystem", keines mit dem wir so unterwegs sind und nach diesem Versuch wird das auch gebügelt und ein sauberes Image zurückgespielt.

Interessant, aber, was die GData's hier geleistet haben; nicht nur die Schadsoftware wurde entfernt, sondern auch der Explorer wieder dahin gebracht, dass er funktioniert und nicht erst wieder mit einem Eingriff in die registry "restauriert" werden mußte.

Und auch das Internet funktionierte einwandfrei, was bei früheren Versuchen mit Entfernungstools via USB-Stick nicht der Fall war....

Würde mich mal interessieren, wie die Jungs sowas hinkriegen; Respekt!

Hallo, Michael

Es hängt (evtl.) nur mittelbar mit dem Thema: "Bundespolizei-Trojaner" zusammen, aber ich schreib's einfach
mal auf:

Exakt aus Vorkommnissen dieser Unart betreibe ich auf meinem PC keinerlei Internet-banking !
Zudem habe ich auf meinem PC keinerlei "brisante Daten", wie etwa Kontonummer(n), BLZ und/oder
andere wichtige "Dinge" gespeichert.

Ich führe Banküberweisungen entweder persönlich durch Abgabe des Ü-Formulars am Bankschalter
ausschließlich während der Öffnungszeiten oder mittels Telefonbanking aus. Basta !

Die Mongolen oder andere, "näherliegende" Staaten, aus denen die Trojaner-Installateure mutmaßlich
"herkommen", werden doch hoffentlich - letztendlich - auf diese Weise "ausgehebelt", oder ?!

Wenn es gelingt, die IP-Adresse des Trojaner-Absenders zu erfassen, sollte man diese notieren
(eine Hardcopy wäre natürlich besser) und an die nächste Polizeidienststelle, bzw. an die nächste
Staatsanwaltschaft übersenden, verbunden mit dem Wort "Strafanzeige" (unter prägnanter Schilderung
des relevanten Sachverhalts).

"Irgendwann" wird sich dann bestimmt "etwas tun"; bestimmt bei Interpol ... (Daumendrück !)

Ach ja, ein gutes Neues Jahr (nachträglich) wünsche ich Allen;

freundlichst - der Notar

Acronis - CD rein, PC starten und Backup einspielen. In 10 Minuten ist alles wieder beim alten.
Mich kann so etwas schon lange nicht mehr erschrecken.

Gäääähhhhhn!

Ganz alter Tipp! ;-)))

aber wirkungsvoll !

Soll noch jede Menge User geben, die kein Backup machen. Ich schätze mal, daß es die große Mehrheit ist.

Mit der Schätzung dürftest du leider richtig liegen.

Es gibt halt Leute, deren Schmerzgrenze ziemlich hoch ist - oder aber eben auch Masochisten!

Ich hatte eines Tages die Schnauze gestrichen voll. Nachdem ich wieder mal ein Wochenende am PC mit dem neuaufsetzen des Systems verbracht hatte, wußte ich, daß es so nicht weitergehen kann.
Das installieren neuer Programme war gar nicht mal so schlimm, aber das Feintuning der einzelnen Einstellungen in den Programmen kostete verdammt viel Zeit.
Heute stehen mir mehre Backups zur Verfügung für ein sauberes System. Das einspielen dauert max. 15 Minuiten.
Leider habe ich am Wochenende ein neues Board gekauft und da werde ich kommendes Wochenende wohl nach langer Zeit Windows neu aufsetzen müssen.

Es gibt von Acronis ein Zusatzprogramm, mit dem sich ein Image auf ein neues System mit abweichender Hardware installieren lassen soll.

Guck doch mal bei Acronis auf die HP.

Hallo,

ich habe den Virus schon des öfteren ganz einfach aus den Autostart Dateien entfernt. Da nach habe ich die Programmteile gelöscht.
Natürlich sollte man vorher wissen wo die liegen.
Das Problem ist dann schnell erledigt.

Und spotten sollte keiner über diese Leute.
Das kann jedem passieren..

Lg

Du irrst, wenn du glaubst, Malware "ganz einfach" entfernen zu können.
Die diversen Varianten des BKA-/GEMA-Trojaners laden andere Malware nach. Virenscanner schneiden dabei derzeit extrem schlecht in der Erkennung ab, was auch nicht weiter verwunderlich ist.
Du magst ein oder zwei Dateien enfernen oder ihren Start verhindern können, aber damit wird dein System nicht wieder vertrauenswürdig.
Die bereits aktive Malware (auch im abgesicherten Modus) kann jegliche Information, die das System dem Anwender bietet (also die normale Dateianzeige im Explorer und auch laufende Prozesse im Taskmanager sowie die Anzeige im Registry-Editor) fälschen.
Die einzige Möglichkeit wäre eine Analyse über ein Linux-Live-System, das von CD bootet, so dass die Malware im Windows-System gar nicht erst aktiv werden kann.

