Beitrag wurde zuletzt am aktualisiert

Weiterer Clone des BKA-Trojaners

Trojaner-Meldung blockiert Windowssystem

Auf dem Blog von Botfrei, dem Anti-Botnet Beratungszentrum, bin ich heute über einen weiteren Clone des Bundespolizei Trojaners gestolpert. Wieder die „bekannte“ und bereits hier beschriebene Masche!
Der Rechner zeigt nur noch eine Meldung, die auf eine vermeintliche ungesetzliche Aktion des Nutzers verweist und zur Bezahlung eines bestimmten Geldbetrags auffordert.
Ob und was der in der Meldung erwähnte Download wirklich beinhaltet, weiß ich nicht. Vielleicht noch etwas „Bonus-Malware“ o.ä. – Finger weg!

Auch hier gilt: Auf keinen Fall zahlen! Und die Anleitung von Botfrei befolgen.
Mit Sicherheit wird es auch bei diesem Plagegeist wieder zu Mutationen kommen und es wird Abweichungen bei der Trojaner-Entfernung geben.

Meldung auf dem Windows-Bildschirm

Achtung!
Aus Sicherheitsgründen wurde ihr Windowssystem blockiert

Durch das Besuchen von Seiten mit infizierten und pornografischen Inhalten ist das Computersystem an eine kritische Grenze angekommen, nach der das System zusammenbrechen und die ganzen Dateien verloren gehen können. Um das System wiederherstellen zu können, müssen Sie ein zusätzliches Sicherheitsupdate herunterladen.
Dieses Update ist ein kostenpflichtiges Upgrade für besonders infizierte Windowssysteme. Es beschützt das System vollständig von Virus und Schadprogrammen stabilisiert Ihr Computersystem und verhindert den Datenverlust.
[Bezahlen und runterladen]

Windowssystem durch Trojaner blockiert

Windowssystem durch Trojaner blockiert - Screenshot: blog.botfrei.de

Ihr Computer wurde von der GVU gesperrt

Bei Golem wurden am 20.03.2012 Informationen über eine weitere BKA-Trojaner-Variante veröffentlicht. In diesem Fall wird der Name der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) missbraucht. Simon teilte mir in einer E-Mail kurz mit, dass er diesen Trojaner bislang nur per Boot-CD oder einem nicht infizierten Benutzerkonto entfernen konnte. Das Starten des Rechners im abgesicherten Modus funktioniert hier nicht mehr.

Rollt nun eine weitere Welle von gesperrten Rechnern auf Deutschland zu? Sollte ich mehr Informationen über das Thema erfahren, werden diese natürlich hier veröffentlicht.

112 Kommentare zu "Weiterer Clone des BKA-Trojaners"

  1. Sind schon echt fies solche Trojaner, ich frag mich echt wie gierig und morallos man sein muss um derartige Trojaner zu proggn.

    • @ azella

      Einfache Antwort – „Geld regiert die Welt“.
      In diesem Fall mal wieder – leider. :-(

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • hallo zsm

        bei mir ist das auch passiert. hab mir ein video angesehen und die seite kam und ich konnte nichts mehr machen. hab erst versucht nach der anleitung das runter zu kriegen, aber das hat nicht funktioniert. deshalb hoffe ich das mir hier jemand helfen kann!

        schritt 1 ist ja mit f8 in den “abgesicherten Modus mit Eingabeaufforderung“ booten.

        wenn ich dann auf „abgesicherter modus mit eingabeaufforderung“ enter drücke, startet der pc neu und kommt wieder in das menü, weil das irgendwie nicht funktioniert hat. nach merhmaligen ausprobieren kann ich leider nur auf windowssystem normal starten gehen. hab meinen pc dann vom netzwerk getrennt und es hat immer noch nicht geklappt.

        hoffentlich kann mir jemand helfen, bin wirklicher verzweifelt.

  2. Gestern hat sich meine Tochter bei iTunes den blockierten Bildschirm (wie oben gezeigt ) eingefangen. Die explorer.exe wurde gestartet, aber sofort von dem roten Bildschirm überdeckt. Nach ein paar Versuchen habe ich festgestellt, dass das Schadprogramm nur bei eingeschalteter Netzwerkkarte startet. Im Autostart habe ich dann ein mir unbekanntes Programm „peizva.exe-345D5E6C.pf“ gefunden, auch bei Google hab ich nichts dazu gefunden, hab es im Autostart deaktiviert und der Spuk war vorbei. Anschließend noch die Exe-Datei gesucht und gelöscht.
    Ich selber gehe grundsätzlich nur noch mit Linux ins Internet, alle meine Daten sind auf einer externen Festplatte, die bei Internetaktivitäten grundsätzlich nicht am Rechner ist. Ich werde den Rechner meiner Tochter entsprechend herrichten.

    • @ peter Schulze

      Ich habe deine/Ihre Angaben mal auf meine Seite übernommen.
      Vielen Dank für die ausführliche Beschreibung.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • im ordner C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft ist ein exe datei torrent.exe denn löschen muss funktionieren bei meinen rechner hatt es geklapt.

    • @ sohbet

      Einer von vielen Namen…ich habe ihn in meine Liste mit aufgenommen (Punkt P14.1)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Ich habe alles viel unkompliezierter geschaft.
      Also: Als erstes braucht man ein Anti Virus Programm ich empfehle AVG Version 8.5. Dann müsst ihr warten bis der Pc hochgefahren ist. Nartürlich dauert es damit der Virus aktiviert wird, weil er sich mit dem Internet verbinden muss. Dann wenn der PC hochgefahren ist müsst auf die AVG Verknüpfung drauf gehen und den Scann starten. Gleich danach ist der Virus aktiviert und euer PC ist blockiert, aber der Scann wird trotzdem fortgefahren. Nach ca. 20 min könnt ihr den PC wieder aus machen und wieder hochfahren. Ihr werdet merken das der Virus nicht aktiviert wird. Ihr geht noch mal auf die AVG Verknüpfung und guckt auf den Quarantäneraum wo alle infizierten Dateien verlegt werden. Da müsst ihr jetzt die Trojanar was auch immer einfach löschen. Das wars so habe ich es getan. ;D

      • @ :O

        Sei mir nciht böse, aber das ist das was man so in jedem freien Forum/Blog lesen kann bei Leuten „die es meinen zu wissen“.

        Diese Leute bedenken nicht, das es eben NICHT so bei jedem geht, das es eben MEHRERE Varianten gibt, das Leute nicht ganz so schnell sind wie derjenige der den Post machte.^^

        Weiterhin wird NIE bedacht das ein Antiviren-Programm wie z.B. AVG (Free) nur nach Viren sucht und mit Glück dabei auch Teile von Malware findet.
        Ob zum Beispiel Rootkits am Werk sind oder Teile davon evtl. noch vorhanden sind erkennt man nicht einfach nur durch bloßes anklotzen was da in der Quarantäne steht und es dann löscht.^^

        Ich will ja niemandem auf die Füße treten, aber wie schon hier und hier beschrieben, ist meist MEHR notwendig um wenigstens einen gewissen Schutz wieder zu haben.

