Es gibt 127 Antworten in diesem Thema, welches 19.015 mal aufgerufen wurde. Der letzte Beitrag (
Wenn Ihr den Virus habt, bitte trennt euren Rechner vom Internet !
...war dat erste was ich gemacht hab, gleich den Anschluss raus...
Hab jetzt im abges.-Modus gestartet und versuch dem mit Malwarebytes bei zu kommen.
Mal schaun obs klappt.
...dat Teddy
Na dann viel Erfolg Teddy ! Ich weis wie blöd das ist.. 
Ich hab den vor kurzem mit Spybot - Search & Destroy zu packen bekommen.
In Spybot kann man alles sehen, was beim Systemstart geladen wird.
Im abgesicherten Modus gestartet, bei Spybot das kryptische Programm gefunden, aus dem Systemstart gelöscht und direkt danach die entsprechende Datei (Pfad wird angezeigt).
Danach konnte ich den normal wieder hochfahren, hab das Internet wieder angeschlossen, Spybot Update geladen und laufen gelassen. Anschließend noch Malwarebytes Update gezogen und auch laufen gelassen.
Haste mal nen Link, damit ich den Spybot saugen und auf nen stick machen kann ?
....dat Teddy
Aber sicher doch.
Updatepakete sind da auch zu finden.
So, zur allgemeinen Info... 
Ich bin wieder im Rennen, hab den Rechner mit der ´"Systemwiederherstellung" 2 Tage zurück gebeamt, nur ist der fiese Bildschirm weg. Jetzt lass ich den Rechner erstmal mit Antivir - Vollscan spielen und dann noch mit Malwarebyts bevor er wieder ins net darf und ich geh nen Pudding kochen, für meine Nerven... ;^)
@ Archer - Dieser Spybot, der liess sich nicht Installieren, da kam nur diese Fehlermeldung (was auch immer das bedeuten soll)..
Error sending request.
The server name or adress could not resolved
Ansonnsten, nochmals danke an alle die sich bemüht haben zu Helfen.
...dat Teddy
Der "BKA-Virus" existiert in mehreren Varianten. Nicht alle lassen sich entfernen, da nun neuere Versionen angeblich die Daten tatsächlich auch verschlüsseln. Da in meinem Bekantenkreis dieser Üble Bursche schon einmal aufgetaucht ist, habe ich mich da mal ein wenig belesen:
http://trojan-killer.net/de/achtung-aus…blockiert-scam/
http://blog.botfrei.de/2011/07/anleit…escue-disk-krd/
http://www.bka-trojaner.de/
http://blog.botfrei.de/2011/12/gesper…nter-windows-7/
http://support.kaspersky.com/de/faq/?qid=207621612 <--- Rettungs-CD
http://www.computerbetrug.de/ransomware-erp…egeld-trojaner/
http://blog.botfrei.de/2012/01/unange…hten-windows-7/
http://forum.botfrei.de/showthread.php…d-herunterladen
http://forum.botfrei.de/showthread.php…c4dc82f02822960
https://www.botfrei.de/privat.html
http://www.hijackthis-forum.de/tipps-tricks/2…nleitungen.html
http://www.avira.com/de/downloads#tools <--- Rescue-CD
Generell sind die Rettungs-CDs von Kaspersky und Avira zu empfehlen. Sie haben den großen Vorteil bootfähig zu sein und ihr eigenes Betriebssystem (Linux) mitbringen. Das ist auch nötig, denn nur so lassen sich einige Übertäter aufspüren, die ansonsten ein laufendes Windows korruptieren und auch alle Virenwächter und -Scanner wirkungslos machen.
Die Rettungs-CD #10 von Kaspersky ist einfach anzuwenden:
Man saugt sich das ISO-Image File herunter und brennt dieses Image einfach auf einer CD.
Anschließend wird der PC bei eingelegter CD gebootet. Man muss nun dafür sorgen, dass der PC auch sicher von der CD bootet und nicht doch wieder das Windows von der Platte. Normalerweise steht das DVD/CD Laufwerk in der Bootreihenfolge oben. Ansonsten kann man mit entsprechenden Tastendrück nach der BIOS-Post Meldung das entsprechende Laufwerk auswählen.