Da nachgeladene Komponenten der Malware auch z.B. ein Rootkit oder Bootkit sein können, muss vor dem Neuaufsetzen auch der Master Boot Record neu geschrieben werden.

Alles andere sind fachliche falsche und nicht zielführende Pseudo-Tipps. So auch deiner.

Da hat sich der Virus wohl getarnt.

Es ist allerdings nicht bekannt, ob in natooliv oder in marineblau :-)

Natürlich sollte man vorher wissen wo die liegen.
Stimmt, aber wer weiß das schon ?

Auf die Gefahr hin mich zu wiederholen - ein anständiges Backup-Programm und man erspart sich das suchen - das i.d.R. sowieso zu nichts führt.

ich ziehe regelmäßig meine Partitiotionen mit Acronis auf eine externe FP ab. im Falle des Falles reicht es dann einen der letzten Abzüge zurückzuspielen. Kein Plattmachen nötig, ich hasse es alles neu zu installieren.
Gruß
Waldschrat

Hier nochmal der TIP zum BundesTrojaner... Also Neuinstallation nicht nötig!

1) Version I

Aktueller Name: Bundestrojaner-Datei: wpbt0.dll
Besonders Beachten: Versteckt sich in TEMP Verzeichnis
und wird derzeit mit der Systemdatei RUNDLL32.EXE gestartet
Entfernen wie folgt:

1. Rechner einschalten und nach dem ersten Bildschirm
ständig F8 drücken (alle Sekunde) bis das Menü erscheint

2. Abgesicherter Modus mit Eingabeaufforderung wählen

3. Als Admin einloggen / geht meist Automatisch

4. Befehle wie folgt eingeben:
a) cd C:\ 'Wechselt ins ROOT
b) del wpbt0.dll /s 'löscht diese Datei aus allen Verzeichnissen
c) Alle TEMP Ordner löschen mit: rd /s %temp%

5. Rechner neu starten

6. Mit CCLEANER den Autostart bereinigen... FERTIG!

Gruß Der Coach

Dein "Tipp" ist wertlos.
Also Neuinstallation nicht nötig!

Da irrst du.

Aktueller Name: Bundestrojaner-Datei: wpbt0.dll

Unfug. Es gibt dutzende Varianten.

Dateien auf einem infizierten System zu löschen, bringt überhaupt nichts, da andere Malware nachgeladen wird. Du kennst nicht zufällig die Dateinamen dieser nachgeladenen Malware, oder? Dachte ich mir.

Bin nicht hier um sinnlose Diskus zu führen... ich gebe Tips ab... thats it... habe in den letzten zwei wochen 5 Rechner damit repariert... klappt... alles andere... geschnatter...

5 Rechner in 2 Wochen - ist das eine gewerbliche Tätigkeit? Da würde ich mir Gedanken zur Haftung machen.

Hallo
6. Mit CCLEANER den Autostart bereinigen... FERTIG!

Wenn dein CCleaner geladen ist, ist die Malware schon einen Schritt weiter als du :-)

Also noch mal, wenn der PC befallen ist, dann hilft nur eine Neuinstallation, sonst nichts. Wenn du nicht der Programmierer der Schadsoftware bist, dann wirst du auch das Ziel nicht kennen.

-groggyman-

@ Iron & groggyman:

Ich fürchte, eure Worte sind perls before swine; es gibt leider viel zu viele Menschen, die können/wollen das nicht begreifen oder wahr haben.

Also sonnen wir uns weiter auf dem Berg der Erkenntnis und lassen die anderen sich unten in ihrem Sumpf suhlen :-))

-groggyman-

Moin, groggyman!

Das Blöde dabei ist nur: Die suhlen nicht nur sich, sondern auch andere, weil die Gefahr besteht, dass über diese verseuchten Kisten dann Malware verbreitet wird.

Verantwortung für sich übernehmen ist das eine; aber wer die nicht übernimmt, lehnt leider auch ab, Verantwortung für seine Mitmenschen zu übernehmen. :-(

Hallo winnigorny1
Die Intelligenz der Programmierer und die weit reichenden Folgen der Schadsoftware werden auch heute noch nicht wirklich von den PC Nutzern wahrgenommen, man kann nur immer wieder warnen und weiter aufklären. Doch wenn man zur Antwort erhält---Neu installieren, da hab ich keine Zeit für, das dauert ja Tage ---da verliert man die Lust..
Auch Empfehlungen zum regelmäßigen Update und zur Datensicherung werden oft in den Wind geschlagen und hinter her wird gejammert.

Aber mit W8 wird alles besser :-)


-groggyman-

Mir gefällt das Quieken nun mal.