        Ich lasse mich gerne eines Besseren belehren, aber ohne weiteres kann ich diesen Post da obendrüber nicht so stehen lassen.^^

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  3. Ein separates Linux (z.B. Ubuntu) für Internet-Aktivitäten ist sicher eine gute Idee. In einer virtuellen Maschine auch recht unkompliziert aufzusetzen und somit kann die gewohnte Windows-Umgebung weiter genutzt werden.

  4. Hallo! Einfach PC ohne Internet verbindung starten !Dann von ein Virusprogramm (Malwarebytes) denn Virus suchen lassen und entfernen.Jetzt Dateien sichern.Dann Neustarten!

  5. Hallo Miteinander,
    die eigegefügten bekannten Hinterlassenschaften in dreifacher Version im Autostart wurden zwar erfolgreich entfernt, dafür hinterlässt irgendetwas bei jedem Einloggen ins Netz massenhaft pf Dateien unter C:Windows/Prefetch…
    Kann ich mal den ganzen Prefetch ordner zu löschen versuchen , Oder?
    Gruß,
    Caro

  6. Vielleicht kann jemand einen Tipp abgeben, Danke

    • @ Caro

      Die *.PF-Dateien im Ordner C:\Windows\Prefetch sind in der Regel bislang nicht als infizierte Objekte in Erscheinung getreten.
      Im Glauben daran, das bei Dir/Ihnen keine so neuartige Variante im Spiel war/ist, würde ich sagen das der Ordner in Ordnung ist, so wie er ist.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  7. Guten Tag,
    ich bin leider sehr unerfahren was Trojaner und PC´s an sich angeht… also ich bekomme ihn an und aus :) ICh hatte auch die oben beschriebene Meldung… Es ging nichts mehr an meinem Laptop. Sobald er hochgefahren war, öffnete sich das besagte Fenster und ich konnte es weder schließen noch irgendentwas anderes auf meinem PC machen… Ich habe – keine Ahnung wie – ^^ ein Virenscan drüberlaufen lassen und der hat wohl irgendwas gefunden und den Computer bereinigt (ICh glaube ich hab die WLan-Taste an meinem Laptop ausgeschalten und ihn ohne Internetzugang hochgefahren, dadurch konnte ich das Antivirenprogramm nutzen ohne dass gleich das dumme Fenster geöffnet wurde – kann das sein?) Auf jeden Fall hab ich seit diesem Eingriff keine Probleme mehr damit, dass sich ein Fenster oder ähnliches öffnet. Jetzt ist meine Frage: Ist der vermeindliche „Trojaner“ jetzt weg? oder kann der noch irgendwo sein?? Ich habe noch einmal einen Virenscan zur Sicherheit drüberlaufen lassen (Avira Premium)… Es wäre wirklich toll, wenn mir jemand helfen könnte… Weder ich noch meine Mom kennen uns damit aus :( Vielen lieben Dank schon im Voraus. Sandra

  8. Hat der Virenscan irgend welche Dinge erkannt? Avira meldet das in einem kleinen Fenster bzw. in der Log-Datei. Wenn das der Fall ist, dann könnte die Software den Schädling gefunden und entfernt haben.

    Bei bka-trojaner.de sind unteren Bereich unter „sonstige“ weitere Hilfen zu diesem Trojaner. Dort mal nach deinem Betriebssystem Ausschau halten und versuchen die dortigen Hinweise nachzuvollziehen.

  9. Hallo Zusammen,
    ich habe auch das Problem.
    Wenn ich über meinen Adminzugang ins Web gehe, kommt nach kurzer Zeit dieses Fenster.
    Nun habe ich einen 2. Admin eingerichter und kann ohne Probleme surfen.
    Es könnte nun am Explorer9 unter Admin 1 liegen.
    Wo könnte hier der Virus stecken? Ich habe schon alle guten Viren und Trojanerscanner ausprobiert. Und die temporären Dateien, Cookier und Co. gelöscht. Er kommt aber immer wieder.

    • @ Jockl

      Vielleicht hilft Dir/Ihnen dieses Posting weiter:
      https://www.redirect301.de/bka-trojaner-clone.html/comment-page-1#comment-6297

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  10. Hallo zusammen,
    ich boxe mich auch schon seit paar Stunden mit dem Trojaner rum. Was ich bis jetzt rausgefunden habe, ist dass sobald man das Internet absteckt, der Screen nicht mehr erscheint. Das einzige was mich jetzt noch ein bisschen stutzig macht, ist die Tatsache, dass das Teil die explorer.exe befällt und meines bisherigen Wissens zufolge löscht kein Virenprogramm die explorer.exe.

    Auf dieser Seite hier ( ) sind Schritte beschrieben, wie man das angeblich umgeht, jedoch hat es bei mir nicht funktioniert. Nach dem Neustart war alles wieder das selbe, bis ich dann mal wie gesagt den PC vom Internet abgezogen habe.
    Trotzdem kann die Seite vielleicht hilfreich sein, da es standarisierte explorer.exe Dateien, je nach Betriebssystem anbietet.

    Ich bastel mal noch ein bisschen weiter, sollte ich es lösen können poste ich das ganze hier natürlich.

    MfG

    • Die o.g. Anleitung hat nicht geholfen?
      Wäre klasse, wenn du zu dieser Trojaner-Variante ein paar Worte verlieren würdest, sobald du ihn beseitigt hast. Viel Erfolg!

    • @ Wulf

      Nach meinen bisherigen ERfahrungen wird bei dieser Ransomware nicht mehr die explorer.exe befallen (wie gesagt – meine Erkentnisse bislang).

      Dafür aber gibt es diverse Dateien z.B. im Autostart, welche sich aber nciht wesentlich vom ehemaligen BKA/GEMA-Ransomware unterscheiden.

      Auch ist der „Befall“ der firefox.exe nichts neues mehr.
      Ich würde sagen, das ich selbiges auf meiner „Erweiterungsseite“ seit rund 1 oder 2 Wochen stehen habe. :-)

      In Wirklichkeit wird in den unter ..\Appdata\Local\Mozilla\Firefox bestehenden Ordner nur eine weitere firefox.exe-Datei hinzugefügt.
      Diese ist meistens auch im Autostart unter „msconfig“ zu sehen und nennt sich dort „Firefox Helper„.
      HErsteller sit meist unbekannt oder hat andere Namen, aber das ist egal -in dieser Hinsicht zumindest.

      Es genügt damit diese firefox.exe (nicht den gesamten Ordner, weil unnötig und für den Firefox welcher installiert ist auch eigentlich benötigt) zu löschen und im Autostart zu deaktivieren.
      Dann noch in der REgistry nach dem bekannten Pfad suchen und löschen.

