Lösung: BKA Trojaner, Task Manager gesperrt und der Rechner fährt nicht richtig hoch
von caschy | 99 Kommentare
Kerlokiste – ich muss es einfach schreiben: Leck mich fett, war das ein nerviger Vormittag.Samstag Abend, man geht spät ins Bett – man kann ja am Sonntag auspennen. Denkste. Denn das Telefon schellte mich schön aus dem Schlaf-Nirvana. Ein am PC etwas unbedarfter Bekannter klagte mir sein Leid.
„Sein Sohn“ wäre am PC gewesen, hätte irgend etwas gemacht und der Rechner würde nun nicht richtig hochfahren. Stattdessen käme die Meldung, dass man beim Download von illegalen Sachen erwischt worden wäre und man seinen Rechner jetzt gegen Gebühr wieder entsperren können. Ach ja, der gute, alte und vor allem nervige BKA Trojaner (auch unter GVU Trojaner zu finden), den es in zig verschiedenen Variationen gibt.
Ein nerviges Ding, welches schon Tausende befallen hat. Auch ich kenne den Schädling, allerdings habe ich bislang nicht alle Varianten des BKA Trojaners in der freien Wildbahn entfernen müssen. Wie kommt der BKA Trojaner überhaupt auf den Rechner? Tja, das wüsste ich auch gerne – Fakt ist anscheinend, dass die Brain.exe eben nicht immer hilft. Aus mir unerfindlichen Gründen hatte mein Bekannter keinen Antivirus auf seinem PC, obwohl ich ihm mal im letzten Jahr etwas installiert habe.
Nicht einmal die Security Essentials von Microsoft waren drauf oder so. Normalerweise hätte ich gehen müssen und ein lapidares „Selbst schuld!“ ablassen müssen. Mache ich natürlich nicht. Da stand ich also vor dem Rechner, der die BKA Meldung brachte und sich nicht dazu überreden lassen wollte, den Task Manager zu starten. Strg+Alt+Entf wurde nämlich laut Windows-Meldung vom Administrator deaktiviert.
OK, das alte Verfahren – ich war noch guter Dinge, dass es sich um eine einfache Variante des BKA Trojaners handle. Was macht man erst einmal? Richtig, abgesicherter Modus. Ergebnis? Gleiches Spiel, Fehlermeldung, kein Task Manager möglich. OK. Zweite Variante. Windows im abgesicherten Modus mit Eingabeaufforderung starten. In der guten, alten Eingabeaufforderung startet man dann ganz einfach msconfig – kennt ihr ja sicherlich.
Dort kloppt man pauschal erst einmal die Dinge raus, die suspekt sind. Dienste habe ich durchgeackert und die Systemstartprogramme. Solltet ihr betroffen sein: wuppt einfach raus, was euch komisch vorkommt. Beachtet ähnliche Schreibweisen von Microsoft oder sonstiger Software. Danach einfach den Rechner wieder neu starten und Daumen drücken.
Und, hatte ich Erfolg? Leider nein, gleiches Spiel. Rechner fährt hoch, weiße Seite mit Info des illegalen Downloads, IP-Adresse und Zahlungsaufforderung. Rage!
Das sind dann die Momente, in denen du den Leuten, die diese Software entwarfen (sitzen angeblich in der Ukraine) einfach mal die Hand geben möchtest. Mit einem Stuhl. Ins Gesicht.
Ich musste mal wieder tief in den Hirnwindungen und im meinem Blog wühlen. 2008 war es, da empfahl ich mal ein paar Boot CDs gegen solchen Müll. Gibt ja einige von ihnen, die kompetenteste ist meiner Meinung nach die auf Linux basierende Kaspersky Rescue Disc. Kostet tatsächlich kein Geld und war in meinem, beziehungsweise im Falle des Bekannten, die Lösung.
Weil es mir half, beschreibe ich mal kurz die Vorgehensweise, vielleicht ist einer der Leser mal von der identischen Art des BKA Trijaners befallen und möchte säubern. Wenn man weiss, womit man es zu tun hat, geht es eigentlich ratz fatz. Wir erinnern uns: kein Task Manager, kein Desktop und so möglich – man wird in der Registry fummeln müssen. Aber sooo schwer sind die Einträge nicht zu finden. Aber mal von vorne.
Kaspersky Rescue Disc herunterladen. Aktuell ist Version 1o aktuell. Das Schöne: lässt sich via USB-Stick oder CD nutzen. Logo, muss bootfähig sein. Für die USB-Stick-Freaks: Kaspersky bietet gleich ein Tool an, mit dem ihr die Kaspersky Notfall CD auf einen USB-Stick zimmern könnt, von dem ihr einfach booten müsst. Ansonsten ISO brennen mit dem Free ISO Burner oder eines der anderen Programme, die ich mal empfahl.
Rescue2USB heißt der Spaß und die Nutzung ist easy. Ausführen, Pfad zur Kaspersky Rescue CD-Iso angeben und zum USB-Stick – fertig.
Und dann bootet man einfach.
Sprache auswählen:
Grafikmodus auswählen:
Wichtig ist erst einmal: wenn die CD gebootet hat,bietet sie ein Update an. Machen! Sollte sie am Anfang sagen, dass das Betriebssystem vorab nicht richtig heruntergefahren wurde, so ignoriert dies ruhig – ruhig auf Fortsetzen klicken!
Kaspersky Rescue mountet dann automatisch die Laufwerke – auf denen sitzt bekanntlich der BKA Trojaner und wartet auf seine Vernichtung. Ans Update denken!
So, das waren die ersten Schritte. Scannen brauchen wir erst einmal nicht zwingend, wir müssen erst in der Registry von Windows fummeln, denn der BKA Trojaner hat bekanntlich Task Manager, Desktop und Co ausgehebelt und gesperrt. Wir führen also einen Doppelklick auf den Kaspersky Registry Editor aus. Hier wählt man dann sein Betriebssystem aus und findet unter „Bearbeiten“ den Punkt Suchen.
Sucht alle Schlüssel die DisableTaskMgr heißen und löscht diese! Dann seid ihr schon einmal die Fehlermeldung „Der Task-Manager wurde durch den Administrator deaktiviert“ los. Danach? Sucht alle Schlüssel die NoDesktop heißen und löscht diese! Das sind die Windows-Dinger, mit denen man die Leute seit XP-Zeiten geärgert hat 😉
Alle Einträge zu DisableTaskMgr und No Desktop gelöscht? Sehr gut – halbe Miete. Zum Abschluss klickt man noch auf das Icon „Kaspersky Rescue Disk“ und startet die Untersuchung von Objekten. Ich habe nur die Laufwerksbootsektoren und die Autostartobjekte durchsuchen lassen. Ich wurde prompt fündig und ihr werdet dies sicherlich auch. Sollte die Kaspersky Rescue Disc etwas finden: löscht es.
Und danach? Kaum zu glauben, aber wahr: der Rechner des Bekannten fuhr wieder ganz normal hoch und der BKA / GVU Trojaner war verschwunden, beziehungsweise nicht mehr aktiv.
Nun zu dem Punkt, den ich euch selber überlasse: ich persönlich war bisher wissentlich noch nie von einem Schädling betroffen, doch meine Vorgehensweise wäre trotzdem: die wichtigsten Daten sichern (ein regelmäßiges Backup hat man eh, bzw. sollte es) und das komplette System inklusive aktueller Antivirus-Software neu aufspielen. Seid ihr zu faul dazu, dann seht wenigstens zu, dass ihr einen aktuellen Antivirus-Schutz installiert und eure komplette Kiste mal durchforsten lasst. Besser ist das.
So, das war also mein Sonntag Vormittag. Den durfte ich mit dem BKA / GVU Trojaner und einem Windows PC verbringen. Und danach habe ich einfach mal diesen Beitrag geschrieben, was auch seine Zeit kostete kostete. Ich glaube, zur Belohnung werfe ich mal nachher den Grill an, euch einen schönen Rest-Sonntag!
Wird geladen ...
schmoeding und bud:
Tja, der Verweis auf Linux ist besser als nichts, aber nur der dezidierte Hinweis auf den Fallobst-Konzern würde das Ganze hier so richtig komplett machen. Vielleicht kommt ja noch was…
Die Frage, wie man sich so einen Rootkit einfangen kann, lässt sich im Falle meines >Nachbarn dahingehend beantworten, daß er auf ein selt benutztes email-konto bei Yahoo eine entsprechende email bekam, die den Rootkit als „Rechnung“ im Anhang enthielt.
Man braucht also gar nicht auf sogenannte oder auch tatsächlch verdächtige Webseiten zu surfen.
Wenige Tage nach der Rechner-Wiederherstellung erhielt mein Nachbar die nächste verseuchte email. Diesmal hatte er hinzuzgelernt und die Mail eines unbekannten Absenders gar nicht erst geöffnet.
Ich bin bis heute von diesem Mist verschont geblieben, hab das Problem aber auch schon mehrere Male bei Freunden und Bekannten lösen müssen. Alle hatten eins gemeinsam: Eine Antiviren-Software war nicht vorhanden, geschweige denn ein Backup. Dabei rede ich mir den Mund fusselig was solche Dinge angeht. Aber wer sagt schon in dem Fall „Selbst schuld, such dir einen anderen Idioten, der dir die Kiste reinigt“ ? Ich kanns jedenfalls nicht!
Antivirus hilft auch nicht immer.
Ich hatte jetzt schon zweimal Bekanntschaft mit einem dieser Mistdinger gemacht – auf einem meiner PCs und bei einem Bekannten. Aktuelles Avast auf dem einen, tagesaktuelles Avira auf dem anderen – und trotzdem dieser BK-Mist da drauf, keine Ahnung wie. Die Dinger werden offenbar täglich verändert, nutzen immer wieder andere Sicherheitslücken in Javascript, Adobe-Reader u.ä. aus; ein Klick auf ein Google-Suchergebnis kann da schon reichen….
Damit habe ich in 5 Minuten bei einem Bekannten den BKA-Trojaner entfernt:
http://freeofvirus.blogspot.de/2009/05/remove-fake-antivirus-10.html
Rechner funzte danach wieder ohne Probleme. Natürlich sollte man danach die wichtigen Daten in Sicherheit bringen und das System neu installieren.
Hat noch keiner hier gepostet. 😉
Lass es Dir schmecken! Dein Sonntag war vielleicht Mist, dafür rettest Du sicher andere zukünftige Sonntage. Artikel ist schon in den Bookmarks.
Bei botfrei.de findet man eigentlich alles, was man zu diesem Thema wissen muss.
Hi, mache das leider auch schon seit Wochen…
Am besten funktioniert:
1. Kaspersky Rescue CD – booten
2. Kaspersky Rescue CD – Virendefinitionen aktualisieren
3. Kaspersky Rescue CD – kompletter Virenscan
4. auf dem wieder startenden System „Super Antispyware“ installieren
5. mit „Super Antispyware“ Scannen und fixen lassen
zu 5. -> das repariert automatisch alle verbogenen Registry-Einträge
Noch simpler mit dem Kaspersky WindowsUnlocker: http://support.kaspersky.com/de/viruses/solutions?qid=208641247
@n-less:
Geht schneller, aber scannt nicht gleich noch mit auf weitere Viren:
„Kaspersky WindowsUnlocker führt keine Datei-Operationen (Desinfektionen von Dateien etc.) aus. Diese können Sie von Kaspersky Notfall-CD ausführen lassen.“
Und bei meinem letzten PC war der BKA-Trojaner noch der harmloseste Fund auf dem PC…
ich sag nur: Shadow Defender (http://www.shadowdefender.com/) nutzen, ein neustart und jeder schädling ist weg mit einem lachen, nutze ich schon gefühlte 20 jahre, es gibt keine bessere methode/schutz.
alternativ zum surfen nutze ich virtuelle maschinen, wenn ich „böse“ seiten besuche, denn von dort kommt die infektion (ich kenne ca. 20 varianten…), dann einfach zurücksetzen, oder mit einer frischen kopie neu starten.
Hi,
mal so ’ne Frage, als Linux-User: Ich „muss“ jetzt auch öfter mal Windows nutzen, weil Lightroom und Photoshop nicht unter Linux läuft. Reichen unter Win7 HP die MS Security Essentials? Oder was sollte ich nutzen? Dass ich nicht auf jeden Link im Netz klicke, ist selbstverständlich für mich.
Herzlichen Dank für Antworten und viele Grüße,
Markus
Es reicht auch der „Abgesicherte Modus mit Eingabeaufforderung“. Aus der Konsole heraus kann man ja alles machen…
Hey Markus 🙂
Ich selbst nutze Avast (http://www.avast.com/de-de/free-antivirus-download). Ist voll super und hatte seitdem auch nie wieder Probleme mit Viren.
@NetzBlogR Wer sagt dir, dass in deinen Daten nicht das Übel sitzt? Datensicherung ist nicht gleich Datensicherung.
Danke Carsten für diesen Bericht, der wird gespeichert, man weiß ja nie. Hatte erst so einen ähnlich hartnäckigen Fall von Befall. Nicht bei mir, Gott sei Dank. 🙂
Die aktuellen Versionen ändern übrigens alle Registry-Einträge zu MSCONFIG, REGEDIT, usw. – damit lassen sich diese nicht mehr ausführen…
was ist denn ein „Trijaner“? 😉
Link gespeichert.
Schick ich dann meinen „Ich-will-mich-nicht-von-Windows-bekehren-lassen“-Freunden zu, den ich wegen nun 6-jähriger Windows-Abstinenz nicht mehr helfen kann. Am Anfang war das nur eine Ausrede, jetzt aber stimmt es langsam.
Und nach dem Lesen der Artikels weiss ich auch wieder, warum ich das gemacht habe.
Hab da mal ein Problem…
Meine Systemplatten sind alle mit Truecrypt verschlüsselt und keine dieser doofen Antiviren-CDs bietet die Möglichkeit, diese zuvor zu öffnen…
Hat Jemand eine Idee?
Lustig, dass Du sauer auf die Leute in der Ukraine bist. Richtiger waere wohl gewesen, Deinem „Bekannten“ die Hand zu geben. Mit einem Stuhl. Ins Gesicht.
Windows an sich ist ja schon eine Katastrophe. Es aber auch noch ohne AntiViren-Programm zu benutzen ist wie nackt Motorrad fahren. Bei Glatteis. Freihaendig.