Nickles Blog 212 Themen, 8.716 Beiträge

Verfolgung starten Optionen

Bundespolizei-Trojaner schnell entfernen

Michael Nickles / 349 Antworten / Flachansicht Nickles

Zurzeit werden viele Leute vom sogenannten "Bundespolizei-Trojaner zermürbt". Plötzlich erscheint auf dem Bildschirm ein großer Hinweis, der angeblich von der Bundespolizei kommt, weil eine ungesetzliche Tätigkeit enthüllt wurde:
 

Peng. Der Hinweis ist schlagartig da und nimmt den kompletten Bildschirm ein. Ein Arbeiten mit dem Rechner ist nicht mehr möglich. Der Versuch, die Seite per Taskmanager zu schließen, klappt nicht und auch ein Neustart des Systems bringt nichts als erneut den Vollbild-Hinweis. Zur Entfernung des Trojaners fordern die Erpresser eine Zahlung von 100 Euro über das anonyme Bezahlsystem Ukash.
 
Wer im Internet dann in einem Forum rumjammert, der kriegt in der Regel zwei Dinge: Spott und schlechten Rat. Spott, weil man angeblich zu blöd war, sein System ausreichend gegen Trojaner zu schützen.
 
Ich war anscheinend zu blöd dazu. Vor ein paar Tagen war der Trojaner beim Versuch eine Internetseite aufzurufen einfach da. Gestern Nacht kam mein Nachbar aufgeregt rüber gerannt. Er hatte das Dings ebenfalls drauf - trotz Viren-/Trojaner-/Malware-Schutzpaket.
 
Der richtige Rat bei derlei Fällen lautet typischerweise das System platt machen, Windows neu installieren. Dieser Rat IST richtig, aber in der Praxis für "Normalanwender" oft nicht sofort umsetzbar. Wie kriegt man das Ding also auf die Schnelle weg?
 
Es ist wohl so, dass sich der Trojaner in den "Autostart-Ästen" der Registry versteckt - also beispielsweise HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run und HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Die dort eingetragene ausführbare Datei kriegt allerdings einen zufälligen Dateinamen, was eine exakte Entfernungsanleitung unmöglich macht. Dieser meist empfohlene Lösungsansatz ist also eher unbrauchbar.
 
Weit verbreitet ist auch der Tipp, den Trojaner sofort nach Windows-Start per Taskmanager abzuschießen, damit man sich dann um seine dauerhafte Entfernung kümmern kann. Auch dieser Tipp ist Bullshit, weil man keine Chance hat den zuständigen Prozess im Taskmanager schnell genug zu erkennen.
 
Tipp drei ist die Beschaffung eines kostenlosen Malware-Entfernungs-Tools, das den Trojaner lyncht. Empfohlen wird beispielsweise der "Avira DE-Cleaner". Den kann man kostenlos runterladen und damit einen bootfähigen USB-Stick anfertigen, der das System dann säubern soll. Man braucht also einen zweiten PC um diesen Stick anfertigen zu können. Ich habe den Avira DE-Cleaner spaßeshalber mal ausprobiert:

 
Nach einer halben Ewigkeit war der Avira DE-Cleaner mit dem Scannen der Laufwerke durch und teilte mit, dass keine Schadsoftware gefunden wurde. Anscheinend mutiert der "Bundespolizei"-Trojaner zu schnell, als dass ihn Tools erkennen können.
 
Die schnelle Lösung: Was bei meinem Rechner und auch auf dem meines Nachbarn funktionierte ist ein Trick, der so billig ist, dass viele gewiss nicht dran denken. Beim Start von Windows einfach ins erweiterte Startmenü gehen (also F8-Taste hämmern).
 
Dort gibt es eine Option namens " Letzte als funktionierend bekannte Konfiguration wieder herstellen". Das spült den Trojaner mit einer kleinen Portion Glück weg. Natürlich kann man das auch unter Windows machen, wenn man es noch schafft, schnell genug an den Systemwiederherstellungs-Mechanismus ran zu kommen.
 
Solange der Trojaner noch voll aktiv im System ist, schafft man das nicht schnell genug. Aber es gibt Fälle, wo es ein Malware-Scanner schafft, den Virus wenigstens teilsweise zu grillen - dann kann dieser Tipp dann den Rest erledigen.
 
Natürlich ist ein auf diese Weise "gerettetes" System nicht unbedingt sauber. Man weiß nie, was ein Trojaner angestellt hat, wo er überall drinnen hockt. Der einzige sichere Weg ist deshalb eine Neuinstallation des Betriebsystems. Ich habe in meinem Fall auf eine Neuinstallation verzichtet und bislang von dem Trojaner nichts mehr gespürt.
 
Ich werde das System halt mal eine Weile im Auge behalten. Es platt machen und neu aufsetzen werde ich nur dann, wenn ich exakt rauskriege WARUM mich dieser Trojaner erwischt hat. Angst davor, dass jetzt eine "Bombe" in meinem Rechner hockt, habe ich nicht.
 
