Budespolizeitrojaner Webseiten

[Randy89]

[...]ja die sog. Browsersperrseiten laden selbst(noch)keine Malware oder Spyware auf's System runter sondern sind nur temporär aktiv und können so relativ schnell per CCleaner usw. bereinigt werden[...]

Laut meinen Erfahrungen vor einem Monat hat ein simples Prozessbeenden (ok, bei Chrome war es aufwändiger, wenn man nicht gleich den richtigen Chrome-Prozess für den Browser findet)+Cache leeren ausgereicht, um die Browserseite aufzuheben. Zudem verhindert das Blockieren von Javascript z.B. mit Noscript die Sperrung des Browsers komplett, vergleichbar mit den Kinderspielereien wie bei der einen Seite, bei der immer ein Windows-Warnfenster aufgetaucht ist und den Nutzer zum Dauerklicken "zwang".

Die Frage ist aber, wie lange es auf dem Niveau von "Kinderspielereien" bleibt. Auch wenn komplette Scans von Adwcleaner, JRT, MBAM und Avast Startzeitscan keine Funde gebracht haben, habe ich die getestete VM nachher wieder zurückgesetzt.
Angesichts der möglicherweise langen Zeit beim Scannen und der Ungewissheit, ob es nur bei einer "Kinderspielerei" geblieben ist, würde ich dazu raten, zumindest das Backup der Systempartition/-festplatte zurückzuspielen.

 

[purzelbär]

Die Frage ist aber, wie lange es auf dem Niveau von "Kinderspielereien" bleibt. Auch wenn komplette Scans von Adwcleaner, JRT, MBAM und Avast Startzeitscan keine Funde gebracht haben, habe ich die getestete VM nachher wieder zurückgesetzt.
Angesichts der möglicherweise langen Zeit beim Scannen und der Ungewissheit, ob es nur bei einer "Kinderspielerei" geblieben ist, würde ich dazu raten, zumindest das Backup der Systempartition/-festplatte zurückzuspielen.

Ich hab mir jetzt auch mal die "Mühe" gemacht und 4 Scanner(siehe angehängte Logfiles)auf mein System "losgelassen" auf dem mehrfach die Sperrwebseiten geladen wurden und das von einem BKA Ransom infiziert wurde weil AVG Free die Infektionen nicht verhindern konnte und diese mit Malwarebytes Free danach behoben/gelöscht wurden. Meiner Meinung nach sind die Websperrseiten immer noch das was ich "behaupte": nämlich temporär geladene Seiten die keine Infektionen aufs System bringen(noch nicht zum jetzigen Zeitpunkt)und die wie Randy89 es schon schrieb, jetzt noch auf dem Niveau von "Kinderspielereien" sind die Leuten Angst einjagen sollen und die Leute dazu bewegen sollen, "Strafe" zu zahlen für ein "Vergehen" das die Leute nicht begangen haben. Und auch was dieProzesse auf meinem System angeht: die sind alle von Emsisoft HiJackFree als vertrauenswürdig(grün)eingestuft(siehe Logfile das ich nicht mit anhängen konnte und es deshalb reinkopiert habe)Insgesamt bleibe ich also bei meiner Meinung das die sog. jetzigen Sperrwebseiten noch nicht ein(mein)Windowssystem wirklich schädigen oder auf dieses Malware runterladen.

HiJackFree Logfile v4.5
Scan gespeichert um 01:05:29, am 08.11.2013
Betriebssystem: Windows XP Service Pack 3 (Windows NT 5.1.2600)
MSIE: Internet Explorer v 8.0 Service Pack 3 (8.0.6001.18702)

