Halllo, habe mir gestern diesen BKA-Trojaner eingefangen X(. Es ging nichts mehr, nur noch weißer Bildschirm.

Bin dann erstmal in den abgesicherten Modus gegangen und habe dort das System über den Wiederherstellungspunkt auf einen früheren Punkt zurückgesetzt.

(Habe Windows 7).

Habe dann "Mailwarebytes Anti Malware" das gesamte System durchlaufen lassen, dieses fand 4 Trojaner. Habe diese dann entfernen lassen.

Anschließend habe ich dann lange gegoogelt, auch, wie man diesen Trojaner manuell entfernen kann. Bin in den abgesicherten Modus mit Eingabeaufforderung reingegangen. Habe dann im Taskmanager "regedit" eingegeben. Und dann über die einzelnen Schritte

HKEY_CURRENT_USER/SOFTWARE/MICROSOFT/WINDOWSNT/CURRENTVERSION/WINLOGON

sollte der Virus dort zu finden sein unter einem "SHELL"-Eintrag. Diesen sollte man dann durch "explorer.exe" ersetzen.

Dieser SHELL-Eintrag war aber nicht zu finden. Ich glaube allerdings nicht, das das automatisch heißt, das es den Virus nicht mehr gibt.

Habe mir dann die über den Taskmanager die laufenden Prozesse angesehen. Dabei fand ich unter anderem folgende 3 Prozesse. "csrss.exe", "winlogon.exe" und "atiedxx.exe"

Ich habe dann nachgeprüft, ob diese 3 Prozesse dann unter
"C/Windows/System32" zu finden waren. Die ersten beiden Prozesse waren auch zu finden, also höchstwahrscheinlich kein Trojaner. Der letzte Prozess "atiedxx.exe" konnte dort allerdings nicht gefunden werden. Diesen wollte ich dann in der Anzeige der laufenden Prozesse beenden, aber es geht komischerweise nicht. :(

Nun weiß ich nicht, ob ich den Virus entfernt habe oder nicht. Könnt ihr helfen? :(

Es ist natürlich alles andere als toll, wenn man sich jedesmal bei Benutzung des PC fragen muss, ob man eventuell immer noch diesen Virus draufhat und ob dieser nicht langsam weitere Schäden verursacht, sich festsetzt oder persönliche Daten ausspioniert. :(

atiedxx.exe müsste Teil des Dienstes "AMD External Events Utility" sein, gehört zur Grafikkarte. Deaktivere den Dienst mal unter Systemsteuerung\System und Sicherheit\Verwaltung\Dienste

winlogon.exe und csrss.exe sind integrale Bestandteile des Betriebssystems, keine Trojaner, eine Infizierung dieser per Rootkit ist zwar grundsätzlich möglich, aber sehr unwahrscheinlich in deinem Fall.

Am besten lässt du dieses Programm noch drüberlaufen.

http://support.kaspersky.com/de/faq/?qid=207620123

atiedxx.exe müsste Teil des Dienstes "AMD External Events Utility" sein, gehört zur Grafikkarte. Deaktivere den Dienst mal unter Systemsteuerung\System und Sicherheit\Verwaltung\Dienste

winlogon.exe und csrss.exe sind integrale Bestandteile des Betriebssystems, keine Trojaner, eine Infizierung dieser per Rootkit ist zwar grundsätzlich möglich, aber sehr unwahrscheinlich in deinem Fall.

Am besten lässt du dieses Programm noch drüberlaufen.

http://support.kaspersky.com/de/faq/?qid=207620123

Danke für den Tipp, habe das Programm beendet. Entstehen dadurch irgendwelche Nachteile?

Und dieses Programm "kaspersky", naja, wenn ich das auch installiere, dann habe ich somit 3 Virenscannprogramme (Habe schon Avira Antivir und Malwarebytes). Ob das gut ist? ?(

Sorry für die dummen Fragen, bin absoluter Laie.

Danke für den Tipp, habe das Programm beendet. Entstehen dadurch irgendwelche Nachteile?

Und dieses Programm "kaspersky", naja, wenn ich das auch installiere, dann habe ich somit 3 Virenscannprogramme (Habe schon Avira Antivir und Malwarebytes). Ob das gut ist? ?(

Sorry für die dummen Fragen, bin absoluter Laie.

