Gefährlicher Trojaner: Täuscht vor von der Bundespolizei zu sein!

#1 Hallo, vieleicht habt ihr schon davon gehört, dieser Virus gibt sich als von der Polizei stammend aus und blockiert den gesamten Rechner(CMD Taskmanager, einfach alles) er öffnet sich schon durch das bloße !ansehen! einer Seite, und Startet ab diesem moment immer dierekt mit Windows mit.

Der Virus beschuldigt den User Kinderpornographisches Material auf dem PC zu haben und an der Versendung Terroristischer E-Mails beteiligt zu sein.
Nach der Meldung die mit Microsoft, BKA und Kaspersty Logos geschmückt ist und sich über den gesamten Bildschirm zieht, wird der Rechner erst nach einer zahlung von 100€ über den annonymen Dienst Ucash wieder freigegeben.

Ich hatte bis gerade eben selbst diesen Virus auf meinem Rechner, und muss sagen das es der erste(mir bekannte) Virenbefall meines Rechners war.

Die Malware verändert sich ständig, laut 1-2Wochen alter Sites lässt er sich durch das löschen einer Datei im (AppData/Local) Temp-Ordner des jeweiligen Benutzers befindenen Datei (dessen Namen ich gerade nicht auf dem Schirm habe) löschen, bei mir hatte diese Datei allerdings schon einen anderen Namen(neyctksp.exe).

Ich vermute aber das der Virus damit nicht komplet gelöscht ist, aber der Computer lässt sich wieder benutzen.

Falls vorhanden lässt sich diese Datei über einen anderen Benutzer löschen(laut anderen Quellen zumindest) da sich die datei ja nur im Temp Ordner eines Users Befindet.

Ich habe aber nur ein Benutzerkonto und war durch den Trojaner nicht mehr imstande einen zweiten anzulegen.

Über eine Live CD habe ich es dann heute morgen doch geschafft ihn umzubenennen, eigentlich wollte ich ihn löschen aber da ich mir die Datei jetzt nochmal angucken wollte habe ich einfach ein "X" vor und an die Dateiendung gesetzt.

Datei Infos: Name: Variable(Bei mir neyctksp.exe)
Größe: 135 KB
Erstellungsdatum: 21.04.2011
__________
Mein Security Blog: http://thinksafeblog.blogspot.com/

#2 Meinst Du den hier? http://www.heise.de/security/meldung/Trojaner-ist-angeblich-von-der-Polizei-1218561.html
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Ja, das ist er.
__________
Mein Security Blog: http://thinksafeblog.blogspot.com/

#4 Ich weiß nicht ob das hilfreich ist, aber ich zähle einfach mal auf woran man leicht erkennen kann, dass diese Meldung natürlich nicht von irgendeiner offizielle Stelle stammt:
• Haarsträubende Rechtschreibfehler ala "Es wurde folgender Vertoss festegestellt"
• bundeskriminalamtes@yahoo.com - muss man gar nicht mehr kommentieren
• Das Verbreiten von Kinderpornografie wird sicher nicht mit pauschal 100 € Geldstrafe geahndet, siehe:
http://de.wikipedia.org/wiki/Kinderpornografie#Deutsches_Recht
• Ein Bußgeld wird sicher nicht über einen anonymen Bezahldienst abgewickelt, nicht innerhalb einer 24 Stunden Frist und schon gar nicht mit einer Drohung sonst die Festplatte zu formatieren

Im Zweifelsfall sollte man niemals irgendwelche Zahlungen durchführen ohne vorher jemanden zu Rate gezogen zu haben der sich mit PCs oder Rechtsprechung auskennt.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#5 Mir war ja klar das dies eine Abzocke ist(auch wenn so eine Meldung sehr Einschüchternd wirkt), aber ich finde es sehr schockierend das dieser Virus durch das bloße öffnen einer Seite auf dem PC ist, und keine Firewall und kein AV Programm etwas dagegen tuhen kann!

Der User ist in diesem Fall wirklich hilflos !!!

