Erpressungstrojaner - Erfahrungsbericht

Mir gerade passiert, und zwar nach Registrierung bei einem bestimmten Anbieter und direkt nach dem Aufruf eines Tests:

http://www.youtube.com/watch?v=KIwtblMeWFY

Glück gehabt, aber vorher auch die Nerven behalten...

achte nicht auf die tage deines lebens, sondern auf das leben in deinen tagen.

Benutzer wird von Ihnen ignoriert. Anzeigen

consulting schrieb:
--------------------------------------------------------------------------------
> Glück gehabt, aber vorher auch die Nerven behalten...
Und vor allem völlig falsch reagiert.

1. Regel bei offensichtlicher Trojanerinfektion: Rechner sofort ausschalten!
(Taskmanager wird von aktueller Malware normalerweise eh unterbunden und Disinfektionsversuche während Bestandteile der Malware noch aktiv sein können, sind nur im Glücksfall von Erfolg gekrönt.)
2. Ein paar Tage warten (infizierende Malware hat i.d.R. einen Zeitvorsprung gegenüber den Herstellern der AV-Produkte - den kann man leider nur aussitzen) und dann aktuelle Rescue-Disks von Kaspersky, Avira oder anderen AV-Herstellern downloaden.
3. von Rescue-Disks booten und alles an Malware entfernen lassen
(mindestens 2 verschiedene durchlaufen lassen!)
4. Rechner von der Netzwerkverbindung befreien (=Netzwerkstecker ziehen bzw. Router aus) und von installiertem Betriebssystem starten, dort Reste der Malware entfernen (die AV-Produkte vergessen gerne ein paar Autostarteinträge oder herumliegende Links)
5. Datenbackup und System neu aufsetzen! (Ist ein System erstmal infiziert, kann man nie sagen, was die Malware alles nachgeladen hat, was eventuell am System verändert wurde, um zukünftige Infektionen zu vereinfachen und ob die AV-Produkte alles erwischt haben)

Für die Zukunft:
- JAVA wenn möglich deinstallieren, falls nicht möglich wenigstens allgemein deaktiveren und auf täglichen Update-Check stellen (bislang wurde alle Systeme, die ich mit Ukash&Co. erlebt habe durch Java-Lücken infiziert.)
- Browser, Adobe Flash/Reader, ggf. JAVA und auch Betriebssystem stets zeitnah updaten
- On-Access-Virenscanner sind Pflicht!
- Adblocker im Browser ersparen viele Angriffe (der Großteil der Malware kommt über gehackte Werbeserver selbst auf sehr seriöse Websites)
- Noscript-Addon für den Browser schadet nicht.
- Backups schaden nie

Benutzer wird von Ihnen ignoriert. Anzeigen

Nach all den schlechten Nachrichten über Java: Darf ich mal ganz naiv fragen, ob ich Java auch auf einem Linux System deaktivieren sollte? (Mind Maya)

Benutzer wird von Ihnen ignoriert. Anzeigen

Schlaumeier! - Wie soll man vorher wissen, was nachher an Weisheiten dargeboten wird?

Wie auch immer: Das was ich berichtet habe, hat gewirkt.
Weitere Prüfungen haben ergeben, dass das System wieder einwandfrei funktioniert und auch keine "geheimen Botschaften" aussendet.
Und:
Mich hätte es wenig gejuckt, wenn alles im Teich gewesen wäre, denn nach jeder Programm-Installation bzw. alle 3 Tage sowieso wird das komplette System gespiegelt/geklont.
HDDs habe ich wie Sand am Meer (wegen umfänglichem Videoschnitt)... - und vergnügen kann ich mich derweil an anderen Rechnern oder mit einem der Tablet-PCs.

achte nicht auf die tage deines lebens, sondern auf das leben in deinen tagen.



1 mal bearbeitet, zuletzt am 29.01.13 15:55 durch consulting.

Benutzer wird von Ihnen ignoriert. Anzeigen

Unter Windows 8 geht's einfacher: Einfach den PC auffrischen ;) .

Benutzer wird von Ihnen ignoriert. Anzeigen

consulting schrieb:
--------------------------------------------------------------------------------
> Schlaumeier! - Wie soll man vorher wissen, was nachher an Weisheiten
> dargeboten wird?
Gerade die GVU/BKA-Ukash-Ransomware ist ja schon seit einer ganzen Weile aktiv.
Sinnvolle Tips gibts übrigens dazu auch unter www.botfrei.de

> Wie auch immer: Das was ich berichtet habe, hat gewirkt.
> Weitere Prüfungen haben ergeben, dass das System wieder einwandfrei
> funktioniert und auch keine "geheimen Botschaften" aussendet.
Die Frage ist, ob eventuell Sicherheitseinstellung der Browser modifiziert wurden. Manche Malware tut dies, um spätere Infektionen deutlich zu vereinfachen.

> Mich hätte es wenig gejuckt, wenn alles im Teich gewesen wäre, denn nach
> jeder Programm-Installation bzw. alle 3 Tage sowieso wird das komplette
> System gespiegelt/geklont.
Lobenswert.

