BKA-Trojaner?!

**Waldhall** · 12. 12. 2011, 13:18

Hallo liebe Gullis!

Es geht um folgendes. Ich war vor 2 Wochen im Internet unterwegs - Firefox war aktualisiert, mein Antivirenprogramm war aktiv.
Die Website hieß, klar, ihr kennt sie schon: serienjunkies.

Irgendwann ist diese 72-Minuten-am-Tag-Zeit vorbei. Ich wechsel den Hoster zu "Sockshare". Das neue Fenster geht auf, Pop-Ups gehen auf aber was ist das? "Bundespolizei! Ihr Computer wurde wegen blabla Terrorist" ihr kennt das bestimmt schon, bin ja nicht der erste. LockScreen Trojaner.

Also trenne ich meinen PC vom Internet, fahre ihn erneut hoch, passt. Eset hat den Virus gefunden und qurantänisiert

Zwei Tage später treffe ich einen Freund, der mir erzählt das er den gleichen Virus hat. Nur das er ihn nicht vin seinem pc bekommt. Wir haben das dann per Systemwiederherstellung gemacht, dann lief auch sein XP-PC wieder.

Lange Rede kurzer Sinn, ich dachte wenn Mozilla mir nen Trojaner rein lässt brauch ich ihn nicht mehr. Also steige ich um auf Opera. Alles super, PopUps werden erfolgreicher geblockt, Sockshare trotzdem vermieden.

Gestern gucke ich bei MegaVideo, dem Hoster meines Vertrauens Entourage, plötzlich macht es DING! und das Teil ist wieder da. Nur diesmal habe auch ich eine Systemwiederherstellung gebraucht, mit Internet kappen war nicht mehr.

Was ich aber interessant finde: Als ich Mozilla benutzt habe, kam der Virus standardmäßig über ein Pop Up, in Mozilla geöffnet. Gestern aber wurde Opera scheinbar geschickt umgangen und die 2 (!) Pop-Ups kamen über den Internet explorer - obwohl ich ihn nicht benutze sprich er nicht an war!

Meine Frage: Wie kann das sein? Ist es möglich das der Virus über Opera auf den ie zugreift, diesen dann öffnet und mich natzt?

Ich bin etwas verwirrt und nachdem ich meinen pc heute hochgefahren hatte, die .exe des Virus' aber nicht schnell genug beenden konnte, hat er mir direkt noch neue Viren draufgeladen. Kann ich das nicht irgendwie verhindern (außer mich von serienjunkies fern zu halten

)

Viele liebe Grüße
Waldhall

**musv** · 12. 12. 2011, 13:23

Zitat von Waldhall

"Bundespolizei! Ihr Computer wurde wegen blabla Terrorist" ihr kennt das bestimmt schon, bin ja nicht der erste. LockScreen Trojaner.

Mit Sicherheit ist das nicht der Bundestrojaner. Der dürfte Dir keine Popups auf den Bildschirm werfen.

**Lokalrunde** · 12. 12. 2011, 13:26

Mit irgendwelchen Systemwiederherstellungspunkten zu arbeiten ist keine Sicherheit; Dir wird im Zweifel wohl nichts anderes übrig bleiben, als Dein System neu aufzusetzen.

-> Malware-Abwehr und Desktop-Firewalls

Verschoben.

**Waldhall** · 12. 12. 2011, 13:40

Ohoh, es kann sein das ich mich aus Versehen undeutlich ausgedrückt habe. Ich meine den "Bundespolizeitrojaner" oder wie auch immer man ihn nennen mag. Es ist nicht der "Bundestrojaner" der vor einigen Monaten in den Schlagzeilen war.

Meiner sieht so aus: http://s.gullipics.com/image/3/f/8/h...-mrab/img.jpeg

Jetzt läuft er ja wieder der pc, habe ihn ja entfernen können. Mit der Systemwiederherstellung?!

**HD-Plueschtier** · 12. 12. 2011, 14:02

ich tippe auf Scareware.
alles andere würde sich nicht derart bemerkbar machen.

Warum soll man die Strafe von 100€ wohl mit UKash oder Paysafecard bezahlen? (und nicht etwa per Überweisung)

**Waldhall** · 12. 12. 2011, 14:13

Zitat von HD-Plueschtier

ich tippe auf Scareware.

Das ist es in jedem Fall! Allerdings dermaßen hartnäckige das man sie nicht einmal entfernen kann, wenn man über den abgesicherten Modus reingeht. Ich habe mal nach dem Virus gegoogelt, aber außer zu erfahren wie schlimm, bösartig und schwer zu entfernen er ist, habe ich nichts darüber in Erfahrung bringen können welche Programme er benutzt, um den pc zu infizieren. Ich hatte gehofft hier Hilfe zu finden.

**Erbseneintopf** · 12. 12. 2011, 14:23

das ding ist mittlerweile bekannt ohne ende und in etlichen variationen. und es gibts auch diverse mittel und wege das ding wieder loszuwerden, das kann man sich mit den im thread genannten begriffen problemlos ergooglen.

was aber auf jeden fall sicherer ist, das was Lokalrunde sagt. dazu vielleicht noch die lektüre eines der angepinnten themen: klick
und die welt ist wieder in ordnung.

