Hallo,

In den letzten Tagen bin ich mal wieder einer neuen Form des altbekannten BKA Trojaners (oder welche Behörde auch immer dort mal wieder grad genannt wird) begegnet. Dies war schon eine deutlich schlauere Variante als die bisherigen.
Denn bisher war die gängige Vorgehensweise eigentlich sehr einfach, auch wenn man eben gerade keine knoppix cd oder ähnliches zur Hand hatte um auf das System zuzugreifen (welches ja alles mit einem sperrbildschirm blockiert...inklusive taskmanager etc). Die einfachste Methode war: abgesicherter Modus, systemwiederherstellung wählen, vorherigen wiederherstellungspunkt... fertig.
Das haben die Entwickler dieses drecks aber wohl auch inzwischen gelernt.
Somit passiert witziges: startet man den abgesicherten Modus und meldet sich an, wird man automatisch, bevor man irgendwas tun kann, wieder abgemeldet und das System startet neu. witzig.
Es gibt allerdings trotzdem einen relativ simplen trick für den fall das man eben keine anderen Tools zur Hand hat:
Man startet den abgesicherten Modus nur mit eingabeaufforderung. Dort wird man nicht abgemeldet.
Dann ruft man aus der console entweder direkt die wiederherstellungskonsole auf (C:\Windows\System32\rstrui.exe) oder man startet msconfig (dort findet man die Konsole unter Tools) oder man kann auch aus der eingabeaufforderung den Explorer starten. Was aber meist sehr langsam rödelt.
Einfach nur als kleine Hilfe für die, denen das mal im unpassenden Moment passiert, da diese Dinge sich ja über surf by einnisten, und bisweilen auch auf sehr "normalen" Webseiten zu finden sind.

Also ich versteh nur Bahnhof. Wie macht sich dass denn bemerkbar ob man sich so nen BKA-Trojaner eingefangen hat. Und wenn ich dann im abgesicherten Modus die Eingabeaufforderung starte, wo auf dem System kann ich dann den Trojaner finden / aufspüren. Ich mein ich kann doch z. B. auch mit Acronis meine letztes Backup zurückspielen, nur ich muss ja erstmal sicher sein ob mein System verseucht ist.

Das bekommst du mit. Sieht dann irgendwo so aus:

http://bka-trojaner.de/screenshots/bka-trojaner9.jpg

Das bekommst du mit. Sieht dann irgendwo so aus:

http://bka-trojaner.de/screenshots/bka-trojaner9.jpg
;D

Ah, o.k., deutlicher gehts kaum, insofern ist der Tip von GSXR-1000 hilfreich.

Ah, o.k., deutlicher gehts kaum, insofern ist der Tip von GSXR-1000 hilfreich.
Der den ich gesehen habe, hat sogar einen shot mit der webcam gemacht, zudem lief ein counter von 48 stunden in denen zu zahlen wäre.
War schon beeindruckend:)

Meiner hatte Live mitgeschnitten. Gut das die Cam zur Decke gerichtet ist. :D

Echt krass, mir tun die Leute leid die sich dann nicht mehr zu helfen wissen oder ahnungslos vor der Kiste sitzen.

Jetzt nochmal nachgefragt: Wenn ich z.B. mit Acronis True Image offline, also direkt von der Acronis Live-CD ein sauberes Backup zurückspiele, müsste dass doch auch reichen um den Mist wegzukriegen. Oder kann sich da auch was in den Bootdateien, Partitionstabelle, MBR oder wie auch immer einnisten. Ich frage deshalb, weil ich mal nach einen Bluescreen immer einen Ordner "minidump" im Windows-Ordner hatte obwohl ich ein sauberes Backup zurückgespielt hatte. Der Ordner "minidump" war erst weg nachdem ich die Systempartition formatiert und dann erst das Backup zurückgespielt hatte.

Ich würde mir als ersten Gedanken machen wie ich mir das Ding überhaupt habe einfangen können und falls ein PC je infiziert war bitte sofort neu aufsetzen. Live-Disks nur zur Datenrettung nutzen!
@Rasie: ein Backup nützt nichts wenn das System nicht ausreichend geschützt ist.

