TEILEN

Dieser Bildschirm öffnete sich gestern Abend bei mir und ließ keinerlei weitere Handlungen innerhalb von Windows mehr zu. Wie sich später herausstellen sollte, handelte es sich dabei um die neueste Version des Gema/BKA-Trojaners (der heißt nur so, hat aber weder mit dem BKA, noch mit der Gema irgendwas zu tun). Im Gegensatz zu seinen Vorgängern ist dieser besonders widerstandsfähig und lässt sich mit den vorherigen Tools nicht mehr so leicht entfernen.

Ein riesiges Dankeschön an dieser Stelle nochmal an Euch, liebe Community, die mir gestern Abend wirklich in großer Anzahl helfend zur Seite standen. In einem speziellen Hilferuf von mir bei Facebook gab es von der Community viele nützliche Tipps.

Hier mal eine Zusammenfassung der Sachen, die ich probiert habe und die nicht halfen:

—> Notfall-CD von Kasperky inkl. Windows Unlocker
—> Tool des CCC zur Entfernung des Bundestrojaners
—> Malwarebytes Anti Malware

Diese Tools fanden den Trojaner nicht und sind teilweise auch etwas veraltet, bzw. eher auf frühere Versionen des Trojaner „gepolt“. Der Erfolg brachte am Ende ein Tool, welches mir Community-Mitglied Andreas empfahl:

—> Combofix

Einfach das Betriebssystem im abgesicherten Modus starten und das Programm installieren. Danach kann man sich im Grunde zurücklehnen und schauen, wie es den Job erledigt.

Ich weiß bis heute nicht, wie ich mir den Trojaner einfangen konnte – da ich bis gestern davon ausging, dass mein System mit Virenscanner und Firewall von Avast „uneinnehmbar“ sei. Und ich bin auch niemand, der sich auf irgendwelchen zwielichtigen Seiten herumtreibt. Umso überraschter war ich gestern, als mein Bildschirm schwarz wurde und sich der Trojaner meldete.

Fakt ist, dass viele User (inkl. mir) einfach zu naiv an die Sache herangehen. Bei mir scheint das Problem wohl gewesen zu sein, dass ich nicht die neueste Java-Version installiert hatte und der Trojaner so ein Sicherheitslücke ausnutzen konnte.

Ich habe ein wirklich gutes Forum zu diesem Thema gefunden (bka-trojaner.de), in dem einige Vorsichtsmaßnahmen für die Zukunft vorgeschlagen werden:

– Von Java immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

– Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst.

„Wie konnte die Malware auf meinen Rechner kommen?“, ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem und Programmen oder über Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

– Betriebssystem und Software immer auf dem aktuellsten Stand halten.
– Programme wenn möglich „benutzerdefiniert“ installieren und Toolbars und Sponsoren abwählen.
– Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software/Programme entfernen/deinstallieren.
– Nicht alles anklicken, wo klickmich draufsteht!
– Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
– Nicht benötigte Dienste und Programme gar nicht erst starten.
– Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
– Nicht benötigte „Ports“ (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
– Port-Scan-Test.
– Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
– Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
– Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
– Wichtige Dokumente und Dateien (z. B. Fotos) auf externen Medien sichern.
– Immer eine saubere Datensicherung als zurückspielbares Image (z. B. mit Acronis True Image erstellen) auf Lager haben.


Anzeige

VERWANDTE ARTIKELMEHR VOM AUTOR

53 KOMMENTARE

  1. Hi…habe das selbe Problem wie Steve habe mir jetzt Combofix geladen und komme jedoch nicht richtig klar mit dem Programm wenn ich es starte muss ich einen Ordner bzw ein Programm auswählen und da steht: „Drag and Draft here“ aber welche Datei soll ich denn bitte darein ziehen kann mir da wer helfen? 😀
    Danke schonmal ich weiß ja dass ich mich auf euch verlassen kann 😉

  2. Hey Stevinho,

    darf ich meine Frage wiederholen? Welche Version von Java denn jetzt aktuell ist und wie sieht das jetzt mit deinem AV-Programm aus, wirst Du bei AVAST bleiben?
    Danke

  3. ich empfehle den antivirus von Comodo da er einfach das system extrem sauber hält bei der bezahl version ( 5 Dollar) ghibt es sogar eine 500 Dollar garantie das man jeden virus damit entfernen kann.

  4. Ich drücke an dieser Stelle meinen Dank an dich aus, Steve. Ich habe diesen Eintrag vor kurzem nur kurz überflogen mit dem Gedanken „Ach, ich bleibe immer verschont, wenn sowas die Runde macht“ und zack, heute wurde auf einmal mein Bildschirm weiss und eine ähnliche Meldung zeigte sich.

