[Jin61]

Hallo, ich hab ein Problem und zwar war ich grad mit meinem PC am Surfen und auf einmal ist ein Fenster aufgegangen, dass zum Vollbild wurde, in dem ein Brief von dem Bundeskriminalamt drin ist. Darin wird dazu aufgerufen Geld zu zahlen wegen illegaler Aktivitäten. Dass es kein Schreiben vom Bundeskriminalamt ist, sondern ein Virus, ist mir so weit klar. Bloß ich weiß nicht wie ich diesen Virus wieder loswerde, da man aus diesem Vollbildmodus nicht herauskommt. Ich hab den PC ausgeschaltet und wieder angeschaltet, allerdings ist immer noch dieses Bild da und ich werde es nicht los.
Kennt sich jemand aus bzw. hat jemand das gleiche Problem gehabt? Bin grad echt am Verzweifeln.
Würde mich über jede Hilfe freuen.
Hier unten nochmal das Bild

[ironman 2 is back]

Mach mal die Hijack log rein

[Jin61]

durch dieses bild kann ich ja nicht auf meine dateien zugreifen. daher weiß ich nicht wie ich die hijack log reinpacken soll

[ckjthedogmaster]

Es handelt sich hierbei um den Trojan-Ransom.Win32.PornoBlocker.jtg

Einnisten tut er sich als Windows_Shell.

dieser durchsucht alle paar Sekunden den Task und beendet die Programme. er wird wahrscheinlich keine Chance haben, n Log zu erstellen.

Einzige Möglichkeit, wäre der Start über eine Reparaturcd/DVD,

In diesem Reg- Eintrag wirst du fündig:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Der Virus ersetzt dort die explorer.exe.

Und da de rVirus wahrscheinlich die Runde macht, hier nochmal das Bild, welches angezeigt wird.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Mfg

[Jin61]

danke für deine hilfe nur leider habe ich keine reparatur cd. muss man die selber am pc erstellen ?

[Jin61]

oder ist damit die installations-dvd des jeweiligen betriebssystems gemeint ?

[GhostCoD]

Haha das sind aber ganzschön viele straftaten. Und dafür nur 100€ blechen und keine weiteren folgen? Und wenn man nicht zahlt wird nur die Festplatte formatiert Meine güte ist das billig gemacht; selten so gelacht
€dit: nein du kannst dir z.B. von avira oder kaspersky eine notfall cd kostenfrei(?) runterladen, diese brennst du auf ne cd und bootest von der aus. Mit der cd kannste dann ein virenscan durchführen und die viren die ggf gefunden werden auch gleich löschen (macht der je nach einstellung sogar automatisch)

[quark1]

hm bin sicher kein profi was das angeht aber schonmal versucht im "abgesicherten Modus" zu starten und den registry key zu löschen?

[ckjthedogmaster]

Im abgesicherten Modus ist daas gleiche Problem, weil auch dort der Explorer ersetzt bleibt.

Ich würde dir auch erstmal empfehlen, mit ner NotfallCD von Kaspersky zu Scannen. Erstelle dir möglichst eine Aktuelle, da das sonst nicht gefunden wird. Sollte das nicht funktionieren, dann hilft dir nur die Reparaturinstallation.

[php]

bei norton kann man auch die alte nehmen, da die sich automatisch vor jeder notfalprüfung updatet

[471112]

1. Wäre es nicht einfacher, die 100 € zu zahlen?

2. Zweitens interessiert mich, wie es möglich ist, den Virus einzufangen? Ich vermute, dazu musste eine Datei mit Administratorrechten ausgeführt werden.

Vie Glück bei der Beseitigung

[worfi]

mach dir mal mit dem tool nen bootable usb stick

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[humppel01]

wieso nich gleich einfacher machen :

Komplett neu machen un von vorne machen .. dann hastes au weg .. oda ?! :/




Warte ma .. du kannst doch gar keine Cd einschmeißen .. hast doch netbook oder ?!

[KEKSEEEE]

Zitat:

Zitat von humppel01

Warte ma .. du kannst doch gar keine Cd einschmeißen .. hast doch netbook oder ?!

usb sticks kennst du ? XD

[humppel01]

Oder soo ... ja das is mir grade so eingefallen xD

dann soll ers eben mit usb machen

[kroko80]

Zitat:

Zitat von 471112

1. Wäre es nicht einfacher, die 100 € zu zahlen?

rofl

[asdf1239]

Zitat:

Zitat von 471112

2. Zweitens interessiert mich, wie es möglich ist, den Virus einzufangen? Ich vermute, dazu musste eine Datei mit Administratorrechten ausgeführt werden.

