Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge

News: Strafe für Pornogucker?

"GVU-Trojaner" sperrt Rechner wegen angeblichen Raubkopien

Michael Nickles / 42 Antworten / Baumansicht Nickles

Seit gut einem Jahr treibt der "Bundespolizei-Trojaner" sein Unwesen. Die Masche ist billig: der PC wird "gesperrt" auf dem Bildschirm erscheint nur noch eine Hinweis-Seite, dass der Rechner von der Bundespolizei gesperrt wurde, weil eine "ungesetzliche Tätigkeit" entdeckt worden sei.

Gegen ein "Bußgeld" von 100 Euro, das über das anonyme Bezahlsystem Ukash zu zahlen ist, wird der Rechner angeblich wieder freigeschaltet. Der Trojaner lässt sich zwar relativ leicht entfernen, sein Unwesen treibt er aber immer noch. Der Beitrag Bundespolizei-Trojaner schnell entfernen auf Nickles.de erfreut sich unverändert einer sehr hohen Abrufzahl.

Jetzt gesellt sich ein neuer Trojaner hinzu, der mit der gleichen Masche arbeitet. Diesmal wird der PC gesperrt und es kommt ein Hinweis, der angeblich von der "Gesellschaft zur Verfolgung von Urheberrechtsverletzungen" (GVU) und dem "Bundesamt für Sicherheit in der Informationstechnik" (BSI) stammt.

Es wird erklärt, dass der Rechner angeblich zum Herunterladen von Raubkopien verwendet und deshalb gesperrt wurde. Gegen eine Zahlung von 50 Euro über den Zahldienst Paysafecard kann man den Rechner angeblich entsperren lassen.


Links die Startseite vom "GVU-Trojaner" (Bild GVU), rechts die vom "Bundespolizei-Trojaner". Beide sind layouttechnisch ähnlich. Oben ein "offizieller Briefkopf", links die Mitteilung und rechts die Zahlungsaufforderung - und auch gleich eine Anleitung, wie das jeweilige Zahlungssystem funktioniert.

Die GVU hat selbsterklärend mitgeteilt, dass sie nicht hinter dem Trojaner steckt, von einem Unbekannten missbraucht wird.

Erste Erkenntnisse sollen vermuten lassen, dass der Virus über eine "Porno-Werbung" verbreitet wurde. Die GVZ rät Betroffenen dazu, bei der nächsten Polizeidienststelle Anzeige zu erstatten. Und es wird empfohlen, die Festplatte eines gesperrten Rechners auszubauen, an einen Rechner mit einem guten Virenschutzprogramm anzuschließen und einen Virenscan durchzuführen.

Michael Nickles meint: Der Tipp mit Platte ausbauen und in einem anderen Rechner einbauen um Viren drauf zu suchen, "hat schon was". Wie beim Bundespolizeitrojaner treten jetzt natürlich die "Malware-Scanner-Experten" auf den Plan um den GVU-Trojaner platt zu machen.

bei Antwort benachrichtigen
IRON67 Michael Nickles „"GVU-Trojaner" sperrt Rechner wegen angeblichen Raubkopien“
Optionen
Der Trojaner lässt sich zwar relativ leicht entfernen, sein Unwesen treibt er aber immer noch.

Michael, du solltest das doch eigentlich mittlerweile besser wissen!

Und es wird empfohlen, die Festplatte eines gesperrten Rechners auszubauen, an einen Rechner mit einem guten Virenschutzprogramm anzuschließen und einen Virenscan durchzuführen.

Wie immer der falsche Rat. Mir fällt zu soviel Inkompetenz bald nichts mehr ein.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
winnigorny1 IRON67 „ Michael, du solltest das doch eigentlich mittlerweile besser wissen! Wie immer...“
Optionen
Wie immer der falsche Rat. Mir fällt zu soviel Inkompetenz bald nichts mehr ein.

Da fällt mir auch nichts mehr ein. - Verseuchte Platte an einen sauberen Rechner anschließen..... Ein verseuchter Rechner reicht ja offenbar nicht....
Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
bilibi Michael Nickles „"GVU-Trojaner" sperrt Rechner wegen angeblichen Raubkopien“
Optionen

Im Gegensatz zum BKA ändert dieser Virus die explorer.exe in HKLM nicht ab.

Erste Versuche an einem Rechner gestern abend.

abgesicherter Modus mit Eingabeuafforderung
dann die autostarteinträge bearbeiten : zu finden sind hier 2 x GEMA Einträge

Temp Ordner in C: Windows löschen

C:\Windows\System32\config\systemprofile\AppDara\Roaming\
alles was drin war gelöscht.

Neustart.....


Merde, das Ding startet immer noch

Deo Fretus Erumpe
bei Antwort benachrichtigen
winnigorny1 bilibi „Im Gegensatz zum BKA ändert dieser Virus die explorer.exe in HKLM nicht ab....“
Optionen
Merde, das Ding startet immer noch

Das macht es fein, das Ding! - Dann weißt du wenigstens, dass es nichts nützt, daran herumzudoktern! - Das Einzige, was dein System wieder vertrauenswürdig macht, ist die Festplatte zu formatieren, den Bootsektor neu zu schreiben und dann entweder eine Neuinstallation oder ein Image zurückschreiben.

