# "Bundespolizei-Virus"



## Theopa (19. Januar 2012)

Hallo zusammen,
ich habe mir auf meinem Hauptrechner den "Bundespolizei" Trojaner eingefangen. Das bedeutet also folgendes: Wenn ich mein Windows (XP SP3) normal starte, versucht sich der Trojaner sofort mit dem Internet zu verbinden (würde er gerne, habe das LAN-Kabel aber abgesteckt) und im Vollbild eine Fake-Seite zu öffnen die mir sagt dass ich ein Terrorist und alles mögliche andere bin und bitte 100€ Starfe zahlen soll . Ok, darauf fällt wohl niemand rein, dennoch ist der Trojaner ETWAS störend....
Wenn ich den Pc ausschalte sehe ich ganz kurz, dass Threadfire im Hintergrund eine Warnung anzeigt und mich fragt ob ich etwas tun will, jedoch fährt der PC zu schnell hinunter um noch auf "löschen" etc. zu klicken....

Meine Google-Suche hat mich auf diese Seite verwiesen, auf der einige Tipps zur Entfernung (insbesondere über Regedit) zu finden sind: http://www.chip.de/news/Bundespolizei-Virus-entfernen-So-werden-Sie-ihn-wieder-los_50761972.html

Leider habe ich an den angegebenen Stellen der Registry nichts gefunden.... Nun bekomme ich nur noch den Tip: Runter mit Windows. Hätte ich nichts dagegen, das Problem ist aber, dass ich unter Eigene Dateine noch jede Menge Dokumente etc. habe die ich behalten will/muss! Im Abgesicherten Modus kann ich diese Ordner aber leider nicht einsehen.

Hat jemand eine Idee? Bin hier langsam am verzweifeln


----------



## EvoRulezzz (19. Januar 2012)

Hatte diesen auch schon auf meiner Platte....

ich habe alles versucht um diesen zu löschen aber leider brachte mir das nichts da er immer wieder kam -.-! (also habe ich formatiert)

Ich habe hier aber dennoch mal eine Seite die dir evtl. helfen könnte!

http://www.redirect301.de/bundespolizei-trojaner-entfernen.html


----------



## Theopa (19. Januar 2012)

Hmm sieht wohl so aus als ob ich nicht ums formatieren herumkomme .

Werde die Anleitung mal testen, ich muss unbedingt meine Eigenen Dateien sichern...


----------



## EvoRulezzz (19. Januar 2012)

Theopa schrieb:


> Hmm sieht wohl so aus als ob ich nicht ums formatieren herumkomme .
> 
> Werde die Anleitung mal testen, ich muss unbedingt meine Eigenen Dateien sichern...



Da ich danach auch einen riesen verlust hatte an wichtigen Dokumenten habe ich mir angewöhnt alles auf nen USB Stick zu Speichern!^^


----------



## Soulii (19. Januar 2012)

Daten irgendwelcher Art auf der Systemplatte zu speichern ist eh grob fahrlässig.

Linux Live cd brennen , davon booten , usb stick rein , kopieren , fertig


----------



## Theopa (19. Januar 2012)

Das es natürlich etwas dumm war die Daten dort zu speichern ist mir klar, man lernt aus Fehlern.....

Habe jetzt (fast unglaublicherweise) einen Erfolg verbucht: Systemwiederherstellung auf letzten Sonntag und es läuft zumindest oberflächlich alles wieder, Taskmanager ist auch wieder frei und dort sind keine Prozesse zu erkennen die dort nicht sein sollten. Dennoch will ich nicht wissen was passiert, wenn ich mich wieder als Administrator anmelde und/oder LAN wieder anstecke....

Wenigstens habe ich jetzt wieder Zugriff auf die Daten und kann sie auf ne externe Festplatte schieben. 

Mir ist aber immer noch nicht klar woher ich den Trojaner habe. AntiVir (gratis) + AdAware (gratis) sind drauf, E-Mail-Anhänge öffne ich sowieso nie und auf dubiosen Internetseiten bewege ich mich auch nie. Nun ja, scheint wohl dass die Gratis-Software ihrem schlechten Ruf mal wieder alle Ehre macht 

To-Do-List: Anständige Antiviren Software besorgen und mich auf einen schönen Abend (Windows Installation -.-) freuen.