Echt krass, mir tun die Leute leid die sich dann nicht mehr zu helfen wissen oder ahnungslos vor der Kiste sitzen.
;D ;D
Ich komme aus dem Lachen nicht mehr raus. Gibt wirklich Leute die die Ironie nicht sehen? ;D

Viper;9970479'];D ;D
Ich komme aus dem Lachen nicht mehr raus. Gibt wirklich Leute die die Ironie nicht sehen? ;D
Jeder der etwas Ahnung von PCs hat und/oder IT News verfolgt wird sicher wissen, dass das Abzocke ist. Aber es gibt genug unbedarfte da draussen, die schaffen nicht mehr als den PC anzumachen Browser auf und den PC wieder halbwegs sicher runterzufahren.
Die Leute würden ja die Dinger nicht programmieren wenn es sich nicht lohnen würde.

Echt krass, mir tun die Leute leid die sich dann nicht mehr zu helfen wissen oder ahnungslos vor der Kiste sitzen.

na die ahnungslosen sind ja erst mal nötig um auf die x------x.pdf.exe in Email´s zu klicken, damit man sich das teil überhaupt einfängt :freak:

Ich würde mir als ersten Gedanken machen wie ich mir das Ding überhaupt habe einfangen können und falls ein PC je infiziert war bitte sofort neu aufsetzen. Live-Disks nur zur Datenrettung nutzen!
@Rasie: ein Backup nützt nichts wenn das System nicht ausreichend geschützt ist.
Diese Dinger sind bekommst du beim drive by surfen. Die nutzen schwachstellen in den Scripten beim IE beispielsweise aus.
Du kannst natürlich alle scripts deaktivieren. Nur bekommst du dann dummerweise auch viele websites nicht korrekt angezeigt. ebenso kannst du natuerlich alternative Browser nehmen. Nur funktioniert der ganze Kram auch bei Firefox und zudem zwingen dich halt manche seiten/anbieter für eine korrekte anzeige eben mindestens zu IE oder Firefox.
Leider ist es so, das diese scripts sich auch auf seriösen websites befinden können (werbebanner reichen aus).
Und ja, diese Trojaner können allein durch die systemwiederherstellung beseitigt werden. Da die scripte sich ausschliesslich in den temporären ordnern befinden.

Also auf richtigen seriösen Seiten findet man solche Scripte nicht. Und wenn doch ist es eine sehr sehr seltene Ausnahme...

Wer natürlich gerne nach Pornos sucht oder gerne über Google nach Torrentdateien oder anderen ähnlichen Sachen sucht, bei dem ist die Gefahr auf einer dieser gefährlichen Scripte zu stoßen, ziemlich hoch ;)

Jeder der etwas Ahnung von PCs hat und/oder IT News verfolgt wird sicher wissen, dass das Abzocke ist. Aber es gibt genug unbedarfte da draussen, die schaffen nicht mehr als den PC anzumachen Browser auf und den PC wieder halbwegs sicher runterzufahren.
Die Leute würden ja die Dinger nicht programmieren wenn es sich nicht lohnen würde.
Das lohnt sich. Ebenso wie die Abmahnabzocke.
Wenn nur 5% der betroffenen wirklich reagieren, kommen da schon unsummen zusammen.
Und nach den Zahlen die ich noch kürzlich in einer Zeitschrift gelesen habe sind die Summen wirklich lukrativ.
Zudem ist die wahrscheinlichkeit das jemand dies wirklich verfolgt gering (weil in zeiten von NSA, abmahnwahn usw) triffts bei vielen wirklich das schlechte gewissen. Und seien es besuchte Porn sites. Da zahlen viele. aus scham. Ist traurig aber wahr.

Viper;9970555']Also auf richtigen seriösen Seiten findet man solche Scripte nicht. Und wenn doch ist es eine sehr sehr seltene Ausnahme...

Wer natürlich gerne nach Pornos sucht oder gerne über Google nach Torrentdateien oder anderen ähnlichen Sachen sucht, bei dem ist die Gefahr auf einer dieser gefährlichen Scripte zu stoßen, ziemlich hoch ;)
informier dich mal bitte. Diese scripte stecken zum teil in werbebannern.
Und auf die art der werbung die faktisch geschaltet wird haben die betreiber nur wenig bis garkeinen einfluss. Frag mal leo. Wenn dann kann nur im nachgang reagiert werden, wenn beschwerden vorliegen. Und schuld ist am ende keiner, weil das alles über 28 firmen weitervermittelt wurde.

na die ahnungslosen sind ja erst mal nötig um auf die x------x.pdf.exe in Email´s zu klicken, damit man sich das teil überhaupt einfängt :freak:
falsch. das ist ein fly by script. da musst du rein garnix klicken.

informier dich mal bitte. Diese scripte stecken zum teil in werbebannern.
Und auf die art der werbung die faktisch geschaltet wird haben die betreiber nur wenig bis garkeinen einfluss. Frag mal leo. Wenn dann kann nur im nachgang reagiert werden, wenn beschwerden vorliegen. Und schuld ist am ende keiner, weil das alles über 28 firmen weitervermittelt wurde.
Ich weiß wie das abläuft.