Im Hinblick auf die endlosen Sicherheitslücken bei Betriebssystemen und Software, möchte ich gar nicht wissen, wie viele "Bomben" sowieso schon vorhanden sind, die von Schutz-Software nicht erkannt werden.

bei Antwort benachrichtigen
Da wirst du jetzt aber wohl eine Menge Spott ertragen müssen! Andererseits: ... mi~we
Naja, mi we. Lachen kann man nur solange, bis es einen selbst erwischt. ... andy11
Bei gekauften PCs würde ich Vorsatz unterstellen oder False... Conqueror
Du solltest im besten Fall direkt am Router deinen Netzerwerktraffic im Auge ... PaoloP
Hi PaoloP, thx, das mit Traffic kontrollieren ist mir klar. Mir geht es hier ... Michael Nickles
Meine Frage: Wenn ich auf meinem PC mehrere Benutzerkonten habe W7 , sind ... Loopi©
Gude Loopi ich habe bei meinen Eltern drei Benutzerkonten.... bonameser
Hi bonameser, der BKA/Ukash/Bundespolizei-Trojaner passt sich... wapjoe
Du wirst es nicht gern lesen, aber es gibt nur diese... winnigorny1
Hallo Bonameser, Kommst du aus Frankfurt, Bonames?. cetdsl
Irgendwie scheint dein Posting an den falschen Adressten... winnigorny1
Ja das du Ungefähr 500 KM entfernt Wohnst, ist mir später... cetdsl
ja bonameser
Wenn du Probleme hast mit deinem System und dir nichts... cetdsl
Das System werde ich, wie bei meinen Eltern, auf jeden Fall... bonameser
Am besten über eine Linux-Live-DVD, entweder lädst du dir... wapjoe
normalerweise ? ich kann also theoretisch mit dem iso von... bonameser
jo das geht! wapjoe
Bevor es hier zu einem Missverständnis kommt - es muss der... shrek3
Vertrau' dem wapjoe. - Das geht mit jeder Linux-Life-CD! winnigorny1
Du lädst dir das Image einer Knoppix-Life-Cd runter:... winnigorny1
SUPER !!!! vieeelen Dank !!!!!!!!! bonameser
Gerne! winnigorny1
ich hatte kürzlich auch ma son dreck. hatt mir auf ... cheopsee
Hatte das Problem auch bei einem Kollegen in der Schweiz ja ... greb
uch durchaus eine Diskussion zu entfachen, ob der pauschale Tipp mit Windows ... Conqueror
Hallo, habe mir heute auch den netten Trojaner eingefangen..... lela1
Platte formatieren, Windows neu installieren.... mi~we
Aber die Sicherheit, dass auf dem Rechner befindliche Daten... lela1
Deswegen reden sich ja auch alle den Mund fusselig, dass man... mi~we
Ich bin definitiv kein PC- Freund und nutze ihn ansich nur... lela1
. Genau, das ist es, ich mache es seit einigen Jahren und es... Waldschrat_70
Hallo Es gibt nur einen richtigen Weg : Daten auf einem... groggyman
Auch wenn ich nun Gefahr laufe mich komplett lächerlich zu... lela1
RAM-Sticks ist hier nicht der richtige Ausdruck aber zum... groggyman
So kompliziert ist das... mi~we
Die Gretchenfrage, alles platt machen oder nicht? In den meisten Fällen ... The Wasp
Im Hinblick auf die endlosen Sicherheitslücken bei Betriebssystemen und ... Markus Klümper
Vor ein paar Tagen konnte ich diesen Virus auf dem PC eines Bekannten Nein, ... T6T8
Ich bin diesem Erpresser-Schädling dieses Jahr durch Kundenrechnern schon ... shrek3
Erst einmal Danke an alle, für diese Tips ! In der Regel hat man Windows ... XAR61
Einige Bekannte hatten auch schon das zweifelhafte Vergnügen. Hier meine ... bilibi
Wäre interessant zu wissen wie sich das Ding einnistet. Da MN sicher eine ... Wiesner
Das passierte in meinem Fall einfach bei Aufruf einer Webseite mit IE. Michael Nickles
Ich hab ein Image. Dauert fünf Minuten und der Rechner ist wie neu. Eine ... areiland
Man kann mit Nicht-IE Browsern das Risiko aber stark minimieren. Ich nutze ... BastetFurry
Firefox hat sich den auch schon gefangen. Vielleicht kann man mit ... Joerg69
Nicht Firefox sondern DU, weil deine Browser-Plugins Java, Flash, Adobe ... IRON67
deine Browser-Plugins Java, Flash, Adobe Reader veraltet und daher anfällig ... Joerg69
Du kannst dich leider auf automatische Updates nicht verlassen. Prüfe das ... IRON67
Da hast Du mir jetzt was erzählt! Java war tatsächlich nicht aktuell - ... Joerg69
Mein Sohn hatte den drauf. Offline-Scan mit G-DATA fand drei infizierte ... winnigorny1
Kann es sein dass da einer sein System nicht gepatscht hatte, ich meine ... Conqueror
patchen hilft samusaran1
Das starten im abgesicherten Modus mit nur Eingabeaufforderung ist durchaus ... samusaran1
@samusaran1 Danke für den nützlichen und schnellen Weg jruess b bilibi
Da ich alle wichtigen Daten, mehrfach gesichert habe seperate Platten, ... olliver1977
Da es mich heute auch erwischt hat ... habe ich eine Frage zu den Daten Da ... WernerWillsWissen
Kurz und schmerzlos: JA. Du kannst das Risiko nur senken, und zwar z.B. ... IRON67
Zum Thema Ukash noch ein Blick auf die rechtliche Seite: ... MLahr
Hallo Wenn ich meinen Senf noch dazugeben darf: Da mir dieser Kollege auch ... gelöscht_189916
wer möchte sich schon bei angeblich illegalen Downloads und ... gelöscht_305164
Ja, der kaspersky erkennt das. - Mithin auch G-DATA zwei Scan-Engines, eine ... winnigorny1
Hallo fakiauso, ich hatte auch mal so ein Problem. Den 0815 Beamten geht das ... Kabelschrat
Hallo, mittels einer Ubuntu Live-CD Daten der Platte sichern müsstest ja ... cscherwinski
Als 08/15-Beamter habe ich mehreren Anzeigenden den Link zur kostenlosen ... IckeBerlin
Mittlerweile sind die Anzeigen wegen des Bundestrojaners offensichtlich sehr ... IRON67
Wie gesagt rar geworden. Ich kann nur von mir und meinem Arbeitsfeld ... IckeBerlin
Jeder bessere Tip ist willkommen... Ein kompromittiertes System ist komplett ... IRON67
Ja, das wissen Computererfahrene. Nur die meisten wollen erstmal eine Hilfe, ... IckeBerlin
Nur weil ich Auto fahre, muß ich mir kein Werkstattbuch für mein Model ... Yan_B
Ich stimme Dir zu, Yan_B. PC und Internet sind nicht mehr wegzudenken. ... IckeBerlin
sind nicht mehr wegzudenken. Sicher kann ich mich einlesen und einarbeiten ... IRON67
Nur weil ich Auto fahre, muß ich mir kein Werkstattbuch für mein Model ... winnigorny1
Wieso Schmerzen bereitet? Ein Forum lebt von Meinungen. Es bedarf wirklich ... IckeBerlin
