[FießerFettsack]

Hab dasselbe Problem, ein Freund hat dieses Teil... aber auf seinem PC waren noch Sachen die für MICH echt wichtig sind!

Kann ich die noch irgendwie bekommen?

bevor ich das alles neu aufsetze will ich die dateien gerettet haben :O

Hilfe wäre echt toll

[scorp32]

Ja! Ich editiers und erklärs Dir hier:

Als erstes versuchste es mit F8 und Abgesicherten Modus..hat bei mir nichts gebracht..

Also normal starten
bevor der W Bildschirm kommt strg+Alt+Entf sehr oft hintereinander drücken bis der Task-Manager kommt
danach SOFORT die explorer.exe die Ausführung beenden!!!

Danach kannst Du mit dem Taskmanager ins System also Windows rein, und kannst alles ausführen auch Programme-
oder Du sicherst Dir die Daten die Du brauchst!

Hau rein!

[FießerFettsack]

ok danke konnte alles auf nen USB Stick ziehen

[pablo.rodriguez]

yo... aber wennst das nicht unter "Abgesicherten Modus mit Eingabeaufforderung" machst vergiss nicht während Windows startet die "shift-taste" gedrückt zu halten...

edit: Seh grad hat sich schon erledigt..

[scorp32]

Ne brauchst nicht den abgesicherten Modus!

[jettset]

Och mist, bei mir kam es auch. Habe eine Datei runtergeladen, da gab es eine Java Zugangsanfrage, ich habe mit OK gedrückt. Nun installiere ich alles neu. Es lohnt sich nicht, den Virus ausfindig zu machen, sondern alles platt zu machen.

Aber eine theoretische Frage: nehmen wir an, ich hätte das Virus auf einem virtuellen XP (Windows Virtual PC) eingefangen, wäre dann nur das XP betroffen oder auch mein komplettes PC? Hätte es gereicht, nur den Windows Virtual PC Datei zu löschen/deinstallieren?

[PepperID]

Im abgesicherten Modus starten, dann unter C:\Users\Euerprofil\AppData\Roaming oder Local durchklicken, irgendwann werdet ihr eine exe in einem versteckten Ordner finden(sollte man vorher an schalten) die Alixxxx.exe heißt, die löschen dann neustarten und ihr seit fertig... bei mir hats geholfen

[pablo.rodriguez]

Zitat:

Zitat von PepperID

Im abgesicherten Modus starten, dann unter C:\Users\Euerprofil\AppData\Roaming oder Local durchklicken, irgendwann werdet ihr eine exe in einem versteckten Ordner finden(sollte man vorher an schalten) die Alixxxx.exe heißt, die löschen dann neustarten und ihr seit fertig... bei mir hats geholfen

Das kann man soooo nicht sagen . Lag wahrscheinlich bei Dir in diesem Ordner weil Du es nicht erst auf "Desktop/anderer Ort" gespeichert hast, sondern gleich auf "Ausführen" gegangen bist. Den von Dir besagten Pfad findest relativ schnell indem Du %Tmp% oder %Temp% in das "Such-Fenster/Ausführ-Fenster" eingibst. Dieser Temp-Ordner kann auch mal gerne einfach gesäubert werden.
Dazu einfach in die Console wechlsen ("cmd" in das Such-/Ausführenfenster eingeben)
Folgenden Befehl dort eingeben: del /f /s /q %temp%\*.*

In diesem Temp-Verzeichnis befinden sich alle temporären Dateien. Sprich Download welche direkt ausgeführt werden, Videostream-Elemente, temporäre-Setup-Dateien etc. Von dem her kann sich das Verzeichnis ganz schön aufplustern. Zusammengefasst befindet sich dort nix wichtiges, so dass der Inhalt wirklich problemlos gelöscht werden kann.

Dieser Name muss auch nicht mit "Ali" beginnen. Je nach Quelle heißen die Teile anders.

[Fahnenflucht]

Mittlerweile verteilt sich das Ding vermehrt über Social Networks, wie zb Facebook.

Ihr bekommt ne Nachricht von einem Kontakt, die da so ähnloch lautet wie: "guck mal, bist du das auf dem Bild?" und nen Link... meistens von ner verschlüsselten Website wie zb bit.ly oder auch vinahost.com/ und hinter dem Slash kommt dann eine täuschend ähnliche Weiterleitung von Facebook auf ein JPG. Entscheidend ist aber eben was vorne dran steht.

Das perfide ist, dass sobald man auf den Link klickt man a) den Virus selbst hat und b) der Link an alle Kontakte per PN verschickt wird. So verteilt der sich rasend schnell, weil es immer irgendjemand ahnungslosen gibt, der draufklickt.

Nem Kollegen von mir hab ich gestern den Rechner wieder ans Laufen gekriegt und bei Facebook mal in den Postausgang geschaut. Nachdem der den Link geöffnet hat, wurden 267 PNs gleichzeitig an seine Kontakte (269) abgeschickt...

Also Achtung vor Bilder links in Social Networks.

[DrNightmare]

Hab mir diesen Drecksvirus auch eingefangen -_-*
... Mir war schnell klar dass das nicht echt sein kann da ich 1.nicht in Münster wohne
2.lautet die E-Mail Adresse "[email protected]"
3.sehr skurril dass man 100€ per Paysafe bezahlen soll ^^
Naja hat das jetzt schon einer wegbekommen ?
Wenn ja bitte ich um Hilfe! : /

[mKey89]

Zitat:

Zitat von DrNightmare

Naja hat das jetzt schon einer wegbekommen ?

Ganz easy mit einem bootfähiges Live-System noch ungesicherte Dateien retten und das System neu aufsetzen bzw. ein frühres Systemimage einspielen.

So kannst du sicher gehen, das wirklich alles an dieser und anderer Malware weg ist und Schäden (Manipulationen) auch beseitigt sind.

Und in Zukunft besser drauf achten, dass die Software schön aktuell ist, insbesondere hier Java und Internet Explorer.
Windows Update und viele autom. Programmupdater, die du ab sofort fleißig auf "ON" stellst, werden dich hier tatkräftig unterstützen.

[PacGuy]

heyho
hab mir leider auch den rotz eingefangen gestern abend an meinem anderen pc
Habe direkt den pc ausgeschalten nd wieder angemnacht und in aller not die windows 7 systemreperatur aufgerufen die hat iwas gemacht fertig
Pc gestartet alles ging wieder bis auf den firefox...
Danach direkt erstmal alle viren programme geupdatet nd durchlaufen lassen nix gefunden *freu*
Dan noch nach so ner chip anleitung in der registry gescuhgt nach so dateien auch nix gefunden.
Erst war ich froh das alles wieder ging.. doch dan als ich teamspeak starten wollte und es fragt ja immer nach diesen admin. rechten kam dieses mal ein anderes fenster...
es sah stark nach win xp aus nd ich musste zu dem Konto: Administrator (welches garnicht existiert) ein pww eingeben... Da ich keines hab ging es nich?
Und wenn ich direkt rechtsklick gemacht habe nd mit denr rechten starten ging es komisch o.0
Nun meine Frage weil ich denke das iwie iwas am arsch ist reicht es wenn ich mein system auf einen früheren zeitpunkt zurrückstelle oder wie das heisst?

lg. Pac

[momoads]

Bei mir wurde nach ner Zeit angeseigt dass der Explorer nicht reagiert und dann ging wieder alles und ich lass grad Avira ANtivir durchlaufen

[ratte65]

Zitat:

Zitat von 471112

1. Wäre es nicht einfacher, die 100 € zu zahlen?

2. Zweitens interessiert mich, wie es möglich ist, den Virus einzufangen? Ich vermute, dazu musste eine Datei mit Administratorrechten ausgeführt werden.

Vie Glück bei der Beseitigung

Du darft nicht glauben das danach dein Computer wieder zum laufen gebracht wird,
die können deinen Computer ausschalten und dein Geld ausgeben, aber mehr kommt da nicht.

