Wenn ein Lösegeld-Trojaner Windows sperrt

F4mouSS schrieb:einfach den pc im abgesicherten modus starten mit eingabe*.dann systemwiederherstellung und das problem sollte behoben sein

Eine Frage bleibt: wie kam das Ding überhaupt auf den Rechner? Wenn dieses Problem nicht erkannt wird, ist man wieder der Gefahr ausgesetzt.

Vorschlag beim Aufsetzen von Rechnern:

- Daten auf eine eigene Partition
- ersten Nutzer nur als Administrator nutzen
- neuen Nutzer mit eingeschränkten Rechten anlegen, mit dem arbeitet man dann

Zehn Jahre nach XP müsste die letzte Softwarehinterzimmerschmiede verstanden haben, dass Nutzerdaten und -einstellungen nicht nach C:\windows oder C:\system gehört, sondern in das Nutzerprofil, womit man auch als Nicht-Administrator mit einem Windows-Rechner normal arbeiten kann.

Ich bin nach wie vor der Meinung, dass das Hauptübel von Windows-Installationen ist, dass der Hauptnutzer, mit dem man in der Regel unterwegs ist, Administratorenrechte hat. 99,9% der Gefahren sind gebannt, wenn man als eingeschränkter Nutzer unterwegs ist.

Nicht gebannt ist natürlich die Gefahr, dass man das Administrationspasswort eingibt, weil man unbedingt sehen will, welche Bilder sich in "geile_titten_trojanerinnen.jpg.exe" verstecken ;)

ja genau systemwiederherstellung ein paar tage zuvor hat er auch noch gemacht

also der Kunden Rechner auf dem wir das entfernt haben, haben wir erstmal via Linux die besagte shell.exe aus der Registry verbannt. danach war wieder ein einloggen ins Win möglich. Dann haben wir aufn Browser geklickt und tolle "Hardcore Vids" wollte der wiederherstellen^^ Alles klar? Flash ist der undichte punkt^^
Wir haben dem Kunden das Sys nach den Funden wieder neu gemacht, vorher nach nem Virenscan haben sich noch drei weitere Dinger die damit scheinbar zu tun hatten gemeldet.
Die haben wir entfernt und nochmal nen scan gemacht, schien etwas Wurmartiges zu sein. Also haben wir eben neuaufgesetzt bevor der Kunde in drei tagen wieder kommt.
Mit unsere variante sind wir aber Problemlos an seine Daten und Programme gekommen ohne drei Tage alles wieder hinterherzuspielen^^

MfG Heppy™

PS: Als ich das Wort Systemwiederherrstellung erwähnte haben mich die Kolegen nur ausgelacht... noch keine Ahnung warum, es wurd mir aber aus Sicherheitsgründen von abgeraten^^

@Heppy

Aber YouTube nutzt auch Flash. Oder passiert das eher nur auf Pronoseiten? :cool:

Flash kann man mit einem symbolischen Link (einer Verknüpfung) nach /tmp umlenken oder nach /dev/null. Fragt mich jetzt nicht, wie das bei Windows heißt (temporärer Ordner oder Löschen ohne Wiederkehr). Bei Unix (OS X) und Linux geht das so. Auf jeden Fall sind dann Cookies und anderes Zeugs der Flashseiten nach dem nächsten Reboot oder sofort weg.

Hier mal für Unixer und Linuxer (bitte als Nutzer, nicht als root!):
[code]rm .macromedia
ln -s .macromedia /tmp/
ODER
ln -s .macromedia /dev/null[code]

@SallySpectra

SallySpectra schrieb:Aber YouTube nutzt auch Flash

darüber geht es auch.der trojan nutzt ein leak im java.sollte eigentlich adobe bekannt sein.
also jeder der flash nutzt könnte den trojaner bekommen.atm ist es ruhig geworden da er fame geworden ist.das beste ist aber 2 os zu benutzen.
linux fürs i-net usw.
windows zum daddeln.

Habe das Ding schon in einer anderen Version gesehen und da kam die Erpressung, Meldung vermeintlich vom BKA;-) Ich habe der Person auch geraten die Kiste neu zu Installieren und vorher noch das BIOS zu falschen falls sich die Sau auch noch im Speicher einnistet. Dazu würde ich auch vor dem Löschen der Partition bei Win XP noch den MBR Löschen und erst dann das System neu Partitionieren und aufsetzten. Ja, die Dinger werden immer fieser ebenso wie die Menschen die sie aus purer Geldgeilheit Schreiben.

Ich hatte den schon @SallySpectra
Ich habe gegoogelt wo er überall drinsitzt und habe dann die festplatte ausgebaut Sie als externe verbaut und alle Dateien unter ein anderes Betriebssystem manuell gelöscht
Und dann nochmal nen paar Virus Programme überlaufen lassen.
Bin ihn los :)

ist mir erst vor 3 tagen oder so passiert.
hab schon gedacht alle urlaubsbilder und andere unersetzbare dokumente wären weg.

das programm hat mir einen weißen hintergrund mit microsoft logo etc angezeigt. dort stand das aus irgend einem grund mein computer gesperrt wurde und er in 24 std formatiert wird wenn ich nicht 100 euro einzahle.

habs aber mit systemwiederherstellung um 9 std oder so zurückgesetzt.

