BKA-Trojaner - Hilfe benötigt

@Kagura

Kagura schrieb:Zudem sollten sie bei einem Geschäfts - PC IMMER einen kommerziellen Schutz draufhaben

Na ja, diesen BKA-Virus haben schon Kaspersky, Norton & co. nicht aufgehalten... von dem was ich im Netz so lese. Aber du hast natürlich Recht.

@22aztek Es gibt Software - Möglichkeiten für Unternehmen; Zum Service gehört auch sofortiger Support (Bei Kaspersky ist das jedenfalls so) bei Problemen. Ich glaube das wäre in diesem Falle nützlicher ;)

22aztek schrieb:Na ja, diesen BKA-Virus haben schon Kaspersky, Norton & co. nicht aufgehalten... von dem was ich im Netz so lese.

Was "hält ihn denn dann auf"? Ich finde konkret darüber im Netz kaum was. Es wird zwar überall gewarnt - aber wirkliche Lösungen findet man, bzw ich, nicht.

Ich hatte den BKA- bzw. Bundespolizei-Trojaner jetzt zum zweiten Mal, es kommen ja immer wieder neue Varianten auf den Markt...

Diesmal hab ich im Grunde bei der Bekämpfung keinen Erfolg gehabt, (bis zur Neuinstallation des Systems musste es trotzdem nicht kommen).
Gestern vormittag hab ich ihn mir eingefangen, er war anscheinend in einem Werbe-Pop-Up auf der Startseite von www.kinox.to versteckt. Auch beim ersten Mal vor ein paar Monaten hab ich mir dort eingefangen.

Ich hatte noch Pläne, was ich heute gegen ihn versuchen wollte - aber AVAST hat das Problem selbst gelöst:
Als ich meinen PC heute hochfuhr, kam schon sehr schnell das dunkelrote Banner von Avast (Rootkit blockiert), und unmittelbar danach die Information "Virusdatenbank aktualisiert" - DAS war die Lösung, Avast hatte den Trojaner vorher nicht entdecken und blockieren können, weil er in der Datenbank noch nicht vorhanden war.

Wenn das nicht der Fall ist, empfehle ich aber, eine andere Variante auszuprobieren, nämlich während des Hochfahrens mit Taste F8 in den abgesicherten Modus einzusteigen, dort hochzufahren und dort dann Avast/ Euren Virenscanner laufen zu lassen.

Es soll neue Variationen das BKA-Tojaners geben, bei denen das nicht funktioniert, aber bei meinem ging es - es brachte eben nur deshalb nichts, weil der Trojaner noch nicht in der Virusdatenbank drin war.
Die Lösung zum Umgang mit dem BKA-Trojaner ist also evtl. supereinfach - den PC einfach einen Tag ruhen lassen und dann am nächsten Tag mal hochfahren - war bei mir diesmal die Lösung.

http://bka-trojaner.de/ (Archiv-Version vom 19.09.2012)

Ganz nette Seite mit Entfernungsanleitungen zu den verschiedenen Versionen des Trojaners.

Leider ist es aber so, das man nicht davon ausgehen kann, dass nach dem Entfernen des Trojaners selbst, nicht noch andere, unbekannte, Schadsoftware nachinstalliert wurde.

Eine Weitere Seite ist https://www.botfrei.de/.
Auf dieser findet man noch mehr Infos zu Schadsoftware.

Ich hab auch Probleme mit einem Pc worauf ein Bka Trojaner ist . Auch da wollen sie Lösegeld 100 Euros.

Der Rechner wurde gekauft mit Win 7 . Win7 war schon draufgespielt , also es gibt keine Cd dazu oder so.

Ich hab im eingeschränkten Modus mit Avast alles durchsucht ,. .. nichts gefunden .. , mit Avira und Anti Spyware.

als ich im msconfig reinging und nur die Grundlegenden Geräte und Dienste gestarttet wurden , war auch kein Netzwerk da.,..

dafür war der Bka Trojaner zunächst nicht mehr zu sehen .

Hinterher hab ich wieder alle Geräte und Dienste Laden lassen.., war er wieder da..

Aber Kein Netzwerk zufinden.

er findet aber bei durchsuchen nichts.


wie kann ich weiter vorgehen um den Trojaner rauszukriegen. ?

LG Euch

Hab die Üblichen Methoden schon versucht , die man so weiß

auch im Bios .., mal 4 Tage zurückgesetzt , aber das half auch nichts.

LG Euch

Lad Dir Antimalwarebytes und lass das im abgesicherten Modus durchlaufen. Ist das nicht möglich warum auch immer dann lad dir die kaspersky Rescue Disk und lass die machen.

Kaspersky Rescue Disk: http://support.kaspersky.com/de/viruses/rescuedisk
Malwarebaytes: http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html

MfG Heppy™

@leserin

leserin schrieb:also es gibt keine Cd dazu oder so.

Liegt auf der HD vielleicht ein Image, Dateiendung ist oft .iso. Oder kannst du dir sowas beim Hersteller runterladen? (Alles schon gesehen). Ansonsten mal Verkäufer fragen.

Hast du wenigstens einen Produkt-Key (oder wie auch immer das bein Win-7 heißt)? Dann würde eine einfache Kopie des Betriebssystem ja ausreichen. Es muss nur die korrekte Version sein.