Ratte65

[ratte65]

Vorsicht BKA waren über 16 Wellen
Ca. 12.12.11 hatte ich einen die wollten 50 €, haben meinen Arbeitsplatzgelöscht Kumpel hat ganz schön knuffen müssen um den runter zu bekommen.
Ratte65

[ratte65]

Mit Firefox wär mir dass nicht passiert,

aber mir

[lladres]

das wichtigste ist das du nicht zahlst und auf youtube gibt es eine gute loesung


[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Slluxx]

ich frag mich, warum jeder seinen rechner neu macht, wenns nur ne exe ist, die im autostart sitzt o.0

ALSO


Ich verweise gerne einmal auf [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]post,
indem ich schoneinmal beschrieben habe, wie man ihn erfolgreich wegbekommt !!
OHNE backups zuladen oder neu zu formatieren

-> User haben bestätigt, das es funktioniert !
( er ist NICHT gelöscht, sondern nur "Deaktiviert" )

ich hab ihn mir allerdings schonwieder eingefangen

naja.

beim ersten mal wars die
info[1].exe
und dieses mal die
muhamed.exe


1. schnell sein und Strg+Alt+Entf drücken (Taskmanager)
2. prozesse
3. ( bei mir war es die ) "info[1].exe" beenden
( optional, falls icons,desktop, etc. nicht geladen werden )
4. "Neuer Task" -> explorer.exe

jetzt habt ihr schonmal die macht über euren pc wieder

unter "systemkonfiguration" zum menü systemstart wechseln und dort nach
anwendungen suchen, die ihr nicht kennt oder für das virus haltet
und den haken rausnehmen

im ornerpfad mal " %appdata% " eingeben und nach unten scrollen
falls ihr schon wisst, welche datei sich dahinter verbirgt, einfach löschen
falls nicht. dan ratet einfach ..
die dateien dort sind nicht so wichtig ( )
aber geht trozdem mit bedacht um !!!!


haften tuh ich natürlich auchnicht für schäden !






MfG Slluxx

PS:
Rechtschreibfehler könnt ihr behalten.

[Osiris1983]

@Slluxx: Du hast nicht ganz unrecht, aber denkst du, dass du mit einer größeren Schriftart mehr erreichst? Spätestens drei Posts weiter verschwindet dein Beitrag im Nirvana. Wie der BKA, Ukash oder was auch immer Trojaner vernünftig entfernt wird wurde in diesem Thread gefühlte 100 mal erklärt, besonders die Beiträge von PabloRodriguez und ckjthedogmaster waren hierbei hilfreich.

Ich kann jedoch immer wieder auf die Seite [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] vom "Bundesamt für Sicherheit..." und die Entfernung durch Malwarebytes hinweisen, aber nun ja, drei Antworten später verschwindet auch mein Beiträg im Meer von nützlichen und sinnlosen Beiträgen.

[hanspeterpeter1]

ich hab mir das thema jetz nich ganz durchgelesen... bisl unfug xD

aufjedenfall hatte ich eben den virus und hab ihm in kürze den gar ausgemacht, falls jemand probleme damit hat und ohne neustart systemwiederherstellung doer sonstwas den virus los werden will... melden....

[Osiris1983]

Inwiefern ist der Thread unfug? Ist ja schön, dass du deine Hilfe anbietest aber den Thread als Unfug zu bezeichnen finde ich ganz schön frech, vor allem da du ihn offensichtlich nur überflogen hast.

Hier haben viele User mühsam Informationen zusammengetragen als das Thema neu war und in gemeinsamer Zusammenarbeit so einiges herausgefunden und sich gegenseitig geholfen und finde, dass das Anerkennung verdient hat.

Ich erinnere mich noch, als "damals" die ganzen Virenscanner und auch Malwarebytes den Threat nicht erkannt haben und wirklich die Schweißperlen auf die Stirn getrieben haben, auch von Profis...

[hanspeterpeter1]

Zitat:

Zitat von Osiris1983

Inwiefern ist der Thread unfug? Ist ja schön, dass du deine Hilfe anbietest aber den Thread als Unfug zu bezeichnen finde ich ganz schön frech, vor allem da du ihn offensichtlich nur überflogen hast.

