Lösung: BKA Trojaner, Task Manager gesperrt und der Rechner fährt nicht richtig hoch
Kerlokiste – ich muss es einfach schreiben: Leck mich fett, war das ein nerviger Vormittag.Samstag Abend, man geht spät ins Bett – man kann ja am Sonntag auspennen. Denkste. Denn das Telefon schellte mich schön aus dem Schlaf-Nirvana. Ein am PC etwas unbedarfter Bekannter klagte mir sein Leid.
„Sein Sohn“ wäre am PC gewesen, hätte irgend etwas gemacht und der Rechner würde nun nicht richtig hochfahren. Stattdessen käme die Meldung, dass man beim Download von illegalen Sachen erwischt worden wäre und man seinen Rechner jetzt gegen Gebühr wieder entsperren können. Ach ja, der gute, alte und vor allem nervige BKA Trojaner (auch unter GVU Trojaner zu finden), den es in zig verschiedenen Variationen gibt.
Ein nerviges Ding, welches schon Tausende befallen hat. Auch ich kenne den Schädling, allerdings habe ich bislang nicht alle Varianten des BKA Trojaners in der freien Wildbahn entfernen müssen. Wie kommt der BKA Trojaner überhaupt auf den Rechner? Tja, das wüsste ich auch gerne – Fakt ist anscheinend, dass die Brain.exe eben nicht immer hilft. Aus mir unerfindlichen Gründen hatte mein Bekannter keinen Antivirus auf seinem PC, obwohl ich ihm mal im letzten Jahr etwas installiert habe.
Nicht einmal die Security Essentials von Microsoft waren drauf oder so. Normalerweise hätte ich gehen müssen und ein lapidares „Selbst schuld!“ ablassen müssen. Mache ich natürlich nicht. Da stand ich also vor dem Rechner, der die BKA Meldung brachte und sich nicht dazu überreden lassen wollte, den Task Manager zu starten. Strg+Alt+Entf wurde nämlich laut Windows-Meldung vom Administrator deaktiviert.
OK, das alte Verfahren – ich war noch guter Dinge, dass es sich um eine einfache Variante des BKA Trojaners handle. Was macht man erst einmal? Richtig, abgesicherter Modus. Ergebnis? Gleiches Spiel, Fehlermeldung, kein Task Manager möglich. OK. Zweite Variante. Windows im abgesicherten Modus mit Eingabeaufforderung starten. In der guten, alten Eingabeaufforderung startet man dann ganz einfach msconfig – kennt ihr ja sicherlich.
Dort kloppt man pauschal erst einmal die Dinge raus, die suspekt sind. Dienste habe ich durchgeackert und die Systemstartprogramme. Solltet ihr betroffen sein: wuppt einfach raus, was euch komisch vorkommt. Beachtet ähnliche Schreibweisen von Microsoft oder sonstiger Software. Danach einfach den Rechner wieder neu starten und Daumen drücken.
Und, hatte ich Erfolg? Leider nein, gleiches Spiel. Rechner fährt hoch, weiße Seite mit Info des illegalen Downloads, IP-Adresse und Zahlungsaufforderung. Rage!
Das sind dann die Momente, in denen du den Leuten, die diese Software entwarfen (sitzen angeblich in der Ukraine) einfach mal die Hand geben möchtest. Mit einem Stuhl. Ins Gesicht.
Ich musste mal wieder tief in den Hirnwindungen und im meinem Blog wühlen. 2008 war es, da empfahl ich mal ein paar Boot CDs gegen solchen Müll. Gibt ja einige von ihnen, die kompetenteste ist meiner Meinung nach die auf Linux basierende Kaspersky Rescue Disc. Kostet tatsächlich kein Geld und war in meinem, beziehungsweise im Falle des Bekannten, die Lösung.