Aber im Ernst: Natürlich weiß ich, dass die Masse nicht lernbereit und ausgesprochen leichtsinnig ist. Aufklärung wirkt da eher punktuell, aber von nichts kommt nichts, also werde ich nicht einfach den Lernresistenten das Feld überlassen.

ich finde da gar nix dabei, wenn man sich sowas einfängt!

spott ist lächerlich!

wenn sogar firmen gehackt werden!

ist jeder "normale" user aus dem schneider. ;-)

und kein system ist zu 100% sicher, ausser man dreht den pc-kasten nicht auf.

Genauso schauts aus.
Keiner ist sicher - und genauso braucht sich keiner dafür Spott einheimsen oder den ernst nehmen.
Weil - der, der gestern noch darüber gelacht hat, ist vielleicht schon seit langer Zeit betroffen und erfährt es erst in ein paar Wochen/Monaten/Jahren - oder nie.

Platt machen ist auf jeden Fall gut für das Gewissen. :-)

Gruß Obulus ^ ^

Wie Alekom es sagt. Wie ich es 1000 mal auch sage. Welcher Hacker interresiert es, einen Otto-Normal-Verbraucher PC seine Infos zu stehlen?

Seit Jahren wurden immer die Daten von Firmen gestohlen oder Server gehackt. Normal Verbraucher faellt auf die Phisshing Methoden der Mails rein. Geklonte Kredit Karten auch als beispiel.

Vor 6 Jahren habe ich durch ein immer noch gespeichertes versuechtes Image was ich habe, auch als Normalo weiter gearbeitet. Nichts ist passiert. Absolut nichts.

Zu viel paranoya schadet manchmal. Nur aber was ich schrieb, ist eine erfahrensschatz meine Seite aus um zu sehen was wircklich abgeht. Sicherlich ist es richtig mit eine Dreckschleuder nicht zu arbeiten und man Vorsichtsmassnahmen treffen muss.

Gruss
Sascha

Ich weiß jetzt nicht, was ich dazu sagen soll, Sascha.

Sowohl - als auch??

Irgendwie weiß ich auch gar nicht, was du uns damit sagen willst. - Ruhig weiter machen nach einer Infektion?

Ich kann und will nicht glauben, was ich hier lese!

Es ghet doch nicht um weitermachen winnigorny.

Sicherlich ist es richtig, das wenn man eine verseuchte Maschine man hat damit nicht arbeiten kann. Nur zu viel des guten, wird nun mal schlecht gemacht. Ich mache es doch seit Jahren, weil ich gerne immer das gegenteil mache von dem was die Experten machen. WISO?.

Weil ich sehen moechte ob es stimmt oder nicht. So wie ich ohne AV oder Hardware Firewall surfe und es passiert nichts. Schau beispiel. IRON kritisiert auch die Seite wegen den DNS. Nach seine meinung ist es auch nicht Sicher ob eine Maschine infiziert ist oder nicht. Das es keine 100 %'tige Sicherheit gibt das ist sicherlich richtig. Nur solange es der USER ist, der vor dem PC sitzt, ist doch schon ein Problem. Ausserdem wenn es nach seine meinung ginge. Weil fuer ihn ist ja nichts sicher. Tja dann sollte keiner mehr ins Internet.

Ich mach mal ein beispiel. Hier in meine Stadt, gibt es zig Cafe Internets. Mehr als die Haelfte davon sind so verseucht. Die Schueler oder andere die saugen nach Strich und Faden ilegal. In Maschinen lassen Menschen sogar Messenger aktiv, weil sie vergessen sich ab zu melden. Nur bis jetzt was ist den grosses passiert? Nichts. Ob die Daten von User an andere Server geleitet wurden, kann man dahin gestellt sein lassen. Weil ob ein Otto Normalo 50 Euro oder 5000 in sein Bank Konto hat, das lass mal dahin gestellt sein. Weil ein Hacker es nicht interresiert. Hier gibt es auch User wo ich es selber beobachtete, wie sie in diese Maschinen Online Banking machen. Bis jetzt und seit es eingefuehrt worden ist. Nichts passiert. Ich bin mal sogar so weit gegangen das ich mit Freunden wo in der IT abteilung von Banken arbeiten und wir darueber sprachen. Bis jetzt ist nie ein vorfall aufgetreten, das Konten von Hacker geleert wurden oder sogar besser gesagt ausgeraubt wurden. Weil sie in versecuhte Maschine ihre Pass und Kennwoerter eingaben. Es kamen Kunden mit Maschinen wo sie so langsam waren, weil sie ein AV mit Software Firewall und noch sogar von die Banken empfohlenes Sicherheits Software installiert hatten. Die unsicherheit kommt vom User selber wegen den Phisching. Kriege sogar in mein SPAM E Mail solche Mails. Sicherlich hinkt was IT technisch anbelangt Mexiko weit hinterher. Aber unwissende PC User gibt es auf der ganzen Welt. Nur ich kann sehen wie das ganze ausartet.