Aktive Prozesse:
C:\WINDOWS\System32\smss.exe
C:\PROGRA~1\AVG\AVG2014\avgrsx.exe
C:\Programme\AVG\AVG2014\avgcsrvx.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Online Armor\OAcat.exe
C:\Programme\Online Armor\oasrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVG\AVG2014\avgidsagent.exe
C:\Programme\AVG\AVG2014\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre7\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVG\AVG2014\avgnsx.exe
C:\Programme\AVG\AVG2014\avgemcx.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\AVG\AVG2014\avgui.exe
C:\Programme\Online Armor\OAui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Online Armor\OAhlp.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Dokumente und Einstellungen\xxxxxxx\Eigene Dateien\EmsisoftEmergencyKit\start.exe
C:\DOKUMENTE UND EINSTELLUNGEN\xxxxxxx\EIGENE DATEIEN\EMSISOFTEMERGENCYKIT\run\a2hijackfree.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.msn.com/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Links
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Programme\WOT\WOT.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Programme\WOT\WOT.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AVG_UI] "C:\Programme\AVG\AVG2014\avgui.exe" /TRAYONLY
O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Programme\Online Armor\OAui.exe"
O4 - HKLM\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O7 - Regedit - Aktiv
O8 - Extra Kontextmenü Eintrag: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra "Tools" menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
O14 - IERESET.INF: SEARCH_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
O14 - IERESET.INF: MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1329392207828
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1342566439437
O20 - Winlogon Notify: AtiExtEvent - C:\WINDOWS\System32\Ati2evxx.dll
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\
O21 - ShellServiceObjectDelayLoad: PostBootReminder -
O21 - ShellServiceObjectDelayLoad: CDBurn -
O21 - ShellServiceObjectDelayLoad: WebCheck -
O21 - ShellServiceObjectDelayLoad: SysTray -
O22 - SharedTaskScheduler: Browseui preloader - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - C:\WINDOWS\system32\browseui.dll
O23 - Dienst: Adobe Flash Player Update Service - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Dienst: Warndienst - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Gatewaydienst auf Anwendungsebene - C:\WINDOWS\System32\alg.exe
O23 - Dienst: ASP.NET-Zustandsdienst - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Dienst: Windows Audio - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: AVGIDSAgent - C:\Programme\AVG\AVG2014\avgidsagent.exe
O23 - Dienst: AVG WatchDog - C:\Programme\AVG\AVG2014\avgwdsvc.exe
O23 - Dienst: Intelligenter Hintergrundübertragungsdienst - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Computerbrowser - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Indexdienst - C:\WINDOWS\system32\cisvc.exe
O23 - Dienst: Ablagemappe - C:\WINDOWS\system32\clipsrv.exe
O23 - Dienst: .NET Runtime Optimization Service v2.0.50727_X86 - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Dienst: Microsoft .NET Framework NGEN v4.0.30319_X86 - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
O23 - Dienst: COM+-Systemanwendung - C:\WINDOWS\system32\dllhost.exe
O23 - Dienst: Kryptografiedienste - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: DCOM-Server-Prozessstart - C:\WINDOWS\system32\svchost
O23 - Dienst: DHCP-Client - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Verwaltungsdienst für die Verwaltung logischer Datenträger - C:\WINDOWS\System32\dmadmin.exe
O23 - Dienst: Verwaltung logischer Datenträger - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: DNS-Client - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Automatische Konfiguration (verkabelt) - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Extensible Authentication-Protokolldienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Fehlerberichterstattungsdienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Ereignisprotokoll - C:\WINDOWS\system32\services.exe
O23 - Dienst: COM+-Ereignissystem - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Kompatibilität für schnelle Benutzerumschaltung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Windows Presentation Foundation Font Cache 3.0.0.0 - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
O23 - Dienst: Hilfe und Support - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: HID Input Service - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Integritätsschlüssel- und Zertifikatverwaltungsdienst - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: hpqcxs08 - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: HP CUE DeviceDiscovery Service - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: HTTP-SSL - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Windows CardSpace - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
O23 - Dienst: IMAPI-CD-Brenn-COM-Dienste - C:\WINDOWS\system32\imapi.exe
O23 - Dienst: Java Quick Starter - C:\Programme\Java\jre7\bin\jqs.exe
O23 - Dienst: Server - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Arbeitsstationsdienst - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: TCP/IP-NetBIOS-Hilfsprogramm - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Nachrichtendienst - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: NetMeeting-Remotedesktop-Freigabe - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Dienst: Distributed Transaction Coordinator - C:\WINDOWS\system32\msdtc.exe
O23 - Dienst: Windows Installer - C:\WINDOWS\system32\msiexec.exe
O23 - Dienst: Netzwerk-DDE-Dienst - C:\WINDOWS\system32\netdde.exe
O23 - Dienst: Netzwerk-DDE-Serverdienst - C:\WINDOWS\system32\netdde.exe
O23 - Dienst: Anmeldedienst - C:\WINDOWS\system32\lsass.exe
O23 - Dienst: Netzwerkverbindungen - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Net.Tcp-Portfreigabedienst - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
O23 - Dienst: NLA (Network Location Awareness) - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: NT-LM-Sicherheitsdienst - C:\WINDOWS\system32\lsass.exe
O23 - Dienst: Wechselmedien - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Online Armor Helper Service - C:\Programme\Online Armor\OAcat.exe
O23 - Dienst: Plug & Play - C:\WINDOWS\system32\services.exe
O23 - Dienst: IPSEC-Dienste - C:\WINDOWS\system32\lsass.exe
O23 - Dienst: Geschützter Speicher - C:\WINDOWS\system32\lsass.exe
O23 - Dienst: Verwaltung für automatische RAS-Verbindung - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: RAS-Verbindungsverwaltung - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Sitzungs-Manager für Remotedesktophilfe - C:\WINDOWS\system32\sessmgr.exe
O23 - Dienst: Routing und RAS - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: RPC-Locator - C:\WINDOWS\system32\locator.exe
O23 - Dienst: Remoteprozeduraufruf (RPC) - C:\WINDOWS\system32\svchost
O23 - Dienst: QoS-RSVP - C:\WINDOWS\system32\rsvp.exe
O23 - Dienst: Sicherheitskontenverwaltung - C:\WINDOWS\system32\lsass.exe
O23 - Dienst: Smartcard - C:\WINDOWS\System32\SCardSvr.exe
O23 - Dienst: Taskplaner - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Sekundäre Anmeldung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Systemereignisbenachrichtigung - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Shellhardwareerkennung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Druckwarteschlange - C:\WINDOWS\system32\spoolsv.exe
O23 - Dienst: Systemwiederherstellungsdienst - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: SSDP-Suchdienst - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Windows-Bilderfassung (WIA) - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Online Armor - C:\Programme\Online Armor\oasrv.exe
O23 - Dienst: MS Software Shadow Copy Provider - C:\WINDOWS\system32\dllhost.exe
O23 - Dienst: Leistungsdatenprotokolle und Warnungen - C:\WINDOWS\system32\smlogsvc.exe
O23 - Dienst: Telefonie - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Terminaldienste - C:\WINDOWS\System32\svchost
O23 - Dienst: Designs - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Überwachung verteilter Verknüpfungen (Client) - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: TuneUp Drive Defrag-Dienst - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Dienst: Universeller Plug & Play-Gerätehost - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Unterbrechungsfreie Stromversorgung - C:\WINDOWS\System32\ups.exe
O23 - Dienst: TuneUp Designerweiterung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Volumeschattenkopie - C:\WINDOWS\System32\vssvc.exe
O23 - Dienst: Windows-Zeitgeber - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Webclient - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Windows-Verwaltungsinstrumentation - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Windows Remote Management (WS-Management) - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Dienst für Seriennummern der tragbaren Medien - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: WMI-Leistungsadapter - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Dienst: Windows Presentation Foundation Font Cache 4.0.0.0 - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
O23 - Dienst: Sicherheitscenter - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Automatische Updates - C:\WINDOWS\system32\svchost.exe
O23 - Dienst: Konfigurationsfreie drahtlose Verbindung - C:\WINDOWS\System32\svchost.exe
O23 - Dienst: Netzwerkversorgungsdienst - C:\WINDOWS\System32\svchost.exe

