ComputerBase Menü
Aktuelles

bundestrojaner entfernen

A

adeba

Ensign
Registriert
März 2013
Beiträge
210
hallo,

habe den laptop eines bekannten. nach dem booten (win 7)läd irgendwann eine seite die man nicht wegbekommt. typische bundestrojaner seite, mit aufforderung zu zahlen.

abgesichert booten geht, kann aber in msconfig den schädling nicht entdecken. die tools von chip.de usw finden irgendwie nichts. gibt es eine art boot cd, die das ding unschädlich macht? oder wie kann ich ihn runterbekommen? neueste antivir hab ich draufgemacht und aktualisiert, findet auch nichts.

mfg
 
Erstmal alles aus der MSCONFIG bzw dem Autostart rausnehmen,

sonst die Kaspersky Rescue Disk rüberlaufen lassen...
 
Daten sichern, Format C:\ und Neuinstallation des Betriebssystems.

Je nach dem um welche der vielen Varianten des Virus es sich handelt, kann man da auch manuell bzw. mit diversen Tools 'Hand anlegen'. In wie weit die erfolgreich sind/ sein werden, steht auf einem anderen Blatt ...

Bei einem Arbeitssystem wo u.a. auch Online-Banking betrieben wird, auch sicherheitsrelevante Daten bearbeitet werden, etc. würde ich persönlich das rumfuckeln mit irgendwelchen Tools nicht machen wollen.

Mit ein bisschen gutem Willen und Organisation kann man innerhalb von 3-4h ein System tutto completo von A-Z neu aufsetzen und hat dann auch alle Anwendungen/ Programme neu installiert, etc. pp..

P.S. Und demnächst Java, Flash-Player, etc. pp. auf aktuellem Stand halten ... die sind nämlich fast immer Einfallstor(e) für diese Art von Malware.


Das Thema Bundestrojaner, Bundes-Virus, BKA-Virus, GEMA-Virus, GEZ-Virus oder wie auch immer sie sich mittlerweile nennen hat mittlerweile einen Bart der bis zum Fußboden reicht und satt und reichlich Themen u. Beiträge die sich via Sufu finden lassen ...

https://www.computerbase.de/forum/threads/computer-wurde-gesperrt-gvu-trojaner.1095995/
https://www.computerbase.de/forum/threads/bka-trojaner.1084537/
https://www.computerbase.de/forum/threads/geschockt-vom-bundestrojaner-wie-vorgehen.1083559/
https://www.computerbase.de/forum/threads/verschluesselungstrojaner-eingefangen.1084248/
https://www.computerbase.de/forum/threads/gema-bka-trojaner-weg-dateien-sind-schrott.1072923/
https://www.computerbase.de/forum/threads/gema-trojaner-wie-werde-ich-ihn-los.1013980/
https://www.computerbase.de/forum/threads/verschluesselungs-trojaner.1068515/
https://www.computerbase.de/forum/threads/bka-trojaner.1043445/
https://www.computerbase.de/forum/threads/polizeit-warnung-mit-geldstrafe.1040781/
https://www.computerbase.de/forum/threads/bka-trojaner-auf-dem-notebook-acer-aspire.1043148/
https://www.computerbase.de/forum/threads/bundesministerium-virus.1031570/
https://www.computerbase.de/forum/threads/bka-gema-trojaner.1029141/
https://www.computerbase.de/forum/threads/50eur-trojaner-entfernen.1020157/
https://www.computerbase.de/forum/threads/gema-virus.1018051/
https://www.computerbase.de/forum/threads/fehlermeldung-nach-behebung-bka-trojaner.994194/
https://www.computerbase.de/forum/threads/bundespolizei-trojaner.978975/
https://www.computerbase.de/forum/threads/bundespolizei-virus.906847/
https://www.computerbase.de/forum/threads/bka-ukash-virus-eingefangen.887450/

und noch viel mehr ...
 
ja ich habe schon gesucht und dinge probiert. problem ist, das alles bis jetzt nicht geholfen hat, oder manche tools völlig veraltet sind. glaube das win7 hat keine updates bekommen... ich werde mal die boot cd probieren.

ps: warum sollte man ihn nicht aus dem autostart nehmen?
 
Steht in MSconfig etwas von Facebook oder Skype Update? Der Virus tarnt sich oft unter diese Namen.

Sonst gibt es noch den Reg. Eintrag Shell, dieser sollte Explorer.exe lauten - google sagt dir wo du genau gucken musst ;)

Der Virus liegt als Datei aber oft unter C:\Users\Benutzername\AppData\

Wenn du aber keine Ahnung hast wie dieser Virus aussieht dann nimm eine Live CD und prüf das System damit.
 
