Bundespolizei Virus

[Sternchen]

Habe hier nichts finden können. Kann doch nicht sein, dass ich die erste hier bin, die sich den netten BKA-Virus geholt hat (trotz AV-Programm). Hat den schon jemand gehabt bzw. beseitigt bekommen, ohne alles neu installieren zu müssen?

[wolf b.]

Moin Kerstin,

von Viren blieb ich die letzten Jahre verschont, aber im Chp-Forum steht das:

Zitat:

Hallo werte Leser,

Gestern habe ich mir den BKA / Ukash Trojaner eingefangen nach langer suche und etwas glück hab ich eine Lösung dieses Problems gefunden.

Hilfsmittel:
Bootbare CD mit Kaspersky-Notfall-CD 10.
Systemwiederherstellungspunkt.
und Avira-DE-Cleaner
unter http://www.chip.de/downloads/Avira-D..._47574057.html

So zu meiner Beschreibung wie Ich es gemacht habe es setzt aber auch ein paar Grundkentnisse voraus.

Infizierten PC starten und
Bootbare CD mit Kaspersky-Notfall-CD 10 einlegen den beschriebenen Schritten folgen und einen Komplettscan der Festplatte(n) machen und neben dran sitzen bleiben um Funde zu löschen.

PC Neu starten und mit der Taste F8 in den Abgesichterten Modus wechseln
von dort habe ich über die Eingabeaufforderung (cmd) bzw. Ausführen den Befehl : rstrui.exe ausgeführt (rstrui.exe = Systemwiederherstellungs-exe) nun sollte die Sytemwiederherstellung starten.

Nun in der Systemwiederherstellung einen Speicherpunkt wählen der ein paar Tage zurückliegt und dann das System reparieren lassen.

Nun sollte der Pc wieder starten.

So nur noch ein Schritt und Ihr PC sollte Viren und Trojaner frei sein.
Laden Sie sich Avira- DE- Cleaner runter und starten Sie das Programm - nach dem Suchlauf sollte der Rechner wieder funktionieren und Seuchenfrei sein =).

So nun zum Letzten Ich übernehme keine Haftung für verloren gagangene Dateien Ich beschreibe hier meinen eigenen Lösungsweg nach besten Wissen und Gewissen.

Quelle: http://forum.chip.de/viren-trojaner-...n-1522212.html

[Sternchen]

Danke Wolf! Jedoch habe ich weder Kaspersky noch eine Notfall-CD, demnach kann ich im Vorwege keinen Scan durchführen.Eine ähnliche Form habe ich auch schon ergoogelt (F8 beim Hochfahren, Registry öffnen, Suche nach "regedit", zwei bestimmte Ordner auf verdächtige exe-Dateien durchforsten, diese löschen, anschließend neu starten).

[racer1234]

hatte ich auch schon! habe den Leppi meinem PC-Spezi gegen! Nächsten Tag war alles wieder Schick und ich 35EUR los! Kann aber nicht sagen wie er das gemacht hat! Soll aber nicht schwer sein!

[falo6691]

Hallo Kerstin,

der Virus trägt sich als Shell ein. Du gehst, wie empfohlen, besser zu einem Spezi. Neuinstallation ist aber nicht notwendig.

Du hast Dir das Ding nur eingefangen, weil Du mit Administratorrechten surfst. Lass Dir bei der Gelegenheit gleich ein Admin-Konto einrichten und die Rechte Deines Kontos auf "Hauptbenutzer" ändern.

Wenn Dir der "Spezialist deines Vertrauens" etwas komplett anderes vorschlägt, such Dir einen anderen...

Viele Grüße
Olaf

[Ruedi]

Zitat:

Zitat von Sternchen

Habe hier nichts finden können. Kann doch nicht sein, dass ich die erste hier bin, die sich den netten BKA-Virus geholt hat (trotz AV-Programm). Hat den schon jemand gehabt bzw. beseitigt bekommen, ohne alles neu installieren zu müssen?

Ja, ich habe den gestern gerade beim Kumpel versucht unschädlich zu machen, hat sogar geklappt.

In der Registry muss folgender Eintrag geändert werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Der Wert sollte der jetzt da steht gehört da nicht hin und sollte nach anpassen explorer.exe heißen.