**Tanaka90** · 12. 12. 2011, 14:28

Zitat von Waldhall

Allerdings dermaßen hartnäckige das man sie nicht einmal entfernen kann, wenn man über den abgesicherten Modus reingeht. Ich habe mal nach dem Virus gegoogelt, aber außer zu erfahren wie schlimm, bösartig und schwer zu entfernen er ist, habe ich nichts darüber in Erfahrung bringen können welche Programme er benutzt, um den pc zu infizieren. Ich hatte gehofft hier Hilfe zu finden.

dieser Trojaner in der 2.Version lässt sich trotz aktueller Antivirus-Software nicht vom System entfernen.

Man muss extra ein Malware-Prog. im abgesicherten Modus starten und anschließend nach Trojaner durchsuchen lassen.

**Waldhall** · 12. 12. 2011, 14:41

Zitat von Erbseneintopf

es gibts auch diverse mittel und wege das ding wieder loszuwerden, das kann man sich mit den im thread genannten begriffen problemlos ergooglen.

Genau das habe ich ja schon längst gemacht. Ich sitze ja am "gesperrten" pc. Wollte nur ml erfragen wie ich verhindern kann das mich das Ding nochmal erwischt. Zwei mal finde ich schon heftig, drei mal würde mich in eine Krise stürzen.

Der Link ist super, genau das habe ich gebraucht! Wird wohl an unnötigen java oder Adobe-Reader Dateien oder Scripts liegen. Werde mir das jetzt genauer angucken, vielen Dank dafür!

Jetzt noch einmal zum Verständnis: Ich habe meinen infizierten pc gestartet, während dem hochfahren den Taskmanager gestartet und die schdliche .exe sofort beendet - bevor sie aktiv wurde. Dann habe ich die Systemwiederherstellung durchlaufen lassen. Alles wieder gut.

Das heißt der Virus ist weg, oder nicht?

Mein Virenscanner hat ihn ja auch erkannt, konnte nur nicht aktiv werden! Nach der Wiederherstellung habe ich nen Virenscan durchgeführt, nichts mehr da. Bzw. nichts neues.
Weg oder nur versteckt?

**Erbseneintopf** · 12. 12. 2011, 14:46

Zitat von Waldhall

Ich habe meinen infizierten pc gestartet, während dem hochfahren den Taskmanager gestartet und die schdliche .exe sofort beendet - bevor sie aktiv wurde. Dann habe ich die Systemwiederherstellung durchlaufen lassen. Alles wieder gut.

Das heißt der Virus ist weg, oder nicht?

den oben verlinkten thread noch einmal gründlich lesen.

**Hezu** · 12. 12. 2011, 14:50

Den empfohlenen Thread lesen und danach handeln.
Das der Virus weg ist, kann dir keiner Garantieren, schließlich sind die Viren ja auch nicht doof, und können auch sogar eventuell die Wiederherstellungsdaten infizieren.

Neu aufsetzen, Hirn anschalten, nicht immer jedesmal auf alles klicken, was einem vor dei Nase / den Mauszeiger hüpft. Hilft in 99% aller Fälle.

ps.: Hier mal das Ergebnis, wenn ich - allein hier im Board - mal nach deinem "Trojaner" suche...

**Waldhall** · 12. 12. 2011, 15:40

Jetzt seid mal nicht so hart zu mir

Bin hier seit 2 Stunden angemeldet, das Erste was ich getan habe war, nach "BKA Trojaner" zu suchen. Da kam aber nix. Tut mir leid das ich eure Zeit in Anspruch genommen habe.

**Kugelfisch23** · 12. 12. 2011, 15:43

Abgesehen vom notwendigen Neuaufsetzen des Systems solltest du dir Gedanken machen, wie es zur Kompromittierung kommen konnte.

Zitat von Waldhall

Lange Rede kurzer Sinn, ich dachte wenn Mozilla mir nen Trojaner rein lässt brauch ich ihn nicht mehr. Also steige ich um auf Opera. Alles super, PopUps werden erfolgreicher geblockt, Sockshare trotzdem vermieden.

Mutmasslich wird dafür keine Schwachstelle in Firefox verantwortlich sein - insbesondere dann nicht, wenn Firefox selbst aktuell war. Eine noch unbekannte Schwachstelle, welche einem Angreifer die Ausführung von beliebigem Code auf dem Zielsystem erlaubt, würde kaum zur Kompromittierung wahlloser Systeme von Privatanwendern eingesetzt. Sofern es sich tatsächlich um eine Drive-By-Infektion gehandelt hat, würde ich ein Browser-Plugin mit einer bekannten Schwachstelle als Ursache vermuten. Waren sämtliche aktiven Browser-Plugins aktuell (wobei gemäss http://secunia.com/advisories/47161 in der aktuellen Version von Flash Player 11 aktuell eine bekannte, noch nicht behobene Schwachstelle existiert)? War die Menge der aktiven Browser-Plugins minimal?

Um zukünftig unsichere Software auf deinem System leichter zu entdecken, würde sich der Einsatz eines Schwachstellen-Scanners wie des Secunia PSI anbieten. Siehe auch http://board.gulli.com/thread/15222...-und-erkennen/, insbesondere Punkt 2.1.

**Waldhall** · 12. 12. 2011, 15:53

Ich wusste bis eben nicht, dass die Malware Schwachstellen in den Plug-Ins ausnutzt! habe aber sofort die unnötigen deaktiviert, jetzt sind nur noch die aktiv, die wirklich gebraucht werden.

Hätte das nur nicht vermutet, da der Virus ja über den Internet Explorer (der sich selbsständig in 2 Fenstern, einmal Pop Pup, einmal eben Virus?) geöffnet hat, als ich mit Opera im Netz war. Das heißt der Virus müsste Opera gesagt haben das es den ie aufmachen soll?