Alles andere ist Selbstbetrug! Guckst du auch in diesem Thread so ungefähr das letzte Dutzend Postings dürfte sehr aufschlußreich sein:

http://nickles.de/forum/mikes-wohnzimmer/2011/bundespolizei-trojaner-schnell-entfernen-538840777.html

Ich verstehe wirklich nicht, warum Michael hier immer noch - und immer wieder was von "Entfernen" sagt. - Es gibt mehrere Methoden, die vorgeschaltete Oberfläche wieder wegzukriegen, aber keine davon sorgt dafür, dass du wieder ein sauberes System hast!!
Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
bilibi winnigorny1 „ Das macht es fein, das Ding! - Dann weißt du wenigstens, dass es nichts...“
Optionen

Ein Neuaufsetzen ist schon klar,

Es gibt aber auch Programme, wo ich nur aus dem Programm heraus eine Datensicherung machen kann.

Und dafür sollte man rumdoktern.

Nicht jeder ist ein 08/15 User der ohne Firmensoftware auskommt.

jruess

b

Deo Fretus Erumpe
bei Antwort benachrichtigen
Olaf19 Michael Nickles „"GVU-Trojaner" sperrt Rechner wegen angeblichen Raubkopien“
Optionen

Wenn man überhaupt einem Virenscanner vertrauen will - diese Art Software ist ähnlich umstritten wie die Desktop-Firewalls! - dann sollte es einer sein, der nicht auf dem System selbst sitzt, das er scannen soll, sondern einer, der offline arbeitet. Ich denke da etwa an Knoppicillin, so wie er 1x im Jahr - immer im Herbst - von der c't mit einer 1-Jahres-Lizenz herausgegeben wird. Dieser Scanner arbeitet i.d.R. mit 2-3 Search Engines, z.B. von Kaspersky, Sophos oder F-Prot, und wird von einer Live-CD gebootet.

Dann kann man sich auch die ganze Bastelarbeit mit Festplatte aus- und woanders wieder einbauen sparen, ganz zu schweigen von den Risiken, die IRON und winni schon beim Namen genannt haben.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
bilibi Olaf19 „Wenn man überhaupt einem Virenscanner vertrauen will - diese Art Software ist...“
Optionen

Hallo Olaf19

Das mit den Boot CD´s ist eine feine Sache
Hilft aber z.b. beim BKA Viru, aus eigener Erfahrung, nicht.

Deswegen spar ich mir auch die Bastelarbeit.

jruess
b

Deo Fretus Erumpe
bei Antwort benachrichtigen
Olaf19 bilibi „Hallo Olaf19 Das mit den Boot CD s ist eine feine Sache Hilft aber z.b. beim BKA...“
Optionen
Hilft aber z.b. beim BKA Virus, aus eigener Erfahrung, nicht.

Hi Bilibi, meinst du damit jetzt, dass speziell die "Offline-Scanner" von bootfähigen CDs à la Knoppicillin nichts erkennen, die fest installierten Scanner aber schon? Das würde mich etwas wundern.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
bilibi Olaf19 „ Hi Bilibi, meinst du damit jetzt, dass speziell die Offline-Scanner von...“
Optionen

Beispiel BKA Virus
Speziell Avira Antivir (auch die neueste Version)

Erkennt im Windows Betriebssystem den Schädling nicht
Erkennt mit der Avira Live CD den Schädling nicht.

Somit alle betreuten Rechner auf AVAST umgestellt.
Seitdem hat keiner meiner betreuten Rechner mehr ein Problem mit dem BKA bzw Gema Problem.

Erst Montag wieder einen 3 Tage alten Laptop bekommen wo bei Auslieferung Trend Micro Titanium aktiviert wurde.
Was soll ich sagen: GEMA und BKA die sich beim Start abwechselten

Da hier ein Sachverständiger noch Daten drauf hatte, die nur aus dem laufendem Programm gesichert werden konnten,
mußte hier mühselig das System zum laufen gebracht werden.

Da der Virus derart mutiert ist, halfen auch die Tips wie explorer.exe wieder herstellen nicht, da diese gar nicht verändert wurde.

Die einzigsten Virenscanner die ich empfehlen kann sind Avast und ESET NOD32

Aber Avira kommt bei mir nicht mehr drauf

jruess

b


Deo Fretus Erumpe
bei Antwort benachrichtigen
Olaf19 bilibi „Beispiel BKA Virus Speziell Avira Antivir auch die neueste Version Erkennt im...“
Optionen

Aah okay, das meintest du. Ja, das liegt dann weniger am Prinzip Live-CD vs. Fest-Installation sondern liegt einfach am Scanner. Genau solche Erfahrungsberichte, dass Avira stark nachgelassen und Avast inzwischen viel besser sein soll, habe ich in letzter Zeit des öfteren gelesen, scheint also etwas dran zu sein.

Die Knoppicillin-CD arbeitet immer mit 2 bis 3 Scannern gleichzeitig, die sich gegenseitig ergänzen, Kaspersky ist meistens dabei, sonst noch Sophos oder F-Prot. Mir fällt allerdings gerade auf, dass es auch schon wieder ein paar Jährchen her ist, dass ich die CD selbst im Test hatte, privat habe ich seit Mitte 2007 kein Windows mehr.

Aber nun gut, die Knoppicillin-CD wird ja vom Heise-Verlag als c't-Beilage herausgegeben. Die werden sicherlich noch heute wissen, was sie tun ;-)

CU
Olaf

P.S. NOD32 ist weniger verbreitet, soweit ich weiß, hat aber einen ganz guten Ruf.

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
winnigorny1 Olaf19 „Aah okay, das meintest du. Ja, das liegt dann weniger am Prinzip Live-CD vs....“
Optionen

Ja, die Knoppicillin ist schon gut. Ich persönlich bin mit GData sehr zufrieden eine der Engines ist da auch der Kasperski.

Mit der Life-CD haben wir den Rechner meines Sohnes nach BKA-Befall wieder zum Laufen gebracht und haben anschließend seine Daten gesichert.

Das Problem ist in der Tat die hohe Mutationsrate dieser Trojaner und die traurige Tatsache, dass die so rasant Malware nachladen, dass irgendwann jeder Scanner abkackt.

Es geht eigentlich nur noch so:

Life CD starten, Virensignatur aktualisieren, Rechner von Netz nehmen, Scannen, Viren killen, Daten sichern, Systemplatte bügeln, MasterbootRecord neu schreiben und sauberes Image draufknallen (oder aber beim Image gleich auch noch den Masterbootrekord mitsichern und beides in einem Rutsch erledigen).

Aber immer wieder: Virenscanner sind dazu da zu beruhigen, nicht zu schützen! Allenfalls helfen sie eben bei alten Viren. Neuware hüpft halt einfach ins System, weil der Scanner gar nicht weiß, dass es die gibt.

Und blöder Weise kommen solche Jungs halt über Sicherheitslücken (ungepatchtes Windows, alter Browser, altes Java, alter Flashplayer, alter AdobeReader um nur die wichtigsten zu nennén) ins System und das per Drive-by-Download.

Ihr werdet lachen, aber da hilft ein Virenscanner ohnehin so gut wie gar nicht - höchsten dabei, sie im Nachhinein zu erkennen, wenn's eh zu spät ist.

Da ist NoScript im FF (gibt's übrigens auch für den IE!) schon wesentlich wirkungsvoller als jeder Virenscanner.....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Olaf19 winnigorny1 „Ja, die Knoppicillin ist schon gut. Ich persönlich bin mit GData sehr zufrieden...“
Optionen
Aber immer wieder: Virenscanner sind dazu da zu beruhigen, nicht zu schützen! Allenfalls helfen sie eben bei alten Viren. Neuware hüpft halt einfach ins System, weil der Scanner gar nicht weiß, dass es die gibt.

Das kann man gar nicht genug unterstreichen. Ich bin auch keinesfalls ein Verfechter der Installation von "Sicherheitssoftware". Allerdings sehe ich die Dinge auch pragmatisch: wenn es dazu beiträgt, die Sicherheit zu erhöhen, warum nicht. Fatal wäre nur, sich in Sicherheit zu wiegen. Insofern ist dieser "Beruhigungseffekt" eher kritsch zu sehen.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
winnigorny1 Olaf19 „ Das kann man gar nicht genug unterstreichen. Ich bin auch keinesfalls ein...“
Optionen
wenn es dazu beiträgt, die Sicherheit zu erhöhen, warum nicht.

Natürlich! - Sonst hätte ich ja auch nicht die GDataInternetSecurity auf meinem Rechner. - Allerdings dient die nicht zur Beruhigung, sondern nur dazu, wenigstens bekannte Malware zu killen, falls davon mal was durchflutschen sollte.

Ansonsten gilt für mich immer: Restriktive Sicherheitseinstellungen, nicht benötigte Dienste killen, System- und Programmaktualität etc. pp. Besonders zufrieden bin ich mit den schönen Erweiterungen des FF wie NoScript, ABP. Das zusammen mit eingeschaltetem Hirn hat bei mir bisher jeden Virenbefall verhindert.

Zweimal habe ich umsonst geschwitzt, weil das AVProgramm Fehlalarm gegeben hat....

So gesehen hat es gar nichts genützt, sondern war nur unnötig schweißtreibend. Dennoch bleibt es auf dem Rechner.
Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Olaf19 winnigorny1 „ Natürlich! - Sonst hätte ich ja auch nicht die GDataInternetSecurity auf...“
Optionen
Restriktive Sicherheitseinstellungen, nicht benötigte Dienste killen, System- und Programmaktualität etc. pp.

Diese 3 Punkte würde ich auch ganz obenan stellen.

Zu XP- und 2000-Zeiten gab es sogar kleine Helferlein - genau genommen waren das noch nicht einmal richtige Programme, nur Skripte - die das Abschalten der nicht benötigten Netzwerkdienste nach der Installation automatisch übernahmen. Man konnte dabei zwischen 3 Anwenderprofilen wählen, so in der Art wie "Heimnetzwerk", "restriktiv" und "alles dicht". Gerade für netzwerktechnisch weniger beschlagene Anwender eine feine Sache.

So weit ich weiß, gibt es so etwas für Vista und Seven nicht mehr, was ich etwas schade finde.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
XAR61 Olaf19 „ Das kann man gar nicht genug unterstreichen. Ich bin auch keinesfalls ein...“
Optionen

Sicherheit hin oder her, es gibt leider keine perfekte (100%) Schutzsoftware, ich stimme allerdings auch Olav wie Michael zu was die Entfernmethoden betreffen, aber plattmachen oder die externe Spiegelung ist immer noch die wohl möglich nervenschonenste Variante. Kamen wir vor knapp 3 Jahren noch mit 1 Antivirussoftware (nebst Klimbim) aus bist du heute gezwungen, deinen wackeldackelofen zu deiner eigenen Sicherheit mit einen 2. oder gar 3. Anbieter auf Herz und Nieren zu checken und selbst dann kannst du dir immernoch den "schwarzen Peter" immer noch gratis und unbemerkt bekommen, obwohl die Wahrscheinlichkeit etwas reduziert wurde.

bei Antwort benachrichtigen
Olaf19 XAR61 „Sicherheit hin oder her, es gibt leider keine perfekte 100 Schutzsoftware, ich...“
Optionen
plattmachen oder die externe Spiegelung ist immer noch die wohl möglich nervenschonenste Variante. Kamen wir vor knapp 3 Jahren noch mit 1 Antivirussoftware (nebst Klimbim) aus bist du heute gezwungen, deinen wackeldackelofen zu deiner eigenen Sicherheit mit einen 2. oder gar 3. Anbieter auf Herz und Nieren zu checken und selbst dann kannst du dir immernoch den "schwarzen Peter" immer noch gratis und unbemerkt bekommen, obwohl die Wahrscheinlichkeit etwas reduziert wurde.

Damit kein falsches Bild entsteht - es wird ja nicht empfohlen, mehrere Virenscanner gleichzeitig zu installieren. Ganz im Gegenteil, die kommen sich leicht ins Gehege und können sich sogar gegenseitig "abschießen". Bei Knoppicillin liegen die Dinge etwas anders, da wird offline gescannt, es ist also nichts fix installiert, es werden lediglich 3 Search Engines nacheinander auf die "schlummernde" Systemplatte losgelassen, nachdem zuvor die aktuelssten Virensignaturen aus dem Netz geladen wurden.

Plattmachen: ist immer der einzige ehrliche Weg, nachdem ein Befall bekannt geworden ist. Externe Spiegelung: Kann bei der Wiedereinrichtung eine große Zeitersparnis sein, wenn noch eine Version vor dem Befall verfügbar ist (z.B. ein Image direkt nach Neu-Installation samt Aktivierung und Aufspielen der wichtigsten Treiber und Programme, inkl. Updates).

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
SoulMaster Olaf19 „ Damit kein falsches Bild entsteht - es wird ja nicht empfohlen, mehrere...“
Optionen

Das kannst du natürlich auch ohne Knoppicillin erzwingen. Nämlich so wie XAR61 erwähnt mit mehreren Antiviren scans unterschiedlicher Hersteller nacheinder und single use.

Das ist zwar etwas aufwendiger, mehr für Rentner, die viel Zeit haben aber so auch Erfahrungen unterschiedlichster Art sammeln können.
Ich nutze für System Scans ausschliesslich die KIS2012 und hatte bisher keine Probleme. Noch nicht und wenn, dann werde ich mir zu helfen wissen.

SoulMaster

bei Antwort benachrichtigen
maxzwo1 SoulMaster „Das kannst du natürlich auch ohne Knoppicillin erzwingen. Nämlich so wie XAR61...“
Optionen

Hast Du eine Ahnung! mehr für Rentner, die viel Zeit haben .
Rentner haben Kinder , Enkel und Urenkel, Da bist Du ganz schön am Flitzen!
Natürlich habe ich auch noch Zeit für den Rechner, aber auch nicht dauernd.
Gruß maxzwo1

Bis jetzt ist es gut gegangen, hat der Dachdecker gesagt, wie er am 1. Stock vorbeigefallen ist.
bei Antwort benachrichtigen
SoulMaster maxzwo1 „Hast Du eine Ahnung! . Rentner haben Kinder , Enkel und Urenkel, Da bist Du ganz...“
Optionen

Ja natuerlich, du hast recht. Ich habe den Grinser vergessen.

SoulMaster

bei Antwort benachrichtigen
Rina Kitamura Michael Nickles „"GVU-Trojaner" sperrt Rechner wegen angeblichen Raubkopien“
Optionen

Guten Tag,

Bin neu hier! ^^

Ich hatte vor 15 Minuten diese Meldung erhalten das ich angeblich Raubkopien hätte und deswegen mein PC gesperrt wurde.
Ich sollte an Ukashi Bußgeld 100 € zahlen!
Komicherweise lief im Hintegrund mein Media Player mit Musik, das mich ein wenig zkeptisch gemacht hatte.

Gezahlt hab ich nicht!
Ich hab erstmal den PC ausgeschaltet und wieder an gemacht.
Danach ist keine Meldung mehr gekommen!

Im I-net hab ich nach Infos gesucht, was das sollte und bin dan auf dieser Seite gelandet.
Dadurch hab ich erfahren das diese Meldung ein Trojaner ist.

Jetzt bin ich beruhigt!

Mein Antivirus Programm hat mich wohl sehr gut geschützt, weil jetzt nichts mehr kommt.
Hab: G Data InternetSecurity 2013

bei Antwort benachrichtigen
mi~we Rina Kitamura „Guten Tag, Bin neu hier! ^^ Ich hatte vor 15 Minuten diese...“
Optionen

Vorschlag: Diese Diskussion ist schon 4 Monate alt, da schaut keiner mehr rein! Es wäre besser wenn du für dein Problem eine neue Diskussion eröffnest. Dann bekommst du hier die nötige Aufmerksamkeit.Zwinkernd

Gezahlt hab ich nicht!

Das hätte dir auch nichts genützt.

Jetzt bin ich beruhigt!

Du meinst wohl beunruhigt?

Mein Antivirus Programm hat mich wohl sehr gut geschützt, weil jetzt nichts mehr kommt.

Das muss gar nichts bedeuten! Du kannst alles mögliche an Schadsoftware auf deinem Rechner haben, die dein AV-Programm gar nicht bemerkt hat.

http://www.bka-trojaner.de/

Der einzig sichere Weg wieder einen "vertrauenswürdigen" Rechner zu bekommen, ist eine Neuinstallation von Windows....

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
shrek3 mi~we „Vorschlag: Diese Diskussion ist schon 4 Monate alt, da schaut...“
Optionen

Rina Kitamura hat ihren Account längst schon wieder gelöscht - offenbar wollte sie nur loswerden, worauf sie das zurückführt.

http://www.nickles.de/forum/index.php?iPage=v&this_category=314993

Da ich beruflich speziell Gdata oft begegne, kann ich aber noch hinzufügen, dass ich leider schon vielen Rechnern begegnet bin, bei denen diese Virenschutzsoftware machtlos gegen diesen Trojaner war.

Warum auch sollte ausgerechnet Schutzprogramm X sich deutlich von den Konkurrenzprodukten abheben?
Die Untersuchungstechniken solcher Programme ähneln sich ohnehin mehr als dass sie sich voneinander unterscheiden und bis neue Schädlinge in die Viren-Datenbank aufgenommen werden, vergeht immer eine gewisse Zeit, da ein Schädling erst mal entdeckt und anschließend analysiert werden muss - Zeit genug, um bis dahin neue Schädlings-Varianten ins Netz einzuschleusen.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
mi~we shrek3 „Rina Kitamura hat ihren Account längst schon wieder...“
Optionen

Danke für die Info. Hatte mich schon gewundert, dass keine Antwort kam. Dann bleibt wohl nur noch zu hoffen, dass ein AV-Programm mal funktioniert hat.

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
hostinosti Michael Nickles „"GVU-Trojaner" sperrt Rechner wegen angeblichen Raubkopien“
Optionen

Hatte den Trojaner am Sonntag, den 15.07.2012 auch drauf. Das Ding hat mir so einen Schreck eingejagt, dass ich die Nacht schlecht geschlafen habe. Zuerst hatte ich einfach einen Wiederherstellungspunkt gesetzt, dann die Systemdateien, die ich vor längerer Zeit gesichert habe, ebenfalls wiederhergestellt. Anschließend das Update von Microsoft Security Essentials gestartet und dann den Check durchlaufen lassen, aber nichts verdächtiges gefunden. Mit dem CCleaner habe ich auch alles weggeputzt. Seit dem läuft meine Kiste wieder. Bin mir aber nicht sicher, ob ich wirklich alles restlos entschärft habe.

Am nächsten Tag habe ich gegoogelt, zuerst direkt bei der GVU, habe dort angerufen, dort sagte man mir auch, dass es sich um einen Trojaner handelt, der seit März 2012 im Umlauf ist. Unter

http://de.wikipedia.or/wiki/Gesellschaft_zur_Verfolgung_von_Urheberrechtsverletzungen


fand ich dazu folgenden Artikel:

Verbreitung von Trojanern

Im Mai 2012 wurde die GVU Opfer einer groß angelegten Trojaner-Angriffs, der im Namen der Organisation Rechner betroffener Anwender sperrte. Das Programm, das am 20. März zum ersten Mal gesichtet wurde und in mehreren Versionen im Umlauf ist, fordert die Betroffenen dabei zur Zahlung von 50 bis 100 Euro über Paysafecard auf.

Gruss Hostinosti

http://de.wikipedia.org/wiki/Gesellschaft_zur_Verfolgung_von_Urheberrechtsverletzungen

bei Antwort benachrichtigen
IRON67 hostinosti „Hatte den Trojaner am Sonntag, den 15.07.2012 auch drauf. Das...“
Optionen
Zuerst hatte ich einfach einen Wiederherstellungspunkt gesetzt, dann die Systemdateien, die ich vor längerer Zeit gesichert habe, ebenfalls wiederhergestellt.

Dieses Vorgehen ist nicht indiziert.

Mit der Systemwiederherstellung werden die Systemdateien und Programme auf dem PC auf einen Zeitpunkt zurückgesetzt, zu dem alles ordnungsgemäß funktionierte. [...] Sie hat keinerlei Auswirkungen auf Ihre Dokumente, Bilder oder anderen Daten. [...] Die Systemwiederherstellung wirkt sich auf Windows-Systemdateien, Programme und Registrierungseinstellungen aus.
Quelle: Microsoft


Das bedeutet, dass sie auch keinen bzw. nur minimalen Einfluss auf installierte Malware hat. Sie kann Malware nicht aus dem System entfernen.

Anschließend das Update von Microsoft Security Essentials gestartet und dann den Check durchlaufen lassen, aber nichts verdächtiges gefunden.

Tja, leider FINDET kein einziges "Schutzprogramm" zuverlässig irgendwas. Bei neuen Varianten liegt die Erkennung bei unter 40%. Entfernungs-Tools sind unzuverlässig.

Du darfst jetzt dein System komplett neu aufsetzen, da es kompromittiert wurde. Nachträgliche Datenrettung vor einem Neuaufsetzen sollte nur über eine Linux-Live-CD erfolgen. Am infizierten System sind keine Datenträger mehr anzustöpseln.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
hostinosti IRON67 „Dieses Vorgehen ist nicht indiziert.Mit der...“
Optionen

Du machst mir ja jetzt richtig Angst. Und was kann der Trojaner schlimmstenfalls anrichten? Was ist das Schlimmste, was mir nun passieren kann, wenn ich erst mal weiterarbeite, wie gewohnt, und erst mal alles so lasse wie es ist?

bei Antwort benachrichtigen
mi~we hostinosti „Du machst mir ja jetzt richtig Angst. Und was kann der...“
Optionen
Was ist das Schlimmste, was mir nun passieren kann
Im schlimmsten Fall hast du irgendwas auf dem Rechner, was unbemerkt weitere Schadsoftware auf deinem Rechner installiert, bis die Kiste restlos versifft ist!
"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
hostinosti mi~we „Im schlimmsten Fall hast du irgendwas auf dem Rechner, was...“
Optionen

Also doch auf Linux oder Ubuntu umsteigen, dann habe ich den ganzen Mist nicht.

bei Antwort benachrichtigen
IRON67 hostinosti „Also doch auf Linux oder Ubuntu umsteigen, dann habe ich den...“
Optionen
auf Linux oder Ubuntu umsteigen, dann habe ich den ganzen Mist nicht.
Das ist eine Fehleinschätzung. Es existiert bereits Malware für Linux (freilich WESENTLICH weniger). Aber es reicht ja, wenn man EINE erwischt.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
IRON67 hostinosti „Du machst mir ja jetzt richtig Angst. Und was kann der...“
Optionen
was kann der Trojaner schlimmstenfalls anrichten?
Er hat bereits das Schlimmste angerichtet, was möglich ist und das kapieren einfach viel zu wenige:

Es wurde schädlicher Code ausgeführt, der sich deiner Kontrolle entzieht.

Damit hast du de facto die Kontrolle über dein System verloren und kannst keiner einzigen Meldung deines Systems, deines AVs oder auch nur des Dateiexplorers mehr trauen.

Diese Malware konnte sich installieren, weil die Browser-Plugins wie Java, Flash oder Adobe Reader veraltet sind. Dadurch gelingt eine Drive-by-Infektion.

Über dieselbe Sicherheitslücke werden mit denselben Methoden z.B. durch das Exploit-Kit "Blackhole" auch Banking-Trojaner und Rootkits wie ZeuS, CARBERP, TDL4/TDSS usw. ausgeliefert. Das kann im Anschluss erfolgen oder schon vorher geschehen sein. Weißt du nicht. Weiß niemand zuverlässig, am allerwenigsten dein AV.

Falls du englisch kannst, mal was zum Grübeln für dich...
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
hostinosti IRON67 „Er hat bereits das Schlimmste angerichtet, was möglich ist...“
Optionen

Tja, leider FINDET kein einziges "Schutzprogramm" zuverlässig irgendwas. Bei neuen Varianten liegt die Erkennung bei unter 40%. Entfernungs-Tools sind unzuverlässig.

Wenn dem so ist, dass 40% oder noch weniger von den Schutzprogrammen gefunden wird, dann könnte dies ja bedeuten, dass die meisten Internet-User einen Trojaner auf ihrem PC haben, ohne es zu wissen? Und alle arbeiten trotzdem weiter. Ne, mit englisch sieht es bei mir nicht so toll aus, nur paar Brocken.

bei Antwort benachrichtigen
IRON67 hostinosti „Tja, leider FINDET kein einziges "Schutzprogramm"...“
Optionen
Wenn dem so ist, dass 40% oder noch weniger von den Schutzprogrammen gefunden wird

http://heise.de/-1589640

Denn was Hypponen außer Acht lässt: Kriminelle Banden, die Online-Banking-Trojaner wie Zeus und SpyEye bauen, arbeiten durchaus ähnlich, sind genauso motiviert und haben teilweise vergleichbare Ressourcen zur Verfügung wie die Macher von Flame, Duqu und Stuxnet. So testen sie ebenfalls systematisch gegen AV-Software und optimieren so lange, bis ihr Trojaner nicht mehr erkannt wird. Als Resultat konstatiert etwa die Statistik des Projekts Zeus-Tracker eine Erkennungsrate von Antirviren-Software von weniger als 40%; derzeit sind demnach ganze 294 Zeus-Varianten unterwegs, die kein einziges AV-Programm erkennt.

Und was für ZeuS gilt, darf ruhig verallgemeinert werden.

dann könnte dies ja bedeuten, dass die meisten Internet-User einen Trojaner auf ihrem PC haben, ohne es zu wissen?

Nicht könnte. Exakt so ist es.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
shrek3 IRON67 „Er hat bereits das Schlimmste angerichtet, was möglich ist...“
Optionen
Er hat bereits das Schlimmste angerichtet, was möglich ist und das kapieren einfach viel zu wenige: Es wurde schädlicher Code ausgeführt, der sich deiner Kontrolle entzieht.
Wieso - ladet etwa der per Drive-by-Download auf den Rechner gekommene BKA-Trojaner denn andere Schädlinge nach?

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
hostinosti shrek3 „Wieso - ladet etwa der per Drive-by-Download auf den Rechner...“
Optionen

Wohl mit der Absicht noch größeren Schaden anzurichten. Am Ende wird es wohl wieder mal um unseren größten Bazillus, der im Umlauf ist gehen, nämlich das Geld. Die User sollte berappen für bessere, teuerere Anti-lalala-Software, die die Schädling 100%-ig erkennt und bekämpft. Vielleicht kauft sich der eine oder der andere doch gleich neuere PC-Technik und Zubehör? Man munkelt ja, das Microsoft selbst Viren und was weiß ich nicht alles, selbst entwickelt, um somit den Umsatz voranzutreiben. Vielleicht auch als Kontrollfunktion, keine Ahnung.

BKA hört sich ja nach Bundeskriminalamt an, die wollen sicher auch über jeden alles wissen - Kontrolle über jeden und alles. Vielleicht sind die alle schon paranoid und wissen nur noch nichts davon, oder leiden unter sowas wie einem Kontrollzwang? Es gibt doch heute nichts mehr was nicht kontrolliert wird. Abgesehen von dem Internetverhalten wo man surft und was man sich so ansieht? Über die Google-Earth-Technik kann man bestimmten "verdächtigen" Personen schon ins Schlafzimmer schauen und sehen wer es mit wem und wie er es mit wem treibt. Über die Handyortung kann man immer den aktuellsten Stand der Person orten, sogar aufzeichen, die Routen, die jemand regelmäßig geht. Die Kontoverbindungen und -bewegungen stehen unter Kontrolle, man weiß genau bescheid was da abläuft. Krankheiten, Macken oder sexuelle Vorzüge und Praktiken, dass weiß mach auch von jedem. Sicher habe ich noch einiges vergessen. Aber das ist der ganz normale Wahnsinn. Von wegen Persönlichkeitsrechte, Privatsphäre. Wir haben doch schon das "Big Brother" live - können eigentlich nichts mehr verberge. Was man noch nicht weiß, kriegt man über irgendwelche Spitzel raus, auf der Arbeit, im Verein, oder auch zu Hause. Und das mit diesen Trojanern, die nicht entdeckt werden können passen auch so richtig rein in dieses Kontrollschema - Kontrolle über jeden und alles. Alles was ich denk und tu, trau ich auch dem andern zu - die gewissen Leute trauen scheinbar noch nicht mal sich selbst. Andere werden in die Klapper geschickt, die machen das halt beruflich. Weiß nicht, wo das noch hinführen soll und was das noch mit Freiheit zu tun hat.

Gruss Hostinosti

bei Antwort benachrichtigen
IRON67 hostinosti „Wohl mit der Absicht noch größeren Schaden anzurichten. Am...“
Optionen
Man munkelt ja, das Microsoft selbst Viren und was weiß ich nicht alles, selbst entwickelt

Bitte keine solchen paranoiden Gerüchte. Die Realität der Malwareszene reicht völlig aus.

BKA hört sich ja nach Bundeskriminalamt an, die wollen sicher auch über jeden alles wissen - Kontrolle über jeden und alles.

Der BKA-Trojaner ist auch als GVU-, GEMA-, SUISA-Trojaner usw. unterwegs, den lokalen landestypischen Eigenarten angepasst. Vortäuschung staatlicher oder behördlicher Autorität ist eine psychologische Maßnahme, um die Opfer zu beeindrucken, zu verunsichern und einzuschüchtern.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
aldebuedel shrek3 „Wieso - ladet etwa der per Drive-by-Download auf den Rechner...“
Optionen
bei Antwort benachrichtigen
IRON67 shrek3 „Wieso - ladet etwa der per Drive-by-Download auf den Rechner...“
Optionen
Wieso - ladet etwa der per Drive-by-Download auf den Rechner gekommene BKA-Trojaner denn andere Schädlinge nach?

Kaum. Hab ich auch nicht geschrieben. Lies genau.
Es ist nicht der BKA-Trojaner, der was nachladen muss. Er selbst wird NACHGELADEN und zwar vom Trojan.Downloader, der es dank Exploit auf den PC geschafft hat. Und DER kann dann munter anderes nachladen.

Und nach einer vermeintlichen "Bereinigung", die zwar vielleicht den BKA-Trojaner entfernt, aber den Downloader übersieht oder weil einfach die URSACHE, nämlich die veralteten Plugins, nicht behoben wurde, ist die nächste Infektion eine Frage der Zeit.

Ich erlebe doch täglich User, die voller Stolz erzählen, dass sie den schon 4 mal auf dem PC hatten und jedesmal erfolgreich entfernt haben. Die kriegen es einfach nicht auf die Reihe.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
shrek3 IRON67 „Kaum. Hab ich auch nicht geschrieben. Lies genau. Es ist...“
Optionen
Es ist nicht der BKA-Trojaner, der was nachladen muss. Er selbst wird NACHGELADEN und zwar vom Trojan.Downloader, der es dank Exploit auf den PC geschafft hat. Und DER kann dann munter anderes nachladen.
Verstehe ich dich richtig?
Nicht der BKA-Trojaner selber ist es, der sich selbstständig per Drive-By auf dem Rechner einnistet, sondern er benötigt dafür die Hilfe eines Trojan.Downloaders, der sich zuvor eingeschleust haben muss, um das zu bewerkstelligen?

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
IRON67 shrek3 „Verstehe ich dich richtig? Nicht der BKA-Trojaner selber ist...“
Optionen
Verstehe ich dich richtig? Nicht der BKA-Trojaner selber ist es, der sich selbstständig per Drive-By auf dem Rechner einnistet, sondern er benötigt dafür die Hilfe eines Trojan.Downloaders
Mein Gott, jetzt hat ers. Es grünt so grün.... BTW: Das ist bei so ziemlich jeder Malwareinfektion so. Und Drive-by-Infektionen sind da mit über 60% vertreten.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
IRON67 shrek3 „Verstehe ich dich richtig? Nicht der BKA-Trojaner selber ist...“
Optionen

Hier noch zwei gute (engl.) Quellen, die den Infektionsweg und die Funktionsweise sowohl von BKA-Trojaner-Varianten als auch ZeuS sehr detailliert beschreiben.

http://nakedsecurity.sophos.com/zeroaccess2/#Distribution Da gehts mir vor allem um den Exploit, der wie bei den meisten Drive-by-Infektionen funktioniert; die erwähnten Dropper sind ein ähnliches Problem wie mein erwähnter Downloader. Streng genommen sind es zwei begleitende bzw. die "Hauptinfektion" einleitende Komponenten.

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_police_trojan.pdf

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
IRON67 shrek3 „Wieso - ladet etwa der per Drive-by-Download auf den Rechner...“
Optionen

Nachtrag aus aktuellem Anlass. Dass die Reihenfolge bei der Infektion im folgenden aktuellen Bsp. umgekehrt ist, ist irrelevant.

http://forum.chip.de/viren-trojaner-wuermer/erst-live-plainum-virus-dann-bundestrojaner-brauche-hilfe-fuer-vorgehensweise-1656434.html#post10253619

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
boehm_marco Michael Nickles „"GVU-Trojaner" sperrt Rechner wegen angeblichen Raubkopien“
Optionen

Ich habe einen sehr ähnlichen Viren Befall gehabt, dieser hat mir einen Großteil meiner dateien auf dem Rechner zerstört. Die Dateinamen waren anschließend nur noch Buchstaben - Salat und bei Dateien bei denen ich wusste was es eigentlich mal war, habe ich die korrekte Endung dahinter gesetzt mit dem Effekt, dass der PC meldet(e) Datei nicht lesbar.
Hier ein Bild das ich mit Hilfe eines Fotoapparats von meinem Monitor gemacht habe während der Virus aktiv war:



Mein Tipp: Sobald man merkt, dass dieser oder ein ähnlicher Virus den PC befallen hat diesen sofort und so schnell wie möglich aus schalten. Der Virus zerstört je länger der PC damit eingeschaltet ist um so mehr Dateien. Nach ca. 7 Minuten waren ca. 600000 Dateien von ca. 1,5 Millionen Dateien welche ich derzeit auf meinem PC hatte zerstört. Ich gehe davon aus, wenn der PC weniger als eine Minute mit dem Virus eingeschaltet gewesen wäre, hatte ich nahezu keinen Datenverlust gehabt.
Und wer in Sachen PC Versiert ist sollte Regelmäßig seine sensiblen Daten auf externen Festplatten sichern, vom System immer wieder Schattenkopien (Images) erstellen, möglich u.a. z.B. mit Norton Ghost oder mit Hilfe von Software aus dem Hause Acronis.

Gruß an alle    und viel Glück diesen Virus niemals kennen zu lernen!!!

bei Antwort benachrichtigen