    Dank deiner Warnung und der hilfreichen Links hatte ich nach wenigen Minuten meinen Rechner wieder fit. Daumen hoch für deine „Hilfe“ !

  5. Hey Stevinho,

    darf ich fragen welche Version von Java denn jetzt aktuell ist und wie sieht das jetzt mit deinem AV-Programm aus, wirst Du bei AVAST bleiben?

  6. „Durch das Besuchen von Seiten mit infizierten und pornografischen Inhalten ist das Computersystem an eine kritische Grenze angekommen, anch dem das Computersystem zusammenbrechen und alle Daten veroren gehen können.“
    So schlecht muss man erstmal lügen, und meine kuh legt Eier.

    • Ich arbeite seit 1993 mit Windows und hatte seit dem keinen Virus.
      Meine letzte Infizierung war 1992 unter DOS, damals noch über Disketten verbreitet.
      Ich denke es hängt hauptsächlich vom Benutzer ab, wie hoch das Risiko einer Infizierung ist.

  8. „Und ich bin auch niemand, der sich auf irgendwelchen zwielichtigen Seiten herumtreibt.“

    Das Gerücht, dass man sich nur auf den „zwielichtigen Seiten“ was einfangen kann hält sich ja offenbar hartnäckig.
    Fakt ist dass durch Hack on FTP-Accounts oder PHP Sicherheitslücken andauernd „seriöse“ Seiten verändert werden.
    Und wer dann auf jeder Seite brav Javascript erlaubt hat sich fix einen Drive By Virus eingefangen ohne es zu merken.
    Die Seitenbetreiber der „seriösen“ Seiten schnallen oft erst nach Monaten dass was an ihren Seiten verändert wurde.

  10. wie einige schon sagten gibt es etliche versionen davon..also malware anti byte sollte aber eigentlich alle killen bzw die gar nicht erst zulassen…zumindest ist es bei der vollversion relativ sicher..weil die auch einen echtzeitscanner hat.
    und mit anklicken haben diese dinger nichts zu tun..sind sogenannte „drive by attacken“ es wird einfach ein script ausgeführt zb als layer add usw.

  11. Ich dachte bis vor zwei Wochen auch, dass ich mit Avast „safe“ wäre. Ganz so einfach ist die Rechnung dann doch nicht, habe mir auch durch das Öffnen einer simplen Seite (war nichts verdächtiges) etwas eingefangen.

    Avast hat zwar sofort ausgeschlagen, aber infiziert war der Rechner trotzdem und auch mit dem Tool nicht mehr zu retten.

    War bis dahin aber eine schöne Illusion mit einem Panzer durch das Internet zu rollen 😉

  12. Dein System ist nach so einem Zwischenfall kompromitiert und muss zwingend neu installiert werden bzw. Image zurückgespielt werden.

    Ich hoffe soetwas essentielles gibst du auch an deine Informatik-Schüler weiter, denn es gibt nichts schlimmeres für die Datensicherheit, als mit einem System weiterzuarbeiten, das bereits einmal kompromitiert wurde.
    Da kann nichteinmal Facebook mithalten.
    Dass du es mit einem Programm vermeintlich wieder in Ordnung gebracht hast, bringt überhaupt nichts.

    • Absolut richtig. Es gibt nichts unverantwortlicheres als mit einem einmal kompromitierten System weiterzuarbeiten. Antivirenprogramme und vor allem Removaltools sind Snakeoil, die dir eine falsche Sicherheit vorgaukeln.

      Einmal infiziert = neu aufsetzen. Punkt.

  14. Oh ja.. Dieses nervige etwas haben wir seit einiger Zeit fast täglich bei unseren Kunden auf den PC’s.. Diese kommen dann immer in den Laden mit den Worten:“ Ich habe da ein paar Videos und Lieder aus dem Internets runtergeloaded und dann aufeinmal konnte ich nichts mehr machen.. Habe auch schon bezahlt.. allerdings funktioniert es immernoch nicht“.

    Also das schlimmste, was Ihr wirklich machen könnt, ist auf diese GEMA/BKA-Scheiße reinfallen und den dreck bezahlen.. Wie Steve schon meinte.. Combofix!

    Außerdem empfehle ich jedem ein „ordentliches“ Antiviren Programm.
    Kaspersky, Avira.. All diese FreeWare Pampe.. Sieht gut aus, bringt aber nichts. SEHR empfehlen würde ich Avast Internet Security, BitDefender oder F-Secure. Das Geld ist bei solchen Programmen gut und vorallem besser aufgehoben als bei BKA-Troj.

    Grüße 🙂

  15. Nettes Phishing-Tool^^
    Ich kann dir eine Live-Distribution von Linux, welche sich problemfrei booten lässt und über eingebaute Diagnosetools verfügt, nur wärmsten ans Herz legen.

