|
|
|
26.03.11, 23:13
|
#1
|
Anfänger
Registriert seit: Sep 2009
Beiträge: 4
Bedankt: 2
|
Bundeskriminalamt Virus Hilfe
Hallo, ich hab ein Problem und zwar war ich grad mit meinem PC am Surfen und auf einmal ist ein Fenster aufgegangen, dass zum Vollbild wurde, in dem ein Brief von dem Bundeskriminalamt drin ist. Darin wird dazu aufgerufen Geld zu zahlen wegen illegaler Aktivitäten. Dass es kein Schreiben vom Bundeskriminalamt ist, sondern ein Virus, ist mir so weit klar. Bloß ich weiß nicht wie ich diesen Virus wieder loswerde, da man aus diesem Vollbildmodus nicht herauskommt. Ich hab den PC ausgeschaltet und wieder angeschaltet, allerdings ist immer noch dieses Bild da und ich werde es nicht los.
Kennt sich jemand aus bzw. hat jemand das gleiche Problem gehabt? Bin grad echt am Verzweifeln.
Würde mich über jede Hilfe freuen.
Hier unten nochmal das Bild
|
|
|
26.03.11, 23:22
|
#2
|
Ist öfter hier
Registriert seit: May 2010
Beiträge: 279
Bedankt: 69
|
Mach mal die Hijack log rein
|
|
|
26.03.11, 23:32
|
#3
|
Anfänger
Registriert seit: Sep 2009
Beiträge: 4
Bedankt: 2
|
durch dieses bild kann ich ja nicht auf meine dateien zugreifen. daher weiß ich nicht wie ich die hijack log reinpacken soll
|
|
|
26.03.11, 23:34
|
#4
|
Chuck Norris sein Vater
Registriert seit: Aug 2009
Beiträge: 5.169
Bedankt: 3.131
|
Es handelt sich hierbei um den Trojan-Ransom.Win32.PornoBlocker.jtg
Einnisten tut er sich als Windows_Shell.
dieser durchsucht alle paar Sekunden den Task und beendet die Programme. er wird wahrscheinlich keine Chance haben, n Log zu erstellen.
Einzige Möglichkeit, wäre der Start über eine Reparaturcd/DVD,
In diesem Reg- Eintrag wirst du fündig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Der Virus ersetzt dort die explorer.exe.
Und da de rVirus wahrscheinlich die Runde macht, hier nochmal das Bild, welches angezeigt wird.
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Mfg
|
|
|
26.03.11, 23:49
|
#5
|
Anfänger
Registriert seit: Sep 2009
Beiträge: 4
Bedankt: 2
|
danke für deine hilfe nur leider habe ich keine reparatur cd. muss man die selber am pc erstellen ?
|
|
|
27.03.11, 00:32
|
#6
|
Anfänger
Registriert seit: Sep 2009
Beiträge: 4
Bedankt: 2
|
oder ist damit die installations-dvd des jeweiligen betriebssystems gemeint ?
|
|
|
27.03.11, 06:33
|
#7
|
Googleabschreiber
Registriert seit: Aug 2010
Beiträge: 398
Bedankt: 108
|
hm bin sicher kein profi was das angeht aber schonmal versucht im "abgesicherten Modus" zu starten und den registry key zu löschen?
__________________
Lies laut:
"Ich bin ein Kind ein deppertes, in meinem Kopf da scheppert es"
|
|
|
27.03.11, 09:14
|
#8
|
Chuck Norris sein Vater
Registriert seit: Aug 2009
Beiträge: 5.169
Bedankt: 3.131
|
Im abgesicherten Modus ist daas gleiche Problem, weil auch dort der Explorer ersetzt bleibt.
Ich würde dir auch erstmal empfehlen, mit ner NotfallCD von Kaspersky zu Scannen. Erstelle dir möglichst eine Aktuelle, da das sonst nicht gefunden wird. Sollte das nicht funktionieren, dann hilft dir nur die Reparaturinstallation.
|
|
|
27.03.11, 10:36
|
#9
|
1/2 Profi und 1/2 Newby
Registriert seit: Jan 2011
Ort: /home/php
Beiträge: 54
Bedankt: 7
|
bei norton kann man auch die alte nehmen, da die sich automatisch vor jeder notfalprüfung updatet
|
|
|
27.03.11, 19:07
|
#10
|
Anfänger
Registriert seit: Mar 2011
Beiträge: 9
Bedankt: 10
|
1. Wäre es nicht einfacher, die 100 € zu zahlen?
2. Zweitens interessiert mich, wie es möglich ist, den Virus einzufangen? Ich vermute, dazu musste eine Datei mit Administratorrechten ausgeführt werden.