Dieses kleine Tool ist nur eine Art Scanner, bei Bedarf. Das überprüft deine Festplatte auf Rootkits, dauert nichtmal eine Minute, danach kannst du das Programm wieder beenden/löschen.

AMD External Events Utility, den Dienst kannst du auch ruhig wieder aktivieren, eventuelle Energiesparfunktionen und dergleichen sind damit verknüpft. Findet dieses Kaspersky "TDSSKiller" nichts, kannst du beruhigt sein.

http://support.kaspersky.com/de/downloads/utils/tdsskiller.zip Hier nochmal der Direkt-Link zu dem Scannerprogramm. Einfach entpacken,starten,scannen,fertig.

Dieses kleine Tool ist nur eine Art Scanner, bei Bedarf. Das überprüft deine Festplatte auf Rootkits, dauert nichtmal eine Minute, danach kannst du das Programm wieder beenden/löschen.

AMD External Events Utility, den Dienst kannst du auch ruhig wieder aktivieren, eventuelle Energiesparfunktionen und dergleichen sind damit verknüpft. Findet dieses Kaspersky "TDSSKiller" nichts, kannst du beruhigt sein.

http://support.kaspersky.com/de/downloads/utils/tdsskiller.zip Hier nochmal der Direkt-Link zu dem Scannerprogramm. Einfach entpacken,starten,scannen,fertig.
Ok, vielen Dank, habe es runtergeladen, entpackt, gestartet und gescannt. Es hat nichts gefunden, ich hoffe, das war es.

.......und such dir einen guten Therapeuten!

.......und such dir einen guten Therapeuten!
Warum dieser Rat?

Warum dieser Rat?

vielleicht hast du dir was ganz anderes eingefangen, ne Paranoia!

vielleicht hast du dir was ganz anderes eingefangen, ne Paranoia!

Naja, die Namensgebung ist schon korrekt. Natürlich nicht vom BKA selbst, sondern ein Fake.

http://computer.t-online.de/ukash-bundeskriminalamt-trojaner-erpresst-nutzer/id_45379290/index

Naja, die Namensgebung ist schon korrekt. Natürlich nicht vom BKA selbst, sondern ein Fake.

http://computer.t-online.de/ukash-bundeskriminalamt-trojaner-erpresst-nutzer/id_45379290/index

und den hat er sich eingefangen?

und den hat er sich eingefangen?

Schaut so aus, weißer Screen (mit Aufforderung zu bezahlen) + seine Überschrift lassen das erahnen :))

Am besten ist es immer noch mit Systembackups zu arbeiten. Innerhalb von 5 min ist dein komplettes System 100% clean auch ohne mühsam in der Registry rumzuwerkeln. ;)

Am besten ist es immer noch mit Systembackups zu arbeiten. Innerhalb von 5 min ist dein komplettes System 100% clean auch ohne mühsam in der Registry rumzuwerkeln. ;)

Wie erstellt man ein Systembackup?

Wie erstellt man ein Systembackup?

Kommt drauf an wieviel Geld es dir Wert ist.

Wie erstellt man ein Systembackup?

Du brauchst ein Backupprogramm. Ich nutze Acronis TrueImage. Ist zwar nicht ganz billig, aber sehr gut.
http://www.acronis.de/homecomputing/products/trueimage/?source=de_googleATI_b&ad=ati&c=13326279117&k=acronis%20TrueImage&gclid=CP2rnMGLoq0CFYEhtAod7lDzGw

Es gibt aber auch Freeware. Auf das Windowsinterne Backupprogramm würde ich nicht vertrauen.

Die HPF Trojaner Schneeflocken sind abgeschaltet.
Unter Linux (hab nur Linux) ist der Lüfter immer auf hochtouren gelaufen :D

vielleicht hast du dir was ganz anderes eingefangen, ne Paranoia!

Nun - ...wer keine (normalen) Pornos auf dem Rechner hat - der muss sich Sorgen machen!

und den hat er sich eingefangen?

Hatte einer meiner User auch schon auf dem Notebook.

In letzter Zeit sind die Trojan Loader wieder effektiver geworden.