Und wenn man sich jetzt noch vorstellt das ein Virus mit der gleichen Technik auch Problemlos alle Dokumente/Bilder löschen könnte oder sogar ins Netz hochladen könnte finde ich das noch erschreckender!!
__________
Mein Security Blog: http://thinksafeblog.blogspot.com/

#6 Nunja ganz so einfach ist das jetzt auch nicht, er muss schon gezielt eine Lücke im Browser ausnutzen, um Code auf deinem Rechner auszuführen. Das sind Sicherheitslücken der Internet Browser.
Und es ist auch nicht so, dass kein AV-Programm etwas dagegen tun kann. Die brauchen halt einfach eine gewisse Zeit, bis sie mit neuen bisher unbekannten Viren klar kommen

#7 Richtig, der Trojaner muss eine oder mehrere Sicherheitslücken ausnutzen, von allein kommt der nicht auf's System.
Leider beschränken sich die meisten Seiten darauf die immergleiche Meldung voneinander abzuschreiben, statt mal irgendwo den genauen Namen der Malware zu nennen oder auf die Original Quelle zu verlinken.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#8 Ukash Virus Bundespolizei Virus entfernen XP und Vista

Habe das nervige Ding gerade zerstört. Und so geht es.

1. fahrt Windows normal hoch; sobald der Ladebildschirm verschwindet und der Desktop erscheint ( wenn ihr ein Passwort habt direkt nach der Eingabe ) sofort den Task Manager mit Strg+Alt+Entf starten. ( schnell sein mit zwei Leuten geht es bessser )

2. Sofort den Reiter Prozesse aufrufen und alle Anwendundungen außer den Taskm
beenden. Damit ist er lahm gelegt.

3. Dann auf den Reiter Anwendungen gehen, neuer Task auswählen und folgendes
eingeben %systemroot%\system32\restore\rstrui.exe.

4,Die Systemwiederherstellung startet, wählt einen Punkt vor der Infektion aus und stellt wieder her ...... Fertig das Mistding ist kaputt und man ist wieder Herr über seinen PC.

5. Das im Anschluss ein Vierenscan steht und alle Temporären Internet Dateien gelöscht werden müssen sollte allen klar sein. Benutzt habe ich Antivir und Spybot

#9 Vielen Dank! Hab deine Anweisungen befolgt und es scheint jtz alles wieder normal zu laufen...

#10 moin zusammen,
wie ist das mit den neuen super pc`s, lasst ihr eure rechner eigentlich machen was sie wollen???. wenn ein programm wie "boeservirus,exe" und co. einfach loslegt sich selbsständig zu machen war es bisweilen immer noch ueblich dass er fragt ob er sich installieren darf, zumeist in der registry. dateien mit der endung ".exe" waren/sind bis jetzt immer noch ausfuehrbare dateien, ob sie nun boese oder auch dienlich sind. und temp dateien, cookies und dergleichen vor, ich wiederhole vor dem runterfahren des super pcs loeschen war schon immer hilfreich. ich denke das man einen pc auch hilfreich benutzen kann, wenn er nun richtig eingestellt ist. mit ein bischen vorsicht, der richtigen einstellung selbigen und aufmerksamkeit klappts auch meist.

fake
__________
Teile dein Wissen, denn das ist der einzige Weg Unsterblichkeit zu erlangen (Dalai Lama)

#11

Zitat

Steve 101 postete
Ukash Virus Bundespolizei Virus entfernen XP und Vista

1. fahrt Windows normal hoch; sobald der Ladebildschirm verschwindet und der Desktop erscheint

Hallo Steve 101
Wenn der Desktop erscheint, war´s noch die "harmlose" Variante.
Es kann auch schlimmer kommen:
Hab schon gesehen daß die Userinit.exe gelöscht wurde, und statt dessen immer die "Virus.exe" beim Windows-Start geladen wurde.
Der entsprechende Schlüssel "HKLM/SOFTWARE/MICROSOFT/WINDOWS NT/CURRENTVERSION/WINLOGON" war
dahingehend geändert worden.
In dem Fall muß man die Userinit.exe von der Win-CD wiederherstellen und den Schlüssel korrigieren.

Gruß P.