Das heißt konkret Rechner neu starten, über die F8 Taste den abgesicherten Modus mit Eingabeaufforderung aufrufen, im Dos- Fenster regedit eingeben, den oben genannten Pfad verfolgen und den Wert dann ändern und danach das System abscannen.

[Cyrus]

Wie macht sich der BKA-Virus bemerkbar?

[wolf b.]

Zitat:

Zitat von Cyrus

Wie macht sich der BKA-Virus bemerkbar?

Da geht angeblich ein Fenster auf, das du nicht mehr so leicht weg bekommst und du wirst aufgefordert wegen illegalen Aktivitäten im Netz Geld zu überweisen sonst wird dein Rechner gesperrt.
Beim sperren bin ich mir nicht ganz sicher ob das stimmt.

[Dicke Lippe]

Zitat:

Zitat von wolf b.

Da geht angeblich ein Fenster auf, das du nicht mehr so leicht weg bekommst und du wirst aufgefordert wegen illegalen Aktivitäten im Netz Geld zu überweisen sonst wird dein Rechner gesperrt.
...

Wie programmiert man denn so etwas? Digital bin da so hilflos. Vor 25 Jahren hatte ich das auch schon mal analog versucht, hat aber nicht geklappt....

[wolf b.]

Zitat:

Zitat von Dicke Lippe

Wie programmiert man denn so etwas? Digital bin da so hilflos. Vor 25 Jahren hatte ich das auch schon mal analog versucht, hat aber nicht geklappt....

Hast du eine Anzeige bekommen?

[dieter]

für die Notfall/Startcd sollte auch die aktuelle Version als 4 Wochen Testversion ausreichen....

http://www.kaspersky.com/de/kis_download

[duke2000]

Ich hatte den Virus auch, keine Möglichkeit der Rettung sagte man mir. Dann habe ich über eine Bootfähige Ubuntu Version gestartet, alle Daten auf der Platte gesichert und dann die Kiste platt gemacht! Ging eigentlich auch für mich als Laien recht einfach!

[Francis Drake]

Offenbar gibt es mehrere Versionen davon. Ausführliche Infos finden sich unter blog.botfrei.de.

Viele Anwender haben wohl mit dem Tool Superantispyware den Virus entfernen können.

[Stinobo]

Gut, dass ich einen Mac habe ...


Gruss
Andre

[Ruedi]

Zitat:

Zitat von wolf b.

Da geht angeblich ein Fenster auf, das du nicht mehr so leicht weg bekommst und du wirst aufgefordert wegen illegalen Aktivitäten im Netz Geld zu überweisen sonst wird dein Rechner gesperrt.
Beim sperren bin ich mir nicht ganz sicher ob das stimmt.

Genau, dieses Fenster bekommst Du normal nicht mehr weg. Selbst im normalen abgesicherten Modus kommst Du nicht mehr in die Benutzeroberfläche rein. Deswegen ja auch abgesicherter Modus mit Eingabeaufforderung. Da ja dort auch nur das startet, was man aufruft.
Wer natürlich nicht über diese manuelle Hintertür ins System gelangen kann, versucht es dann mit den einschlägigen Boot-CDs, die hier schon genannt wurden.

[Sternchen]

Zitat:

Zitat von Cyrus

Wie macht sich der BKA-Virus bemerkbar?

Zitat:

Zitat von wolf b.

Da geht angeblich ein Fenster auf, das du nicht mehr so leicht weg bekommst und du wirst aufgefordert wegen illegalen Aktivitäten im Netz Geld zu überweisen sonst wird dein Rechner gesperrt.
Beim sperren bin ich mir nicht ganz sicher ob das stimmt.

Zitat:

Zitat von Emigrant

Genau, dieses Fenster bekommst Du normal nicht mehr weg. Selbst im normalen abgesicherten Modus kommst Du nicht mehr in die Benutzeroberfläche rein. Deswegen ja auch abgesicherter Modus mit Eingabeaufforderung. Da ja dort auch nur das startet, was man aufruft.
Wer natürlich nicht über diese manuelle Hintertür ins System gelangen kann, versucht es dann mit den einschlägigen Boot-CDs, die hier schon genannt wurden.