Die Kaspersky startet mit einem grünen Bildschirm. Man muss noch mit einem Tastendruck das Booten starten und die Lizenzbedingenen mit "1" bestätigen. Danach folgt ein Sprachauswahlmenue. Anschließend wählt man den Text oder Grafikmodus aus. Der eigentliche Virenscanner wird automatisch geladen, allerdings sollte man in der hinteren Karteikarte das Virensignaturupdate starten. Dazu ist natürlich eine Internetverbindung über einen Router nötig. Ist das abgeschlossen wählt man am besten alleangezeigten Laufwerke aus und startet die eigentliche Virenprüfung. Je nach Füllstand der Platte dauert das mehrere Stunden.
Die AVG CD arbeitet analog, wobei das Datenupdate bei meinem PC nicht geklappt hat. Wohlmöglich hat es keine passenden Treiber für meine Netzwerkkarte gefunden. Wenn der Download der ISO-Datei erst kürzlich erfolgt ist, dürfte die Datenbank auch recht aktuell sein.
Da mein Vertrauen in alle unter Windows laufenden Antivirenprogramme begrenzt ist, wende ich die Kaspersky CD alle paar Wochen an. Einziger Nachteil ist dessen lange Laufzeit der Prüfung.
Nachtrag:
Ich hatte neulich den Fall, dass ich weder die Oberfläche des AVAST-Virenscanners starten konnte, noch dieses Programm deinstallieren oder AVIRA installieren. Auch die entsprechenden Symbole im Systray waren verschwunden. Allerdings hat jede Suche keinerlei klare Virenfunde gezeigt. Da mir das dennoch einen schalen Geschmack auf der Zunge macht und ich diese Ursache nie gefunden habe, habe ich mein Win7 PC neu aufgesetzt.
@ Archer - Dieser Spybot, der liess sich nicht Installieren, da kam nur diese Fehlermeldung (was auch immer das bedeuten soll)..
Error sending request.
The server name or adress could not resolved
Google erster Treffer: http://forums.spybot.info/showthread.php?t=33832
Häkchen entfernen dass gleich beim Install Updates geladen werden.
In der Regel bekommt man den lästigen Sperrbildschirm mit Sytemwiederherstellung wieder weg....
Zumnindest sollte man es mal probieren.
Das gleiche wird auch die Kaspersky CD versuchen.
Dieser Sperrbildschirm ist halt sehr lästig....weil man keinen Zugriff mehr zu seinem Betriebssystem hat. Nix geht mehr.
Es wurde eine Datei in die Systemsteuerung (natürlich ungefragt) geschrieben...System32 Ordner.
Und mit der Zurückstellung seines Systems fliegt diese Datei wieder raus.
So...und jetzt ist alles in Butter?
Kann..muß aber nicht.
"Ja und wie erkenne ich ob womöglich in meinem System eine Hintertür weit offensteht?"
Das können wir Otto-Normalo-PC-Fuzzis eigentlich gar nicht erkennen.
Eine sichere Methode wären das System neu aufspielen....."puhhh bin aber so faul"
Tja....
Es gibt kleine Erkennungs-.Methode ob irgendwas nicht stimmt.
Da tuts eigentlich jeder Scanner...ob Spybot, Anti-Maleware usw....
Einfach regelmässig einmal pro Woche alles durchscannen.
Sollten dann immer regelmässig 4-5 Trojaner gefunden werden...jede Woche....dann kann das ein Hinweis sein.
Logisch dabei sollte sein, das man sein Surfverhalten kritisch hinterfragen sollte.
Surfe ich dubiose Seiten an...darf man sich nicht wundern.
Surfe ich in der Woche recht konservativ...Co2air.de...bißchen Ebay....Egun...aber denoch kommen 4-5 Trojaner regelmässig rein, dann sollte ich mir Gedanken machen System mal neu aufzusetzen.
Auffällig ist es wenn immer die selben Trojaner auftauchen.
Bei mir z.b. ist es so, dass ich in ca. 2 Monaten auf 1-2 Virenfunde komme...wenn überhaupt.