Der Bundestroyaner kam trotz installierter Antivirenprogramme. Ja - und die ... winnigorny1
Wohl jedem Laien, der jemanden kennt, der ihm wirklich bei sowas helfen und ... IckeBerlin
Wohl jedem Laien, der jemanden kennt, der ihm wirklich bei sowas helfen und ... winnigorny1
Hallo Winni. Mir scheint, solch ein Forum kann mehr Mißverständnisse ... IckeBerlin
Ich glaube nur weiterhin nicht, dass die breite Masse ihre PC s so fit ... winnigorny1
Die Hintergründe, wie es letztes Jahr zum Tip mit der Kaspersky kam, hat ... IRON67
Folglich obliegt es jedem einzelnen, sein Bestes zu geben und das gilt ... winnigorny1
Der Bundestroyaner kam trotz installierter Antivirenprogramme. Und mehr ... IRON67
Wenn der Laie jemanden hat, der es ihm vorher erklärt. Bis dahin verläßt ... IckeBerlin
Wenn der Laie jemanden hat, der es ihm vorher erklärt. Man kann es auch ... IRON67
Nur die meisten wollen erstmal eine Hilfe, um an Daten wieder ranzukommen, ... IRON67
Die von dir betreuten Malware-Opfer haben mit so einer fahrlässigen Methode ... winnigorny1
Das strapaziert schon die Geduld! Ich bin in dieser Hinsicht schmerzfrei und ... IRON67
Allerdings wirst du auch jemanden treffen, der dir widerspricht. Mich ... winnigorny1
Hallo, der Abit BE7-XP3 Rechner eines Familienmitgliedes, das viele ... Weva
Hallo Nichtsdestotrotz ist natürlich auch ein scheinbar wieder laufendes ... gelöscht_189916
sollte sich der Trojaner tatsächlich über die div. autoruns etabliert ... xaver4
Hallo Michael, hast du denn kein Image, das das System in minutenschnelle ... weka1
Wie wär s, mal eine Liste jener Schutzprogramme aufzustellen, welche diesen ... gelöscht_311356
Wie wär s, mal eine Liste jener Schutzprogramme aufzustellen... Wozu? Es ... IRON67
Blabla, blabla, blabla... Oder auf gut Deutsch: Klug-Sch. gelöscht_311356
Wenn du nicht Sinn entnehmend lesen kannst oder dir die Antworten auf deine ... IRON67
überdenken, bevor du dich mit deinen Antworten blamierst. Das sehe ich ganz ... winnigorny1
Gibt es überhaupt einen wirksamen Schutz? Ja: Linux. cscherwinski
Ja: Linux. Mag sein. Gleich kommen die Windowsuser um die Ecke: Weil Linux ... gelöscht_305164
Wer hat das gesagt. Lockenfrosch????? Ich nicht. Gruss Sascha Prosseco
Nix und wenn dann, sondern: Nutze mal ein veraltetes Java unter Linux nehmen ... winnigorny1
Das! :3 BastetFurry
Update für den BKA-Trojaner winnigorny1
Und damit sich dein Jüngster nicht bald die nächste Malware fängt, ... IRON67
Danke für deinen Hinweis, aber: Nööö, an den aufgeführten Mängeln ... winnigorny1
Ich habe auch diesen Trojaner gehabt. Musste nicht Windows komplett neu ... chris_otto
Du kannst davon ausgehen, dass es nicht immer New.exe heißen wird. Das Ding ... winnigorny1
Also das Outpost das gute Stück entdeckt hat, glaub ich ehrlich gesagt ... XAR61
Nur zur Info, Outpost ist keine Antivirussoftware! Erkundige dich erst mal, ... chris_otto
Sorry, bei mir zählt auch Software mit einem basis -Virenschutz schon zu ... XAR61
Ich war anscheinend zu blöd dazu. Dies hast Du geschrieben :- , aber wer ... Conqueror
Hallo Michael, hallo Forum, selbst der sorgsamste User bleibt in heutigen ... violetta7388
Es ist wie beim ersten Mal! Kondom nicht vergessen und immer sicher ... Systemcrasher
Hm, bei eBay bekommt man für rund 10€ eine Jahreslizenz für Kaspersky IS ... Fridolin Fimbes
Ich vertraue schon lange nicht mehr nur Virenscannern und Windows Update. ... yardbird74
Deep Freeze klingt gut ist so eine Art Life-Image , gell? Man wird wohl nur ... winnigorny1
Du kannst den Schutzschirm von Deep Freeze jederzeit per Passwort ... yardbird74
Du solltest Dir allerdings strikt angewöhnen, bearbeitete Dokumente bzw. ... winnigorny1
Ich doch auch. Aber sag das mal dem Studenten, der den PC ausschaltet, ... yardbird74
ich denke es liegt an mangelnder Wahrnehmung bezüglich der Materie. Nicht ... winnigorny1
Ein firts run popup mit einem Verhaltenscodex für die generelle Nutzung des ... Fridolin Fimbes
First Run meine ich natürlich. Fridolin Fimbes
war doch klar, dass das ein Dreher war! winnigorny1
jetzt nachher kann man leicht gscheiter sein...werden manche sagen. trotzdem ... zensurierter
Hi Mike, hi Leute, Ich scanne grad ein Laptop einer Kundin mit der ... wapjoe
Guck mal hier: ... winnigorny1
Hi winni, Mag sein dass es eine fehlmeldung seitens avast war, hab mal ... wapjoe
Moin, wapjoe! Das Wesentliche ist: War nach dem Hochfahren des Rechners denn ... winnigorny1
Nabend winni, Jo vorher kam die ucash, oder auch bundespolizei-seite den ... wapjoe
Ja, Neuinstallation ist mittlerweile wohl unumgänglich. Die erste Version ... winnigorny1
hehe, stimmt schon ist zu günstig, wobei die 15,-- nur das scannen ansich ... wapjoe
es gibt genug leute, die sich ne installation nicht zutrauen... Na sowas, wo ... winnigorny1
Moin winni, tja die meisten kennen nickles.de nicht, oder sind einfach zu ... wapjoe
Was hat man von System platt machen , da rödelt man unendlich um sein ... Waldschrat_70
und Bumms, nach 10min ist das oder ein anderes Dingens wieder da. :- Dann ... Borlander
Mach mal Waldschrat_70
Bei mir macht es nicht alle 10 Minuten Bumms ... Borlander
Bundespolizei-Trojaner entfernen mit XP und Benutzerkonten Joerg69
Dateimanipulationen auf der Basis unterschiedlicher Benutzerkonten sind im ... IRON67
Genau! - Da bist mir glatt zuvorgekommen. - Habe mich sofort gefragt, was ... winnigorny1
moin! war ebenfalls von diesem Trojaner betroffen! habe die Option früheren ... didibi
Die haben wichtigeres zun tun als Dir diesen Trojaner zu schicken, und wenn ... Conqueror
@conqueror: wer soll mir was schicken??? danke für dein posting ich habe ... didibi
Die Frage ist nicht, ob der entfernt wurde, sondern vielmehr, was er noch ... winnigorny1
Wenn Du schon so fragst, gar nicht. Du bist nur sicher wenn Du Deinen PC ... Conqueror
Sehe ich genauso und ich erspare mir ein Haufen Graue Zellen des möglichen ... XAR61
Nur noch mal der Vollständigkeit halber: Ganz lustig. Auf unserem ollen ... winnigorny1
