GEMA Trojaner wieder im Umlauf

[iRofl]

Hallo liebe Comunity,

seit einiger Zeit ist ein raffinierter Virus im Umlauf. Er täuscht vor, das euer PC von der GEMA gesperrt worden ist, da sich Raubkopien auf ihm befanden. Der Trojaner ist eine veränderte Form von dem Virus, der vor ein paar Jahren Windows User dazu gebracht hat 50€ an die Hacker zu zahlen, in dem der Trojaner dem User zu verstehen gab, das der PC ein nicht lizensiertes Windows System hat.

In so einem fall, sollte man auf gar keinen fall zahlen, denn das Geld geht an eine Hacker Gruppe. Der Virus ist ist ohne den 'Abgesicherten Modus' unmöglich zu entfernen.
Der GEMA Virus sieht etwa so aus:

 Spoiler

Um zu vermeiden, das euer PC mit dem Virus infiziert wird, solltet ihr Seiten wie k i n o x.to nicht besuchen, geschweige denn etwas herunterladen. Außerdem worden empfohlen, sich Beispielsweise spiele legal zu kaufen. Denn der Hacker rechnet damit, das wer illegales tut, illegales nicht anzeigt. So schließt sich der Teufelkreiss!

Sollte euer PC einen solchen Virus haben, schaut mal hier vorbei:



Ich Wünsche euch viel Erfolg beim bekämpfen des Virus.

Quelle: Erfahrung und die oben genannten Links!

Lg. iRofl

[Sonyacc]

Lol,

wie viel die wohl Verdienen...
Aber echt miese mache

Danke für den Link!

[iRofl]

Quote:

Originally Posted by Sonyacc

Lol,

wie viel die wohl Verdienen...
Aber echt miese mache

Danke für den Link!

Viel und Achtung: diese Viren kommen insbesondere über Seiten Wie k:i:n:x.to!

[gizmo898]

Den hatte mein Vater gestern auf seinen alten Laptop gehabt xD

[xXxicedevilxXx]

Wuff
das erinnert mich an meinen bekannten freund, den BKA virus :P
Hab ihn auch ohne hilfe ausm inet wegbekommen (war mein erster virus )
Naja aber neuinstalliert hab ich den pc dann trotzdem sicher ist sicher..
Anderes Logo, anderer Virus? denke mal nich :P

[ηøℓι]

Der ist auch ohne abgesicherten Modus zu entfernen
Bei mir hat der sich über den Internet-Explorer "gestartet"
Er öffnet direkt beim PC-Start 2x den IE welcher dann auf eine bestimmte IP geht..
Bei mir dauert der PC start zum Glück länger, dann kann man die URL, die in den IE eingegeben wird, ändern.
Anschließend Malwarebytes drüber laufen lassen, fertig.

[Masters of Hardcore]

Und das beste an sowas ist, dass es welche gibt, die Bezahlen. ;- )

[Ravenstorm]

Danke für den Link!

[iRofl]

Quote:

Originally Posted by ηøℓι

Der ist auch ohne abgesicherten Modus zu entfernen
Bei mir hat der sich über den Internet-Explorer "gestartet"
Er öffnet direkt beim PC-Start 2x den IE welcher dann auf eine bestimmte IP geht..
Bei mir dauert der PC start zum Glück länger, dann kann man die URL, die in den IE eingegeben wird, ändern.
Anschließend Malwarebytes drüber laufen lassen, fertig.

Das stimmt nicht immer. Der oben genannte Trojaner:
1.) Hat nichts mit einem Browser zu tuhen
2.) Wird von keinem Viren Programm als solcher erkannt
3.) Ist mit 100% sicherheit nich ohne den Modus zu entfernen, sagen Experten (siehe Link)

Du hattest warscheinlich ne Billige abklatsche. Glück gehabt

Lg. iRofl

[Metzer]

Quote:

Originally Posted by iRofl

Das stimmt nicht immer. Der oben genannte Trojaner:
1.) Hat nichts mit einem Browser zu tuhen
2.) Wird von keinem Viren Programm als solcher erkannt
3.) Ist mit 100% sicherheit nich ohne den Modus zu entfernen, sagen Experten (siehe Link)

Du hattest warscheinlich ne Billige abklatsche. Glück gehabt

Lg. iRofl

Es ist möglich ... siehe Sempervideo.

Natürlich lade ich mir jetzt auch nichts mehr runter und geh nicht mehr auf Seiten wie kinox... Schwachsinn

[Atzenkeeper]

Die Teile sind eigendlich schrott.
Das sie FUD sind anfangs ist klar.
Aber sie sind Relativ einfach zu entfernen und wenn man sie einmal Analysiert hat kann man auch einen Fix schreiben.

