„BKA Trojaner 2.0“ unter Windows 7 – per Hand und ohne zusätzliche Software entfernen

Dezember 11th, 2011 § 9 comments

Leider erinnere ich mich nicht mehr an die genaue Version, aber vielleicht sollte ich ihn nochmal in der VM testen/installieren und eine genauere Anleitung zum Entfernen nachreichen. Ansonsten gibt es hier immer nochmal Infos falls man sich was diesbezügliches eingefangen hat.

Also die Version die gleich auf zwei Rechnern bei uns eintrudelte, schaffte es (oh welche Überraschung) sich an AntiVir vorbei zu mogeln. Auch die kostenpflichtige Version von Kaspersky musste erst mit der Nase drauf gestupst werden, bis sie registrierte, dass das Stückchen Malware nichts auf der Maschine zu suchen hat. Aber im Grunde kein Problem, der "Trojaner" bzw. die Malware lies sich relativ leicht entfernen.
Da ich im Netz keine Anleitung gefunden habe, die ihn so entfernt schreibe ich einfach zwei drei Zeilen dazu und vielleicht ist es mal irgendwem nützlich.

Als erstes ist es wohl doch sinnvoll im abgesicherten Modus zu starten. Allerdings hatte ich auf einen der Zwei Rechner auch Erfolg das Browserfenster mit mehrmaligen  "Alt+F4" zu beenden. Und konnte danach zumindest im Explorer ein bisschen auf Datei-Suche gehen. Im Abgesicherten Modus dürfte dies auf jeden Fall gehen. How ever.

1. Schritt
Erster Anhaltspunkt sollte sein:

C:\User\[Benutzername]\AppData\Local\Temp\

Hier sollte sich eine "komisch" benannte .exe-Datei finden lassen. Falls nicht, auf Nummer sicher gehen und unter Ordneroptionen "Versteckte und Systemdateien anzeigen" einstellen.
konkretes Beispiel, könnte dann so aussehen:

C:\User\HansWurst\AppData\Local\Temp\

Beispiel der exe:

0.89965784.exe

Den Namen der exe sollte man sich irgndwo notieren bevor man die Datei löscht sonst sucht man eventuell die Nadel im Nadelhaufen. Nachdem notieren die Datei einfach löschen und den Papierkorb leeren.

2. Schritt
Leider reicht das noch nicht aus, aber jetzt wissen wir ja, wonach wir suchen müssen.
jetzt unter Start bei Ausführen einfach "cmd" eingeben und in der sich öffnenden Konsole "regedit" eingeben. (Vielleicht geht auch gleich bei Ausführen/Suchen "regedit", ich weiß es nicht genau, da ich selbst kein Windows 7 benutze)

In der Registry geben wir dann in der Suche den Name unserer .exe-Datei ein. Hier im Beispiel "0.89965784.exe" oder nur "0.89965784". Die Suche dürfte dann ein passendes Ergebnis liefern, dieser Eintrag sollte dann aus der Registry entfernt werden.

3. Schritt
Prinzipiell, kann jetzt schon nichts mehr geschehen. Allerdings wird Windows beim starten wohl jetzt eine Fehlermeldung bringen, dass die auszuführende Datei nicht mehr vorhanden ist (in dem Falle die Datei des Trojaners). Um dies zu verhindern, müssen wir nun noch aus dem Startup die entsprechende .rundll-Datei entfernen. Diese finden wir unter:

C:\Users\[Benutzername]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

konkretes Beispiel könnte dann so aussehen:

c:\Users\HansWurst\AppData\Roaming\Microsoft\Start Menu\Programs\Startup

in dem Ordner Startup sollte sich dann eine .rundll finden lassen, die dem Namen unserer .exe-Datei entspricht. Diese sollte ebenfalls gelöscht werden.

Mit dem letzten Schritt sollte alles entfernt sein. Natürlich ist es sinnvoll nachdem noch einmal den Viren-/Malwarescanner zu aktualisieren und nochmal über die Platte zu jagen. Eine Neuinstallation des Betriebssystems sehe ich einfach nicht. Zumal der "Trojaner" meines Wissens nach auch keinen weiteren Schaden anrichtet außer beim Start das Browserfenster aufzurufen welches den User auffordert Geld zu überweisen. Sprich eigentlich ist es gar kein Trojaner sondern eher Scamware oder Scareware.

WICHTIG: Checkt noch ob euer Taskmanager funktioniert. Wenn dieser nicht auftaucht oder nicht startet dann ist doch noch ein letzter Schritt erforderlich:
1. Unter Start im Suchefeld wieder regedit eingeben.
2. Unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies System "öffnen"
3. Den Eintrag DisableTaskMgr suchen und öffnen und den Wert auf 0 setzten. Dann ok und prüfen ob der Taskmanager jetzt wie gewohnt erscheint.

Eventuell reiche ich eine genauere Anleitung nach, wenn ich Zeit und Ruhe dazu finde. Ansonsten sind wir für alle Hinweise und Verbesserungsvorschläge sowie Fehlerkorrekturen offen.