Was ich dir wärmstens Empfehlen kann ist die Desinfec't 2013 kostet 3.5€

Auf das ganze desinfect zeugs kannst du aber ganz gut verzichten wen du alle Daten gesichert hast. Dann würde ich die Radikal Kur machen:

1. Win7 CD oder USB Boot stick erstellen..
2. Booten und einmal die Ganze Festplatte Formatieren
3. Win 7 Neu installieren.
Oder Das vom Hersteller mitgelieferte Recovery Laufen lassen was den gleichen effekt hat.

Klar kann man auch die Zeit Totschlagen und den Schädling suchen und killen ABER Dies würde ich nur machen wen ich kein Backup's der Daten habe.. ansonnsten PLatmachen und alles neu machen, den ganz weg bringt man das Teil mit den Tools auch nicht.
 
Alle wichtigen Daten sichern. System platt machen, Windows neu installieren! Alles andere ist mumpitz.
 
welche live cd am besten? oder gibts auch ein usb stick image?
 
Davon abgesehen würde ich den Rechner wenn möglich ohnehin komplett neu aufsetzen. Wer weiß, was da sonst noch drauf ist. Daten lassen sich ja anscheinend sichern und sollten dann vor dem zurückspielen natürlich noch einmal überprüft werden.
 
Sandy2630QM schrieb:
Alle wichtigen Daten sichern. System platt machen, Windows neu installieren! Alles andere ist mumpitz.
Zum Vergrößern anklicken....

ja das kommt danach, aber erstmal muss er so wieder laufen
 
welche live cd am besten?
Zum Vergrößern anklicken....
Auf Anhieb Ubuntu. Geht auch vom Stick (kurz googeln ;))
Vom Stick booten. Daten sichen (selektiv, nicht pauschal alles). Windows platt machen & neu installieren.

"Hygiene" beim Jonglieren mit den Datenträgern nicht vergessen: Geh davon aus dass die gesicherten Daten noch infiziert sind und nicht zurückgespielt werden sollten bevor sie nicht geprüft wurden und handle entsprechend.
 
Trotz der Auflistung der ganzen Threads(ui sind das viel:D). Brenn dir die Kaspersky Rescue Disk: http://www.chip.de/downloads/Kaspersky-Rescue-Disk_44976921.html boote von dieser, nimm den Grafikmodus, wähle dann das Terminal an und gib da ins Fenster windowsunlocker ein und bestätige das mit Enter/Eingabe. Ist das fertig, ziehe Signaturenupdates damit die Rescue Disk die neuesten Virendefinitionen hat und mache ein Komplett Scan mit mindestens mittlerer Einstellung deiner Festplatten/Partitionen. Ist die Kaspersky Rescue Disk fertig, boote dein System wie gewohnt(dürfte jetzt wieder gehen)und lade dir Malwarebytes Free(Gratis): http://de.malwarebytes.org/products/malwarebytes_free runter und installiere das und mache damit eine Komplett Überprüfung deines Systems(wähle dabei alle festplatten/Partitionen aus die Malwarebytes anzeigt). Ist Malwarebytes fertig und er findet was werden die Funde zuerst in Quarantäne verschoben und dann gehst du in Malwarebytes zu Quarantäne und entfernst dort endgültig alle Infektionen. Last but not least: mache eine Bereinigung deines Systems mit CCleaner/Cleaner und lösche den Inhalt temporärer Verzeichnisse in Benutzerkonten händisch.
ansonnsten PLatmachen und alles neu machen, den ganz weg bringt man das Teil mit den Tools auch nicht.
Zum Vergrößern anklicken....
Wenn es keine Variante ist die Dateien verschlüsselt, beommt er mit der Kaspersky Rescue Disk und Malwarebytes das System wieder bereinigt. Hab gerade heute mit einem Bekannten der einen PC-Laden in Keuzwertheim betreibt: http://computer-service-dinkel.regional.de/content/willkommen telefoniert und er hat mir genau die Vorgehensweise geschildert die ich auch geschrieben habe und er meinte nur bei Windows 8 sei die Bereinigung etwas schwieriger und aufwändiger. Und glaub mir: würde er Mist erzählen und bei der Bereinigung nicht sauber arbeiten, könnte er bald seinen Laden wieder schliessen.
neueste antivir hab ich draufgemacht und aktualisiert, findet auch nichts.
Zum Vergrößern anklicken....
Vergiss Avira, fand vor einer Woche bei einem befallenen Kunden PC eines PC-Laden Besitzers(ist ein anderer als der verlinkte)auch nichts als auf den PC ein GVU Ransom war. Auch da wurde das System zuerst mit Malwarebytes bereinigt und anschliessend mit anderen Scannern nochmal überprüft(die anderen Scanner fanden nichts mehr).
 
