Virus: "Bundespolizei: Es ist die ungesetzliche Tätigkeit enthüllt"

Dominion

Commodore
Registriert
Sep. 2008
Beiträge
4.568
Hallo liebe Community,

zur Zeit grassiert ein gar nicht schlecht gestalteter Virus von Internetkriminellen, die sich als Bundespolizei ausgeben.

Dieser Virus installiert sich bereits durch das Anklicken diverser Websites, ohne dass davon Notiz genommen wird. Viernscanner (vor allem Freeware-Versionen) schlagen auf diesen Virus nicht an.

Heute bin ich selbst "Opfer" dieses Virus geworden - ohne zu wissen, woher ich ihn mir eingefangen habe.

"Opfer" in Anführungszeichen, da ich natürlich nicht auf die Masche der Betrüger hereingefallen bin.

Aber der Reihe nach:

Wie macht sich der Virus bemerkbar?

Sehr deutlich. Es erscheint urplötzlich ein Screen der angeblichen Bundespolizei (recht gut gestaltet), worin einem vorgeworfen wird, es seien auf dem Computer Dateien mit Kinderpornos, gewaltverherrlichenden Videos oder aber emails mit terroristischem Hintergrund entdeckt worden. Deshalb sei das Betriebssystem gesperrt worden.

In der Tat ist Windows nicht mehr ohne Weiteres benutzbar. Die Maske legt sich über alle Befehlsanwendungen, selbst der Task-Manager kann nicht mehr aufgerufen werden. Nach einem Neustart erscheint sofort eben dieselbe Maske. Der Computer ist nicht mehr bedienbar. Die Maske kann nicht weggeklickt werden. Sie legt sich über den gesamten Bildschirm und ist nicht entfernbar.

Man wird aufgefordert, den Betrag von 100 € zu überweisen, damit das Betriebssystem wieder entsperrt wird (allein das würde die Bundespolizei niemals tun: Sie leitet ggf ein Verfahren ein, würde aber niemals gegen eine Zahlung die Freistellung des Betriebssystems versprechen).


Tatsächlich verbergen sich hinter der angeblichen Bundespolizei Internetbetrüger, die einem das Geld abzocken wollen.

Da ich mich in der Vergangenheit intensiv mit Internetbetrugsfällen auseinandergesetzt habe, ist mir der fehlende Wahrheitsgehalt dieser Anzeige sofort ins Auge gefallen. Ich habe herzhaft gelacht, als ich las, was die Betrüger von mir verlangten (Zahlung).

Weniger gelacht habe ich allerdings, als mir bewusst wurde, dass ich die Meldung nicht wegklicken kann und sie immer wieder erschien (nach Neustarts) und somit die Nutzung meines Computers vorerst unmöglich machte.


Wie kann ich das Problem beheben?


Daher an dieser Stelle folgender Lösungsweg, um den Computer wieder einsatzbereit zu machen:

Startet den abgesicherten Modus incl. Netzwerktreibern.
Ladet Euch das Tool "Norton Power Eraser" herunter, gefahrlos hier: klick

Lasst das Tool durchlaufen, ohne auf Rootkits zu scannen. (ist in der Einstellung anwählbar)

Der Power Eraser sollte den Virus vollständig entfernen.


Eine ausführlichere Problembehandlung (auch wenn der o.g. Vorschlag nicht funktionieren sollte) findet Ihr hier.



Ich dachte mir, dieser Bericht könnte dem einen oder anderen von Euch evtl. hilfreich sein. Es ist bislang nicht geklärt, von welchen Seiten man sich den Virus zuziehen kann. Ich persönlich schließe Seiten mit illegalem Content sowie Pornoseiten für mich aus, da ich dort nicht anwesend war. Auch emails (bzw. Anhänge) von unbekannter Herkunft öffne ich nie und habe bislang auch keinen Missbrauch von mir bekannten email-Versendern (bzw. der Nutzung derer Adressen) feststellen können.

Der Virus scheint sich daher auch auf seriösen Websites zu verbreiten.


Ich hoffe, zumindest einigen von Euch hilfreiche Hinweise gegeben zu haben und würde mich über Erfahrungsberichte zu eben dieser Thematik freuen, falls Ihr an dieselben oder ähnliche Betrüger geraten seid.


MfG,
Dominion.



[Update]

Bein einem Bekannten durfte ich jüngstens einen Virus entfernen, der ungleich hartnäckiger war als noch der "Bundespolizei-Virus":

Der "Gema-Virus" lässt sich auch im abgesicherten Modus nicht umgehen, was den Einsatz des PowerErasers zunächst unmöglich macht. (Einige User haben dies ja auch schon bei einer Version des "Bundespolizei-Virus" beschrieben.)

Es taucht also auch im abgesicherten Modus eine sich über den gesamten Desktop legende Meldung auf, auf dem Rechner seien illegale Musikdownloads entdeckt worden. Um weitere strafrechtliche Verfolgungen sowie die Sperrung / die polizeiliche Sicherstellung des PCs zu vermeiden, soll man 50 € zahlen.
Natürlich nichts weiter als das Werk von Internetkriminellen, die an Euer Geld wollen.

Daher hier meine Variante der Entfernung des Virus, ohne das System neu aufsetzen zu müssen und so wichtige Daten zu verlieren:

-> Avira AntiVir Rescue System (iso) auf einem schädlingsfreien Rechner herunterladen (bitte die iso-Datei verwenden)

-> diesen Download zB mittels Nero als Image auf eine CD brennen (Funktion: Image auf CD schreiben)

-> CD in infizierten Rechner einlegen, nach dem Einschalten "Entf" mehrfach drücken, um ins BIOS zu gelangen.

-> im BIOS 1st Boot Device auf CDROM stellen (also auswählen, dass von CD gebootet werden soll)

-> den Befehlen folgen und mit der Einstellung "Bedrohungen umbenennen" den PC scannen

-> ist der Scan vollständig, neu starten und im BIOS wieder die HDD mit dem Betriebssystem als 1st Boot Device auswählen (also von Festplatte booten)

-> der Rechner sollte nun ohne den Gema-Bildschirm hochfahren; allerdings sind keine Desktop-Symbole mehr sichtbar

-> nun den Norton PowerEraser durchlaufen lassen

-> neustarten

-> das System sollte einwandfrei funktionieren und alle Desktop-Symbole sollten sichtbar sein.


Nun sollte man ein Virenscanner-Programm komplett durchlaufen lassen (-> intensiver Scan).
 
Zuletzt bearbeitet:
Da habe ich so gut wie jeden Tag einen Kunden, wir machen aber den Laptop platt.....weil dies am schnellsten geht.....:-)

Und den Lösungsweg von dir wusste ich nicht...:-)
 
Hatte mir diesen Virus letzte Woche auch irgendwo eingefangen. Dieser war aber in sehr schlechtem Deutsch gehalten. Ich denke das davon mehrere Versionen in Umlauf sind. Nach meiner Suche nach Lösungsvorschlägen gabs Hinweise nach Einträgen in der Registry bei bei mir aber nicht vorhanden waren. Also der Virus war echt hartnäckig. Der aber eh der Wechsel auf ne neue Systemplatte anstand hab ich das System dann eh neu aufgesetzt.
 
Ich wuerde nur den weg über die Register empfehlen. Geht wirklich schnell und man muss sich nicht den nächsten mist in gestalt von norton drauf ballern. Kasper und avira recovery-cdu kann man sich auch sparen, weil die gar nichts bringen in diesem Fall.
 
Der abgesicherte Modus war bei einem Bekannten genauso blockiert wie bei einem normalen Start.

Ich habe das Problem gelöst, indem ich eine auf Linux basierende Live-Disc von Kaspersky verwendete - einmal den Scanner durchgejagt und der Müll war vom Tisch.
 
Der "normale" abgesicherte Modus ist auch dank ausgetauschter explorer.exe gesperrt. Allerdings kannst du win im abgesicherten Modus mit Eingabe-Auforderung starten. Damit hast du eine Dosbox mit der du alles weitere ausführen kannst. theoretisch auch umständlich die explorer.exe
Meine Vorgehensweise:

=> regedit aufrufen
=> entsprechenden Boot-Eintrag rausfischen - Ort der Exe und Name notieren (gibt ja ein paar Varianten)
=> ersetzen der Zeile durch die explorer.exe
=> neu starten im "normalen" abgesicherten Modus
=> Exe suchen und löschen

fertig

je nachdem wie schnell der Rechner bootet ist das eine Sache von nichtmal 5 Minuten und was anderes machen die RettungsCDs auch nicht - nur dass ein von CD bootendes Linux-OS länger braucht als die von mir vorgestellte Prozedur.
 
Es geht auch etwas einfacher:
-Abgesicherter Modus
-msconfig
-> Autostart: hier sollte sich ein neuer Eintrag finden bei dem man ganz einfach den Haken entfernen kann - zudem wird auch der Speicherort des Übeltäters angeizeigt

Diese Methode hat beim Rechner meiner Mutter (Win Vista) geklappt.
 
Zuletzt bearbeitet:
Hervorragend Leute,

ich finde es klasse, dass Ihr Euch mit weiteren Lösungsvorschlägen am Thema beteiligt. :daumen:

An dieser Stelle für alle Betroffenen nochmals der Hinweis auf den Link im Eingangspost, in welchem weitere Lösungswege angeboten werden (darunter auch der Weg über Boot-CDs).

Darüber hinaus noch der Hinweis, dass dutzende Abwandlungen des Virus existieren. Daher weisen die verschiedenen Methoden unterschiedliche Erfolgsaussichten auf.

Also einfach nach und nach durchprobieren.

MfG,
Dominion.
 
Hallo und Hilfe!
Ich drehe durch.
Bin echt kein Profi und habe mir diesen scheiss virus eingefangen,kann mir jemand genau helfen?
Wenn ich mein asus Eee Pc starte habe ich nur diese bild und weiss echt nicht wie ichs löschen soll diesen virus.
Kann ich per USB stick was machen?
Was kann ich auf usb ziehen das ich mir selber helfen kann.
Bitte kann mir einer helfen?
Bin zwar schon älter,aber wenns um sowas geht noch viel zu jung.
Denke das ist was für super experten
Ergänzung ()

sorry zu schnell geschrieben,
wer fehler findet darf sie behalten :-)
 
Zuletzt bearbeitet:
Im günstigsten Fall reicht es wenn du in den abgesicherten Modus kommst - also beim booten wie blöd auf F8 hämmern bis die Auswahl erscheint :D
Für den Rest siehe oben.
 
@dominion
auch wenn die wahrscheinlichkeit der einbettung in eine website (oder meist eher in popups/banner) größer ist - wenn du ein programm nutzt, sodass die emails auf deinem rechner ankommen, kann es sehr wohl sein, das sich das als "maskierter anhang" in einer mail befand. das bekommst du auch nicht raus, wenn dein AV-Prog nicht anschlägt (was die meisten in dem fall nicht tun) - da wird dem mailprogramm quasi vorgegaukelt, das nach der mail nix mehr kommt und dir kann jemand mit nem kleinen trick die platte damit vollblasen.
denn grade anbieter wie web.de, gmx und co, sind ein absoluter graus, was sicherheit angeht - da sind teilweise komplett die ports offen, sodass ne einfache umleitung ausreicht um die ganze kacke auszuhebeln inkl. deren schutzmechanismen.
 
Zuletzt bearbeitet:
@ KL0k:

Ich stimme Dir zu, über derartige Sicherheitslücken diverser email-Provider habe ich auch bereits gelesen.

Ich vermute als Ursache allerdings irgendeinen Banner, denn ich hatte einen unabsichtlichen Mouseklick durchgeführt, bevor die "Meldung" kam (ist mir erst jetzt wieder in den Sinn gekommen). Aber was das für ein Banner war - das weiß nur Gott allein - wie gesagt, es war ein unbeabsichtigter Klick... .

Danke Dir für Deine Einlassung.

MfG,
Dominion.
 
Hii guysss auf Englisch sorry!!!

You dont need to download any antivirus here is the tip to remove this FAKE Bundespolizei TROJAN war
This virus is with different names (Ex: Mahmud.exe)..
Please go in safe mode by pressing F8 and then in command window type REGEDIT
and follow the path

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
&&&
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

and delete the suspicious *.exe data from the RUN folder..

Any further Q's mail me at sir.bulls (at) gmail.com for furtherhelp

Hope this is helpful for you..
 
Bei einem bekannten konnte ich das Problem auch dadurch lösen, dass ich im abgesicherten Modus in msconfig rein, unter Autostart war ein Eintrag "Updater".
Dieser führte zu einer exe-Datei mit einer wirren Zahlenkombination. Hab den Eintrag in der registry gelöscht und die Datei entfernt und seitdem keine Probleme.

Edit:
Huch, sehe jetzt erst dass der Thread schon älter ist.
 
Ein Bekannter hat sich vor wenigen Tagen einen anderen Virus eingefangen:

Den Virus "Privacy Protection".

Dieser suggeriert dem User eine infizierte Datei und beginnt (angeblich!) sofort mit einem Scan der HDDs. Auch nach manuellem Abbruch des Scans sind Programme unter Hinweis auf die angebliche Infektion nicht mehr ausführbar.

Auch hier gilt (wie im oben genannten Fall): Nichts zahlen, und das System nicht neu aufsetzen.

Der Virus lässt sich mit meiner o.g. Beschreibung ebenfalls entfernen. Also einfach im abgesicherten Modus den PowerEraser durchlaufen lassen, danach arbeitet das System wieder einwandfrei.

MfG,
Dominion.
 
[Anmerkung für die Moderation: Der Doppelpost ist ausdrücklich so gewollt.]

Es hat ein Update des Eröffnungsposts gegeben; ein weiterer Virus (Gema-Virus) wurde hier abgehandelt.

MfG,
Dominion.
 
[push]

Ich halte diesen Thread hiermit für eine Weile aktuell, da besagte Viren derzeit vehement grassieren.

Weitere Lösungsvorschläge anderer User sowie Erfahrungsberichte sind hier ausdrücklich erwünscht.

MfG,
Dominion.
 
Zuletzt bearbeitet:
Hallo Zusammen,
wir schreiben das Jahr 2013 und ich habe mir heute als ich mir kurz einen Kaffee holte den Virus (Bundespolizei) eingefangen.

KONNTE WIE BESCHRIEBEN über Abgesicherten Modus und eingabe von msconfig im autostart bei einem Eintrag aus nummern und Buchstaben den Haken entfernen und alles wieder gut.

Dann PC normal gestartet und virenscanner laufen lassen,
Der eintrag befand sich bei mir in Eigene Dokumente gespeichert .

Alles gelöscht, bereinigt, PC läuft wieder.

Danke an ale für die Super Hilfestellungen die es hier im Forum immer giebt.


Mfg
 

Ähnliche Themen

Zurück
Oben