Nun - ...wer keine (normalen) Pornos auf dem Rechner hat - der muss sich Sorgen machen!

Was sind "normale" Pornos? :D

Was sind "normale" Pornos? :D

Heee.... ich leg nur die Glasfasern. (Aber - Dein "Logikmodus" AN.... - versuch mal den Porno mit 66-99 (Stück) Jungfrauen im Himmel zu bekommen...
- Keine Arme - keine Kekse! - )

Grundsätzlich - jeder private PC "ohne" - ist schonmal "verdächtig".

Hatte einer meiner User auch schon auf dem Notebook.

In letzter Zeit sind die Trojan Loader wieder effektiver geworden.

Den für den "Normaluser" nicht sichtbaren Teil der Festplatte - werden die "Normaluser" NIE zu sehen bekommen....

....und mit der Entschlüsselung hab auch ich "Kummer"....

Du brauchst ein Backupprogramm. Ich nutze Acronis TrueImage. Ist zwar nicht ganz billig, aber sehr gut.
http://www.acronis.de/homecomputing/products/trueimage/?source=de_googleATI_b&ad=ati&c=13326279117&k=acronis%20TrueImage&gclid=CP2rnMGLoq0CFYEhtAod7lDzGw

Es gibt aber auch Freeware. Auf das Windowsinterne Backupprogramm würde ich nicht vertrauen.

Ich habe auch das Acronis True Image allerdings nützte es mir kein Stück weil, als ich die Sicherung brauchte, die externe Festplatte nicht gebootet hat.
Entweder bin ich zu dusselig oder aber ich habe irgendwas falsch gemacht bei der Sicherung.
Ich muß dazu sagen, daß ich immer einen kompletten Klon der Festplatte erstelle.

Ich habe auch das Acronis True Image allerdings nützte es mir kein Stück weil, als ich die Sicherung brauchte, die externe Festplatte nicht gebootet hat.
Entweder bin ich zu dusselig oder aber ich habe irgendwas falsch gemacht bei der Sicherung.
Ich muß dazu sagen, daß ich immer einen kompletten Klon der Festplatte erstelle.

Acronis startet man am besten von der zugehörigen Boot-CD und macht von dieser aus Backup und Restore.

Das Backup ist normalerweise nicht bootbar, ausser es war ein 1:1 Klon und man hängt die Platte an den Anschluss der toten Platte, die man gesichert hatte. Oder man spielt es auf die Originalplatte zurück.

Ich habe auch das Acronis True Image allerdings nützte es mir kein Stück weil, als ich die Sicherung brauchte, die externe Festplatte nicht gebootet hat.
Entweder bin ich zu dusselig oder aber ich habe irgendwas falsch gemacht bei der Sicherung.
Ich muß dazu sagen, daß ich immer einen kompletten Klon der Festplatte erstelle.

...(dumme) Frage - boot im Bios "umgestellt" ??

...(dumme) Frage - boot im Bios "umgestellt" ??

Klar, das System ist so eingestellt, daß es beim booten zuerst den USB- Anschluß durchsucht, dann das interne Laufwerk und dann die interne Festplatte.

Acronis startet man am besten von der zugehörigen Boot-CD und macht von dieser aus Backup und Restore.

Das Backup ist normalerweise nicht bootbar, ausser es war ein 1:1 Klon und man hängt die Platte an den Anschluss der toten Platte, die man gesichert hatte. Oder man spielt es auf die Originalplatte zurück.

Ja, das ist es ja, es ist ein 1:1 Klon und trotzdem bootet sie nicht.
Das zurückspielen ist ja nicht das Problem, so lange die interne Festplatte bzw. der Zugriff auf Actronis ok ist aber wenn ich z.B. aus irgendwelchen Gründen nicht mehr auf die Laptopfestplatte zugreifen kann nützt mir eben dieser Klon auf einer externen Platte nichts.

Klar, das System ist so eingestellt, daß es beim booten zuerst den USB- Anschluß durchsucht, dann das interne Laufwerk und dann die interne Festplatte.

..ein Klon sichert meist nicht die ganze Festplatte - der MBR fehlt.... (vorher scandisk und defrag gemacht??)