----------



## Soulii (19. Januar 2012)

hm.. eine windows 7 installation dauert... hm... 15 min ?
das geht doch fix


----------



## Tikume (19. Januar 2012)

Theopa schrieb:


> Mir ist aber immer noch nicht klar woher ich den Trojaner habe. *AntiVir (gratis)* + AdAware (gratis) sind drauf



Eben


----------



## EvoRulezzz (19. Januar 2012)

Theopa schrieb:


> Das es natürlich etwas dumm war die Daten dort zu speichern ist mir klar, man lernt aus Fehlern.....
> 
> Habe jetzt (fast unglaublicherweise) einen Erfolg verbucht: Systemwiederherstellung auf letzten Sonntag und es läuft zumindest oberflächlich alles wieder, Taskmanager ist auch wieder frei und dort sind keine Prozesse zu erkennen die dort nicht sein sollten. Dennoch will ich nicht wissen was passiert, wenn ich mich wieder als Administrator anmelde und/oder LAN wieder anstecke....
> 
> ...




Dieser Trojaner/Virus kannst du schon ganz leicht bekommen wenn sich ein Pop Up Fenster öffnet! Der versteckt sich darin! Finde jetzt den Link nicht wo das genau erklärt wird! Aber so war es bei mir auch!


----------



## RubenPlinius (19. Januar 2012)

falls es über popups kommt müsste ja schon ein adblock plus helfen oder?

und komerzielle virenscanner kosten auch nicht so viel
wobei ich mir nicht sicher bin ob avira nicht bis auf die fehlende firewall eine vergleichbar gute leistung liefert


----------



## Blade5412 (19. Januar 2012)

Ich hatte den Virus letztens auch
du kannste den rechner im abgesicherten modus mit eingabeaufforderung starten und dier ein neues konto machen
auf dem installierst du dann Kaspersky (das hat bei mir den virus gefunden) und löschst ihn
lG, Blade


----------



## Soulii (19. Januar 2012)

Beiträge: 1
Falsche Antworten: 1

einmal infizierte Systeme werden neuinstalliert und nichts anderes...


----------



## Kyragan (19. Januar 2012)

Tikume schrieb:


> Eben



Software ist das eine, gesunder Menschenverstand das andere. Ich habe mit Windows Security Essentials als einzigem Schutz (außer natürlich der Firewall im Router) keinerlei andere Security Software laufen und hatte weder Krams wie DNS-Changer, noch den Bundespolizei-Krams noch irgendwelche Würmer, Trojaner oder Viren. Wer nicht alles leichtsinnig anklickt, fängt sich so nen Kram auch nicht.


----------



## Tikume (19. Januar 2012)

Kyragan schrieb:


> Wer nicht alles leichtsinnig anklickt, fängt sich so nen Kram auch nicht.



Klares jein. Einen Drive-by-Virus kannst Du Dir auf jeder "harmlosen" Seite einfangen die gehacked wurde. Auch ist es kein Ding der Unmöglichkeit dass Du Schadcode über den Kanal der Werbeeinblendungen serviert bekommst.
Dann bleibt nur noch deine Software um dir den Arsch zu retten.


----------



## Theopa (19. Januar 2012)

Soulii schrieb:


> hm.. eine windows 7 installation dauert... hm... 15 min ?
> das geht doch fix



Windows XP nicht, da hat man mehr zu tun . Außerdem geht es ja nicht nur um Windows alleine, damit steht der PC doch relativ langweilig da.

Habe mir jetzt mal ne Anständige Sotware besorgt...


----------



## bemuehung (19. Januar 2012)

Theopa schrieb:


> Habe mir jetzt mal ne Anständige Sotware besorgt...


das heisst ?

google doch einfach mal nach "BKA-Virus" o.ä. findest genug Lösungen

Neuaufsetzen find ich hier unverhältnismässig , auch wenn ich mich seit über 2Jahren nicht mehr damit beschäftigt hab was Bereinigung angeht

AdAware kannst dir sparen , Threadfire auch eher für Erfahrenere wenn mans richtig machen will 

welchen Browser nutzt du denn ?


----------



## Theopa (19. Januar 2012)

bemuehung schrieb:


> das heisst ?
> 
> google doch einfach mal nach "BKA-Virus" o.ä. findest genug Lösungen
> 
> Neuaufsetzen find ich hier unverhältnismässig , auch wenn ich mich seit über 2Jahren nicht mehr damit beschäftig hab was Bereinigung angeht



Ja, man findet genug Lösungen, am Ende heißt es dann aber immer sinngemäß "es kann damit keine vollständige Lösung garantiert werden, ein Neuaufsetzen des Rechners ist der einzige zuverlässige Weg".