Aber so schlimm wie du es hier darstellst ist es eben nicht... bei dir kommt es so rüber als wäre es eher die Regel statt die Ausnahme, dass sowas auf einer seriösen Webseite passiert. Das ist aber Quatscht. Ausnahmen gibt es natürlich immer wieder mal aber das sind, wie eben geschrieben.. Ausnahmen.

P.S. Dir ist hoffentlich klar, dass du keinen BKA Trojaner hattest oder? :freak:

falsch. das ist ein fly by script. da musst du rein garnix klicken.
Doch weil da meist immer noch einen vorgetäuschte Systemmeldung kommt, auf die man klicken muß,
die kann man manchmal nicht wegklicken dann hilft nur noch den Browser zu bebenden,

ich habe einen alten PC den ich vor genau solche bösen suchen verwende,
u. so BKA teil habe ich mir noch nie eingefangen,

natürlich sagen die "unbedarften" User nachher sie haben sich das einfach so eingefangen,
das das böse Porn Video nicht lief weil der Flashplayer abgestürzt war, u. die dann auf aktualisieren geklickt habe sagen die dann nicht oder haben es schon wider vergessen :freak:

kann natürlich sein das mir so was durch Adblock noch nicht untergekommen ist.

Diese Dinger sind bekommst du beim drive by surfen. Die nutzen schwachstellen in den Scripten beim IE beispielsweise aus.
Du kannst natürlich alle scripts deaktivieren. Nur bekommst du dann dummerweise auch viele websites nicht korrekt angezeigt. ebenso kannst du natuerlich alternative Browser nehmen. Nur funktioniert der ganze Kram auch bei Firefox und zudem zwingen dich halt manche seiten/anbieter für eine korrekte anzeige eben mindestens zu IE oder Firefox.
Leider ist es so, das diese scripts sich auch auf seriösen websites befinden können (werbebanner reichen aus).
Und ja, diese Trojaner können allein durch die systemwiederherstellung beseitigt werden. Da die scripte sich ausschliesslich in den temporären ordnern befinden.

Bullshit hoch drei. Wer IE benutzt ist selber Schuld. Und es hat sicher noch niemand einen BKA Trojaner durch eine Lücke in Firefox eingefangen.
Wer Plugins wie Java und/oder eine veraltete Flash Version einsetzt ist ebenfalls selber Schuld.
Wer sich über einen Werbebanner infiziert ist selber Schuld!
Und das sich ein Trojoaner über die Systemwiederherstellung beseitigen lässt ist der größte Bullshit. Er benutzt eher die versteckten Ordner der Systemwiederherstellung.

Viper;9970569']Ich weiß wie das abläuft.

Aber so schlimm wie du es hier darstellst ist es eben nicht... bei dir kommt es so rüber als wäre es eher die Regel statt die Ausnahme, dass sowas auf einer seriösen Webseite passiert. Das ist aber Quatscht. Ausnahmen gibt es natürlich immer wieder mal aber das sind, wie eben geschrieben.. Ausnahmen.

P.S. Dir ist hoffentlich klar, dass du keinen BKA Trojaner hattest oder? :freak:
Das wollte ich damit nicht ausdruecken. Sorry wenn sich das so anhörte.
Ich wollte damit nur ausdrücken, das man umgekehrt nicht sagen kann, das jemand der sich sowas einfängt entweder dumm oder nur auf schmuddelseiten verkehren muss.
Selbst hier treten bisweilen Porn popups auf, obwohl ich sicher davon ausgehe das diese nicht von Leo gebucht wurden.