Weil es mir half, beschreibe ich mal kurz die Vorgehensweise, vielleicht ist einer der Leser mal von der identischen Art des BKA Trijaners befallen und möchte säubern. Wenn man weiss, womit man es zu tun hat, geht es eigentlich ratz fatz. Wir erinnern uns: kein Task Manager, kein Desktop und so möglich – man wird in der Registry fummeln müssen. Aber sooo schwer sind die Einträge nicht zu finden. Aber mal von vorne.
Kaspersky Rescue Disc herunterladen. Aktuell ist Version 1o aktuell. Das Schöne: lässt sich via USB-Stick oder CD nutzen. Logo, muss bootfähig sein. Für die USB-Stick-Freaks: Kaspersky bietet gleich ein Tool an, mit dem ihr die Kaspersky Notfall CD auf einen USB-Stick zimmern könnt, von dem ihr einfach booten müsst. Ansonsten ISO brennen mit dem Free ISO Burner oder eines der anderen Programme, die ich mal empfahl.
Rescue2USB heißt der Spaß und die Nutzung ist easy. Ausführen, Pfad zur Kaspersky Rescue CD-Iso angeben und zum USB-Stick – fertig.
Und dann bootet man einfach.
Sprache auswählen:
Grafikmodus auswählen:
Wichtig ist erst einmal: wenn die CD gebootet hat,bietet sie ein Update an. Machen! Sollte sie am Anfang sagen, dass das Betriebssystem vorab nicht richtig heruntergefahren wurde, so ignoriert dies ruhig – ruhig auf Fortsetzen klicken!
Kaspersky Rescue mountet dann automatisch die Laufwerke – auf denen sitzt bekanntlich der BKA Trojaner und wartet auf seine Vernichtung. Ans Update denken!
So, das waren die ersten Schritte. Scannen brauchen wir erst einmal nicht zwingend, wir müssen erst in der Registry von Windows fummeln, denn der BKA Trojaner hat bekanntlich Task Manager, Desktop und Co ausgehebelt und gesperrt. Wir führen also einen Doppelklick auf den Kaspersky Registry Editor aus. Hier wählt man dann sein Betriebssystem aus und findet unter „Bearbeiten“ den Punkt Suchen.
Sucht alle Schlüssel die DisableTaskMgr heißen und löscht diese! Dann seid ihr schon einmal die Fehlermeldung „Der Task-Manager wurde durch den Administrator deaktiviert“ los. Danach? Sucht alle Schlüssel die NoDesktop heißen und löscht diese! Das sind die Windows-Dinger, mit denen man die Leute seit XP-Zeiten geärgert hat 😉
Alle Einträge zu DisableTaskMgr und No Desktop gelöscht? Sehr gut – halbe Miete. Zum Abschluss klickt man noch auf das Icon „Kaspersky Rescue Disk“ und startet die Untersuchung von Objekten. Ich habe nur die Laufwerksbootsektoren und die Autostartobjekte durchsuchen lassen. Ich wurde prompt fündig und ihr werdet dies sicherlich auch. Sollte die Kaspersky Rescue Disc etwas finden: löscht es.
Und danach? Kaum zu glauben, aber wahr: der Rechner des Bekannten fuhr wieder ganz normal hoch und der BKA / GVU Trojaner war verschwunden, beziehungsweise nicht mehr aktiv.
Nun zu dem Punkt, den ich euch selber überlasse: ich persönlich war bisher wissentlich noch nie von einem Schädling betroffen, doch meine Vorgehensweise wäre trotzdem: die wichtigsten Daten sichern (ein regelmäßiges Backup hat man eh, bzw. sollte es) und das komplette System inklusive aktueller Antivirus-Software neu aufspielen. Seid ihr zu faul dazu, dann seht wenigstens zu, dass ihr einen aktuellen Antivirus-Schutz installiert und eure komplette Kiste mal durchforsten lasst. Besser ist das.