Kann aber auch an 1000 anderen Varianten liegen.... "Festplattenschutz" im Bios........,...Medion?...,...(auch ein "vom" Freund besorgtes Win - was ich nicht unterstellen möchte - macht einen derartigen ""Fehler"" ... und eine bearbeitete Registry.. )

Mein erster Versuch: würde ich mit einem Bootmanager machen - um die Bladde zum laufen zu bringen.

Ansonsten - Festplattenimage ziehen - sichern - und zurückspielen... (Sicherung unter Ubuntu machen geht auch...)

..ein Klon sichert meist nicht die ganze Festplatte - der MBR fehlt....

Kann aber auch an 1000 anderen Varianten liegen.... "Festplattenschutz" im Bios........,...Medion?...,...(auch ein "vom" Freund besorgtes Win - was ich nicht unterstellen möchte - macht einen derartigen ""Fehler"" ... und eine bearbeitete Registry.. )

Mein erster Versuch: würde ich mit einem Bootmanager machen - um die Bladde zum laufen zu bringen.

Ansonsten - Festplattenimage ziehen - sichern - und zurückspielen... (Sicherung unter Ubuntu machen geht auch...)

HP- Laptop und ein gekauftes mit Win7.
Registry wird mittels CC- Cleaner ab und an aufgeräumt.

Wie schon geschrieben, den Klon auf Festplatte sichern geht ja, auch das zurückspielen auf den Laptop, geht aber eben die Laptopplatte kaputt nützt mir das alles nichts da ich dann nicht auf die externe Platte zugreifen kann, mangels bootfähigkeit.
Ich weiß nur nicht wie ich das Ding bootfähig machen soll.

HP- Laptop und ein gekauftes mit Win7.
Registry wird mittels CC- Cleaner ab und an aufgeräumt.

Wie schon geschrieben, den Klon auf Festplatte sichern geht ja, auch das zurückspielen auf den Laptop, geht aber eben die Laptopplatte kaputt nützt mir das alles nichts da ich dann nicht auf die externe Platte zugreifen kann, mangels bootfähigkeit.
Ich weiß nur nicht wie ich das Ding bootfähig machen soll.

Bootmanager - ist auch in Win eingebaut... aber es gibt jede MENGE andere - http://www.heise.de/software/download/o0g0s3l11k209

hin und wieder - mit cc reicht nicht immer - da der clon sehr "hart" mit Fehlern umgeht - die löscht er - ohne Meldung...

Einfach den win bootmanager ....oder eben "einen" bootmanager bemühen - da kann man zB auch erstmal mit einem Stick "üben".

Danke für den Tipp, habe das Programm beendet. Entstehen dadurch irgendwelche Nachteile?

Und dieses Programm "kaspersky", naja, wenn ich das auch installiere, dann habe ich somit 3 Virenscannprogramme (Habe schon Avira Antivir und Malwarebytes). Ob das gut ist?

Sorry für die dummen Fragen, bin absoluter Laie.

Ich hab gute Ergebnisse erzielt mit Panda Activescan, ist kein Virenwächter, kommt daher auch mit keinem andern in Konflikt, sondern nur ein Browser-Add-In oder Add-On. Es beseitigt oder sperrt die Trojaner auch nicht, sondern bringt am Ende nur ein kleines Export-Symbol, dort solltest du das Ergebnis als Textdatei speichern und dann die Schädlinge von Hand entfernen.

Man lädt das Add-On erst herunter, muss zustimmen, dann aktualisiert es sich und fängt an zu scannen.
Nimm die kostenlose Variante, es gibt auch ein richtiges Kaufprogramm.
Man muss sich dort nicht mal registieren, die wollen auch keine e-Mail.

Link (http://www.pandasecurity.com/activescan/index/?track=100704)

"Jetzt scannen" prüft die gesamte Umgebung,
bei "Andere Scans" kann man gezielt Laufwerke oder Ordner auswählen.
Meist bringt nur die Prüfung von C: (Systemlaufwerk) Ergebnisse, wenn überhaupt.
Er erkennt auch Trackingcookies.

Wenn im Firefox gemeldet wird "We have detected that your PC is using a version of Microsoft Internet Explorer or Firefox, or another browser, that is not compatible with ActiveScan 2.0." nimm den Internet Explorer.

