Bundespolizei: National Cyber Crimes Unit – Achtung!!!

Soeben flattert mir von einem bewährten Lieferanten (mit Malware-magnetischer Tochter im Notebook-Besitz) ein Tierchen rein, das den Rechner sperrt (Ransomware) und mit (derzeit) einer IP Kontakt aufnimmt, die mit diesem Text kommt:

Achtung!!!

Das Betriebssystem wurde im Zusammenhang mit Verstoßen gegen die Gesetze der Bundesrepublik Deutschland gesperrt!

Es wurde folgender Verstoß festgestelltt: Ihre IP Adresse lautet “XX.YYY.WW.ZZ” mit dieser IP wurden Seiten mit pornografischen Inhalten, Kinderpornographie, Sodomie und Gewalt gegen Kinder aufgerufen Auf Ihrem Computer wurden ebenfalls Videodateien mit pornografischen Inhalten, Elementen von Gewalt und Kinderpornografie festgestellt!

 Es wurden auch Emails in Form von Spam, mit terroristischen Hintergründen, verschickt. Diese Sperre des Computers dient dazu, Ihre illegalen Aktivitäten zu unterbinden.

Und so weiter. Da bleibt mir natürlich sofort das Herz stehen, wegen all der Kaninchenpornos, die ich täglich mit Terroristen-Freunden tausche…

im Ernst: Natürlich ist die Meldung Blödsinn. Und wer tatsächlich glaubt, er brauchte mit einer Mail an einzahlung@inter-bundeskriminalamt.eu und Zahlungen über Ukash, Epay oder Paysafecard eine “Strafe” von (nur!) 100 Euro zahlen, um “die Sperre des Computers aufzuheben”, der irrt natürlich. Es handelt sich um den “BKA-Trojaner”, “Bundeskriminalamt-Trojaner”, auch Ukash-Trojaner genannt, der natürlich nichts mit dem echten BKA zu tun hat, aber gewiss das vage vorhandene Wissen um den “Bundestrojaner” für seine Täuschung ausnutzt:

Merke: Das BKA schreibt echte Briefe auf Papier hat einen uniformierten Zustelldienst, der Ermittlungsanfragen persönlich überbringt. Es macht weniger Rechtschreibfehler. Und es sammelt Bußgelder nicht per Ukash ein.

Falls Sie das Ding gesehen haben: Sie sind nicht allein. Dieser eine Blogbeitrag hat die Zugriffe auf meine Website verdoppeltfünfacht. Das heißt, wahnsinnig viele Leute sind wohl davon betroffen.

Variationen: Zum Beispiel GEMA- / GVU-Trojaner

Inzwischen gibt es etliche Variationen, unter anderem (!) mit diesem Text:

GEMA-/GVU-Trojaner

“Der Zugang zu Ihrem Computer wurde gesperrt. Auf Ihrem Computer wurden illegal heruntegeladene Musikstücke (‘Raubkopien’) gefunden. Durch den Download wurden die Musikstücke vervielfältigt, so dass ebenfalls eine Strafbarkeit gemäß § 106 Urhebergesetz gegeben ist. […] Um die Sperre aufzuheben und weiteren strafrechtlichen Konsequenzen aus dem Weg zu gehen, sind Sie verpflichtet eine Mahngebühr in Höhe von € 100,- zu bezahlen.  […] Nach erfolgreicher Bezahlung wird Ihr Computer automatisch entsperrt. Um die Bezahlung durchzuführen, geben Sie den erworbenen Paysafecard-Code in das dafür vorgesehene Feld ein […] Die GEMA ist gesetzlich legitimiert – und steht in engem Kontakt zu den Gesetzgebern.”

Hahaha. Ist natürlich derselbe Bullshit in anderem Gewand. Siehe Meldung der GEMA.

Soforthilfe beim Ukash- / BKA-Trojaner

  • Keine Panik!
  • Auf keinen Fall überweisen. (siehe auch Warnungen des echten BKA z.B. hier und hier.)
  • Ruhe bewahren.
  • Rechner runterfahren.
  • Falls Sie einigermaßen PC-Erfahrung haben: Versuchen Sie die Entfernung, siehe im Folgenden Entfernung ohne Tool und Entfernung mit Tool.
  • Falls Sie wenig PC-Erfahrung haben: Wenn Sie Windows neu installieren können, tun Sie das. Wenn nicht: Lassen Sie sich von jemandem helfen, der mehr Erfahrung hat. Geschriebene Anleitungen nützen Ihnen hier eher nichts mehr. Was nichts heißt, dass Sie es nicht versuchen können:

BKA-Trojaner-Entfernung ohne Tool

Laut  Silverstrike (und einiger Danke-Meldungen dazu) klappt folgendes ganz gut:

  • Windows PC im abgesicherten Modus starten (<- drauf klicken für Anleitung),
  • im Windows-Startmenü den Ordner Alle Programme / Autostart öffnen,
  • darin die seltsame EXE-Datei mit Zahlen ausfindig machen
    (falls es keine gibt siehe weiter unten-> Entfernung mit Tool),
  • mit rechter Maustaste anklicken, Löschen wählen,
  • Papierkorb leeren, neu starten.
  • Danke im Namen vieler Leser an Silverstrike!
Falls hier noch keine seltsame EXE-Datei war:
  • Wie oben: Windows PC im abgesicherten Modus starten (<- drauf klicken für Anleitung),
  • [Windows R] drücken
  • msconfig eingeben
  • Register Systemstart
  • In der Spalte “Befehl” eine seltsame EXE suchen und deren Häkchen in der Spalte Systemstartelement entfernen. Was ist eine “seltsame EXE”? Tja, leider sehr aufwändig zu beantworten… der einfachste Weg ist, sich bei jeder EXE zu fragen: Brauche ich die? Gehört die zu einem Programm, das ich nutze (erkennbar am Pfad)? Wenn Nein -> eher seltsam.

Aber:
Wichtiger Sicherheitshinweis:

Egal, was Ihr System infiziert hatte, es hatte eine Zeit lang Zugriff auf Ihren Rechner und konnte schalten und walten, wie es wollte. Sie müssen daher prinzipiell davon ausgehen, dass Ihr Rechner infiziert war und noch immer infiziert sein kann

BKA-Trojaner-Entfernung mit Tool

Falls keine EXE-Datei im Autostart zu finden ist: Keine Panik! Der Bundeskriminalamt-Trojaner kommt in immer neuen Variationen heraus, damit Anleitungen wie diese nicht mehr helfen können. Dann hilft ein Tool. Manchmal das eine, manchmal das andere.

  • Tools von Botfrei.de:
    Downloaden Sie alle Cleaner auf botfrei.de/decleaner.html und schauen Sie mal, ob Sie damit weiter kommen. (Wahrscheinlich nicht, wenn der Rechner gesperrt ist.)
  • Kaspersky Unlocker:
    Downloaden Sie sich (am Zweit-Rechner) die Kaspersky Windows Unlocker gegen Ransomware und gehen Sie vor wie dort beschrieben vor, also den infizierten Rechner booten und säubern. Im Großen und Ganzen rehts es sich nur um den Aufruf von “Terminal”; darin dann windowsunlocker und [Enter] und beten. Den normalen Virenscanner Kaspersky Rescue Disk lassen Sie natürlich auch noch drüberlaufen, nachdem Sie ihm im Register Update frische Signaturen verpasst haben.

Kaspersky Rescue CD, Terminal: windowsunlocker

Verwenden Sie nicht nur eine dieser CDs. Sondern am besten nacheinander alle.

Aber:
Wichtiger Sicherheitshinweis: 
Egal, was Ihr System infiziert hatte, es hatte eine Zeit lang Zugriff auf Ihren Rechner und konnte schalten und walten, wie es wollte. Sie müssen daher prinzipiell davon ausgehen, dass Ihr Rechner infiziert war und noch immer infiziert sein kann

Plan B: 100% immer funktionierende Entfernung

Das ist leider kein Scherz:

  • Installieren Sie Windows neu.

Es ist und bleibt die sicherste Methode. (Wenn Sie ein Backup haben, auch die schnellste & einfachste.)

  • Dateien in Sicherheit bringen: Um vorher wenigstens ihre wichtigsten Daten zu sichern, booten Sie Ihren Rechner von einen Rettungssystem, das Ihnen erlaubt, Dateien zum Beispiel auf eine externe Festplatte zu kopieren. Die externe Platte schließen Sie vorher an, dann erst das Rettungssystem booten.
  • Dateimanager zum Retten von Dateien finden Sie zum Beispiel bei der CD von Kaspersky und der von BitDefender. Hier zum Beispiel der Dateimanager Dolphin der aktuelle Kaspersky-CD, C: wäre hier die versaute Windows-Platte, F: die externe Festplatte:

C: öffnen, alles markieren mit {Strg A}, das Markierte kopieren mit {Strg C}, F: öffnen, das Kopierte einfügen mit {Strg V} – warten, bis das fertig ist. Später, nachdem Sie Windows neu installiert haben, können Sie dann per Windows von der externen Festplatte alle Dateien rüberholen, die Sie wirklich brauchen. (Und den Rest in die Tonne treten.)

Der [Strg]+[Alt]+[Entf]-Tipp

Habe ich selbst nicht ausprobiert, stammt von Bro Luke auf Facebook:

  • “Alt+Strg+Entf drücken und auf Herunterfahren klicken. Windows beendet dann alle Programme, also auch den Trojaner. Wenn man viele Programme anklickt, kommt mit etwas Glück Möchten Sie Windows wirklich beenden? und dann muss man Erzwingen oder Abbrechen wählen, da nimmt man dann Abbrechen und hat den Virus-Prozess nicht mehr laufen. Hab ich selbst schon herausgefunden, bevor ich Ihren Beitrag gefunden hatte.”

Kann ich nicht überprüfen, weil mich dieser Trojaner einfach nicht anspringen will, aber es klingt durchaus plausibel und ist sicher einen Versuch.

Vorsorge gegen diese Art von Angriff

Sie haben nichts installiert, keinen Mailanhang angeklickt, keine Raubsoft installiert und trotzdem den Bundeskriminalamt-Trojaner? Das ist keine Schande, denn man kann sich schon dadurch infizieren, dass man die falsche Website besucht hat, und die wiederum kann in einer Suchmaschine als Link angezeigt worden sein.