Heute macht man sich ja noch verrueckter. Welche AV ist das beste, Welche Firewall ist sicherer, Hard oder Software usw, usw. Der eine sagt dieses, der andere sagt das. Dann kommen die ganze kritische aus uferei und diskussionen und schon ist die Paranoya da, weil man als unwissender nicht wircklich weiss wer recht hat. fuer eine User der das einfachste hat, passiert nichts, wie bei ein andere der volle Sicherheit hat und viel mehr passiert. Habe ich oft gesehen. Die beduerfnisse sind ja von Mensch zu Mensch verschieden.

Gruss
Sascha

Hallo, Iron!

Du solltest solche Antworten als Textbaustein ablegen. Das brauchst du eh immer wieder!

Sowas hab ich doch längst (allerdings nicht für diesen konkreten Fall). Schau dir mal meine Antworten bei Chip.de an.

Alles klar; hätte ich mir ja denken können!

Also ich habe diesen Trojaner jetzt 3x bei verschiedenen Bekannten entfernen müssen und jedesmal hat sich das Teil auf andere Art in den Autostart gesetzt. Das kenne ich leider schon von anderen Schadprogrammen. Pauschale Entfernungsanweisungen bringen hier also leider überhaupt nichts.*damn it

Nun, vielleicht lag´s ja an meinem tollen Windows 2000...

Ich habe im abgesicherten Modus nach einer neu installierten exe-Datei gesucht, die ich auch schnell fand: Eine mit sehr vielen Zahlen. Löschen wollte sich das Ding nicht lassen. Also "Kilbox" starten und beim Neustart die Datei löschen lassen.

Das System läuft seitdem einwandfrei.

Na ja, glaubst du zumindest......

:)
Ich weiß es. Ich hatte allerdings vergessen zu schreiben, das ich noch einen Registry-Cleaner über das System laufen ließ. Der hat jede Menge Einträge des Schadprogramms gelöscht.

hi,michael
mich hats grad vor ein paar stunden getroffen,bin noch ein bißchen aufgeregt weil mein
sony notebook keine windows cd hat und das selbstherstellen einer recovery cd klappte
nicht wirklich gut (mehrerer),
ich hatte gerade gestern dein artikel gelesen und guckte nochmal nach,(auf alten xp note
book.ich habs probiert.-"letzte funktionierende konfiguration" ging nicht.
ABER SYSTEM ZURÜCKSETZEN GING !
erstelle jetzt zwischendurch systemreparurdatenträger und schiebe wichtige daten,videos
und musik auf externe festplatte.
frage:spioniert dieser trojaner auch paßwörter etc.?
BITTE SCHREIB SOFORT EINEN ARTIKEL WENN ES NOCH MEHR MÖGLICHKEITEN
ZUR BESEITIGUNG UND AUFDECKUNG GIBT !
gruß
hajo20
ps.Buddha sei dank habe ich sowieso alles wichtige auf externen platten.

Hallo winnigorny,eine vielleicht dumme Frage wo ist der Trojaner nach dem Zurücksetzen des Systems eigentlich geblieben ?
Gruß aus Berlin
hajo 20

Im System natürlich, weil so eine Systemwiederherstellung auf ein zurückliegendes Datum keine Schädlinge entfernt.

Es gibt keine dummen Fragen, nur dumme Antworten!

Vielleicht ist das Ding weg, vielleicht hat es sich nur aus einer versteckten Datei mit anderem Namen zurückgeschrieben, bzw. lädt die fehlenden Teile nach.

Vielleicht hat das Ding vorm Entfernen andere Malware aus dem Netz geladen. Die moderne Rootkit-Technik macht es praktisch unmöglich unter einem laufen BS (das korrumpiert wurde) die Schadsoftware zu finden.

Die einzige Möglichkeit ist einen Virenscanner mit einer Life-CD zu starten. Dann wird der Scanner eben mit einem Linux-Kernel geladen (Windows startet nicht), übers Internet aktualisiert und dann wird ein Scan am BS vorbei durchgeführt.

So ist es immerhin möglich, Rootkits zu finden, weil sie sich nicht im korrumpierten BS verstecken können.

Allerdings setzt das voraus, dass die Virendefinitionen auch die evt. auf dem System befindliche Schadsoftware erkennen (die Hersteller von AntiViren-Proggies rennen den Malware-Programmieren natürlich immer mit raushängender Zunge hinterher und wirklich aktuell können die Defs. halt nicht sein).

Sagen wir mal so: Internetbanking, egal mit welchem System, würde ich mit deiner Kiste nicht mehr machen wollen.

Sicher sein, dass du ein sauberes System hast, kannst du nur, wenn du eine Neuinstallation nach einer Formatierung machst - oder ein sauberes Image hast, das du zurückschreiben kannst.

