Gefährlicher Trojaner: Täuscht vor von der Bundespolizei zu sein!

#16

Zitat

Portecor postete
Hast Du in meinem Post etwas gelesen von "sorglos weiterarbeiten" ?

Jetzt wirst du aber spitzfindig. Wenn man nicht "sorglos weiterarbeiten" kann, dann ist das ja auch keine Hilfe zur Lösung des Problems und man kann es gleich sein lassen.
Letztendlich kann man evtl. deinen Rat befolgen aber dann fängt das Bereinigen erst an.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#17

Zitat

HeVTiG postete

Jetzt wirst du aber spitzfindig. Wenn man nicht "sorglos weiterarbeiten" kann, dann ist das ja auch keine Hilfe zur Lösung des Problems und man kann es gleich sein lassen.
Letztendlich kann man evtl. deinen Rat befolgen aber dann fängt das Bereinigen erst an.

Richtig erkannt, denn bevor OTL, Combofix, Ratzeputz und wie sie alle heißen ihr Werk beginnen können,
muß die Kiste erst mal laufen.
Und NUR dazu war mein Tip gedacht.

Zitat

Portecor postete
In dem Fall muß man die Userinit.exe von der Win-CD wiederherstellen und den Schlüssel korrigieren.

"muß" war vielleicht das falsche Wort, "kann" hätte es richtig heißen müssen.
Sorry

#18

Zitat

asdrubael postete
...
Eine Neuinstallation ist tatsächlich der sicherste Weg und wenn man regelmäßige Backups anfertigt auch innerhalb kurzer Zeit erledigt. Das ist nicht LOOOOOL sondern wird unter anderem von Microsoft selbst empfohlen:
http://winfuture.de/news,63975.html

Genau so ist es, alles andere ist fraglich und schwer zu beurteilen - naja bei irgendwelchen Heim PCs kann man ruhig experimentieren wenn man selbst das Risiko eingehen möchte.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#19 man muss die userinit.exe nicht wiederherstellen. die ist nämlich überhaupt nicht weg.
hier mal ein eintrag:
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EDYNAJGL\info[1].exe) - C:\Dokumente und Einstellungen\User1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EDYNAJGL\info[1].exe (BitDefender)
kann man im log des folgenden tools finden
http://oldtimer.geekstogo.com/OTLPENet.exe
löscht man diesen eintrag funktioniert der start wieder völlig normal und die malware, falls es nur diese eine war, ist erfolgreich vom pc entfernt
der schlüssel wird also nur geendert, um die malware zu starten, es wird keine datei gelöscht

#20

Zitat

Portecor postete

Zitat

asdrubael postete
@Portecor:

Zitat

Hast du nach der Hälfte des Satzes aufgehört zu lesen? Der Einwand ist völlig richtig, dass man ein infiziertes System nicht durch eine einzelne Änderung wieder flott machen sollte um dann anschließend womöglich sorglos weiterzuarbeiten.

Eine Neuinstallation ist tatsächlich der sicherste Weg und wenn man regelmäßige Backups anfertigt auch innerhalb kurzer Zeit erledigt. Das ist nicht LOOOOOL sondern wird unter anderem von Microsoft selbst empfohlen:
http://winfuture.de/news,63975.html

Hast Du in meinem Post etwas gelesen von "sorglos weiterarbeiten" ?

#21 habe den Rechner auf folgende Weise wieder flott bekommen:
Beim Start F8-Tste drücken, dan "abgesicherter Modus mit Eingabeaufforderung" wählen.
Wenn die Eingabeaufforderung erscheint, dann "cd C:\windows\system32\restore" eintippen und die "Enter-Taste" drücken. Jetzt den Befehl "rstrui" eingeben und ausführen. Die Wiederherstellung wird gestartet. Ein Datum das etwas zurückliegt anwählen. Alles Andere geht dann ganz von selbst. Der Rechner startet automatisch neu und funktioniert wieder. Danach noch einmal mit Virenscanner und-oder ähnlichen Programmen wie Spybot den Rechner prüfen und mit Cclean reinigen.

#22 Habe mir heute leider gottes auch diesen Bundespolizei Trojaner eingefangen.

Immer das gleiche:
- Start
- Passwort Eingabe
- 2 Sekunden Desktop
- Bildschirm gesperrt, folgende Meldung: http://www.abload.de/img/bundespolizeia1aj8.png

Problem gelöst, mit der Anleitung von http://www.bundespolizei-virus.de. Ich habe jetzt AntiVir mein System scannen lassen. Und Avast. Es wurde kein Virus gefunden. Als Browser nutze ich jetzt Firefox, vorher Internet Explorer.

Wie kommt der Virus auf den eigenen Rechner ? Per Flash / Java? Falls ja, kann man Flash / Java irgendwo im Browser deaktivieren und schnell aktivieren, falls man Flash / Java wieder benötigt?

#23 Java kann man im Browser in den Erweiterungen deaktivieren. Ich habe das auch gemacht, weil FF selbst eine Java-Konsole hat und man braucht Java eigentlich so gut wie nie.

Beim FF Reiter Extras -> addons und da Java deaktivieren.

Der Trojaner wird oft in verseuchten Anhängen von e-Mails "mitgeliefert.
Soweit ich weiss, sind Phishing-e-Mails die häufigste Infektionsursache und deshalb:

Keine unbekannten e-Mails öffnen, sondern ungelesen löschen!
Keine unbekannten Bilder oder Werbebanner anklicken, Klickibunti ist net cool!

Im FF kann man sich mit AdblockPlus vor der Werbeflut im Netz schützen und für Schnüffelproggis und Tracker gibts Ghostery als höchst nützliches Tool www.ghostery.com

Natürlich regelmässig Rechner mit Anti-Viren-Software scannen und Scanner immer auf dem aktuellsten Stand halten und den Müll mit dem ccleaner entsorgen.
Wer diese Grundregeln beachtet hat einen guten Schutz vor solchen Trojanern.