Vorbeugend hilft gegen Drive-by-Infektionen wie den BKA-Trojaner nur ein sicherer Browser:

  • Browser wechseln:
    Alle Browser haben Löcher, aber je exotischer = weniger verbreitet die Browser sind, desto geringer die Wahrscheinlichkeit, dass ihre Löcher angegriffen werden. Statt Internet Explorer: Firefox, statt Firefox: Chrome / Iron oder gar Dragon, statt Chrome: Safari, statt Safari: Opera. Ich empfehle: Opera.
  • Browser und Plugins aktualisieren:
    Verwenden Sie stets die neueste Version des Browsers und die neusten Plugins von Flash, Java, Adobe PDF. Siehe Java manuell aktualisieren und Flash manuell updaten. Auch Secunia Online Software Inspektor kann helfen, altes Zeug zu identifizieren.
  • Plugins abschalten:
    Verzichten Sie auf Java, Javascript, Adobe Flash, Adobe PDF und schalten Sie den ganzen Quark ab.
    z.B: Java im Browser deaktivieren
    Machen Sie ja eh nicht. Macht nämlich keiner.
    Ich sags nur, weils trotzdem richtig ist. ;-)
  • Whitelist-Plugins verwenden:
    Siehe auch: Flash blockieren mit FlashBlock und QuickJava
    Ein Werbeblocker wie AdBlock (Fox, Chrome), ein Flash-Blocker wie Flashblock (Firefox) oder FlashControl (Chrome) und ein Skripteblocker wie wie NoScript (Firefox) oder ScriptNo (Chrome). Sie machen das Surfen sehr unkomfortabel, denn Sie müssen selbst freischalten, auf welchen Seiten welche Features erlaubt sind (z.B. auf YouTube: Flash, auf Freemail: Javascript), aber das macht das Surfen deutlich sicherer. (Chrome erlaubt zumindest Java ohnehin nur auf Nachfrage.)

Das BKA / die Kriminalpolizei rät…

  • Offizielle Warnungen des echten BKA zum BKA-Trojaner / Ukash-Trojaner auf www.bka.de hier und hier.
  • Ergänzung am 5.12.: Ich habe beim BKA nachgefragt, was zu tun ist, wenn man sein Geld bereits überwiesen hat. Hierzu kann das BKA nach eigenen Aussagen nichts sagen, weil es keine rechtlichen Auskünfte erteilt. Aha. Aber: “Die Opfer sollten in jedem Fall eine Anzeige erstatten, was bei jeder Polizeidienststelle erfolgen kann.”
  • Ergänzung am 8.12., denn auf Anraten des BKA habe ich auch bei der Staatsanwaltschaft Göttingen nachgefragt, die dazu wohl eine zentrale Erfassung eingerichtet hat: “Die Betroffenen sollten auf jeden Fall bei der örtlichen Polizeibehörde Strafanzeige erstatten und ein Bildschirmfoto ihres Computers vorlegen. Außerdem sollten sie angeben, auf welchen Seiten sie unmittelbar vor der Attacke im Internet unterwegs waren. Der Trojaner kann auch auf absolut unverfänglichen Seiten aktiviert worden sein, der Geschädigte muss also nicht unbedingt auf problematischen Seiten gewesen sein. Im Übrigen sollten sich die Betroffenen auf einschlägigen Internetseiten informieren, wie der Trojaner schadlos zu beseitigen ist.” Und weiter: “Die Verfahren im Zusammenhang mit dem ‘BKA-Trojaner’ werden bei der Staatsanwaltschaft Göttingen zentral geführt. Hier sind allerdings schon über 8.000 Vorgänge vorhanden, so dass mit einer zeitnahen Abarbeitung weiterer Vorgänge nicht gerechnet werden kann.”
..
:

Hier nochmal die Abzocke in ihrer ganzen “offiziell wirkenden” Pracht als JPG, auf bka-trojaner.de gibts eine Galerie mit weiteren Vertretern. Interessant ist, dass die Seite bis auf ein Bild alle Bilder direkt als HTML (base64) kodiert – so was habe ich noch nie gesehen. (HTML als ZIP hier.) Interessante Möglichkeit, um Seiten zu beschleunigen (weil sich die Zahl der http-Requests verringert), vielleicht auch das Ergebnis irgendeines Baukastens oder der Versuch, automatisierte Zugriffe zu täuschen. Auch Nachbarländer haben solche Dinger, siehe z.B. F-Secure.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren …

176 Antworten

  1. Jörg sagt:

    Ich habe zwar keine Erfahrungen auf diesem Gebiet (naja, selbst wenn: ich würde es natürlich nie zugeben) – aber ich bin mir ziemlich sicher, dass du dieses Mal einen Fehler in deiner Recherche hast:
    das “NATIONAL CYBER CRIMES UNIT” … äh (sorry) BKA versendet keine Briefe. Die haben einen eigenen Zustelldienst und kommen persönlich vorbei.
    So, und nun habe ich leider keine Zeit mehr, ich muss 100 Euro überweisen, damit ich meinen Rechner wieder nutzen kann …

    Jörg

  2. Hyundai Hans sagt:

    Mir ist grad eben dieses Ding während der Arbeit auf meinem anderen Rechner reingetrudelt.

    Falls man rauskriegt wer sich da diesen “Spaß” erlaubt hat dann postet mir bitte. Ich werde dem- oder denjenigen eigenhändig den Hals umdrehen.
    Das wird ja immer schöner.

  3. Anna sagt:

    Furchtbar. Wieso machen andere so was. Zuerst is mir das Herz beinahe stehen geblieben und jetzt rege ich mich furchbar auf…..

  4. bennet sagt:

    Hey Leute,
    hatte grade auch die liebe National Cyber Crimes Unit auf meinem PC :)
    Es hat bei mir gereicht, den Internet Explorer (verflucht sei er) zu deaktivieren, da mein Virenprogramm nichts gefunden hat, was mich immernoch stutzig macht.
    Den Task Manager aktiviert man, indem man in der Regestry nach “DisableTaskMgr” sucht und den Wert von “1” wieder auf “0” stellt, aber auch in meinem Task Manager wird nichts auffälliges unter Prozessen angezeigt.
    Gruß Benny :)

  5. Dirk Wagner sagt:

    Na klasse, bin am surfen,Videoclips und so, und bang wird diese seite aufgemacht, und nichts geht mehr.

  6. Jörg sagt:

    @Hyundai Hans: obwohl die Leute Geld bezahlt bekommen und so ein Weg eigentlich immer nachvollziehbar sein sollte, scheint es schwierig zu sein, diese Leute zu fassen. Aber zahl einmal deine Steuern nicht, dann zeigen dir die Behörden, dass es dann doch schnell gehen kann. Solange “nur” Privatleute und keine Institutionen betroffen sind, scheint das Interesse eben dieser Institutionen sehr beschränkt zu sein.

    @Anna: Wieso andere so etwas machen? Aus demselben Grund, warum man auf Straßen Handtaschen stiehlt oder man auf Parkplätzen billige, gefälschte Produkte zum Tiefstpreis kaufen kann: es geht um Geld. Man muss sich klar machen, dass die Regeln, die im realen Leben gelten auch im virtuellen Leben gelten. Wenn ich jemanden auf der Straße der in Natura vor mir steht meine Bankdaten nicht geben würde, nur weil er behauptet er wäre Bankdirektor und hätte ein mit Millionen gefülltes Konto für das er einen neuen Besitzer sucht, dann sollte ich das auch nicht im Internet!

    Jörg

  7. Neni sagt:

    Was mach ich wenn ich kein zweiten pc hab ? Kenne mich null mit pc aus.

    • Andreas sagt:

      Ohne zweiten PC zum Brennen einer Boot-CD hast Du wenig Chancen., wenn Du Dich nicht auskennst.

      1. Freund fragen.
      2. Gucken, ob das c’t Sonderheft “Security” noch irgendwo am Kiosk zu haben ist. Oder ein anderes Heftl mit Boot-Scanner.

      Und nicht zuletzt (geht immer):
      3. Windows neu installieren.

  8. Neni sagt:

    Jetzt sagt der mir kein Internet und geht nichts mehr richtige scheiße

  9. Neni sagt:

    War gerade im handyladen die konnten den Fehler in 5 Minuten beheben aber kein Plan wie. Was ist eigentlich mit den Leuten wie der Herr oben die sich die 100 geholt haben und den Code eingegeben haben. Ist das geld weg zeigt man das bei der Polizei an würde mich mal interessieren. Danke für die Hilfe gut das sie sich damit auskennen

    • Andreas sagt:

      Das Geld ist in der Regel weg, denn es gibt wenig Unterschiede zwischen einer legalen und einer illegalen Transaktion (das schützt den Geldtransfer) und die Idee der genutzten Geld-Dienste ist ja, dass man sie Anonym nutzen kann (wo nicht, kommen Money Mules zum Einsatz, die ihrerseits am Ende Opfer sind).

    • Andreas sagt:

      Ich habe mal beim BKA nachgefragt, ob und wie man das anzeigen kann und ob eine solche Anzeige überhaupt noch sinnvoll ist.

      • Andreas sagt:

        Das BKA hat geantwortet. Auf “Gibt es Ratschläge an Opfer, die bereits gezahlt haben?” und “Gibt es für die einen Weg, sich das Geld wieder zurückzuholen?” kann das BKA nach eigenen Angaben keine Auskünfte geben.

        Sehr wohl aber zur Frage, ob eine Anzeige sinnvoll ist: “Die Opfer sollten in jedem Fall eine Anzeige erstatten, was bei jeder Polizeidienststelle erfolgen kann.”, hieß es dazu vom BKA. Na denn!

  10. NULLCHECKER sagt:

    Gepriesen war der Tipp, alles erdenklich Mögliche von einem Gastkonto aus zu machen :) Ich bin stolzer Besitzer eines normalen und eines Adminkontos. Die von Euch beschriebenen Müll habe ich mir im Gastkonto eingefangen. Nun werde ich versuchen MEGAWICHTIGE Dateien ;) zu sichern, das Gastkonto zu deaktivieren, die Daten zu löschen und dann wieder zu aktivieren.
    Der Virus darf nur, was der angemeldete User darf.
    Ich halte Euch auf dem Laufenden.

  11. NULLCHECKER sagt:

    “Die von Euch beschriebenen Müll habe ich mir im Gastkonto eingefangen.”
    muß natürlich
    Den von Euch beschriebenen Müll habe ich mir im Gastkonto eingefangen.
    heißen :)

    Hi Andreas,
    “Ich habe mal beim BKA nachgefragt, ob und wie man das anzeigen kann und ob eine solche Anzeige überhaupt noch sinnvoll ist.”
    …und was sagen die?

    wer so doof ist und zur Tanke fährt um die 100 Euro zu löhnen hats nicht besser verdienet ? *lach/sorry

    Die Gastkonto-Löschaktion war anscheinend erfolgreich, aber wie will man eine Anzeige machen? Mit dem Adminkonto die ganzen LOG_Files des toten Gastkontos auslesen und nach WAS Ausschau halten? Schwierig!