Ich werfe einfach mal ne Zahl in Raum, weil es sich in der Regel heutzutage kaum vermeiden lässt, dass man sich in der Windows-Welt mal was einfängt.
Diese Welt ist so verseucht....dass es ein Wunder wäre ohne jeglichen Befall auszukommen.
Eher schafft man es, durch den Regen zu joggen ohne nass zu werden.....*räusper
Eine Systemwiederherstellung zurück auf einen früheren Installationszeitpunkt löscht aber keine Dateien. Wahrscheinlich werden auch vom Virus veränderte Windowssystemdateien nicht wieder neu hergestellt. Somit wird die virulente Datei noch auf der Festplatte sein, wenn auch inaktiv. Das könnte man dann auch als Tretmiene bezeichnen, die dann durch einen späteren Zufall (Zugriff) erneut explodiert.
Daher ist es nun ein kompletter Systemcheck unumgänglich und dringend angeraten, am besten mit diesen Rettungs CDs. Dennoch gibt es aus diesen Gründen Infektionen, die sich nicht wieder rückgängig machen lassen. Man hat dann nur mit einer kompletten Windows Neuinstallation die Chance zu einem sauberen System zurück zu finden. Allen voran sind da Rootkit Infektionen genannt, aber wie ich las, sollen neuere Varianten des BKA Virus auch zu der Sorte zu gehören, die sich manuell nicht mehr restlos entfernen lassen.
Deswegen wird auch empfohlen zu versuchen den Typ zu identifizieren.
@ Sniper Teddy - meines Wissens gelangt dieser Virus über eine Java-Sicherungslücke. Diese sollte mittlerweile geschlossen sein. Hast du kein automatisches Update von Windows mit seinen Zusatzprogrammen zugelassen? Wenn abgeschaltet, sollte man diese Funktion unbedingt einschalten, wie es auch Standard ist. Irgendwo steht auch zu lesen, dass die meisten Virusinfektionen zwei hauptsächliche Gründe haben:
1. Nicht eingespielte Sicherheitspatches
2. Das Benutzen von Windows mit Adminrechten.
Ersteres dürfte gar nicht vorkommen. Solche elementaren Sicherheitsupdates sollten gar nicht abschaltbar sein.
Zweiteres kann man leicht selbst ändern. Die erste Windowsneuinstallation legt immer einen ersten Standarduser an, der zwangsweise Adminrechte haben muss. Man sollte gleich einen normalen User zusätzlich anlegen und diesem auch normale Userrechte zuweisen und auch unter diesem Usernamen Windows benutzen. (geht über die Benutzerverwaltung) Nur in Ausnahmefällen wo eine Programminstallation Adminrechte verlangt, kann man sich dann fallweise ummelden.
So wird dann zuverlässig verhindert, dass eingeschmuggelte Programme mit Adminrechten sich im gesamten Windows breit machen.
Bei mir z.b. ist es so, dass ich in ca. 2 Monaten auf 1-2 Virenfunde komme...wenn überhaupt.
Dann machst du was falsch, auf so viele komme ich in vielleicht 5 Jahren.
Man hat dann nur mit einer kompletten Windows Neuinstallation die Chance zu einem sauberen System zurück zu finden.
Das gilt eigentlich grundsätzlich, wenn man mal ein infiziertes System hat. Es gibt natürlich Leute, welche sich z.B. die Treiber angucken, welche geladen werden und diese mit der Lupe überprüfen, ob sie Dinge aufrufen, welche dieser Treiber üblicherweise gar nicht aufruft. Um mal ein Beispiel zu nennen. Das liegt aber (schätze ich mal) jenseits der Kompetenz von 99,98% der User hier, mich eingeschlossen.
Wir, welche nicht Windows samt Treibern und Erweiterungen auswendig kennen und in die kleinsten Teile zerlegen und prüfen können und auch gar nicht wüssten, wonach wir womit konkret wo suchen müssten, können nach einer Infektion nicht sicher sein dass das System noch vertrauenswürdig ist. Und darum rät jeder erfahrene IT Mensch dazu, wichtige Dateien von z.B. einem Linux aus zu sichern, zu prüfen und anschließend die Platte komplett zu löschen. Das ist übrigens auch die erste Antwort, die man in einem Forum von den fachkundigsten Usern erhält, kann man in jedem Computerforum beobachten.
