Ich hab es geschafft, den Trojaner, der vorgibt vom Bundeskriminalamt zu sein und 100€ fordert, um den PC zu entsperren, ohne groß "rumzumachen" zu entfernen. Das Popup blockiert alles und neu gestartete Programme werden sofort geschlossen. Um die 30 Dateien in der Registry werden verändert und die explorer.exe durch eine andere ersetzt ...
Ich will nur eine einfache Lösungsmöglichkeit bieten für diesen gerade kursierenden und sehr lästigen Trojaner:

Ich hab Windows XP SP3 ... ich weiß nicht, ob es bei euch klappen wird.

1. Fahrt Windows normal hoch; sobald der Ladebildschirm verschwindet und der Desktop erscheint (noch nicht das Popup), öffnet sofort den Task Manager mit Strg+Alt+Entf ... seid schnell
2. Bei dem Reiter "Prozesse" sortiert ihr schnell nach Namen und beendet sofort "calc[1].exe" ... das ist sozusagen der Prozess, der alles blockt, vermute ich.
3. Wenn alles geklappt hat und nur das Hintergrundbild eures Desktops und der Task Manager zu sehen sind, geht ihr auf den Reiter "Anwendungen" und gebt bei "Neuer Task" das hier ein : %systemroot%\system32\restore\rstrui.exe
4. Die Systemwiederherstellung startet, wählt einen Punkt vor der Infektion aus und stellt wieder her .... Fertig

Hat bei mir geklappt, kanns aber nicht versichern. Ging halt ohne andere Programme. Ich will nur helfen, aber für eventuelle Schäden übernehme ich keine Haftung.
Was sagt ihr, ist der Rechner nun sauber? Ich hab während ich mit dem taskmanager rumgespielt hab, noch mit dem starten der infizierten explorer.exe einen ordner öffnen können und alles aus den ordner Temporary Internet Files und temp und so löschen können ... glaube aber nicht, dass das was bringt.

Gruß
Lorbeer

Zitat:

Zitat von Lorbeer

Ich hab es geschafft

Schön für Dich

Zitat:

Zitat von Lorbeer

Um die 30 Dateien in der Registry werden verändert und die explorer.exe durch eine andere ersetzt

Bist Du Dir sicher, dass Du alle erwischt hast?

Zitat:

Zitat von Lorbeer

Was sagt ihr, ist der Rechner nun sauber?

Ich glaube nicht, ich würde den PC einem Vollwaschgang unterziehen, z.B. mit den Programmen wie Combofix usw.

Damit hast du nur die Auswirkungen der Malware gestopt aber das Ding ist immernoch in deinem System vorhanden. Du solltest wirklich mal den Rechner untersuchen wie felix schon geschrieben hat. Gehe ersteinmal hiernach vor http://www.trojaner-board.de/69886-a...-beachten.html und arbeite den Punkt 2 ab.

Gruß

Acid

Also ich muss ehrlich gestehen das ich kein Computergenie bin und auch bei dem meisten was hier geschrieben wird, nicht genau verstehe was gemeint ist und wie was funktioniert.
Mich hat der Virus auch lahm gelegt, aber ich konnte mich noch über meinen Gastaccount anmelden. Über diesen habe ich dann mein Antivirussystem gestartet und alles noch einmal checken lassen (GData). Es wurde auch etwas gefunden und ich habe es gelöscht. Als ich dann probiert habe mich wieder über mein normales Benutzerkonto anzumelden ging es trotz dessen immer noch nicht.
ABER... und das ist der Punkt... ich hatte dann die Schnautze voll und hab den PC ausgemacht und als ich das nächste mal meinen PC benutzt habe, habe ich aus Gewohnheit und ohne nachzudenken mein Benutzerkonto angewählt und nicht den Gast und JETZT GEHT ALLES WIEDER!!!
Ich weiß nicht woran es liegt, wie gesagt bin ich da nicht so bewandert, und weiter hab ich auch nichts am PC veranstaltet, ich bin nur froh das es jetzt weg ist

Zitat:

Zitat von nessie.89

ich bin nur froh das es jetzt weg ist

Weg ist wohl das Symptom, aber wohl eher nicht unbedingt die Malware.
Warum war der Gastaccount aktiviert? Absichtlich?