Noch mal und immer wieder:

Ein einmal infiziertes BS wird mit keiner Maßnahme wieder vertrauenswürdig! Und die Verantwortung anderen Netzteilnehmern gegenüber gebietet eine Neuinstallation.

Immerhin ist es möglich, dass deine Kiste jetzt eine Virenschleuder ist, die den Mist im Netz weiter verteilt.

Eine Frage: Mein Mann hat sich das Problem auf seinem Benutzerkonto (ohne Administrator-Rechte) eingefangen. Die anderen Benutzerkonten scheinen nicht betroffen. Würde es reichen, sein Konto zu löschen? Geht das überhaupt?

Nein, es reicht nicht, ein Konto zu löschen, obwohl das natürlich geht. Das System ist insgesamt betroffen und daher komplett neu aufzusetzen, vorzugsweise nach Überschreiben des Master Boot Records, falls eine der vom BKA-Trojaner nachgeladenen Komponenten ein Rootkit war, das sich dort einnistet und normales Formatieren überlebt.
Das Ganze macht man am sichersten von einer bootfähigen Linux (Ubuntu)-Live-CD.
http://de.archive.ubuntu.com/ubuntu-releases/10.10/

Nach dem Neuaufsetzen sollten die Ursachen bekämpft werden. Die BKA-Trojaner-Varianten kommen meist als Drive-by-Infektion auf den PC, weil der Browser veraltete Plugins wie Java, Flash oder Adobe Reader einsetzt, die Schwachstellen haben und auf präparierten Seiten ausgenutzt werden.

It seems to be a neverending story!

Herzlichen Dank!
Die Hälfte habe ich wohl verstanden, um den Rest muß sich mein Mann selbst kümmern. Dumm, daß ich bei einem nagelneuen Rechner veraltete Versionen benutze, damit hätte ich nicht gerechnet, aber auch nicht darauf geachtet.

An den Trick mit dem Systemwiederherstellungspunkt und letzte bekannte Konfiguration hatte ich auch schon mal gedacht. Über TunUp Programm hat mir der Autostart schon genau gesagt was neu ist und daher konnte ich schon mal den Bildschirm normal nutzen. Bis dahin war nicht mal das möglich. Bisher ist ruhe.Ich habe bei mir ne Buchaltung drauf was nicht gerade Sinn macht den PC zu plätten.

Ich versteh nicht warum ein PC der geschützt ist mit teuren Programmen es erwischen kann? Malware Schutz alles drauf. Alle neu.. Ich weiß nicht?ß

Ich bin es eigentlich müde, immer und immer wieder zu wiederholen! - Lies einfach mal die Postings auf solche Meldungen hin durch:

Dein Rechner ist NICHT sauber, er wird total mit Malware verseucht sein und täglich wird neue heruntergeladen werden. Warum das so ist, kannst du in meinen und den Postings von IRON67 nachlesen.

Deine Sicherheitssoftware wird nichts, aber auch gar nichts davon merken und finden, weil sie unter einem korrumpierten System läuft und mithin selbst korrumpiert wird.

ch versteh nicht warum ein PC der geschützt ist mit teuren Programmen es erwischen kann? Malware Schutz alles drauf. Alle neu..

Viel wichtiger als Sicherheitsoftware ist es, ein BS ständig Upzudaten und zu patchen, sowie Updates und Patches angeboten werden; ebenso natürlich die installierten Programme.

Genauso wichig ist es, alle Browser-Plugins wie Flashplayer, AcrobatReader etc.pp. aktuell zu halten, denn moderne Malware kommt fast nur noch über solche bekannt gewordenen Sicherheitslücken via DriveByDownload auf den Rechner (natürlich auch über Mail, falls man auf verseuchte Anhänge klickt).

Virenscanner hinken der Wirklichkeit immer hinterher. Es muss erst eine Verseuchung mit neuem Virus bekannt werden, dann eine Virensignatur geschrieben und zur Verfügung gestellt werden. Ergo sind Scanner immer alles andere als aktuell.

Ich habe bei mir ne Buchaltung drauf was nicht gerade Sinn macht den PC zu plätten.

AUA! - Ein Produktivrechner auch noch!!! - Buchhaltung? Möglicherweise noch Onlinebanking????? - Du machst mir Spaß!

Das ist DER Grund überhaupt, das Ding zu plätten und neu aufzusetzen!!!

Wenn du es nicht machst - viel Glück - du wirst es bitter benötigen!

Eine Frage beschäftigt mich die ganze zeit. Wenn doch mein Rechner verseucht sein soll warum ist dann diese Webseite nach Eingabe meines Textes hier in das Textfeld dann nicht verseucht, wenn ich doch so ansteckend bin? Falls ich das überhaupt noch bin?