Edit: Threadfire hat den Trojaner wenigstens noch erkannt als es zu spät war und es nichts mehr machen konnte . Benutze Firefox.


----------



## bemuehung (19. Januar 2012)

hast denn AdBlockPlus(natürlich belesen und die wichtigsten Listen abonnieren) und evtl. noch NoScript?


----------



## Legendary (19. Januar 2012)

Hatte diesen Virus letztens in einem Schulungsraum auf Arbeit.

Folgendes hilft: Avira Live CD laden...das ISO File auf CD brennen, von der CD booten und das System komplett scannen. Danach PC starten -> Trojaner gelöscht. 

Laut Google hilft es auch in den abgesicherten Modus zu wechseln und Sachen in der regedit zu ändern...da mir das 1. zu langatmig und 2. zu blöd war hab ichs mit der Live CD gemacht und es hat wie so oft schon auf Arbeit geholfen (die Kursteilnehmer und Auszubildenden meinen teilweise wohl es wäre lustig, sich Trojaner und Viren zu holen, dass mir die Arbeit nicht ausgeht) Unser Netzwerkvirenschutz kennt den Trojaner nämlich nicht bzw setzt er ihn vermutlich ausser Kraft.


----------



## Goius (26. Juni 2012)

Mir konnte http://www.bundespolizei-virus.de/ helfen. Hat hier jemand ein Addon, eine Software um Drive-by-Virus-Infektionen zu verhindern? AdBlock habe ich bei mir im Firefox installiert + die wichtigsten Listen abonniert. Als Virenscaner nutze ich AntiVir. 

Die angesprochenen Sicherheitsvorkehrungen haben den Virus nicht daran gehindert, sich auf meiner Platte breit zu machen. Sind kommerzielle Virenscanner besser?


----------



## skyline930 (26. Juni 2012)

Tikume schrieb:


> Eben



AntiVir ist als Guard genauso gut wie jeder andere Scanner. Auch der teuerste Scanner wird dir nix helfen wenn du alles was bunt ist anklickst, allen möglichen Kram runterlädst, etc.



RubenPlinius schrieb:


> und komerzielle virenscanner kosten auch nicht so viel
> wobei ich mir nicht sicher bin ob avira nicht bis auf die fehlende firewall eine vergleichbar gute leistung liefert



Eine Software-Firewall ist völlig unnötig, denn du hast durch deinen Router schon eine Hardware-Firewall aktiv, außerdem ist die Firewall von Windows für Privatanwender mehr als genug Schutz.



Soulii schrieb:


> Beiträge: 1
> Falsche Antworten: 1
> 
> einmal infizierte Systeme werden neuinstalliert und nichts anderes...



Nicht zwangsweise. Solange das System nicht kompromittiert ist, ist Neuinstallation in manchen Fällen höchstens Zeitsparender, aber nicht zwangsweise nötig. 



Goius schrieb:


> Mir konnte http://www.bundespolizei-virus.de/ helfen. Hat hier jemand ein Addon, eine Software um Drive-by-Virus-Infektionen zu verhindern? AdBlock habe ich bei mir im Firefox installiert + die wichtigsten Listen abonniert. Als Virenscaner nutze ich AntiVir.
> 
> Die angesprochenen Sicherheitsvorkehrungen haben den Virus nicht daran gehindert, sich auf meiner Platte breit zu machen. Sind kommerzielle Virenscanner besser?



Um Drive-By-Infektionen zu vermeiden ist das wichtigste deine Software und Windows selbst aktuell zu halten. Und ich meine jegliche Software die auf deinem System installiert ist. Du kannst Secunia PSI benutzen, damit kannst du alles innerhalb von einem Programm überprüfen, und bekommst direkt davon deine Downloadlinks.
AdBlock ist gut, du kannst zusätzlich dazu noch NoScript verwenden, und bei den Seiten die du benutzt dann auch nur die Scripte aktivieren die du brauchst.

