Lösung: BKA Trojaner, Task Manager gesperrt und der Rechner fährt nicht richtig hoch

Kerlokiste – ich muss es einfach schreiben: Leck mich fett, war das ein nerviger Vormittag.Samstag Abend, man geht spät ins Bett – man kann ja am Sonntag auspennen. Denkste. Denn das Telefon schellte mich schön aus dem Schlaf-Nirvana. Ein am PC etwas unbedarfter Bekannter klagte mir sein Leid.

„Sein Sohn“ wäre am PC gewesen, hätte irgend etwas gemacht und der Rechner würde nun nicht richtig hochfahren. Stattdessen käme die Meldung, dass man beim Download von illegalen Sachen erwischt worden wäre und man seinen Rechner jetzt gegen Gebühr wieder entsperren können. Ach ja, der gute, alte und vor allem nervige BKA Trojaner (auch unter GVU Trojaner zu finden), den es in zig verschiedenen Variationen gibt.

Ein nerviges Ding, welches schon Tausende befallen hat. Auch ich kenne den Schädling, allerdings habe ich bislang nicht alle Varianten des BKA Trojaners in der freien Wildbahn entfernen müssen. Wie kommt der BKA Trojaner überhaupt auf den Rechner? Tja, das wüsste ich auch gerne – Fakt ist anscheinend, dass die Brain.exe eben nicht immer hilft. Aus mir unerfindlichen Gründen hatte mein Bekannter keinen Antivirus auf seinem PC, obwohl ich ihm mal im letzten Jahr etwas installiert habe.

Nicht einmal die Security Essentials von Microsoft waren drauf oder so. Normalerweise hätte ich gehen müssen und ein lapidares „Selbst schuld!“ ablassen müssen. Mache ich natürlich nicht. Da stand ich also vor dem Rechner, der die BKA Meldung brachte und sich nicht dazu überreden lassen wollte, den Task Manager zu starten. Strg+Alt+Entf wurde nämlich laut Windows-Meldung vom Administrator deaktiviert.

OK, das alte Verfahren – ich war noch guter Dinge, dass es sich um eine einfache Variante des BKA Trojaners handle. Was macht man erst einmal? Richtig, abgesicherter Modus. Ergebnis? Gleiches Spiel, Fehlermeldung, kein Task Manager möglich. OK. Zweite Variante. Windows im abgesicherten Modus mit Eingabeaufforderung starten. In der guten, alten Eingabeaufforderung startet man dann ganz einfach msconfig – kennt ihr ja sicherlich.

Dort kloppt man pauschal erst einmal die Dinge raus, die suspekt sind. Dienste habe ich durchgeackert und die Systemstartprogramme. Solltet ihr betroffen sein: wuppt einfach raus, was euch komisch vorkommt. Beachtet ähnliche Schreibweisen von Microsoft oder sonstiger Software. Danach einfach den Rechner wieder neu starten und Daumen drücken.

Und, hatte ich Erfolg? Leider nein, gleiches Spiel. Rechner fährt hoch, weiße Seite mit Info des illegalen Downloads, IP-Adresse und Zahlungsaufforderung. Rage!

Das sind dann die Momente, in denen du den Leuten, die diese Software entwarfen (sitzen angeblich in der Ukraine) einfach mal die Hand geben möchtest. Mit einem Stuhl. Ins Gesicht.

Ich musste mal wieder tief in den Hirnwindungen und im meinem Blog wühlen. 2008 war es, da empfahl ich mal ein paar Boot CDs gegen solchen Müll. Gibt ja einige von ihnen, die kompetenteste ist meiner Meinung nach die auf Linux basierende Kaspersky Rescue Disc. Kostet tatsächlich kein Geld und war in meinem, beziehungsweise im Falle des Bekannten, die Lösung.

Weil es mir half, beschreibe ich mal kurz die Vorgehensweise, vielleicht ist einer der Leser mal von der identischen Art des BKA Trijaners befallen und möchte säubern. Wenn man weiss, womit man es zu tun hat, geht es eigentlich ratz fatz. Wir erinnern uns: kein Task Manager, kein Desktop und so möglich – man wird in der Registry fummeln müssen. Aber sooo schwer sind die Einträge nicht zu finden. Aber mal von vorne.

Kaspersky Rescue Disc herunterladen. Aktuell ist Version 1o aktuell. Das Schöne: lässt sich via USB-Stick oder CD nutzen. Logo, muss bootfähig sein. Für die USB-Stick-Freaks: Kaspersky bietet gleich ein Tool an, mit dem ihr die Kaspersky Notfall CD auf einen USB-Stick zimmern könnt, von dem ihr einfach booten müsst. Ansonsten ISO brennen mit dem Free ISO Burner oder eines der anderen Programme, die ich mal empfahl.

Rescue2USB heißt der Spaß und die Nutzung ist easy. Ausführen, Pfad zur Kaspersky Rescue CD-Iso angeben und zum USB-Stick – fertig.

Und dann bootet man einfach.

Sprache auswählen:

Grafikmodus auswählen:

Wichtig ist erst einmal: wenn die CD gebootet hat,bietet sie ein Update an. Machen! Sollte sie am Anfang sagen, dass das Betriebssystem vorab nicht richtig heruntergefahren wurde, so ignoriert dies ruhig – ruhig auf Fortsetzen klicken!

Kaspersky Rescue mountet dann automatisch die Laufwerke – auf denen sitzt bekanntlich der BKA Trojaner und wartet auf seine Vernichtung. Ans Update denken!

So, das waren die ersten Schritte. Scannen brauchen wir erst einmal nicht zwingend, wir müssen erst in der Registry von Windows fummeln, denn der BKA Trojaner hat bekanntlich Task Manager, Desktop und Co ausgehebelt und gesperrt. Wir führen also einen Doppelklick auf den Kaspersky Registry Editor aus. Hier wählt man dann sein Betriebssystem aus und findet unter „Bearbeiten“ den Punkt Suchen.

Sucht alle Schlüssel die DisableTaskMgr heißen und löscht diese! Dann seid ihr schon einmal die Fehlermeldung „Der Task-Manager wurde durch den Administrator deaktiviert“ los. Danach? Sucht alle Schlüssel die NoDesktop heißen und löscht diese! Das sind die Windows-Dinger, mit denen man die Leute seit XP-Zeiten geärgert hat 😉

Alle Einträge zu DisableTaskMgr und No Desktop gelöscht? Sehr gut – halbe Miete. Zum Abschluss klickt man noch auf das Icon „Kaspersky Rescue Disk“ und startet die Untersuchung von Objekten. Ich habe nur die Laufwerksbootsektoren und die Autostartobjekte durchsuchen lassen. Ich wurde prompt fündig und ihr werdet dies sicherlich auch. Sollte die Kaspersky Rescue Disc etwas finden: löscht es.

Und danach? Kaum zu glauben, aber wahr: der Rechner des Bekannten fuhr wieder ganz normal hoch und der BKA / GVU Trojaner war verschwunden, beziehungsweise nicht mehr aktiv.

Nun zu dem Punkt, den ich euch selber überlasse: ich persönlich war bisher wissentlich noch nie von einem Schädling betroffen, doch meine Vorgehensweise wäre trotzdem: die wichtigsten Daten sichern (ein regelmäßiges Backup hat man eh, bzw. sollte es) und das komplette System inklusive aktueller Antivirus-Software neu aufspielen. Seid ihr zu faul dazu, dann seht wenigstens zu, dass ihr einen aktuellen Antivirus-Schutz installiert und eure komplette Kiste mal durchforsten lasst. Besser ist das.

So, das war also mein Sonntag Vormittag. Den durfte ich mit dem BKA / GVU Trojaner und einem Windows PC verbringen. Und danach habe ich einfach mal diesen Beitrag geschrieben, was auch seine Zeit kostete kostete. Ich glaube, zur Belohnung werfe ich mal nachher den Grill an, euch einen schönen Rest-Sonntag!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

99 Kommentare

  1. Auch sehr zu empfehlen als alternative zu Kasperskys CD ist desinfec’t von heise (ist regelmäßig bei der c’t dabei).
    Diese führt als Boot CD Kaspersky, BitDefender, Avira und einen anderen Virenscanner mit sich.

  2. Tja, in den letzten 5 Wochen ist das eine Hauptbeschäftigung. Die Dinger gehen sogar an den Virenscannern vorbei…4 von 5 Rechnern hatten aktuelle Virenscanner…max. 2 Tage alte Definitionen. 1 Rechner hat sogar anschließend die Dateien im User- Verzeichnis verschlüsselt….
    Also alles gaaanz normal bei Dir…. 😉

  3. Danke für die Anleitung! Wird wohl bald auch in den Top 10 der Woche zu finden sein…

    Schönen Sonntag noch!

  4. 😀 lesenswert wie immer. Hatte ich vor einigen Monaten mal selber eingefangen an einem Rechner der nicht meiner war – dort wurde es dann auch richtig ärgerlich und schnellstens von einem PC Spezi behoben. Für knackige 300 Flocken, gut, dass es nicht mein Rechner war.

  5. Ich hatte noch nie einen Virus.
    Das wichtigste um nie einen Virus zu bekommen ist nicht der Antiviren Schutz sonder das alle Programme aktuelle sind.
    Also immer alle Updates machen. (Browser, Betriebssystem, Java, Flash, PDF Reader).
    Und das Java Plugin im Browser unbedingt Deaktivieren. Den der hat in der aktuellen Version bereits wieder eine Sicherheitslücke.

    Wenn ich einen Virus hätte wäre mein Vorgene denkend einfach:
    Daten mit einer Linux CD sichern, Formatieren, MBR überschreiben, Windows neu aufsetzen.

  6. Grillen=Zigarette danach 😉

  7. Wie man an sowas kommt?

    Also ein bekannter meines Bruders hatte den auch mal, damals hatte sich ein Cousin mütterlicherseits des Nachbarn wohl auf „Tittenseiten“ rumgetrieben und zack war der Trojaner drauf. Also so wie ich hörte 😉

    Neben den Backups ist auch immer hilfreich seine Daten auf einer 2. Partition zu haben. Meist ist ja nur C Platt.

  8. Hatte damit auf Arbeit auch schon viel zu tun in letzter Zeit, kannst du ja noch froh sein das dein Bekannter nicht die Variante hatte die fast alles verschlüsselt, das hätte noch länger gedauert das wieder hinzukriegen.

  9. Die Variante, die ich mir gefangen hatte, kommt über den Browser.
    Da frag ich mich immer, wie ich trotz UAC Virenscanner usw. was in den autostart bekomme !

  10. DU wirfst den Grill an. ICH würde das nach diesem Vormittag vermutlich für die Aufgabe anderer Personen bzw. einer anderen Person halten…

  11. Kain Aerger says:

    Wie der Mist auf den Rechner kommt?
    a) Durch Drive-By-Downloads (infiziertes Werbebanner genügt), wenn Sytemkomponenten (Java, Flash, Adobe Reader etc.) nicht aktuell sind.
    b) es häufen sich Hinweise, daß die im Moment massenhaft verschickten Spammails mit Auftragsbestätigungen o.ä. mit angehängter zip-Datei zum Teil auch dafür verantwortlich sein könnten
    c) auch gern genommen: angeblicher Download eines Flashplayers, um ein Video auf einer gefälschten Facebook-Seite zu sehen

  12. schmoeding says:

    Habe den Trojaner auf 2 Rechnern von Freunden gekillt. Einmal reichte es im abgesicherten Modus die Zeit zurückzudrehen, einmal hat der Kaspersky windows unlocker geholfen, download und Infos hier: http://support.kaspersky.com/de/viruses/utility
    Zum Glück waren keine Daten verschlüsselt.

  13. Ich bin bis jetzt verschont geblieben. Falls es aber mal ernst wird weiß ich was zu tun ist. Danke!!!

  14. stefan t. says:

    wie man den bekommt wuerd mich auch interessieren. ich tippbauf gefakte adlinks. kunden waren auf wetter.com und andere seriösen seiten und hatten anschließend das teil. comboxfix hat dort jedes mal geholfen. virenscanner waren aktuell egal ob avira , sophos oder kaspersky kaufversion wurden ausgehebelt.

  15. Zitat: „Das sind dann die Momente, in denen du den Leuten, die diese Software entwarfen (sitzen angeblich in der Ukraine) einfach mal die Hand geben möchtest. Mit einem Stuhl. Ins Gesicht.“

    Sehr schön! 🙂

  16. Am besten gefällt mir dieser Satz:

    „…einfach mal die Hand geben möchtest. Mit einem Stuhl. Ins Gesicht.“

    Ich mußte gut lachen, danke. Ich selber hatte dieses Problem auch schon mal. Wie Kain Aerger schrieb, durch einen Drive-by-Download. Es war nicht mein Rechner, daher waren JAVA und Javascript aktiv weswegen er gut heruntergeladen wurde. Was ich suchte weiß ich nicht mehr, aber in der google Suchmaschine eine Seite aufgerufen und schwupps war er da (was ich aber weiß, ich suchte keine Titten und keinen Crack, sondern etwas legales).
    Wie ich ihn entfernte? Deutlich weniger umständlich als hier beschrieben: Aus Windows heraus die Systemwiederherstellung aufgerufen und auf letzten Systemwiederherstellungspunkt zurückgesetzt. Und schwupps ging es wieder. Danach AV alles desinfizieren lassen, es fand auch was, dummerweise blockte es nicht, als es ankam. Da lobe ich mir Avast, mein Heimrechner blockt Seiten mit verdächtigem Code direkt.

  17. fein gemacht !!! sei stolz !!

  18. Na, dann lass dir den Grill mal schmecken!
    Ich würde den Rechner ebenfalls platt machen, nachdem ein Virus da drauf war. Sicher ist sicher. Und da dein Bekannter offenbar von PCs nicht allzu viel versteht (ist nicht böse gemeint), weiß man auch nicht, was da noch so drauf ist.

  19. Nach Trojanerbefall hilft nur Platte plattmachen. Virus deaktivieren ist eher so naja…

    Da lernt der Betroffene auch gleich das mit dem Hirn.

  20. Hi Caschy, dank solcher „Supportanrufe“ habe ich mittlerweile eine ansehnliche Sammlung diverser (Antiviren)BootCDs hier rumliegen. Kommt sowas, müh ich mich gar nicht mehr ab. BootCD rein und dann eine nach der anderen durchrödeln bis Windows nicht mehr zickt. Dann, je nach Anrufer, noch das Nach-Virus-RundumSorglos-Paket mit Patchen, SecurityEssentials usw.

    Aber der Spruch mit der Hand am Stuhl ist gut *g*

  21. Ich hatte unlängst mit einer Variante zu tun die Avira und Kaspersky abgeschaltet hat. Da war schon reichlich anderer Kram drauf, wahrscheinlich alles nach dem ersten Befall nachgeladen.
    Der BKA Trojaner war auf keinen Fall der erste Schädling auf der Kiste, da war vorher schon was.

  22. FriedeFreudeEierkuchen says:

    Ich dränge alle Leute immer Secunia PSI zu benutzen und regelmäßig Updates aller Plugins zu machen. Wenn möglich Java Web-Plugin weg und alle unnötigen Multi-Media Dinge runter.
    Und dann regelmäßig checken und updaten. Wenn man sich allerdings den Thread auf reddit.com durchliest in dem ein deutscher Botnet-Betreiber Rede und Antwort steht, zweifelt man langsam daran, dass man mit Virenschutz und Brain 3.0 alleine immer geschützt bleiben wird. Ich verkneif mir jedenfalls inzwischen hochnäsige „könnte mir nie passieren“ Sprüche…

  23. Prinz Waldemar says:

    Falls ich es nicht überlesen habe, fehlt in den Kommentaren noch die obligatorische „Also mit Apple-OS gäbe es so ein Problem nicht“-Aussage. Bitte noch unbedingt nachreichen!

  24. Sollte mein System jemals befallen sein, wird bei mir nix repariert. Da kommt ein nagelneues System drauf. Daten sind ja regelmäßig gesichert Ein Auto, was von Gaffa-Tape zusammengehalten wird, ist eben auch kein echtes Auto mehr.

  25. mit einem verschlüsselungs-trojaner, der derzeit die runde macht und ähnlich agiert wie der hier oben, wird’s noch knackiger. kostprobe?

    zusätzlich zum rechner sperren verschlüsselt er die benutzerdateien auf dem rechner und haut vor jede datei ein „locked.dateiname.dateityp.xxxx“. mit der unverschlüsselten originaldatei (etwa vom backup) und einem entschlüsselungsprogramm (etwa avira ransom file unlocker) kann man die daten wieder zugänglich machen.

    jetzt neu und super en vogue: eine variante, die alle dateien verschlüsselt a la „KadsPUnsAFoV“ (ohne dateiendung). in der letzten woche gleich zweimal gesehen. lösung? wenn vista oder windows 7 betroffen sind und schattenkopien aktiviert, shadowexplorer verwenden und hoffen, dass ältere systemstände abrufbar sind. dann kann man die dateien ordner für ordner zurückspielen. komplette systemwiedeherstellung hat bei meinen problemfällen nicht funktioniert. wer windows xp verwendet, hat (derzeit noch) pech, da keine schattenkopien… finale hilfe steht also noch aus. so übe dich in demut, caschy, dass du nur mit „oldschool-trojan“ ringen musstet. 🙂

  26. Zwei Kleinigkeiten fehlen nach meiner Erfahrung mit Virenputzdienst noch:
    1. Systemwiederherstellung vor der Putzaktion deaktivieren, hat sich der Schädling nämlich schon dort eingenistet, wird er von Windows nach erfolgreicher Reinigung munter wiederhergestellt
    2. aktuelle Sicherheitspatches von Microsoft sind hier das A und O, meist nutzen diese Parasiten bekannte Sicherheitslücken, die schon längst gepatcht wurden (weit verbreitet ist die Meinung, diese machen das System „langsam“ und wären unnütz)

    Und ein Virenscanner ist eben nur ein Scanner, der schützt nun mal nicht vor der Infektion. Schlimm wird das in einem Netzwerk, so kann sich ein vermeintlich „geschütztes“ System infizieren, den Virus auf ein wohlmöglich ungeschütztes System verteilen, und dann springt der Scanner an und meldet die erfolgreiche Beseitigung des Infekts.

  27. schmoeding says:

    Sorry werter Prinz Waldemar aber: Mit Linux wär das nicht passiert 😉

  28. Jepp,

    zum Angriffsvektor kann ich bestätigen der BKA-Trojaner gibt es als Drive-By Variante über Ads. Also man surft auf seriösen Seiten und kommt als Werbung eine manipulierte Werbung, die im Hintergrund den Trojaner herunterlädt und sich im Rechner einnistet. Bei mir hat hat sich der das automatisch aktualisierte Antiviren-Programm Mucks-Mäuschen-Still gegeben.

    300 Euro für die Desinfektion zu berappen, holla die Waldfee, ich sollte das als Nebenjob anbieten, ein paar Minuten rumspielen, Virus aus der Registry werfen, AV-Software aktualisieren und ein kompletten Scan anwerfen: LEICHT VERDIENTES GELD! 😉

  29. Du kannst grillen? Glückspilz! Ich müßte jetzt zum Grill schwimmen…

    Zum Thema: mögen die Autoern dieser (und jeder anderer) Schadsoftware von jeweils 1000 Sackratten heimgesucht werden, bei gleichzeitiger Lähmung beider Arme.

    Habe auch einen ganzen Sack voll diverser CDs, habe sie aber schon eine Weile nicht mehr benötigt.

    Öfters benötigt habe ich allerdings die Clonezilla-CD, aber aus anderen Gründen.

  30. Deja-vu…
    Habe in den letzten Tagen etliche Rechner damit zu Gesicht bekommen, auf durch die unterschiedlichsten Scanner geschützten Rechner. Da scheint wohl grad ne mutierte Variante unterwegs zu sein, denn selbst auf virustotal.com wurde eine verseuchte Datei von gerade mal drei Scannern als gefährlich erkannt.

    Kann mich deinem Hinweis aber nur anschliessen, insbesondere im beruflichen Umfeld: Daten sichern, Kiste platt machen und sauber neu installieren. Und die Daten vor dem Wiederherstellen nochmal gründlich scannen/desinfizieren.

  31. Jup, kenn ich. Hatte ein Kollege von mir auch drauf, aber den einfachen, wo man im abgesicherten Modus starten muss. Hab mich kurz im Netz schlau gemacht und die entsprechenden Einträge korrigiert und ich sag ihm noch „Sicher alle wichtige Daten und mach den neu“… und natürlich hat ers nicht gemacht und hat sich ihn nochmal eingefangen…und diesmal glaube ich auch die Variante von deinem Bekannten, Caschy. Mal sehen wann er damit wieder ankommt und ich ihm helfen soll…

  32. Eine weitere Möglichkeit (zuletzt erlebt):
    regedit, msconfig und taskmgr lassen sich nicht aufrufen, stattdessen erscheint: „C:\Windows\regedit.exe konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig eingegeben haben und wiederholen Sie den Vorgang.“

    Lösung (per Live-CD):
    Unter „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options“ jeweils für regedit.exe, msconfig.exe und taskmgr.exe den Schlüssel „Debugger“ löschen.

  33. Northlander says:

    Tja, der Virus hat sich sogar bis nach Schweden verbeitet, oder war es nicht der BKA-Virus? Jedenfalls erhielt mein Nachbar dort eine „Rechnung“, und nach dem Öffnen war der Rootkit auf der Festplatte.
    Mit Kaperskys RescueDisk konnte ich das System wieder in Gang bekommen, doch alle persönlichen files waren kryptiert, und zwar in einer neueren Version, die keinen Schluss auf den ursprünglichen Dateinamen zuliess und die Benutzung des o.g. Avira-Tools ermöglichte. Zudem hatte der freundliche Nachbar niemals seine Dateien gesichert.

    Glück im Unglück: der Nachbar benutzte den befallenen Rechner nur zum Surfen. Und nur wenige files waren deshalb „futsch“. Er hat deshalb den Rechner dann komplett neuinstalliert.

  34. @ Prinz Waldemar: Also ich nutz Linux. Ich kenn so ein Problem nicht. 111.
    Recht so? 🙂

  35. Neben Kaspersky hatte ich auch noch mit der „Avira AntiVir Rescue CD“ Erfolg. Aber besser ist natürlich neu installieren, sicher ist sicher.
    Bis heute ist es mir ein Rätsel, wo und wie man sich so ein Ding einfängt. Den Anwender braucht man ja nicht zu fragen, der hat ja sowieso nie etwas gemacht.

  36. Tja der gute alte BKA-Trojaner welcher zur Gruppe der UKash gehört.
    den musste ich in den letzten Wochen und Monaten auch schon mehrmals entfernen und die Methode von Caschy ist genau richtig. Aber Vorsicht, ich musste letzte Woche mit einer ganz neuen Variante kämpfen und habe leider verloren.

    Die neue Variante verschlüsselt dabei alle Office, Outlook, PDF und Bilddateien Eures Rechners und angeschlossener Netzlaufwerke und das innerhalb von Minuten. Wie er das schafft ist ganz einfach, es wird nicht die gesamte Datei mit einem 256Bit AES verschlüsselt, sondern nur die ersten zehn Byte und zusätzlich wird der Dateiname und die Endung noch mit irgendwelchen Zeichen verhunzt, also keine Chance die Datei als solches wieder herzustellen.

    Zum Glück war kein Netzlaufwerk betroffen und die betreffende Person hatte zwei Tage zuvor einen Wiederherstellungspunkt erstellt, somit konnte ich mittels VSS alles wieder auf den Zeitpunkt von vor zwei Tagen zurücksetzen. Allerdings sind alle in Daten zwischen diesen beiden Tagen kaputt. Sollte der Wiederherstellungspunkt zu lange in der Vergangenheit liegen, dann sieht es schlecht aus. Also nehmt Euch die Warnung und die Aufforderung von Caschy zu Herzen und sichert Eure Daten. Entweder mit einem professionellen Programm wie Acronis, mit der Windows eigenen Sicherungsmethode oder einfach eine externe HDD und Copy.

    Übrigens, bei meinem Fall hätte die gute alte Brain.exe wesentlich weitergeholfen, denn man öffnet keine Lieferung.zip wenn man den Absender nicht kennt und schon gleich dreimal startet man die darin enthaltene Lieferung.exe nicht!!!

    Noch was zu den neuen Viren. die ändern die Signaturen mittlerweile fast täglich, was bedeutet, das die AV-Hersteller gewaltig ins hintertreffen kommen, weil sie nicht so schnell reagieren können und so viel ist sicher, einer ist immer der erste.

    Also frohes BRAINEN.

  37. Bei mir half nur noch ein Linux-System zu installieren, um überhaupt noch weiter zukommen. Das Rescue-System war erst anschießend möglich. Ja und seitdem bin nur noch mit Ubuntu im Web unterwegs bzw. nur wenn ich auf Windows arbeiten muss.
    Meine persönliche Empfehlung!

  38. Habe vor zwei Wochen den PC meines Vater davon befreit. Er hatte zum Glück mehrere Benutzerkonten drauf, also konnte ich den Lock-Screen umgehen und brauchte nur die Systemwiederherstellung zu starten. Nervig war es aber trotzdem. Virenscanner versagen bei den BKA-Trojanern total, was mir ein Rätsel ist.

  39. Prinz Waldemar says:

    schmoeding und bud:
    Tja, der Verweis auf Linux ist besser als nichts, aber nur der dezidierte Hinweis auf den Fallobst-Konzern würde das Ganze hier so richtig komplett machen. Vielleicht kommt ja noch was…

  40. Northlander says:

    Die Frage, wie man sich so einen Rootkit einfangen kann, lässt sich im Falle meines >Nachbarn dahingehend beantworten, daß er auf ein selt benutztes email-konto bei Yahoo eine entsprechende email bekam, die den Rootkit als „Rechnung“ im Anhang enthielt.

    Man braucht also gar nicht auf sogenannte oder auch tatsächlch verdächtige Webseiten zu surfen.

    Wenige Tage nach der Rechner-Wiederherstellung erhielt mein Nachbar die nächste verseuchte email. Diesmal hatte er hinzuzgelernt und die Mail eines unbekannten Absenders gar nicht erst geöffnet.

  41. Ich bin bis heute von diesem Mist verschont geblieben, hab das Problem aber auch schon mehrere Male bei Freunden und Bekannten lösen müssen. Alle hatten eins gemeinsam: Eine Antiviren-Software war nicht vorhanden, geschweige denn ein Backup. Dabei rede ich mir den Mund fusselig was solche Dinge angeht. Aber wer sagt schon in dem Fall „Selbst schuld, such dir einen anderen Idioten, der dir die Kiste reinigt“ ? Ich kanns jedenfalls nicht!

  42. Antivirus hilft auch nicht immer.
    Ich hatte jetzt schon zweimal Bekanntschaft mit einem dieser Mistdinger gemacht – auf einem meiner PCs und bei einem Bekannten. Aktuelles Avast auf dem einen, tagesaktuelles Avira auf dem anderen – und trotzdem dieser BK-Mist da drauf, keine Ahnung wie. Die Dinger werden offenbar täglich verändert, nutzen immer wieder andere Sicherheitslücken in Javascript, Adobe-Reader u.ä. aus; ein Klick auf ein Google-Suchergebnis kann da schon reichen….

  43. Dangerzone says:

    Damit habe ich in 5 Minuten bei einem Bekannten den BKA-Trojaner entfernt:

    http://freeofvirus.blogspot.de/2009/05/remove-fake-antivirus-10.html

    Rechner funzte danach wieder ohne Probleme. Natürlich sollte man danach die wichtigen Daten in Sicherheit bringen und das System neu installieren.

    Hat noch keiner hier gepostet. 😉

  44. Lass es Dir schmecken! Dein Sonntag war vielleicht Mist, dafür rettest Du sicher andere zukünftige Sonntage. Artikel ist schon in den Bookmarks.

  45. Bei botfrei.de findet man eigentlich alles, was man zu diesem Thema wissen muss.

  46. Hi, mache das leider auch schon seit Wochen…

    Am besten funktioniert:

    1. Kaspersky Rescue CD – booten
    2. Kaspersky Rescue CD – Virendefinitionen aktualisieren
    3. Kaspersky Rescue CD – kompletter Virenscan
    4. auf dem wieder startenden System „Super Antispyware“ installieren
    5. mit „Super Antispyware“ Scannen und fixen lassen

    zu 5. -> das repariert automatisch alle verbogenen Registry-Einträge

  47. Noch simpler mit dem Kaspersky WindowsUnlocker: http://support.kaspersky.com/de/viruses/solutions?qid=208641247

  48. @n-less:

    Geht schneller, aber scannt nicht gleich noch mit auf weitere Viren:

    „Kaspersky WindowsUnlocker führt keine Datei-Operationen (Desinfektionen von Dateien etc.) aus. Diese können Sie von Kaspersky Notfall-CD ausführen lassen.“

    Und bei meinem letzten PC war der BKA-Trojaner noch der harmloseste Fund auf dem PC…

  49. ich sag nur: Shadow Defender (http://www.shadowdefender.com/) nutzen, ein neustart und jeder schädling ist weg mit einem lachen, nutze ich schon gefühlte 20 jahre, es gibt keine bessere methode/schutz.
    alternativ zum surfen nutze ich virtuelle maschinen, wenn ich „böse“ seiten besuche, denn von dort kommt die infektion (ich kenne ca. 20 varianten…), dann einfach zurücksetzen, oder mit einer frischen kopie neu starten.

  50. Hi,

    mal so ’ne Frage, als Linux-User: Ich „muss“ jetzt auch öfter mal Windows nutzen, weil Lightroom und Photoshop nicht unter Linux läuft. Reichen unter Win7 HP die MS Security Essentials? Oder was sollte ich nutzen? Dass ich nicht auf jeden Link im Netz klicke, ist selbstverständlich für mich.
    Herzlichen Dank für Antworten und viele Grüße,

    Markus

  51. Es reicht auch der „Abgesicherte Modus mit Eingabeaufforderung“. Aus der Konsole heraus kann man ja alles machen…

  52. Hey Markus 🙂

    Ich selbst nutze Avast (http://www.avast.com/de-de/free-antivirus-download). Ist voll super und hatte seitdem auch nie wieder Probleme mit Viren.

  53. @NetzBlogR Wer sagt dir, dass in deinen Daten nicht das Übel sitzt? Datensicherung ist nicht gleich Datensicherung.

    Danke Carsten für diesen Bericht, der wird gespeichert, man weiß ja nie. Hatte erst so einen ähnlich hartnäckigen Fall von Befall. Nicht bei mir, Gott sei Dank. 🙂

  54. Die aktuellen Versionen ändern übrigens alle Registry-Einträge zu MSCONFIG, REGEDIT, usw. – damit lassen sich diese nicht mehr ausführen…

  55. _schachmatt_ says:

    was ist denn ein „Trijaner“? 😉

  56. Link gespeichert.

    Schick ich dann meinen „Ich-will-mich-nicht-von-Windows-bekehren-lassen“-Freunden zu, den ich wegen nun 6-jähriger Windows-Abstinenz nicht mehr helfen kann. Am Anfang war das nur eine Ausrede, jetzt aber stimmt es langsam.

    Und nach dem Lesen der Artikels weiss ich auch wieder, warum ich das gemacht habe.

  57. Hab da mal ein Problem…
    Meine Systemplatten sind alle mit Truecrypt verschlüsselt und keine dieser doofen Antiviren-CDs bietet die Möglichkeit, diese zuvor zu öffnen…

    Hat Jemand eine Idee?

  58. Lustig, dass Du sauer auf die Leute in der Ukraine bist. Richtiger waere wohl gewesen, Deinem „Bekannten“ die Hand zu geben. Mit einem Stuhl. Ins Gesicht.
    Windows an sich ist ja schon eine Katastrophe. Es aber auch noch ohne AntiViren-Programm zu benutzen ist wie nackt Motorrad fahren. Bei Glatteis. Freihaendig.

  59. Hallo caschy,

    gute Anleitung, Ich durfte solch ein Teil letztens ebenfalls von einem Rechner putzen, hab auch die Kaspersky CD verwendet.
    Und nein, Brain.exe hat der guten Frau auch nichts gebracht. Das Ding hat sich auf einem aktuellen Windows 7 an sämtlichen Schutzmaßnahmen vorbei trotzdem installiert, ein Klick auf ein Suchergebnis hat dazu genügt.

    Wäre ich nicht zufällig zu Besuch gewesen, dann hätte ich das der Frau nie geglaubt! So aber konnte ich einmal live miterleben, wie einfach sich ein Rechner mit solch einem Teil infizieren kann.

    Grüße aus TmoWizard’s Castle zu Augsburg

    Mike, TmoWizard

  60. Westbahnkurti says:

    Na, dann bin ich also laut dem Krisen-Heinzi schon seit Ewigkeiten freihändig und nackt mit dem Motorrad unterwegs ohne mir eine Erkältung einzufangen. Wird einmal im Halbjahr per Gesundheitscheck beim Arzt (nennt sich „Desinfec’t“) kontrolliert, noch nie auch nur das kleinste Unwohlsein gefunden.

    Muss an meinem gestählten Körper liegen, oder vielleicht daran, dass sich zwischen meinen Ohren (so hoffe ich) mehr befindet als ein Hohlraum.

  61. @schmoeding
    2nd -> mit Linux wäre das nicht passiert. 😉

    Ich durfte mittlerweile auch mehrere PCs von diesem netten Bekannten aus der Ukraine befreien.

    Lustigerweise half da am besten die CD von Kaspersky aus der russischen Nachbarschaft. 😉

    Allerdings nutze ich die Variante des Komplettscans, da doch immer einiges mehr gefunden wird.

    Schuld war immer ein veraltetes Java, eine andere Variante konnte ich bei bisher 5 PC nicht feststellen.

    Ich lasse im Anschluss dann immer noch eine 2te Antiviren-CD laufen, in der Regel Avira Rescue-CD.

    Dann starte ich den PC noch im abgesicherten Modus, reinige den PC zunächst mit portablen Reinigungstools wie CCleaner,Wise Registry/Disk Cleaner.

    Anschließend installiere ich Programme wie Spybot (portable), Malwarebytes oder EEK (portable), und lasse die mit aktuellen DBs nochmals drüberlaufen. Auch hier wird in aller Regel noch das ein oder andere gefunden.

    Dann nochmals Systemreinigung und Defragmentierung und gut ist.

    Systemwiederherstellung nutze ich eigentlich nie, da ich nichts davon halte, eher mache ich einen PC platt, nachdem ich die Daten per Linux-CD gesichert habe.

    Stichwort Linux-CD/Booten von USB:
    Mit YUMI* oder SARDU** lassen sich mehrere Boot-CDs auf einem Stick vereinen, natürlich auch diverse Antiviren-CDs.

    *http://www.pendrivelinux.com/yumi-multiboot-usb-creator/
    **http://www.sarducd.it/

    Schöne und hoffentlich virenfreie Arbeitswoche!

    Hylli 🙂

  62. D A N K E
    für diese gute Anleitung. Hab ich mir ausgedruckt. Wird irgendwann mal extrem nützlich sein.

  63. Einfach immer den Anleitungen von SemperVideo folgen. Dann geht das Ratzfatz.
    Das gute an diesen „Viren“ ist ja das sie keine weiteren Files kaputt machen oder löschen. Zumindest noch nicht bis jetzt.

  64. Ja, die Dinger sind echt übel. Es gibt zwischenzeitlich noch eine gemeinere Variante,die Dateien auf dem Rechner verschlüsselt. Es gab zwar von Kaspersky und Avira „Entschlüsselungstools“, die funktionieren allerdings bei der neueren Variante auch nicht mehr.

  65. hübsche anleitung.

    schade nur, dass die rescue disk nix mit gespiegelten festplatten anfangen kann. wenn die system partition also auf einem (software-) RAID 1 liegt, ist erst mal schluss mit lustig …

    bg

  66. Hier mal meine Vorgehensweise, Kaspersky oder eine andere Rettungs-CD bei der man die Signaturen updaten kann. Scanner durchlaufen lassen und alle Schädlinge entfernen. Dann zum letzten bekannten Systemwiederherstellungspunkt zurück und Viola. Danach sollte man nicht vergessen fehlende Windows-Updates einzuspielen, Flash und Java updaten. Das dürfte es dann sein, mir kamen diese Trojaner bis jetzt immer nur auf eher sträflich gewarteten Systemen unter. Wahrscheinlich kommt er zumindest bei XP remote über eine Sicherheitslücke rein.

  67. sempervide hat auch eine ganze reihe videos das zu gemacht, also wer irgendwie probleme hat kann auch da mal nachschauen

  68. Volkers Problem ist genau so ein Szenario, das mich von einer guten Voll-Verschlüsselung abhält. Würd mich auch interessieren, wie da jetzt ne Lösung ausschaut…

  69. Kann es helfen, wenn man z.B. ausschließlich über „Sandboxie“ surft?

    Dann werden die Daten doch nur in die virtuelle Umgebung geladen, und dürften nach einem Neustart keine Probleme mehr machen. Stimmt das so oder liege ich falsch?
    Wenn ich richtig liege, würde ich jeden Besitzer eines infizierten Rechners zusätzlich zu aktuellen Virenscannern auch so eine virtuelle Umgebung empfehlen. Alternativ könnte man dann auch Wondershare TimeFreeze 1.0 (kostenlos) oder TimeFreeze 2.0 (kostenpflichtig) nutzen, die hier im Blog auch schon vorgestellt wurden. Wusstet ihr, dass es noch ein „TimeFreeze“ von der Firma „Toolwiz“ gibt? Erfüllt laut Beschreibung auf der Herstellerseite den gleichen Zweck und ist ebenfalls kostenlos.

  70. Christian says:

    Danke für die geniale Beschreibung, Caschy.

    Hatte mittlerweile schon 3 solcher „Härtefälle“, allesamt BKA-Trojaner. Und einer hatte sogar bezahlt… Man soll es nicht glauben…
    Komischerweise hatten alle Betroffenen die Freeware-Edition von Avira auf dem PC.

    Hat hier jemand ähnliche Erfahrungen machen können?

    Was mich immer noch wundert, wieso sich der Virus trotz aktivierter Benutzerkontensteurung installieren kann.

    jedenfalls hatte ich die Brüder bisher immer dank der Kaspersky Rescue Disc entfernen können.

    Das mit dem Registiry-Editor wußte ich noch nict. (oder hast Du eine aktuellere CD als ich…)
    Seitdem bekommen die Leute von mir (nicht lachen, bitte!!!) die CoBi-Version von Kaspersky drauf. In der Hoffnung, dass diese etwas besser schützt.

    Ich selber fahre mit dem gelben Karton meines rosaroten Providers bisher recht gut.

    Der Kaspersky Unlocker ist doch Bestandteil der Kasper Rescue Disc… Oder irre ich da?

    @nogger:
    Hatte vor laaaaanger Zeit mal was gelesen, dass in einem ähnlichen Fall im Netz ein Masterpasswort exisitierte. Sowas ist echt der Supergau…

  71. geht auch mit dem Kaspersky WindowsUnlocker
    http://goo.gl/OJVfN (MITTIG)
    http://goo.gl/qr80V (OBEN)

  72. Hi,

    eine gute Variante ist auch die Nutzung der Systemwiederherstellung von Windows. Über die Eingabeaufforderung per „rstrui“ starten und ein paar Tage zurückgehen.

    Danach startet Windows normal und dann per Scanner säubern ;). Ich muss das öfter am Telefon machen und das ist einfacher als den unbedarften gegenüber einen USB-Stick oder CD erstellen zu lassen.

  73. Das kann einem echt einen kompletten Sonntag versauen, wo man denkt, man fährt mal schön zu Daddy, um Geburtstag zu feiern… Und dann hat er morgens im Büro eine „Rechnung.pdf.exe“ aus einer Mail aus Brasilien geöffnet – wider besseres Wissen! RAGE!!! Die Krönung: Dell-PC mit Stripe-Raid wird leider von der linux-basierten Desinfec’t nicht erkannt. Also Win7-DVD gebootet und dann vom Stick das Avira-Tool laufen gelassen. Wäre über Nacht durch gewesen, wenn der alte Herr es nicht noch abends manuell abgebrochen hätte … „es ging irgendwie nicht weiter“
    ICH HÄTTE IHN FAST ENTERBT!!! Naja – es war ja SEIN Geschäfts-Rechner, der noch einen Tag länger blockiert war…

  74. @weissertiger2: Schön für Dich. Nein ehrlich …

    Java ist die PEST was Viren angeht, und ob upgedated oder nicht, zig Fälle hat es gegeben, wo sich der Schädlich in den Java Cache Dateien befunden hat, ZIG FÄLLE! Obwohl ich es früher bei Kunden & Bekannten immer mit installiert und aktualisiert habe, tendiere ich jetzt zur kompletten Deinstallation – zu gefährlich.

    Ich habe mit der desinfec’t Start-DVD noch keine guten Erfahrungen gemacht, zu lange hat es gedauert, bis das System gestartet oder auch nur einer der Suchläufe beendet war, habe es immer vorzeitig abgebrochen.

    In meinem Fall bin ich bisher bei allen BKA-Trojanern und Abwandlungen so vorgegangen, dass ich die befallene Platte ausgebaut und in einem separaten Rechner wieder eingebaut habe. So hatte ich exklusiven Zugriff auf Dateien und Betriebssystem und konnte auch einzelne Registry-Zweige durchforsten. Inzwischen weiß ich, wo was zu suchen ist, und es gibt keine Probleme mehr mit deaktiviertem Desktop, Taskmanager oder der Registry.

  75. CptnCoffee says:

    Es gibt eine einfachere Lösung bei genau dieser Malware:
    Jeder User mit etwas Sachverstand hat sich selbstverständlich einen zweiten Account auf dem PC/NB angelegt. In den meisten mir bekannten Fällen bezieht sich dieser „BKA Trojaner“ nur auf das befallene Profil und dem zweiten Profil sollte die Anmeldung an Windows ohne weiteres gelingen.
    Hat der Login in den Zweit-Account von Windows funktioniert, schaut man mal bei folgendem Ordner vorbei:
    C:UsersProfilnameAppDataLocalTemp

    In diesem Ordner findet ihr eine Datei namens 0.21455727289.exe, welche übrigens auch in eurem Autostart unter msconfig liegt.
    (Der Name der Datei variiert immer, ist aber jedes mal der gleiche Aufbau -> 0..exe
    Löscht diese Datei und ihr könnt euch zumindest wieder mit dem befallenen Account einloggen und bereinigen.

    Ursprung des Schädlings waren in jedem, der 3 in unserer Firma vorgekommenen Fälle eine verseuchte Seite. Die Seiten konnten den Ursprung auf die Google-Ads zurückführen, die sie auf der Seite hinzugefügt hatten.
    Wir sperren seitdem Firmenintern alle Google-Ads und hatten nie wieder Probleme mit der besagten Malware.

  76. Hi!
    Gibt es denn jetzt einen echten Schutz gegen das Zeugs? War auch demletzt (indirekt) Opfer eines BKA Trojaners 🙁

    Gruß
    Mik

  77. Hatte hier auf der Arbeit trotz aktiven und aktuellem Virenschutz (McAfee Enterprise) in den vergangenen Wochen immer mal wieder damit zu tun – zuletzt auch mit der Variante, die Daten verschlüsselt.
    Ich frage mich auch, wie es der Schädling immer wieder schafft – und das bei Anwendern, denen ich ausnahmsweise sogar glaube nicht auf alles zu klicken, was blinkt oder auf „bösen seiten“ zu surfen – und wie gesagt, trotz automatischer OS Updates (allerdings noch XP) und aktuellem Virenschutz. Selbst hat es mich noch nicht erwischt – und meinen Dad, der sowas eigentlich Anzieht wie ein Magnet auch noch nicht.

  78. sach mal, verschickst Du grad Mails mit diesem Trojaner damit alle schönen Deinen Post klicken? 😉
    kurz vor Feierabend ruft mich nämlich grad noch ne Kollegin zu sich…. Ich hör nur Hilfe!!
    naja, hab ja jetzt Deine Lösung…

  79. @Tobias
    Ich sagte doch das ich Java Deaktiviert habe. Zumindest der Browser (und über den läuft hauptsächlich der Angriff) kann Java nicht erreichen.

    Gleiche ein Deinstallieren werde ich sicherlich nicht!

  80. GEILER TYP
    LEIDER GEIL

  81. Wollte mir zur Vorsicht auch so einen USB-Stick erstellen für mein Netbook mit Win7 (64bit). Ich habe Kaspersky Rescue Disc geladen und den iso-File mit Rescue2USB auf einen jungfräulichen, formatierten Stick geladen. Im BIOS ist eingestellt, daß zuerst von externen Medien gebootet werden soll. Steckt der Stick im Rechner und ich starte ihn kommt allerdings nur die Fehlermeldung „Error loading operating system“… Hat eventuell jemand eine Idee wo mein Fehler liegen könnte? Danke 🙂

  82. Andreas V. says:

    Ich habe in meinem Bekanntenkreis leider ein paar Pflegefälle, welche regelmäßig über Schädlinge klagen. Wenn ich mir die betroffenen Systeme dann anschaue sehe ich sehr oft das gleiche Bild. Virenschutzsoftware: Lizenz abgelaufen, auf dem Stand von 2009. Firewall deaktiviert (auch im Router!!!) um gewisse Dinge komfortabler und DAU-freundlicher nutzen zu können. Javascript selbstverständlich FÜR ALLE Seiten „aktiviert“, und das in verbindung mit Flash und Java, die wiederum BEIDE auf einem uralten Stand sind. Aber die ungewollten Toolbars sind selbstverständlich immer auf dem neusten stand. 😀 Mein Fazit: Mich wundert gar nix mehr!

    Wenn ich Anrufe erhalte und mir die betroffenen Systeme dann selbst anschaue, entdecke ich (ganz gleich ob virenverseucht oder nicht) meist vollgemüllte Rechner, welche Software enthalten, die in der jeweiligen Produktivumgebung nicht nötig oder sogar unerwünscht sind.

    Sicherlich kann auch bei größter Sorgfalt sich irgendwelcher Mist einnisten. Aber die Häufigkeit lässt sich mit einer aktuellen „brain.EXE“ sehr drastisch minimieren! 🙂

  83. das notebook meiner schwester hatte es auch erwischt. trotz (zumindest) microsoft security essentials, eingeschränktem benutzerkonto und voll gepatchtem win xp pro 32 bit. leider aber mit ie8 noch sowie nicht aktualisiertem java und flash.
    ich habe keine forensik betrieben wo es denn hergekommen sein könnte.
    in diesem fall ging es mit systemwiederherstellung. danach neuen punkt gesetzt und alle alten gelöscht.
    neu aufgesetzt habe ich das system nicht. ie8 habe ich mal entfernt, dafür firefox installiert. java und flash natürlich aktualisiert.
    scan mit diversen antivirenprogrammen waren danach ohne befund. auch antimalware, stinger und hijack-this fanden nichts.
    nicht zuletzt auch durch die hinweise hier im blog und der diskussion dazu liess es sich relativ leicht handlen. dafür danke und auch mal ein lob für den blog den ich gerne ansurfe und lese. auch wenn nicht alles für mich von interesse ist, so doch ein grosser teil.

  84. Vielen Dank!

    Eine Ergänzung – bei dem letzten Gerät, was ich hier hatte, war es die Snarcher.exe, die bei shell und userinit drin stand.
    Wie es oben steht muss shell=explorer.exe sein und
    userinit=userinit.exe – für letzteres habe ich einige Zeit des Suchens gebraucht, da kein Icon und keine Startleiste vorhanden waren.

  85. so nun habe cih das glück bei nem bekannten den gvu bsi paypal ukash trojarner druff zu haben! mal looken ob ich weg bekomme!

    thx schon mal im voraus für diese supi anleitung! hoffentlich klappt sie auch jetzt gleihc bei mir!

  86. Hi hab mir heute 17.08.2012 auch so ein Ar…loch Programm eingefangen.
    Zwar keine BKA sondern Microsoft Seite – Lizenz abgelaufen …BlaBla Rechner gesperrt bitte zahlen UKash (am Ar…).
    Viele meinen hier Software Updates würden das verhindern, sorry war bei mir nicht der Fall Rechner war up to Date und der Viren Scanner (Kasperky) hatte heut morgen noch sein Update gemacht.
    Und ratet mal auf welch üblen Seiten ich mich herum getrieben habe – war nur im Facebook unterwegs. Ich hab echt keinen Schimmer wo ich mir den eingefangen habe. Mit der Avira Rescue CD hat die Säuberung nicht geklappt. Ich habs irgendwie durch heftiges Strg-Alt-Entf + P + Enter und ganz vielen anderen Tasten hämmern geschafft das der Taskmanager offen bleibt. So konnte ich einen kompletten VirenScan mit Kaspersky machen und danach ‚SuperAntiSpyware Portable‘ der dann fündig wurde. Neubooten und läuft, nur noch den rechtsklick im Datei-Explorer reparieren (in Registry NoViewContextMenu zurück auf 0)

  87. @Taz: Mein Problem wäre eher das ich danach kein vertrauen in das Betriebssystem mehr hätte. Für mich klarer Fall von:
    Datenrettung per Linux Live CD, mbr überschreiben und anschliessend eine Neuinstallation.

  88. nach dem suchen nach einem lizenzfreien bild warst du meine rettung

  89. Unbedarfte Frage: Welches Vorgehen zum Entfernen einer Form des BKA Trojaners ist am sinnvollsten, wenn das Betriebssystem Windows 7 auf einem Apple läuft? Funktioniert das Booten über den USB Stick wie beschrieben auch in diesem Fall? Info: Direktes Hochfahren des Windows Betriebssystem, derzeit ohne Zugriff auf Apple Betriebssystem. Danke für Antworten im Voraus…;-)

  90. @costa: Neu aufsetzen ist das Normale vorgehen bei einem Trojaner.

  91. Kaspersky konnte mir leider nicht helfen 🙁 Für andere Betroffene: Diese Anleitung konnte mir helfen http://www.bundespolizei-virus.de/bka-trojaner/#trojaner-entfernen-manuell

    Bereits das Löschen der *.exe Datei sollte reichen. Viel Erfolg!

  92. VIELEN VIELEN DANK 🙂

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.