      Anschließend wie schon beschrieben natürlich Offlinescan und Malwarebytes-Scan als MINIMUM nach einer Infektion.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Hallo Simon,

        ich habe auch gleiche Problem mit BKA Trojaner allerdings sobald es Internet Anschluss gibt. Wie du oben geschrieben hast, habe auch firefox.exe und firefox helper schon gefunden aber sie sind schwer zu entfernen. Sie tauchen immer wieder auf. Was soll man da machen?
        Danke.
        Gruss,
        Aziz

      • Frank Altbuerger | 13. Februar 2012 um 10:45 | Antworten

        Hallo Simon,

        ich habe mir dieses elende Ding auch eingefangen. Bin relativ hilflos und auch alles andere als ein Crack. Ich habe den Rechner ohne Internetverbindung hochgefahren, dann über die Suche alle geänderten Dateien unmittelbar vor dem Auftauchen ermittelt. Es tauchen diverse pf-Dateien auf, eine ganz frisch erstellte Datenbankdatei von 5,25 MB und einige evt-dateien auf. eine exe, ausser in den pf-dateien habe ich nicht gefunden.Bringt es etwas, da mit dem Löschen zu beginnen?
        Ich wäre dir für eine Antwort wirklich sehr dankbar.
        Frank

      • @ Frank Altbuerger

        *sorry* das ich erst jetzt zum Antworten komme, aber einerseits war heute die Arbeit recht lang und dann wollten auch noch x-Mails und sonstige Postings bearbeitet werden (und es sind noch nicht mal jetzt alle bearbeitet.^^)

        Sehen die *.PF-Dateien in etwa so aus wie auf meiner Seite unter Punkt P14.1?
        Wenn ja – LÖSCHEN!

        Die Datenbankdatei glaube ich nicht das diese dazugehören wird und *.EVT-Dateien sagen mir aktuell gar nichts. (Müsste ich mal googlen.)

        Wie heißt die *.EXE-Datei und/oder ähnelt Sie den Dateien unter P14.1?

        Ansonsten mal in den beliebtesten Fundorten schon geschaut?

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • @ Aziz

      Das Problem dabei dürfte gleich vielfältig sein:
      1. Wird sich eventuell eine Kopie der Datei (vielleicht unter anderem Pseudonym) woanders festgesetzt haben.

      Weiterhin vermute ich dass das Teil sich auch in die Systemwiederherstellung und in den Ordner Recyled eingenistet haben könnte.

      Um den Punkten zu entgegnen probiere erstmal folgendes…
      1. Deaktivieren die Systemwiederherstellung
      2. Deaktivieren den Ruhezustand
      3. Deaktiviere die Auslagerungsdatei auf deinem Systemlaufwerk oder erstmal komplett auf allen eventuell vorhandenen Laufwerken.
      4. Lösche die pagefile und ggf. hyperfile auf dem ROOT-Pfad deines Systemlaufwerks, sowie den Inhalt des Recyled-Ordners.

      Achtung: Nach alle diesen Maßnahmen gibt es keinerlei normale Möglichkeiten dein System auf einen Früheren Zustand „zurückzusetzen“!

      5. Führe minimum einen Quick-Scan mit Malewarebytes von z.B. CHIP.de durch.
      Das entsprechende Logfile würde ich mir gerne, sofern ich es von dir bekommen kann, danach anschauen und ggf. damit dann weitere Tipps geben und meine Seite erweitern.

      Hinweis: Die meisten Dateien & Ordner werden erst angezeigt, wenn man im Windows-Explorer über Extras – Ordneroptionen die „Geschützten Systemdateien“ und „Dateien & Ordner anzeigen“ aktiviert hat.
      Hinweis 2: Alle Aktionen ab Punkt 4 sind nur im Abgesicherten Modus möglich.

      Bei Fragen frag lieber erst nochmal, etwas falsches zu löschen könnte theoretisch schlechte Folgen haben. ;-)
      Wie shcon in anderen Posts und auch auf anderen BLOG-Seiten bei redirect301.de geschrieben, gibt es für Hilfesuchende neben den Postings hier in Notfällen auch die Möglichkeit mich per Mail zu erreichen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Vielen Dank, Simon!

        nach dem ich dir geschrieben habe und bevor du zuruckgeschrieben hast, habe probiert eine neu Account anzulegen. Dann mit dieser Account habe ich auf alte zugegrifen. Damit koennte ich firefox.exe loeschen auch Firefox selbst habe ich komplett geloescht. Was aber komisch ist, bei System Configuration bleibt Firefox helper immer noch haengen. Bis jetzt geht’s mit Explorer okay.
        Kurz zu was ich gestern gemacht habe: wolte System zurucksetzen aber ging’s nicht, kam immer wieder Meldung dass ich Antivirus program habe und eben deswegen Stoerprobleme gab. Hab dann Avira erst deaktiviert, spaeter geloescht. Also beim Zurucksetzen hat’s trotzdem nichts passiert. Weil ich dann kein mehr Antivirus program habe, habe mir Microsoft security essentials runtergeladen und kurz scannen lassen. Das als auch Malware hat nichts gefunden aber erst jetzt als ich voll scannen angefangen habe scheinen zwei Trojanerarten mit Namen algkb.exe (trojaner Downloader) und csgraf.exe. Entfert sind sie aber wie gesagt bei System Configuration stehen sie immer noch wie fest geklebt.

        Als naechster Schritt wuerde ich probieren was du oben geschrieben hast.

        Was ist wenn man System neu draufsetzt?

        Nochmal vielen Dank!
        Gruss,
        Aziz

    • @ Aziz

      Die Autostarteinträge bleiben solange drin bis Sie aus der Registry entfernt wurden (P14).
      Das kann man theoretisch händisch unter den Schlüsselordnern machen die man hier findet:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^[Benutzername]^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^[Programmname]

      Sieht komplizierter aus als es ist, es gibt da meist nciht viele Ordner und daher sind die „Falschen“ recht einfach zu finden.

      Eine Neuinstallation ist eigentlich „immer“ der sicherste Weg. LEider aber halt auch der komplizierteste.
      Denn man muss im Grunde ungefähr so vorgehen:
      1. Daten sichern auf z.B. eine externe Festplatte
      2. Aktuellste Treiber runterladen + Antiviren-Programm für das neue System
      3. Diese Daten natürlich ebenfalls sichern
      4. Dann das System komplett platt machen
      5. Das System neu Aufsetzen und bis zum maximalen Punkt updaten. Bevor der Computer ans Netz gelassen wird, sollte aber der Viren/MAlware-Scanner installiert worden sein und als erstes dann geupdatet werden.
      6. Jetzt die Datensicherung wieder anstekcne und erstmal sauber durchscannen.
      7. Daten wieder zurückspielen
      8. Eine gescheite Datensicherung einrichten. Dies geht seit WindowsXP recht simpel, seit Windows Vista / Windows 7 ab den höheren Varianten sogar als komplette Computersicherung.

      Hoffe damit ein paar Fragen geklärt zu haben. :-)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  11. Ich habe den Virus heute so austricksen können.
    Computer hochfahren mit F8 im abgesicherten Modus starten.
    Den PC einige Tage zurücksetzen und neustarten.
    Unter Umständen muß Mozilla (falls Brouwser) neu runtergeladen werden.

    Jetzt sollte sich der Trojaner nicht mehr melden.
    Aber er ist nicht weg (also virusscanner drüberlaufen lassen)

    • dümmste antwort ever-.-

      • @ Snake

        Warum?
        Er hat durchaus das richtige getan und auch gesagt.