 

[Neronomicon]

Ich hab den link nochmal ausprobiert und muß meine Aussage zurücknehmen das der Taskmanager ein selsames Verhalten zeigt. Muss was anderes gewesen sein.

Test des Links mit Win7 64bit, FF Nigthly64bit, Addons: NoScrip und Bitdefender TrafficLight
Beim ersten mal hatte ich nur Bitdefender TrafficLight drauf und der Browser wurde blockiert. Beim zweiten mal No script installiert, Link ausprobiert und auf einmal, blockt Bidefender TrafficLight den Link, eine sehr schnelle Reaktion, Respekt!

Nochmal aufgerufen und dann blockte NoScipt^^. Als wenn die sich abgesprochen hätten: Man konnte ohne Probleme das Fenster wieder schliessen.

Hier die Settings von BitfenderTL:

Also wer Probleme mit NoScript hat kann ja mal das Bitdefener Addon ausprobieren.

 

[_ComputerBase_]

Ich finds witzig, vorallemdie Rechtschreib- und Grammatikfehler :-)

Kenne das auch als Virus, dann hat man keinen Zugriff auf das PC, und der Text kommt als Vollbild, dass man weder minimieren noch schließen kann...

 

[purzelbär]

Kenne das auch als Virus, dann hat man keinen Zugriff auf das PC, und der Text kommt als Vollbild, dass man weder minimieren noch schließen kann...

Verwechsel da nur mal etwas nicht hier in dem Thread geht es um temporär geladene Webseiten die den Browser "sperren" weil man ja ngeblich auf S.. Seiten war und es wird "gedroht" das Dateien gesperrt werden. Tatsächlich ist das nur eine temoprär geladene Webseite bzw Bild wodurch keine Infektion aufs System kommt und per Task Manager hat man schnell den Browser beendet und nach einer Bereinigung mit zum Beispiel CCleaner ist der Spuk vorbei weil die Cache des Browsers gelöscht wurde. Das andere was du wahrscheinlich meinst, sind die sog. GVU/BKA Ransoms(allgemein Trojaner)die meistens per Drive By Downloads kommen und das System mit einem Sperrbildschirm sperren der einem anzeigt das er von der GVU oder BKA käme und man müsse innerhalb von zumeist 72 Stunden meistens 100 Euro Strafe bezahlen wenn man nicht vor Gericht kommen wolle. Diese sog. Ransoms laden tatsäch Infektionen runter in die Registry und in die Anwendungsdaten des angemeldeten Benutzers so das überhaupt der Sperrbildschirm geladen werden kann und der Windows Explorer ausser Funktion gesetzt wird.