    Nein, ich setze auf AUFKLÄRUNG, den Leuten mitzuteilen Ruhe zu bewahren und auf keinen Fall zu zahlen. Den einzigen Verlust den sie haben, ist der einer lauffähigen Windowskonfiguration :)

    • Andreas sagt:

      @nullchecker: Das BKA antwortet am Freitagabend eher nicht mehr ;-)

      Was das Gastkonto angeht: Nie eine schlechte Idee, aber 100% sicher ist auch das nicht. Es gibt Exploits, über die sich Prozesse höhere Rechte besorgen können. Ich würde also dennoch dazu raten, die Kiste mal von außen, also mit mindestens einer Antiviren-Boot-CD, zu scannen. Zur Sicherheit.

      Was das “wer 100 Euro löhnt ist selber schuld” angeht: Wenn Du ein 15jähriger bist und hast Dir in Deiner erwachenden Neugierde irgendwelche Pornos gezogen, und Dein Papi ist eh nicht besonders freundlich, dann glaube ich schon, dass Du glaubst, mit 100 Euro den Vorfall vertuschen und deutlich so größeren Ärger abwenden zu können als den Verlust von 100 Euro. Es reichen ja 200 bis 500 solcher Opfer, und man hat ein Jahresgehalt ergaunert – steuerfrei.

  12. Neni sagt:

    Ich hoffe diese Schweine werden irgendwann geschnappt und ordentlich bestraft, aber da wir in Deutschland sind kommt sowieso nichts bei raus.

  13. NULLCHECKER sagt:

    Junge-junge, ich hab gerade bei Wiki nachgelesen, was Exploits sind.

    http://de.wikipedia.org/wiki/Exploit

    Das liest sich, als wäre jeder investierte Euro in Antiviren- und sonstigen Schutzprogrammen zum Fenster rausgeworfen…. (?)

    • Andreas sagt:

      Im Prinzip ja, aber man darf das nicht in Schwarz und Weiß sehen.

      Schutzmaßnahmen verringern die Wahrscheinlichkeit von Problemen aus Angriffen um Prozentpunkte. Jemand, der sich umsichtig verhält, ist immer noch weniger sicher als jemand, der sich umsichtig verhält UND ein Schutzprogramm hat. Daher ist es durchaus noch sinnvoll.

      Zumal ja nicht jede Malware alle bekannten Exploits auch ausbeutet. Also nur, weil es *prinzipiell* möglich ist, zum Beispiel die Beschränkung der Verletzbarkeit durch ein Nicht-Admin-Konto zu umgehen, heißt das nicht, dass das jede Malware auch macht, denn da ist ja auch nicht jeder Programmierer ein Künstler. Es heißt nur, dass diese Art der Vorsorge den Schutz prozentual erhöht – aber eben nicht auf 100% erhöhen kann, technische Schutzmaßnahmen daher kein Ersatz für einen aufmerksamen, umsichtig handelnden Benutzer sind.

  14. momoschu sagt:

    Hallo Andreas!
    Danke für deinen Artikel!!

    Allerdings findet Kaspersky bei mir die Malware nicht und entfernt auch nichts. Hast du eine Ahnung woran das liegen kann? Und hast du eine konkrete Empfehlung, die deine vorherigen Schritte aufgreift?

    Danke!

    momoschu

  15. 1337 sagt:

    Es war so klar das diese “Strafe” ein fake sein muss.
    Schon allein wegen einem kleinen Pop-Up von Internet-Explorer “Wollen sie dieses Programm blabla” dann noch eine Email verschicken falls ein Fehler auftritt? Bei einem gesperrten PC? Wohl kaum.

    Ich finds gut das du eine Seite gemacht hast, die uns bösen “Terroristen Kinderporno macher/gucker” hilft. Hab mir kurz überlegt ob ich das bezahlen soll, aber gut das es ja noch den guten Alt+F4 und PC Neustart und dann schnell abbrech Trick gibt! :D

  16. Mandy sagt:

    Hallo! Auch ich habe diese Meldung bekommen, aber auf meinem Notebook. Nunja, da mein Notebook kein Ding hat, wo die CD reinkommt (sorry, ich kenne mich ncht so mit PCs aus) kann ich ja keine CD brennen bzw. hineintun. Kann man sich das Programm von Schritt 2 auch auf einen USB Stick laden? Oder was kann ich jetzt noch tun?

    • Andreas sagt:

      @mandy: Bei Kaspersky ist mit Screenshots beschrieben, wie man ein ISO mit dem Tool auf USB-Sticks schreibt und dann davon bootet.

      @Kommma: Wenn das Update mit Kaspersky nicht geht, rate ich dazu, die CD von Avira von DE-Cleaner zu verwenden, denn 27.09.11 (das zeigt die ISO bei mir) ist zu alt.

  17. Kommma sagt:

    Hallo zusammen,

    Ich habe auch diese liebe Scheiße gekriegt, und habe die Entfernung Lösung 2, die hier oben beschriben ist, versucht. Leider war es schon ein Problem bei Ausführung von Update für Kapersky… Die Version, die ich heruntergeladean habe, ist 27/11/11 aktuell, aber das reicht nicht, oder ?
    Wie kann ich das lösen ?

    Danke im Voraus, und danke für alle diese feine Tipps ;)

  18. Mandy sagt:

    Hallo! :)

    Ich hab echt alles versucht, aber nichts hat geklappt! Zum Schluss hab ich ne Systemwiederherstellung gemacht und auf einmal war der Trojaner weg! Jedenfalls kann ich wieder unbeschränkt ins Netz und alles ist genauso wie vorher.. Ist der Trojaner jetzt wirklich weg? Ich hab mir jetzt eine Testversion von Kaspersky gedownloadet und lasse mein Notebook gerade komplett “untersuchen”. Findet Kaspersky diesen Trojaner, wenn er sich noch auf meinem Notebook befindet? Kann ich mir sicher sein, dass er weg ist, wenn Kaspersky nichts findet?

    Vielen Dank für deine Antwort! (:

    • Andreas sagt:

      Die Wiederherstellung kann, viel, es *kann* geklappt haben. Sicher kannst Du leider nicht sein.

      Wenn Kaspersky keinen Trojaner mehr findet, heißt das leider nur genau das: Kaspersky findet keinen Trojaner. Es kann trotzdem einer da sein. Mehr Gewissheit hast Du nur, wenn Du mit mehreren verschiedenen Scannern arbeitest.

      Dabei reicht es nicht, die Testversionen zu nehmen und zu installieren, denn theoretisch kann ein existenter Trojaner sich vor Scannern verstecken – wie das konkret ist, kommt auf den Einzelfall an.

      Mehr Sicherheit hast Du, wenn Du mit einer oder mehreren unterschiedlichen Antiviren-Boot-CDs startest und den PC untersuchst.

      Wenn das mangels CD-Laufwerk nicht geht, musst Du Dir auf einem anderen PC (Freund, Bekannter, Büro) einen solchen Stick machen (lassen); eine Beschreibung dazu findest Du zum Beispiel im Beitrag Antivirus-Boot-CD von USB-Stick starten.

  19. Mandy sagt:

    Hallo :)

    Also ich habe ja schon mehrere Scanner rüber laufen lassen. Keiner hat etwas gefunden. Naja, Kaspersky hat eine Bedrohung entdeckt:

    “UDS:DangerousObject.Multi.Generic
    Objekt: C/Documents and Settings/mandy/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/41/5eebcc69-7114fb3c
    Status: Gelöscht”

    Und daneben steht “Andere Malware”. Leider weiß ich nicht, was eine Malware ist. Ist das eventuell der Trojaner, der da gefunden und entfernt wurde? Oder etwas gaaanz anderes?

    Wenn der Trojaner noch drauf sein SOLLTE (was ich weder hoffe noch denke), was kann er dann noch anrichten, wenn er meinen Laptop ja garnicht mehr sperrt?

    Danke nochmal für die Antwort!

    • Andreas sagt:

      Der Meldung nach wurde wasauchimmer entfernt, und dort, wo es lag, war es auch entbehrlich und konnte daher problemlos entfernt werden.

      Der Trojaner, falls er noch da sein sollte, Dir beim Online-Banking zugucken. Deine Passwörter stehlen. Oder überraschend doch wieder aktiv werden – nächste Woche, wenn’s Dir gerade gar nicht passt.

      *Aber* wenn Du *mehrere* Scanner verwendet hast, *UND* diese nicht nur von Windows aus, sondern wirklich auch von einem Boot-Medium aus (USB, CD) benutzt hast, dann lass Dich nicht verrückt machen. *Wahrscheinlich* isser weg.

      SICHER wäre, Deine wichtigen Daten (Musik, Bilder, Texte) auf eine externe Festplatte zu sichern und Windows neu zu installieren oder mit Hilfe des Rescue-Programms des Herstellers (falls vorhanden) das Gerät auf den Auslieferungszustand zurückzusetzen. Aber das ist halt mühsam… ;-)

  20. Mandy sagt:

    Danke nochmal für deine Antwort :)

    Naja, ich werde jetzt, denke ich, nichts mehr tun. Online-Banking? Mache ich sowieso nicht. Passwörter? Naja, Facebook, MSN und so, aber das ist nicht sooooo wichtig. Ich warte einfach ab und sollte mir der Trojaner wieder auffallen, werde ich meinen Laptop auch mal in einen “Handyladen” bringen und den da durchecken lassen ^^

  21. Andreas sagt:

    Den Trojaner kriegt man noch leichter los.

    Einfach Lan ausstecken oder W-Lan ausschalten. Temp Dateien aus Temp-Ordner löschen, exe-Datei aus Autostart löschen und Papierkorb entleeren.

    Wer will kann dann noch einen Viren-Scanner laufen lassen…

    Gott sei Dank sind diese Internet-Betrüger immer schlechte Programmierer :-D

  22. Silverstrike sagt:

    Hallo,
    ich bin den Trojaner gerade auf relativ einfache Weise losgeworden (zumindest läuft der PC momentan wieder – ich hoffe, das bleibt so):

    1. PC im abgesicherten Modus starten (für Dummis wie mich: beim Hochfahren so lange die F8-Taste tippen, bis abges. Modus startet)
    2. Im Start-Menü auf Autostart gehen
    3. Bei mir war gleich ganz oben eine exe-Datei mit einer Reihe von Zahlen
    4. Diese Datei gelöscht – auch im Papierkorb
    5. PC neu gestartet
    PC lief sofort wieder normal. Zur Sicherheit noch malwarebytes (kostenlose Testversion) runtergeladen.

    Ich hoffe, ich konnte helfen!
    Silverstrike

  23. Andreas sagt:

    @Silverstrike: Danke für die Tipps!