Tagged ,

§ 9 Responses to „BKA Trojaner 2.0“ unter Windows 7 – per Hand und ohne zusätzliche Software entfernen"

  • marv sagt:

    hey franky... klingt doch ehr nach scam- bzw. scareware?! vielleicht lieber "BKA Trojaner 2.0" (in anführungszeichen) in den titel?

  • Franky sagt:

    Recht hast du, schon gemacht...

  • alex sagt:

    Hat gefunzt ;) danke Schön !! Êndlich des lästige ding los ^^

  • stuermi sagt:

    Hat bei mir auch funktioniert. Vielen Dank für die Hilfe. Bei mir hatte sich die Datei 3-fach eingetragen... hießen bei mir arg113644.exe, jag15609.exe und fsa120279.exe

  • marv sagt:

    hatte auf zwei rechnern die variante "Gvu 2.07".

    habe in \AppData\Local\Temp\ auf dem einen rechner "rty0_7z.exe" und auf dem anderen "fe0_zip.exe" gefunden und diese dann nach deiner anleitung gelöscht.

    in der registry gab es keinen eintrag für die dateien.

    in \Windows\Start Menu\Programs\Startup war auf beiden rechnern die "ctfmon.lnk" dafür verantwortlich die exe aufzurufen.

    beeinträchtigungen mit dem task manager gabs nicht.

    beide rechner waren, so wurde mir gesagt, unmittelbar vor befall auf kinox.to

    danke franky,
    cya, marv

  • Franky sagt:

    Jaja immer wieder das Gleiche mit den Drive-By-Downloads, mit den Streamportalen. Wie oft irgendwelche Leute da waren...

    Nun gut, ist nun mal so. Aber ich denke man kann da schon einiges machen, wenn man einfach mal seinen Browser auf dem Laufenden hält (also immer brav Updates machen) oder halt mit Linux stream. Ist halt zur Zeit die super effiziente Methode um Malware zu verbreiten. Klassische Wurm-Angriffe sind halt so gut wie tot und E-Mails klappen langsam auch nicht mehr sooo gut. Also zumindest hat ein Großteil mittlerweile verstanden, dass man nicht alle E-Mailanhänge auf denen „Rechnung.pdf“ steht öffnen sollte.

    Aber wenn man sich mal anschaut, wie so ein Drive-By-Dowload abläuft, ist es auf einer Seite ziemlich faszinierend und doch irgendwie dumm. Denn wenn man es schon schafft, auf einer fremden Maschine was zu installieren, dann doch nicht nur Scare-Ware. Aber scheinbar liegt das auch in der Natur des Nutzer xy der früher Rechnungen in E-Mails geöffnet hat, jetzt auch dort zu bezahlen. Ansonten würde sich ja keiner die Mühe machen.
    Aber letztendlich basiert das ganze auch nur auf Sicherheitslücken im Browser und Betriebssystem und oft sind das Lücken, die die Anbieter ziemlich schnell mit einem Update schließen. Interessant ist halt, dass vorher überprüft wird, ob der Nutzer eine Version mit der entsprechende Lücke hat, dann wird das entsprechende Exploit ausgeführt. So zumindest mein Wissensstand.

    Aber ein paar interessante Links zum Thema gibt es auf jeden Fall:
    Hintergrundwissen: Wie Drive-by-Angriffe funktionieren
    Wikipedia: Drive-by-Downloads

    Des weiteren scheint sich eine "allgemeine" Lösung für das Problem aufzutun. "BLADE" soll das kostenlose Tool heißen und für alle Windows PC's Schutz versprechen. Funktionsweise ist wohl eine Sandbox, die während des Surfens schützt, also auch kein wirklich neues Prinzip. Und vom Nutzer explizit heruntergeladene Inhalte sind ebenfalls weiter schädlich. Ein weiterer Fakt, welchen man meiner Meinung nach, mit Vorsicht genießen sollte, ist dass das Tool von US-Forschern entwickelt wird (mit hilfe von Fordermitteln ihrer Regierung). Der Link dazu: BLADE

  • [...] einiger Zeit, haben wir eine eher durch Zufall entstandene Löschanleitung für den "BKA-Trojaner" (wenn man ihn so nennen möchte) unter Windwos 7 [...]

  • Thorbi sagt:

    Auf vielen Seiten gesucht, aber die beste Anleitung habe ich hier gefunden! Danke dafür:)
    Auch 2014 immer noch hilfreich, obwohl der Trojaner "schlauer" wurde: Start im abgesicherten Modus war nicht möglich. Da half nur die Festplatte auszubauen um auf sie als externe HD auf einem anderen Notebook zugreifen zu können. Der Rest klappte dank dieser Anleitung tiptop!

  • Tom sagt:

    Hallo
    Mit der Kaspersky Rescue disk als boot CD und den dadrauf befindlichen WindowsUnlocker ist das eine recht sichere sache den Trojaner wieder weg zu bekommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

What's this?

You are currently reading „BKA Trojaner 2.0“ unter Windows 7 – per Hand und ohne zusätzliche Software entfernen at maschinenraum.

meta