@Sicherh.Fanati
Hi,Werte Gemeinde
Bin gerade neu und möchte mal meine Erfahrung mitteilen.
Als Nutzer ab XP und jetzt Win 7 nutze ich zum Surfen generell nur das eingerichtete >Gastkonto<
Da darf man fast nichts in Bezug auf Zugriffe,aber es sperrt dafür aber andere Zugriffe vollkommen aus. Der Rechner ist dann in Bezug aufs System zusammen mit meinem Router Speedport (mit Hardwarefirewall) völlig dicht. Für runtergeladenes Material gibt es eine Partition einer 2.HDD welche automatisch ständig geprüft auf Viren (mit Antivir Premium) und Spyware. So fallen Schädlinge meist gleich auf. Und dann weg von dieser üblen Site. Meine Daten liegen ohnehin nur im Netzwerk auf meiner Netz-HDD. Für alles was man oft braucht sind auf allen Rechnern nur Links zu den Dateien. Hatte eigentlich in meinen 16 Jahren Windows-Praxis keine Probleme mit Viren, Trojanern u.d.gl.. Bin aber auch ein Prüf-Fanatiker. Außerdem werden meine 4 Systeme mit True Image Home regelmäßig gesichert (14tägig), da kann dann nichts mehr weiter verloren gehen. Geht natürlich ganz schön ins Geld dieses Hobby (mehrfache Lizenzen für alles).

Also ich meine, sichert Euch regelmäßige Eure Daten, dann ist das billiger als Geld für solche Gangster in die Welt zu schicken und verarscht zu werden.

Viel Erfolg

Ich hatte diesen Virus/Trojaner auf meinem PC.
Nach dem ich den via Systemwiederherstellungspunkt zum laufen gekriegt. Danach lief er wieder zickt aber nun mit der grafik etwas rum nun hat mein Avira einen Virenscan (täglich) eine Meldung geschickt, kann es sein das diese Viren noch Überbleibsel des BKA-Trojaners sind?

Der Systemwiederherstellungspunkt ist keine Lösung bei einem Vieren /Trojanerbefall.
Die Systemwiederherstellung überschreibt nur einen Teil der Dateien.
Vierenvereuchte Dateien können zurück bleiben und bei der nächsten "Aktivierung" erneut Schaden anrichten.

Grüße Nex

@Bellaphönix
Ich glaube es ist besser und sicherer, wenn du dein System neu aufsetzt.

das wird etwas problematisch :( @Türkis

ich lasse grade den DE-Cleander laufen der ist viel langsamer als Avira. Dies Programm wurde von der BSI empfohlen http://forum.chip.de/viren-trojaner-wuermer/bka-ukash-trojaner-entfernen-1522212.html (Archiv-Version vom 24.09.2011)

@Bellaphönix
Hm, das ist blöd. :( Bin jetzt nicht so die große Expertin, bei mir war es so, wenn mal Avira ordentlich Alarm schlug -Trojanische Pferdchen- ging es letztendlich nur noch mit ner Neuinstallation. Egal was ich erst noch versuchte. Kennst du HijackThis? Könnte dir vielleicht auch hilfreich sein.

Na du scheinst aber mehr ahnung zu haben als ich ^^ @Türkis

Ich hoffe den Verursacher packen sie wenn er aus seinem mauseloch gekrochen kommt -.-

Fazit: HijackThis ist ein mächtiges Tool, um das Windows-Innenleben auf ungewollte Veränderungen hin zu überprüfen. Aufgrund seiner Beschaffenheit eignet sich das Tool aber nur für Experten und kann bei unbedarfter Nutzung schnell zu ungewollten Folgen führen.
Klingt etwas hmmm bin etwas skeptisch nicht das ich meine PC durch eigene Hand kille

@Bellaphönix
Oje, hab mir irgendwie seit ich DSL und nen Laptop hab, jede Menge selbst beigebracht. ;) Als ich das System neu drauf hauen mußte, packte ich das auf Anhieb allein. *stolz guck* :D Warum wäre das bei dir generell problematisch mit dem Neuaufsetzen? Fehlt ne Cd oder so?
Hm, also HijackThis hatte ich früher mal drauf, las damals vorher Anleitungen etc., aber laß es lieber, wenn du dir damit nicht sicher bist. Bei ,,PcFreunde" kann man dir vielleicht auch noch Tipps geben, da sind viele Profis.

Exakt daran mangelt es mir habe diesen PC geschenkt bekommen aber kein Betriebssystem zum aufspielen :(
2. muss ich erstmal nach sehn wie das geht ^^ bin froh das mich jemand da durch gelotst hat und ich das System zurück setzten konnte
@Türkis