Abgesehen davon bin ich der Meinung das es sich beim besagten nur um eine Anzeige/Standbild zum Animieren von Zahlungen geht. Sonst nichts.

Alle Scanner ausnahmslos unterschiedlicher Hersteller haben nichts angezeigt. Wie gesagt. Ich bin der Meinung der Begriff Trojaner ist ein bisschen übertrieben.

Ich glaube das es nur ein aufgezwungens aufgesetzes Bild ist, welches sich im Programm Autostart bei Infizierung als Standbild festsetzt und verhindert so das man nicht an die Programme am PC und nicht ins Internet kommt. Und sonst nichts. Im übrigen hatte ich beim ersten Vorfall den Rechner sofort von der telefondose also vom Internet genommen und den "Virus " damit quasi im PC eingesperrt. Dann erst alles Im Autostart gelöscht und alles nochmal 5-7 gescannt.

Ich habe den Eintrag über die Software TunUp aus dem Programm Autostart gelöscht und habe keine Probleme. Auch von denen mit denen ich regelmäßig maile habe ich keine Infizierungen oder "Standbilder" mit Zahlungsaufforderung zu hören bekommen.

Meine Passwörter sind grundsätzlich nicht auf dem Pc . Da hat eine Mailware keine Chance. Selbst wenn Schadprogramme ein Passwort vom Onlinebanking finden würde, ist da nicht das Kundenkennwort bzw. der Benutzername drauf.;-)

Der ist immer gesondert.

Ergo. Wenn ich hier in das Textfeld schreibe müsste ja die Webseite nickles.de ebenfalls verseucht sein.

Ich habe auch nirgend in einer Literatur etwas zum Thema lesen können das da wirklich ein Malware je gefunden wurde.? PC immer neu Plätten ist was für Anfänger.

Der aktuellste Avira DE Claener hat auch nichts gefunden.

Hallo,

da der Name IRON und der völlig unsinnige SatzPC immer neu Plätten ist was für Anfänger. hier viel, ergänzend noch 2 Links zur Erklärung, die der User das gewissen sich mal in Ruhe durchlesen sollte:

http://www.iron-city.de/index.php/seuchen/247-bka-trojaner

+

http://www.iron-city.de/index.php/seuchen/263-ratgeber

Gruß
knoeppken

So wie beim Jahr 2000 Problem als alle Profis wie Programmierer und Co dieses nicht lösen konnten? Aber jemand der einfach und nicht so kompliziert dachte gelöst hat. Ich frage noch einmal wo ist der Beweis für leergeräumte Konten, in noch mal, diesem Zusammenhang.

Es trägt nicht zur Lösung bei ablehnend und auf links verweisen zu wollen. Wo sind die Beweise wie tausende leer geräumten Konten und Datendiebstähle im Zusammenhang mit diesem aufgesetzem Bild? Wo ist der Beweis das etwas Malware oder was weiß ich noch nachgeladen wurde? Dann muss man das ja zeigen können was nachgeladen wurde. Wie sieht es aus? Oder stimmt meine These das es nur ein aufgesetztes aufgezwungenes Standbild ist.?? Ich behaupte nicht Recht zu haben aber verlange Beweise bevor tausende ihren PC plattmachen sollen mit wichtigen Daten drauf.

Danke. Das weiß ich schon.

Das sind aber bisher keine Beweise das es ein komplette Kompromittierung je gegeben hat und Konten leer geräumt wurden. Ich unterscheide nur zwischen den Viren und Themen.

Die Übertragungswege im übrigen auch Webseite;-) sind mir bekannt.

Ich denke nur einfacher wie Programmierer die siehe Jahr 2000 Problem kompliziert denken und alles neu aufsetzen und programmieren wollen. Das ist nämlich so ziemlich alles was denen immer einfällt.

Ich habe von Anfang an hingewiesen das dieses ein Rechner Topaktuell und geupdatet mit umfangreichen gekauften Antievieren Programmen ist.

Sorry, aber ich unterstelle dir jetzt einfach mal, dass du die Seiten nicht komplett und in Ruhe durchgelesen hast, dazu braucht man nämlich ein bisschen mehr Zeit, da die Seiten auch weiterführende Links beinhalten.

Viel Spaß beim Lesen,

Gruß
knoeppken

Was ein Keylogger ist weiß ich, aber mein Bankkonto ist immer noch nicht leergeräumt worden geschweige irgend ein Schaden entstanden. Das ist doch hier die Frage. Wo ist den der Nachweis das es sich um ein Spionage Programm Made by Keylogger bei dieser aufgesetzen Bildanzeige handelt?
Wo ist der Beweis? Ich lese nur Behauptungen ohne Nachweis eines Schaden der entstanden ist in diesem Zusammenhang.
Erkläre das doch mal . abgesehen davon müsste derjenige die Tans per Smart Tan im voraus kennen? Es müsste auf eine ähnlich gestaltete Webseite der Bank umgeleitet werden die man sehr leicht an der Browseranschrift identifizieren kann.


