Warnung vor "Polizei-Virus"

[Christoph]

Zitat:

Warnung vor "Polizei-Virus"
Das Bundeskriminalamt warnt vor einem
Computer-Virus, das das Betriebssys-
tem lahmlegt und die Steuerungsleiste
verschwinden lässt. Dann wird den Be-
nutzern vorgegaukelt, dass die Poli-
zei den Computer sperren müsse, weil
auf dem Gerät eine strafrechtliche
Software gefunden wurde, zum Beispiel
kinderpornografisches Material.

Um die Blockade zu lösen, wird man
zu einer Überweisung via "paysafe"
aufgefordert. Das sollte man aber
keinesfalls tun. Nur ein Neuaufsetzen
des Computers beseitigt das Virus.

Quelle: ORF-Teletext Seite 102
http://help.orf.at/stories/1695043/
http://www.bmi.gv.at/cms/BMI_Presse/...&page=0&view=1

[whisper]

Hi,
auf meinem Win7 Rechner hab ich mir das auch eingefangen und so bin ich ihn wieder los geworden:
Mit F8 den Startvorgang unterbrechen, dann auf Computerreparatur gehen und einen Wiederherstellungspunkt wählen, der eindeutig vor der Infektion liegt.
Dann den Entferner von Avira drüber gejagt und mit dem CCleaner die Registry gereinigt.
Weg ist das Mistvieh!

[Christoph]

Danke für die Anleitung.

[Markuszerrer]

Da ich vor einiger Zeit selbst betroffen war dachte ich mir ich veröffentliche mal eine kleine Anleitung für andere Opfer des Betrugsversuchs. Falls ihr sie online stellen wollt tut dies bitte. Ich hoffe sie hilft anderen Usern. Das einzige sinnvolle was man gegen diese Betrugsversuche machen kann ist es publik zu machen damit nicht mehr so viele Leute darauf reinfallen.

;#############################

Anleitung für Win XP um das "Polizei Warnung" Fenster dauerhaft zu entfernen:

Da seit einiger Zeit ein beschissener Virus im Umlauf ist, bei dem man auf dem gesamten Bildschirm nur mehr eine POLIZEI Warnung sieht die einen auffordert, Geld zu zahlen,
und sich meine Frau diesen unglücklicherweise eingefangen hat, habe ich euch eine 'kleine' Anleitung dazu verfasst, wie man ihn wieder los wird.
Vorab: KEINE PANIK! ES IST KEINE POLIZEIMELDUNG SONDERN ILLEGALE ABZOCKE!!! AUF KEINEN FALL GELD EINZAHLEN!!!!!

Dennoch sollte man es der Polizei melden, dass man diesen Virus bekommen hat. (kann man auch anonym machen, alleine schon der Statistik zuliebe)

Da es einige Varianten/Versionen des Virus gibt, hier mal einige Anleitungen wie ihr ihn hoffentlich wegbekommt (für die Version, die wir hatten):

1. Strg+Alt+Entf. drücken -> im Task Manager, den aktiven Task beenden (zB.: Politie oder so...)

falls das nicht geht:

2. Computer neu starten (Resetknopf auf dem Computer, oder lange den Ein/Aus Schalter drücken)
Beim Öffnen von Windows schnell versuchen, einen Explorer zu öffnen (Windowstaste+E, oder auf Start klicken mit der rechten Maustaste und dann Explorer klicken)
wenn das funktioniert kann man mit Alt+Tab zwischen dem ungewollt geöffnetem Fenster und dem Dateiexplorer hin und her schalten.
a) jetzt im Datei Explorer unter C:\WINDOWS das Programm regedit.exe öffnen.
(falls unter C:\WINDOWS nichts zu sehen ist dann auf "Extras" - "Ordneroptionen" den Reiter "Ansicht" auswählen und das Häckchen bei "Inhalte von Systemordnern anzeigen" setzen.)
Wenn jetzt der Registrierungs-Editor offen ist (regedit.exe) folgendes tun:
b) den Ordner "HKEY_CURRENT_USER" -> "Software" -> "Microsoft" -> "Windows" -> "CurrentVersion" auf der linken Seite auswählen.
dann den darin befindlichen Ordner "Run" mit der rechten Maustaste auswählen und "Exportieren" clicken.
Den Ordner sicherheitshalber an einem anderen Ort abspeichern. (dazu z.B.:einen neuen Ordner mit namen "Backup" unter C: estellen)
Jetzt die Datei "UPDATE" (welche auf C:\WINDOWS\system32\rool0_pk.exe verlinkt ist) des Original-Ordners (der unter "CurrentVersion"->"Run" liegt) mit der rechten Maustaste anklicken und dann "löschen".

diese ganze Prezedur (ab 2b) jetzt auch für den Ordner "HKEY_LOCAL_MACHINE" -> "Software" -> "Microsoft" -> "Windows" -> "CurrentVersion" -> "Run" durchführen.