        Allerdings sollte man sich nicht darauf ausruhen das ein einziger Virenscanner der evtl. schon zum Infektionszeitpunkt installiert war, alles dann noch findet.
        Ein Offline-Viren/MAlware Scan und ein Scan im Abgesichten Modus mit z.B. Malwarebytes wäre defintiv noch zu machen.

        Und selbst dann gilt wie immer! – Einem einmal infizierten System sollte man nicht mehr immer alles zutrauen.
        Sprich einmal infiziert – Daten sichern – Neuinstallation des Systems – Update bis Ultimo = Bester Weg.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

      • hat bei mir auch funktioniert mit der rücksetzung
        also nicht so die dümmste antwort

  12. Die Systemwiederherstellung ist natürlich auch immer wieder eine gute Möglichkeit. Danke @Thools

  13. war gestern auf google maps und bam, kam die scheisse, abges. modus alles verd. entfernen, „AN NEULINGE: NICHT EINFACH IRGENDETWAS LÖSCHEN“
    dann noch spybot und n guten av (avira eher nicht ^^) un es hat sich erledigt problem bei der sache ist wie bekannt, die versch. namen unter denen sich es einschleicht

    • @ Snake

      Spybot ist ja an sich ne nette und teilweise auch gute Idee. Ist aber am besten erst dann einzusetzen wenn man die Registry mit Tools wie MalwareBytes AntiMalware und Offline-Scannern soweit als möglich geprüft hat.
      Denn ansonsten setzt man sich evtl. mit Spybot die Teile auch noch „fest“ in die Registry und kann Ihnen nicht mal ordentlich entgegenkommen (zur Entfernung).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  14. Mich hat es vorhin auch erwischt beim Surfen bei deviantart … Avira hat nichts erkannt. Ich versuche es jetzt mal mit der AVG Rescue CD.

  15. Hallo
    Ich habe das selbe Problem. Habe 2 wege ausprobiert.
    1. Über abgesicherter Modus wurde del svhcost.exe nicht gefunden.
    2. Die Systemwiederherstellung hat nichts gebracht, obwohl ich ein Datum gewählt habe vor der Zeit des Virus.
    Vielleicht liegt es daran, dass ich Vista habe?
    Danke
    Jasmin

    • @ Jasmin

      Welches Betriebssystem Du hast ist dabei – beinahe – unerheblich.
      Einzig mit Betriebssystemen wie Windows Vista oder Windows 7 ist es minimalistisch „leichter“ das Teil wieder loszuwerden.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  16. Ziemlich tückischer Virus. Mein Bruder hatte ihn sich jetzt auch eingefangen, und ich konnte ihn auf ganz andere Weise entfernen als hier bisher genannt.
    Mit ist auch schnell aufgefallen, dass das Virus-Fenster nicht aufpoppte, nachdem man die Internetverbindung deaktiviert hatte. Somit konnte man also ungestört am Pc rumprobieren.
    Mir ist dann aufgefallen, dass die firefox.exe im Autostart drin war, und das hat mich stutzig gemacht, da das ja nicht der Fall sein sollte. Als ich mir dann mal den Dateipfad angeschaut hatte (C:\Users\“username“\Local\Mozilla) und da reingegangen bin, konnte ich feststellen, dass bei dieser ominösen firefox.exe als Hersteller nicht Mozilla, sondern ein Hersteller mit Namen „Whole Array Levy“ angegeben war. Kurz gegooglet, nichts gefunden zu dem Hersteller, und beim Ausführen der exe ist auch nichts passiert (sie war ja trotzdem im Autostart, konnte sich aber ohne die Internetverbindung anscheinend nicht starten). Dann habe ich probehalber die echte firefox.exe gestartet, und dann kam auch sofort das Firefox-Fenster, nur eben mit Fehlermeldung.
    Also hab ich kurzerhand diesen Ordner vollständig gelöscht.
    Pc neugestartet –> Kein Virus-Fenster mehr, auch nicht bei aktiviertem Internet.
    Das Tückische an dem Ordner war, dass da teilweise Erstellungsdaten der Dateien von 2009 oder so dranstanden, weswegen man sich da zunächst nichts Böses gedacht hat. Aber das Löschen des Ordners hat den Virus gestoppt. Jetzt werden wir wohl das System nochmal neu aufsetzen und hoffen, dass es sich damit erledigt hat.
    Hoffe, dass diese Anleitung noch mehr Leuten helfen kann, auch wenn sie teilweise zugegeben seltsam ist.

    • Danke für deine Hinweise @Jannik. Bin mir sicher, dass dies mal wieder eine neue Masche ist.
      Man, man, man: Noch nicht mal der Firefox ist den Hackern heilig …

      • @ Daniel

        Da ich mit dem Teil meine Erfahrungen mittlerweile auch machen könnte (Remote bei Leuten die Hilfe suchten), werde ich diesbezüglich nachher hier noch was tippen.

        Soviel sei aber gesagt, Firefox selbst bleibt „unangetastet“.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • Also, ich habe versucht genau das zu machen, was Du geschrieben hast. Aber leider kann ich den firefox Ordner nicht löschen. Was mache ich denn da nun? Ich habe weiter unten gelesen, dass jemand einfach firefox umbenannt hat oder so. Aber ich weiß nicht wie das alles funktioniert. Kannst Du oder jemand anderes mir vielleicht für totale Laien erklären wie das geht???

      Vielen Dank!!

      • Also falls das Problem noch besteht… hast du den Prozess auch beendet? Oft lassen sich Dateien nämlich nicht löschen, wenn ein laufender prozess auf die Datei zugreift.
        Sprich: Start –> „msconfig“ in die Leiste unten eingeben (da wo „Programme/Dateien durchsuchen“ steht) –> oben „Systemstart“ auswählen und dann in dieser Liste den firefox-Prozess deaktivieren, also das Häkchen wegmachen.
        Dann Task-Manager aufrufen und die „firefox.exe“ beenden.
        Und dann nochmal versuchen, die exe zu löschen.

    • Also, bei mir wars genau das gleiche, es waren nur eine andere Firma etc angebeben… hab den Prozess beendet und den Ordner gelöscht. Werde jetzt gleich nochmal ein Virenscanner drüberlaufen lassen.
      Danke also schonmal für den Beitrag!
      Allerdings habe ich noch eine Frage: Ist der Mozilla-Fake-Ordner jetzt tatsächlich und 100%ig gelöscht? Nur indem man Löschen klickt und den Papierkorb leert? Ich meine, ich kenne mich mit PCs nicht sonderlich gut aus, aber wenn ich so einen Virus „erstellen“ würde, dann würde ich dafür sorgen, dass der Ordner immer wieder kommt (falls sowas geht…)… also, ich weiß, dass der Virus mittlerweile nun auhc schon an anderer Stelle sitzen kann, es wundert mich nur, dass die Ursache mit einem einfachen Ordner-Löschen entfernt sein soll..