Vie Glück bei der Beseitigung
|
|
|
27.03.11, 21:04
|
#11
|
Anfänger
Registriert seit: Oct 2008
Beiträge: 35
Bedankt: 0
|
mach dir mal mit dem tool nen bootable usb stick
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
27.03.11, 21:58
|
#12
|
Erfahrener Newbie
Registriert seit: Sep 2010
Beiträge: 163
Bedankt: 27
|
wieso nich gleich einfacher machen :
Komplett neu machen un von vorne machen .. dann hastes au weg .. oda ?! :/
Warte ma .. du kannst doch gar keine Cd einschmeißen .. hast doch netbook oder ?!
|
|
|
27.03.11, 22:11
|
#13
|
Keks-süchtig
Registriert seit: Feb 2011
Beiträge: 1.051
Bedankt: 749
|
Zitat:
Zitat von humppel01
Warte ma .. du kannst doch gar keine Cd einschmeißen .. hast doch netbook oder ?!
|
usb sticks kennst du ? XD
|
|
|
27.03.11, 22:25
|
#14
|
Erfahrener Newbie
Registriert seit: Sep 2010
Beiträge: 163
Bedankt: 27
|
Oder soo ... ja das is mir grade so eingefallen xD
dann soll ers eben mit usb machen
|
|
|
28.03.11, 00:37
|
#15
|
Anfänger
Registriert seit: Mar 2009
Beiträge: 0
Bedankt: 62
|
Zitat:
Zitat von 471112
1. Wäre es nicht einfacher, die 100 € zu zahlen?
|
rofl
|
|
|
28.03.11, 06:20
|
#16
|
Newbie
Registriert seit: Dec 2010
Beiträge: 57
Bedankt: 42
|
Zitat:
Zitat von 471112
2. Zweitens interessiert mich, wie es möglich ist, den Virus einzufangen? Ich vermute, dazu musste eine Datei mit Administratorrechten ausgeführt werden.
|
Wenn der Virus das OS richtig erkennt und es wie auf dem Bild Windows XP ist, braucht man sich eigentlich nicht zu wundern. Patches gibts ja für die (noch) stehenden Lücken keine mehr
edit: naja wäre wohl zu witzig, ist ja nur ein Bild... Ok, bei der allgemein hochwertigen Qualität dieser Falle wundert es mich eigentlich auch nicht
|
|
|
28.03.11, 10:28
|
#17
|
Chuck Norris sein Vater
Registriert seit: Aug 2009
Beiträge: 5.169
Bedankt: 3.131
|
Du wirst dir den Virus auch mit Windows 7 einfangen können, das liegt jetzt nicht nur an XP.
Er schreibt ja nur ein Reg.-Eintrag, und gibt den Befehl alle Sekunden den Task zu schliessen.
Für den TE:
wenn du kein Cd-Laufwerk hast, dann kannst du es auch über USB versuchen:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Mfg
|
|
|
28.03.11, 15:32
|
#18
|
Erfahrener Newbie
Registriert seit: Mar 2010
Beiträge: 151
Bedankt: 80
|
vielleicht gehts auch ganz einfach...
probier es doch mal, dass Du via Affengriff (strg + alt + entf) den Taskmanager startest...
Dort dann auf
"Datei -> Neuer Task" drücken
füge bei Ausführen folgendes ein:
reg add "hklm\Software\microsoft\Windows nt\currentversion\winlogon" /v shell /t REG_SZ /d explorer.exe /f
Das sollte eigentlich auch helfen...
Ich weiß zwar nicht ob sich der Virus auch in den Autostart schreibt.
Falls ja, anschließend noch die RegistryPfade:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
und
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
nach unbekannten Prozessen kontrollieren und ggf. raus löschen
Zur Sicherheit eventuell hier nochmal nachfragen.
|
|
|
31.03.11, 02:35
|
#19
|
noch da
Registriert seit: Dec 2010
Beiträge: 21
Bedankt: 28
|
Ein neuer Trojaner versucht momentan auf besonders dreiste Weise, ahnungslose User um ihr Geld zu bringen. Wer sich die Malware einfängt, muss sich harte Vorwürfe gefallen lassen: Als offizielle Webseite des Bundeskriminalamts getarnt, wirft Ihnen der Trojaner den Besitz von Kinderpornographie und terroristischen Unterlagen vor. Gleichzeitig wird der Rechner komplett gesperrt, Taskleiste und Desktop ausgeblendet.
Um den PC wieder freizugeben verlangt der Eindringling eine "Strafgebühr" von 100 Euro - und droht bei Nichtbezahlung mit dem Löschen aller Daten. Pikantes Detail: Die Meldung ist mit dem offiziellen Wappen des Bundeskriminalamtes, der Bundespolizei sowie den Schriftzügen von Microsoft, Symantec und Kaspersky versehen. Informationen zum Internet-Anbieter, Browser und Standort werden aus der IP-Adresse gewonnen, um den User noch weiter zu verunsichern.
Erste Warnung: Windows 7 erkennt die Malware bereits.
Erste Warnung: Windows 7 erkennt die Malware bereits.
Windows ist machtlos
Das System ist jedoch nicht nur auf den ersten Blick gesperrt: Dem Virenlabor AV-Test zufolge nistet sich die Malware an über 30 Registry-Verzeichnissen ein und kontrolliert somit die Registrierung und den Tasmanager - der sich in unserem Check nicht mehr öffnen ließ. Außerdem wird die Standardsuchmaschine im Internet Explorer zu einer weiteren Malware-Adresse geändert. Ein Neustart des Rechners lässt sich mit [STRG]+[ALT]+[ENTF] zwar einleiten, löst das Problem aber nicht: Nach dem Bootvorgang erscheint die Warnmeldung erneut.
Virenscanner reagieren nicht immer
AV-Test warnt eindringlich vor diesem Betrugsversuch und zeigt, wodurch sich der Schädling verrät: Die Warnmeldung enthält diverse Rechtschreibfehler, Kontakt kann nur über eine Freemail-Adresse aufgenommen werden. Unlogisch ist auch der Gedanke, eine "Strafe" durch einen komplett anonymen Bezahlvorgang begleichen zu können.
Die Infektionsgefahr ist derzeit ernstzunehmen: Laut AV-Test erkennen momentan nur 15 von 32 getesteten Virenscannern den Trojaner (Stand: 14:37 Uhr). Die schädliche Datei wurde aber bereits an die restlichen Anbieter weitergeleitet. In Kürze dürften auch diese Hersteller reagieren die Gefahr bannen. Ist das System bereits infiziert, hilft nur noch eine Neuinstallation von Windows. (mag)
|
|
|
31.03.11, 04:24
|
#20
|
Ist öfter hier
Registriert seit: Sep 2010
Beiträge: 276
Bedankt: 280
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] als Mailadresse.
Genial.
|
|
|
02.04.11, 02:36
|
#21
|
Anfänger
Registriert seit: Apr 2011
Beiträge: 1
Bedankt: 4
|
Alle die Probleme mit diesem verdammten Virus haben sollen sich mal bitte diese seite angucken:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Schreibt mir bitte eine e-mail wenn es nicht geklappt hat aber sowohl auch wenn es geklappt hat!!
Ich versuche darauf dann die seite noch zu verbessern und Sachen zu ergänzen!!
|
|
|
03.04.11, 08:54
|
#22
|
Banned
Registriert seit: Mar 2011
Beiträge: 75
Bedankt: 3.594
|
Zitat:
Zitat von 471112
1. Wäre es nicht einfacher, die 100 € zu zahlen?
2. Zweitens interessiert mich, wie es möglich ist, den Virus einzufangen? Ich vermute, dazu musste eine Datei mit Administratorrechten ausgeführt werden.
Vie Glück bei der Beseitigung
|
Äh, ist das dein ernst? oder habe ich noch zu viel Alkohol von gestern im Blut, so das ich deine Ironie nur nicht verstehe....
|
|
|
05.04.11, 11:50
|
#23
|
Anfänger
Registriert seit: Apr 2011
Beiträge: 4
Bedankt: 0
|
Hallo,
ich hab versucht mit der Avira AntiVir Rescue System CD den Virus zu entfernen. Dies war aber leider nicht erfolgreich.
Reicht es aus den Eintrag HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon zu ändern?
Die Lösung von vloxxity trifft auf mein Problem leider auch nicht zu.
Hat jemand noch eine Idee wie ich das System wieder ans laufen bekomme?
|
|
|
05.04.11, 13:02
|
#24
|
Erfahrener Newbie
Registriert seit: Mar 2010
Beiträge: 151
Bedankt: 80
|
@sir_andy:
Hast meinen Vorschlag in Beitrag #19 schon versucht? Mich würd selber interessieren ob es so einfach ist ;-)
|
|
|
05.04.11, 18:57
|
#25
|
Anfänger
Registriert seit: Apr 2011
Beiträge: 4
Bedankt: 0
|
Leider hat auch dies nicht geholfen.
Ich ziehe mir jetzt nochmal eine neue Version der Avira AntiVir Rescue System CD und lass die dann nochmal laufen.
Wenn auch das nicht klappt werd ich mir ne Bart PE CD oder Stick basteln inkl. Virenscanner und dann mal gucken, ob ich es damit bereinigt bekomme.
|
|
|
05.04.11, 20:28
|
#26
|
Chuck Norris sein Vater
Registriert seit: Aug 2009
Beiträge: 5.169
Bedankt: 3.131
|
Mich würd mal interessieren, wo ihr euch das Ding einfangt....
@pablo.rodriguez : Problem ist, das der Taskmanager auch im Task erscheint, und somit vom Virus geschlossen wird. Daher wird es auch schwer sein, vom System selbst her die Registry zu ändern.
Die Avira Rescue Cd schafft es nicht den Trojaner zu entfernen.
Einzige Möglichkeit die ich bis jetzt sehe, ist eine Reparaturinstallation.
Mfg
|
|
|
05.04.11, 23:53
|
#27
|
noch da
Registriert seit: Dec 2010
Beiträge: 21
Bedankt: 28
|
Neuinstallation von Windows.Deutsche Sprache,schwere Sprache.Momentan erkennen nur 15 von 32 getesteten Virenscannern den Trojaner!!!
Wie man sich den einfängt,weiss der Geier.
|
|
|
05.04.11, 23:59
|
#28
|
noch da
Registriert seit: Dec 2010
Beiträge: 21
Bedankt: 28
|
Ah, hier noch was gefunden rojaner nistet sich massiv im System ein
Der Trojaner kommt unbemerkt beim Surfen auf den Rechner. Die Kriminellen nutzen dabei die Methode der so genannten Drive-by-Downloads. Besucht ein Surfer eine manipulierte Internet-Seite löst diese einen "unsichtbaren" Download des Schädlings aus und startet diesen vom Nutzer ebenfalls unbemerkt. Oft sind es Seiten mit Gratis-Wallpapern von Prominenten oder obskure Gratis-Porno-Seiten, die dem Besucher Trojaner unterjubeln. Der Schädling nistet sich an über 30 Stellen im System ein. Damit stellen die Online-Kriminellen sicher, dass der Trojaner bei jedem Systemstart gestartet wird und nur sehr schwer entfernt werden kann. Der Trojaner blockiert den Zugriff auf den Computer, auf verschiedene Systemtools und auch auf den Task Manager. Die Hersteller von Antivirensoftware haben teilweise bereits reagiert und liefern mit Updates ein Gegenmittel gegen den Trojaner aus, um den Befall des Computers zu verhindern. Dort wo sich der Trojaner bereits eingenistet hat, hilft derzeit laut AV-Test nur eine Rettungs-CD, beispielsweise Avira AntiVir Rescue System mit der das System wieder hergestellt werden kann.
|
|
|
06.04.11, 00:13
|
#29
|
ambivalent
Registriert seit: Mar 2010
Beiträge: 98
Bedankt: 77
|
OMFG...rotflmao
Zitat:
Zitat von michajazz
Avira AntiVir
|
RiverColaAntiVir reicht doch völlig aus!
PS
Dieser Beitrag ist sarkastisch. Bitte nicht ernstnehmen!
(sry, ich konnte nicht anders)
|
|
|
06.04.11, 14:29
|
#30
|
Anfänger
Registriert seit: Apr 2011
Beiträge: 4
Bedankt: 0
|
Zitat:
Zitat von michajazz
Neuinstallation von Windows.Deutsche Sprache,schwere Sprache.Momentan erkennen nur 15 von 32 getesteten Virenscannern den Trojaner!!!
Wie man sich den einfängt,weiss der Geier.
|
Welche Virenscanner erkennen den Trojaner denn? Das wäre sehr hilfreich, da ich mir so ein Bart PE CD zusammestellen kann, mit einem Virenscanner, der den Trojaner erkennt.