Kommerzielle Virenscanner sind nicht zwangsweise besser. Alle Scanner basieren auf Signaturen und Heuristiken. Signaturen sind praktisch die "Fingerabdrücke" der Malware nach denen der Scanner sucht. Heurisitken sind "Verhaltensmuster" einer Datei, die das Virenprogramm als verdächtig einstufen kann, und dir dann meldet. Somit hängt die Effektivität des Antivirus von der Updatehäufigkeit ab. Kommerzielle Scanner sind somit theoretisch im Vorteil, da mehr Updates kommen, jedoch auch nicht fehlerfrei. AntiVir ist meiner Meinung nach von den kostenlosen Scannern einer der Besten, und auch besser als manche Komerzielle Software. Falls du deinen Schutz mit AntiVir maximieren möchtest, kannst du noch die Heuristik höher stellen. Du bekommst mehr Fehlalarme, aber theoretisch auch mehr heuristische Funde. Diese kannst du dann ja bspw. auf Virustotal nochmal überprüfen.


----------



## bemuehung (26. Juni 2012)

wenn du firefox nutzt könnte NoScript evtl. noch nützlich sein , Antiviren-Software reicht mir avast!free und Online-Armor free + 1-2 OnDemand Scanner , mit SSD geht das relativ fix


----------



## ZAM (26. Juni 2012)

bemuehung schrieb:


> könnte noScript



Nope.


----------



## bemuehung (26. Juni 2012)

weshalb ?


----------



## ZAM (26. Juni 2012)

bemuehung schrieb:


> weshalb ?



Weil Drive-By-Infektionen einer Seite nicht zwingend über Werbebanner und/oder Javascripte kommen. Wenn, dann sind die Seiten gern mal vollständig kompromittiert. Du müsstest dann schon Java (nicht script) und Flash im Browser komplett blocken - viel spaß auf Youtube.  Sinnvoller: Alles Patchen, immer patchen .. patchen patchen patchen ^^


----------



## spectrumizer (26. Juni 2012)

skyline930 schrieb:


> AntiVir ist als Guard genauso gut wie jeder andere Scanner. Auch der teuerste Scanner wird dir nix helfen wenn du alles was bunt ist anklickst, allen möglichen Kram runterlädst, etc.


Nope. Ich bezweifel, dass die kostenlose Version von Avira AntiVir den gleichen Datenbank- und Leistungsumfang besitzt, wie die kommerzielle. Generell sind kostenpflichtige AVs in der Regel zuverlässiger, gründlicher und umfangreicher, bis auf Norton.


----------



## bemuehung (26. Juni 2012)

ZAM schrieb:


> Weil Drive-By-Infektionen einer Seite nicht zwingend über Werbebanner und/oder Javascripte kommen. Wenn, dann sind die Seiten gern mal vollständig kompromittiert. Du müsstest dann schon Java (nicht script) und Flash im Browser komplett blocken - viel spaß auf Youtube.  Sinnvoller: Alles Patchen, immer patchen .. patchen patchen patchen ^^



danke für deine Erklärung bin leider seit einiger Zeit nicht mehr auf einschlägigen Anti Seiten aktiv 

aber ich vertrau dir mal zu 80-90% 


> Du müsstest dann schon Java (nicht script) und Flash im Browser komplett blocken - viel spaß auf Youtube.


ok is bei mir von Hause aus auch , also FlashBlock und ABP + NoScript

sooft bin ich bei Youtube nicht unterwegs


----------



## Tikume (26. Juni 2012)

ZAM schrieb:


> Weil Drive-By-Infektionen einer Seite nicht zwingend über Werbebanner und/oder Javascripte kommen. Wenn, dann sind die Seiten gern mal vollständig kompromittiert. Du müsstest dann schon Java (nicht script) und Flash im Browser komplett blocken - viel spaß auf Youtube.  Sinnvoller: Alles Patchen, immer patchen .. patchen patchen patchen ^^



Der Witz ist ja dass Du es blockst. Klar lässt Du es in Einzelfällen zu, aber Du blockst damit schonmal einen Großteil der Hampelseiten und wenn ich sehe aus wievielen verschiedenen Quellen da Javascript nachgeladen wird, wird mir speiübel.

Und nur weil man Javascript blockt heisst es ja nicht dass man das System nicht patched, keinen Virenscanner nutzt und das Hirn ausgeschaltet lässt.