      • Jo das ist so ne Sache. Ich habe leider keine Ahnung, wie der Programmierer den Virus geschrieben hat, theoretisch ist es schon möglich, dass der Virus „Ableger“ im System hinterlässt, bisher hat sowas aber noch niemand gemeldet meines Wissens, also denke ich mal, dass das hier nicht der Fall ist (bei uns war es auch nicht so). Also ich denke mal, wenn du nochmal nen Scanner laufen lässt und vielleicht gegebenenfalls Windows nochmal neu installierst, bist du ihn auf jeden Fall losgeworden ;-)

  17. Bei mir ist unter C:\ „user“ nicht vorhanden und wenn ich in die Suchoption „local“ eingebe findet er diesen Ordner nicht. Muss ich mir jetzt sorgen machen?
    Wie bekommt man diesen erpresserischen Trojaner weg, langsam nervts.

    • Es muss „C:\Users“ heißen, das Plural-S ist wichtig. Der muss bei dir auf jeden Fall vorhanden sein, sonst halt „C:\Benutzer“, kommt glaube ich aufs selbe raus.

      • @All

        Und für Alle die das Teil unter WindowsXP haben, lautet der Pfad dann C:\Dokumente und Einstellungen.

        Einfacher ist der Mozilla-Ordner aber über %APPDATA% in der Adressleiste zu erreichen. Dort muss man dann nur noch eventuell einen Pfad zurückgehen auf ..\Local\.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  18. Ok ich komme der Sache näher. Ich konnte den Mozilla Ordner nicht löschen, habe daher den Ordner umbenannt und den firefox auch umbenannt. Nach dem neustart funktioniert auch endlich das Internet. Welches Antivirus Programm benutzt man am besten damit man den trojana endgültig löscht.

    • @ jasmin

      Nachdem nun der Computer wieder genutzt werden kann, empfehle ich dringend erst mal folgende Schritte:
      1. Offline-Virenscan machen (zum Beispiel mit einer Boot-CD/DVD von einem bekannten Antiviren-Hersteller)
      2- Im Abgesicherten Modus (wenn möglich als Administrativer Benutzer) mit Malewarebytes z.B: von CHIP.de einen Scan machen.
      Sollte dort noch etwas gefunden werden, sende mit bitte das LOG-File zu (Mail).
      Dann kann ich diese erstens Analysieren und zweitens dich bei eventueller weiter Gefährdung (meiner Einschätzung nach!) informieren.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  19. @ Daniel Weihmann

    Hinweis auf viel nervigere Variante:
    Ebenfalls nicht mehr neu und bei mir immer wieder angefragt (nach Hilfe meine ich natürlich)…

    Es gibt eine Neuere Masche, nämlich die bei der der Computer gesperrt wird, teilweise ganz, teilweise nur zu Teilen mit einem Hinweisfenster.
    Diese meldet das man ein illegales Windows wohl im Einsatz hätte und man dafür (bislang) 50€uro Strafe zahlen solle.
    Dieses Teil ist um einiges nerviger und auch schwerer wegzubekommen.

    Ich muss mal schauen ob ich erstens noch einen Screenshot eines Kunden dazu finde, zweitens ob ich es in einer Virtuellen Maschine mal nachstellen kann (entsprechende Infektions des Systems dann vorausgetzt).

    Mit freundlichem Gruß,
    Simon

    (Fachinformatiker für Systemintegration)

  20. Ich hatte das Problem auch. Bei mir hab ich es wieder hinbekommen und zwar wie folgt: 1: Pc mit getrennter Inet Verbindung starten. 2: Taskmanager öffnen und nach einem bestimmten Prozess durchsuchen, der in Verbindung mit Firefox oder IE Explorer steht (Name ist mir leider entfallen). diesen dann beenden. 3.Dann unter C:/Doku.undEinst./*Benutzer*/Lokale Einst. Dort den Ordner Mozilla löschen. 4. Inet Verbindung wieder herstellen und dann sollte es gehen.
    Hoffe es hilft euch.

    • @ Christian

      Mal abgesehen vom Taskmanager und dem leider unbekannten Dateinamen, entspricht dies ja der obigen Anleitung bzw. der bisher bekannten Variante.

      Einzig das löschen des kompletten „Mozilla“ Ordners war nicht unbedingt notwendig. Solange man weiß wie die Datei/der Prozess heißt, reicht es genau jene Datei auch zu löschen.

      Im Endeffekt sei es jetzt aber drum. Die Hauptsache ist, das es jetzt wieder geht. :)

      PS.: Bitte als Minimum den kompletten Systemscan mit einem Offline-Scanner und mit Malwarebytes nicht vergessen!

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  21. Hallo!
    Ich habe mir leider den virus vorhin auch eingefangen und sofort auf meinem laptop nachgegoogelt. dann sofort das lan kabelaus meinem stand pc gezogen und jetzt lasse ich avast drüber laufen, reicht das aus? den ominösen ordner appdata finde ich auch irgendwie nicht. ich habe windows 7 als betriebssstem. irgendwelche tipps?

    • @ Dennis

      Tipps, mhh ja: https://www.redirect301.de/bka-trojaner-clone.html/comment-page-1#comment-6248

      Ansonsten findet man …\Appdata\ ganz einfach wenn im Windows-Explorer oben in der Adressleiste %APPDATA% eingibt.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  22. ich habe nun mein viren programm drüber laufen lassen und es hat 2 infizierte dateien gefunde die ich dann gelösct habe. dann hat mich mein viren programm gefragt ob ich eine offlinescan machen will, den hab ich auch gemacht und die infizierten dateien gelöscht. nun habe ich das lan kabel wieder eingesteckt doch die meldung des virus kommt immer noch. was nun?

    edit: das mit dem %appdata% habe ich auch versucht und finde leider immer noch nichts.

    • @ Dennis

      Besteht die Möglichkeit als „Benutzer“ (vorzugsweise Administrativ) sich im „Abgesicherten Modus mit Netzwerk“ anzumelden OHNE das die Meldung wiederkommt?

      Wenn ja, schreib mich bitte per Mail mal an.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  23. nun habe ich es doch noch geschafft die appdata zu finden und habe im /mozilla/firefox weder eine neue exe datei noch den „firefox helper“ gefunden. bei mir ist dort lediglich zufinden : crash reports , profile , desktop-hintergrund , profiles (als konfigurationseinstellung)
    besteht bei mir das problem trotzdem im firefox ordner?

    • @ Dennis

      Zumindest auf die hier bekannte Variante trifft deine Beschreibung somit nicht zu.

      Mal ganz stumpf im Autostart (Start -> Programme -> Autostart) und in der msconfig (Start -> Ausführen -> msconfig -> [OK] Button -> [Reiter] Systemstart) nach verdächtig scheinenden Objekten geschaut?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • in dem autostart ordner war nur mein open office?! und in der msconfig habe ich nichts verdächtiges gefunden außer open office?! ist das ein zufall?

      • @ Dennis

        Schaue bitte mal hier…der andere Pfad sieht nämlich nur sehr sehr ähnlich aus:
        C:\Users\“Benutzername“\AppData\Local\Mozilla\Firefox

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  24. Aha! nun habe ich eine neue firefox exe gefunden da steht genau der hersteller dran von dem jemand weiter oben schon gesprochen hat. soll ich diese löschen ? wenn ja was soll ich beachten?
    vielen dank soweit schon mal für ihre hilfe simon!

    • @ Dennis

      Ich denke das Problem hat sich ja jetzt gelöst.

