11k Aufrufe
Gefragt in WindowsXP von iwachs Experte (2.4k Punkte)
Hallo, meine Tochter (11) hat plötzlich einen Virus (oder Trojaner) bei dem man 50 Euro zahlen soll. Keine Ahnung was sie gemacht hat. Sie weiß es selber nicht. Auf jeden Fall kann ich keine Systemwiederherstellung machen, nicht ins Internet gehen. Sie hat Windows XP.

Danke Ines

[*]
[sup]*Threadedit* 29.12.2011, 20:25:36
Admininfo: Führe Threads bitte nicht fort, indem du weitere eröffnest, und vermeide Mehrfachanfragen! Die Datenbank und User werden es dir danken. Siehe FAQ 2, #3.
[/sup]

29 Antworten

0 Punkte
Beantwortet von luke_filewalker Experte (3.3k Punkte)
Moin

Hört sich sehr nach einer Variante des Bundespolizei Trojaners an. Bekannt wurde der Virus jedoch ursprünglich unter anderem Namen, aber das ist schon ne ganze Weile her. Die Abzocker schlafen nicht und passen das Teil ständig an. Ganz am Anfang war die Sprache nur Englisch, dann folgten lokalisierte Versionen mit entsprechenden Anpassungen an die örtlichen, tatsächlichen vorhandenen Behörden. Das heisst, dass inzwischen nur noch spezielle, an die jeweilige Landessprache angepasste Varianten beim Benutzer "installiert" werden. Die spanische Version meldet sich z.B. mit "La Policía ESPAÑOLA" mit dem entsprechenden Wappen der dortigen Polizei. Auch die Lokalisierungen werden immer besser. Die ersten deutschen Versionen z.B. hatten noch ein lausiges Deutsch, mittlerweile ist die "Qualität" deutlich besser, wenn auch nicht Fehlerfrei.

Auch das Verhalten wie sich das Teil einnistet ändert sich regelmässig. Das ist das übliche Katz und Mausspiel zwischen Abzocker und AV-Herstellern. Die Angaben nach welchen Dateien zu suchen ist, ist leider nur begrenzte Zeit gültig und hängt davon ab, wie exakt man die Mutation identifizieren kann.

Ich hatte schon zig solcher Fälle bei Kunden und auch schon ein paar wenige im privaten Kreis. Nach meinen bisherigen Beobachtungen ist die Ransomware jedoch glücklicherweise nicht auf Zerstörung ausgelegt. Das wäre auch reichlich dämlich, denn die Abzocker wollen sich ja nicht ihre Verdienstgrundlage zerstören. Ausserdem ist ein befallenes System zumindest zur Zeit noch relativ einfach zu säubern, ohne das irgendwelche tickende Zeitbomben zurückbleiben. Aber auch das kann sich evtl. in neueren Versionen ändern. Bisher war es nie nötig, ein System komplett neu aufzusetzen. Das haben wir bisher nur bei Unternehmens-Kritischen PCs gemacht um absolut sicher zu gehen. Denn um zweifelsfrei entscheiden zu können, ob ein System wirklich sauber ist, brauchts einen Computer-Forensiker und der kostet. Zumal die auch nicht auf den Bäumen wachsen. ;-)

Sehr gute Erfahrungen hab ich mit der Recovery CD von Kaspersky gemacht. Kaspersky bietet mittlerweile sogar eine speziell für diese Sorte Ransomware erstelle CD an. Darauf enthalten ist neben der Recovery Suite auch der "Windows Unlocker". Dessen einziger Zweck ist es, die Registry gezielt bei den verdächtigen Schlüsseln zu durchsuchen und dann die Einträge zu löschen die da nicht hingehören bzw. durch die korrekten Einträge zu ersetzen.

Das ISO gibt es im Support-Bereich bei Kaspersky

Ich habe bisher das System immer ganz normal mit der Recovery Disk bereinigt und anschliessend die Registry manuell korrigiert. Inwiefern der automatische Unlocker funktioniert kann ich nicht sagen. Aber wenn ich mir die Qualität von Kaspersky bei etlichen Virus-Fällen so ansehe, dann würde es mich nicht wundern, wenn der Unlocker ebenfalls gute Arbeit leistet. Aber der Unlocker kann nicht alle zukünftigen Fälle lösen, da die Ransomware ständig verändert wird.

@Lou
Ich glaube das ist Aussichtslos. Hinter dieser Ransomware steckt vermutlich nicht einer alleine, sondern eher eine Organisation. Das Teil ständig an geänderte Bedingungen anzupassen und zu lokalisieren, das kann einer alleine nicht stemmen. Selbst wenn sie denn mal EINEN erwischen, machen die anderen munter weiter. Hinter diesem Teil steckt grosse kriminelle Energie und wie es aussieht auch einige Resourcen.
0 Punkte
Beantwortet von luke_filewalker Experte (3.3k Punkte)
OT: Halleluja Doc-Jay, exakt meine Denkweise. ;-) Wobei ich das doch sehr hoffe, dass dies eines Tages Realität wird. Denn langfristig kann die Menschheit nicht überleben, wenn sie "lokal" denkt und handelt. Erst wenn das alle Nationen - wirklich ALLE - begriffen haben, erst dann kann es aufwärts gehen. Globales Denken und Handeln wird die Zukunft sein. Erst wenn sämtliche lächerlichen Landesgrenzen gefallen sind, erst wenn die Menschheit als Einheit agiert, erst wenn sie gelernt hat sich selbst ohne Gewalt zu regulieren um mit den vorhandenen Resourcen auszukommen, erst dann darf sich die Menschheit als "Erwachsen" betrachten. Momentan ist die Menschheit eher noch in der Pubertät bzw. eigentlich noch eher in der Kindheit.
0 Punkte
Beantwortet von iwachs Experte (2.4k Punkte)
Hallo, es half alles nichts, wir mussten Windows XP neu aufspielen.

Ist jetzt drauf, aber er will jetzt das Service Pack 1a nicht aufspielen. Wir haben es direkt von der Windows Seite geladen und beim Auspielen sagt der Rechner immer "Server nicht gefunden..."

Soll ich ein neues Thema dazu aufmachen?

Danke Ines
0 Punkte
Beantwortet von
Vielleicht liest Du erst mal diesen Threath... (gleich offline SP3 installieren erspart 'ne Menge Arbeit)
0 Punkte
Beantwortet von halfstone Profi (17.8k Punkte)
Hi Ines,

ein neuer Thread ist sicher ne gute Idee, das ist ja jetzt ein anderes Thema.

Gruß und viel Erfolg

Fabian
0 Punkte
Beantwortet von iwachs Experte (2.4k Punkte)
Hat prima geklappt, danke Ines
0 Punkte
Beantwortet von Blitzhilfe Experte (1.4k Punkte)
Toll, doch noch eine gute Nachricht vor dem Jahreswechsel! :D

Ich installiere immer so, Windows XP, SP3, Chipsatz und Treiber für Sound und Grafikkarte, danach die Updates von Microsoft.

Guten Rutsch...
0 Punkte
Beantwortet von
Hallo, es half alles nichts, wir mussten Windows XP neu aufspielen.


Also doch Antwort 1... ;-)
0 Punkte
Beantwortet von
Laut PC-Welt 11/2011 im Artikel "Virus erpresst Gebühr für Windows-Aktivierung" aus Seite 22, kann man den Rechner ohne zu bezahlen mit dem folgenden Code wieder freischalten:

QRT5T-5FJQE-53BGX-T9HHJ-W53YT

Wenn es jetzt auch für diesen Fall zu spät ist, kann es für andere vielleicht hilfreich sein.
...