Ich habe auch das Acronis True Image allerdings nützte es mir kein Stück weil, als ich die Sicherung brauchte, die externe Festplatte nicht gebootet hat.
Entweder bin ich zu dusselig oder aber ich habe irgendwas falsch gemacht bei der Sicherung.
Ich muß dazu sagen, daß ich immer einen kompletten Klon der Festplatte erstelle.

Ich hab sehr gute Erfahrungen gemacht mit Paragon Drive Backup. Habe Version 9, Prof.
Entweder man bootet von der CD oder startet im laufenden (funktionierenden, virenfreien) Windows die Installations-CD und wählt dann "Direkt von CD starten".

Wiederherstellung, wenn das System gecrasht hat, natürlich nur von Boo-CD.

.

Was ist jetzt mit der Seite www.dns-ok.de ?

In den Nachrichten kam die Meldung, dass man dort prüfen kann, ob man den Trojaner hat, der die DNS (Domain Name Server-Dienst) verändert.

Andere Meinungen vermuten, dass man sich dort den Bundestrojaner einfängt.
Ich glaube das nicht, denn dann würden sich Telekom (Betreiber der Seite) und BSI (Bundesamt für Sicherheit in der IT) sowie Tagesschau als Handlanger unsterblich blamieren.
Außerdem ist es sehr unwahrscheinlich, dass man den Bundestrojaner mit der Gießkanne unters Volk verstreut.

Noch andere Meinung vermutet, dass die Politik prüfen will, ob man Proxy-Server zur Verschleierung der IP benutzt und diese eliminieren, damit der Bundestrojaner besser Zugriff bekommt.

Weiß hier jemand zuverlässig Bescheid?

.

Was ist jetzt mit der Seite www.dns-ok.de ?

In den Nachrichten kam die Meldung, dass man dort prüfen kann, ob man den Trojaner hat, der die DNS (Domain Name Server-Dienst) verändert.

Andere Meinungen vermuten, dass man sich dort den Bundestrojaner einfängt.
Ich glaube das nicht, denn dann würden sich Telekom (Betreiber der Seite) und BSI (Bundesamt für Sicherheit in der IT) sowie Tagesschau als Handlanger unsterblich blamieren.
Außerdem ist es sehr unwahrscheinlich, dass man den Bundestrojaner mit der Gießkanne unters Volk verstreut.

Noch andere Meinung vermutet, dass die Politik prüfen will, ob man Proxy-Server zur Verschleierung der IP benutzt und diese eliminieren, damit der Bundestrojaner besser Zugriff bekommt.

Weiß hier jemand zuverlässig Bescheid?

Ich habe diesen Test gemacht und da ich ein Antivirenprogramm nutze welches zuverlässig den Bundestrojaner erkennen würde, und keine Meldung gekommen ist, dürfte das auch ok sein.
Außerdem hätte der CCC garantiert schon Meldung gemacht wenn da etwas nicht stimmen würde.

Ich habe diesen Test gemacht und da ich ein Antivirenprogramm nutze welches zuverlässig den Bundestrojaner erkennen würde, ...

Welches nutzst du? Welche Version?

Übrigens ist mir nicht klar, wie man sich den Bundestrojaner "einfangen" kann.

Ich denke, dass man den nur bei verdächtigen Leuten einspielt, entweder über ein Mailprogramm oder persönlich, etwa bei Abwesenheit desjenigen.

Welches nutzst du? Welche Version?

Übrigens ist mir nicht klar, wie man sich den Bundestrojaner "einfangen" kann.

Ich denke, dass man den nur bei verdächtigen Leuten einspielt, entweder über ein Mailprogramm oder persönlich, etwa bei Abwesenheit desjenigen.


Diesen hier : http://www.f-secure.com/de/web/home_de/protection/internet-security/overview?icid=445

Hier das Testergebnis : http://www.chip.de/artikel/Security-Suiten-Test-2_52420660.html

und hier im Bezug auf den Bundestrojaner : https://www.info-point-security.com/security-themen/malware-viren-spam-phishing/item/6824-f-secure-%C3%BCber-den-angeblichen-bundestrojaner.html

und hier im Bezug auf den Bundestrojaner : https://www.info-point-security.com/security-themen/malware-viren-spam-phishing/item/6824-f-secure-%C3%BCber-den-angeblichen-bundestrojaner.html

Die Seite schreibt, dass der CCC behauptet. Nun hat aber das bayrische Innenmisterium längst zugegeben, dass sie den Trojaner bereits eingesetzt haben.