falls Punkt 2 nicht geht:

3. Den Computer Neu Starten und beim Hochfahren "F12" (bei mir ist es zumindest so) drücken.
Wenn das Menü erscheint, "Im Abgesichertem Modus Hochfahren" auswählen.
Wenn der Computer fertig hochgefahren ist, wieder den Explorer öffnen (auf "Start" klicken mit der rechten Maustaste und dann "Explorer" auswählen.)
weiter verfahren wie unter punkt 2a.

falls Punkt 3 auch nicht geht:

4. Auf einem anderen Computer das Program "Kaspersky Rescue Disc 10" runterladen. (z.B.: unter: http://www.chip.de/downloads/Kaspersky-Rescue-Disk_44976921.html)
speichern und auf eine CD brennen (z.B.: mit CD Burner XP kann man auch einfach runterladen http://www.chip.de/downloads/CDBurnerXP_13008371.html)
a) Die CD jetzt in den verseuchten Computer einlegen, und beim Hochfahren "F8" drücken. (bei mir ist es zumindest so, ist aber leider BIOS abhängig)
Dann im Menü das CD-Rom Laufwerk auswählen in dem sich die CD befindet.
Jetzt fährt der Computer per CD-Rom in die Höhe.
Wenn Kaspersky startet, eine beliebige Taste drücken um fortzufahren, dann Sprache "Deutsch" mit Pfeiltasten (rauf, runter) auswählen und mit Enter bestätigen.
Dann "1" drücken um der Lizenz zuzustimmen, und dann "Kaspersky Rescue Disk Grafikmodus" wieder mit Pfeiltasten (rauf, runter) auswählen und mit Enter bestätigen.
Jetzt wird Kaspersky Rescuedisk gestartet, damit kann man den Computer auf Viren untersuchen ohne Windows zu starten.
b) Es öffnet sich automatisch ein Fenster. Dort auf den Reiter "Update" auswählen.
Dann auf "Update ausführen" klicken. Nach den vollständigem Update wieder auf den Reiter "Untersuchung von Objekten" wechseln.
Alles, was auf der Liste steht auswählen (Kästchen links davon anklicken, damit das Auswahl-Häckchen kommt).
Auf "Untersuchung von Objekten starten" klicken.
Jetzt beginnt der Scan. (kann etwas dauern)
Wenn der Scan fertig ist, auf Beenden klicken.
Dann links unten auf die blaue Fläche klicken. "Neustart" auswählen.
Computer startet jetzt neu. Fertig

falls Punkt 4 auch nicht geht:

5. Punkt 4a) ausführen bis Kaspersky vollständig hochgefahren ist. (ohne 4b)
Das selbst geöffnete Virenscannerfenster schließen.
Am Desktop auf "Kaspersky Register Editor" doppeltklicken.
dann "Windows XP ..." anklicken.
a) den Ordner "HKEY_USERS" -> "letztes aktives Benutzerkonto" -> "Software" -> "Microsoft" -> "Windows" -> "CurrentVersion" auf der linken Seite auswählen.
dann den darin befindlichen Ordner "Run" mit der rechten Maustaste auswählen und "Exportieren" clicken.
Den Ordner sicherheitshalber an einem anderen Ort abspeichern. (dazu z.B.:einen neuen Ordner mit namen "Backup" unter C: estellen)
Jetzt die Datei "UPDATE" (welche auf C:\WINDOWS\system32\rool0_pk.exe verlinkt ist) des Original-Ordners (der unter "CurrentVersion"->"Run" liegt) mit der rechten Maustaste anklicken und dann "löschen".
Diese ganze Prozedur (5a) jetzt auch für den Ordner "HKEY_LOCAL_MACHINE" -> "Software" -> "Microsoft" -> "Windows" -> "CurrentVersion" -> "Run" durchführen.
Fenster schließen.
dann links unten auf die blaue Fläche klicken. "Neustart" auswählen.
Computer startet jetzt neu. Fertig

falls Punkt 5 auch nicht geht:

6. Punkt 4a) ausführen bis Kaspersky vollständig hochgefahren ist. (ohne 4b)
Das selbst geöffnete Virenscannerfenster schließen.
Am Desktop auf "Kaspersky Register Editor" doppelt klicken.
dann "Windows XP ..." anklicken.
a) den Ordner "HKEY_USERS" -> "letztes aktives Benutzerkonto" -> "Software" -> "Microsoft" -> "Windows" -> "CurrentVersion" auf der linken Seite auswählen.
dann den darin befindlichen Ordner "Run" mit der rechten Maustaste auswählen und "Exportieren" klicken.
Den Ordner sicherheitshalber an einem anderen Ort abspeichern. (dazu z.B.:einen neuen Ordner mit namen "Backup" unter C: estellen)
Jetzt den Ordner "Run" des Original-Ordners (der unter "CurrentVersion"->"Run" liegt) mit der rechten Maustaste anklicken und dann "löschen".
Diese ganze Prezedur (6a) jetzt auch für den Ordner "HKEY_LOCAL_MACHINE" -> "Software" -> "Microsoft" -> "Windows" -> "CurrentVersion" -> "Run" durchführen.
Fenster schließen.
dann links unten auf die blaue Fläche klicken. "Neustart" auswählen.
Computer startet jetzt neu. Da in der Regestry nun keine Autostartverknüpfungen drinnen sind werden nun keine Programme mehr automatisch beim Hochfahren geöffnet.
(auch nicht jene die ihr früher eingestellt habt, die müsst ihr halt wieder einzeln einstellen)
fertig

Falls ihr jetzt wieder auf euren Computer zugreifen könnt, freut euch! ;-) falls nicht habt ihr eine wirklich beschissene Version des Virus erwischt.

Falls ihr auf eure Daten (z.B.: Eigene Dateien) nicht mehr zugreifen könnt sind diese von dem Virus verschlüsselt worden! :-(
Dazu gibt es auch schon einige Anleitungen wie man seine Daten wieder zurückbekommt. einfach mal googeln.
Und ganz wichtig: sofort einen System-Scan mit dem Virusprogramm durchführen, auch wenns die ganze Nacht dauert! Schauen, dass das Virenprogramm samt Updates und Co auf dem neuesten Stand ist.
Am besten auch die wichtigsten Passwörter vom Internet (eBay, Paypal etc.) ändern.

Ich hoffe ich konnte zumindest einigen von euch helfen.

Wenn euch diese Anleitung geholfen hat wäre kein kleines "Danke" hier unten ganz nett. ;-)

[J@ck]

Danke Markuszerrer für Deine Anleitung.

Habe mir gestern diesen Virus ebenfalls eingefangen und mich über einen Umstand gewundert:
Normales Surfen mit Standardbenutzer - Rechten und es passierte bisher nichts.

Dann stieß ich auf eine "fragwürdige" Seite wo einige Plug-Ins nicht gestartet wurden. Hab den IE als Admin gestartet (runas) und schon bekam ich diesen depperten Virus.

Mit der Kaspersky Notfall CD am USB Stick konnte ich nach einem vollständigen Scan alles wieder zum laufen bringen, wobei "Mutationen" von dem Virus mittlerweile die Festplatte verschlüsseln.

Ich habe definitiv nirgendwo auf "Installieren" geklickt oder ein anderes File gestartet.
Was genau ist daher am Einfangen schuld? Eine Java Lücke?

[Christoph]

Ich hab mal gegoogelt und das gefunden:
http://www.gutefrage.net/frage/wie-f...i-trojaner-ein

Könnte über eine Drive-by-Infektion auf den PC gelangen, auch von unauffälligen Seiten.

[Markuszerrer]

Ich weis leider nicht wie der Virus genau trotz aktivem Avast und co auf den Computer kommt , laut einem Freund angeblich durch eine Windows Lücke.

Lg Markus

[Hugo Habicht]

Hallo

Hier ein Erfahrungsbericht von mir. Bei vier Rechnern (mit Windows XP) von unterschiedlichen Nutzern (Männlein wie Weiblein) ist ebenfalls der "Virus" aufgetreten. Bei den Weiblein glaube ich auf keinen Fall, dass auf diverse "Erwachsenenseiten" gesurft wurde, bei den Männlein eigentlich auch nicht (alle schon jenseits der 70). Und ein Rechner mit Windows 7. Einziges Symptom nach den Anmelden kam die Virusseite und NICHTS ging mehr.

Habe die Platten jeweils über einen Extern-USB-Adapter ausgelesen; in allen Fällen waren in den "Temporären IE-Verzeichnissen" außergewöhnliche "Exe-Dateien" zu sehen (Z.B.: aw3cccxy.exe, oder ähnlich). Manchmal bis zu vier Dateien, allerdings alle gleich groß wenn auch mit unterschiedlichen Namen. Nach dem Löschen die Platten eingebaut und mit "Msconfig" die Starteinträge gelöscht. Alle vier XP-Rechner laufen nun bereits 8-10 Wochen klaglos.

Beim "Windows 7 Rechner" war es noch einfacher. Weiß zwar nicht mehr wie ich den Taskmanager aktivieren konnte, aber im offenen Taskmanager "Msconfig" als neuen Task gestartet und die Starteinträge und die dazugehörenden EXE gelöscht. Der Rechner läuft ebenfalls ca. 10 Wochen.

Vielleicht hilfts jemandem. Für Online-Banking ist diese Art der Bereinigung natürlich nicht sicher genug.

lG
Hugo Habicht

[Christoph]

Danke für den Bericht, das klingt recht einfach.