Also ich hatte den auchmal, ein Backup wieder hergestellt und er war weg. Nur bezüglich vertrauliche Passwörter war ich mir dann trotzdem noch was unsicher, aber noch nix passiert :D

Win7 kann man sich legal laden und auf nen Rohling oder USB-Stick packen zum installen. Wenn kein Key vorhanden ist ist das installierte Win7 bis zur Eingabe des Keys eine Testversion welche in den ersten glaub 30 Tagen nicht eingeschränkt ist, danach aber glaube keine Updates mehr fährt.

http://www.unawave.de/windows-7/downloads.html (Archiv-Version vom 15.01.2013)

MfG Heppy™

PS: Find es herrlich wie manche PseudoichhabahnungvonPC immer behaupten das die Wiederherrstellung toll ist. Ich für meinen Teil find das nicht gut. Und wenn ich nen PC wieder retten soll wurd das meist vorher schon gemacht. Das lässt die eventuelle Schadsoftware definitiv NICHT verschwinden!

und von USB booten geht schön mit zb unetbootin .. gibts zb bei Chip.de

http://www.chip.de/downloads/UNetbootin_34673960.html

Es gibt inzwischen einige Varianten. Die meisten haben zwei Dinge gemeinsam:
- Hängen sich an laufende Win Prozesse (meist Explorer.exe oder IEplore.exe)
- Das Virusprogramm steckt in einem der Benutzerprofile. Löschen geht nicht einfach so, weil das in Prozessen eingeklinkte Modul das verhindert und mit jedem Systemstart mit dem Profil sofort geladen wird. c:\Dokumente und Einstellungen\Profilname\....\

-TDSS-Killer (kostenlos) von der Kaspersky-Seite auf Desktop laden (ohne Explorer zu öffnen) und alle Haken setzen. (Neustart)
- Das Programm verrät zumindest, wo im Profil der Müll steckt. bzw. wie die Datei heisst.
mahmut.exe ist nur eine der Möglichkeiten..
- Process-Explorer (sysinternals/microsoft, kostenlos) runterladen und genau nach diesem Dateinamen in laufenden Prozessen suchen. Rechtsklick auf den Hauptprozess und kill.
- Jetzt kann auch der Ordner im Profil gelöscht und Registry-Einträge verändert werden.
- ggf. infizierte Explorer.exe oder IExplore.exe löschen und Neustart mit WinCD -> Reparatur-Option.

Beim repariertem System
- Antivirus komplett de- und dann neuinstallieren
- Dateiausführungsverhinderung aktivieren und möglichst wenig/keine Ausnahmen zulassen
- Java-/Script/Active-x im Browser alles auf absolutes Minimum beschränken

PS: Die automatische Reparatur ist nicht immer erfolgreich. In dem Fall mit F8 in erweiterete Bootoptionen booten "Command prompt" ohne Netzwerktreiber wählen und mit
Extract-Befehl alle cab-dateien auf WinCD nach der gewünschten eplorer.exe/iexplore.exe durchsuchen...(ectl auch Win32.dll i.ä. / hab ich noch nirgendwo erlebt)
(extract-befehlsparameter v o r h e r mal genau im Internet ansehen (hab auch nicht alles im Kopf)

- unbedingt Updates auf neuestem Stand halten

@all die nur eine Aufgespielte Windows Version ohne Original CD DVD haben

Man kann sich Kostenlos eine Iso Datei runterladen und legal mit dem Serialkey freischalten.

http://www.drwindows.de/windows-7-allgemein/15623-hilfe-ich-brauche-eine-windows-7-dvd-268.html

Aber nur mit dem erworbenen Key vom Lizensaufkleber.

Für andere Windowssysteme muß gegebenenfalls nachgefragt werden

MfG Schrotty

@tic
Danke, hab ich glatt vergessen mit zu posten ;-)

@pipapo
Ich bin immernoch einmal in die Registry gekommen im abgesicherten, hab die explorer.exe weggepfeffert, weil da drin hab ich im letzten Sommer noch den Befehl gelesen. Hat auch immer erstmal soweit funktioniert das ich weitersuchen konnte ohne diese Bitte Geld über ne Tanke an die Leute zu zahlen ;-) Inzwischen gibt es aber wohl auch andere Varianten davon. Aber bisher hat die Rescue Disk das hinbekommen^^

MfG Heppy™

Achja den hatte ich auch voriges Jahr.

Habe endlos komplizierte Verfahren gelesen wie der wieder wegzubekommen wäre.... Habe dann eine Systemwiederherstellung vorgenommen, mit dem Datum vom vorigen Tag und habe nie wieder was von ihm gehört.

@insideman
Das war ganz sicher nicht der BKA Virus.

@Heppy
Also bei mir war bisher stets der abgesicherte Modus sowie das Admin-Kennwort das Problem. Auf beides konnte ich nicht mehr zugreifen bzw. ändern.
Wie könnte man es noch lösen?
Ich hab bisher immer den Müll, der sich in der Registry vor explorer.exe gesetzt hat gelöscht und konnte dann wenigstens das Admin-Kennwort neu setzen und wieder im abgesicherten Modus starten.
Aber die Möglichkeit auf das vermaledeite Kontextmenu zugreifen zu können blieb mir bisher jedesmal verwehrt.

@john_smith

Doch.

Oder lass es mich anders ausdrücken : es war der Virus der hier beschrieben ist.

@insideman
Naja, beschrieben wurd`hier einiges.
Aber ich habe mit dem BKA - Virus beruflich zu tun. Und du kannst mir glauben, dass du ihn nicht lediglich mir ner Systemwiederherstellung "löschen" kannst.

@john_smith

ich weiss nicht ob er gelöscht war.

Der PC war danach nicht mehr gesperrt und ich sah ihn nie wieder.