Hallo,
hab' besagtes Problem wie folgt mit verdächtig wenig Aufwandt "beseitigt".
- PC vom Internet getrennt
- Anmelde unter anderem Benutzernahmen ( über Strg+Alt+Entf)
- Aktuellen CCleaner rigoros löschen lassen damit die Scanner nicht soviel zutun haben
- Malewarebytes(instaliert), Spybot(instaliert), Stinger, Bitdefender und Antivir( installiert) drüberlaufen lassen
- Nach Neustart und ich konnte mich wieder mit dem betroffenen Hauptbenutzerkonto anmelden. Keine weiteren Funde außer ein paar TrackerCookies. Das System ist scheinbar frei von Viren Trojanern

Was genau empfiehlt sich den aktuell so für einen sogenannten Vollwaschgang? ( Keine Lösung mit Backup & Neuinstallation etc. bitte)
Ich dachte an die CD aus der c't 8/2011...
Oder gibt's was vergleichbares mit aktuellen Signaturen zum Download?
Meine Antiviren-Werkzeugkasten ist etwas in die Jahre gekommen.

Danke im Voraus...
Ach ja, Frohe Ostern!

P.S.: Eventl. sollte ein eigener Thread zum Thema Vollwaschgang gestartet werden. Trotzdem Poste ich erstmal hier herein da es evtl. ein paar Leuten den Tag rettet...

Zitat:

Zitat von lupuslazuli

Das System ist scheinbar frei von Viren Trojanern

Betonung auf scheinbar

CCleaner hat nicht den Virus gelöscht, sondern nur eine EXE-Datei im Temp Ordner, dessen Namen variert. Der Virus ist trotzdem Vorhanden, ich hatte den Virus auch und keine Zeit den Taskmanager zu starten, ich habe es mit einer Live-CD gemacht...

Ausführlich steht das ganze mit Hintergrundinformationen in diesem Sicherheitsblog von mir(hxxp://thinksave.blogspot.com/)

Damit ist aber immer noch nur ein Teil gelöscht...
Ich werde noch in den nächsten Tagen noch weitere Posts hier, sowohl in meinem BLog schreiben

Außerdem problematisch ist dass, der Virus von den fasst allen Antivirentools nicht Entdeckt wird.. Wen es näher Interressiert kann das nochmal genau auf meinem Blog nachlesen(habe jetzt keine Lust alles doppelt zu schreiben)

Fiele Grüße Trokiller

Ich habe hier die offizielle Empfehlung des BSI (Bundesamt für Sicherheit im Internet oder so):

SICHER o INFORMIERT
Extraausgabe vom 19.04.2011

Verbreitung durch "Drive-by-Exploits"

Erpressungsversuche durch Schadsoftware

In einer Pressemitteilung
hxxp://www.bka.de/pressemitteilungen/2011/pm110401.html
[hxxp://www.bka.de/pressemitteilungen/2011/pm110401.html]
vom 01.04.2011 warnen die Bundespolizei und das Bundeskriminalamt vor einer aktuellen Erpressungsvariante durch Schadsoftware. Die Infektion des PCs zeigt sich durch ein Pop-Up-Fenster, in dem der Nutzer zur Zahlung einer vermeintlichen "Strafe" aufgefordert wird. Andernfalls werde seine Festplatte geloescht. Die Taeter nutzen dabei rechtswidrig die Logos des Bundeskriminalamtes, der Bundespolizei und anderer Institutionen, wie zum Beispiel der Hersteller von Virenschutzprogrammen.

Die Verbreitung dieses Schadprogramms findet nach aktuellem Kenntnisstand durch so genannte "Drive-by-Exploits" statt. Dabei werden beim Surfen im Internet Schwachstellen im Betriebssystem oder einer Anwendungssoftware ausgenutzt, um ohne weitere Nutzerinteraktion schaedliche Programme auf dem PC zu installieren.

Nach der Infektion des PCs ist der Zugriff auf den Desktop blockiert.
Im laufenden Betrieb kann das Schadprogramm daher nicht entfernt werden.
Abhilfe ist durch die Verwendung einer so genannten "Rescue-CD"
moeglich, wie sie von verschiedenen Herstellern von Antivirus-Software kostenfrei zur Verfuegung gestellt wird.

Nicht alle dieser Rescue-CDs entfernen das Schadprogramm jedoch vollstaendig und setzen die durch das Schadprogramm durchgefuehrten weiteren Modifikationen am Betriebssystem korrekt zurueck. Weitere Informationen hierzu koennen Sie bei den einzelnen Herstellern erfragen.

Nach aktuellem Kenntnisstand des BSI ist kostenfrei zumindest die vom Hersteller Kaspersky zum Download angebotene "Rescue Disk 10" in der Lage, die aktuelle Variante des Schadprogramms vollstaendig zu entfernen und weitere Modifikationen rueckgaengig zu machen. Informationen und Download "Kaspersky Rescue Disk 10"
hxxp://support.kaspersky.com/de/viruses/rescuedisk
[hxxp://support.kaspersky.com/de/viruses/rescuedisk].

Das Service-Center des Bundesamts fuer Sicherheit in der Informationstechnik steht fuer Fragen von Privatnutzern unter 01805-274100 (14 ct/Minute aus dem deutschen Festnetz) oder unter mail@bsi-fuer-buerger.de zur Verfuegung.

Weiterer Angriff: Angebliche Probleme mit der Lizenz des Betriebssystems

Eine weitere aktuelle Erpressungsvariante durch Schadsoftware sperrt den Benutzer von seinem System aus und fordert ihn auf, die Lizenz seines Betriebssystems ueberpruefen zu lassen. Dazu sei es notwendig, eine Telefonnummer im Ausland anzurufen, um einen Entsperrcode fuer seinen PC zu erhalten.

Auch hierbei handelt es sich um eine Erpressungsvariante, bei der die Taeter das bekannte Layout von Meldungen zur Lizenzierung des Betriebssystems Microsoft Windows nachbilden. Ruft ein Betroffener eine dieser Nummern an, entstehen hohe Telefonkosten, bis er einen Entsperrcode erhaelt, wie der Sicherheitsdienstleister F-Secure herausgefunden hat hxxp://www.f-secure.com/weblog/archives/00002139.html
[hxxp://www.f-secure.com/weblog/archives/00002139.html].

In diesem konkreten Fall koennen Betroffene auf einen teuren Anruf verzichten, und sich stattdessen mit dem fuer diese Schadsoftware generischen Freischaltcode 1351236 behelfen. Bisherige Untersuchungen zeigen, dass der Zugriff auf den PC nach Eingabe dieses Freischaltcodes wieder moeglich ist.

In beiden Faellen jedoch gilt: Es kann nicht ausgeschlossen werden, dass bei der Infektion zeitgleich auch noch weitere Schadsoftware auf dem PC installiert wurde. Daher empfiehlt das BSI, infizierte Systeme grundsaetzlich neu aufzusetzen oder eine Komplettsicherung (Backup) des PCs von einem Zeitpunkt vor der Infektion zurueck zu spielen.

Zum Schutz vor Infektionen durch Drive-by-Exploits sollten Anwender darauf achten, neben der Verwendung eines aktuellen Virenschutzprogramms zeitnah alle jeweils verfuegbaren Sicherheitsupdates fuer das Betriebssystem und Anwendungssoftware (wie beispielsweise Webbrowser, Acrobat Reader, Flash, Java, Multimedia-Player, usw.) zu installieren.


-----------------------------------------------------------------------

Die Extraausgabe "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Buerger-CERT. Die Informationen werden vom Bundesamt fuer Sicherheit in der Informationstechnik, hxxp://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht uebernommen werden.

Unter hxxp://www.buerger-cert.de haben Sie die Moeglichkeit, den Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de


Bevor ich die gefunden habe, habe ich meinen Rechner folgendermaßen befreit:
1. mit BartPE-CD gestartet
2. mit Ghost 7.7 Image gezogen
3. mit Zweitrechner das Image auf eine externe Festplatte entpackt
4. bei dieser externen Festplatte eine upgedatete Version von Malwarebytes Anti-Malware und aktuelles AntiVir drüberlaufen lassen
5. drei Einträge entfernt
6. alles wieder mit Ghost 7.7 zum Image gepackt
7. mit BartPE-CD und Ghost 7.7 auf die Ursprungspartition (vorher Formatiert) zurückgeschrieben
8. mit Windows-XP-Installations-CD repariert
9. und lief!

servus leute
nachdem ich hier viele infos bekommen habe möchte ich einfach meinen weg angeben wie ich es zumidest in meinem fall erreicht habe wieder kontrolle über den rechner zu erlangen.
dies soll keine allgemein gültige lösung sein, nur ein vielleicht funktionierender weg den bka- virus oder trojaner der sich als totale blockade breitmacht zu umgehen und eine systemsicherung o.ä. zu ermöglichen.
betriebssystem windows ultimate 64-bit

abgesicherter modus alleine u.ä. hat alles nicht funktioniert, systemwiederherstellung mangels vorheriger sicherung nicht möglich, kapersky rescue 10 ohne wirkung

beim bootvorgang mit f8 in die verschiedenen startmöglichkeiten wechseln
abgesicherter modus mit eingabeaufforderung wählen

im dos fenster regedit:

pfad: "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
unter shell eintrag geggen "explorer.exe" austauschen, vorherigen von der malware veränderten eintrag separat für später notieren.

fenster geöffnet lassen

im dos fenster explorer.exe eingeben

dann startete der rechner im abges modus.
im task manager lief eine cmd.exe, diesen prozess beendet, keine negative auswirkung auf das system erkenntlich.

virsusscanner in mein fall avira gestartet, der hatte 2 verzeichnisse gefunden.

rechner neu gestartet, bka fenster war wieder da.

daher habe ich das gleiche wie oben nochmals durchgeführt.
wieder war shell ersetzt durch eine andere zeile.


wieder notiert, wieder durch explorer exe ersetzt

wieder im dos fenster explorer.exe aufgerufen

den eintrag gesucht, war auf dem desktop gespeichert
zuerst erweiterung verändert um ihn unschädlicher zu machen
null0.9128018318511731. die endung hab ich leider verändert und vergessen...
dann gelöscht

wieder neu gebootet
seither zumindes habe ich wieder normale kontrolle über den rechner.

ob das die anueinstallation ersetzen kann denke ich nicht, aber es hat mir bisher geholfen akut wieder zu arbeiten.
viel erfolg und viele greets,
martin

Der Weg die Windows Shell wieder zu reparieren ist schon mal nicht schlecht. Aber ich finde es lustig wenn jemand in der Registry hantiert und dann sowas von sich gibt.

Zitat:

im task manager lief eine cmd.exe, diesen prozess beendet, keine negative auswirkung auf das system erkenntlich.

Die cmd.exe wird benötigt damit sich das MS- DOS Fenster öffnet, welches wahrscheinlich im Hintergrund noch gelaufen ist.

Der Befehl explorer.exe in diesem Fenster "zwingt" quasi die GUI zu starten damit man nen Desktop hat ^^

Zitat:

Zitat von Larusso

MS- DOS Fenster

Unter Windows NTx?

Zitat:

Zitat von Shadow

Unter Windows NTx?

DOS-Box?

Ups, verschlafen

Joa, ich nenne das schon immer DOS Box (CMD)

DOS-Box umgangsprachlich geht noch, wobei DOS-Box eigentlich ein richtiger Emulator ist => DOSBox, an x86 emulator with DOS

Aber MS-DOS-Fenster unter WindowsNT hat Shadow wohl richtig Weh getan, da blutet sein Herz