Es erscheint ein Fenster. Angeblich von der Bundespolizei. Es ist die ungesetzliche Tätigkeit enthüllt! Es wurden kriminelle Tätigkeiten entdeckt........ bla bla bla Der Computer ist gesperrt und wird erst wieder freigeschaltet, wenn man über Ukash 100 EUR mit einem Code einzahlt.
Das Fenster startet sofort nach Hochladen des REchners und ist nicht wegzukriegen.
Ich werde heute wohl mal ein bißchen rumprobieren......

[pruno]

Zitat:

Zitat von Stinobo

Gut, dass ich einen Mac habe ...


Gruss
Andre

Gut, das ich Ubuntu habe...
Gut, das Ubuntu kostenlos ist...

(Aber was sollen solche Bemerkungen?)

[wolf b.]

Zitat:

Zitat von Sternchen

Ich werde heute wohl mal ein bißchen rumprobieren......

Viel Erfolg wünsch ich dir!

Mein Rechner zickt auch gerade.

[elbeschlauchbootfahrer]

Wie fängt man sich den ein? Muß man dazu aktiv was tun oder schleicht der sich ohne zutun ins System wie Rootkits?

[Sternchen]

Zitat:

Zitat von elbeschlauchbootfahrer

Wie fängt man sich den ein? Muß man dazu aktiv was tun oder schleicht der sich ohne zutun ins System wie Rootkits?

Du musst aktiv im I-Net sein

[Sternchen]

Zitat:

Zitat von wolf b.

Viel Erfolg wünsch ich dir!

Mein Rechner zickt auch gerade.

Habe eine Systemwiederherstellung gemacht (30.08.11). Das soll angeblich bei XP nicht möglich sein, da hilft wohl nur Neuinstallation. Bei Vista gehts. Dann noch eine Maleware bei chip.de geholt, speziell für diesen fiesen Möpp, die läuft gerade durch. Hoffe, dass dann alles wieder chicco ist!

[billi]

hatte den Virus diese woche auch.

Den PC im Abgesicherten Modus starten und das Programm (freeware) malwarebytes von Chip runtergeladen. dieses ha die komplette Registry bereinigt und weg ist der Virus.

zusätzlich hab ich noch adaware und Antivir installiert (natürlich schon lange hat aber trotzdem nicht geschützt.

malwarebytes schützt aktiv. d.H. wenn ich ne Seite öffne die infiziert ist meldet sich das programm und sperrt den Teil der Seite. Ich hab mich gewundert wieviele seiten ich plötzlich ne Meldung bekam.

[floka.floka]

Huhu....

Programme/Zubehör/Systemprogramme/systemwiederherstellung

Das ist der Pfad zur Systemwiederherstellung bei XP

[billi]

Zitat:

Zitat von floka.floka

Huhu....

Programme/Zubehör/Systemprogramme/systemwiederherstellung

Das ist der Pfad zur Systemwiederherstellung bei XP

dann ist die Datei immer noch auf dem Rechner

[Sternchen]

Zitat:

Zitat von billi

hatte den Virus diese woche auch.

Den PC im Abgesicherten Modus starten und das Programm (freeware) malwarebytes von Chip runtergeladen. dieses ha die komplette Registry bereinigt und weg ist der Virus.

zusätzlich hab ich noch adaware und Antivir installiert (natürlich schon lange hat aber trotzdem nicht geschützt.

malwarebytes schützt aktiv. d.H. wenn ich ne Seite öffne die infiziert ist meldet sich das programm und sperrt den Teil der Seite. Ich hab mich gewundert wieviele seiten ich plötzlich ne Meldung bekam.

So gehe ich das auch durch, nur vorher halt Systemwiederherstellung vom 30.08.

Zitat:

Zitat von floka.floka

Huhu....

Programme/Zubehör/Systemprogramme/systemwiederherstellung

Das ist der Pfad zur Systemwiederherstellung bei XP

Angeblich soll man aber bei XP gar nicht mehr an die Systemwiederherstellung gelangen (habe ich gehört). Für mich auch nicht von Bedeutung, da ich auf diesem Rechner Vista habe.

Btw soll das sicherste trotzdem eine Neuinstallation sein!