  24. Mirco sagt:

    Du hast mir gerade vielleicht nicht das Leben, aber zumindest drei fast fertige Romane gerettet. Danke. Tausend Dank! (Note to self: Wie war das nochmal mit regelmäßigen Backups?)

  25. Herunterfahrer sagt:

    nocheine GUTE MÖGLICHKEIT OHNE ABGESICHERTER MODUS!!!

    Hallo an alle …
    hab grad auch den scheiß bekommen … erst reaktionsartig den steker inerhalb weniger milisekunden rausgezogen , ging da ich einen notbook ohne aku verwende im netzbetrieb ….
    Bin dann zu tanke gelaufen und hab bezahlt, ….
    ne spaß bei seite innerhalb paar milisekunden könte ich nur ip und kriminal… lesen , dann den rechner gestartet, da ich wuste das die behörden nur briefe schreiben hab selenruhig alles mögliche ausprobiert, der witz ist ; TASKMANAGER FUNKTIONIERT NICHT , wenn man den den PC HERUNTERFAHREN will SCHLISST SICH DAS TROJANER FENSTER , dann SCHNELL auf ABRECHEN und man kann im INTERNET LÖSUNG SUCHEN!!!!

  26. Daniel sagt:

    Die Anleitung von Silverstrike hat bei mir einwandfrei funktioniert. Das ist ja schon nen Ding !. Hat mir einen schönen Schrecken eingejagt. Solchen Leuten die so was ins Netz machen, sollte das Handwerk gelegt werden. Außer dem Schreck, hat man ja auch noch viel Arbeit und Ärger damit. Auf jeden Fall noch vielen Dank an Silverstrike für deine Hilfe !. Dir gehört ein Orden verliehen !.

  27. Reinhold sagt:

    Hallo an Alle
    Ich habe die Anleitung von silverstrike angewendet.
    Super Sache .Und ich sag euch ich bin der Oberdummi of the Pc .
    Wenn ich wieder mal ein Problem habe weiß ich auf jeden fall
    wie ich jetzt vorgehen muß .Silverstrike hat nen Orden verdient

  28. Ajalon sagt:

    Guten Abend allezamm, ich hab heut auch die erschütternde Erfahrung mit der Seiberkreimsjunit gemacht. Der Hinweis auf Terror und Kinderporno war gleich der Schlüssel zur Abhilfe. Gar so dick mußten die Handaufhalter doch nicht auftragen, sonst hätt ich´s fast geglaubt. Im Internetcafe habich diese Seite hier ergoogelt, hab´s dann gemacht wie Silverstrike (Danke!!), und siehe, es geht wieder. Ich hab ganz schön suchen müssen, bis ich im Startmenü Autostart gefunden hab(unter Programme). Habich doch von sowas keine Ahnung.

  29. Ajalon sagt:

    Da fällt mir noch ein: Microsoft Security Essentials hatte mir noch eine Warnung vor einer Bedrohung angezeigt, dann war´s aber schon zu spät. Warum das Programm überhaupt ausgeführt wird, wenn es schon als Gefahr erkannt wird, versteh ich nicht, keine Ahnung eben.

  30. Alex sagt:

    wenn euer pc für den herunterfahrtrick (Strg+alt+entf Abmelden und dann schnell abbrechen drücken) zu schnell ist und ihr es nicht schafft in der kurzen zeit zu klicken, dann win+tab (im hintergrund ist nen explorer-fenster geöffnet) und navigiert euch zu einem programm, das den pc ordentlich auslastet (ich hab 3 mal avira angeklickt). dann erzwingt der pc nicht mehr ganz so schnell das abmelden und ihr könnt in ruhe auf abbrechen klicken
    und dann der anleiung von silverstrike folgen

  31. Tgueei sagt:

    Ich wollte das auch versuchen was silverstrike erklärt hat.
    Jedoch kommt bei mir nur ein leerer bildschirm
    Und ich hab gar nicht die möglichkeit das startmenü
    Zu öffnen :(

    • Andreas sagt:

      DRINGENDER AUFRUF:
      Könnt ihr mir bitte an virus@unsicherheitsblog.de die Links mailen, über die ihr euch _wahrscheinlich_ mit dem Ding angesteckt habt (bitte sagen, mit welchem Browser)? Oder die angesteckten Dateien? Denn es ist mir bisher nicht gelungen, mich absichtlich anzustecken, und ich würde das gerne mal probeweise durchführen.

  32. 1ns0mn14 sagt:

    Man braucht garnichtmal den Rechner im abgesichterten Modus starten.
    Es taucht ja ein Windows-Explorer Fenster auf,
    dadurch kann man zum Ordner C:\Windows navigieren
    und explorer.exe nochmal starten,
    dann hat man sogar das Startmenue wiederstarten.
    Oder Windows-Taste und R druecken,
    explorer, regedit (Registry Editor), msconfig (Startup-liste) oder cmd (falls ihr die Commandline nutzen mögt),

    Dies war mein erster Schritt,
    dann hab ich bestaetigt dass es sich
    definitiv um einen Trojaner-Scareware-Hoax handelt,
    obwohl ich mir sicher war.

    Kein fremder Mensch hat Zugriff auf meinem Netzwerk,
    ich hab nie Kinderpornografie runtergeladen
    und soweit ich weiss sind meine
    Mail Accounts clean (niemand hat meine passwords geloggt
    um dadurch zu spammen).

    Habe direkt nachgeguckt wie ich den taskmanager
    wieder aktiviere, das geht beim Registry Editor im Pfad
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, einfach den Eintrag DisableTaskMgr loeschen.

    Auf der Startup-Liste bei msconfig gabs auch nen krass
    verdaechtigen eintrag: eine EXE datei mit dem namen X.XXXXXXXXXXXXXXXX.exe (X=numerische ziffern),
    in meinem Fall 0.5431685045598188.exe,
    der Ausfuehrungsbefehl lautete: C:\Windows\System32\rundll32.exe C:\Users\*Mein Benutzername*\AppData\Local\Temp.5431685045598188.exe

    Dass heisst dass sich der Virus im Temp unter C:\Users\*Mein Benutzername*\AppData\Local\Temp\ befindet. Startup Eintrag geloescht, Datei mit Unlocker (freeware: http://www.emptyloop.com/unlocker/) beim Neustart loeschen lassen. Das wars!

  33. 1ns0mn14 sagt:

    Man braucht garnichtmal den Rechner im abgesichterten Modus starten.
    Es taucht ja ein Windows-Explorer Fenster auf,
    dadurch kann man zum Ordner C:\Windows navigieren
    und explorer.exe nochmal starten,
    dann hat man sogar das Startmenue wieder.
    Oder Windows-Taste und R druecken,
    explorer, regedit (Registry Editor), msconfig (Startup-liste) oder cmd (falls ihr die Commandline nutzen mögt) ausfuehren.

    Dies war mein erster Schritt,
    dann hab ich bestaetigt dass es sich
    definitiv um einen Trojaner-Scareware-Hoax handelt,
    obwohl ich mir sicher war.

    Kein fremder Mensch hat Zugriff auf meinem Netzwerk,
    ich hab nie Kinderpornografie runtergeladen
    und soweit ich weiss sind meine
    Mail Accounts clean (niemand hat meine passwords geloggt
    um dadurch zu spammen).

    Habe direkt nachgeguckt wie ich den taskmanager
    wieder aktiviere, das geht beim Registry Editor im Pfad
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System, einfach den Eintrag DisableTaskMgr loeschen.

    Auf der Startup-Liste bei msconfig gabs auch nen krass
    verdaechtigen eintrag: eine EXE datei mit dem namen X.XXXXXXXXXXXXXXXX.exe (X=numerische ziffern),
    in meinem Fall 0.5431685045598188.exe,
    der Ausfuehrungsbefehl lautete: C:\Windows\System32\rundll32.exe C:\Users\*Mein Benutzername*\AppData\Local\Temp.5431685045598188.exe

    Dass heisst dass sich der Virus im Temp unter C:\Users\*Mein Benutzername*\AppData\Local\Temp\ befindet. Startup Eintrag geloescht, Datei mit Unlocker (freeware: http://www.emptyloop.com/unlocker/) beim Neustart loeschen lassen. Das wars!

  34. sick sagt:

    hi Leute, hatte das ding auch, konnte abder dank dual monitoring und genügend anderer rechner dasding wieder losswerden.

    interresannt wäre für mich aber viel eher, wie schütze ich mich ernuet vor sowas?

    kamd as ding rein, weil java ne sicherheitslücke hat? mein jdownloader läuft darauf…

    und kinder pornos kenne ich nicht normale pr0nz schon ;-)

    welche software blockt sowas sinnvoll?

    spybot hab ich laufen und ms security essentials

  35. mojo07 sagt:

    Hey Leute,
    Ich hab ne Möglichkeit gefunden (zumindest bei Windows 7), wie man trotz Sperre den Computer noch benutzen kann.
    Wenn die “Seite” erscheint, müsst ihr den power Schalter kurz antippen.
    Dann seht ihr euren normalen Bildschirm und dacor ein Fenster in dem steht:”…Programme sind noch geöffnet…”.Jetz müsst ihr auf ABBRECHEN
    drücken. Et voila, es funktioniert wieder.

  36. Chris sagt:

    Auch bei mir hat sich dieser Virus installiert, ich befand mich auf, sagen wir mal, nicht ganz jugendfreien Seiten, als pötzlich mehrere Fenster aufgingen und ich dieses Fenster bekam, bei dem Nichts mehr ging.
    Nach einer anfänglichen Schrecksekunde habe ich aber den Braten gerochen.
    Ich habe WIN 7: Computer aus, Starten, F2 und dann F8 drücken.
    Im abgesicherten Modus Programm im Autostart Menü löschen.

    Dieselbe Datei befindet sich auch unter C:/Benutzer/…./AppData/Local/Temp

    sollte auch gelöscht werden

    Beim Löschen erhält man folgende Info:

    Beschreibung: Sheds Throb Plays Nob
    Firma: Packard Bell BV
    Dateiversion: 2.4.0.0
    Größe: 175KB

    Das Programm heisst 0.9071839337539722.exe

  37. Polska sagt:

    Hallo.Ich habe auch grade diese Scheiß.. bekommen,und erlisch gesacht bin ich sprach loss -Das ist nicht normall !!! Leider habe ich nicht alles verstenden was Ihr dar schreibt aber “ALT F4” Hatte Nichts gebracht,und Systemwiederhestellung geht es auch nicht weil ich habe nur diese Seite von Mir “Bundespolizei” und alles andre geht nicht-ich kann nicht mall PC neu starten:( Aber Ein weiss Ich-ich werde das geld nicht zalen weill Ich habe Mit Keine PORNO Kinder zu tun !! Ich Bin POLIN-Aber Keine blondine !! Ich gehe mit pc zum eine Teschnike und er soll was Machen-Liebe Zalle ihm Das Geld nicht eine Virus oder was das Ist… Leute ich melde mich und sage euch wie ist bei mir gelaufen. Hoffentlich es klapt.