Wenn der Virus das OS richtig erkennt und es wie auf dem Bild Windows XP ist, braucht man sich eigentlich nicht zu wundern. Patches gibts ja für die (noch) stehenden Lücken keine mehr
edit: naja wäre wohl zu witzig, ist ja nur ein Bild... Ok, bei der allgemein hochwertigen Qualität dieser Falle wundert es mich eigentlich auch nicht

[ckjthedogmaster]

Du wirst dir den Virus auch mit Windows 7 einfangen können, das liegt jetzt nicht nur an XP.

Er schreibt ja nur ein Reg.-Eintrag, und gibt den Befehl alle Sekunden den Task zu schliessen.

Für den TE:

wenn du kein Cd-Laufwerk hast, dann kannst du es auch über USB versuchen:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Mfg

[pablo.rodriguez]

vielleicht gehts auch ganz einfach...
probier es doch mal, dass Du via Affengriff (strg + alt + entf) den Taskmanager startest...
Dort dann auf
"Datei -> Neuer Task" drücken
füge bei Ausführen folgendes ein:
reg add "hklm\Software\microsoft\Windows nt\currentversion\winlogon" /v shell /t REG_SZ /d explorer.exe /f
Das sollte eigentlich auch helfen...
Ich weiß zwar nicht ob sich der Virus auch in den Autostart schreibt.
Falls ja, anschließend noch die RegistryPfade:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
und
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
nach unbekannten Prozessen kontrollieren und ggf. raus löschen
Zur Sicherheit eventuell hier nochmal nachfragen.

[michajazz]

Ein neuer Trojaner versucht momentan auf besonders dreiste Weise, ahnungslose User um ihr Geld zu bringen. Wer sich die Malware einfängt, muss sich harte Vorwürfe gefallen lassen: Als offizielle Webseite des Bundeskriminalamts getarnt, wirft Ihnen der Trojaner den Besitz von Kinderpornographie und terroristischen Unterlagen vor. Gleichzeitig wird der Rechner komplett gesperrt, Taskleiste und Desktop ausgeblendet.

Um den PC wieder freizugeben verlangt der Eindringling eine "Strafgebühr" von 100 Euro - und droht bei Nichtbezahlung mit dem Löschen aller Daten. Pikantes Detail: Die Meldung ist mit dem offiziellen Wappen des Bundeskriminalamtes, der Bundespolizei sowie den Schriftzügen von Microsoft, Symantec und Kaspersky versehen. Informationen zum Internet-Anbieter, Browser und Standort werden aus der IP-Adresse gewonnen, um den User noch weiter zu verunsichern.


Erste Warnung: Windows 7 erkennt die Malware bereits.
Erste Warnung: Windows 7 erkennt die Malware bereits.
Windows ist machtlos
Das System ist jedoch nicht nur auf den ersten Blick gesperrt: Dem Virenlabor AV-Test zufolge nistet sich die Malware an über 30 Registry-Verzeichnissen ein und kontrolliert somit die Registrierung und den Tasmanager - der sich in unserem Check nicht mehr öffnen ließ. Außerdem wird die Standardsuchmaschine im Internet Explorer zu einer weiteren Malware-Adresse geändert. Ein Neustart des Rechners lässt sich mit [STRG]+[ALT]+[ENTF] zwar einleiten, löst das Problem aber nicht: Nach dem Bootvorgang erscheint die Warnmeldung erneut.

Virenscanner reagieren nicht immer
AV-Test warnt eindringlich vor diesem Betrugsversuch und zeigt, wodurch sich der Schädling verrät: Die Warnmeldung enthält diverse Rechtschreibfehler, Kontakt kann nur über eine Freemail-Adresse aufgenommen werden. Unlogisch ist auch der Gedanke, eine "Strafe" durch einen komplett anonymen Bezahlvorgang begleichen zu können.

Die Infektionsgefahr ist derzeit ernstzunehmen: Laut AV-Test erkennen momentan nur 15 von 32 getesteten Virenscannern den Trojaner (Stand: 14:37 Uhr). Die schädliche Datei wurde aber bereits an die restlichen Anbieter weitergeleitet. In Kürze dürften auch diese Hersteller reagieren die Gefahr bannen. Ist das System bereits infiziert, hilft nur noch eine Neuinstallation von Windows. (mag)

[Erebos76]

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] als Mailadresse.