----------



## skyline930 (26. Juni 2012)

spectrumizer schrieb:


> Nope. Ich bezweifel, dass die kostenlose Version von Avira AntiVir den gleichen Datenbank- und Leistungsumfang besitzt, wie die kommerzielle. Generell sind kostenpflichtige AVs in der Regel zuverlässiger, gründlicher und umfangreicher, bis auf Norton.



"In der Regel", ja. Trotzdem reicht meiner Meinung nach eine kostenlose Lösung für Privatanwender vollständig aus, falls man alle anderen Sicherheitsvorkehrungen beachtet. (Systemupdates, Softwareupdates, keine unseriösen Seiten und Downloads jeglicher Art, etc.) Und leider, leider beachten die meisten die letzten Punkte kaum bis gar nicht, und dann heißt es "Mein Antivirus ist schlecht und schützt nicht". Kommerzielle Lösungen bieten halt auch in den letzteren Bereichen teilweise Schutz, sodass beispielsweise durch irgendwelche Webguards Exploits im Browser geblockt werden. Meiner Meinung nach ist das der Grund für den "Mythos" das kommerzielle Software soooooooo viel besser sei. In meinen Augen Verschwendung von Geld, Systemressourcen durch 144 Firewalls und Guards, und Zeit. 

AFAIK unterscheidet sich AntiVir von anderer Gratissoftware in einem wichtigen Punkt: Der Scanner ist prinzipiell genau der selbe wie in der Bezahlversion, hat aber halt nur den Guard und den On-Demand-Scanner und keinen anderen Schnickschnack wie in der Bezahlversion. Und eine etwas geringere Updatefrequenz, was mich persönlich eher wenig stört, da man die neueste Malware so oder so abbekommt, ob man für den Scanner nun was zahlt oder nicht.


----------



## Xidish (26. Juni 2012)

ZAM schrieb:


> ... Du müsstest dann schon Java (nicht script) und Flash im Browser komplett blocken ...


Keine Ahnung welches "NoScript" Du verwendet hast.
Bei mir werden u.a., wenn ich es nicht zulasse, genau diese Art von Scripten komplett geblockt.
Und das ist standardmäßig so.
Selber Schuld, wenn man noch in NoScript rumwerkelt und damit diese Scripte wieder ermöglicht hat. 

Und die meisten Infektionen können durch Javascripte kommen.

*edit:* Upps - Du schreibst ja Java ansich ... oje ... blöde Müdigkeit erlaubt Lesefehler. 

Benutzt aber Java nicht diese Javascripte?
Und wenn ich die Scripte geblockt habe, ist Java dann für die gesperrten Scripte nicht nutzlos?
dasselbe mit Flash ...


----------



## ZAM (26. Juni 2012)

Xidish schrieb:


> Benutzt aber Java nicht diese Javascripte?
> Und wenn ich die Scripte geblockt habe, ist Java dann für die gesperrten Scripte nicht nutzlos?
> dasselbe mit Flash ...





Embeds sind keine Scripte.


----------



## Xidish (26. Juni 2012)

Hmm okay ...
Doch können Embeds Javascripte ansprechen - je nach dem, wie das Plugin beschaffen ist, das z.B. eine Multimedia-Referenz anzeigt oder abspielt.
Das Plugin, also das Zusatzprogramm oder Programm-Modul, das etwa für das Abspielen eines Videos oder einer Sound-Datei im Browser zuständig ist, 
muss über eine Java-Schnittstelle verfügen.


----------



## Magogan (27. Juni 2012)

Java hat nicht viel mit JavaScript zu tun. Soweit ich weiß, findet im Browser zwischen beiden kaum Interaktion statt. Hab aber noch nie Java auf einer Website genutzt, also keine Ahnung ... Aber im Prinzip sind sie verschieden. Java wird im Browser eingebunden als Plugin, JavaScript kann der Browser selbst, was auch notwendig ist, denn mit JS werden viele interaktive Inhalte erstellt.

Und wenn ich den Bundestrojaner hätte, würde ich als erste Maßnahme mein Kreuzchen nicht bei der CDU machen


----------



## Alidar (27. Juni 2012)

Hallo,

möchte nur am Rande auf Sempervideo verweisen, die mindestens eine Möglichkeiten aufzeigen, wie sich solche Trojaner schnell entfernen lassen: http://www.youtube.c...3M&feature=plcp

Zum Glück brauchte ich es noch nicht. 

Grüße,
Alidar


----------

