Lösung: BKA Trojaner, Task Manager gesperrt und der Rechner fährt nicht richtig hoch
von caschy | 99 Kommentare
Kerlokiste – ich muss es einfach schreiben: Leck mich fett, war das ein nerviger Vormittag.Samstag Abend, man geht spät ins Bett – man kann ja am Sonntag auspennen. Denkste. Denn das Telefon schellte mich schön aus dem Schlaf-Nirvana. Ein am PC etwas unbedarfter Bekannter klagte mir sein Leid.
„Sein Sohn“ wäre am PC gewesen, hätte irgend etwas gemacht und der Rechner würde nun nicht richtig hochfahren. Stattdessen käme die Meldung, dass man beim Download von illegalen Sachen erwischt worden wäre und man seinen Rechner jetzt gegen Gebühr wieder entsperren können. Ach ja, der gute, alte und vor allem nervige BKA Trojaner (auch unter GVU Trojaner zu finden), den es in zig verschiedenen Variationen gibt.
Ein nerviges Ding, welches schon Tausende befallen hat. Auch ich kenne den Schädling, allerdings habe ich bislang nicht alle Varianten des BKA Trojaners in der freien Wildbahn entfernen müssen. Wie kommt der BKA Trojaner überhaupt auf den Rechner? Tja, das wüsste ich auch gerne – Fakt ist anscheinend, dass die Brain.exe eben nicht immer hilft. Aus mir unerfindlichen Gründen hatte mein Bekannter keinen Antivirus auf seinem PC, obwohl ich ihm mal im letzten Jahr etwas installiert habe.
Nicht einmal die Security Essentials von Microsoft waren drauf oder so. Normalerweise hätte ich gehen müssen und ein lapidares „Selbst schuld!“ ablassen müssen. Mache ich natürlich nicht. Da stand ich also vor dem Rechner, der die BKA Meldung brachte und sich nicht dazu überreden lassen wollte, den Task Manager zu starten. Strg+Alt+Entf wurde nämlich laut Windows-Meldung vom Administrator deaktiviert.
OK, das alte Verfahren – ich war noch guter Dinge, dass es sich um eine einfache Variante des BKA Trojaners handle. Was macht man erst einmal? Richtig, abgesicherter Modus. Ergebnis? Gleiches Spiel, Fehlermeldung, kein Task Manager möglich. OK. Zweite Variante. Windows im abgesicherten Modus mit Eingabeaufforderung starten. In der guten, alten Eingabeaufforderung startet man dann ganz einfach msconfig – kennt ihr ja sicherlich.
Dort kloppt man pauschal erst einmal die Dinge raus, die suspekt sind. Dienste habe ich durchgeackert und die Systemstartprogramme. Solltet ihr betroffen sein: wuppt einfach raus, was euch komisch vorkommt. Beachtet ähnliche Schreibweisen von Microsoft oder sonstiger Software. Danach einfach den Rechner wieder neu starten und Daumen drücken.
Und, hatte ich Erfolg? Leider nein, gleiches Spiel. Rechner fährt hoch, weiße Seite mit Info des illegalen Downloads, IP-Adresse und Zahlungsaufforderung. Rage!
Das sind dann die Momente, in denen du den Leuten, die diese Software entwarfen (sitzen angeblich in der Ukraine) einfach mal die Hand geben möchtest. Mit einem Stuhl. Ins Gesicht.
Ich musste mal wieder tief in den Hirnwindungen und im meinem Blog wühlen. 2008 war es, da empfahl ich mal ein paar Boot CDs gegen solchen Müll. Gibt ja einige von ihnen, die kompetenteste ist meiner Meinung nach die auf Linux basierende Kaspersky Rescue Disc. Kostet tatsächlich kein Geld und war in meinem, beziehungsweise im Falle des Bekannten, die Lösung.
Weil es mir half, beschreibe ich mal kurz die Vorgehensweise, vielleicht ist einer der Leser mal von der identischen Art des BKA Trijaners befallen und möchte säubern. Wenn man weiss, womit man es zu tun hat, geht es eigentlich ratz fatz. Wir erinnern uns: kein Task Manager, kein Desktop und so möglich – man wird in der Registry fummeln müssen. Aber sooo schwer sind die Einträge nicht zu finden. Aber mal von vorne.
Kaspersky Rescue Disc herunterladen. Aktuell ist Version 1o aktuell. Das Schöne: lässt sich via USB-Stick oder CD nutzen. Logo, muss bootfähig sein. Für die USB-Stick-Freaks: Kaspersky bietet gleich ein Tool an, mit dem ihr die Kaspersky Notfall CD auf einen USB-Stick zimmern könnt, von dem ihr einfach booten müsst. Ansonsten ISO brennen mit dem Free ISO Burner oder eines der anderen Programme, die ich mal empfahl.
Rescue2USB heißt der Spaß und die Nutzung ist easy. Ausführen, Pfad zur Kaspersky Rescue CD-Iso angeben und zum USB-Stick – fertig.
Und dann bootet man einfach.
Sprache auswählen:
Grafikmodus auswählen:
Wichtig ist erst einmal: wenn die CD gebootet hat,bietet sie ein Update an. Machen! Sollte sie am Anfang sagen, dass das Betriebssystem vorab nicht richtig heruntergefahren wurde, so ignoriert dies ruhig – ruhig auf Fortsetzen klicken!
Kaspersky Rescue mountet dann automatisch die Laufwerke – auf denen sitzt bekanntlich der BKA Trojaner und wartet auf seine Vernichtung. Ans Update denken!
So, das waren die ersten Schritte. Scannen brauchen wir erst einmal nicht zwingend, wir müssen erst in der Registry von Windows fummeln, denn der BKA Trojaner hat bekanntlich Task Manager, Desktop und Co ausgehebelt und gesperrt. Wir führen also einen Doppelklick auf den Kaspersky Registry Editor aus. Hier wählt man dann sein Betriebssystem aus und findet unter „Bearbeiten“ den Punkt Suchen.
Sucht alle Schlüssel die DisableTaskMgr heißen und löscht diese! Dann seid ihr schon einmal die Fehlermeldung „Der Task-Manager wurde durch den Administrator deaktiviert“ los. Danach? Sucht alle Schlüssel die NoDesktop heißen und löscht diese! Das sind die Windows-Dinger, mit denen man die Leute seit XP-Zeiten geärgert hat 😉
Alle Einträge zu DisableTaskMgr und No Desktop gelöscht? Sehr gut – halbe Miete. Zum Abschluss klickt man noch auf das Icon „Kaspersky Rescue Disk“ und startet die Untersuchung von Objekten. Ich habe nur die Laufwerksbootsektoren und die Autostartobjekte durchsuchen lassen. Ich wurde prompt fündig und ihr werdet dies sicherlich auch. Sollte die Kaspersky Rescue Disc etwas finden: löscht es.
Und danach? Kaum zu glauben, aber wahr: der Rechner des Bekannten fuhr wieder ganz normal hoch und der BKA / GVU Trojaner war verschwunden, beziehungsweise nicht mehr aktiv.
Nun zu dem Punkt, den ich euch selber überlasse: ich persönlich war bisher wissentlich noch nie von einem Schädling betroffen, doch meine Vorgehensweise wäre trotzdem: die wichtigsten Daten sichern (ein regelmäßiges Backup hat man eh, bzw. sollte es) und das komplette System inklusive aktueller Antivirus-Software neu aufspielen. Seid ihr zu faul dazu, dann seht wenigstens zu, dass ihr einen aktuellen Antivirus-Schutz installiert und eure komplette Kiste mal durchforsten lasst. Besser ist das.
So, das war also mein Sonntag Vormittag. Den durfte ich mit dem BKA / GVU Trojaner und einem Windows PC verbringen. Und danach habe ich einfach mal diesen Beitrag geschrieben, was auch seine Zeit kostete kostete. Ich glaube, zur Belohnung werfe ich mal nachher den Grill an, euch einen schönen Rest-Sonntag!
Wird geladen ...
@Tobias
Ich sagte doch das ich Java Deaktiviert habe. Zumindest der Browser (und über den läuft hauptsächlich der Angriff) kann Java nicht erreichen.
Gleiche ein Deinstallieren werde ich sicherlich nicht!
GEILER TYP
LEIDER GEIL
Wollte mir zur Vorsicht auch so einen USB-Stick erstellen für mein Netbook mit Win7 (64bit). Ich habe Kaspersky Rescue Disc geladen und den iso-File mit Rescue2USB auf einen jungfräulichen, formatierten Stick geladen. Im BIOS ist eingestellt, daß zuerst von externen Medien gebootet werden soll. Steckt der Stick im Rechner und ich starte ihn kommt allerdings nur die Fehlermeldung „Error loading operating system“… Hat eventuell jemand eine Idee wo mein Fehler liegen könnte? Danke 🙂
Ich habe in meinem Bekanntenkreis leider ein paar Pflegefälle, welche regelmäßig über Schädlinge klagen. Wenn ich mir die betroffenen Systeme dann anschaue sehe ich sehr oft das gleiche Bild. Virenschutzsoftware: Lizenz abgelaufen, auf dem Stand von 2009. Firewall deaktiviert (auch im Router!!!) um gewisse Dinge komfortabler und DAU-freundlicher nutzen zu können. Javascript selbstverständlich FÜR ALLE Seiten „aktiviert“, und das in verbindung mit Flash und Java, die wiederum BEIDE auf einem uralten Stand sind. Aber die ungewollten Toolbars sind selbstverständlich immer auf dem neusten stand. 😀 Mein Fazit: Mich wundert gar nix mehr!
Wenn ich Anrufe erhalte und mir die betroffenen Systeme dann selbst anschaue, entdecke ich (ganz gleich ob virenverseucht oder nicht) meist vollgemüllte Rechner, welche Software enthalten, die in der jeweiligen Produktivumgebung nicht nötig oder sogar unerwünscht sind.
Sicherlich kann auch bei größter Sorgfalt sich irgendwelcher Mist einnisten. Aber die Häufigkeit lässt sich mit einer aktuellen „brain.EXE“ sehr drastisch minimieren! 🙂
das notebook meiner schwester hatte es auch erwischt. trotz (zumindest) microsoft security essentials, eingeschränktem benutzerkonto und voll gepatchtem win xp pro 32 bit. leider aber mit ie8 noch sowie nicht aktualisiertem java und flash.
ich habe keine forensik betrieben wo es denn hergekommen sein könnte.
in diesem fall ging es mit systemwiederherstellung. danach neuen punkt gesetzt und alle alten gelöscht.
neu aufgesetzt habe ich das system nicht. ie8 habe ich mal entfernt, dafür firefox installiert. java und flash natürlich aktualisiert.
scan mit diversen antivirenprogrammen waren danach ohne befund. auch antimalware, stinger und hijack-this fanden nichts.
nicht zuletzt auch durch die hinweise hier im blog und der diskussion dazu liess es sich relativ leicht handlen. dafür danke und auch mal ein lob für den blog den ich gerne ansurfe und lese. auch wenn nicht alles für mich von interesse ist, so doch ein grosser teil.
Vielen Dank!
Eine Ergänzung – bei dem letzten Gerät, was ich hier hatte, war es die Snarcher.exe, die bei shell und userinit drin stand.
Wie es oben steht muss shell=explorer.exe sein und
userinit=userinit.exe – für letzteres habe ich einige Zeit des Suchens gebraucht, da kein Icon und keine Startleiste vorhanden waren.
so nun habe cih das glück bei nem bekannten den gvu bsi paypal ukash trojarner druff zu haben! mal looken ob ich weg bekomme!
thx schon mal im voraus für diese supi anleitung! hoffentlich klappt sie auch jetzt gleihc bei mir!
Hi hab mir heute 17.08.2012 auch so ein Ar…loch Programm eingefangen.
Zwar keine BKA sondern Microsoft Seite – Lizenz abgelaufen …BlaBla Rechner gesperrt bitte zahlen UKash (am Ar…).
Viele meinen hier Software Updates würden das verhindern, sorry war bei mir nicht der Fall Rechner war up to Date und der Viren Scanner (Kasperky) hatte heut morgen noch sein Update gemacht.
Und ratet mal auf welch üblen Seiten ich mich herum getrieben habe – war nur im Facebook unterwegs. Ich hab echt keinen Schimmer wo ich mir den eingefangen habe. Mit der Avira Rescue CD hat die Säuberung nicht geklappt. Ich habs irgendwie durch heftiges Strg-Alt-Entf + P + Enter und ganz vielen anderen Tasten hämmern geschafft das der Taskmanager offen bleibt. So konnte ich einen kompletten VirenScan mit Kaspersky machen und danach ‚SuperAntiSpyware Portable‘ der dann fündig wurde. Neubooten und läuft, nur noch den rechtsklick im Datei-Explorer reparieren (in Registry NoViewContextMenu zurück auf 0)
@Taz: Mein Problem wäre eher das ich danach kein vertrauen in das Betriebssystem mehr hätte. Für mich klarer Fall von:
Datenrettung per Linux Live CD, mbr überschreiben und anschliessend eine Neuinstallation.
nach dem suchen nach einem lizenzfreien bild warst du meine rettung
Unbedarfte Frage: Welches Vorgehen zum Entfernen einer Form des BKA Trojaners ist am sinnvollsten, wenn das Betriebssystem Windows 7 auf einem Apple läuft? Funktioniert das Booten über den USB Stick wie beschrieben auch in diesem Fall? Info: Direktes Hochfahren des Windows Betriebssystem, derzeit ohne Zugriff auf Apple Betriebssystem. Danke für Antworten im Voraus…;-)
@costa: Neu aufsetzen ist das Normale vorgehen bei einem Trojaner.
Kaspersky konnte mir leider nicht helfen 🙁 Für andere Betroffene: Diese Anleitung konnte mir helfen http://www.bundespolizei-virus.de/bka-trojaner/#trojaner-entfernen-manuell
Bereits das Löschen der *.exe Datei sollte reichen. Viel Erfolg!
VIELEN VIELEN DANK 🙂