@ Userrechte: Unter Win7 ists doch so, dass auch ein User mit Adminrechten nicht wirklich volle Berechtigungen hat. Dafür gibts ja z.B. den "Als Administrator ausführen" Button. Ist zwar sinnvoll, aber leider zu einfach vom User zu umgehen. Als Admin ist schnell was ausgeführt, manche klicken ohnehin überall auf Ja / Weiter 
Andererseits kann man auch zum Admin wechseln und was Schadhaftes ausführen, also im Prinzip liegts sehr oft an der Sorgfalt der User.
die Meinung von
Microsofts Security Program Manger Jesper M. Johansson. In seinem Essay "I
Got Hacked. Now What Do I Do?" zeigt er, dass man einem kompromittierten
System nie ganz trauen kann und dass man nie die Gewissheit hat, ein infiziertes
System wieder vollständig frei von Schädlingen zu bekommen. Seine Schlussfolgerung
ist schlicht und einfach: Das System "platt machen" und neu aufsetzen ("flatten
and rebuild").
Eine Systemwiederherstellung zurück auf einen früheren Installationszeitpunkt löscht aber keine Dateien.
Natürlich löscht sie diese Dateien.
Wenn Du eine Systemwiederherstellung ausführst, werden alle Veränderungen/Eintragungen in System32 wieder rückgängig gemacht.
Daher sollte man ja unmittelbar 1-2 Tage vor Infektion wiederherstellen.
Ich hatte genau das mal getestet. Es wurden zwar die Änderungen in der Registry zurück gesetzt, aber das Installationsverzeichnis des Programms war mit Inhalt noch da.
Ich hatte auch schon seit Jahren keinen Virus mehr, und seit ich auf meinem Mozilla Browser Scripte mit "NoScript" blockiere, sowie "Adblock Plus" und "Flashblock" Verwende, meine "Comodo Internet Security" immer schön aktuell halte und zusätzlich noch "ThreatFire" laufen lasse, surfe ich ganz beruhigt....
Die Sytemwiederherstellung löscht nicht alles..das ist klar.
Also wenn man Programme installiert, können die noch bestehen...aber gut möglich, das man denoch Programm neu installieren muss.
Alle heruntergeladene Dateien....mp3 in Eigene Dateien z.b. ...die rührt diese Wiederherstellung nicht an.
Daher sollte man ja immer den nächst näheren Punkt wählen.
Wenn man 1 Jahr vorrab wählt....lach...dann wird man sich wundern.
Hm? Aber vielleicht kann man dann wieder in Zukunft wählen...aber glaube das geht nicht.
Hier ging es ja um den Eintrag in Systemsteuerung....Sperrbildschirm....den will man ja erstmal weghaben.
Hi!
Habe am Samstag meinen Laptop, Alienware M17x, mittels Alienrespawn 2.0, wieder auf den Auslieferungszustand zurückgesetzt, da er in letzter Zeit recht häufig abgeschmiert ist, was meiner Meinung nach mit dem Grafikkartentreiber zu tun hatte. Hatte für ein Spiel mal eine neuere Version installiert und seit dem gabs dieses Problem hin und wieder mal!
Hab meine persönlichen Daten (Musik, Bilder ect.) dafür auf einer externen Festplatte abgelegt und es hat auch alles wunderbar funktioniert! Mit Alienrespawn 2.0 kann man auch extra noch ein Backup von C: machen. Und aufgeräumt hzab ich auch gleich noch ein wenig!
Und gestern dann die Katastrophe! Der Polizei-Virus, oder auch BKA-Virus wenn man so will, hat mich erwischt! Selbes Szenario wie im allerersten Thread. Nichts geht mehr, sobald Windows gestartet hat, kommt der Mist! Auch das mit den 100 Euro war exakt so wie beschrieben.
Meine letzte Hoffnung: Alienrespawn 2.0!
