Lösung: BKA Trojaner, Task Manager gesperrt und der Rechner fährt nicht richtig hoch

3. Juni 2012 Kategorie: Backup & Security, Internet, Software & Co, Windows, geschrieben von: caschy

Kerlokiste – ich muss es einfach schreiben: Leck mich fett, war das ein nerviger Vormittag.Samstag Abend, man geht spät ins Bett – man kann ja am Sonntag auspennen. Denkste. Denn das Telefon schellte mich schön aus dem Schlaf-Nirvana. Ein am PC etwas unbedarfter Bekannter klagte mir sein Leid.

„Sein Sohn“ wäre am PC gewesen, hätte irgend etwas gemacht und der Rechner würde nun nicht richtig hochfahren. Stattdessen käme die Meldung, dass man beim Download von illegalen Sachen erwischt worden wäre und man seinen Rechner jetzt gegen Gebühr wieder entsperren können. Ach ja, der gute, alte und vor allem nervige BKA Trojaner (auch unter GVU Trojaner zu finden), den es in zig verschiedenen Variationen gibt.

Ein nerviges Ding, welches schon Tausende befallen hat. Auch ich kenne den Schädling, allerdings habe ich bislang nicht alle Varianten des BKA Trojaners in der freien Wildbahn entfernen müssen. Wie kommt der BKA Trojaner überhaupt auf den Rechner? Tja, das wüsste ich auch gerne – Fakt ist anscheinend, dass die Brain.exe eben nicht immer hilft. Aus mir unerfindlichen Gründen hatte mein Bekannter keinen Antivirus auf seinem PC, obwohl ich ihm mal im letzten Jahr etwas installiert habe.

Nicht einmal die Security Essentials von Microsoft waren drauf oder so. Normalerweise hätte ich gehen müssen und ein lapidares „Selbst schuld!“ ablassen müssen. Mache ich natürlich nicht. Da stand ich also vor dem Rechner, der die BKA Meldung brachte und sich nicht dazu überreden lassen wollte, den Task Manager zu starten. Strg+Alt+Entf wurde nämlich laut Windows-Meldung vom Administrator deaktiviert.

OK, das alte Verfahren – ich war noch guter Dinge, dass es sich um eine einfache Variante des BKA Trojaners handle. Was macht man erst einmal? Richtig, abgesicherter Modus. Ergebnis? Gleiches Spiel, Fehlermeldung, kein Task Manager möglich. OK. Zweite Variante. Windows im abgesicherten Modus mit Eingabeaufforderung starten. In der guten, alten Eingabeaufforderung startet man dann ganz einfach msconfig – kennt ihr ja sicherlich.

Dort kloppt man pauschal erst einmal die Dinge raus, die suspekt sind. Dienste habe ich durchgeackert und die Systemstartprogramme. Solltet ihr betroffen sein: wuppt einfach raus, was euch komisch vorkommt. Beachtet ähnliche Schreibweisen von Microsoft oder sonstiger Software. Danach einfach den Rechner wieder neu starten und Daumen drücken.

Und, hatte ich Erfolg? Leider nein, gleiches Spiel. Rechner fährt hoch, weiße Seite mit Info des illegalen Downloads, IP-Adresse und Zahlungsaufforderung. Rage!

Das sind dann die Momente, in denen du den Leuten, die diese Software entwarfen (sitzen angeblich in der Ukraine) einfach mal die Hand geben möchtest. Mit einem Stuhl. Ins Gesicht.

Ich musste mal wieder tief in den Hirnwindungen und im meinem Blog wühlen. 2008 war es, da empfahl ich mal ein paar Boot CDs gegen solchen Müll. Gibt ja einige von ihnen, die kompetenteste ist meiner Meinung nach die auf Linux basierende Kaspersky Rescue Disc. Kostet tatsächlich kein Geld und war in meinem, beziehungsweise im Falle des Bekannten, die Lösung.

Weil es mir half, beschreibe ich mal kurz die Vorgehensweise, vielleicht ist einer der Leser mal von der identischen Art des BKA Trijaners befallen und möchte säubern. Wenn man weiss, womit man es zu tun hat, geht es eigentlich ratz fatz. Wir erinnern uns: kein Task Manager, kein Desktop und so möglich – man wird in der Registry fummeln müssen. Aber sooo schwer sind die Einträge nicht zu finden. Aber mal von vorne.