Hallo, Michael Es hängt evtl. nur mittelbar mit dem Thema: ... notar
Acronis - CD rein, PC starten und Backup einspielen. In 10 Minuten ist alles ... moin moin1
Gäääähhhhhn! Ganz alter Tipp! - winnigorny1
aber wirkungsvoll ! Soll noch jede Menge User geben, die kein Backup machen. ... moin moin1
Mit der Schätzung dürftest du leider richtig liegen. Es gibt halt Leute, ... winnigorny1
Ich hatte eines Tages die Schnauze gestrichen voll. Nachdem ich wieder mal ... moin moin1
Es gibt von Acronis ein Zusatzprogramm, mit dem sich ein Image auf ein neues ... winnigorny1
Hallo, ich habe den Virus schon des öfteren ganz einfach aus den Autostart ... Charly28
Du irrst, wenn du glaubst, Malware ganz einfach entfernen zu können. Die ... IRON67
ch habe den Virus schon des öfteren ganz einfach aus den Autostart Dateien ... winnigorny1
Da hat sich der Virus wohl getarnt. Es ist allerdings nicht bekannt, ob in ... moin moin1
ich ziehe regelmäßig meine Partitiotionen mit Acronis auf eine externe FP ... Waldschrat_70
Hier nochmal der TIP zum BundesTrojaner... Also Neuinstallation nicht ... Der Coach
Dein Tipp ist wertlos. Also Neuinstallation nicht nötig! Da irrst du. ... IRON67
Bin nicht hier um sinnlose Diskus zu führen... ich gebe Tips ab... thats ... Der Coach
ich gebe Tips ab... thats it... Man sollte allerdings nur zielführende und ... IRON67
5 Rechner in 2 Wochen - ist das eine gewerbliche Tätigkeit? Da würde ich ... Joerg69
Hallo 6. Mit CCLEANER den Autostart bereinigen... FERTIG! Wenn dein CCleaner ... groggyman
@ Iron groggyman: Ich fürchte, eure Worte sind perls before swine es gibt ... winnigorny1
Also sonnen wir uns weiter auf dem Berg der Erkenntnis und lassen die ... groggyman
Moin, groggyman! Das Blöde dabei ist nur: Die suhlen nicht nur sich, ... winnigorny1
Hallo winnigorny1 Die Intelligenz der Programmierer und die weit reichenden ... groggyman
Aber mit W8 wird alles besser Was zu beweisen wäre. Die Befürchtung: Alles ... winnigorny1
Mir gefällt das Quieken nun mal. Aber im Ernst: Natürlich weiß ich, dass ... IRON67
ich finde da gar nix dabei, wenn man sich sowas einfängt! spott ist ... Alekom
Genauso schauts aus. Keiner ist sicher - und genauso braucht sich keiner ... Obulus
gut für das Gewissen. Das ist keine Frage des Gewissens, sondern des ... IRON67
gar nix dabei, wenn man sich sowas einfängt Ich finde auch nichts dabei, ... IRON67
Wie Alekom es sagt. Wie ich es 1000 mal auch sage. Welcher Hacker ... Prosseco
Ich weiß jetzt nicht, was ich dazu sagen soll, Sascha. Sowohl - als auch?? ... winnigorny1
Es ghet doch nicht um weitermachen winnigorny. Sicherlich ist es richtig, ... Prosseco
IRON kritisiert auch die Seite wegen den DNS. Nach seine meinung ist es auch ... IRON67
Mooooooment. Ich kritisiere nicht WEGEN DNS, sondern wegen der ... Prosseco
Welcher Hacker interresiert es, einen Otto-Normal-Verbraucher PC seine Infos ... IRON67
Hallo, Iron! Du solltest solche Antworten als Textbaustein ablegen. Das ... winnigorny1
Sowas hab ich doch längst allerdings nicht für diesen konkreten Fall . ... IRON67
Alles klar hätte ich mir ja denken können! winnigorny1
Und woher kommen wohl die Phishing-Mails? Von gehackten Mail-Accounts. Und ... Prosseco
Falsch Weil die werden imer durch eine Art Random durch geforscht. Nö, ... IRON67
übrigens, den bundestrojaner hab ich mir vor 3 tagen auch... Alekom
Nein, du warst selbst schuld, weil deine Browser-Plugins... IRON67
Also ich habe diesen Trojaner jetzt 3x bei verschiedenen Bekannten entfernen ... PaoloP
Also ich habe diesen Trojaner jetzt 3x bei verschiedenen Bekannten entfernen ... gelöscht_305164
Nun, vielleicht lag s ja an meinem tollen Windows 2000... Ich habe im ... Karsten24
Na ja, glaubst du zumindest...... winnigorny1
: Ich weiß es. Ich hatte allerdings vergessen zu schreiben, das ich noch ... Karsten24
Registry-Cleaner Der wird wenig nützen! Das ist auch nur ein Programm, das ... winnigorny1
hi,michael mich hats grad vor ein paar stunden getroffen,bin noch ein ... hajo20
frage:spioniert dieser trojaner auch paßwörter etc.? Das wird dir keiner ... winnigorny1
Hallo winnigorny,eine vielleicht dumme Frage wo ist der Trojaner nach dem ... hajo20
Im System natürlich, weil so eine Systemwiederherstellung auf ein ... IRON67
Es gibt keine dummen Fragen, nur dumme Antworten! Vielleicht ist das Ding ... winnigorny1
Eine Frage: Mein Mann hat sich das Problem auf seinem Benutzerkonto ohne ... pegsi
Nein, es reicht nicht, ein Konto zu löschen, obwohl das natürlich geht. ... IRON67
It seems to be a neverending story! winnigorny1
Hallo Es wäre sicher sehr hilfreich, wenn MS seine nächsten ... groggyman
A-Seite W8 - B Seite Linux Rettungs-DVD. Da sei Herr Ballmer vor! - Da ... winnigorny1
Ich wäre eher für ne Auskopplung der Single How to prevent infection by ... IRON67
Herzlichen Dank! Die Hälfte habe ich wohl verstanden, um den Rest muß sich ... pegsi
Solche Sachen veralten manchmal von einem Tag auf den anderen. Außerdem ... winnigorny1
Danke nocheinmal! Beim Antivirus war es mir klar, daß ich alles aktuell ... pegsi
Man wird alt wie ne Kuh... ...und steht immer wieder vor neuen Toren :-P Und ... IRON67
An den Trick mit dem Systemwiederherstellungspunkt und letzte bekannte ... das gewissen
Ich bin es eigentlich müde, immer und immer wieder zu wiederholen! - Lies ... winnigorny1
Eine Frage beschäftigt mich die ganze zeit. Wenn doch mein Rechner ... das gewissen
Ergo. Wenn ich hier in das Textfeld schreibe müsste ja die Webseite ... winnigorny1
Hallo, da der Name IRON und der völlig unsinnige SatzPC immer neu Plätten ... Knoeppken
Links zur Erklärung, die der User das gewissen sich mal in Ruhe durchlesen ... winnigorny1
So wie beim Jahr 2000 Problem als alle Profis wie Programmierer und Co ... das gewissen
Danke. Das weiß ich schon. Das sind aber bisher keine Beweise das es ein ... das gewissen
Sorry, aber ich unterstelle dir jetzt einfach mal, dass du die Seiten nicht ... Knoeppken