Das ist kein "angeblicher" Bundestrojaner, sondern ein realer. Bereits Schäuble hatte ja als Innenminister die sog. "Online-Durchsuchung" angekündigt.
Sowas geht nur durch Trojaner, wenn man als Internet-User die Sicherheitsvorkehrungen beachtet.

dann habe ich somit 3 Virenscannprogramme (Habe schon Avira Antivir und Malwarebytes)..

Bei Virenscanner gilt das Motto: "Viele Köche verderben denn Brei". Man sollte immer nur einen Scanner installieren und am laufen lassen, weil die sich gegenseitig beeinflussen. Es kann zu Fehlern und Falschmeldungen kommen, von der Ressourcenfresserei mal ganz abgesehen. Ich möcht dir dringend anraten, alle bis auf einen zu deinstallieren.



.

Was ist jetzt mit der Seite www.dns-ok.de ?

Da ich mit Images arbeite, bin ich einfach mal auf die www.dns-ok.de Seite gegangen und hab mich scannen lassen. Danach hab ich meinen Rechner nach Anleitung des CCC auf denn Bundestrojaner durchsucht und bin nicht fündig geworden. Man fängt ihn sich nicht ein, wenn man seinen Rechner dort scannen lässt.

Der Bundestrojaner heisst WULFF.

Die Seite schreibt, dass der CCC behauptet. Nun hat aber das bayrische Innenmisterium längst zugegeben, dass sie den Trojaner bereits eingesetzt haben.

Das ist kein "angeblicher" Bundestrojaner, sondern ein realer. Bereits Schäuble hatte ja als Innenminister die sog. "Online-Durchsuchung" angekündigt.
Sowas geht nur durch Trojaner, wenn man als Internet-User die Sicherheitsvorkehrungen beachtet.

War natürlich 'n Schreibfehler. ... "nicht beachtet" sollte es heißen.

Ich finds immer wieder krass: bei irgendjemanden geht irgendwas irgendwie nicht mehr und sofort glaubt man, der Bundestrojaner wäre Schuld.

Es gibt Millionen Trojaner, warum gerade der Bundestrojaner? Übrigens: einen echten Spionagetrojaner würde man gerade nicht bemerken. Ein Trojaner, der den Bildschirm ausschaltet oder den PC abtürzen lässt, ist mehr ein Scherzprogramm als ein Schadprogramm. Welche Informationen soll denn ein Angreifer daraus erhalten, dass das Opfer die Reset-Taste am PC findet?

Manche scheinen echt unter Verfolgungswahn zu leiden.


Und zum Threadstarter: die besten Methode um evtl. Schadprogramme zu erkennen und zu löschen ist der Einsatz einer sog. AntivirenCD. Wichtig: der PC muss das Betriebssystem dieser CD booten! Außerdem sollte man seine AV CD mindestens einmal ausprobiert haben, ob das Nachladen von Signaturen auch korrekt funktioniert.

Der Bundestrojaner heisst WULFF.

Er geht jedenfalls schwerer zu beseitigen als ein echter.

Dafür gibt Wulffex V 1.0

Halllo, habe mir gestern diesen BKA-Trojaner eingefangen X(. Es ging nichts mehr, nur noch weißer Bildschirm.

[........................................Text...... .....................]

Es ist natürlich alles andere als toll, wenn man sich jedesmal bei Benutzung des PC fragen muss, ob man eventuell immer noch diesen Virus draufhat und ob dieser nicht langsam weitere Schäden verursacht, sich festsetzt oder persönliche Daten ausspioniert. :(

Man oh man -----hättest Du Dir tatsächlich den "Bundestrojaner" gefangen, würdest Du das garnicht merken!

Hat Dir denn deine Firewall & Co. mitgeteilt, was das für "Trojaner" waren?
Ein "Schnüffeltrojaner" äußert sich wohl kaum über einen Ausfall des PC mit "weißem Bildschirm"...:rolleyes:, der will nämlich nur unbemerkt Daten sammeln.....

E: