Lösung: BKA Trojaner, Task Manager gesperrt und der Rechner fährt nicht richtig hoch
Kerlokiste – ich muss es einfach schreiben: Leck mich fett, war das ein nerviger Vormittag.Samstag Abend, man geht spät ins Bett – man kann ja am Sonntag auspennen. Denkste. Denn das Telefon schellte mich schön aus dem Schlaf-Nirvana. Ein am PC etwas unbedarfter Bekannter klagte mir sein Leid.
„Sein Sohn“ wäre am PC gewesen, hätte irgend etwas gemacht und der Rechner würde nun nicht richtig hochfahren. Stattdessen käme die Meldung, dass man beim Download von illegalen Sachen erwischt worden wäre und man seinen Rechner jetzt gegen Gebühr wieder entsperren können. Ach ja, der gute, alte und vor allem nervige BKA Trojaner (auch unter GVU Trojaner zu finden), den es in zig verschiedenen Variationen gibt.
Ein nerviges Ding, welches schon Tausende befallen hat. Auch ich kenne den Schädling, allerdings habe ich bislang nicht alle Varianten des BKA Trojaners in der freien Wildbahn entfernen müssen. Wie kommt der BKA Trojaner überhaupt auf den Rechner? Tja, das wüsste ich auch gerne – Fakt ist anscheinend, dass die Brain.exe eben nicht immer hilft. Aus mir unerfindlichen Gründen hatte mein Bekannter keinen Antivirus auf seinem PC, obwohl ich ihm mal im letzten Jahr etwas installiert habe.
Nicht einmal die Security Essentials von Microsoft waren drauf oder so. Normalerweise hätte ich gehen müssen und ein lapidares „Selbst schuld!“ ablassen müssen. Mache ich natürlich nicht. Da stand ich also vor dem Rechner, der die BKA Meldung brachte und sich nicht dazu überreden lassen wollte, den Task Manager zu starten. Strg+Alt+Entf wurde nämlich laut Windows-Meldung vom Administrator deaktiviert.
OK, das alte Verfahren – ich war noch guter Dinge, dass es sich um eine einfache Variante des BKA Trojaners handle. Was macht man erst einmal? Richtig, abgesicherter Modus. Ergebnis? Gleiches Spiel, Fehlermeldung, kein Task Manager möglich. OK. Zweite Variante. Windows im abgesicherten Modus mit Eingabeaufforderung starten. In der guten, alten Eingabeaufforderung startet man dann ganz einfach msconfig – kennt ihr ja sicherlich.
Dort kloppt man pauschal erst einmal die Dinge raus, die suspekt sind. Dienste habe ich durchgeackert und die Systemstartprogramme. Solltet ihr betroffen sein: wuppt einfach raus, was euch komisch vorkommt. Beachtet ähnliche Schreibweisen von Microsoft oder sonstiger Software. Danach einfach den Rechner wieder neu starten und Daumen drücken.
Und, hatte ich Erfolg? Leider nein, gleiches Spiel. Rechner fährt hoch, weiße Seite mit Info des illegalen Downloads, IP-Adresse und Zahlungsaufforderung. Rage!
Das sind dann die Momente, in denen du den Leuten, die diese Software entwarfen (sitzen angeblich in der Ukraine) einfach mal die Hand geben möchtest. Mit einem Stuhl. Ins Gesicht.
Ich musste mal wieder tief in den Hirnwindungen und im meinem Blog wühlen. 2008 war es, da empfahl ich mal ein paar Boot CDs gegen solchen Müll. Gibt ja einige von ihnen, die kompetenteste ist meiner Meinung nach die auf Linux basierende Kaspersky Rescue Disc. Kostet tatsächlich kein Geld und war in meinem, beziehungsweise im Falle des Bekannten, die Lösung.
Weil es mir half, beschreibe ich mal kurz die Vorgehensweise, vielleicht ist einer der Leser mal von der identischen Art des BKA Trijaners befallen und möchte säubern. Wenn man weiss, womit man es zu tun hat, geht es eigentlich ratz fatz. Wir erinnern uns: kein Task Manager, kein Desktop und so möglich – man wird in der Registry fummeln müssen. Aber sooo schwer sind die Einträge nicht zu finden. Aber mal von vorne.
Kaspersky Rescue Disc herunterladen. Aktuell ist Version 1o aktuell. Das Schöne: lässt sich via USB-Stick oder CD nutzen. Logo, muss bootfähig sein. Für die USB-Stick-Freaks: Kaspersky bietet gleich ein Tool an, mit dem ihr die Kaspersky Notfall CD auf einen USB-Stick zimmern könnt, von dem ihr einfach booten müsst. Ansonsten ISO brennen mit dem Free ISO Burner oder eines der anderen Programme, die ich mal empfahl.
Rescue2USB heißt der Spaß und die Nutzung ist easy. Ausführen, Pfad zur Kaspersky Rescue CD-Iso angeben und zum USB-Stick – fertig.
Und dann bootet man einfach.
Sprache auswählen:
Grafikmodus auswählen:
Wichtig ist erst einmal: wenn die CD gebootet hat,bietet sie ein Update an. Machen! Sollte sie am Anfang sagen, dass das Betriebssystem vorab nicht richtig heruntergefahren wurde, so ignoriert dies ruhig – ruhig auf Fortsetzen klicken!
Kaspersky Rescue mountet dann automatisch die Laufwerke – auf denen sitzt bekanntlich der BKA Trojaner und wartet auf seine Vernichtung. Ans Update denken!
So, das waren die ersten Schritte. Scannen brauchen wir erst einmal nicht zwingend, wir müssen erst in der Registry von Windows fummeln, denn der BKA Trojaner hat bekanntlich Task Manager, Desktop und Co ausgehebelt und gesperrt. Wir führen also einen Doppelklick auf den Kaspersky Registry Editor aus. Hier wählt man dann sein Betriebssystem aus und findet unter „Bearbeiten“ den Punkt Suchen.
Sucht alle Schlüssel die DisableTaskMgr heißen und löscht diese! Dann seid ihr schon einmal die Fehlermeldung „Der Task-Manager wurde durch den Administrator deaktiviert“ los. Danach? Sucht alle Schlüssel die NoDesktop heißen und löscht diese! Das sind die Windows-Dinger, mit denen man die Leute seit XP-Zeiten geärgert hat 😉
Alle Einträge zu DisableTaskMgr und No Desktop gelöscht? Sehr gut – halbe Miete. Zum Abschluss klickt man noch auf das Icon „Kaspersky Rescue Disk“ und startet die Untersuchung von Objekten. Ich habe nur die Laufwerksbootsektoren und die Autostartobjekte durchsuchen lassen. Ich wurde prompt fündig und ihr werdet dies sicherlich auch. Sollte die Kaspersky Rescue Disc etwas finden: löscht es.
Und danach? Kaum zu glauben, aber wahr: der Rechner des Bekannten fuhr wieder ganz normal hoch und der BKA / GVU Trojaner war verschwunden, beziehungsweise nicht mehr aktiv.
Nun zu dem Punkt, den ich euch selber überlasse: ich persönlich war bisher wissentlich noch nie von einem Schädling betroffen, doch meine Vorgehensweise wäre trotzdem: die wichtigsten Daten sichern (ein regelmäßiges Backup hat man eh, bzw. sollte es) und das komplette System inklusive aktueller Antivirus-Software neu aufspielen. Seid ihr zu faul dazu, dann seht wenigstens zu, dass ihr einen aktuellen Antivirus-Schutz installiert und eure komplette Kiste mal durchforsten lasst. Besser ist das.
So, das war also mein Sonntag Vormittag. Den durfte ich mit dem BKA / GVU Trojaner und einem Windows PC verbringen. Und danach habe ich einfach mal diesen Beitrag geschrieben, was auch seine Zeit kostete kostete. Ich glaube, zur Belohnung werfe ich mal nachher den Grill an, euch einen schönen Rest-Sonntag!
Auch sehr zu empfehlen als alternative zu Kasperskys CD ist desinfec’t von heise (ist regelmäßig bei der c’t dabei).
Diese führt als Boot CD Kaspersky, BitDefender, Avira und einen anderen Virenscanner mit sich.
Tja, in den letzten 5 Wochen ist das eine Hauptbeschäftigung. Die Dinger gehen sogar an den Virenscannern vorbei…4 von 5 Rechnern hatten aktuelle Virenscanner…max. 2 Tage alte Definitionen. 1 Rechner hat sogar anschließend die Dateien im User- Verzeichnis verschlüsselt….
Also alles gaaanz normal bei Dir…. 😉
Danke 🙂
Danke für die Anleitung! Wird wohl bald auch in den Top 10 der Woche zu finden sein…
Schönen Sonntag noch!
😀 lesenswert wie immer. Hatte ich vor einigen Monaten mal selber eingefangen an einem Rechner der nicht meiner war – dort wurde es dann auch richtig ärgerlich und schnellstens von einem PC Spezi behoben. Für knackige 300 Flocken, gut, dass es nicht mein Rechner war.
Ich hatte noch nie einen Virus.
Das wichtigste um nie einen Virus zu bekommen ist nicht der Antiviren Schutz sonder das alle Programme aktuelle sind.
Also immer alle Updates machen. (Browser, Betriebssystem, Java, Flash, PDF Reader).
Und das Java Plugin im Browser unbedingt Deaktivieren. Den der hat in der aktuellen Version bereits wieder eine Sicherheitslücke.
Wenn ich einen Virus hätte wäre mein Vorgene denkend einfach:
Daten mit einer Linux CD sichern, Formatieren, MBR überschreiben, Windows neu aufsetzen.
Grillen=Zigarette danach 😉
Wie man an sowas kommt?
Also ein bekannter meines Bruders hatte den auch mal, damals hatte sich ein Cousin mütterlicherseits des Nachbarn wohl auf „Tittenseiten“ rumgetrieben und zack war der Trojaner drauf. Also so wie ich hörte 😉
Neben den Backups ist auch immer hilfreich seine Daten auf einer 2. Partition zu haben. Meist ist ja nur C Platt.
Hatte damit auf Arbeit auch schon viel zu tun in letzter Zeit, kannst du ja noch froh sein das dein Bekannter nicht die Variante hatte die fast alles verschlüsselt, das hätte noch länger gedauert das wieder hinzukriegen.
Die Variante, die ich mir gefangen hatte, kommt über den Browser.
Da frag ich mich immer, wie ich trotz UAC Virenscanner usw. was in den autostart bekomme !
DU wirfst den Grill an. ICH würde das nach diesem Vormittag vermutlich für die Aufgabe anderer Personen bzw. einer anderen Person halten…
Wie der Mist auf den Rechner kommt?
a) Durch Drive-By-Downloads (infiziertes Werbebanner genügt), wenn Sytemkomponenten (Java, Flash, Adobe Reader etc.) nicht aktuell sind.
b) es häufen sich Hinweise, daß die im Moment massenhaft verschickten Spammails mit Auftragsbestätigungen o.ä. mit angehängter zip-Datei zum Teil auch dafür verantwortlich sein könnten
c) auch gern genommen: angeblicher Download eines Flashplayers, um ein Video auf einer gefälschten Facebook-Seite zu sehen
Habe den Trojaner auf 2 Rechnern von Freunden gekillt. Einmal reichte es im abgesicherten Modus die Zeit zurückzudrehen, einmal hat der Kaspersky windows unlocker geholfen, download und Infos hier: http://support.kaspersky.com/de/viruses/utility
Zum Glück waren keine Daten verschlüsselt.
Passend zum Thema: http://bka-trojaner.de/
Ich bin bis jetzt verschont geblieben. Falls es aber mal ernst wird weiß ich was zu tun ist. Danke!!!
wie man den bekommt wuerd mich auch interessieren. ich tippbauf gefakte adlinks. kunden waren auf wetter.com und andere seriösen seiten und hatten anschließend das teil. comboxfix hat dort jedes mal geholfen. virenscanner waren aktuell egal ob avira , sophos oder kaspersky kaufversion wurden ausgehebelt.
Zitat: „Das sind dann die Momente, in denen du den Leuten, die diese Software entwarfen (sitzen angeblich in der Ukraine) einfach mal die Hand geben möchtest. Mit einem Stuhl. Ins Gesicht.“
Sehr schön! 🙂
Am besten gefällt mir dieser Satz:
„…einfach mal die Hand geben möchtest. Mit einem Stuhl. Ins Gesicht.“
Ich mußte gut lachen, danke. Ich selber hatte dieses Problem auch schon mal. Wie Kain Aerger schrieb, durch einen Drive-by-Download. Es war nicht mein Rechner, daher waren JAVA und Javascript aktiv weswegen er gut heruntergeladen wurde. Was ich suchte weiß ich nicht mehr, aber in der google Suchmaschine eine Seite aufgerufen und schwupps war er da (was ich aber weiß, ich suchte keine Titten und keinen Crack, sondern etwas legales).
Wie ich ihn entfernte? Deutlich weniger umständlich als hier beschrieben: Aus Windows heraus die Systemwiederherstellung aufgerufen und auf letzten Systemwiederherstellungspunkt zurückgesetzt. Und schwupps ging es wieder. Danach AV alles desinfizieren lassen, es fand auch was, dummerweise blockte es nicht, als es ankam. Da lobe ich mir Avast, mein Heimrechner blockt Seiten mit verdächtigem Code direkt.
fein gemacht !!! sei stolz !!
Na, dann lass dir den Grill mal schmecken!
Ich würde den Rechner ebenfalls platt machen, nachdem ein Virus da drauf war. Sicher ist sicher. Und da dein Bekannter offenbar von PCs nicht allzu viel versteht (ist nicht böse gemeint), weiß man auch nicht, was da noch so drauf ist.