Und siehe da es hat funktioniert! Nach ca. einer halben Stunde war ich wieder Herr über meinen Laptop und konnte abermals damit beginnen ihn nach meinen Bedürfnissen zu konfigurieren!
Finde Alienrespawn echt klasse, da mit wenigen Klicks alles erledigt ist und man wieder einen "jungfräulichen" Computer hat!
PS: Ob das Ganze auch auf anderen Laptops so einfach funktioniert weiß ich leider nicht, Links zum Herunterladen der Software sind im Netz aber zu finden!
MfG brunes01
1.) Java deinstallieren, wenn nicht nötig, sonst _immer_ aktuell halten! Wenigstens das Browserplugin deaktivieren.
2.) Adobe Flash immer aktuell halten
3.) Adobe Reader immer aktuell halten
4.) Windows-Update immer aktuell
5.) Alternativen Browser nutzen, z.B. Firefox oder Chrome, Internet Explorer=löchrig wie Schweizer Käse wg. ActiveX
6.) Keine komische Mailanhänge einfach anklicken
7.) Vista / Win7 -> Benutzerkontensteuerung auf maximal setzen
... und ihr seid relativ sicher. Bei Zero - Day - Exploits kann trotzdem mal was kommen. Selten.
Dann Neuinstallation. Keine Experimente mit irgendwelchen Tools. Man weiss nie, was die Dinger noch nachladen, bzw. welche versteckten Mechanismen übrigbleiben. Unter Windows sowas zu entfernen zu versuchen, ist Quatschkram, da ein gutes Rootkit unsichtbar bleibt.
Sollte das dennoch mal nötig sein, das System beizubehalten, gibts von Kaspersky eine Removal-CD für den BKA-Trojaner.Am besten mal vorbeugend runterladen und auf eine CD brennen, wenn ihr nur einen PC zu Hause habt.
Zu haben hier:
http://support.kaspersky.com/de/viruses/rescuedisk
Von der wird ein Linux gestartet, und der PC wird untersucht. Anleitung lesen!
Und P.S.: Genau das ist mein Beruf. IT'ler halt. ;^)
PS.PS.: Polizei könnt ihr Euch sparen, wird i.d.R. eingestellt.
Hi!
Meinst du also das Wiederherstellen der Werkseinstellung hat hier nichts gebracht?
Immerhin kam dann ein Start vn ganz vorne weg, also mit der Anzeige: Der Computer wird für den ersten Gebrauch vorbereitet oder so ähnlich, hab das jetzt nicht so genau im Kopf.
Dann Benutzername eingeben und Sprache einstellen und das Ganze, halt wie beim ersten Start nach dem Neukauf.
War erst mal froh, dass überhaupt wieder was gegangen ist! Und es sieht eigentlich danach aus als ob alles wieder passen würde.
Wenn alles läuft soll ich es jetzt so lassen, oder doch noch weitere Maßnahmen treffen?
MfG brunes01
Ich nehme an, du hast mit der beiliegenden Wiederherstellungs-CD gearbeitet.
Es sollte eigentlich reichen, aber wenn ein Rootkit auf dem Datenträger eine versteckte Partition erstellt hat.... hm... schwer, von hier aus zu sagen.
Ich persönlich würde mir die Kaspersky-CD aus dem Thread mal runterladen, eine CD anfertigen und sicherheitshalber von dieser booten und die Kiste prüfen. Gehst halt zwei, drei Stunden schiessen 
Danach kannst Du jedenfalls ruhiger schlafen. ;^)
Hi!
Hab gänzlich OHNE CD gearbeitet!
Alienrespawn 2.0 ist da von Haus aus drauf. Noch vor dem Start von Windows erscheint oben "Für Alienrespawn 2.0 Taste F10 drücken"
Dann startet die Software und man kann auswählen ob man ein Backup von C: machen will oder nicht. Das Ganze dauert dann so ca. 40-45 min und dann startet der Rechner, wie schon beschrieben, wie am ersten Tag.
Kann ich jetzt eigentlich irgendwie feststellen ob es noch eine versteckte Partition auf dem Datenträger gibt oder nicht? Oder geht das eben mit der Kaspersky-CD?
MfG brunes01