Ausserdem was soll das gerede um den Abgesicherten Modus das ist ja jetzt nichts besonderes. Noch dazu kommt das es stimmt bei manchen Versionen ist die Schadsoftware nichtmal Persitent kann also einfach beendet werden.

Die Infektionswege erstrecken sich weit.
Aber ich denke wenn auf den bekannten und schon erwähnten Video Stream seiten Exploit Kits versteckt wären wäre das schon lange ans licht gekommen.

Noch zu dem Thread Titel Trojaner ist falsch da es sich eher um Schadsoftware handelt die Geld abziehen will und sicher keinen Remot zugriff gestattet und falls das der Fall wäre wäre das sogar recht Nice da man den spieß bei den meisten Trojanern umdrehen kann. Und somit auch den versender Ermitteln kann.

Ich gehe davon aus das das Tool entweder
1. Sich über viele Fake Cracks u.s.w. verbreitet
2. Eigenschaften eines Wurms hat und sich selbst spreadet.
3. (Was aber recht unwarscheinlich ist) Über ein 0Day-Exploit in die PCs geschleust wird.

Achtet mal wenn ihr Opfer wart auf den Seiten die ihr so besucht im Quelltext auf vertseckte Iframes.
Auch Boards in denen IFrames gesetzt werden können Handeln schlampig und machen ihre User angreifbar.

In diesem Fall verhält sich epvpers ja auch vorbildlich.
Was aber eig auch jedem betreiber eines Forums klar sein sollte.

[iRofl]

Quote:

Originally Posted by Atzenkeeper

Die Teile sind eigendlich schrott.
Das sie FUD sind anfangs ist klar.
Aber sie sind Relativ einfach zu entfernen und wenn man sie einmal Analysiert hat kann man auch einen Fix schreiben.

Ausserdem was soll das gerede um den Abgesicherten Modus das ist ja jetzt nichts besonderes. Noch dazu kommt das es stimmt bei manchen Versionen ist die Schadsoftware nichtmal Persitent kann also einfach beendet werden.

Die Infektionswege erstrecken sich weit.
Aber ich denke wenn auf den bekannten und schon erwähnten Video Stream seiten Exploit Kits versteckt wären wäre das schon lange ans licht gekommen.

Noch zu dem Thread Titel Trojaner ist falsch da es sich eher um Schadsoftware handelt die Geld abziehen will und sicher keinen Remot zugriff gestattet und falls das der Fall wäre wäre das sogar recht Nice da man den spieß bei den meisten Trojanern umdrehen kann. Und somit auch den versender Ermitteln kann.

Ich gehe davon aus das das Tool entweder
1. Sich über viele Fake Cracks u.s.w. verbreitet
2. Eigenschaften eines Wurms hat und sich selbst spreadet.
3. (Was aber recht unwarscheinlich ist) Über ein 0Day-Exploit in die PCs geschleust wird.

Achtet mal wenn ihr Opfer wart auf den Seiten die ihr so besucht im Quelltext auf vertseckte Iframes.
Auch Boards in denen IFrames gesetzt werden können Handeln schlampig und machen ihre User angreifbar.

In diesem Fall verhält sich epvpers ja auch vorbildlich.
Was aber eig auch jedem betreiber eines Forums klar sein sollte.

Trojaner ist ein überbegriff
Der von mir beschriebene Virus ist sowohl Trojaner als auch schadsoftware.

[Bloody4lbozz]

Man sollte aufpassen was man anklickt,Den viele Antivieren Programme erkennen den Virus nicht.
Wenn man ihn sich schon eingefangen hat :
So entfernt man ihn Leicht ohne eine Lästige Reinstallation von Windows
1. PC im abgesicherten Modus starten -> Rechner anschalten kurz vor dem Windows Logo wiederholt die Taste F8 drücken.

2. Unter suchen den begriff "regedit" eingeben.
Die Windows Registry öffnet sich.

3. Hier muss man sich durch das Verzeichnis klicken. Ziel der “Reise” ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).

4. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der “Wert” dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann. Sollte hier bereits “explorer.exe” stehen.

5. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!

Fertig nun sollte es keine Probleme mehr geben, PC ausschalten und im Normalen Modus wieder anschalten.

[Zatam]

Den hatte ich auch mal, allerdings hab ich keine unseriösen Dateien heruntergeladen..

[Sayael]

Klar sind die ohne abgesicherten Modus zu entfernen, da haben die experten ja voll die Ahnung ;o
Wenn euer Windows mehrere Benutzer Accounts hat, loggt euch einfach in einen anderen ein und bearbeitet es von dort aus, der Virus ist nicht übergreifend.