  38. kittycat sagt:

    Vielen lieben Dank Silverstrike!
    Ich hab den Tipp für Dummies ausprobiert und es hat geklappt.
    – Das mit F 8 und im Abgesicherten Modus diese Zahlen-exe löschen.
    Dieser Dreckstrojaner!
    Ich hab so überhaupt keine Ahnung und dachte schon, ich müsste die Festplatte löschen und alles neu draufspielen.
    Ich nutze den Laptop aber nie für Bankgeschäfte.
    Jedenfalls ist bei mir wieder alles ok.

  39. Itschab sagt:

    Hallo Leute,

    ich sehe ihr habt auch so nen kleinen Schrecken bekommen, so wie meine Frau. Da wollte sich wohl jemand einen kleinen Bonus für Weihnachten verdienen. Diese Schweine.

    Aber an alle die sich Sorgen machen.
    Die sind nicht so gut wie es scheint. Wer meint er sei ein großer Hacker und schreibt eine Randomware, wo im Festername die IP steht, ist ziemlich geistig beschränkt.

    Ich hab mir mal den Spaß gemacht, und die IP´s, sind nähmlich zwei, von denen das kommt, zurückverfolgt.

    Die eine Läuft über einen Server in Holland, Nähe Amsterdam, die andere läuft über die Monyson Group S.a in Rumänien. Also definitiv kein BKA, es seidem die Arbeiten neuerdings im Ausland. lol

    Wer gern selbst nochmal nachsehen will, gebt die folgenden IP-Adressen mal bei Google ein und ihr bekommt gezeigt, wo die herkommen.

    85.151.39.6
    85.121.39.6

    Trotz alledem ne ziemlich nervige Scheiße, die Die da abziehen, auch wenn das Grundkonzept, anhand der Bezahlmethoden und des Seitenaufbaus, wohl eher von ein paar geistig zurückgebliebenen Grundschülern als von Profis kommt.

    Die sind maximal im Stande ihren Namen zu tanzen.

    Auch die IP-Adresse, die auf der Webseite angezeigt wird, ist total mieß kopiert. Wer sich den Seiten-Quelltext mal ansieht, der sieht das nur das Anfrageprotokoll ausgelesen wird und von da die IP nur in die Seite kopiert wird. Alles in Allen nervig, aber billig.

    Auf jeden Fall NICHT BEZAHLEN!!!!!

  40. Itschab sagt:

    Achtung!!!

    Noch ne kleine Info an Alle.

    Die unterschieldichen IP´s, ziehen auch unterschiedliche Vieren drauf. Soll heißen die nennen sich anders.

    Also schauen, ob mehr als nur die eine x.xxxxxxxxxxxxxx.exe da ist.

    LG Itschab

  41. G.Style sagt:

    Ich habe Heute auch diese Meldung bekommen.

    Ich habe mich erst richtig erschrocken, bis ich die Seite mal durchgelesen habe!
    Ich war ja nur auf Chip.de unterwegs und nicht auf Porno Seiten oder habe Mails mit Terroristen
    ausgetauscht^^

    Aber echt mal, im Erst, welcher Trottel überweist denn bitte 100€ auf so ein Scheinkonto bzw. komischen Überweisungsarten.
    Ich als langjähriger PC-Informatiker erkenne doch gleich, dass das ein Fake ist.
    Denn alles würd über den Internet Explorer aufgerufen und man kann nichts mehr machen.
    Außer bezahlen? Sowas kommt per post, da kann man dann noch ein paar nullen dran hängen.

    Habe gleich den PC vom Internet getrennt.
    Den sicheren Modus aufgerufen..
    Bin unter Autoruns gegangen und hab die .exe gelöscht! (43602727…exe oder so)
    PC neu gestartet, Avira einmal durchlaufen lassen + Boot CD
    Und fertig wars…PC wieder ans Internet angeschlossen und hier meinen –
    Beitrag gepostet =)

    Aber eins muss ich sagen, ich habe schon zich Viren, Trojaner, Spams etc. gesehen,
    aber noch nie einen so gut gemachten, also von der Technik und dem Ausführen.
    Der Inhalt bzw. die Bezahlweise ist richtiger Schrott!

    Mfg und schönes Neues…!

  42. km sagt:

    Der Tip “löschen ohne tool” hat bei uns gefunzt. Danke für den Tip. Hat mich nur 1 min recherche und einen neustart gekostet.

    LG
    km

  43. of-pete sagt:

    @Andreas: Hm…und wo krieg ich eine Antivire-Boot-CD für mein Win7-Netbook her? Bzw. eine entsprechende Datei, falls dass auch über USB-Stick funzt?

  44. Benjo sagt:

    Hatte gestern auch das Problem. Konnte allerdings noch den rechten Mausklick benutzen und so auf eine Internetseite gelangen, die mich zu eurem Thread geführt hat. Danke nochmals für die Tips. Im abgesichertem Modus starten und die Autostart “Zahlen”.exe löschen. Die Idee hatte ich auch schon, aber hab mich trotzdem bei euch hier informiert, ging schneller. Danach hab ich noch den Suchlauf nach Änderungsdatum durchlaufen lassen und alles rausgelöscht, was nach diesem Virus aussah und Erstellungsdatum 12.01.2011 hatte. hab da noch 6 andere Einträge gefunden, die alle diese Zahlenkombinationen aufwiesen. Hab jetzt 4 Virenprogramme durchlaufen lassen, aber nichts mehr gefunden. Glaube die Radikalmethode hat geholfen.

  45. chrissi sagt:

    Ich hab jetzt nur Kaspersky drüberlaufen lassen und er hat zwei Viren gefunden. Reicht das oder muss ich es trotzdem noch mit diesem Antivirus Boot machen (was ist das überhaupt=))

    Danke trotzdem nochmal für die Tips.

  46. Maik sagt:

    Hallo,
    erstmal meinen Dank an dieser Stelle, deine Seite hat mir einiges an Arbeit erspart.

    Ich hab einen recht leichten Weg gewählt um dieses nervige Teil erstmal aus dem Autostart zu bekommen.
    Windows 7 mit F5 im abgesicherten Modus starten und dann über die Suchfunktion in die msconfig aufrufen. Dort im Reiter Systemstart das Systemstartelement Convex aus dem Autostart nehmen. Dann funktionniert wenigstens Windows wieder, ohne, dass man irgentetwas resetten muss.
    Ich weiß nicht, ob diese Info hier in den Comments schon steht (sind ein bissel viele, um alle zu lesen) aber ich hoffe, ich kann damit machen Leuten das einsetzen eines zweiten Rechners ersparen.

    Viel Erfolg beim bekämpfen!

  47. Iris sagt:

    Ich hatte den Virus heute Nachmittag plötzlich auch auf dem Computer, während ich auf vollkommen bedenklichen Seiten wie Youtube und leo.org unterwegs war.

    Mich hat erstmal der Schlag getroffen!

    Glücklicherweise besitze ich seit ein paar Monaten ein Handy, mit dem man auch ins Internet gehen kann (Gott sei Dank!) und hab mich erstmal informiert, bin dabei auf diese Seite gestoßen… Ich war so erleichtert XD

    Ich hab es allerdings nicht hinbekommen, den Computer im abgesicherten Modus zu starten, also hab ich eine Systemwiederherstellung gemacht und siehe da, sofort konnte ich wieder auf meinen PC zugreifen.

    Ich weiß nicht, ob die Gefahr damit gebannt ist … kann mir das jemand sagen?

    • Andreas sagt:

      Nein, das kann niemand 100% zuverlässig sagen.

      Prinzipiell empfiehlt sich nach jeder Infektion, die wichtigsten Dokumente (und nur diese) zu sichern (z.B. auf CD brennen) und Windows neu zu installieren.

      Weil das aber natürlich nur wenige machen, sollte man zumindest den kleinen Dienstweg gehen und über einige der auf http://unsicherheitsblog.de/tag/antivirus-boot-cds/ vorgestellte Antiviren-Boot-CDs den Rechner ein zweites, drittes, viertes Mal absuchen lassen.

  48. Andreas sagt:

    Inzwischen hat auch der Spiegel http://www.spiegel.de/netzwelt/web/0,1518,809770,00.html meinen Beitrag zum Anlass genommen, selbst darüber zu schreiben – wie üblich leicht daneben, etwa unter dem Titel >>”BKA”-Virus<<, weil man dort halt nicht weiß, was ein Virus ist...

  49. Paradigma sagt:

    Hi Andreas,

    nachdem mir dieser nette Scherz in meinem Browser vor die Nase geflattert kam wurde besagte .exe auch prompt per save mode gelöscht und alles läuft wieder prima nur besteht bei mir nun das Problem dass ich meinen Browser nicht mehr öffnen kann ohne das mir Sessionrestore denselben Mist wieder auftischt und ich kenne bisher nur die möglichkeit innerhalb des Browsers die Sitzungswiederherstellung abzuschalten was natürlichnicht geht wenn sofort wieder dasselbe Lied von vorn beginnt und alles gesperrt ist. Ich wäre froh wenn mir da jemand eine Lösung hätte :)

    MfG

  50. Timo sagt:

    so vor 2 tagen habe ich mir auch denn scheiß virus eingefangen… bin dann in abgesicherten modus gegangen … bloß dar war er auch schon so ein scheiß… habe schnell wieder auf system wiederherstellung gemacht das machte mein laptop auch .. aber er startet immer mit starthilfe und nach 2 mal das dar open missing sytem . kann mir mal einer helfen bitte …

  51. Christian sagt:

    Ich habe mir den gestern eingefangen und habe recht schnell eine Lösung gefunden.
    Ich bin mir aber nicht sicher ob diese nachhaltig ist.
    Einfach in Alle Programme Autostart Programme öffnen und den Ordner ( es sollte normalerweise der letzte sein und hat eine win 32 kennung) löschen.
    Danach einen neustart durchführen, und man stellt danach fest, das Virus programme wieder zugreifbar und auch task manager wieder funktioniert.

    Habe gerade Papierkorb inhalte nochmals geschreddert, und mein Anti virus Programm scannt gerade den Rechner.
    Bin gespannt ob der noch was findet.
    Habe Windows Vista.