      Und für alle Anderen. Ja, das löschen der firefox.exe Datei wäre zumindest schonmal der erste richtige Schritt von noch ein paar folgenden mal abgesehen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  25. Hallo,
    ich habe mir vorhin auch den virus eingefangen… die schädliche datei hab ich auch schon gefunden unter appdata. Allerdings kann ich die firefox.exe datei nicht löschen da ich wohl nicht berechtigt dafür bin.. kann mir einer wohl einen Tipp geben wie ich diese trotzdem löschen kann?

    Vielen Dank

    • @ Jürgen

      2 Möglichkeiten:
      1. Es gibt einen Administrativen benutzer an diesem Computer, dann probiere es darüber.
      2. Gehe in den Abgesicherten Modus und logge dich da als (vorzugsweise Administrativer) Benutzer ein.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Dankeschön für die schnelle Antwort!

      • Simon, du solltest dir eine Hotline einrichten und einen Antiviren-Notdienst ins Leben rufen. Wie vielen Leuten hast du eigentlich schon persönlich geholfen?
        Wenn von denen nur jeder 5 € gespendet hätte …
        Der Simon hat übrigens einen Spenden-Button auf seiner eigenen Webseite. Also schaut dort mal vorbei und denkt daran, wie viel Geld ihr gerade gespart habt.
        Diesen Aufruf muss ich als Betreiber von redirect301.de an dieser Stelle einfach mal machen.

    • @ Daniel Weihmann

      Also wenn ich das jetzt mla so grob über den Daumen peile und mal nur die Mails nehme, nur die RemoteSitzungen und nur den (bislang einen) Vorort-Termin, dann komme ich auf sicherlich (geschätzt!) 100-120 Leuten.
      Wenn ich jetzt noch die Postings und die einzelnen Personen dazu betrachten würde…ähm ja.^^

      Spendenbutton ist imer eine gute Idee.^^
      Leider, wenn ich das so sagen kannn/darf, betätigen ihn recht viele ohne ihn dann auch wirklich zu nutzen.
      Lastschrift bislang noch kein Mensch und Direkte Überweisungen aufs Konto per Mailanfrage so raoundabout 5 Leute bislang.

      Wenn jeder der bislang gedrückt hätte auf den 2 €uro Button gedrückt UND es dann auch bestätigt hätte, hätte ich minimum bislang 300mal was gespendet bekommen.

      Aktueller Stand:
      15 x 2,00 €uro minus Paypal-Abzüge
      04 x 5,00 €uro minus Paypal-Abzüge
      05x Überweisung eines Betrags

      Aber immerhin gibt es Leute die drücken, wie man sieht. Es sind nur nicht gerade viele. :-|

      Für eine Hotline hätte ich (leider) weder wohl dauerhaft die Nerven, noch die Zeit.
      Denn einerseits mache ich ja schon Telefonsupport (unteranderem) im Hauptberuf und wie man schon sieht, ich arbeite ja auch noch ganz regulär.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  26. also malwarebyte (auch in der free version) ist in der lage abhilfe zu schaffen:
    kann hier, oder bei chip etc bezogen werden. http://www.malwarebytes.org/

    • @ abhilfe

      Malwarebytes Anti-Malware ist eines der von mir immer wieder gesagten und auch bevorzugten Programme.
      Leider aber hilft es nicht immer und nicht überall und nicht unbedingt als alleiniges Werkzeug.

      Also eine Allzweckwaffe ist es somit leider nciht, aber gut ist es, es genutzt zu haben – das stimmt. :-)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  27. Hallo Simon,
    ich hoffe, du kannst mir auch irgendwie helfen. Freitag Abend kam plötzlich auch diese Meldung auf meinem Laptop. Bekam erstmal total Panik und war total irritiert. Da nichts mehr ging, habe ich mein Laptop erstmal ausgeschaltet.. naja eher den Strom abgeschaltet. :D
    Als ich ihn wieder startet, ging alles und auch mein Virenprogramm meldete nichts.
    Aus Verzweiflung habe ich alle Daten (hauptsächlich Fotos und Musik) auf CD gezogen. Im Nachhinein denke ich mir, dass es vielleicht nicht so schlau war. Habe auch versucht, hier einige deiner Tipps zu befolgen, aber ich fand bislang keine auffällige Datei oder sonstiges. Die Meldung kam bislang zwar noch nicht wieder, aber solange ich mir nicht sicher bin, ob der Schädling sich noch irgendwo versteckt, mag ich meinen Laptop garnicht benutzen. :( Ich kenn mich zwar etwas mit PCs aus, aber auf diesem Gebiet kein bisschen. Kannst du mir weiter helfen und mir raten, was ich am besten machen sollte?

    Liebe Grüße
    Mareike

    • @ Mareike

      Ohne jetzt die anderen Leuten hier die Lösung vorweg nehmen zu wollen, aber es wird vermute ich „etwas komplizierter sein“, so das ich hier ne halbe Tonne als Lösungswege angeben könnte.

      Da die viele hier schon stehen oder auch auf meiner Seite oder in anderen Bereichen dieses BLOGs, würde ich Dich Mareike bitten, das Du mich bitte per Mail anschreibst.

      Die „Endlösung“ kannst Du/kann ich dann immernoch hier posten.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  28. Danke schonmal Simon.

    Ich glaube, ich habe die Schädlinge gerade gefunden.
    Habe mein Virenprogramm nochmal angeschaltet und es hat Trojaner gefunden, die mit ihrer Beschreibung auf mein Problem passen.
    Falls das Problem nochmal auftritt, werde ich auf dich zurück kommen! ;)

    Viele Grüße
    Mareike

    • @ Mareike

      Kannst du mir bitte mal, sofern vorhanden, die LOG-File deines Scanners zukommen lassen? (Oder mir die Funde und Fundorte herausschreiben zur Not?)

      Danke Dir.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  29. @ Simon

    Ich schreibe dir jetzt mal die Funde und Fundorte raus, da ich des anderen nicht mächtig bin. :D

    1. torrent.exe
    C:\User\…\AppData\Roaming\Microsoft\torrent.exe

    2. 0.8672869630663058.exe
    C:\User\…\AppData\Local\Temp.8672869630663058.exe

    Ich hoffe, du kannst damit etwas anfangen.

    Viele Grüße
    Mareike

    • @ Mareike

      Ja, ich habe die Dateien immerhin jetzt auf meine Seite aufgenommen.
      Eine Identifizierung welche Sorte Trojaner es eventuell war, ist damit halt leider nicht möglich.

      Danke Dir aber trotzdem.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  30. Mich hat der Virus jetzt auch gepackt. Ich hatte im abgesicherten Modus unter Systemstart geschaut, ob ich etwas Verdächtiges finde, was aber nicht der Fall war. Also heißt es diese firefox.exe zu löschen, während das Internet getrennt ist?

    • @ Julia

      Theoretisch und am besten auch praktisch – ja.
      Nämlich: https://www.redirect301.de/bka-trojaner-clone.html/comment-page-1#comment-6375

      Bitte nicht falsch verstehen, aber nach deinem Folgepost erscheint mir das doch immernoch die beste und sinnvollste Lösung zu sein.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  31. So, den Virus bin ich soweit los, komme wieder ins Internet. Habe jetzt Malwarebytes runtergeladen und lasse es drüber laufen. Gibt es noch etwas, was ich jetzt für meinen Laptop tun kann?