Ergo. Wenn ich hier in das Textfeld schreibe müsste ja die Webseite nickles.de ebenfalls verseucht sein.

Das ist hahnebüchener Unsinn!

WISO ist das hahnebüschener Unsinn? ist der Virus vielleicht wählerich geworden.

Ich habe nie gesagt das ich ein Experte sei. Sondern wollte nur eine Diskussion anregen.

Wenn alles bei mir neu und aktuell ist und "infiziert" werden konnte warum dann nicht auch ein Webseite ebenfalls mit aktuellstem Schutze? Warum??

Und was die Vierenprogramme angeht ist das seit c.a. Oktober 2011 bekannt. Klar das die immer abgeändert werden.

Ich bin zwar kein Profi wie du vielleicht aber ich kann logisch denken.

Das heisst. Mal ganz ernst die Frage. Warum ein Keylogger wenn der Kriminelle bei diesem Schadprogramm doch "nur ein Standbild installiert"

Warum soll dieser sich die Mühe machen solche ähnlichen BKA Webseiten u.s.w zu Programmieren und zu versenden, wenn er doch das Bankonto lerr räumen will?

Versteh mich nicht falsch aber irgendwie habe ich da ein bisschen schwierigkeit die logig daran zu sehen. Ich würde doch nie was Programmieren wenn ich Malware wie Keylogger installieren will. Das geht unauffälliger. Oder nicht? So eine zusätzliche Arbeit, wozu? Für ein paar schöne Bilder?

Also ich stelle nur die These zur öffentlichen Diskussion auf das es sich doch nur um ein "aufgezwungenes aufgesetzes Standbild" handelt.! Nichts weiter. Andernfalls mache ich den Aufruf das sich betroffene melden ob Sie nach dem aufgezwungenen aufgesetzten Standbild via Keylogger oder Spionagesoftware ausgeräumte Bankkonten hatten:
Ich meine nicht Spionagesoftware im zusammenhang ohne dies Standbilder.!
Die es zweifelsohne gibt, aber welches ich bitte etwas differenzierter zu sehen. Also hat das eine mit dem anderen doch überhaupt nicht zu tun.

Das sollte man diskutieren um den ganzen Spuk etwas mehr auf die Schliche zu kommen. Nicht verspotten sondern mitarbeiten das Problem auch anderst zu lösen.

Ich habe in keiner Literatur oder sonst wo in dem Zusammenhang BKA Bildanzeige von geplünderten Konten gelesen.!!

Also noch ein letztes Mal.

Da du ja Antivir hast, kannst du mal eine Boot-CD damit brennen. Den Rechner damit starten. Da wird dann ein Linus-Kernel geladen, dass die Antivirus-Software lädt, bevor das verseuchte Windows startet.

Da Windows nicht gestartet ist, kann sich Schadsoftware dann nicht mehr verstecken.

Du musst, dann, wenn Antivir geladen wurde, nur noch die Virendefinitionen updaten und dann den sog. Offline-Scan starten. Und sei sicher: Es wird etwas gefunden.

Das ist ein Schädling, der sich als Java-Betandteil tarnt. Der Name Java taucht da im Namen auf.

Wie kann man so einen langen text schreiben, obwohl man keine (das ist sogar untertrieben) Ahnung von der Materie hat? Genau wegen solchen Leuten wird der Weg zum Internetführerschein führen.

Aber bei einem Punkt den Lappen bitte direkt weg.

Ich glaube du hast nicht verstanden was ich erreichen wollte?

Doch doch ich habe schon verstanden. Ich kann Internet-Spinner 87 Meilen gegen den Wind riechen.

Nur dumm wen im Internet kein Wind weht!

Viel wichtiger als Sicherheitsoftware ist es, ein BS ständig Upzudaten und zu patchen, sowie Updates und Patches angeboten werden; ebenso natürlich die installierten Programme.

Genauso wichig ist es, alle Browser-Plugins wie Flashplayer, AcrobatReader etc.pp. aktuell zu halten, denn moderne Malware kommt fast nur noch über solche bekannt gewordenen Sicherheitslücken via DriveByDownload auf den Rechner (natürlich auch über Mail, falls man auf verseuchte Anhänge klickt).


.

Alle Programmme sind immer top aktuell gehalten! Deshalb auch meine Frage wie das dann passieren kann? Die Einstellungen sind schon auf automatische Update alle 24 Stunden beim Antivirus sogar noch kürzer eingestellt.
Der Rechner und die installierten Programme alle sind so was von neu das mich das ja eben wundert.
Der hier genannte " Virus" oder wie ich sage "aufgezwungenes Standbild" über autostart Programm ist vielleicht nicht das was man so im herkömmlichen Sinne ein Spionage Programm nennen kann.

