Nickles Blog 212 Themen, 8.716 Beiträge

Bundespolizei-Trojaner schnell entfernen

Michael Nickles / 349 Antworten / Flachansicht Nickles

Zurzeit werden viele Leute vom sogenannten "Bundespolizei-Trojaner zermürbt". Plötzlich erscheint auf dem Bildschirm ein großer Hinweis, der angeblich von der Bundespolizei kommt, weil eine ungesetzliche Tätigkeit enthüllt wurde:
 

Peng. Der Hinweis ist schlagartig da und nimmt den kompletten Bildschirm ein. Ein Arbeiten mit dem Rechner ist nicht mehr möglich. Der Versuch, die Seite per Taskmanager zu schließen, klappt nicht und auch ein Neustart des Systems bringt nichts als erneut den Vollbild-Hinweis. Zur Entfernung des Trojaners fordern die Erpresser eine Zahlung von 100 Euro über das anonyme Bezahlsystem Ukash.
 
Wer im Internet dann in einem Forum rumjammert, der kriegt in der Regel zwei Dinge: Spott und schlechten Rat. Spott, weil man angeblich zu blöd war, sein System ausreichend gegen Trojaner zu schützen.
 
Ich war anscheinend zu blöd dazu. Vor ein paar Tagen war der Trojaner beim Versuch eine Internetseite aufzurufen einfach da. Gestern Nacht kam mein Nachbar aufgeregt rüber gerannt. Er hatte das Dings ebenfalls drauf - trotz Viren-/Trojaner-/Malware-Schutzpaket.
 
Der richtige Rat bei derlei Fällen lautet typischerweise das System platt machen, Windows neu installieren. Dieser Rat IST richtig, aber in der Praxis für "Normalanwender" oft nicht sofort umsetzbar. Wie kriegt man das Ding also auf die Schnelle weg?
 
Es ist wohl so, dass sich der Trojaner in den "Autostart-Ästen" der Registry versteckt - also beispielsweise HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run und HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Die dort eingetragene ausführbare Datei kriegt allerdings einen zufälligen Dateinamen, was eine exakte Entfernungsanleitung unmöglich macht. Dieser meist empfohlene Lösungsansatz ist also eher unbrauchbar.
 
Weit verbreitet ist auch der Tipp, den Trojaner sofort nach Windows-Start per Taskmanager abzuschießen, damit man sich dann um seine dauerhafte Entfernung kümmern kann. Auch dieser Tipp ist Bullshit, weil man keine Chance hat den zuständigen Prozess im Taskmanager schnell genug zu erkennen.
 
Tipp drei ist die Beschaffung eines kostenlosen Malware-Entfernungs-Tools, das den Trojaner lyncht. Empfohlen wird beispielsweise der "Avira DE-Cleaner". Den kann man kostenlos runterladen und damit einen bootfähigen USB-Stick anfertigen, der das System dann säubern soll. Man braucht also einen zweiten PC um diesen Stick anfertigen zu können. Ich habe den Avira DE-Cleaner spaßeshalber mal ausprobiert:

 
Nach einer halben Ewigkeit war der Avira DE-Cleaner mit dem Scannen der Laufwerke durch und teilte mit, dass keine Schadsoftware gefunden wurde. Anscheinend mutiert der "Bundespolizei"-Trojaner zu schnell, als dass ihn Tools erkennen können.
 
Die schnelle Lösung: Was bei meinem Rechner und auch auf dem meines Nachbarn funktionierte ist ein Trick, der so billig ist, dass viele gewiss nicht dran denken. Beim Start von Windows einfach ins erweiterte Startmenü gehen (also F8-Taste hämmern).
 
Dort gibt es eine Option namens " Letzte als funktionierend bekannte Konfiguration wieder herstellen". Das spült den Trojaner mit einer kleinen Portion Glück weg. Natürlich kann man das auch unter Windows machen, wenn man es noch schafft, schnell genug an den Systemwiederherstellungs-Mechanismus ran zu kommen.
 
Solange der Trojaner noch voll aktiv im System ist, schafft man das nicht schnell genug. Aber es gibt Fälle, wo es ein Malware-Scanner schafft, den Virus wenigstens teilsweise zu grillen - dann kann dieser Tipp dann den Rest erledigen.
 
Natürlich ist ein auf diese Weise "gerettetes" System nicht unbedingt sauber. Man weiß nie, was ein Trojaner angestellt hat, wo er überall drinnen hockt. Der einzige sichere Weg ist deshalb eine Neuinstallation des Betriebsystems. Ich habe in meinem Fall auf eine Neuinstallation verzichtet und bislang von dem Trojaner nichts mehr gespürt.
 