Doch habe ich. Danke für den Hinweis. Bin ja immer offen. Nur das Problem ... das gewissen
Die Verfasser solcher Seiten werden schon ihre Beweise haben und ... Knoeppken
Konkreter. Wenn eine Schadprogramm die Eigenschaft hat etwas nachladen zu ... das gewissen
Wie finde ich das? Gar nicht! - Schon mal was von Rootkit-Technik gehört??? winnigorny1
Dazu hier etwas Aktuelles: ... Knoeppken
Jo, hatte ich auch schon aufgeschnappt. Das mit den Kernel-Kits ist ja schon ... winnigorny1
Danke. Für einen Laien ist das aber nicht zu verstehen. Darum geht es mir ... das gewissen
ich lasse mal eben mein Rootkit Sucher laufen. Mann!!!!!! Nochmal: Alles, ... winnigorny1
Ja, habe ich. Entwickelt in den 70er Jahren von Häckern des BS Unix . Und ... das gewissen
von Häckern Am Wort Häckern kann man deine Sachkenntnis festmachen. Und ... winnigorny1
Wann hast du JAVA zuletzt upgedatet? Das fehlt leider in deiner Aufzählung. ... das gewissen
Sag mal geht das mit der Boot CD auch auf dem USB Stick? das gewissen
Ja. Und auch wenn es mir widerstrebt, auf die Computer-Bild zu verlinken, ... winnigorny1
Damit du nächstesmal nicht auf CB zurückgreifen musst: ... IRON67
Danke! winnigorny1
Im BIOS als FirstBootDevice das CD-ROM wählen CD ins Laufwerk, Rechner neu ... das gewissen
Meine Güte, du kennst ja nicht mal die wichtigsten Grundlagen. - Das zu ... winnigorny1
Wenn du fremde Texte zitierst, dann nutze bitte zukünftig den Zitatbutton ... Knoeppken
Hallo winnigorny, habe die von dem Link empfohlene Bootdisk... Booker67
Was ein Keylogger ist weiß ich, aber mein Bankkonto ist immer noch nicht ... das gewissen
Also noch ein letztes Mal. Da du ja Antivir hast, kannst du mal eine Boot-CD ... winnigorny1
Ich bin zwar kein Profi wie du vielleicht aber ich kann logisch denken. ... Karlheinz5
aufgezwungene Standbilder - mehr muss man wohl nicht sagen. Darfs ... winnigorny1
Lustig, also, bin dann mal am Booten. Bin ja das gewissen da muss ich das ... das gewissen
Also, wenn du das DiskImage richtig gebrannt hast keine Ahnung, wie das bei ... winnigorny1
weil mir jemand den link geschickt hatte. Dann selnde du mir den richtigen. ... das gewissen
Keine Lust, das noch mal zu machen, habe ich schon gestern gemacht. Guckst ... winnigorny1
Hallo, drücke bei eingelegter CD die Taste F11, nach dem Rechnerstart, ... Knoeppken
Zu langsam! :-p winnigorny1
Mit meinen krummen Wurstfingern, kann ich eben nicht so schnell tippen wie ... Knoeppken
Also ich habe mir mal die Bedienungsanleitung usw. gezogen. Da steht ... das gewissen
Fehlt mir nur noch der Link von GDatta Lif Boot. ... Knoeppken
Wie kann man so einen langen text schreiben, obwohl man keine das ist sogar ... Karlheinz5
Ich glaube du hast nicht verstanden was ich erreichen wollte? das gewissen
Ich glaube du hast nicht verstanden was ich erreichen wollte? Doch doch ich ... Karlheinz5
Doch doch ich habe schon verstanden. Ich kann Internet-Spinner 87 Meilen ... das gewissen
Nur dumm wen im Internet kein Wind weht! Eben da braucht man diese ... Karlheinz5
ha,ha, komm mal langsam runter von deinem hohen Ross. Bei Mill User wird ... das gewissen
Wahrscheinlich benötigst du noch einen Führerschein zum Radfahren - ... ... winnigorny1
Komme erst mal in mein alter. das gewissen
Als Hilfesuchender in einem Forum triffst du hier wirklich nicht den ... winnigorny1
...nur um eine Anzeige/Standbild zum Animieren von Zahlungen geht. Sonst ... IRON67
Viel wichtiger als Sicherheitsoftware ist es, ein BS ständig Upzudaten und ... das gewissen
Sorry, aber ich bin es jetzt wirklich müde. Vielleicht erbarmt sich ja noch ... winnigorny1
Mich würde mal interssieren ob jemand wirklich ein Spionage Virus in diesem ... IRON67
Moin, habe da mal ein bißchen weitergelesen. Vielleicht ist der folgende ... winnigorny1
Hallo, schön dass du so oft updatest. Ich halte mein System auch aktuell. ... celsius
Das kannste jemanden erzählen der seinen PC nicht wartet aber niemanden der ... das gewissen
und alle Vierschutze die man käuflich erwerben kann Sorry Hermann, aber ... celsius
sorry immer mit der ruhe bin ja dran. . Ich werde ein Bild mit Handy machen ... das gewissen
na schon fortschritte erzielt? xD celsius
Ja. danke der Nachfrage. - Also ich habe alles in Iso, Image Datei mit Nero ... das gewissen
Er lädt nach dem Neustarten bei eingelegte CD Boot auch in Bios aber kann ... Knoeppken
Kann das daran liegen das ich noch Nero version 5 habe?? Wo bekomme ich Nero ... das gewissen
Brennen einer ISO- Datei mit Nero 5: Knoeppken
Habe mir jetzt Nero BurnLite 10 besorgt das gewissen
Zweitens hast du doch sicherlich ein Backup von deinen wichtigen Sachen. ... winnigorny1
so reden nur Leute die keine Ahnung von dem gegenüber haben. Warum einfach, ... das gewissen
Du scheinst gar nichts zu kapieren ein System, das verseucht ist, ist kein ... winnigorny1
Zum 6 Male ich habe nie vogegeben ein Fachmann zu sein! Wenn du nicht in der ... das gewissen
Alleine das ich nie im Bios war zeigt schon mal das ich weniger Probleme ... winnigorny1
Abschließend - weil auch ich die Geduld mit dir verliere - noch ein paar ... IRON67
Wenn du nicht in der Lage bist Inpout aufzunehmen Jetzt halt mal die Luft ... celsius
Du sagst: Alleine das ich nie im Bios war zeigt schon mal das ich weniger ... cscherwinski
Ich habe mir mal jetzt die Diskussion zu diesem Thema... Waldschrat_70
Vieleicht kann mir einer weiter helfen. Ein Bekannter von mir... EDIO
Bios defaults laden, wen auch das nicht hilft, erst bios... cetdsl
Danke cetdsl, für die schnelle antwort. Bios Reset hatten... EDIO
Versuchst du, XP auf dem Rechner zu installieren? XP bringt... shrek3
Der Rechner wahr ein Win7x64 und wurde mit XP CD platt... EDIO
Lade dir hier das zum Lizenz-Key passende Win 7 herunter und... shrek3
Die Seite hier + http://www.bundespolizei-virus.de/ konnte... Santo1
Ich hatte den Virus im September 2011 trotz AntiVir (also Du... Michael Nickles
xafford Michael Nickles „Bundespolizei-Trojaner schnell entfernen“
Optionen