So, das war also mein Sonntag Vormittag. Den durfte ich mit dem BKA / GVU Trojaner und einem Windows PC verbringen. Und danach habe ich einfach mal diesen Beitrag geschrieben, was auch seine Zeit kostete kostete. Ich glaube, zur Belohnung werfe ich mal nachher den Grill an, euch einen schönen Rest-Sonntag!
Nach Trojanerbefall hilft nur Platte plattmachen. Virus deaktivieren ist eher so naja…
Da lernt der Betroffene auch gleich das mit dem Hirn.
Hi Caschy, dank solcher „Supportanrufe“ habe ich mittlerweile eine ansehnliche Sammlung diverser (Antiviren)BootCDs hier rumliegen. Kommt sowas, müh ich mich gar nicht mehr ab. BootCD rein und dann eine nach der anderen durchrödeln bis Windows nicht mehr zickt. Dann, je nach Anrufer, noch das Nach-Virus-RundumSorglos-Paket mit Patchen, SecurityEssentials usw.
Aber der Spruch mit der Hand am Stuhl ist gut *g*
Ich hatte unlängst mit einer Variante zu tun die Avira und Kaspersky abgeschaltet hat. Da war schon reichlich anderer Kram drauf, wahrscheinlich alles nach dem ersten Befall nachgeladen.
Der BKA Trojaner war auf keinen Fall der erste Schädling auf der Kiste, da war vorher schon was.
Ich dränge alle Leute immer Secunia PSI zu benutzen und regelmäßig Updates aller Plugins zu machen. Wenn möglich Java Web-Plugin weg und alle unnötigen Multi-Media Dinge runter.
Und dann regelmäßig checken und updaten. Wenn man sich allerdings den Thread auf reddit.com durchliest in dem ein deutscher Botnet-Betreiber Rede und Antwort steht, zweifelt man langsam daran, dass man mit Virenschutz und Brain 3.0 alleine immer geschützt bleiben wird. Ich verkneif mir jedenfalls inzwischen hochnäsige „könnte mir nie passieren“ Sprüche…
Falls ich es nicht überlesen habe, fehlt in den Kommentaren noch die obligatorische „Also mit Apple-OS gäbe es so ein Problem nicht“-Aussage. Bitte noch unbedingt nachreichen!
Sollte mein System jemals befallen sein, wird bei mir nix repariert. Da kommt ein nagelneues System drauf. Daten sind ja regelmäßig gesichert Ein Auto, was von Gaffa-Tape zusammengehalten wird, ist eben auch kein echtes Auto mehr.
mit einem verschlüsselungs-trojaner, der derzeit die runde macht und ähnlich agiert wie der hier oben, wird’s noch knackiger. kostprobe?
zusätzlich zum rechner sperren verschlüsselt er die benutzerdateien auf dem rechner und haut vor jede datei ein „locked.dateiname.dateityp.xxxx“. mit der unverschlüsselten originaldatei (etwa vom backup) und einem entschlüsselungsprogramm (etwa avira ransom file unlocker) kann man die daten wieder zugänglich machen.
jetzt neu und super en vogue: eine variante, die alle dateien verschlüsselt a la „KadsPUnsAFoV“ (ohne dateiendung). in der letzten woche gleich zweimal gesehen. lösung? wenn vista oder windows 7 betroffen sind und schattenkopien aktiviert, shadowexplorer verwenden und hoffen, dass ältere systemstände abrufbar sind. dann kann man die dateien ordner für ordner zurückspielen. komplette systemwiedeherstellung hat bei meinen problemfällen nicht funktioniert. wer windows xp verwendet, hat (derzeit noch) pech, da keine schattenkopien… finale hilfe steht also noch aus. so übe dich in demut, caschy, dass du nur mit „oldschool-trojan“ ringen musstet. 🙂
Zwei Kleinigkeiten fehlen nach meiner Erfahrung mit Virenputzdienst noch:
1. Systemwiederherstellung vor der Putzaktion deaktivieren, hat sich der Schädling nämlich schon dort eingenistet, wird er von Windows nach erfolgreicher Reinigung munter wiederhergestellt
2. aktuelle Sicherheitspatches von Microsoft sind hier das A und O, meist nutzen diese Parasiten bekannte Sicherheitslücken, die schon längst gepatcht wurden (weit verbreitet ist die Meinung, diese machen das System „langsam“ und wären unnütz)
Und ein Virenscanner ist eben nur ein Scanner, der schützt nun mal nicht vor der Infektion. Schlimm wird das in einem Netzwerk, so kann sich ein vermeintlich „geschütztes“ System infizieren, den Virus auf ein wohlmöglich ungeschütztes System verteilen, und dann springt der Scanner an und meldet die erfolgreiche Beseitigung des Infekts.
Sorry werter Prinz Waldemar aber: Mit Linux wär das nicht passiert 😉
Jepp,
zum Angriffsvektor kann ich bestätigen der BKA-Trojaner gibt es als Drive-By Variante über Ads. Also man surft auf seriösen Seiten und kommt als Werbung eine manipulierte Werbung, die im Hintergrund den Trojaner herunterlädt und sich im Rechner einnistet. Bei mir hat hat sich der das automatisch aktualisierte Antiviren-Programm Mucks-Mäuschen-Still gegeben.
300 Euro für die Desinfektion zu berappen, holla die Waldfee, ich sollte das als Nebenjob anbieten, ein paar Minuten rumspielen, Virus aus der Registry werfen, AV-Software aktualisieren und ein kompletten Scan anwerfen: LEICHT VERDIENTES GELD! 😉
Du kannst grillen? Glückspilz! Ich müßte jetzt zum Grill schwimmen…
Zum Thema: mögen die Autoern dieser (und jeder anderer) Schadsoftware von jeweils 1000 Sackratten heimgesucht werden, bei gleichzeitiger Lähmung beider Arme.
Habe auch einen ganzen Sack voll diverser CDs, habe sie aber schon eine Weile nicht mehr benötigt.
Öfters benötigt habe ich allerdings die Clonezilla-CD, aber aus anderen Gründen.
Deja-vu…
Habe in den letzten Tagen etliche Rechner damit zu Gesicht bekommen, auf durch die unterschiedlichsten Scanner geschützten Rechner. Da scheint wohl grad ne mutierte Variante unterwegs zu sein, denn selbst auf virustotal.com wurde eine verseuchte Datei von gerade mal drei Scannern als gefährlich erkannt.
Kann mich deinem Hinweis aber nur anschliessen, insbesondere im beruflichen Umfeld: Daten sichern, Kiste platt machen und sauber neu installieren. Und die Daten vor dem Wiederherstellen nochmal gründlich scannen/desinfizieren.
Jup, kenn ich. Hatte ein Kollege von mir auch drauf, aber den einfachen, wo man im abgesicherten Modus starten muss. Hab mich kurz im Netz schlau gemacht und die entsprechenden Einträge korrigiert und ich sag ihm noch „Sicher alle wichtige Daten und mach den neu“… und natürlich hat ers nicht gemacht und hat sich ihn nochmal eingefangen…und diesmal glaube ich auch die Variante von deinem Bekannten, Caschy. Mal sehen wann er damit wieder ankommt und ich ihm helfen soll…
Eine weitere Möglichkeit (zuletzt erlebt):
regedit, msconfig und taskmgr lassen sich nicht aufrufen, stattdessen erscheint: „C:\Windows\regedit.exe konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig eingegeben haben und wiederholen Sie den Vorgang.“
Lösung (per Live-CD):
Unter „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options“ jeweils für regedit.exe, msconfig.exe und taskmgr.exe den Schlüssel „Debugger“ löschen.
Tja, der Virus hat sich sogar bis nach Schweden verbeitet, oder war es nicht der BKA-Virus? Jedenfalls erhielt mein Nachbar dort eine „Rechnung“, und nach dem Öffnen war der Rootkit auf der Festplatte.