  32. Malware funktionierte irgendwie nicht, es stoppte mittendrin irgendwann und daraufhin ging nichts mehr. Habe aus dem Grund Glarity drüber laufen lassen.

  33. Kann mir vielleicht jemand mal für nicht-PC-bewanderte Menschen erklären wie ich diesen firefox Ordner lösche oder ihn wie auch immer unschädlich machen?

    2 Möglichkeiten:
    1. Es gibt einen Administrativen benutzer an diesem Computer, dann probiere es darüber.

    Ich bin an meinem Laptop der einzige Benutzer. Bin ich dann nicht automatisch der administrative Benutzer?? Trotzdem kann ich den Ordner nicht löschen.

    2. Gehe in den Abgesicherten Modus und logge dich da als (vorzugsweise Administrativer) Benutzer ein.

    Wie loggt man sich denn als administrativer Benutzer ein?

    Könnte mir vielleicht jemand eine Schritt für Schritt Anleitung geben? Das ist zwar irgendwie peinlich, aber ich kenn mich in der Hinsicht echt nicht mit Computern aus. :(

    Vielen Dank!

    • @ Steffi

      Schreib mich mal per Mail an, dann können wir dies eventuell auch „anders“ lösen.
      Da soll jetzt nicht so aussehen als würde ich hier jemandem was vorenthalten wollen, aber es kann so einfach einfacher sein.

      Die Endlösung kann ja dann später hier gepostet werden (sofern sie sich denn von der ehemaligen Lösung unterscheiden sollte.)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  34. Erstmal vielen Dank für die vielen Tipps und Hilfestellungen im Kampf gegen den Trojaner. So wie es aussieht, bin ich ihn losgeworden. Allerdings bin ich nicht sehr computerversiert, d.h. vielleicht schwirren doch noch irgendwo infizierte Dateien rum. Leider kann ich meinen Laptop nicht sofort neu aufsetzen, hab dazu aber schon mal eine Frage: Kann ich meine externe Festplatte an meinen Laptop anschließen um Daten, die ich bisher noch nicht übertragen habe, zu verschieben? Oder riskiere ich dann, dass infizierte Dateien (sofern es sie noch gibt) auf die externe Festplatte gelangen und ich den neu aufgesetzen Laptop wieder infiziere. Sollte das der Fall sein, wie kann ich die Daten retten?

    Vielen Dank schon mal!

    • @ Christina

      Ja, Du kannst deine Daten dorthin sichern.
      Danach mache aber bitte dann folgendes:
      1. Wenn Daten gesichert – das Sicherungsmedium an KEINEN andern Computer anstecken.
      2. Mache deinen Computer platt und installiere ihn von Grund auf neu.
      3. Rüste dein System mit Updates und Antiviren/Antimalewareschutz so weit wie nur irgendwie möglich aus.
      4. Stecke erst jetzt das Sicherungsmedium wieder an den Computer und SCANNE nun erstmal alle dort liegenden Daten.
      5. Sollte nichts zu finden sein, dürfen die Daten wieder zurück auf die Festplatte.
      6. Stelle Dir ein regelmäßiges Backup ein. (Dies geht seit WindowsXP schon recht gut mit der mitgelieferten Software. Ab bestimmten Windows Vista und Windows 7 Varianten geht es sogar als eine komplette „Computersicherung“.)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  35. Ich habe och eine Frage:
    funktioniert die oben gennante Anleitung zur entfernung auch genauso bei Windows XP?
    Wenn nicht, was genau muss ich anders machen?

    schon mal danke für deine Hilfe

    LuGu

    • @ LuGu

      Prinzipiell sollte diese genauso oder sehr ähnlich auch dort funktionieren.
      Sollten Fragen oder Probleme auftreten, so melde Dich/melden Sie sich einfach wieder.
      Wir/Ich werden versuchen Dir/Ihnen dann weiterzuhelfen.

      (Auch wenn es bei mir aktuell schon regelrechte Warteschlangen gibt und ich in den letzten Tagen was drum gäbe ein kompetentes Helferlein zu haben.^^)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  36. Achtung ich habe eine Seite gefunden die einen Virus hat …geht nicht auf www.pferde.de….ich habe mir einen dort eingefangen ..erst nach ein paar minuten öffnete sich eine Seite Achtung !aus sicherheitsgründen wird Ihr Windows blockirt
    darunter ein Butten Zahlen und Herunterladen.Ich kam nicht mehr zurück..musste den Pc ausschalten und neu hochfahren.Dann wollte ich wieder online gehen kam der dreck wieder… dann musste ich wieder ausschalten und hochfahren.Mit meinem Antivirusprogramm habe ich mein PC gescannt und gefunden dann gelöscht.
    naja bis jetzt habe ich ruhe hoffe das er ganz weck ist.

    • @ Sandra

      Kannst Du mir/Können Sie mir mal die komplette Adresse per Mail zu komen lassen?

      Vielen Dank.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  37. hallo zusammen, habe mir leider auch besagten virus eingefangen! habe die posts sehr interessiert gelesen, nur leider weiss ich nicht,wie ich den „falschen“ firefox ordner unter windows xp finde?! bin computertechnisch leider nicht besonders bewandert! kann mir da jemand helfen? vielen lieben dank. miki

    • @ miki

      Gehe in den Abgesicherten Modus, und dort in deinen Windows-Explorer.
      Im Idealfall hast du oben schon die sogenannte Adressleiste, in der sowas wie C:\ drinsteht.
      Wenn ja, gebe dort einfach %APPDATA% ein.
      Dann findest recht schnell den besagten Ordner.

      Siehe dazu auch meine Punkte P14 und P14.1.
      Bei weiteren fragen, melde Dich entweder hier oder per Mail bei mir.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  38. Hallo,

    nur zur Info: Ich hatte heute den Trojaner auf dem Rechner, nachdem ich eine bis dahin unverfängliche Seite besucht hatte.
    Ich habe mich durch die Beiträge hier gewühlt, an verschiedenen Orten nach verdächtigen Dateien gesucht und nichts gefunden, auch die hier vielfach erwähnte zusätzliche Firefox.exe war nicht zu finden. Eine Suche mit Antivir blieb erfolglos. Ich wollte schon mein System neu aufsetzen, habe aber vorher eine Systemwiederherstellung versucht (ich habe Win7 64-bit) und es hat funktioniert. Nachdem ich jetzt den PC wieder online habe, ist die Meldung nicht wieder aufgetreten. Jetzt scanne ich mein System auf Malware (Antivir und Malwarebytes), aber bisher konnte nichts gefunden werden. Ich hoffe, dass das Problem nicht wieder auftritt. Ich melde mich wieder, wenn es der Fall sein sollte.

    VG
    willi

    • @ Willi Wiesel

      Bitrte auch noch einen Scan mit dem Online-Scannner von eset.de machen lassen sowie am besten noch einen Scan mit Kasperskys TDSS-Killer.

