Fake BKA Trojaner von KinoX

  • Tag Leute,


    ich wollte mal eine Warnung aussprechen.


    Ich habe mir heute einen mega eckeligen Trojaner geangelt. Das Ding hat zwar irgendwie im Internet keinen Einheitlichen Namen, aber es ist im wahrsten Sinne des Wortes echt "pestig". Kurzfassung: Er blockiert den Hauptmonitor, schwärzt ihn komplett und blendet ein Fenster ein welches einem mitteilt, dass man vom Bundeskriminalamt bei irgendwelchen illegalen Aktivitäten erwischt worden wäre und dass man 100€ (mit uCash xD) bezahlen soll, damit der Computer wieder entsperrt wird. Es scheint sich um eine Variante von diesem Ding hier zu handeln.


    Der Trojaner blockiert sämtliche Befehle, d.h. du kriegst den Taskmanager nicht mehr auf usw. usf. die ganze Palette durch.


    Ein Trojaner an sich ist ja nichts wildes, aber dieser hier war besonders. Also erstmal möchte ich erwähnen dass ich die neuste Firefox Version mit NoScript benutze und dazu Avira AntiVir (Premium!). Totzdem hat sich das Ding eiskalt meines Rechners bewältigt ohne dass ich irgendetwas heruntergeladen hätte, allein durch Surfen im Internet.


    Zum Glück ging er bei mir nur auf ein Benutzerkonto, ich bin ihn jetzt wieder los geworden indem ich mich über Tastenkombination abgemeldet habe und von einem anderen Benutzerkonto aus eine Systemwiederherstellung auf den Stand von vor dem Befall gemacht habe. Abgesicherter Modus hätte wahrscheinlich auch geklappt.


    Das Wichtige an der ganzen Sache ist: Ich bin kein Mensch der gerne 20 Tabs offen hat und ich war zum Zeitpunkt des Befalls nur auf kinox Also hier eine Wahrnung an alle, diese Streamingplattform besser meiden. Es gibt ja sowieso bessere Alternativen, aber wer mit solchen Tricks arbeitet den sollte man ganz sicher vermeiden.


    Ich hoffe ich erspare ein paar von euch diese weniger Angenehme Erfahrung. =)

  • Das ding ist unter den namen wie ukash virus,bka trojaner,gema virus usw bekannt es hat nix mit der eigentlichen seite zu tun du kannst es genauso auch über facebook oder jede andere seite bekommen das ganze meist über driveby download wenn dein java nicht aktuel ist

  • Ich hatte das Ding noch nicht aber in Galileo kam es mal. Sollte man wirklich sensible Daten (Es war z.b bei Galileo ein Autor mit seinem neuen Buch) auf dem PC haben -> bezahlen oder neu aufsetzen. So hats jedenfalls das allwissende Galileo erklärt. ^^


    Edit: Alles lesen hilft wohl. Hast ihn ja wieder runter.
    Wahrscheinlich wirklich durch ein Drive-By oder ein bis jetzt unbekanntes Exploit, hast du dir das Ding eingefangen. Für die aktuellen Browser gibts jedenfalls kein public Exploit dafür.

  • so kann man ihn auch sehr gut entfernen wenn man keine systemwiederherstellung machen kann:


    Computer neustarten im abgesicherten modus mit eingabehilfe


    explorer.exe eingeben damit man auch was sehen kann ;)
    einen neuen benutzer anlegen mit beliebigen namen > Systemadmin hinzufügen
    nochmal neustarten, diesmal in den normalen modus
    systemwiederherstellung ausschalten
    kaspersky antivirus removal tool runterladen updaten lassen > Scannen lassen
    er sollte mind. 3 mal anschlagen wegen der .exe datei, einer gesicherten .exe datei und der registry
    wenn er nur 2 oder doch nur 1x anschlägt sollte man noch mit ccleaner die registry durchsaugen und anschliesend im systemstart alles prüfen ob alles tutti ist.


    dannach den pc neustarten, auf den mainuser schaun ob der virus weg ist, wenn ja kann man den anderen nutzer löschen.



    alles in allem ein arbeitsgang von etwa 30-45 minuten je nach datenmenge.



    MfG
    ChinKas

  • Das ist die 4. Generation.
    Jeh nachdem welchen man hat muss man beim Entfernen anders vorgehen.


    Desweiteren bringt einem das nichts, wenn du die utilman.exe nicht umbenannt hast, und eine Kopie der cmd.exe in utilman.exe umbenannt hat.


    Das ganze muss man denn mit einem Fremdsystem machen, da Windows einen guten selbtschutz hat^^


    Das setzt SemperVideo nämlich vorraus^^

    Rechtschreibfehler sind Spezialeffekte meiner Tastatur und dienen ausschließlich der allgemeinen Belustigung!!!

  • kann nicht dein ernst sein....du hast echt bezahlt... :lol: :ugly: :modo:


    Ich war halt nur echt geschockt, ich achte eigentlich sehr auf sowas... und Java z.B. ist bei mir aktuell, ich werde mich nach der Arbeit mal reinlesen wie das blöde Ding auf meinen PC gekommen ist...

    bitte posten...ein Kumpel hats auch erwischt...und der ist recht versiert was pc`s angeht :spiteful:

  • Wenn man mit CCleaner den Autostart eintrag löscht ist der Virus nicht weg.
    Verstecken tut der sich irgendwo im AppData Ordner.
    Um genau zu sein C:\Users\Name/AppData/Local/Temp
    Den Namen der Datei kann man ja aus CCleaner auslesen : )


    Hatte das ding auch mal gehabt und via abgesicherter Modus war es kein Prob es zu löschen : )

  • Ich habe einfach CCleaner benutzt


    777 Post ftw

    auf keinen Fall ist der nicht gelöscht!!!!!



    hast du das echt bezahlt?

    dazu fällt mir nichts mehr ein,wie man so blauäugig sein kann!!
    darf man mal wissen wohin du das bezahlt hast?und vor allem wie hoch war der Betrag?

  • Geht das Ding echt so einfach weg? Was lernen wir daraus? Traut nicht dem Fernsehen und besonders nicht Galileo.

    wenn du ein bisschen ahnung hast von der registry und wie du die ganzen sachen analysierst dann ist das relativ easy.
    mitm ccleaner kriegt man den nicht weg, da man garnicht den ccleaner garnicht gestartet bekommt wenn man infiziert ist.

    Rechtschreibfehler sind Spezialeffekte meiner Tastatur und dienen ausschließlich der allgemeinen Belustigung!!!