Mit Kaperskys RescueDisk konnte ich das System wieder in Gang bekommen, doch alle persönlichen files waren kryptiert, und zwar in einer neueren Version, die keinen Schluss auf den ursprünglichen Dateinamen zuliess und die Benutzung des o.g. Avira-Tools ermöglichte. Zudem hatte der freundliche Nachbar niemals seine Dateien gesichert.
Glück im Unglück: der Nachbar benutzte den befallenen Rechner nur zum Surfen. Und nur wenige files waren deshalb „futsch“. Er hat deshalb den Rechner dann komplett neuinstalliert.
@ Prinz Waldemar: Also ich nutz Linux. Ich kenn so ein Problem nicht. 111.
Recht so? 🙂
Neben Kaspersky hatte ich auch noch mit der „Avira AntiVir Rescue CD“ Erfolg. Aber besser ist natürlich neu installieren, sicher ist sicher.
Bis heute ist es mir ein Rätsel, wo und wie man sich so ein Ding einfängt. Den Anwender braucht man ja nicht zu fragen, der hat ja sowieso nie etwas gemacht.
Tja der gute alte BKA-Trojaner welcher zur Gruppe der UKash gehört.
den musste ich in den letzten Wochen und Monaten auch schon mehrmals entfernen und die Methode von Caschy ist genau richtig. Aber Vorsicht, ich musste letzte Woche mit einer ganz neuen Variante kämpfen und habe leider verloren.
Die neue Variante verschlüsselt dabei alle Office, Outlook, PDF und Bilddateien Eures Rechners und angeschlossener Netzlaufwerke und das innerhalb von Minuten. Wie er das schafft ist ganz einfach, es wird nicht die gesamte Datei mit einem 256Bit AES verschlüsselt, sondern nur die ersten zehn Byte und zusätzlich wird der Dateiname und die Endung noch mit irgendwelchen Zeichen verhunzt, also keine Chance die Datei als solches wieder herzustellen.
Zum Glück war kein Netzlaufwerk betroffen und die betreffende Person hatte zwei Tage zuvor einen Wiederherstellungspunkt erstellt, somit konnte ich mittels VSS alles wieder auf den Zeitpunkt von vor zwei Tagen zurücksetzen. Allerdings sind alle in Daten zwischen diesen beiden Tagen kaputt. Sollte der Wiederherstellungspunkt zu lange in der Vergangenheit liegen, dann sieht es schlecht aus. Also nehmt Euch die Warnung und die Aufforderung von Caschy zu Herzen und sichert Eure Daten. Entweder mit einem professionellen Programm wie Acronis, mit der Windows eigenen Sicherungsmethode oder einfach eine externe HDD und Copy.
Übrigens, bei meinem Fall hätte die gute alte Brain.exe wesentlich weitergeholfen, denn man öffnet keine Lieferung.zip wenn man den Absender nicht kennt und schon gleich dreimal startet man die darin enthaltene Lieferung.exe nicht!!!
Noch was zu den neuen Viren. die ändern die Signaturen mittlerweile fast täglich, was bedeutet, das die AV-Hersteller gewaltig ins hintertreffen kommen, weil sie nicht so schnell reagieren können und so viel ist sicher, einer ist immer der erste.
Also frohes BRAINEN.
Bei mir half nur noch ein Linux-System zu installieren, um überhaupt noch weiter zukommen. Das Rescue-System war erst anschießend möglich. Ja und seitdem bin nur noch mit Ubuntu im Web unterwegs bzw. nur wenn ich auf Windows arbeiten muss.
Meine persönliche Empfehlung!
Habe vor zwei Wochen den PC meines Vater davon befreit. Er hatte zum Glück mehrere Benutzerkonten drauf, also konnte ich den Lock-Screen umgehen und brauchte nur die Systemwiederherstellung zu starten. Nervig war es aber trotzdem. Virenscanner versagen bei den BKA-Trojanern total, was mir ein Rätsel ist.