Doch weil da meist immer noch einen vorgetäuschte Systemmeldung kommt, auf die man klicken muß,
die kann man manchmal nicht wegklicken dann hilft nur noch den Browser zu bebenden,

ich habe einen alten PC den ich vor genau solche bösen suchen verwende,
u. so BKA teil habe ich mir noch nie eingefangen,

natürlich sagen die "unbedarften" User nachher sie haben sich das einfach so eingefangen,
das das böse Porn Video nicht lief weil der Flashplayer abgestürzt war, u. die dann auf aktualisieren geklickt habe sagen die dann nicht oder haben es schon wider vergessen :freak:

kann natürlich sein das mir so was durch Adblock noch nicht untergekommen ist.

Bei dem besagten Fall kam kein Popup.
Ich sass zufällig daneben da wir im Internet für eine Diplomarbeit recherierten.
Es musste weder etwas bestätigt noch geklickt werden.

Bullshit hoch drei. Wer IE benutzt ist selber Schuld. Und es hat sicher noch niemand einen BKA Trojaner durch eine Lücke in Firefox eingefangen.
Wer Plugins wie Java und/oder eine veraltete Flash Version einsetzt ist ebenfalls selber Schuld.
Wer sich über einen Werbebanner infiziert ist selber Schuld!
Und das sich ein Trojoaner über die Systemwiederherstellung beseitigen lässt ist der größte Bullshit. Er benutzt eher die versteckten Ordner der Systemwiederherstellung.
Leider falsch.
Aber wenn du glaubst es besser zu wissen, soll mir das recht sein.
Es gibt ziemlich genaue beschreibungen zu diesem Thema. auch wo die einzelnen teile sich genau einnisten. Wenn du glaubst es besser zu wissen als die leute die sich damit beruflich beschäftigen ist das okay.

Selbst hier treten bisweilen Porn popups auf, obwohl ich sicher davon ausgehe das diese nicht von Leo gebucht wurden.
In den letzten 5-6 Jahren ist mir nur ein Fall eines Popups auf 3Dcenter bekannt...

Ich hoffe es ist dir auch bewusst, dass es Trojaner/Viren gibt, die selber Popups auslösen obwohl die Seite diese gar nicht auslöst ;)

Bei dem besagten Fall kam kein Popup.
Ich sass zufällig daneben da wir im Internet für eine Diplomarbeit recherierten.
Es musste weder etwas bestätigt noch geklickt werden.

Stellt sich die Frage auf welchen unbekannten Seiten ihr da rumgekrochen seid. Dafür gibt es dann so Sachen wie Noscript und co. das man eben auf Seiten, die man nicht kennt, nicht sofort alles ausführt sondern die scripte erstmal blockt.

Wie gesagt, die Gefahr ist am höchsten wenn man durch Googeln auf unbekannte Seiten stößt. Man weiß nämlich nicht ob das seriöse Seiten sind...
Entweder man geht die Gefahr dann bewusst ein oder schützt sich davor indem man Scriptblocker nutzt.

Dann mal her mit den Infos.
Zeig mir einen Fall in dem sich ein Schädlich über eine Lücke in Firefox selbst verbreitet hat.
Falls sich der "BKA Trojaner" wirklich über die Nutzung der Systemwiederherstellung entfernen lässt zeigt das nur wie schlecht dieser Trojaner gemacht ist. Die Systemwiederherstellung ist sicher kein Allheilmittel.
Falls das unkar sein soll: mir ist bewusst das sich der Trojaner vor dem ersten Reboot nur in den Temp Dateein befindet aber das ändert sich nach dem ersten Reboot.

Viper;9970604']Stellt sich die Frage auf welchen unbekannten Seiten ihr da rumgekrochen seid. Dafür gibt es dann so Sachen wie Noscript und co. dann man eben auf Seiten, die man nicht kennt, nicht sofort alles ausführt sondern die scripte erstmal blockt.

Wie gesagt, die Gefahr ist am höchsten wenn man durch Googeln auf unbekannte Seiten stößt. Man weiß nämlich nicht ob das seriöse Seiten sind...
Entweder man geht die Gefahr dann bewusst ein oder schützt sich davor indem man Scriptblocker nutzt.

Und stellt sich immer noch die Frage wie der Schädling eingeschleust wurde. Mein Verdacht würde da sofort auf Java fallen.

http://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/
Da gibts genug Hilfe und Hintergrundinfos.

Guter Thread, auch wenn ichn grad nicht brauche. Hatte mal einen bekannten wo ich das Ding entfernt habe. Und ja, Leute die sich nicht im 3DC und bei Heise rumtreiben haben zum großteil keine Ahnung was das fürn Teil ist und sind erstmal geschockt.....