GEMA-UKASH Trojaner blockiert Laptop mit XP pro 32bit vollständig

Wolfman

Hallo erst mal,
ich bin neu angemeldet, habe aber hier schon öfter mal gelesen, wenn ich meinte Probleme zu haben. Von der strukturierten Art der Problemlösung war ich sehr beeindruckt.
Jetzt habe ich allerdings in der Tat ein Problem.
Wie der Titel sagt: GEMA-UKASH Trojaner blockiert Laptop mit XP pro 32bit vollständig.

Ich habe mir das Pferdchen Sonnabend beim Surfen mit Opera aufgeladen. Da ich eigentlich immer recht vorsichtig bin und aktuelle Updates und Avira benutze, war ich echt überrascht. Auch wenn es mir fast peinlich ist: Der Rechner enthält nur legale Software. Daher war sofort klar das dieser GEMA Screen nur Fake ist.
Ich habe den Rechner erst mal ausgeschaltet und am anderen Rechner etwas nachgelesen. Die "Großen" wie Norton etc. haben ja zu diesem Trojaner nichts zu sagen, vielleicht weil das Ding echt hartnäckig ist und sie es bisher verpennt haben? Oder weil sie noch keine fertige Einklick-Lösung haben die ihre zahlenden Kunden natürlich zurecht erwarten. Oder verhindern die so etwas tatsächlich zu 100%? Egal.

Ich habe dann den Rechner gestartet und versucht an dem Blockade-Schirm vorbei zu kommen. Fehlanzeige.
Während andere per abgesicherten Start wieder an den Desktop kommen, ging da nichts. Was sich eventuell daraus ergibt, das der Laptop nur per Anklicken eines Profils mit dem W-Lan verbindet und jetzt ohne Hilfe nicht mehr rein kommt.
Weshalb das Ding auch nicht den Gema-Mist, sondern die Systemmeldung "Das Programm konnte keine Verbindung mit dem Internet herstellen" erzeugt, die man aber auch nicht mehr umgehen kann. Weder mit F5, F11 oder ähnlichem. Egal wie, er startet immer zu Windows durch, verlangt einen der beiden angemeldeten Benutzer und erzeugt dann wieder diese Systemmeldung.

Da vermutlich die normale Lan Verbindung im Set Up von mir deaktiviert wurde, kommt er jetzt auch nicht per Kabel-Router ins Netz. Über das Netzwerk kann ich allerdings einige freigegebene Ordner sehen, leider nichts hilfreiches.

Daher kommen auch die ganzen Windows Tools erst mal nicht in Frage, da ich sie nicht unter Windows gestartet bekomme. Oder mache ich etwas falsch?
Allerdings ist ein Zugriff per Knopix kein Problem. Mit einer simplen CD bekomme ich dann sofort alle Partitionen zu sehen.

Das einzige was ich bisher gemacht habe, ist ein Tool namens Norton Bootable Recovery Tool vom USB Stick drüber laufen zu lassen. Es hat nur lapidar einen „Downloader“ gefunden, der sich in Mozilla Firefox befand und ihn (Ohne mein Zutun) deaktiviert. Ob er nun schon alt oder noch aktiv war kann ich nicht sagen.

Die Frage ist nun, wie werde ich den Mist los?

Unterscheidet sich meine Version von den anderen oder gibt es noch eine andere Möglichkeit unter Windows an dem Ding vorbei zu kommen um Ihn händisch zu deaktivieren?

Natürlich könnte ich unter Knopix / Linux alles Wichtige auf eine sicherere Partition kopieren, auf Viren-Schmutz testen und C:\ dann neu formatiert aufsetzen. Wäre nervig, aber keine völlige Katastrophe. Ärgerlich weil meine Frau die ganzen Treiber etc. beim Umzug verlegt hat und die Kisten zum Teil eingelagert sind. Gut wäre daher ein Auslesen der Seriennummern der gekauften Programme die drauf sind. Normalerweise ist das ja nur ein Klick.

Außerdem würde ich mich natürlich gerne schlau machen, wie man so etwas zukünftig verhindert. Avira täglich automatisch zu aktualisieren und diverse Service Packs und Up Dates haben ja nichts gebracht. Auch der OPERA Browser war ganz aktuell.

Ich würde mich sehr freuen wenn mich hier jemand unterstützen könnte. Ich hoffe ich bin nicht zu ausführlich, aber ich finde es unhöflich zu erwarten das andere einem ihre Zeit schenken wenn man selber nur kurz was in die Tasten blubbert und meint, die andere können ja fragen, wenn sie unbedingt helfen wollen. Ich kann aber auch kürzer.