> HDDs habe ich wie Sand am Meer (wegen umfänglichem Videoschnitt)... - und
> vergnügen kann ich mich derweil an anderen Rechnern oder mit einem der
> Tablet-PCs.
Mal so Off-Topic: Hast du irgendwelche Empfehlungen in Richtung Schneiden von DVB-S bzw. DVB-S2-Mitschnitten?

Benutzer wird von Ihnen ignoriert. Anzeigen

Felix_Keyway schrieb:
--------------------------------------------------------------------------------
> Unter Windows 8 geht's einfacher: Einfach den PC auffrischen ;) .

Bei entsprechender Malware wird das nichts nutzen. Auffrischen fasst ja viele Dateien und Einstellungen nicht an. Daß heißt, die Malware-Autoren müssen nur einen Weg finden, dass mindestens eine infizierte Website nach dem Auffrisch-Vorgang aufgerufen wird. Praktischerweise ist das System ja nach dem Auffrischen im selben oder womöglich schlechteren sicherheitstechnischen Zustand als vor dem Auffrischen.

Benutzer wird von Ihnen ignoriert. Anzeigen

1.)
DVB-S/DVB-S2-Mitschnitte:
Es kommt darauf an, in welchem Format die Mitschnitte vorliegen!

2.)
Gerade habe ich wieder was Schönes erhalten (nicht direkt geöffnet, ZIP nicht angerührt):

http://www.naturbauer.de/bilder/Phishing-Versuch(qm)_edit.jpg

An wen mag ich die Mail weiterleiten (zur Untersuchung/Verfolgung)?

MfG

achte nicht auf die tage deines lebens, sondern auf das leben in deinen tagen.

Benutzer wird von Ihnen ignoriert. Anzeigen

consulting schrieb:
--------------------------------------------------------------------------------
> 1.)
> DVB-S/DVB-S2-Mitschnitte:
> Es kommt darauf an, in welchem Format die Mitschnitte vorliegen!
>
> 2.)
> Gerade habe ich wieder was Schönes erhalten (nicht direkt geöffnet, ZIP
> nicht angerührt):
>
> www.naturbauer.de
>
> An wen mag ich die Mail weiterleiten (zur Untersuchung/Verfolgung)?
>
> MfG

Meine Erfahrung ist, dass eine Information der Polizei oder des bephishten Unternehmens nichts bringt. Das, was ich in deinem Bild sehe, ist allerdings kein Phishing sondern ein einfacher Versuch, Geld zu bekommen. Ich wusste gar nicht, dass dieser alte Text aktuell immer noch versendet wird. :-)



2 mal bearbeitet, zuletzt am 29.01.13 18:28 durch Endwickler.

Benutzer wird von Ihnen ignoriert. Anzeigen

Quantium40 schrieb:
--------------------------------------------------------------------------------
> consulting schrieb:
> ---------------------------------------------------------------------------
> -----
> > Glück gehabt, aber vorher auch die Nerven behalten...
> Und vor allem völlig falsch reagiert.
>
> 1. Regel bei offensichtlicher Trojanerinfektion: Rechner sofort
> ausschalten!
> (Taskmanager wird von aktueller Malware normalerweise eh unterbunden und
> Disinfektionsversuche während Bestandteile der Malware noch aktiv sein
> können, sind nur im Glücksfall von Erfolg gekrönt.)
> 2. Ein paar Tage warten (infizierende Malware hat i.d.R. einen
> Zeitvorsprung gegenüber den Herstellern der AV-Produkte - den kann man
> leider nur aussitzen) und dann aktuelle Rescue-Disks von Kaspersky, Avira
> oder anderen AV-Herstellern downloaden.

Das hilft aber auch nur bei harmloseren Viren, wenn ich ein Virus habe, dass nach dem neustarten direkt nach dem Willkommensbildschirm den PC wieder lahm legt, helfen auch Anti-Viren-Updates nicht ^^)
In der Regel braucht man aber den PC und kann nicht ein paar Tage warten.
Ich würde eher sagen Rechner ausschalten bzw. neustarten, Netzwerkverbindung trennen und noch vor dem neustarten von Windows die Systemwiederherstellung laufen lassen (funktioniert natürlich nur, wenn man auch Wiederherstellungspunkte hat, anstonsten hilft vielleicht noch im abgesicherten Modus ohne Netzwerktreiber nach Viren zu suchen, hilf bei aggressiven Viren allerdings auch nicht immer.)
Die Methode, den PC komplett neu aufzusetzen ist recht "brutal" und besonders wenn man viele wichtige Dateien und Programme installiert hat, sollte man sich das zweimal überlegen und nur dann machen, wenn wirklich gar nichts mehr geht.

> - Noscript-Addon für den Browser schadet nicht.

Das kann allerdings auch schnell nervig werden, für jede Webseite einzeln JavaScript zu erlauben, falls man es braucht. Teilweise sind die Blocker auch zu gut, sodass selbst wenn man die Erlaubnis erteilt hat JavaScript immer noch geblockt wird.