  52. MBG sagt:

    Mann da bekommt man wirklich lust den verantwortlichen mal mit schmakes vor die eier zu treten…

  53. Tobias sagt:

    Danke
    war mir sehr hilfreich aufeinmal kommt des wo ich in facebook reingehen wollte ab den computer ein paar mal ausgeschalttet und dann dass gefunden
    Sehr nett von dir dass du andere daraufhin weißt der ohne tools futzt super

    Tobias

  54. Rolf668 sagt:

    DankeDankeDanke, es ging irgendwie gar nix mehr. Nach abgesichertem Neustart alles tagesaktuelle im Temp-Ordner und anschließend im Papierkorb gelöscht. Jetzt läuft gerade zum 2. Mal Avira drüber. Erster Lauf ohne Funde. Desktop geht auch wieder. WWW wird sich zeigen. Auf alle Fälle reagiert der Lappy wieder, auch ohne Zahlung.

  55. Konrad sagt:

    Hallo,
    ich habe mir ebenfalls diesen Trojaner eingefangen jedoch kann ich die .exe Datei nicht unter den Autorun Programmen finden…kann mir jemand helfen?
    Danke im voraus.

  56. X-Blaster sagt:

    so hallo erst mal zusammen

    auch ich habe diese schöne scheiße so eben aufm schirm gehabt ich habe es wie folgt gelöst ich habe meinen rechner neu gestartet im abgesicherten modus hab dann aus start gedrückt alleprogramme autostart die 2 dateien gelöscht rechner nochmal neu gesatrte dann in die pc reparier option meinen pc zu einem früheren zeitpunkt zurück gesetzt und mich nun wieder hinter 18 firewall´s vergraben mit 4 vieren und spywäre programmen und es funst einband frei

  57. Serkan sagt:

    Hallo, ich hab diesen verdammten Trojaner auch …
    -ich benutze Windows7
    -Ich starte im abgesicherten Modus
    -Start
    -alle Programme
    -autostart … Der Ordner ist leer?!?!

    Was soll ich tun?! Bitte hilft mir doch jemand :S

  58. Mza325 sagt:

    Habe das selbe Problem wie Konrad alles versucht klapt nichts bitte um hilfe

  59. Michael sagt:

    Hallo,
    der Tipp mit dem Autostart ist richtig, aber das ist nur eine Verknüpfung! (Die muss natürlich weg)
    Ich nutze WIN7 und habe mir den Trojaner mit einem eingeschränkten Konto eingefangen, mein “normales Konto” konnte ich normal nutzen!
    Die Datei habe ich auch gefunden: “C:\users\”Username”\AppData\Local\Temp.5581807462371612g8j8.exe”, die exe konnte ohne Probleme gelöscht werden.
    Z.Z. ist alles beim alten, hoffe ich doch. Der Trojaner trotz V Scanner und Router Firewall?!?
    Also, immer mit eingeschränktem Extrakonto surfen.
    Vielen Dank für diese Seite!

  60. Marcel sagt:

    Ich bin ihn so losgeworden(mit Kaspersky Internet Security):
    1. Solange ALT+F4 drücken bis sich das Fenster geschlossen hat.
    2. Jetzt STRG+ALT+ENTF drücken damit sich das Task-Menü öffnet.
    3. Auf “Abmelden” klicken
    4. Jetzt wieder anmelden
    5. Jetzt wird( zumindest bei mir! ) der Virus erkannt und man kann ihn sofort entfernen.

    Hoffe s klappt auch bei euch :)
    MFG Marcel

  61. Werner sagt:

    Hallo,
    ich habe mir den BKA Trojaner vor zwei Tagen eingefangen.
    Einzig das Programm “Malwarebytes Anti-Malware” hat den Quälgeist gefunden.
    Eingetragen hat er sich unter: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunI46453 und unter C:\Dokuments und Einstellungen\All Users\Local Settings\Temp\msdubmna.com
    Ich hoffe es hilft.
    LG Werner

  62. Fabian sagt:

    Hi Leute !

    Also wenn ich bei mir auf Autostart geh kommen da keine Zahlen wo ich löschen kann .

    Bei mir ist der Leer ??????

  63. ewald sagt:

    hallo,
    die anleitung über autostart die datei zulöschen war super, aber erst nachdem ich beim hochstarten nach der anmeldung die strg taste feststellte,dadurch konnte autostart nicht gestartet weden.
    jetzt arbeitet estmal tuneup. danke für den guten bericht!!

  64. Peter sagt:

    ^^,
    Und ich melde er ist in Österreich angekommen.
    Hier im schönen Ort Villach im Süden Österreichs, ist mir eine Abart dieses Trojaners untergekommen.

    Viel glück euch allen, die noch von ihm befallen sind oder es werden

  65. Armin sagt:

    Hi,

    Der Tipp mit dem abgesicherten Modus hab ich mehrmals leider ohne Erfolg versucht. Das Problem war, dass einfach keine einzige Datei im Autostartmenü zu finden war. Ich hab einfach das Suchprogramm über die Festplatte C laufen lassen mit den Suchbegriff ” 0.” und “.exe”, aber leider auch ohne Erfolg ;/

    Habt ihr vielleicht noch einen Tipp für mich?, würde mich für jeden Tipp freuen! Danke

    mfg

  66. Steve sagt:

    Hey leute,
    Auch ich melde. Er ist im schönen Tirol (Bezirk Landeck) angekommen. Habe gerade diesen beschissenen Trojaner auf meinem Computer gehabt. Er hat mein Antivirnprogramm komplett lahmgelegt und deaktiviert.Ich wollte shon €100,- übewisen. Die könnn mich am Arsch lecken.
    An alle die dieses Problem auch haben einfach am Computer eine System-Reparatur beim hochfahren machen. Sofort das Antivirenprogramm wieder aktivieren,updaten und den kompletten Computer untersuchen lassen. Am besten finde ich ist das Kaspersky Internet Security. Hab ich schon seit Jahren.
    Bei mir hats funktioniert.
    Viel Glück nd nicht Verzweifeln

  67. Pocklo sagt:

    Hallo Leute!
    Das Einzige, was bei mir geholfen hat, war der Tip mit: “Malwarebytes Anti-Malware”. Vielen Dank dafür. Ich habe es mit einem anderen PC gegooglet, den infizierten PC im abgesicherten Modus gestartet, 4 Stunden gebangt – und das wars. Im Autostart war nichts, Alt+F4 ging nicht, der Task-Manager ging nicht, der Abbrech-Trick ging nicht, weil zu schnell. Und die hoch gelobte Computerbild Antibot cd 3.0 Heft 7 vom 10.3.12 hat versagt, nichts gefunden. Nicht vergessen, im abgesicherten Modus Firefox aufrufen und alle noch geöffneten Tabs schließen, sonst beginnt das Spiel von vorn. Ich habe gehört, daß trotz Bezahlung der PC nicht freigegeben wurde, also nicht zahlen, die Daten sind ja nicht weg. Ab jetzt gehe ich nur noch mit eingeschränktem Benutzerkonto außer Haus. Viele Grüße Pocklo!

  68. ari sagt:

    ich finde beim autostart keine exe datei mit zahlen was soll ich nun tuhen???

  69. Mordok sagt:

    Was mich nervt: Warum zahle ich Geld für G Data Totalcare, wenn dann doch ein so(!) bekannter Trojaner nicht gestoppt wird :-/

    • Andreas sagt:

      @Mordok: Weil der Trojaner in immer neuen Versionen auftaucht, *damit* er nicht gefunden wird. Folgende Werbeblocker für den Browser hätten in diesem Fall möglicherweise mehr geholfen: Ein Werbeblocker wie AdBlock (Fox, Chrome), ein Flash-Blocker wie Flashblock (Firefox) oder FlashControl (Chrome) und ein Skripteblocker wie wie NoScript (Firefox) oder ScriptNo (Chrome). Macht das Surfen sehr unkomfortabel, aber deutlich sicherer.

  70. Daniel sagt:

    Hi,

    vielen Dank für die umfassende toll recherchierte Aufklärung.
    So konnte ich einen Riesenschreck binnen 10 min. in ein Lächeln verwandeln.
    Der abgesicherte Modus hat auf anhieb geklappt.

    Und die Hamsterpornos von AlQuaida ;-) haben auch überlebt

  71. quaresma sagt:

    hab auch das gleiche problem ich weiss nicht wie ich das mache hab notebook mit win 7 drauf

  72. Christian sagt:

    Hallo, ich bin heute auch zu diesem Vergnügen gekommen und habe keine Ahnung was ich nun machen soll. Meine Kenntnisse in Sachen Computerhandling sind nicht gerade die besten und wenn ich meinen Laptop auch gesicherten Modus (F8) hochfahre öffnet er mir direkt diese Seite vom BKA und ich kann nichts anderes machen. Wäre um jeden erdenklichen Rat dankbar!

  73. Henry sagt:

    Also:

    1. Ihr startet den PC ganz normal
    2. ihr startet SOFORT den WinExplorer…
    3. Startet euren Browser den WinExplorer
    4. Ladet euch CCleaner runter
    5. Startet diesen—>Extras—>Autostart—> Hier sucht ihr eine Zahlen exe. z.B. 0.03452345324523452.exe.Ink
    6. klickt auf den Eintrag und dann auf “Disable”
    7. Ladet euch den “https://www.botfrei.de/decleaner.html#symantec” Runter
    8. Lasst ihn durchlaufen.
    9. PC neustarten, Avira auf “Echtzeitscanner aktivieren” stellen, und normal weiter machen ;)

    Hat bei mir gewirkt.

    Vorrausetzung:
    Ihr müsst vllt den pc öfters neustarten, bis der Explorer zum starten kommt (je öfters ihr den PC startet desdo länger bliebt das Zeitfenster zum öffnen des Explorers)

    Hat keine 10 Minuten gedauert ;)

  74. Henry sagt:

    Das letzte was ihr GGF. tun müsst:

    Start—>Ausführen—>Regedit Dann nach dem Eintrag:”DisableTaskMgr” suchen—>Rechtsklick—>Ändern und den Wert auf 0 Stellen.

    Danach sollte der Taskmangager wieder verfügbar sein. Ansonsten die Kontooptionen auf “Admin” stellen.

  75. Felix sagt:

    Ich weiß nicht, ob Dankeskommentare hier angebracht und erwünscht sind aber die Entfernung ohne Tool hat glücklicherweise geholfen, nachdem mir wie vielen anderen auch das Herz zuerst in die Hose gerutscht war.
    Vielen Dank für die gut beschriebene Problemlösung :)

  76. Christian sagt:

    Ich glaube, jetzt habe ich es geschafft. Danke für eure Hilfe, alleine hätte ich es definitiv nicht geschafft! Danke, Danke, Danke!!!

  77. Hermes sagt:

    Bei mir hat er sich so verabschiedet:
    PC ausschalten mit Netzschalter
    Einschalten und gleich Boot Menu-aufrufen (F8 bei mir)
    abgesicherten Modus starten
    Systemwiederherstellung starten mit Zeitpunkt vor dem Befall
    – erledigt
    danach ArchiCrypt Anti-Bundestrojaner herunterladen (kostenlos) und System scannen.