Zuletzt bearbeitet:
Combofix -> vorher Daten sichern, kann das System unter umständen zerstören
 
Also falls die Windowssicherung aktiviert ist und bei Windows 7 ist das automatisch meistens der Fall kann man die Kiste auch ganz einfach auf einen Wiederherstellungspunkt zurücksetzten, der zum Beispiel vor dem installieren von Updates gesetzt wird. So habe ich das ca. 15 Mal schon erfolgreich gemacht. Also bei Windows 7 zumindest, bei XP hat man keine andere Wahl als eine Neuinstallation.
Einfach beim Booten F8 drücken und da dann Computer reparieren auswählen. In dem Menü hat man die Möglichkeit Windows auf einen früheren Zeitpunkt zurückzusetzen. Falls die F8-Option "Computer reparieren nicht vorhanden ist, muss man eine Recovery DVD (Vorsicht es gibt eine 32- und 64-bit Variante) verwenden, welche man runter laden kann. Diese bringt einen dann auch in das oben besagte Menü.

Dieser Vorgang beeinträchtigt auch nicht die persönlichen Daten!

Alles läuft danach wieder ohne Probleme ohne neu installieren zu müssen.
 
Zuletzt bearbeitet:
@unbreakablex
Aber auch dabei(Windowssicherung bzw Systemwiederherstellung) gilt: danach eine Überprüfung mit einem Virenscanner oder noch besser mit Malwarebytes durchführen und Temp Verzeichnisse löschen/leeren. Quelle meiner "Behauptung": die 2 PC Läden Besitzer und die von mir genannte Bereinigungsmethode funktioniert auch unter XP(hab ich selbst). Alternativ könnte man im Abgesicherten Modus das System booten, anderes Benutzerkonto wählen(wenn vorhanden)und von da aus Malwarebytes runterladen, installieren und damit bereinigen. Und weil hier immer behauptet wird die GVU, BKA oder GEMA Ransoms würden das System ja ach so schlimm komprimieren und mann müsse Windows plätten und neu aufsetzen, anbei ein Log von gestern von Malwarebytes als ich mir absichtlich ein solches File(rumäniscger Herkunft)aufs Desktop kopierte, dann ausführte und das System dann im Abgesicherten Modus mit Eingabeauffoerung mit Malwarebytes bereinigte:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.08.13.06

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.6001.18702
xxxxxxxxx :: xxxxxxxxxxx [Administrator]

13.08.2013 22:23:42
mbam-log-2013-08-13 (22-23-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 491740
Laufzeit: 44 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Ransom) -> Daten: explorer.exe,C:\Dokumente und Einstellungen\xxxxxxxx\Anwendungsdaten\cache.dat -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\xxxxxxxx\Anwendungsdaten\cache.dat (Trojan.Ransom.Gend) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\movie1080p.mkv.exe (Malware.Packer.RRE) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Zum Vergrößern anklicken....
Ergänzung ()

Undead666 schrieb:
ich empfehle Hitman Pro, hat bei mir geholfen, http://www.chip.de/downloads/Hitman-Pro_21842475.html
würde aber danach auch das System platt machen.
Zum Vergrößern anklicken....
brauchst du normalerweise nicht wenn du danach nochmal mit Malwarebytes dein System checkst und temporäre Verzeichnisse leerst/löscht. Kann aber auch die User verstehen die danach ein flaues Gefühl haben und denken es könnte ja noch etwas von einer Infektion da sein. Letztendlich muss jeder für sich entscheiden was er macht.
 
Zuletzt bearbeitet:
danke erstmal an alle. system zurücksetzen auf letzten punkt hat geholfen. jetzt antivir drauf und windows updates rein, und den nutzer sensibilisieren, den wichtigsten schutz (brain) zu nutzen.

ich weiss das man immer neu installieren sollte, aber meint ihr das es wirklich notwendig ist?
 
neuinstallation iss natürlich sicherer ....
Zum Vergrößern anklicken....
Sowohl Neuinstallation als auch Bereinigung mit speziellen Scannern oder in einer PC-Werkstatt/Laden könnten sich die Leute ersparen wenn Sie hergehen würden und würden regelmässig Systembackups machen und ebenso regelmäßig ihnen ihre wichtigen Dateien auf externe Medien sichern würden. Ein Zurückspielen eines möglichst aktuellen Systembackups dauert bei mir 25 Minuten mit der Paragon Boot CD und wer die Backup/ImageFunktionen in Win 7 oder Win 8 nicht nutzen mag(oder kann weil er damit nicht klar kommt)der kann das ganz einfach mit Paragon Backup & Recovery Free Edition: http://www.paragon-software.com/de/home/br-free/download.html machen.
Ergänzung ()

adeba schrieb:
danke erstmal an alle. system zurücksetzen auf letzten punkt hat geholfen. jetzt antivir drauf und windows updates rein, und den nutzer sensibilisieren, den wichtigsten schutz (brain) zu nutzen.