Was ich noch, neben der rein technischen Problematik anmerken möchte, aber vielleicht gehört das auch wo anders hin:
Der Text des Erpresser Bildschirms ist in erstaunlich kultiviertem Deutsch abgefasst, entgegen den anderen Sachen die ich so gesehen habe.
Die Gründlichkeit mit der das Ding sich einnistet scheint mir ebenso echt deutsch zu sein. Diese Perfektion ist doch eigentlich völlig überflüssig, denn wer sich so weit mit der Infektion beschäftigt, das er sie entfernt bekommen könnte, hat ja das Ding eh lange durchschaut und wird nicht im Traum 50 Euro zahlen, für die er KEINE Lösung bekommt. Also irgendwie schon komisch, wozu die ganze Mühe? Je fieser der Trojaner ist, um so schneller wird er bekannt und um so schneller zahlt gar keiner mehr. Damit schadet er sich doch selber. Sind Kriminelle immer irgendwo bekloppt? Oder geht es so einem Kranken gar nicht um das Geld, sondern nur darum Schaden zu verursachen?

Was einen aber echt richtig sauer macht, ist nicht so sehr das Schwein dass programmiert hat, was jetzt Tausende von Stunden Freizeit bei Privatleuten vernichtet. Dazu unbezahlbar teure Arbeitszeit bei auf die Rechner angewiesene Firmen, was bis zum Ruin kleiner Gewerbetreibender führt. Wer eh wenig verdient hat auch am wenigsten Geld für Sicherheit.

Nein, voll sauer macht mich die unglaubliche Ignoranz unseres Staates, der nichts gegen solche Typen unternimmt, sondern sich selber vergleichbare Software schreiben lässt mit Funktionen, die in anderen Ländern die Beamten ohne Wenn und Aber ins Gefängnis bringen würde und jeden so gefundenen „Beweis“ sofort ungültig macht. Bei ernst gemeinter Anwendung der Gesetze hier eigentlich auch. Aber was soll man halten von Beamten, die im Ausland von Datendieben CDs mit ihnen gesetzlich nicht zustehenden Angaben für Millionenbeträge kaufen? Die damit andere ermutigen auch in Zukunft kriminell zu werden?
Auch wenn Steuerhinterziehung in tolerabel ist, sind solche Methoden von erheblich höherer krimineller und verfassungsfeindlicher Energie gesteuert als das verfolgte, dagegen harmlose Delikt.

Aber dort, wo es dem kleinen Steuerzahler wirklich einmal nutzen würde, hat der Staat keinerlei Interesse an echten Verbrechern.
Wenn das Ergreifen solcher Erpressungs-Software-Täter wirklich irgendwo gewollt wäre, säßen die nach einer Woche in U-Haft.
Ein paar von Anfang an verfolgte Überweisungen reichen da völlig. Aber zuständig ist ja keiner... Ermittelt wird erst wenn der Schaden da ist, aber wenn der Täter nicht aus dem gleichen Bundesland kommt wie der Geschädigte, ist sowieso Schluss.
Wir geben das weiter... und Ende.
Kein öffentliches Interesse. Was bedeutet das eigentlich?
Die Bundespolizei hat angeblich auch andere Sorgen und alle lachen eine aus, wenn man bei Interpol seine Anzeige loswerden will. Klasse. Warum legalisiert man Erpressung und Zerstörung fremder Daten nicht gleich?

Auch wenn der Typ nur von Vollpannen mit schlechtem Gewissen Geld bekommt, scheint sich das ja zu lohnen. Ein paar Dutzend 50 Euro Scheine sind ja auch schon ein fetter Malle Urlaub.

Dank Deutscher Polizei und Politik offenbar völlig risikolos. Vermutlich bildet sich da ein neuer Krimineller Sumpf, der mit Internet Schmuddel Content Anbietern zusammen hängt, da ich die großen Internet Namen kaum als Verbreiter dieser Trojaner vermute. Auch wenn ich neulich in einem Druckertreiber von der Herstellerhomepage einen Virus (erkannt) hatte. Das Zahlungssysteme wie UKASH sich bewusst so aufstellen, das Zahlungen nicht verfolgbar sind, hat Methode. Würde ein normaler Gewerbetreibender so vorgehen, wäre ihm eine Vorstrafe sicher. Es stinkt irgendwie überall im Land.

Ich vermute ich habe mir den Trojaner durch das versehentliche Anklicken einer Pornoseite geholt. Bei der Suche nach „Einspritzung“ (fürs Auto) bin ich bei ganz anderen Sachen gelandet als ich dachte, was man aber beim Aufrufen in der Suchmaschine nicht sofort erkannte. Anders kann ich mir die Infektion nicht erklären. Runter geladen habe ich seit Wochen nichts mit dem Rechner, außer Aktualisierungen, eMails übrigens auch nicht!
Es sei denn das Ding nistet sich ein und hat eine Wartezeit, nach der es sich aktiviert. Dann könnten auch YouTube und Facebook oder andere Kinderanwendungen daran schuld sein.


Viele Grüße und schon mal Danke, der Wolf