> - Backups schaden nie

Benutzer wird von Ihnen ignoriert. Anzeigen

es reicht in der regel das java plugin zu deaktivieren.

java an sich ist nicht das problem

Benutzer wird von Ihnen ignoriert. Anzeigen

java nicht, aber das java plugin im browser

Benutzer wird von Ihnen ignoriert. Anzeigen

beim nächsten mal einfach netzwerkkabel ziehen, reboot, anmelden, systemwiederherstellung

Benutzer wird von Ihnen ignoriert. Anzeigen

Trolltreter schrieb:
--------------------------------------------------------------------------------
> Das hilft aber auch nur bei harmloseren Viren, wenn ich ein Virus habe,
> dass nach dem neustarten direkt nach dem Willkommensbildschirm den PC
> wieder lahm legt, helfen auch Anti-Viren-Updates nicht ^^)
Deswegen sollte ja auch von den Rescue-CDs gebootet werden.
Darauf ist dann eine Linux-Version der Virenscanner, die sich gründlich und ohne Störungen mit dem System auseinandersetzen darf.

> In der Regel braucht man aber den PC und kann nicht ein paar Tage warten.
> Ich würde eher sagen Rechner ausschalten bzw. neustarten,
> Netzwerkverbindung trennen und noch vor dem neustarten von Windows die
> Systemwiederherstellung laufen lassen
Nein. Die clevereren Vertreter der Malware-Gattung setzen sich extra in die Wiederherstellungspunkte fest, damit man bei einer Systemwiederherstellung auch mit Sicherheit infiziert bleibt.

> Die Methode, den PC komplett neu aufzusetzen ist recht "brutal" und
> besonders wenn man viele wichtige Dateien und Programme installiert hat,
> sollte man sich das zweimal überlegen und nur dann machen, wenn wirklich
> gar nichts mehr geht.
DIe Methode mag brutal erscheinen, ist aber der einzig zuverlässige Weg, um sicherzustellen, dass man Malware frei ist. Die Virenscanner erkennen nur bekannte Malware. Wie Stuxnet und Flame gezeigt haben, kann es Jahre dauern, bis Malware in den Datenbanken der Scanner landet.

> > - Noscript-Addon für den Browser schadet nicht.
> Das kann allerdings auch schnell nervig werden, für jede Webseite einzeln
> JavaScript zu erlauben, falls man es braucht. Teilweise sind die Blocker
> auch zu gut, sodass selbst wenn man die Erlaubnis erteilt hat JavaScript
> immer noch geblockt wird.
Man kann NoScript auch so einstellen, dass nur von der Domain der eigentlichen Seite Scripte ausgeführt werden. Das ist zwar weniger sicher, aber auch deutlich weniger nervig. Die meiste Malware kommt eh von Servern, die ihren Mist nur in Werbe-Intraframes einblenden dürfen.

Benutzer wird von Ihnen ignoriert. Anzeigen

blubby666 schrieb:
--------------------------------------------------------------------------------
> es reicht in der regel das java plugin zu deaktivieren.
> java an sich ist nicht das problem

Da das Plugin bei jedem Update netterweise reaktiviert werden kann, ist (Oracle) Java durchaus ein Problem. (Wobei der Müll, der bei jedem Update versucht wird unterzuschieben auch mehr als nervig ist.)

Benutzer wird von Ihnen ignoriert. Anzeigen

hast schon recht...

ich bin manchmal fassungslos was ich schon für trojaner (gerade bei mädels laptops..kein Schimmer wo die sich das herholen) entfernt hab. da hilft echt meist nur daten auf anderen pc sichern und festplatte komplett neu aufsetzen. ..

da waren trojaner dabei, die hatten die volle Kontrolle über den pc und ne Freundin will trotzdem ununterbrochen versuchen sich anzumelden bzw surfen, da fehlen mir echt die worte...das einzige was ich dann noch sag:

änder deine Passwörter. .überall!

//klick hier als aus versehen auf antworten bei nem Beitrag den ich zitieren will...naja egal



1 mal bearbeitet, zuletzt am 30.01.13 02:53 durch martinboett.

Benutzer wird von Ihnen ignoriert. Anzeigen

Als ich mir ein Eingefangen hatte hab ich diesen im Abgesicherten Modus gelöscht (hatte ein wunderschönen generischen Nahmen) Und hab dann den Rest mit Hjjack geprüft und korrigiert. Seit dem wies mein System keine neuen Auffälligkeiten auf.

Wenn ein Virus tatsächlich das System so ändern kann das dies ein AV nicht auffällt oder den Benutzer woher willst du wissen das den Backup oder neu aufgesetztes System nicht durch einen vorhergehenden Website Aufruf schon lange infiziert sind.

Wenn weitere Scanns nichts neues erbringen geh ich davon aus das der Virus nach löschen der reg Einträge und dessen Ordner verschwunden ist.
Sonst müsste mich das ähnliche Problem öfters ereilen.

Für Paranoide gibst auch Live CDs von Linux.

Benutzer wird von Ihnen ignoriert. Anzeigen