Lösung: BKA Trojaner, Task Manager gesperrt und der Rechner fährt nicht richtig hoch
von caschy | 99 Kommentare
Kerlokiste – ich muss es einfach schreiben: Leck mich fett, war das ein nerviger Vormittag.Samstag Abend, man geht spät ins Bett – man kann ja am Sonntag auspennen. Denkste. Denn das Telefon schellte mich schön aus dem Schlaf-Nirvana. Ein am PC etwas unbedarfter Bekannter klagte mir sein Leid.
„Sein Sohn“ wäre am PC gewesen, hätte irgend etwas gemacht und der Rechner würde nun nicht richtig hochfahren. Stattdessen käme die Meldung, dass man beim Download von illegalen Sachen erwischt worden wäre und man seinen Rechner jetzt gegen Gebühr wieder entsperren können. Ach ja, der gute, alte und vor allem nervige BKA Trojaner (auch unter GVU Trojaner zu finden), den es in zig verschiedenen Variationen gibt.
Ein nerviges Ding, welches schon Tausende befallen hat. Auch ich kenne den Schädling, allerdings habe ich bislang nicht alle Varianten des BKA Trojaners in der freien Wildbahn entfernen müssen. Wie kommt der BKA Trojaner überhaupt auf den Rechner? Tja, das wüsste ich auch gerne – Fakt ist anscheinend, dass die Brain.exe eben nicht immer hilft. Aus mir unerfindlichen Gründen hatte mein Bekannter keinen Antivirus auf seinem PC, obwohl ich ihm mal im letzten Jahr etwas installiert habe.
Nicht einmal die Security Essentials von Microsoft waren drauf oder so. Normalerweise hätte ich gehen müssen und ein lapidares „Selbst schuld!“ ablassen müssen. Mache ich natürlich nicht. Da stand ich also vor dem Rechner, der die BKA Meldung brachte und sich nicht dazu überreden lassen wollte, den Task Manager zu starten. Strg+Alt+Entf wurde nämlich laut Windows-Meldung vom Administrator deaktiviert.
OK, das alte Verfahren – ich war noch guter Dinge, dass es sich um eine einfache Variante des BKA Trojaners handle. Was macht man erst einmal? Richtig, abgesicherter Modus. Ergebnis? Gleiches Spiel, Fehlermeldung, kein Task Manager möglich. OK. Zweite Variante. Windows im abgesicherten Modus mit Eingabeaufforderung starten. In der guten, alten Eingabeaufforderung startet man dann ganz einfach msconfig – kennt ihr ja sicherlich.
Dort kloppt man pauschal erst einmal die Dinge raus, die suspekt sind. Dienste habe ich durchgeackert und die Systemstartprogramme. Solltet ihr betroffen sein: wuppt einfach raus, was euch komisch vorkommt. Beachtet ähnliche Schreibweisen von Microsoft oder sonstiger Software. Danach einfach den Rechner wieder neu starten und Daumen drücken.
Und, hatte ich Erfolg? Leider nein, gleiches Spiel. Rechner fährt hoch, weiße Seite mit Info des illegalen Downloads, IP-Adresse und Zahlungsaufforderung. Rage!
Das sind dann die Momente, in denen du den Leuten, die diese Software entwarfen (sitzen angeblich in der Ukraine) einfach mal die Hand geben möchtest. Mit einem Stuhl. Ins Gesicht.
Ich musste mal wieder tief in den Hirnwindungen und im meinem Blog wühlen. 2008 war es, da empfahl ich mal ein paar Boot CDs gegen solchen Müll. Gibt ja einige von ihnen, die kompetenteste ist meiner Meinung nach die auf Linux basierende Kaspersky Rescue Disc. Kostet tatsächlich kein Geld und war in meinem, beziehungsweise im Falle des Bekannten, die Lösung.
Weil es mir half, beschreibe ich mal kurz die Vorgehensweise, vielleicht ist einer der Leser mal von der identischen Art des BKA Trijaners befallen und möchte säubern. Wenn man weiss, womit man es zu tun hat, geht es eigentlich ratz fatz. Wir erinnern uns: kein Task Manager, kein Desktop und so möglich – man wird in der Registry fummeln müssen. Aber sooo schwer sind die Einträge nicht zu finden. Aber mal von vorne.
Kaspersky Rescue Disc herunterladen. Aktuell ist Version 1o aktuell. Das Schöne: lässt sich via USB-Stick oder CD nutzen. Logo, muss bootfähig sein. Für die USB-Stick-Freaks: Kaspersky bietet gleich ein Tool an, mit dem ihr die Kaspersky Notfall CD auf einen USB-Stick zimmern könnt, von dem ihr einfach booten müsst. Ansonsten ISO brennen mit dem Free ISO Burner oder eines der anderen Programme, die ich mal empfahl.
Rescue2USB heißt der Spaß und die Nutzung ist easy. Ausführen, Pfad zur Kaspersky Rescue CD-Iso angeben und zum USB-Stick – fertig.
Und dann bootet man einfach.
Sprache auswählen:
Grafikmodus auswählen:
Wichtig ist erst einmal: wenn die CD gebootet hat,bietet sie ein Update an. Machen! Sollte sie am Anfang sagen, dass das Betriebssystem vorab nicht richtig heruntergefahren wurde, so ignoriert dies ruhig – ruhig auf Fortsetzen klicken!
Kaspersky Rescue mountet dann automatisch die Laufwerke – auf denen sitzt bekanntlich der BKA Trojaner und wartet auf seine Vernichtung. Ans Update denken!
So, das waren die ersten Schritte. Scannen brauchen wir erst einmal nicht zwingend, wir müssen erst in der Registry von Windows fummeln, denn der BKA Trojaner hat bekanntlich Task Manager, Desktop und Co ausgehebelt und gesperrt. Wir führen also einen Doppelklick auf den Kaspersky Registry Editor aus. Hier wählt man dann sein Betriebssystem aus und findet unter „Bearbeiten“ den Punkt Suchen.
Sucht alle Schlüssel die DisableTaskMgr heißen und löscht diese! Dann seid ihr schon einmal die Fehlermeldung „Der Task-Manager wurde durch den Administrator deaktiviert“ los. Danach? Sucht alle Schlüssel die NoDesktop heißen und löscht diese! Das sind die Windows-Dinger, mit denen man die Leute seit XP-Zeiten geärgert hat 😉
Alle Einträge zu DisableTaskMgr und No Desktop gelöscht? Sehr gut – halbe Miete. Zum Abschluss klickt man noch auf das Icon „Kaspersky Rescue Disk“ und startet die Untersuchung von Objekten. Ich habe nur die Laufwerksbootsektoren und die Autostartobjekte durchsuchen lassen. Ich wurde prompt fündig und ihr werdet dies sicherlich auch. Sollte die Kaspersky Rescue Disc etwas finden: löscht es.
Und danach? Kaum zu glauben, aber wahr: der Rechner des Bekannten fuhr wieder ganz normal hoch und der BKA / GVU Trojaner war verschwunden, beziehungsweise nicht mehr aktiv.
Nun zu dem Punkt, den ich euch selber überlasse: ich persönlich war bisher wissentlich noch nie von einem Schädling betroffen, doch meine Vorgehensweise wäre trotzdem: die wichtigsten Daten sichern (ein regelmäßiges Backup hat man eh, bzw. sollte es) und das komplette System inklusive aktueller Antivirus-Software neu aufspielen. Seid ihr zu faul dazu, dann seht wenigstens zu, dass ihr einen aktuellen Antivirus-Schutz installiert und eure komplette Kiste mal durchforsten lasst. Besser ist das.
So, das war also mein Sonntag Vormittag. Den durfte ich mit dem BKA / GVU Trojaner und einem Windows PC verbringen. Und danach habe ich einfach mal diesen Beitrag geschrieben, was auch seine Zeit kostete kostete. Ich glaube, zur Belohnung werfe ich mal nachher den Grill an, euch einen schönen Rest-Sonntag!
Wird geladen ...
Hallo caschy,
gute Anleitung, Ich durfte solch ein Teil letztens ebenfalls von einem Rechner putzen, hab auch die Kaspersky CD verwendet.
Und nein, Brain.exe hat der guten Frau auch nichts gebracht. Das Ding hat sich auf einem aktuellen Windows 7 an sämtlichen Schutzmaßnahmen vorbei trotzdem installiert, ein Klick auf ein Suchergebnis hat dazu genügt.
Wäre ich nicht zufällig zu Besuch gewesen, dann hätte ich das der Frau nie geglaubt! So aber konnte ich einmal live miterleben, wie einfach sich ein Rechner mit solch einem Teil infizieren kann.
Grüße aus TmoWizard’s Castle zu Augsburg
Mike, TmoWizard
Na, dann bin ich also laut dem Krisen-Heinzi schon seit Ewigkeiten freihändig und nackt mit dem Motorrad unterwegs ohne mir eine Erkältung einzufangen. Wird einmal im Halbjahr per Gesundheitscheck beim Arzt (nennt sich „Desinfec’t“) kontrolliert, noch nie auch nur das kleinste Unwohlsein gefunden.
Muss an meinem gestählten Körper liegen, oder vielleicht daran, dass sich zwischen meinen Ohren (so hoffe ich) mehr befindet als ein Hohlraum.
@schmoeding
2nd -> mit Linux wäre das nicht passiert. 😉
Ich durfte mittlerweile auch mehrere PCs von diesem netten Bekannten aus der Ukraine befreien.
Lustigerweise half da am besten die CD von Kaspersky aus der russischen Nachbarschaft. 😉
Allerdings nutze ich die Variante des Komplettscans, da doch immer einiges mehr gefunden wird.
Schuld war immer ein veraltetes Java, eine andere Variante konnte ich bei bisher 5 PC nicht feststellen.
Ich lasse im Anschluss dann immer noch eine 2te Antiviren-CD laufen, in der Regel Avira Rescue-CD.
Dann starte ich den PC noch im abgesicherten Modus, reinige den PC zunächst mit portablen Reinigungstools wie CCleaner,Wise Registry/Disk Cleaner.
Anschließend installiere ich Programme wie Spybot (portable), Malwarebytes oder EEK (portable), und lasse die mit aktuellen DBs nochmals drüberlaufen. Auch hier wird in aller Regel noch das ein oder andere gefunden.
Dann nochmals Systemreinigung und Defragmentierung und gut ist.
Systemwiederherstellung nutze ich eigentlich nie, da ich nichts davon halte, eher mache ich einen PC platt, nachdem ich die Daten per Linux-CD gesichert habe.
Stichwort Linux-CD/Booten von USB:
Mit YUMI* oder SARDU** lassen sich mehrere Boot-CDs auf einem Stick vereinen, natürlich auch diverse Antiviren-CDs.
*http://www.pendrivelinux.com/yumi-multiboot-usb-creator/
**http://www.sarducd.it/
Schöne und hoffentlich virenfreie Arbeitswoche!
Hylli 🙂
D A N K E
für diese gute Anleitung. Hab ich mir ausgedruckt. Wird irgendwann mal extrem nützlich sein.
Einfach immer den Anleitungen von SemperVideo folgen. Dann geht das Ratzfatz.
Das gute an diesen „Viren“ ist ja das sie keine weiteren Files kaputt machen oder löschen. Zumindest noch nicht bis jetzt.
Ja, die Dinger sind echt übel. Es gibt zwischenzeitlich noch eine gemeinere Variante,die Dateien auf dem Rechner verschlüsselt. Es gab zwar von Kaspersky und Avira „Entschlüsselungstools“, die funktionieren allerdings bei der neueren Variante auch nicht mehr.
hübsche anleitung.
schade nur, dass die rescue disk nix mit gespiegelten festplatten anfangen kann. wenn die system partition also auf einem (software-) RAID 1 liegt, ist erst mal schluss mit lustig …
bg
Hier mal meine Vorgehensweise, Kaspersky oder eine andere Rettungs-CD bei der man die Signaturen updaten kann. Scanner durchlaufen lassen und alle Schädlinge entfernen. Dann zum letzten bekannten Systemwiederherstellungspunkt zurück und Viola. Danach sollte man nicht vergessen fehlende Windows-Updates einzuspielen, Flash und Java updaten. Das dürfte es dann sein, mir kamen diese Trojaner bis jetzt immer nur auf eher sträflich gewarteten Systemen unter. Wahrscheinlich kommt er zumindest bei XP remote über eine Sicherheitslücke rein.
sempervide hat auch eine ganze reihe videos das zu gemacht, also wer irgendwie probleme hat kann auch da mal nachschauen
Volkers Problem ist genau so ein Szenario, das mich von einer guten Voll-Verschlüsselung abhält. Würd mich auch interessieren, wie da jetzt ne Lösung ausschaut…
Kann es helfen, wenn man z.B. ausschließlich über „Sandboxie“ surft?
Dann werden die Daten doch nur in die virtuelle Umgebung geladen, und dürften nach einem Neustart keine Probleme mehr machen. Stimmt das so oder liege ich falsch?
Wenn ich richtig liege, würde ich jeden Besitzer eines infizierten Rechners zusätzlich zu aktuellen Virenscannern auch so eine virtuelle Umgebung empfehlen. Alternativ könnte man dann auch Wondershare TimeFreeze 1.0 (kostenlos) oder TimeFreeze 2.0 (kostenpflichtig) nutzen, die hier im Blog auch schon vorgestellt wurden. Wusstet ihr, dass es noch ein „TimeFreeze“ von der Firma „Toolwiz“ gibt? Erfüllt laut Beschreibung auf der Herstellerseite den gleichen Zweck und ist ebenfalls kostenlos.
Danke für die geniale Beschreibung, Caschy.
Hatte mittlerweile schon 3 solcher „Härtefälle“, allesamt BKA-Trojaner. Und einer hatte sogar bezahlt… Man soll es nicht glauben…
Komischerweise hatten alle Betroffenen die Freeware-Edition von Avira auf dem PC.
Hat hier jemand ähnliche Erfahrungen machen können?
Was mich immer noch wundert, wieso sich der Virus trotz aktivierter Benutzerkontensteurung installieren kann.
jedenfalls hatte ich die Brüder bisher immer dank der Kaspersky Rescue Disc entfernen können.
Das mit dem Registiry-Editor wußte ich noch nict. (oder hast Du eine aktuellere CD als ich…)
Seitdem bekommen die Leute von mir (nicht lachen, bitte!!!) die CoBi-Version von Kaspersky drauf. In der Hoffnung, dass diese etwas besser schützt.
Ich selber fahre mit dem gelben Karton meines rosaroten Providers bisher recht gut.
Der Kaspersky Unlocker ist doch Bestandteil der Kasper Rescue Disc… Oder irre ich da?
@nogger:
Hatte vor laaaaanger Zeit mal was gelesen, dass in einem ähnlichen Fall im Netz ein Masterpasswort exisitierte. Sowas ist echt der Supergau…
geht auch mit dem Kaspersky WindowsUnlocker
http://goo.gl/OJVfN (MITTIG)
http://goo.gl/qr80V (OBEN)
Hi,
eine gute Variante ist auch die Nutzung der Systemwiederherstellung von Windows. Über die Eingabeaufforderung per „rstrui“ starten und ein paar Tage zurückgehen.
Danach startet Windows normal und dann per Scanner säubern ;). Ich muss das öfter am Telefon machen und das ist einfacher als den unbedarften gegenüber einen USB-Stick oder CD erstellen zu lassen.
Das kann einem echt einen kompletten Sonntag versauen, wo man denkt, man fährt mal schön zu Daddy, um Geburtstag zu feiern… Und dann hat er morgens im Büro eine „Rechnung.pdf.exe“ aus einer Mail aus Brasilien geöffnet – wider besseres Wissen! RAGE!!! Die Krönung: Dell-PC mit Stripe-Raid wird leider von der linux-basierten Desinfec’t nicht erkannt. Also Win7-DVD gebootet und dann vom Stick das Avira-Tool laufen gelassen. Wäre über Nacht durch gewesen, wenn der alte Herr es nicht noch abends manuell abgebrochen hätte … „es ging irgendwie nicht weiter“
ICH HÄTTE IHN FAST ENTERBT!!! Naja – es war ja SEIN Geschäfts-Rechner, der noch einen Tag länger blockiert war…
@weissertiger2: Schön für Dich. Nein ehrlich …
Java ist die PEST was Viren angeht, und ob upgedated oder nicht, zig Fälle hat es gegeben, wo sich der Schädlich in den Java Cache Dateien befunden hat, ZIG FÄLLE! Obwohl ich es früher bei Kunden & Bekannten immer mit installiert und aktualisiert habe, tendiere ich jetzt zur kompletten Deinstallation – zu gefährlich.
Ich habe mit der desinfec’t Start-DVD noch keine guten Erfahrungen gemacht, zu lange hat es gedauert, bis das System gestartet oder auch nur einer der Suchläufe beendet war, habe es immer vorzeitig abgebrochen.
In meinem Fall bin ich bisher bei allen BKA-Trojanern und Abwandlungen so vorgegangen, dass ich die befallene Platte ausgebaut und in einem separaten Rechner wieder eingebaut habe. So hatte ich exklusiven Zugriff auf Dateien und Betriebssystem und konnte auch einzelne Registry-Zweige durchforsten. Inzwischen weiß ich, wo was zu suchen ist, und es gibt keine Probleme mehr mit deaktiviertem Desktop, Taskmanager oder der Registry.
Es gibt eine einfachere Lösung bei genau dieser Malware:
Jeder User mit etwas Sachverstand hat sich selbstverständlich einen zweiten Account auf dem PC/NB angelegt. In den meisten mir bekannten Fällen bezieht sich dieser „BKA Trojaner“ nur auf das befallene Profil und dem zweiten Profil sollte die Anmeldung an Windows ohne weiteres gelingen.
Hat der Login in den Zweit-Account von Windows funktioniert, schaut man mal bei folgendem Ordner vorbei:
C:UsersProfilnameAppDataLocalTemp
In diesem Ordner findet ihr eine Datei namens 0.21455727289.exe, welche übrigens auch in eurem Autostart unter msconfig liegt.
(Der Name der Datei variiert immer, ist aber jedes mal der gleiche Aufbau -> 0..exe
Löscht diese Datei und ihr könnt euch zumindest wieder mit dem befallenen Account einloggen und bereinigen.
Ursprung des Schädlings waren in jedem, der 3 in unserer Firma vorgekommenen Fälle eine verseuchte Seite. Die Seiten konnten den Ursprung auf die Google-Ads zurückführen, die sie auf der Seite hinzugefügt hatten.
Wir sperren seitdem Firmenintern alle Google-Ads und hatten nie wieder Probleme mit der besagten Malware.
Hi!
Gibt es denn jetzt einen echten Schutz gegen das Zeugs? War auch demletzt (indirekt) Opfer eines BKA Trojaners 🙁
Gruß
Mik
Hatte hier auf der Arbeit trotz aktiven und aktuellem Virenschutz (McAfee Enterprise) in den vergangenen Wochen immer mal wieder damit zu tun – zuletzt auch mit der Variante, die Daten verschlüsselt.
Ich frage mich auch, wie es der Schädling immer wieder schafft – und das bei Anwendern, denen ich ausnahmsweise sogar glaube nicht auf alles zu klicken, was blinkt oder auf „bösen seiten“ zu surfen – und wie gesagt, trotz automatischer OS Updates (allerdings noch XP) und aktuellem Virenschutz. Selbst hat es mich noch nicht erwischt – und meinen Dad, der sowas eigentlich Anzieht wie ein Magnet auch noch nicht.
sach mal, verschickst Du grad Mails mit diesem Trojaner damit alle schönen Deinen Post klicken? 😉
kurz vor Feierabend ruft mich nämlich grad noch ne Kollegin zu sich…. Ich hör nur Hilfe!!
naja, hab ja jetzt Deine Lösung…