ich weiss das man immer neu installieren sollte, aber meint ihr das es wirklich notwendig ist?
Zum Vergrößern anklicken....
Nur halbherzig dein Ansatz denn jetzt solltet ihr Malwarebytes Free runterladen, damit eine Komplett Überprüfung machen(am besten Malwarebytes Free installiert lassen, ist nur ein OnDemand Scanner ohne Echtzeitschutz)und wie von mir genannt Temporäre Verzeichnisse(deren Inhalt)löschen/bereinigen. Ausserdem würde ich an eurer Stelle Avira Free(vermute das habt ihr)durch entweder Avast Free, AVG Free oder durch F-Secure AV von der Promotion: Direkter Download

http://download.sp.f-secure.com/SE/...etworkInstaller_AV2013-5XZWR-H89Z4-P3S6H_.exe (das ist der Direktdownload für den Installer)ersetzen. Was auch nicht verkehrt ist: macht nach dem Scan mit Malwarebytes einen weiteren Scan mit dem installierten Virenschutz Programm oder zum Beispiel mit einem Online Scanner wie diesem: http://www.eset.com/de/home/products/online-scanner/ zur Kontrolle. Und wenn ihr eine externe Festplatte habt, fangt damit:
sich die Leute ersparen wenn Sie hergehen würden ud würden regelmässig Systembackups machen und ebenso regelmäßig ihnen ihre wichtige Dateien auf externe Medien sichern würden. Ein Zurückspielen eines möglichst aktuellen Systembackups dauert bei mir 25 Minuten mit der Paragon Boot CD und wer die Backup/ImageFunktionen in Win 7 oder Win 8 nicht nutzen mag(oder kann weil er damit nicht klar kommt)der kann das ganz einfach mit Paragon Backup & Recovery Free Edition: http://www.paragon-software.com/de/h.../download.html machen.
Zum Vergrößern anklicken....
an.
und den nutzer sensibilisieren, den wichtigsten schutz (brain) zu nutzen.
Zum Vergrößern anklicken....
Natürlich ist auch das wichtig aber gegen GVU, BKA oder GEMA Ransoms die per Exploit oder Drive By Downloads kommen ist die Brain.exe machtlos so wie viele Virenschutz Programme auch die noch immer schwach aussehen bei diesen Ransoms und Avira ist da leider ein ganz trauriges Programm zumal es keine Verhaltensüberwachung hat. Noch ein Tipp: mach deinem Kollegen Secunia PSI oder FileHippo Update Checker aufs System und schau unter Systemsteuerung/Java Control Panel nach ob das Java Plugin für die Browser deaktiviert ist bzw der Schutzlevel auf höchster Stufe steht.
 
Zuletzt bearbeitet:
@adeba

du bist mittlerweile seit fast 2h mit der Frickelei zugange. In der Zeit hätte man alle Daten sichern, das/ ein Windows neu installieren, alle Treiber installieren können und man wäre mittlerweile mittendrin bei der Installation der Programme/ Anwendungen.

Ich brauche für eine wirklich sehr aufwendige und sehr umfangreiche (Neu-)Installation max. 4h. Dann ist alles fertig installiert, alle Updates/ Patches sind drauf, alle Treiber installiert, alle Programme/ Anwendungen installiert, alle Einstellungen vorgenommen bzw. zurückgesichert, etc. pp..

Nicht, dass ich im wöchentlichen Rhythmus hier neu installiere. Aber ich bereite mich und alle meine Systeme und die meiner Freunde/ Bekannte die ich betreue, so für den Falle der Fälle vor, dass das in Nullkommanix erledigt ist.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

VenomousShadow
Virus entfernen?
Antworten
19
Aufrufe
1.114
chrigu
chrigu
M
PUP's und unerwünschte Programme entfernen
Antworten
17
Aufrufe
1.915
PC295
PC295
oskar2611
Windows-Daten auf SSD entfernen zur installation von Arch
Antworten
11
Aufrufe
472
Deinorius
Deinorius
N
PC startet manchmal nicht - Lösung USB Stick entfernen
Antworten
17
Aufrufe
878
Navana97
N
Keno76361
Router branding entfernen
2 3
Antworten
59
Aufrufe
2.084
till69
T
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz