Nun etwas weiter ins Detail gehend, da hier bisher einige Punkte keine entscheidende Berücksichtigung gefunden zu haben scheinen.
ich möchte euch heute vor einem Virus warnen und bekomme vielleicht auch Hilfe, wie ich dieses "Ding" wieder von meinem Laptop runter bekomme.
Zunächst: Diese offensichtliche Komponente einer Malware ("Malware" ist der Sammelbegriff für schädliche/schädigende Software aller Art) wird in diesem Fall nicht als "Virus", sondern als "Scareware" bezeichnet (abgeleitet vom englischen "scare", es ist also eine Malware, die den User einschüchtern, verängstigen und somit zu bestimmten Handlungen verleiten soll). Es gibt auch die Klassifizierung als "Ransomware", dazu aber weiter unten mehr.
Zitat
Ich habe gestern gegoogelt nach Nähanleitungen. Bei einem Bild habe ich geklickt. Plötzlich meldete mein Antivirenprogramm einen Virus, ich habe ihn sofort entfernt.
Eine klassische sogenannte "Drive-by-Infektion", also eine Infektion im Vorbei- bzw. Ansurfen einer Website. So eine Infektion verläuft in der Regel ohne direkte Interaktion des Benutzers, das heißt, er lädt und installiert nicht eigenständig einen Schädling, sondern der Schädling installiert sich durch Ausnutzen vorhandener Sicherheitslücken auf dem verwendeten System. Das sind in solchen Fällen in der Regel Lücken im Browser selbst, oder Lücken in bei ihm eingebundenen Plugins.
"Plugins" sind so etwas wie Schnitt-/Verbindungsstellen zu anderer auf dem System installierter Software. Das kann der Adobe Reader zur Darstellung von PDF-Dokumenten sein, Flash zur Anzeige von Videos im Browser, oder Java, das im Web verschiedentlich Anwendung findet, z.B. auf Webseiten zum Ausbelichten von Digitalfotos auf herkömmlichem Fotopapier.
Somit gibt es im Browser (je nach installierter Softare) ein Adobe-Reader-Plugin, ein Flash-Plugin, ein Java-Plugin, und so weiter. Sind diese Plugins aktiv geschaltet (bzw. anders herum nicht explizit auf inaktiv), dann sind sie auf jeder Website, die man aufruft, automatisch "ansprechbar", das heißt, sie können aufgerufen werden. Optisch zeigt sich dies für den Nutzer z.B., wenn ein PDF-Dokument direkt eingebunden im Browsefenster geöffnet wird, und dies nicht separat durch Anstoßen eines Downloads und anschließendes Öffnen des geladenen PDF-Dokument von Hand erfolgen muss.
Analog dazu gilt dies für alle anderen Plugins auch. Das aber bedeutet: Sie stehen ständig, bei jeder Webseite, auf "Stanby" und warten auf ihren "Einsatz", soszusagen: Bis sie aufgerufen werden. Solange sich keine Malware auf den angesurften Webseiten befindet, ist dies auch kein Problem. Wurde allerdings eine dieser Seiten infiziert, und dies ist im Grunde bei jeder Kategorie von Website möglich, bei kleinen Blogs aber auch bei großen bekannten Seiten(!), wo es z.B. in der Vergangenheit über verseuchte Werbebanner realisiert wurde, dann werden diese Plugins bzw. die dahinterstehenden Programme (Java, Flash, Adobe Reader, etc.) der Reihe nach vom Schädling "abgeprüft", ob sie verundbar sind, sprich: Ob sie bekannte Sicherheitslücken in sich tragen, die insofern ausgenutzt werden könnten, als dass Malware aktiv auf dem System des jeweiligen Nutzers platziert werden könnte (und das ist bei vielen Plugins der Fall, weil die User sehr oft vergessen, diese ständig und vor allem rechtzeitig zu aktualisieren, oder gar nicht wissen, dass es unbedingt notwendig ist, bzw. auch nicht von der empfehlenswerten Maßnahme Gebrauch machen, besonders sicherheitskritische Plugins wie Java im Browser zu deaktivieren).
Wird auch nur eine verwundbare Software gefunden, startet automatisch eine Routine zum Einschleusen von Schadcode -- dies wird über sogenannte Exploits realisiert (engl.: to exploit = "ausnutzen"). Erschwerend hinzu kommt, dass es im Web sogenannte Exploit-Kits gibt, das sind sowas wie fertige Softwarepakete, mit denen sich auch kriminelle Programmier-Laien angriffsfertige und funktionsfähige Malware zusammenstellen und platzieren können. Dabei haben sie auch die Wahl, verschiedene Malware-Typen auf einmal zu installieren, zum Beispiel einerseits eine sehr offensichtliche in Form der hier gesichteten Scareware, andererseits aber auch eine sehr unauffällige, passwortstehlende. Oder einen Trojan-Downloader, der im Laufe der Zeit weitere (neue oder ganz andere) Schädlinge im Hintergrund aus dem Web nachlädt und auf dem System des Opfers installiert.
Das bedeutet: Selbst für Nicht-Profis in diesem Bereich sind gefährliche und somit usergefährdende, umfangreiche Malwareinstallationen möglich. Dieser Umstand muss bei betroffenen Usern und den anschließenden Maßnahmen unter allen Umständen Berücksichtigung finden.
Zitat
In der nächsten Sekunde hatte ich ein vollflächiges Bild auf meinem Rechner mit dem Hinweis, dass mein PC gesperrt sei, weil ich angeblich auf verbotene Seiten gewesen bin. Das Bild sah einer Warnung/Hinweis des Bundeskriminalamtes täuschend ähnlich. Mit Bundesadler, § usw.
Deswegen "Scareware". Diese Seite soll dem User Angst machen und zur Zahlung eines Geldbetrages verleiten, in der Regel 50 oder 100 Euro.
Zitat
Etwas weiter unten stand, wenn ich sofort und innerhalb der nächsten Stunde 100 Euro per Paysafe überweise, bekomme ich kein Ermittlungsverfahren an den Hals, im anderen Fall müsste ich mit einem Ermittlungsverfahren rechnen. Auch Händler mit ihrem Logo, bei denen Paysafekarten gekauft werden können, waren aufgelistet.
Genau, das gehört zum Paket der "Angstmache" dazu. Nun nochmal zur Begrifflichkeit: Heute findet man auch oft eine Einordnung als "Ransomware", abgeleitet aus dem englischen "ransom" ("Lösegeld"). Diese Bezeichnung wurde anfangs nur für sogenannte "Verschlüsselungstrojaner" verwendet, die in der Tat die Nutzerdaten komplett verschlüsselten, sodass selbst Experten keine Möglichkeit mehr hatten, diese Verschlüsselung zu knacken. Auch hier wurde dann eine Meldung zur Zahlung eines Geldbetrags eingeblendet, nach dessen Zahlung angeblich die Verschlüsselung wieder aufrgeboben werden sollte -- wobei die Betonung auf "angeblich" zu setzen ist, zahlen sollte man auch hier nicht, die Daten bleiben verschlüsselt.
Hat man bei so einer Malware keine externen Datensicherungen (z.B. vollständig auf einer bzw. mehreren externen Festplatten) vorliegen, müssen die verschlüsselten Daten als für den User verloren angesehen werden.
Da es bei beiden (der Scareware und dem Verschlüsselungstrojaner) im weiteren Sinne um "Erpressung" geht, hat man "Ransomware" als Bezeichnung auch auf die Scareware ausgedehnt. Das nur als begriffliche Differenzierung.
Zitat
Der Trojaner verhindert ab sofort den Zugriff auf den eigenen Rechner, so dass ich jetzt keine Möglichkeit mehr habe, auf ihn zuzugreifen.
Doch -- so lange hier keine Ransomware im ursprünglichen Sinne (-> Verschlüsselungstrojaner) vorliegt, hast Du immer die Möglichkeit, über ein sogenanntes Live-System auf alle Daten zuzugreifen. Siehe hier:
-> http://forum.chip.de/viren-tro…-1453431.html#post8806515
Zitat
Mit dem Rechner meiner Tochter habe ich gestern lange gegoogelt. Der Trojaner soll seit 2011 bekannt sein, er nistet wohl irgendwelche .exe Dateien ein.
Auch dazu etwas ausführlicher. Es ist nicht "der Trojaner", sondern eine bestimmte Schädlingsgruppe. Innerhalb dieser gab und gibt es seit Jahren abertausende verschiedene Varianten, die auch dann unterschiedlich sein können, wenn z.B. der Name bestimmter gefundener Schädlingsdateien der gleiche wäre wie vor X Monaten. Jede Abwandlung kann unwesentliche wie auch wesentliche Detailunterschiede in sich tragen. Von daher sind u.a. auch die vielen verbreiteten Anleitungen zur "Säuberung" infizierter Rechner durch Löschen einzelner Dateien oder Registryeinträge nicht indiziert, da sie diesen Faktoren keine Rechnung tragen.
Zitat
Ich möchte euch davor warnen, frage aber auf der anderen Seite auch, ob das schon mal jemand hatte und wie ich dieses "Mistding" wieder loswerde.
Das "Mistding" ist durch Neuaufsetzen des Systems zu entfernen. Man kann zuvor selektiv noch eine nachträgliche externe Datensicherung mittels eines Livesystems wie z.B. des oben verlinkten durchführen, danach sind allerdings alle Partitionen aufzulösen, neu anzulegen und zu formatieren, um letztlich Windows von den Originaldatenträgern bzw. Recovery-DVDs frisch zu installieren.
Dringend empfohlen ist zudem das umgehnde Ändern aller webrelevanten Zugangsdaten/Passwörter, das schließt "Passwort-Vergessen-Sicherheitsabfragen" und die Kontrolle hinterlegter Mobilfunknummern (z.B. bei Gmail) mit ein. Vergisst man diese, können Dritte über eine zu ihren Gunsten veränderte Mobilfunknummer trotz von Dir erfolgter Passwortänderung immer wieder ein neues Passwort setzen bzw. auf Deine(n) Account(s) lesend wie schreibend zugreifen.
Heiligabend!
Hm.