|
|
|
06.04.11, 18:28
|
#31
|
Erfahrener Newbie
Registriert seit: Jan 2010
Beiträge: 169
Bedankt: 1.005
|
Zitat:
Zitat von michajazz
Der Trojaner kommt unbemerkt beim Surfen auf den Rechner. Die Kriminellen nutzen dabei die Methode der so genannten Drive-by-Downloads. Besucht ein Surfer eine manipulierte Internet-Seite löst diese einen "unsichtbaren" Download des Schädlings aus und startet diesen vom Nutzer ebenfalls unbemerkt. Oft sind es Seiten mit Gratis-Wallpapern von Prominenten oder obskure Gratis-Porno-Seiten, die dem Besucher Trojaner unterjubeln. Der Schädling nistet sich an über 30 Stellen im System ein. Damit stellen die Online-Kriminellen sicher, dass der Trojaner bei jedem Systemstart gestartet wird und nur sehr schwer entfernt werden kann. Der Trojaner blockiert den Zugriff auf den Computer, auf verschiedene Systemtools und auch auf den Task Manager. Die Hersteller von Antivirensoftware haben teilweise bereits reagiert und liefern mit Updates ein Gegenmittel gegen den Trojaner aus, um den Befall des Computers zu verhindern. Dort wo sich der Trojaner bereits eingenistet hat, hilft derzeit laut AV-Test nur eine Rettungs-CD, beispielsweise Avira AntiVir Rescue System mit der das System wieder hergestellt werden kann.
|
ich glaube das hast du von computerbild.de. Ich meine ich hätte erst vor kurzem darüber gelesen
|
|
|
06.04.11, 20:04
|
#32
|
Chuck Norris sein Vater
Registriert seit: Aug 2009
Beiträge: 5.169
Bedankt: 3.131
|
Zitat:
Zitat von sir_andy
Welche Virenscanner erkennen den Trojaner denn? Das wäre sehr hilfreich, da ich mir so ein Bart PE CD zusammestellen kann, mit einem Virenscanner, der den Trojaner erkennt.
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] findest du eine Liste mit Virenscanner. -Ohne Garantie, das sie den auch entfernen.
Mfg
|
|
|
06.04.11, 21:24
|
#33
|
Qualifizierter Dilettant
Registriert seit: Mar 2009
Beiträge: 95
Bedankt: 31
|
Hallo,
so wie ich das verfolge finden auch die Antivirus Unternehmen keine Möglichkeit den Virus nachträglich zu entfernen? Wie kann das denn sein? Sowas gab es noch nicht, oder wo ran liegts?
Ein Arbeitskollege hat den Virus privat und ich wollte mich mal schlau machen für den.
Ich halte persönlich nicht viel von Avira, ist denn AntiVir Rescue System was gutes von denen?
Normal mit Windows CD von CD booten und dann Partition C: wo das System drauf ist hilft, oder nistet der Virus sich noch wo anders rein?
Viele Fragen, hoffe auf Antwort und bedanke mich schonmal
Gruß
|
|
|
06.04.11, 21:57
|
#34
|
Chuck Norris sein Vater
Registriert seit: Aug 2009
Beiträge: 5.169
Bedankt: 3.131
|
Meines Wissens nach ist die AntiVir Rescue Cd chancenlos. Habe auch bisher noch nix gehört, das es nachträglich geklappt hat.
Noch n paar Tage und dann werden wohl die ersten erfolgreichen Desinfektionen geben.
Der Trojaner blockiert Windows komplett. Es sind einige Einträge in der Registry, die keinen Zugriff auf das System erlauben. Dazu gehört die im
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
eingetragene Datei, die den Explorer verdrängt hat.
Alles was du versuchst zu öffnen, wird direkt wird geschlossen. Somit hat man quasi keine Chance vom (abgesichert) gebootenem System was zu ändern.
Wie gesagt, ich sehe derzeit als einzige Möglichkeit Windows per Reparaturinstallation zu retten.
Das scheint zu funktionieren: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Also, wenn noch wichtige Daten auf C liegen, die Reparaturinstallation versuchen, wenn nix wichtiges drauf ist, am besten komplett formatieren.
Das würde ich auch nach Datensicherung machen.
Mfg
|
|
|
07.04.11, 01:06
|
#35
|
Banned
Registriert seit: Mar 2011
Beiträge: 58
Bedankt: 231
|
Gegen die beschriebene Drive-By-Download Problematik hätte Windows Vista oder Windows 7 geholfen. Der Virus braucht Adminrechte um etwas anzustellen, diese hat man unter Vista und Win7 niht mehr automatisch. Es wäre die Anforderung nach Adminrechten erschienen und jeder normale Mensch wäre mistrauisch geworden - und der virus hätte sich nicht installieren können.
Wenn das nicht endlich mal ein Grund ist sein System upzudaten.
|
|
|
Themen-Optionen |
|
Ansicht |
Linear-Darstellung
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:58 Uhr.
().
|