    • Andreas sagt:

      @Hermes: Auch wenn er mit der Systemwiederherstellung verschwunden sein mag: “ArchiCrypt Anti-Bundestrojaner” hat dem nicht ein Promille Sicherheit hinzugefügt, denn dieses Ding war eben nicht im geringsten ein “Bundestrojaner”. Also unbedingt mit Hilfe von Boot-CD den PC nochmal untersuchen lassen!

  78. real sagt:

    yoyoyo also hab ne methode gefunden wenigstens wieder auf den Pc zuzugreifen —System starten dann strg+alt+entfernen dann benutzer abmelden dann anmelden dann schnell den Taskmanager aufrufen und die datei svchoos32TM* rauslöschen dass wars …Und daaannn die antivir und co nach dem virus suchen lassen
    mfg real

  79. miguel sagt:

    Hallo alle ich habe auch diese warnung erhalten und bei mir lag die exe unter:

    C/users/ich/AppData/Local/temp/0.0786454578792.exe

    ich habe es endeckt wo ich:

    msconfig eingeben habe
    Register Systemstart
    In der Spalte “Befehl” habe ich eine seltsame EXE gesucht. Bei alle die .exe die ich seltsam fand habe ich den Pfad verfolgt und gesucht eine .exe ganz neu von heute und BAM das war es! wieder normal gestartet und alles wie neu!

    danke an euch alle!!

  80. Komaru85 sagt:

    Komaru85 entbietet seinen aufrichtigen Dank und schwört bei allem was ihm heilig ist:
    Wenn er einen dieser gottverdammten Bastarde jemals erwischen sollte, wird er ihn den Tag seiner Geburt verfluchen lassen!!!

    Aber ernsthaft: Danke!

  81. Eckhard sagt:

    Hallo! Nachdem der Schreck verschwand und das klare Denken wieder begann, habe ich mit Deinen Instruktionen die .exe-Datei und noch eine andere identifiziert und gelöscht. Nun hoffe ich, dass das Problem für lange Zeit eleminiert wurde. Vielen Dank!

  82. Helmut sagt:

    Hallo,
    mir erging es heute ebenso!
    Plötzlich war das Mistding da und ich hätte noch reichlich am Rechner zu tun gehabt.
    Nachdem der Blutdruck wieder runter war, habe auch ich nach Deinen Anweisungen dieses miese .exe-Ding entdecken und gleich in den Orkus schicken können!
    1000 Dank!

  83. Marco sagt:

    Systemwiederherstelling hat gereicht :)

  84. Mandy sagt:

    Hallo ich hab diese scheis Meldung bekommen ist es wirklich nur ein Virus so zu sagen weil ich will morgen zu Polizei gehen ob es auch stimmt… Bitte um schnelle antwor
    Danke

  85. Julian sagt:

    Hi, ich will hier auch nur mal eben meinen Dank ausdrücken.
    Ich konnte die exe-Datei dank deiner Anleitung sofort identifizieren und entfernen. (War auch die einzige im Autostartordner ;) )

    Hab mir das Teil gestern abend noch kurz vor dem Schlafengeghen eingefangen und hatte heut in der Frühschicht die ganze Zeit n blödes Gefühl im Magen was das eigentlich sein soll und wie ichs wieder wegkrieg.
    Als ich dann heimkam meinte meine Frau dann das der PC gesperrt sei und hat mich so komisch angeguckt^^

    Naja nu is wieder alles in Butter, danke nochmals dafür…

    • Andreas sagt:

      @Julian: Gruß an die Frau Gattin: Im Gegensatz zu früher ist es heute nicht mehr wahr, dass man sich nur auf Schmuddelseiten was einfängt, das gilt auch und ganz besonders für *dieses* Tierchen.

  86. ero ero sagt:

    hi leute gestern ist mir die scheisse auch passiert haben gleich mein wlan strom stecker rausgezogen, ich habe hand aufs herz fast nen herzinfakt bekommen Zuhahahaha;D naja alles jut habe mein cyber kopf benutzt und den bka trojaner mit ero trojaner bekämpft keine chance fürs bka, naja eigentlich finde ich den trojaner nicht schlecht der grund dafür ist es schreckt ab , weil pornografie ist nach meinem recht schlimmer als heroin, ihr könnt gegen trojaner nichts tun,, mein rat öffnet solche seiten und macht es bekannt im netz damit die leute diese verdammte 100 euro nicht zahlen..danke andreas für deinen beitrag. lg anti bka trojaner ,ero trojaner

  87. hans sagt:

    habt ihr echt überwiesen?

  88. hans sagt:

    soll man nicht tun oder?
    ist doch nur virus oder?

  89. hans sagt:

    bitte schnelle antwort soll ich bezahlen?

  90. hans sagt:

    und wenn es echt ist?

  91. hans sagt:

    es kommt aber keiner persönlich vorbei oder so?

  92. hans sagt:

    wieso nicht?
    denke es ist ein virus

    • Andreas sagt:

      Ohne Dir zu Nahe treten zu wollen: Wenn Dich Dein schlechtes Gewissen derartig drückt, dann verweist das Handlungen, die nicht immer ganz legal sind, hmm?

  93. hans sagt:

    nie wieder so welche seiten ej nur ärger

  94. franz sagt:

    woher weiß man das man es nicht bezahalen soll ich hab das nicht verstanden es kann doch wirklich die polizei sein oder?

    • Andreas sagt:

      Man weiß es, weil: A) Die Polizei wird persönlich vorstellig, B) Behörden stellen Briefe auf Papier zu, C) das geforderte Zahlungsmittel ist unüblich und E) das echte BKA warnt z.B. hier und hier.

  95. franz sagt:

    wie lange dauert das bis der brief kommt oder die polizei auftaucht?

  96. Matze sagt:

    Hehe der Hans Und Franz sind ja gut :-)voll Angst hat er:-) wer weiß was der so macht . Hatte den Mist heute auch auf dem Rechner.klar bekommt man nen Schreck aber wenn man mal drüber nachdenkt . Hallo hast was mit Kinderpornos zu tun gehst mal ebend zur Tanke und überweißt 100€ und alles ist wieder gut. Und auch die Flagge die oben in dem Fenster ist ist keine deutsche sondern glaube Belgien oder?

    • Andreas sagt:

      Na ja, letztlich orientiert sich das ja an der Realität: Hast Du einen Film gedownloaded und bist erwischt worden und weichst dem Prozess aus, lässt Du Deinen Anwalt die geforderten 1000 auf 600 runterhandeln, zahlst diese, und gut ist (einigermaßen wahrscheinlich; für *diesen einen Film*; wenn man nicht weitermacht). Wenn ich mir ansehe, wie oberflächlich viele den Beitrag lesen, wahrscheinlich aus verständlicher Panik, und dann bedenke, wie viel Mist (und natürlich auch Gutes, Wichtiges, Richtiges) in Millionen von Foren drinsteht, dass aber auch die Infos dort nur panisch und oberflächlich gelesen und selektiv verstanden werden, dann wundert mich kaum noch, dass viele da einfach zahlen.

  97. help sagt:

    Hilfe!!!
    ich hab so ein ding auch bekommen. ich bin aber nur auf eine werbung gekommen. ich weiß nicht mal was für eine , da war schon dieses BKA ding da!!! und das ist auch der pc von meiner schwester. ich hab keine ahnung von pc`s. ich komm grad mal auf google und wieder raus:)
    ich würd ja gern denn pc runter fahren aber die leiste unten ist weg und ich bin froh das ich es überhaupt auf diese web-seite geschaft habe.
    was soll ich nur tun?

    Bittttttttteeeeeeeeeeeeeee helft mir!!!

    • Andreas sagt:

      Schenke Deiner Schwester einen Strauß Blumen oder einen großen Lindt-Osterhasen; dazu Dein Geständnis, ihren PC benutzt zu haben; danach Windows neu installieren und vorher zumindest mal fragen, ob sie ein Backup hat.

  98. help sagt:

    was ist denn ein Backup?
    das mit den blumen prubier ich mal:) aber sie kennt sich genauso wenig mit PCs aus wie ich….
    und meinen Eltern will ichs auch ncht unbedingt sagen.Soll ich damit in einen handy laden gehen? können die mir dort helfen?

    was meint ihr?
    vielen, vielen dank für eure tipps und ich finde es toll das es solche seiten gibt und das sich so viele dafür interrissieren!!!

  99. Maxi sagt:

    hallo zusammen, wenn auch verspätet, hab ich mir den spaß letztendlich doch noch eingefangen. mein problem ist, dass mein laptop mittlerweile wieder einwandfrei funktioniert, da ich die exe.-datei aus autostart raus hab (bei mir ch8/0.exe). der angebliche speicherort ist C:/users/…/appdata/roaming/microsoft/windows/startmenu/programs/startup
    nur leider finde ich genau dort die datei nicht, hat irgendjemand einen lösungstipp parat. danke im voraus!

  100. Meltar sagt:

    Hey Leutz…

    Ich hab mir vorgestern einen schöne neue Version von dem Trojaner gezogen..

    Der ist jetzt so weit fortgeschritten, dass er ein Programm startet, welches den Task-Manager unterdrückt (nicht deaktiviert!)

    Er beendet den Explorer und ersetzt Ihn durch seine schöne Seite. Reload und Windows-Taste und nix geht mehr.

    Meine Viren- Uswscanner fanden nur eine Datei, welche aber von dem Programm aus gestartet wurde.. Ich denke mal als Fake.

    Starten nur mit Eingabeaufforderung ging nicht mehr. Fehler –> Neustart.

    Es ging zwar die Internetverbindung zu kappen und im Vga-Modus zu starten. Das brachte aber nix, da das Programm ja ausgeführt und nicht beendet werden konnte.

    Ich hatte zum Glück noch eine Ersatzplatte mit einer Windowsversion drauf. Von dieser hab ich gestartet und das Programm auf der anderen Platte gesucht und gelöscht.

    Bei mir lag es unter C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp … Als Exe.Datei

    Ich war nicht sehr begeistert… Die Frage ist, wie schlimm das Ding noch wird…

  101. vivi sagt:

    hallo!
    ich habe gestern auch diese seite bekommen , ich habe einen schock bekommen da dort standt das ich kinderp****s auf meinem Netbook habe und teroristische e-mails verschickt haben soll ;o hallo?! ich soll 100euro dafür bezahlen.
    Punkt1. wer sowas auf seinem Laptop, Pc usw. hat sollte viel viel mehr bezahlen!