#12

Zitat

fake postete
moin zusammen,
wie ist das mit den neuen super pc`s, lasst ihr eure rechner eigentlich machen was sie wollen???. wenn ein programm wie "boeservirus,exe" und co. einfach loslegt sich selbsständig zu machen war es bisweilen immer noch ueblich dass er fragt ob er sich installieren darf, zumeist in der registry. dateien mit der endung ".exe" waren/sind bis jetzt immer noch ausfuehrbare dateien, ob sie nun boese oder auch dienlich sind. und temp dateien, cookies und dergleichen vor, ich wiederhole vor dem runterfahren des super pcs loeschen war schon immer hilfreich. ich denke das man einen pc auch hilfreich benutzen kann, wenn er nun richtig eingestellt ist. mit ein bischen vorsicht, der richtigen einstellung selbigen und aufmerksamkeit klappts auch meist.

fake

seit wann fragt jedes programm welches enderungen an der reg. machen will nach, das ist falsch.
diese malware kommt per drive by download und "fragt" nicht ob sie instaliert werden darf.
da hilft nur updates für windows und dritt anbieter software.
Secunia:
http://www.chip.de/downloads/Secunia-Personal-Software-Inspector_28151435.html
bitte die erweiterte ansicht auswählen
und file hippo update checker:
http://www.filehippo.com/updatechecker/
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
windows updates aktivieren
http://windows.microsoft.com/de-DE/windows-vista/Turn-automatic-updating-on-or-off
und das surfen, ausschließlich in sandboxie
instalationsbeispiel für den ff:
Download:
http://www.chip.de/downloads/Sandboxie_21760394.html
anleitung:
http://subsetlines.wordpress.com/anleitungen/sandboxie/sandbox-einstellungen/
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
geht auch unter
c:\windows\sandboxie.ini
unter dem eintrag defauld box
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
dann hilft natürlich nen aktuelles av.


zu solchen tipps wie von @Portecor gegeben rate ich ab, ihr wisst nie ob noch weitere malware auf dem pc ist

genau wi das scannen mit spybot, bringt keine verlässlichen ergebnisse, bringen doch grad mal 1 update pro woche.

#13

Zitat

virenfinder postete
moin zusammen,
(...)
zu solchen tipps wie von @Portecor gegeben rate ich ab.

Hallo virenfinder

HAHAHAHA...

Du rätst also davon ab die userinit.exe wiederherzustellen?
Dann erzähl doch mal wie Du ein System ohne Userinit.exe wieder zum Laufen bekommen willst.

Wahrscheinlich durch ... NEU-INSTALLATION!

LOOOOOL

sorry

#14 @Portecor:

Zitat

Zu solchen tipps wie von @Portecor gegeben rate ich ab, ihr wisst nie ob noch weitere malware auf dem pc ist

Hast du nach der Hälfte des Satzes aufgehört zu lesen? Der Einwand ist völlig richtig, dass man ein infiziertes System nicht durch eine einzelne Änderung wieder flott machen sollte um dann anschließend womöglich sorglos weiterzuarbeiten.

Eine Neuinstallation ist tatsächlich der sicherste Weg und wenn man regelmäßige Backups anfertigt auch innerhalb kurzer Zeit erledigt. Das ist nicht LOOOOOL sondern wird unter anderem von Microsoft selbst empfohlen:
http://winfuture.de/news,63975.html
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#15

Zitat

asdrubael postete
@Portecor:

Zitat

Hast du nach der Hälfte des Satzes aufgehört zu lesen? Der Einwand ist völlig richtig, dass man ein infiziertes System nicht durch eine einzelne Änderung wieder flott machen sollte um dann anschließend womöglich sorglos weiterzuarbeiten.

Eine Neuinstallation ist tatsächlich der sicherste Weg und wenn man regelmäßige Backups anfertigt auch innerhalb kurzer Zeit erledigt. Das ist nicht LOOOOOL sondern wird unter anderem von Microsoft selbst empfohlen:
http://winfuture.de/news,63975.html

Hast Du in meinem Post etwas gelesen von "sorglos weiterarbeiten" ?