Ich werde das System halt mal eine Weile im Auge behalten. Es platt machen und neu aufsetzen werde ich nur dann, wenn ich exakt rauskriege WARUM mich dieser Trojaner erwischt hat. Angst davor, dass jetzt eine "Bombe" in meinem Rechner hockt, habe ich nicht.
 
Im Hinblick auf die endlosen Sicherheitslücken bei Betriebssystemen und Software, möchte ich gar nicht wissen, wie viele "Bomben" sowieso schon vorhanden sind, die von Schutz-Software nicht erkannt werden.

bei Antwort benachrichtigen
ja bonameser
jo das geht! wapjoe
Gerne! winnigorny1
So kompliziert ist das... mi~we
patchen hilft samusaran1
Das! :3 BastetFurry
Guck mal hier: ... winnigorny1
Mach mal Waldschrat_70
Prosseco winnigorny1 „Ich weiß jetzt nicht, was ich dazu sagen soll, Sascha. Sowohl - als auch??...“
Optionen

Es ghet doch nicht um weitermachen winnigorny.

Sicherlich ist es richtig, das wenn man eine verseuchte Maschine man hat damit nicht arbeiten kann. Nur zu viel des guten, wird nun mal schlecht gemacht. Ich mache es doch seit Jahren, weil ich gerne immer das gegenteil mache von dem was die Experten machen. WISO?.

Weil ich sehen moechte ob es stimmt oder nicht. So wie ich ohne AV oder Hardware Firewall surfe und es passiert nichts. Schau beispiel. IRON kritisiert auch die Seite wegen den DNS. Nach seine meinung ist es auch nicht Sicher ob eine Maschine infiziert ist oder nicht. Das es keine 100 %'tige Sicherheit gibt das ist sicherlich richtig. Nur solange es der USER ist, der vor dem PC sitzt, ist doch schon ein Problem. Ausserdem wenn es nach seine meinung ginge. Weil fuer ihn ist ja nichts sicher. Tja dann sollte keiner mehr ins Internet.

Ich mach mal ein beispiel. Hier in meine Stadt, gibt es zig Cafe Internets. Mehr als die Haelfte davon sind so verseucht. Die Schueler oder andere die saugen nach Strich und Faden ilegal. In Maschinen lassen Menschen sogar Messenger aktiv, weil sie vergessen sich ab zu melden. Nur bis jetzt was ist den grosses passiert? Nichts. Ob die Daten von User an andere Server geleitet wurden, kann man dahin gestellt sein lassen. Weil ob ein Otto Normalo 50 Euro oder 5000 in sein Bank Konto hat, das lass mal dahin gestellt sein. Weil ein Hacker es nicht interresiert. Hier gibt es auch User wo ich es selber beobachtete, wie sie in diese Maschinen Online Banking machen. Bis jetzt und seit es eingefuehrt worden ist. Nichts passiert. Ich bin mal sogar so weit gegangen das ich mit Freunden wo in der IT abteilung von Banken arbeiten und wir darueber sprachen. Bis jetzt ist nie ein vorfall aufgetreten, das Konten von Hacker geleert wurden oder sogar besser gesagt ausgeraubt wurden. Weil sie in versecuhte Maschine ihre Pass und Kennwoerter eingaben. Es kamen Kunden mit Maschinen wo sie so langsam waren, weil sie ein AV mit Software Firewall und noch sogar von die Banken empfohlenes Sicherheits Software installiert hatten. Die unsicherheit kommt vom User selber wegen den Phisching. Kriege sogar in mein SPAM E Mail solche Mails. Sicherlich hinkt was IT technisch anbelangt Mexiko weit hinterher. Aber unwissende PC User gibt es auf der ganzen Welt. Nur ich kann sehen wie das ganze ausartet.

Heute macht man sich ja noch verrueckter. Welche AV ist das beste, Welche Firewall ist sicherer, Hard oder Software usw, usw. Der eine sagt dieses, der andere sagt das. Dann kommen die ganze kritische aus uferei und diskussionen und schon ist die Paranoya da, weil man als unwissender nicht wircklich weiss wer recht hat. fuer eine User der das einfachste hat, passiert nichts, wie bei ein andere der volle Sicherheit hat und viel mehr passiert. Habe ich oft gesehen. Die beduerfnisse sind ja von Mensch zu Mensch verschieden.

Gruss
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
Danke! winnigorny1
Zu langsam! :-p winnigorny1