Hier haben viele User mühsam Informationen zusammengetragen als das Thema neu war und in gemeinsamer Zusammenarbeit so einiges herausgefunden und sich gegenseitig geholfen und finde, dass das Anerkennung verdient hat.

Ich erinnere mich noch, als "damals" die ganzen Virenscanner und auch Malwarebytes den Threat nicht erkannt haben und wirklich die Schweißperlen auf die Stirn getrieben haben, auch von Profis...

nein nein, ich meine hier haben ein paar leute ein bischen unfug geschrieben und es steht viel unintressantes wie ich finde, nur meine meinung

[Osiris1983]

Na denn, dann habe ich dich falsch verstanden. Bei einem Thread mit über 270 Beiträgen sind natürlich auch unnütze Beiträge dabei

P.S. Bitte in Zukunft keine fullquotes (siehe Allg. Forenregeln) mehr

[leelee]

die beste sicherheit , finde ich , ist wenn man windows simuliert und darüber surft , ist glaube das sicherste .

simulator aus und alle daten sind vernichtet .

[Estorias]

kann mir jemand vielleicht sagen wo ich das Viech runterladen kann?
Würde den gerne mal auf meiner virtuellen Maschine ausprobieren/austesten.
Danke

[FießerFettsack]

Meine Erfahrungen mit dem BKA-Virus:

Ich hab immer über den Task Manager den Prozess "explorer.exe" beendet.

dann ging alles wieder halbwegs ich hab meine Daten damals gerettet und den PC so gelassen hatte keine Lust auf den kack mit formatieren unso und hab dann am Laptop gearbeitet.

Irgendwann is der BKA Virus von alleine weggewesen
und das schon zum 3. mal

Beim 1. Mal war er nach dem ersten Tag weg
Beim 2. Mal nach 1 Monat
Beim 3. Mal nach 2 Wochen ca.

Der verschwindet also irgendwann von alleine ;D

Formatieren is aber besser, gibt aber halt leute die haben kb drauf so wie ich xD

[Osiris1983]

Der verschwindet von alleine???

Ja klar... und ich bin tatsächlich ein ägyptischer Pharao/Gottheit

@leelee: Nein, der sicherste Weg wäre es ein Linux-Live Image in einer virtuellen Maschine zu starten. Dann brauchst du nicht mal was zu löschen... (korrigiert mich bitte, wenn ich mich irre).

[Dami123]

Hatte den Virus nun auch schon 3-4x aufm PC.

Beim erstenmal hat es mich natürlich dermassen aufgeregt, weil man ja nicht weiß
wie schlimm die Auswirkungen sind..

Hin und her probiert und hab ne Lösung gefunden ihn zu entfernen

• Computer Neustarten
  
• Benutzer laden und sofort, je nach dem wie schnell der Pc genrell ist, "Windows Taste" und "R" drücken
  
• die Ausführen Shell öffnet sich müsst nichts eingeben oder ändern einfach auf Enter drücken (auch wenn der Virus schon geladen ist)
  
• Nun habt ihr die Möglichkeit die Taskleiste zu verwenden
  
• Auf Alle Programme - Autostart - die Eigenschaften der unbekannten .exe öffnen, den Verknüfungspfad kopieren (meistens system32) beide Dateien löschen oder isolieren.

Der Virus hat sich auf weiteren Stellen im Pc eingenistet also keine 100% Entfernung.