  16. Der „Bundes“trojaner hat sich bei mir seinerzeit auch durch Java eingeschleust. Java steht bei mir generell auch schon vorher auf der Abschussliste, weil in die Richtung Avast bei mir immer mal angeschlagen hat und vorher auch schon AntiVir. Ist leider ein totaler Krampf das Teil zu entfernen.

    Natürlich ist klar, dass das Teil nicht der sogenannte echte Bundestrojaner ist. Das Teil hier wird nur als Bundestrojaner/BKA Trojaner bezeichnet, weil in den anderen Versionen, das Teil sich als Programm des BKA, mit Logo und allem drum und dran ausgibt, dass es eben wirklen soll als wäre es vom BKA. Mittlerweile scheint man aber sämtliche Polizei, BKA und was weiß ich für Fake Logos entfernt zu haben. Der echte Bundestrojaner poppt auch nicht einfach auf und sperrt dir jeglichen Zugriff auf deinen Rechner und sagt bezahl und alles wird gut.

  18. scheint wirklich sehr gartig zu sein das vieh, wenn man sich nurmal anschaut wie selbst echte profis mit dem ding zu kämpfen haben…solltest du das ding wieder haben empfehle ich dir folgendes video, da das glaube ich eine der schlimmsten formen des gema virus behandelt (sempervideo ftw:))

  19. Den hatte ich vor 2 Wochen auch, nach ein bisschen suchen in der Registry kam dann raus, dass der sich in der firefox.exe selbst eingenistet hatte. Einfach Registryeintrag löschen, Firefox mit dazugehörigen Komponenten löschen und neumachen. Danach hat auch der Scan keinen Alarm mehr gegeben.

  20. Haltet euch von der verlinkten Seite bka-trojaner.de am besten auch gleich fern – sollte mich nicht wundern, wenn die in großem Umfang über diese Seite Scareware, Malware etc. verbreiten. Denn welche einigermaßen gescheite Person warnt auf einer eigens dafür eingerichteten Seite für zig Versionen eines „Bundestrojaners“, bei denen immer Geld für irgendwas zu bezahlen ist?
    Einer der dort als Version 1.02 des „Bundestrojaners“ bezeichnete Screen war hier im Blog übrigens schon mal das Thema und Steve hat damals alle davor gewarnt, bei dem Mist (und auch bei allen sonstigen Ukash-Sachen) nichts zu bezahlen o. Ä.

    • Ein whois bka-trojaner.de ergibt, dass die Seite von der cyscon GmbH aus Düsseldorf betrieben wird, die offenbar hauptsächlich Hosting-Dienstleistungen und IT-Beratung anbietet. Das klingt nicht verdächtig, also kann man sich ja auch mal auf der Seite selbst das Impressum ansehen. Voila, im Auftrag des eco – Verband der deutschen Internetwirtschaft e.V., in zusammenarbeit mit dem BSI, das Hosting wird tatsächlich von cyscon gesponsort.

      Wenn man keine Ahnung hat, so wie du in diesem Fall, …

  21. Sowas ähnliches hatte mein Kollege auch mal. Dort hat sich die Scareware aber nicht als Bundestrojaner „getarnt“, sondern als „Microsoft Removal Tool“ oder so ähnlich. Die Masche war dieselbe: Vordergründig sollst du für eine Freischaltung/ein Update zahlen, hintergründig hast du dann erst recht ein verseuchtes System.

    Sagen wir es mal so: Hätte mein Kollege die Kreditkarte an diesem Tag zur Hand gehabt …

    Malwarebytes war dann doch die deutlich kostengünstigere „Alternative“!

  22. Hatte den auch einmal.
    Ziemlich einfach den loszuwerden auch ohne irgendwelche sachen die den Job für jemanden erledigen.
    BKA trojaner Googlen(auf anderem Rechner) abgesicherter Modus starten und registry durchsuchen.
    Meist versteckt sich die datei in dem Ordner „Eigene Dateien“ meiner hieß Mahmud.

  23. Ich würde mal die Überschrift ändern, das ist kein BKA…wtever Trojaner… das nur ein versuch dich aus zunehmen!^^

    Aber aus diesem Grund, verwende ich chrome mit adblock, sorry dafür sehe ich nur keine werbung mehr….

    mfg

  24. Ja das teil ist ätzend mitlerweile bin ich aber recht geübt darin das ding zu entfernen, ich hab damit bestimmt 5-7 in der woche arbeitsbedingt zu tun^^

    gibt ja mitlerweile irgendwie 20 variationen davon ist ziemlich ätzend

  25. Bist Du Dir sicher Steve, dass das der Bundestrojaner ist? Die Schaltfläche „Bezahlen und Runterladen“ würde mich da doch sehr stutzig machen. Dasselbe Bild habe ich zuletzt erst in einige Blogs und Artikeln gesehen, hierbei handelt es sich allerdings nicht um den Bundestrojaner, sondern einfach um sonstige Trojaner, die den Bundestrojaner imitieren. Welchen Hintergrund sollte den die Bundesregierung haben, dein System zu sperren und dann gegen Geld wieder zu entsperren? Schön trotzdem, dass du das Ding wieder losgeworden bist, was auch immer es jetzt war.