Kaspersky Rescue Disc herunterladen. Aktuell ist Version 1o aktuell. Das Schöne: lässt sich via USB-Stick oder CD nutzen. Logo, muss bootfähig sein. Für die USB-Stick-Freaks: Kaspersky bietet gleich ein Tool an, mit dem ihr die Kaspersky Notfall CD auf einen USB-Stick zimmern könnt, von dem ihr einfach booten müsst. Ansonsten ISO brennen mit dem Free ISO Burner oder eines der anderen Programme, die ich mal empfahl.

Rescue2USB heißt der Spaß und die Nutzung ist easy. Ausführen, Pfad zur Kaspersky Rescue CD-Iso angeben und zum USB-Stick – fertig.

Und dann bootet man einfach.

Sprache auswählen:

Grafikmodus auswählen:

Wichtig ist erst einmal: wenn die CD gebootet hat,bietet sie ein Update an. Machen! Sollte sie am Anfang sagen, dass das Betriebssystem vorab nicht richtig heruntergefahren wurde, so ignoriert dies ruhig – ruhig auf Fortsetzen klicken!

Kaspersky Rescue mountet dann automatisch die Laufwerke – auf denen sitzt bekanntlich der BKA Trojaner und wartet auf seine Vernichtung. Ans Update denken!

So, das waren die ersten Schritte. Scannen brauchen wir erst einmal nicht zwingend, wir müssen erst in der Registry von Windows fummeln, denn der BKA Trojaner hat bekanntlich Task Manager, Desktop und Co ausgehebelt und gesperrt. Wir führen also einen Doppelklick auf den Kaspersky Registry Editor aus. Hier wählt man dann sein Betriebssystem aus und findet unter „Bearbeiten“ den Punkt Suchen.

Sucht alle Schlüssel die DisableTaskMgr heißen und löscht diese! Dann seid ihr schon einmal die Fehlermeldung „Der Task-Manager wurde durch den Administrator deaktiviert“ los. Danach? Sucht alle Schlüssel die NoDesktop heißen und löscht diese! Das sind die Windows-Dinger, mit denen man die Leute seit XP-Zeiten geärgert hat 😉

Alle Einträge zu DisableTaskMgr und No Desktop gelöscht? Sehr gut – halbe Miete. Zum Abschluss klickt man noch auf das Icon „Kaspersky Rescue Disk“ und startet die Untersuchung von Objekten. Ich habe nur die Laufwerksbootsektoren und die Autostartobjekte durchsuchen lassen. Ich wurde prompt fündig und ihr werdet dies sicherlich auch. Sollte die Kaspersky Rescue Disc etwas finden: löscht es.

Und danach? Kaum zu glauben, aber wahr: der Rechner des Bekannten fuhr wieder ganz normal hoch und der BKA / GVU Trojaner war verschwunden, beziehungsweise nicht mehr aktiv.

Nun zu dem Punkt, den ich euch selber überlasse: ich persönlich war bisher wissentlich noch nie von einem Schädling betroffen, doch meine Vorgehensweise wäre trotzdem: die wichtigsten Daten sichern (ein regelmäßiges Backup hat man eh, bzw. sollte es) und das komplette System inklusive aktueller Antivirus-Software neu aufspielen. Seid ihr zu faul dazu, dann seht wenigstens zu, dass ihr einen aktuellen Antivirus-Schutz installiert und eure komplette Kiste mal durchforsten lasst. Besser ist das.

So, das war also mein Sonntag Vormittag. Den durfte ich mit dem BKA / GVU Trojaner und einem Windows PC verbringen. Und danach habe ich einfach mal diesen Beitrag geschrieben, was auch seine Zeit kostete kostete. Ich glaube, zur Belohnung werfe ich mal nachher den Grill an, euch einen schönen Rest-Sonntag!


Anzeige: Der neue Karriereservice von Caschys Blog in Kooperation mit Instaffo. Lass dich von Unternehmen finden. Jetzt kostenfrei anmelden!

Über den Autor: caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 24336 Artikel geschrieben.