    Punkt2. ich bin 15 und diese seite hat mir als ich das gelesen habe keine angst mehr gemacht weil ich weiß das ich sowas nicht habe!

  102. Chris sagt:

    @silverstrike: Danke für die ausführliche Info hierzu.
    Bei mir lag die exe auch im autostart und war, wie von dir beschrieben, ganz einfach zu löschen.
    thx again und keep surfing
    chris

  103. Jay sagt:

    der virus verhindert jetzt auch das starten der registry.
    er verhindert aber nur das starten der registry, nicht aber den zugriff. über ein script kann man sie trotzdem starten und man kann die ganzen werte manuell wieder zurücksetzen wie von vielen vorgängern schon beschrieben.
    script gibts hier:
    http://www.wintotal.de/tipparchiv/?id=177

  104. pitu sagt:

    Hi Leute…hatte vor wenigen stunden auch den bka trojaner bei mir und wollte schon die paycard holen ,doch die schreib fehler und nach runter und wieder hoch fahren des computers hab ich auch gemerkt das dort verschiedene i.p.adressen standen.nur durch das mistrauen hab ich 100euro gesparrt und das ding war auch nach ner stunde wieder weg.

  105. pitu sagt:

    wie schon erwähnt funktioniert bei mir wieder alles ohne daß ich etwas unternommen habe .das ding war einfach wieder weg.
    Frage;ist es weg???

    • Andreas sagt:

      Das lässt sich bei dieser Faktenlage nicht beantworten, ich tendiere zu NEIN.

      Kauf die die aktuelle c’t und benutze “desinfec’t”, um sicherzugehen.

  106. adem sagt:

    Leute habs grade entfernt !!! aber mein vorteil war dabei das ich ein zweites account hatte (Admin) und da habe ich mein avg antivir scannen lassen und siehe da alles wie beim alten … LG Adem

  107. Ingrid sagt:

    aber wenn ich die wichtigsten Daten auf die externe Festplatte ziehe, ziehe ich doch unter Umständen auch den Virus mit auf die externe oder?

    • Andreas sagt:

      Sehr gute Frage. Das lasse ich auch Zeitersparnisgründen stets unter den Tisch fallen. Man muss unterscheiden zwischen Viren oder allgemein Schadprogrammen, die im System aktiv sind: sie wurden Teil des Systems- und Schadprogrammen in Dateien, die passiv irgendwo rumliegen, etwa nach dem Download, die erst aktiv würden, wenn man sie starten würde: die sind nicht Teil des System und können daher mit größerer Wahrscheinlich vom Scanner eines gesunden Systems ausfindig gemacht werden. Das Ganze ist halt kompliziert, daher gilt die vereinfachte Regel: Wichtige Dateien auf externe Platte sichern.

      Also: Ja, _unter Umständen_ zieht man auch den Virus auf die externe Platte.

      Nein, oder zumindest “eher nein”; wenn man _nur_ seine DATEN (das ist das Zeug in “Eigene Dateien”) auf die externe Platte kopiert. Ja, da KANN AUCH ein Virus dabei sein. Aber wenn man sein Windows neu installiert und einen Virenscanner installiert und DANN ERST seine Daten von der externen Platte wieder nach “Eigene Dateien” schiebt, dann hat der Scanner eine hohe Chance, den Virus zu erkennen.

      Das alles ist natürlich ohnehin nur notwendig, wenn man Daten hat, die den Aufwand wert sind (Doktorarbeit, Schulaufgabe, Rechnungen, Liebesbriefe, die Gedichte an den Schatz…) ;-)

  108. seyinphyin sagt:

    Ich weiß nicht, ob das schon einmal gesagt wurde, aber das Ding ist ziemlich einfach zu besiegen. Der Name ist purer Zufall, direkt danach suchen geht nicht, aber blockiert zwar alles, nur den Explorer nicht (geht wohl nicht, weil Teil des Systems.

    Demnach kann man immer noch normal suchen, selbst wenn er aktiv ist.

    Einfach nach *.exe suchen mit momentanen Datum hinsichtlich Veränderung. Das wirft dann die entsprechende exe aus (mehr ist das Ding nicht). Löschen kann man es natürlich nicht, da aktiv und er jedes andere Programm in der Regel zumindest optisch killt, aber umbennen reicht ja auch. Danach reicht schon ab- und wieder anmelden und das Ding in Ruhe löschen.

    Letztlich ist es kein Virus, wird auch deswegen nicht erkannt, sondern einfach nur eine Exe, die beim Start des PCs angerufen wird, zumindest waren das bisher meine Erfahrungen mit dem Ding.

    Der normale Virenschutz ist natürlich immer wichtig, aber so bekommt man zumindest schnell wieder die Kontrolle über den Rechner.

  109. leon sagt:

    des is soo ein scheiß. was kann ich machen wenn ich meinen Computer hoch fahre und dann sich der Bildschirm automatisch verändert mit dem Virus obwohl ich ihn einfach nur hoch gefahren habe aber sonst nix :D

    LG
    und danke schon mal im voraus für eure Hilfe !!

  110. Phaz sagt:

    Ich hab jetzt halt auch das virus drauf. Das problem nur: es ist ein laptop und wollt noch ganz dringend war erledigen. . . Tja dann ist es während meiner arbeit ausgegangen (kein akku) und als ich ihn dann zuhause aufgeladen und neu gestartet hab, hat es mir gesagt: windows kann nicht mehr gestartet werden, da blabla (hab leider vergessen was -.-) fehlt. Danach ließ sich der ABGESICHERTE MODUS nicht mehr aufrufen. . .

  111. Phaz sagt:

    Kurz darauf hab ich mir das virus eingefangen.

  112. Phaz sagt:

    Jaja, der erste text ist ganz toll verständlich. . .

  113. Bader sagt:

    Ich hatte das selbe Problem mit dem BKA-Trojaner, es gibt eine bequemere Möglichkeit zur Entfernung:

    Auf Abgesicherten Modus ODER anderen Account gehen und über die Windows Systemwiederherstellung einen zurückliegenden Wiederherstellungspunkt laden, dies macht alle Softwareänderungen (inklusive dem Trojaner) RÜCKGÄNGIG ohne die gespeicherten Dateien zu verändern

  114. Vanessa sagt:

    hi
    ich hab grad auch nen schönen Schreck bekommen. hab pc im abgesicherten modus gestartet und cc cleaner laufen lassen, dann kam ich wieder an alles ran. meine avira findet nichts. hab ich den virus jetzt immernoch?
    Danke

  115. Susanna sagt:

    Boah, Danke. Habe es geschafft, dank der Anleitung, auch wenn es für mich ein wenig zu IT lastig war. Trotzdem hat es geklappt.

  116. Stephanie sagt:

    hi,
    also ich habe mir vor 2 Tagen diesen BKA Trojaner durch eine e -mail eingefangen und bis jetzt 2 weiter e-mail bekommen mit dem gleichen Inhalt aber von 3 verschiedenen e-mail Adressen (aber natürlich nicht geöffnet) dieerste hat gereicht. Jetzt habe ich im abgesicherten Modus eine Systemwiederherstellung durchgeführt, jetzt funktioniert mein Latop zwar wieder aber ich kann meine ganzen Dateien nicht mehr öffnen bezw. kommen nur noch Hyroglhypen. Weiß jemand ob man die Dateien irgendwie wieder herstellen kann??

  117. Katharina sagt:

    Hey, ich habe ein kleines Problem! ich habe mir den Trojaner ebenfalls eingefangen, konnte aber meinen Laptop nach einem Neustart im gesicherten modus und auch normal wieder benutzen. Nur kann ich den Trojaner bzw die exe datei nicht finden. Im ordner autoplay habe ich nur eine verknüpfung (ktfmon), die auf eine rundll32 – Datei zurück führt. Diese datei hat jedoch ein datum vom letzten jahr. Was soll ich jetzt tun? .. Sg

  118. Katharina sagt:

    Könnte die Exe-Datei auch glom0_og heissen? Ich danke dir für diese Seite! Super, dass sich jemand so engagiert

  119. Katharina sagt:

    Hey, danke! es war die Datei. Vielen vielen dank. ich bin erleichtert ^^

  120. Michi sagt:

    Danke für die Tipps. Habe den Trojaner jetzt schon 18 mal in 4 Tagen gehabt -.- Wenn ich eine möglichkeit finde diese Typen zu lokalisieren, dann gnade ihnen Gott ;)

  121. Andy B sagt:

    Also ich hatte es heute auch das 1. mal gehapt und bin fast vom Stuhl gefallen.

    Finde es klasse wie du die Leute hier Rat gibst. Habe mein Rechner auch komplett neu installiert und jetzt ist wieder alles schick, werde aber wohl morgen trotzdem mal zur Polizei gehen und den Fall melden.

    Ist ein sehr komisches Gefühl, wenn man auf einmal so eine Seite bekommt und nichts mehr am Rechner machen kann.

    Danke an alle die hier gute Tipp´s geben und auch link´s dazu tun um sich Info´s zu holen über diese Affen.

    Mfg Andy

  122. Christian sagt:

    …alter ich hatte das teil vor 3 tage auch gehabt….

    habe dieses scheiss ding auf meiner art (vom bauchgefühl her) selber gelöscht…..sah gut aus….aber die programmierer haben auf jedenfall dabei gesoffen……

    wer hat bock mit mir und andere nach holland zu fahren uns das scheiss ding in die luft zu jagen….xD

  123. Christian sagt:

    ich kann euch sagen wie ich es gemacht habe….vielleicht klappt es bei euch auch so…..

  124. Thomas sagt:

    Hallo Leute,
    auch ich bedanke mich dafür, dass es diese Hilfestellungen gibt.

    Ich hatte Probleme damit, den Anweisungen zu folgen, so habe ich eine andere Variante versucht. Wobei sich die Sache bei meinem PC wahrscheinlich auch anders verhält.

    Ich habe meiner Freundin einen User auf meinem PC angelegt, sodass sie mir bei meinen Programmen keinen Schaden anrichten kann. Sie kann auch nichts installieren. Dennoch hat sie sich heute diesen Virus eingefangen und konnte nichts mehr tun. Sie hat den PC runtergefahren und auf mich gewartet.

    Ich habe dann am Abend den PC eingeschaltet und mich (user) angemeldet, habe dann ihren User gelöscht, mitsamt all ihren Programmen (z.B. Sprachkurs) und ihr einen neuen User angelegt.

    Jetzt war (und bin´s noch immer nicht) ich mir nicht sicher, ob das so einfach sein kann. Habe mir dann noch die Testversion vom o.a. Avira AntiVirus downgeloaded und meinen PC überprüft. Hat nichts gefunden.

    Meint ihr, dass ich den Virus los bin?

    Vielen Dank für jede Hilfestellung!