    • Vllt nen trick, irgend wer glaubt das, und mit den Kreditkarten daten kann die Pozilei dich dann zurückverfolgen^^

      Steve: Das sie keine Zwilichtigen seiten besuchen sagen doch alle^^

    • nachdenken hilft manchmal. natürlich ist das nicht der echte. hat steve auch nie behauptet. das ding hat verschiedene namen, aber er wird eben häufig als Gema/BKA-Trojaners bezeichnet…

    • Ich glaube, hier liegt ein Missverständnis vor, er meint nicht den Bundestrojaner, sondern, wie er auch ausdrücklich schreibt, den sog. BKA-Trojaner.
      Der „Gute“ ist schon ein wenig älter und sollte im Netz mittlerweile eigentlich zumindest vom Hören bekannt sein.
      Hierbei handelt es sich um einen Trojaner, welcher vorgibt, von einer höheren Institution (Die Urversion halt eben vom BKA, dem BundesKriminalAmt) zu sein, und besagt, dass der Rechner wegen illegaler Tätigkeiten gesperrt wurde.
      Die Bundesregierung hat mit dem rein gar nichts zu tun (und auch sonst niemand mit Rechtsgewalt in den Händen), gerade das ist ja der Trick an der Sache 😉

      Hoffe ich konnte ein wenig Klarheit für jene schaffen, die nicht den Link mit den Sicherheitsmaßnahmen klickten (bei welchem wahrsch. ein Screen zu sehen wäre^^) und sich ein wenig verlesen haben.

      mit freundlichstem Gruß
      Anka

      ps: Steve, das ist wirklich ein garstiges Ding, freut mich, dass du ihn wieder los bist

  26. Es handelt sich zu 100% NICHT um den Bundestrojaner, denn hier wird der Nutzer aufgefordert Geld für ein „Update“ zu zahlen, um die ganzen „Viren“ zu entfernen.
    Einfache Form von Abzocke, die allerdings ziemlich nervt, aber auch kein Problem mit, von dir aufgelisteten, Programmen darstellt.

    (Sry, wenn das mit dem Bundestrojaner Sarkasmus war:))

  27. Das kommt wahrscheinlich von den „Interacial 20 inch black cock swallowing by young assian woman“ Videos, welche ja schliesslich heutzutage zum guten Abendunterhaltungs-Repertoire jedes männlichen Individuums gehören. Eine Frechheit, solch anspruchsvolle Videos mit solch widerwärtigen Trojanern zu verschmutzen.

  29. - Von Java immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

    - Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst.

    Toi Toi Toi bisher hatte ich Glück nicht betroffen zu sein davon,mit Java könnte ich Glück gehabt haben ,weil ich spiele viel Minecraft das braucht immer das aktuellste Java.Den Rest benutze ich schon vielen Jahren und kann es wirklich empfehlen.lediglich Quick Java kannte noch nicht und habs mir gleich geholt.der Rest ist gesunder Menschenverstand.

  30. Genau das ist was ich seid Jahren ankreide. Es gibt Aufklärungskampagnen für alles, außer der IT Sicherheit. Die Bevölkerung geht viel zu nachsichtig damit um.

  31. Ich vermute, das du und dein Blog dem BKA einfach mittlerweile zu mächtig sind.
    Dann haben sie gezielt deinen Rechner mit dem Bundestrojaner infiziert 😀

  32. Hallo Stevinho,
    um das klarzustellen: es handelt sich bei Dir NICHT um eine neue Version des „Bundestrojaners“, sondern Du hast Dir Scareware eingefangen die so tut als ob.
    Der Bundestrojaner darf nur in bestimmten (gerichtlich angeordneten) Fällen zum Einsatz kommen – hast Du im Moment Probleme mit der deutschen Justiz und verheimlichst und Kinder- und Drogenhandel? 😉
    Wäre schön, wenn Du noch einen Hinweis zur Klärung des Sachverhalts nachreichen könntest.
    Grüße,
    sar3th

    • Nachtrag: das erklärt auch warum das Removal-Tool des CCC den echten Bundestrojaner bei Dir nicht gefunden hat und entsprechend nicht entfernen konnte.

  33. NoScrips ist echt zu empfehlen. Wenn man ausversehen mal auf irgendeinen Link klickt, verhindert es normal das schlimmste 😉

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here