      Sollte was gefunden werden, bitte hier posten oder mit per Mail zusenden. Vielen Dank.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  39. Hallo Leute, hatte mir auch gerade dieses fiese Ding auf Win 7 64bit eingefangen. Zum Glück auf dem Benutzerkonto ohne admin -Rechte. Task Manager war oh f… gesperrt, Ok, erstmal zur Ruhe kommen, bloss nicht auf den Bezahlbutton der Gangster klicken, überlegen und Internetverbindung sofort kappen. Da es möglich war, den Benutzer zu wechseln, habe ich mich über das admin Benutzerkonto eingeloggt. Taskmanager auf und sämtliche Internetexplorerstrukturen und -dienste vom infizierten Benutzer beendet. Wieder beim infizierten Konto anmeldet…Warnseite ist zwar weg, aber man(n) kann keine Menus öffnen. Also Neustart…jetzt sieht alles aus wie früher, aber der Schein trügt!!! Sofort Avira laufen lassen, Autostart checken und die von Simon gelisteten möglichen Verlinkungen zum Schädling durchsuchen. Avir findet kurz nach erneuter Internetanbindung des PC´s „Begin scan in ‚C:\Users\XXXXXX\AppData\Local\Skype\Skype.exe‘
    C:\Users\XXXXXX\AppData\Local\Skype\Skype.exe
    [DETECTION] Is the TR/Ransom.Foreign.aoo Trojan
    [NOTE] The file was moved to the quarantine directory under the name ‚495fae22.qua'“. und
    „Begin scan in ‚C:\Users\XXXXX\AppData\Local\Temp\mor.exe‘
    C:\Users\XXXX\AppData\Local\Temp\mor.exe
    [DETECTION] Is the TR/Ransom.Foreign.aoo Trojan
    [NOTE] The file was moved to the quarantine directory under the name ‚4992ad2a.qua‘.“
    In der Registry findet sich nichts, allerdings unter den Java Ordnern C:\Users\XXXX\AppData\LocalLow\Sun\Java\Deployment\cache\6.0
    Bis jetzt kam keine Meldung mehr. Ich lasse jetzt noch zwei Scanner vom USB Stick laufen. Es ist also zu empfehlen im Internet mit einem Benutzerkonto ohne admin Rechte zu surfen. Verwunderlich ist, dass Avira beim Laden der infizierten Webseite nicht reagiert, aber danach im Scan den Trojaner entdeckt hat….Nun denn, nobody is perfect. Schönes WE Mahone

    • @ Mahone36

      Danke für den Bericht, habe die mor.exe noch in meine Liste mit aufgenommen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  40. Hi,
    hatte Gestern auch das gleiche Problem. Bei meinem Laptop ging gar nichts mehr. Bin dann im Abgesicherten Modus wieder ins Windows und hab im Autostart eine Exe gelöscht. Diese bestand aus Zahlen. Danach hab ich die Kaspersky Rescue Disc 10 drüber laufen lassen. Die fand bei Skyp was. Leider hab ich keine genauen Bezeichnungen, denn ich war froh das alles weg war. Danach ging auch alles wieder. Hab dann Sicherheitshalber mein MCAffe drüber laufen lassen. Kein Fund mehr. Kann ich sicher sein das wirklich alles weg ist? Gerne auch per Mail.

  41. Also, hab nach der Anleitung nochmal genauer geschaut. Da scheint mehr zu sein. Z.b. die mor.exe hab ich gefunden und noch ein paar weitere Dateien die mir komisch vorkommen, aber die nicht in der Liste stehen. Hab ein Bildschirmbild davon. Wer kann sich das mal ansehen? Würde mich sehr freuen.
    Wundert mich nur das der McAffe das alles nicht gefunden hat.
    Gruß Andi

  42. Hallo,

    auch ich habe mir besagtes Vieh eingefangen. Hab den Thread schon recht aufmerksam gelesen.
    Eine bootfähige Avira CD habe ich bereits durchlaufen lassen, mit 4 Funden, aber ohne durchschlagenden Erfolg.

    Firefox habe ich nicht, und auch keine Datei diesen Namens. Ich gehe mit „Seamonkey“ ins Netz, was auch von Mozilla ist, aber das scheint sauber zu sein.
    Im Autostart ist nichts auffälliges zu finden. Über MS Config habe ich allerdings eine Datei „Skype.exe“ gefunden, was mich äußerst stutzig macht, denn ich nutze skype nicht. Das Datum der Datei ist der 26.2., also der Tag an dem Virus das erste Mal aufgetreten ist. Kann das evtl. des Rätsels Lösung sein?

  43. PS: der genaue Name der Datei lautet:
    skype.exe-36986FA9.pf, mit folgendem Pfad: c:\windows\prefetch

  44. Yeah! Das wars tatsächlich!

    • @ Peter

      Freut doch zu hören. :-)

      Im Endeffekt bin ich noch gemischter Gefühle dazu, denn die *.pf-Dateien deuten auf ganz alte Varianten der BKA/GEMA-Ransomware hin, wiederum dass das Teil skype mit im Namen hatte auf was neues.

      Ich würde noch MINIMUM einen Scan mit MalwareBytes Anti-Malware drüberlaufen lassen.
      Sollte sich noch was finden, dann bitte die LOG-Datei mir zusenden (Mail).

      @ALL
      Wegen der großen Menge an Hilferufen die mich per Mail erreichen, komme ich leider nicht dazu auch nur ansatzweise alle Postings zu beantwoten.
      Ich bitte daher um Verständnis, wenn es Stunden, evtl. sogar Tage dauert bis sich von mir aus was getan hat.

      Ich bin hier ja leider, größtenteils, „Last man standing“.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  45. also nach 2 stündigem suchen hab ich den auch gefunden, der nistet sich tatsächlich unter eigene dateien im skype ordner ein UND ist unter msconfig im autostart aufgelistet als „wren sprain outer weedy jay“
    von tropical software !!!

    MBAM hat ihn aber im nachhinein aber auch gefunden

  46. http://blog.botfrei.de/2011/12/gesperrter-pc-durch-kostenpflichtiges-upgrade-anleitung-zum-entsperren-unter-windows-7/

    da wird erklärt wie man das Problem behandeln kann /bin selber noch dabei es auszuprobieren, die Methode scheint aber nachvollziehbar.

    • @ Die Rettung!

      Entspricht dem, was ich den Leuten per Mail teilweise ebenfalls mitteile, aber mit Grafischer Oberfläche, oder bei Fernwartungen mitunter Remote durchführe.
      Damit ist bei den heutigen Varianten aber zu 90% leider noch lang nicht der Käse gegessen.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  47. Ja, die Jungs und Mädels bei botfrei.de machen einen tollen Job!

    • @ Daniel Weihmann

      Einerseits ja, andererseits stellen Sie das Problem damit (glaube ich) als gelöst dar. Dies ist nur wie eben schon geschrieben in 90% der Fälle heute nicht mehr der Fall.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  48. Tipp @ All

    Netzwerkstecker ziehen – Rechner booten – Micsosoft Security Essentials installieren (falls noch nciht vorhanden) – der erkennt den Schädling und gut ist.

    Zumindest bei mir hat es so funktioniert!

    Wolle

  49. da sieht man mal wieder wieviele leute auf pornoseiten unterwegs sind :D

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.