Ups, PC gekapert, 100 € Lösegeld

[AncientSion]

Abend Mädels,

grad rief mich ne Kollegin an.
Ihr Sohn hat am PC gesurfed, danach kam eine Meldung:

Auf dem PC wären terroristische und oder pornographische Inhalte gefunden wurden, der PC ist gesperrt und kann gegen Zahlung von 100 € (Tankstellen-Einmalcode usw) freigeschaltet werden.
Ins Windows kommt sie wohl nicht mehr ein, bei der Benutzerauswahl sei wohl Ende.

Ist genau dieser Takeover jemandem bekannt und gibts da evtl. was zu ?

danke

 

[Chris_2k]

Ja, ist bekannt (in diversen Ausprägungen), zuerst am Besten mit einer Antiviren-Boot-CD (z.B. Avira, Kaspersky, GData) drüber, dann im abgesicherten Modus manuell weiter bereinigen, häufig ist in solchen Fällen in der registry der Pfad zur Shell ersetzt worden (statt explorer.exe irgendein pseudozufälliger Name).

 

[Himaru]

Dem Sohnemann einen Gastzugang mit eingeschränkten Nutzungsrechten einrichten und den Hauptzugang mit Passwort sichern. Dann noch darüber belehren, das man sich auf dubiosen Seiten auch dubiose Inhalte einfangen kann. Und nicht überall draufklicken, wo "ok" steht.

Für das nächste Mal. Ich hatte einen ähnlichen Fall in der Bekanntschaft, da ging nichts mehr und ich habe den Rechner komplett plattmachen müssen.

 

[Kranüsch]

Einfach mal den Sohnemann beibringen, dass man bei google nicht nach Pornographie suchen sollte, Da man sonst in solchen Fallen gerät. Ist ein virus.

 

[AncientSion]

Mir ist schon klar, WIE das kommt und WAS es ist. Nur ob es Gegenmaßnahmen gibt, war die genaue Frage. AV-Boot-CD ist ne gute Idee, danke.

 

[Hammerhai]

Ja, aber selbst bei Zahlung von 100 Euro und der anschließenden Freischaltung bleibt der Rechner kompromittiert. Wenn möglich, wichtige Dokumente sichern und anschließend den PC plattmachen.

 

[NicoRR]

Es gibt zwei Lösungen: eine schnelle und eine langsame.
Weil der Sohnemann so blöd war, würde ich sagen, setz den PC neu auf und sag ihm, es geht nicht anders. Die Administratorenrechte danach natürlich entziehen!

 

[VL125]

Abgesicherter Modus, Systemwiederherstellung und los. So hab ich den Kram bei nem Kollegen wegbekommen.

 

[Linchpin]

Ihr tut dem armen Jungen aber etwas Unrecht.

Mein Computer wurde ebenfalls von diesem Virus befallen, ohne dass ich auch nur irgendein verdächtiges Wort bei Google eingegeben hatte. Ich war ganz normal im Web surfen und plötzlich erschien der Bildschirm mit dem Virusbefall.

Ich habe anschließend auf einem anderen PC nach einer Lösung gegoogelt und konnte das Problem anhand einer Anleitung auch beheben. Windows im abgesicherten Modus starten und anschließend die Registry Datei in bestimmten Ordnern nach einer verdächtigen Exe Datei durchsuchen (die genauen Namen weiß ich nicht mehr auswendig), diese habe ich dann gelöscht und anschließend ging es wieder.

Trotzdem sehr ärgerlich sowas.

 

[Oyko Miramisay]

kann man auch in Raten zahlen?

 

[Waermeleitpaste]

Ich hatte gestern noch so einen Fall mit dem Computer einer Bekannten da. Auch nach einer Virenreinigung war der abgesicherte Modus unbrauchbar, weil diese Meldung immer noch im Vordergrund war. Ich hab ebenfalls den leichteren Weg gewählt und formatiert und neu installiert.

 

[LuckY_1988]

Das ist auch viel entspannter, denn der Virus soll sich an fast 30 Stellen im System einnisten. Bei einer bekannten hab ich so fix die Daten per Live-CD gerettet und fix das OS neu installiert. Alles andere lässt einen doch gar nicht mehr ruhig schlafen ^^

Gruß

 

[Netzblockierer]

Problem ist nicht der Virus, sondern Windows...

Ich nutze Linux und wenn ich Gamen will, einfach Wine oder nen Offline-Rechner, bei dem nur Steam, Winupdate und Avast! online gehen kann! (Kleine Firewall im Nano-ITX-Format, pass prima in nen 5,25''-Schacht!)

Ansonsten einfach Android-x86 installieren, und die Eltern zur PC-Nachschulung schicken, oder den vermeintlichen Verursacher der Infektion zum Aufräumen verdonnern! Besonders letzeres hat Lerneffekt...

Wer clever ist, kann den/die Täter tracen, indem er die Zahlungswege checkt..
Scheint ja Paysafecard hoch im Kurs zu sein... Einfach mit dem Zahlungsanbieter absprechen und ggf. Abteilung O.K. des BKA involvieren...

 

[NicoRR]

Das ist auch viel entspannter, denn der Virus soll sich an fast 30 Stellen im System einnisten. Bei einer bekannten hab ich so fix die Daten per Live-CD gerettet und fix das OS neu installiert. Alles andere lässt einen doch gar nicht mehr ruhig schlafen ^^

Gruß

30 Stellen im System ... wenn ich das lese bekomm ich drehende Augen!
Das Ding macht nix anderes, als den Standardshellwert von explorer.exe auf die "virus.exe" zu ändern, welche im %USERPROFILE%\AppData\Temp liegt ... sonst überhaupt nix!

 

[ultrabooksblog]

Bei den ganzen Lösungsanleitungen gibts aber das Problem das unter Umständen der Virus trotzdem noch auf der Platte ist oder nicht? Ich dachte immer der einzig wirklich 100% sichere Weg um einen Virus komplett zu entfernen ist Windows neu zu installieren.

Btw. das ist doch dieser Virus der sich als Bundestrojaner, bzw. vom BKA ausgibt oder?

 

[AncientSion]

Frage mal.

Der Virus wurde dank Boot-CD terminiert.
Allerdings hat die Kollegin nun ein anderes Problem: Und zwar spinnt der Router rum. Er würde die Verbindung wohl alle 3 Sekunden trennen, Logindaten sollen stimmen.
Könnte sich der Virus auch teilweise in den Router genestet haben ? Ist ein Netgear, lt. Anruf Störungsstelle sehen die nur, dass er alle 2-3 Sekunden von selber trennt.

 

[RaketeMK]

Diese Meldung sieht so aus:

KLICK HIER

Die Erklärung der Bundespolizei sieht so aus:

KLICK HIER

Vor ein paar Tagen stand dort noch geschrieben das man den Fehler mit einer Boot-CD wie von Kaspersky Anti Virus beheben kann.
Jetzt steht nur noch eine Telefonnummer die man anrufen soll.