Mich würde mal interssieren ob jemand wirklich ein Spionage Virus in diesem Zusammenhang gefunden wurde und " ob Daten auch zum eigenen Nachteil nachweislich Erlangt und das Bankkonto leergeräumt wurde"

Das Booten mache ich noch sobald ich noch was geklärt habe. Das benötige ich die Buchhaltung noch.

Sorry, aber ich bin es jetzt wirklich müde. Vielleicht erbarmt sich ja noch einer der Profis hier und versucht dir das zu erklären. Ich mag jetzt nicht mehr.

Moin,

habe da mal ein bißchen weitergelesen. Vielleicht ist der folgende Link ja etwas, was sich "das gewissen" antun sollte:

http://www.threatexpert.com/memoryscanner.aspx

Software runterladen, installieren, starten und klopfenden Herzens das Ergebnis abwarten.....

Ich hab's hinter mir. Und mein Herz hat geklopft - weil man weiß ja nie.....

Ha!!! Vorsicht und Umsicht zahlt sich doch aus. - Seit 25 Jahren virenfrei - abgesehen von 3 Fehlalarmen über heuristische Erkennungsmethoden.

Hallo,

schön dass du so oft updatest. Ich halte mein System auch aktuell.

Aber: Du kannst mir nicht sagen, dass der BKA-Trojaner einfach so auf deine Platte geflogen ist. Ich habe ihn schließlich auch nicht.


Ein möglicher Grund? Vielleicht der: Surfgewohnheiten. Alles was blinkt, wird erst mal kritisch beurteilt (braucht man meist eh nicht mehr). Schmutzig finde ich es, wenn man Treiber runterlädt, in der Mitte ist ein großer Button "DOWNLOAD!!" und drunter steht klein: "advertisement" und/oder "DriverUpdate" etc.

Also: Aufpassen hilft. Dann brauchst du auch kein schlechtes Gewissen, dass du Malware auf deinen Rechnern hast. Überleg mal, wenn schon jeder 2. PC-Nutzer seinen PC gnadenlos sauber halten würde, hätten viele Viren und Trojaner gar keine Chance. Ist etwa wie eine Volkskrankheit. Nur das da oft eine Impfung vorgeschrieben ist.


Um zu deiner Sache zu kommen: Sollte eine Malware es bereits reingeschafft haben, so hat dein Sicherheitssystem versagt. Niemand hat den Quellcode dieser Software. Man muss immer vom maximalen Schaden ausgehen - und der maximalen Effizienz des Schädlings. Heißt: Unentdeckt und gut getarnt böses tun.


Also tu was dagegen. Formatieren wäre das beste. Und komme nicht mit Argumenten: "Das ist gerade aber unpassend" oder "Ich habe da Daten drauf". Alles völlig luftleere Argumente. Erstens kann es nichts wichtigeres geben, seinen eigenen PC sicher zu halten, gerade wenn man heutzutage kritische Sachen wie Banking erledigt. Zweitens hast du doch sicherlich ein Backup von deinen wichtigen Sachen. Wenn nicht, dann hol das nach und setze Windows mit aktuellen Treibern und aktueller Software neu auf. Das Internet und seine Community werden es dir danken.

Das kannste jemanden erzählen der seinen PC nicht wartet aber niemanden der schon aus beruflichen gründen und den ohnehin strengen beruflichen vorgaben seinen Pc ständig wartet. Was da falsch gelaufen ist weiß ich nicht.


Zium 6 Mal der PC ist nue und hat alles aktuellen Updates aller installierten Programme und alle Vierschutze die man käuflich erwerben kann. Wartungsprogramme sind da auch gekaufte.!!
weiß nur das mich mal jemand vom Chomputer Chaos Club angeschrieben hatte. vielleicht von daher.

sorry immer mit der ruhe bin ja dran. . Ich werde ein Bild mit Handy machen ob was drauf wahr.

so reden nur Leute die keine Ahnung von dem gegenüber haben.
Warum einfach, wenn es kompliziert auch geht ist deren Motto.

Beim Auto wechseln die den ganzen Motor wenn der keilriemen kaputt ist.;)

Du scheinst gar nichts zu kapieren; ein System, das verseucht ist, ist kein kaputter Keilriemen, sondern der kaputte Motor eines Computers....

Und nun: So long, machs gut, ich klinke mich jetzt endgültig aus. Das wars für mich mit dir.

Vielleicht sind ja andere geduldiger als ich und haben Bock drauf, sich von einem selbsternannten Fachmann, der nicht mal weiß, wie man ins BIOS eines Rechners kommt, gern beleidigen!

Solltest du dich entschuldigen können, geh' ich noch mal in mich.