Natürlich hat jeder einen unterschiedlichen PC und ob es bei ech auch klappt würde mich interessieren

Meine Daten zu dem Zeitpunkt:
Windowns XP Media Center Edition SP3
PS/2 Tastaur

mfg Warester


PS:
Die Seite [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] verbreitet den Virus.
einmal entfernt, Seite wieder besucht und er kam wieder.
Seite nicht mehr besucht und er kam nicht mehr

[Osiris1983]

Du hattest den Virus 3-4 mal? Ich glaube eher, dass es ein und der selbe Virus ist, weil du ihn nie ganz weg bekommen hast

Beachte den untersten Link in meiner Signatur. Es gibt verschiedene Varianten von dem Virus und das Bundesamt für Sicherheit erklärt im besagten Link wie man welche Version weg bekommt. Hier schon mal ein kurzer Einblick:
- Umgehung des Screens "BKA" (z.B. wie du es geschildert hast)
- edit der Registry
- Scan mit Malwarebytes, und/oder
- Boot mit Kaspersky Rescue Disk
-...

Übrigens, dieser Thread enthält ohne deinen Beitrag 279 Beiträge, wo hast du bitte angefangen zu lesen? Wie man vorgehen kann, welche Programme es gibt, etc. wurde bereits ausführlich berichtet (z.B. #109). Natürlich ist es schön, wenn hier von neuen Varianten berichtet wird oder jemand, wie du, Seiten meldet wo er sich die Infektion geholt hat

[Estorias]

Ok, da hier leider keine Antwort kam, habe ich im Untergrund nachgefragt und habe nun eine Zip-File, die den BKA-Virus enthält. Wenn Interesse besteht, kann ich einen Link posten.
Weiß aber gerade nicht, ob das erlaubt ist hier sowas reinzustellen
Edit: Steht offenbar nix drin in den Regeln.

[Osiris1983]

Im Untergrund, wo ist das denn?

Lass den öffentlichen Post lieber! Wenn jemand interesse dran hat, kann er dich ja per PN kontaktieren.

[Estorias]

Zitat:

Zitat von Osiris1983

Lass den öffentlichen Post lieber! Wenn jemand interesse dran hat, kann er dich ja per PN kontaktieren.

Alles klar

Zitat:

Zitat von Osiris1983

Im Untergrund, wo ist das denn?

=> Deep Web ist eine Möglichkeit.

Also wer die/das File haben will, kann mich kontaktieren. Benutzung auf eigene Gefahr!
MfG

[Dami123]

@Osiris1983

ne hab nicht die anderen Beiträge gelesen, weiß aber das die Lösung schon gespostet wurde :P

Zitat:

Zitat von Osiris1983

Du hattest den Virus 3-4 mal? Ich glaube eher, dass es ein und der selbe Virus ist, weil du ihn nie ganz weg bekommen hast

Hab jeweils die Datei im Autostart und die dazu im system32 befindliche .exe rausgenommen.
Bis jetzt hat Antivir nur eine der drei erkannt

Namen der Autostart Datei:

0.3140819583806901.exe
0.410613324937695.exe
0.502822793681866.exe

dazu immer eine rundll.exe zum ausführen im system32_ordner

Anscheinend auch ein Firmennamen dabei

Zitat:

Dateiversion: 2.7.0.0
Beschreibung: Gave Rude Bloat
Copyright: Gourd Cork Beeps Prune 2001-2006
Firma: AVM GmbH

Bei sovielen Stellen wie der Virus sich wahrscheinlich eingenistet hat, hab ich ihn nicht weggekommen.
Aber er startet sich nach dem entfernen nicht von selber neu, dafür ist das Internet zuständig.

[Osiris1983]

@Dami123: hast du mal Malwarebytes drüber laufen lassen? Soweit ich weiß wird der Mist dadurch effektiv entfernt. Versuch es mal im abgesicherten Modus damit du es endgültig loswirst

[Aaaalteer]

MAM ist m.E. der beste Scanner. Der findet auch Viren, die aktiv sind, wo Avira sich nicht mehr rührt. Sicherheitshalber aber besser nochmal ein sauberes System von CD oder USB booten und das inaktive Windows so nochmal scannen. Bei mir war mit MAM aber schon alles weg, der USB Scanner "Microsoft Defender Offline" hat nur noch versuchete Spam-Emails in Thunderbird gefunden, die ich schon längst gelöscht hatte, die offenbar aber trotzdem noch da sind und erst mit "Ordner komprimieren" wirklich gelöscht sind (was solln der Mist?).