Genial.

[vloxxity]

Alle die Probleme mit diesem verdammten Virus haben sollen sich mal bitte diese seite angucken:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Schreibt mir bitte eine e-mail wenn es nicht geklappt hat aber sowohl auch wenn es geklappt hat!!
Ich versuche darauf dann die seite noch zu verbessern und Sachen zu ergänzen!!

[2hart]

Zitat:

Zitat von 471112

1. Wäre es nicht einfacher, die 100 € zu zahlen?

2. Zweitens interessiert mich, wie es möglich ist, den Virus einzufangen? Ich vermute, dazu musste eine Datei mit Administratorrechten ausgeführt werden.

Vie Glück bei der Beseitigung

Äh, ist das dein ernst? oder habe ich noch zu viel Alkohol von gestern im Blut, so das ich deine Ironie nur nicht verstehe....

[sir_andy]

Hallo,
ich hab versucht mit der Avira AntiVir Rescue System CD den Virus zu entfernen. Dies war aber leider nicht erfolgreich.
Reicht es aus den Eintrag HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon zu ändern?
Die Lösung von vloxxity trifft auf mein Problem leider auch nicht zu.
Hat jemand noch eine Idee wie ich das System wieder ans laufen bekomme?

[pablo.rodriguez]

@sir_andy:
Hast meinen Vorschlag in Beitrag #19 schon versucht? Mich würd selber interessieren ob es so einfach ist ;-)

[sir_andy]

Leider hat auch dies nicht geholfen.
Ich ziehe mir jetzt nochmal eine neue Version der Avira AntiVir Rescue System CD und lass die dann nochmal laufen.
Wenn auch das nicht klappt werd ich mir ne Bart PE CD oder Stick basteln inkl. Virenscanner und dann mal gucken, ob ich es damit bereinigt bekomme.

[ckjthedogmaster]

Mich würd mal interessieren, wo ihr euch das Ding einfangt....

@pablo.rodriguez : Problem ist, das der Taskmanager auch im Task erscheint, und somit vom Virus geschlossen wird. Daher wird es auch schwer sein, vom System selbst her die Registry zu ändern.

Die Avira Rescue Cd schafft es nicht den Trojaner zu entfernen.

Einzige Möglichkeit die ich bis jetzt sehe, ist eine Reparaturinstallation.


Mfg

[michajazz]

Neuinstallation von Windows.Deutsche Sprache,schwere Sprache.Momentan erkennen nur 15 von 32 getesteten Virenscannern den Trojaner!!!
Wie man sich den einfängt,weiss der Geier.

[michajazz]

Ah, hier noch was gefunden rojaner nistet sich massiv im System ein

Der Trojaner kommt unbemerkt beim Surfen auf den Rechner. Die Kriminellen nutzen dabei die Methode der so genannten Drive-by-Downloads. Besucht ein Surfer eine manipulierte Internet-Seite löst diese einen "unsichtbaren" Download des Schädlings aus und startet diesen vom Nutzer ebenfalls unbemerkt. Oft sind es Seiten mit Gratis-Wallpapern von Prominenten oder obskure Gratis-Porno-Seiten, die dem Besucher Trojaner unterjubeln. Der Schädling nistet sich an über 30 Stellen im System ein. Damit stellen die Online-Kriminellen sicher, dass der Trojaner bei jedem Systemstart gestartet wird und nur sehr schwer entfernt werden kann. Der Trojaner blockiert den Zugriff auf den Computer, auf verschiedene Systemtools und auch auf den Task Manager. Die Hersteller von Antivirensoftware haben teilweise bereits reagiert und liefern mit Updates ein Gegenmittel gegen den Trojaner aus, um den Befall des Computers zu verhindern. Dort wo sich der Trojaner bereits eingenistet hat, hilft derzeit laut AV-Test nur eine Rettungs-CD, beispielsweise Avira AntiVir Rescue System mit der das System wieder hergestellt werden kann.

[ZzakMC]

Zitat:

Zitat von michajazz

Avira AntiVir

RiverColaAntiVir reicht doch völlig aus!

PS
Dieser Beitrag ist sarkastisch. Bitte nicht ernstnehmen!
(sry, ich konnte nicht anders)