Ich hatte vorgestern auch mal wieder das Vergnügen mit einem Vertreter dieser Spezies (ein relativ neuer wie mir scheint)... aber der Reihe nach.

Am frühen Morgen rief die Sekretärin eines Kunden an mit einem Hilferuf... ihr Rechner sei gesperrt wegen angeblicher Raubkopien, Pornos, weiß der Teufel und sie solle 100€ zahlen um wieder an die Daten zu kommen... da dachte ich mir noch dass das Problem schnell zu beheben ist, es war ja schließelich nicht meine erste Begegnung mit diesem Übeltäter - leider gibt es eben immer wieder Kunden die darauf bestehen auf ihren Rechnern als Administratoren arbeiten zu müssen entgegen aller Argumente und Warnungen - nunja, also bin ich direkt los zum Kunden.

Als ich ankam war der Rechner auch noch an und das Netzwerkkabel auf meinen Rat hin abgezogen (und das war sehr gut wie sich heraus stellte). Nachdem ich mich überzeugt hatte dass der Taskmanager, der Explorer und alle anderen hilfreichen Tools gesperrt waren wollte ich den Rechner neu starten um in den abgesicherten Modus zu gelangen und mir anzusehen was an Schaden und Schädlingen eventuell eingeschleppt wurde... aber oh Schreck, ein Booten in den abgesicherten Modus ging nicht -> Bluescreen... das Viech hatte also Systemdateien ausgetauscht oder unbrauchbar gemacht. Auch mehrere Versuche halfen nichts.

Jetzt stand ich vor der Wahl direkt eine Neuinstallation vorzunehmen und auf die Begutachtung des Schadens zu verzichten oder mir mehr Mühe zu geben... ich entschied mich dann für letzteres, da ich genauer wissen wollte was an Schaden entstanden ist.

Mit Hilfe einer Linux-Live-CD habe ich dann das System gebootet und mich auf der Festplatte umgesehen und da sah einiges sehr seltsam aus. Jede Menge Dateien mit unbrauchbarem Dateinamen aus Zufallszeichen und ohne Dateiendung. Da ging ich noch davon aus, dass es einer der neueren Abkömmlinge des Trojaners ist der die Dateien verschlüsselt. Ich habe mir deswegen zwei der zerstörten Dateien heraus gesucht von denen ich wusste welche Dateien es gewesen sein müsste und habe mir von Server per USB-Stick aus dem Backup die passenden Originaldateien geholt für eine Known-Plain-Text Attacke auf die Verschlüsselung da dieser Schädling meines Wissens eine einfache XOR-Verknüpfung nutzt.

Nachdem ich ein kurzes Skript geschrieben hatte um die Originaldateien mit den "verschlüsselten" per XOR zu verknüpfen war das Ergebnis leider ziemlich negativ, es gab keine XOR-Verknüpfung, die Dateien waren also nicht verschlüsselt sondern einfach mit Zufallswerten überschrieben worden. Zum Glück wurde der befallene Rechner schnell vom Netzwerk getrennt, denn sonst hätte er dies wahrscheinlich auch auf den verbundenen Netzlaufwerken auf dem Server getan (auch wenn dafür Backups existieren wäre das äußerst unschön gewesen).

Bei weiteren Untersuchungen am System fand ich dann auch die Schadprozesse (zwei an der Zahl) und die betreffenden Einträge in der Windows-Registry die zum einen den Explorer lahm legten und statt dessen den Schädling starteten und die Einträge die die Programme explorer.exe, taskmgr.exe und regedit.exe blockierten.

Nachdem ich jetzt wusste was ich wissen wollte habe ich das System mit einem Image wieder hergestellt und das Profil und die Dateien der Sekretärin aus dem Backup wieder hergestellt, die Arbeit des Vormittags war damit zwar verloren, aber Strafe muss sein - zu retten war von den Dateien (die sie schlauerweise lokal abgelegt hatte) ohnehin nichts mehr.

Da der Schädling erwartungsgemäß über Mail gekommen ist habe ich mir auch noch ihr Postfach angesehen und es waren Sage und Schreibe 7 Mails an diesem Tag gekommen, die dieses Mistviech huckepack trugen, alle mit Rechnung.zip, Mahnung.zip, Paketkarte.zip und ähnlichem Müll im Anhang - man kann es den Leuten hundert Mal vorbeten, es scheint nichts zu nützen.

Mein persönliches Fazit der Geschichte ist - außer dass Schädlinge per Mail zu verschicken wahrscheinlich nie aus der Mode kommen wird - dass die Schädlingsschreiber immer fieser werden. Es reicht ihnen nicht mehr nur den Rechner zu blockieren oder die Dateien reversibel zu verschlüsseln (auch wenn sie nach dem Bezahlen beides nie und nimmer rückgängig machen würden), jetzt zerstören sie Daten irreversibel. Wer sich so einen Fiesling einfängt und keine Backups hat, der ist echt angeschmiert! Zudem müssen die Backups selbst so gesichert sein, dass das System (und somit der Schädling) keinen Zugriff darauf hat, denn selbst ein älteres lokales Backup auf einer zweiten Partition hatte das Mistviech mit Zufallsdaten überschrieben.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Das ist ein wenig voreilig geschlussfolgert. XOR ist ja nun... IRON67
Echt? Das kannst Du aus der Ferne beurteilen? Wow, deine... xafford
In diesem Fall: Ja. Kann ich. Warum liest du nicht bis zum... IRON67
Zusätzlich habe ich, nachdem ich mein System gecheckt habe,... hostinosti
Irgendjemand hat meine Kill-Methode bestimmt auch schon... tmp_account_10086
Wäre besser, wenn du es getan hättest. Deine Methode... IRON67
Hat aber eben doch funktioniert ! Du könntest dich ruhig ein... tmp_account_10086
Nein. Du orientierst dich an Symptomen, ohne zu realisieren,... IRON67
Hab mir mal deine Seite und einige Einträge hier angesehen.... tmp_account_10086
Nö. Linux interessiert mich nicht. IRON67
HOW I WON THE WAR Als Laie (komplett doof) sage ich folgendes... dega1
HOW I WON THE WAR indem ich mir in die Stiefel pisste? aldebuedel
Das hat nichts mit mit Stiefelpissen zun tun, und ganz im... dega1
Ja, ich habe neulich hier erst lange erklärt, dass dieser... Michael Nickles
An alle die Obergurus in diesem Thread : Anstatt euch ewig... tmp_account_10086
Geschwafel hier??? Du schweifst ab... Das System mit all... torsten40
Was allerdings nicht wirklich von Kompetenz auf deiner Seite... IRON67
Auch ich finde, dass Du speziell auf diesem Gebiet wenig bis... Conqueror
Hallo Michael, den folgenden Text hatte ich für dega1... tmp_account_10086
Ich verstehe nur zu gut. Ich schaue mir das nämlich schon... IRON67
Und du garantierst, dass MBAM absolut NICHTS übersehen hat?... IRON67
Dieser Beitrag ist gelöscht. dega1
Hallo Michael! Ich weiß nicht, was da so kompliziert ist.... Viridis
Nett, leider ist der Trojaner extrem mutiert und den gibt es... wapjoe
Hab es so verstanden. Es ist klar, einen Trojaner nicht... Xdata
Der Bundestrojaner ist genau-genommen garkein Trojaner! Ein... torsten40
Und das weißt du so genau, weil...? Es sind tausende... IRON67
oh stimmt, den Zeus-Trojaner hab ich komplett vergessen... torsten40
Kennt man die Funktionsweise eines Trojaners, kann man diese... torsten40
Das Dumme ist nur, dass der Betroffene weder die... IRON67
Das klappt ja wohl nie in der Praxis........ Conqueror
Richtig. Du weißt es nicht. Und du meinst, der abgesicherte... IRON67
Ich habe mir jetzt nicht alles durchgelesen, daher bitte... razielkanos
Ja fein. Und solange man es sich in der Sandbox einfängt... IRON67
Schönes K.O. Kriterium. Btw habe ich mir gestern den Spaß... razielkanos
Du rahmst sie dir ein. Was willst du mit ihnen denn machen?... IRON67
Wegen dieser unklaren Situation hab ich Mike etwa so... Xdata
Falsch. Mit einem Originaldatenträger frisch offline... IRON67
Sorry war gerade etwas verzweifelt. Es muß irgendwie... Xdata
Ja sicher. Ist doch auch möglich. Mein Browser installiert... IRON67
Es sei denn, du hättest Java an und das automatische Update... celsius
Bei mir ist Java schon seit Monaten deaktiviert . Davon... IRON67
Das RTFM ist als Lehre sich zu informieren und nichts... Xdata
Scriptsprachen? Drive-by-Infektion erfordert veraltete und... IRON67
Dieser Beitrag ist gelöscht. IRON67
Danke für die Antworten und vor allem für Deine Geduld. Es... Xdata
Ja, und das ist leider das Hauptproblem bei den... IRON67
Hallo deine tipp sind net schlecht. hatte bis vor gut 3H... 13dk719
Toi toi toi , ich selbst hatte ihn noch nicht, aber in der... SETDUB1
Oh, Dein erster Beitrag hier. Welcome. :-) Michael Nickles
Du konntest nur bereinigen, was du bzw. das prinzipbedingt... IRON67
Ich habe heute Mittag einen Hilfeschrei bekomme und zum ... ogni-artep1
Hi Am Ende ist das die einzig sinnvolle Lösung zur ... gelöscht_189916
Hallo, eine weitere Lösung, den Trojaner los zu werden, ist ... angel68
Danke für den Hinweis. Grüße, Mike Michael Nickles
hallo, so etwas ähnliches lief bei mir auch. Eine Webseite ... gelöscht_317503