Mit Windows-eigenen Tools dem BKA/Ukash-Trojaner den Gar ausgemacht!

images

Windows Sysintenals kurz „Winternals“ wurde 1996 von  Mark Russinovich und Bryce Cogswell erstellt, um Dienstprogramme und Diagnose Software für Microsoft Produkte zu entwickeln. Im Juli 2006 wurde Sysinternals von Microsoft übernommen und in den Konzern von Microsoft eingegliedert.

Autoruns ist ein Diagnose Tool von Sysinternals, dass  Ihnen zeigt, welche Programme für die Ausführung beim Starten des Systems oder bei der Benutzeranmeldung konfiguriert sind. Mit diesem Tool wird es evtl. leichter zu erkennen wo der Schädling auf der Festplatte liegt und wie dieser gestartet wird, ohne das Sie in der Registrierung laborieren müssen.

Laden Sie sich das Tool AutoRuns von hier herunter und speichern Sie die Datei autoruns.exe auf einem USB-Stick.

Abb.1

Sie haben wie Sie in Abb.1 zu sehen den BKA-UKASH Trojaner auf Ihrem PC?

Nachdem Sie das Programm auf den USB-Stick gespeichert haben, starten Sie den PC im abgesicherten Modus mit Eingabeaufforderung. Diesen erlangen Sie durch Drücken der Taste <F8> während des Bootvorgangs von Windows. Schließen Sie daraufhin den USB-Stick in den dafür vorgesehenen Anschluß und melden sich am PC an. Wichtig: Wählen Sie das Konto welches über Administrationsrechte verfügt. Wenn das Windows Command Prompt erscheint (schwarze Box) geben Sie explorer.exe ein und drücken die Entertaste. Es öffnet sich der Explorer. Gehen Sie zu Ihren Laufwerken und navigieren Sie zu dem Laufwerk, welches Ihren USB-Stick repräsentiert und starten Sie “autoruns.exe“.

Wie Sie in der Abb. 1 sehen, erscheinen beim Öffnen des Tools “Autorun” eine Vielzahl von Reitern, wählen Sie den Reiter Logon.

Abb.2

Wie in Abb. 2 zu sehen erscheinen im Reiter Logon alle Einträge der Registrierung und die zugehörigen Dateien, die beim Start von Windows ausgefüht werden. Schauen Sie, ob irgendwo die uns bekannten Einträge zum BKA- Trojaner zu finden sind (jashla.exe, mahmud.exe oder AVupdate) . Haben Sie einen dieser Einträge gefunden (wie z.B. in in Abb.2 zu sehen), klicken Sie mit der rechten Maustaste auf den Eintrag. Es erscheit das Kontextmenü. Dort wählen Sie Jump to Folder , wie in Abb.3 zu sehen.

Abb.3

Abb.4

Wie in Abb.4 zu sehen hat sich der Explorer geöffnet und zeigt den Speicherort der Datei an (hier jashla.exe). Diese sollten Sie löschen. Anschließend schließen Sie den Explorer. Wählen Sie wie in Abb.4 den Eintrag Jump to Entry, öffnet sich der Registrierungseditor im richtigen Verzeichnis.

Abb.5

Wie in Abb.5 zu sehen wurde der Eintrag avupdate geöffnet und wir sehen den Pfad, der zur Jashla-Datei führt die wir schon gelöscht haben.
Achtung: avupdate liegt im Run- Verzeichnis und kann komplett gelöscht werden.

Abb.6

Abb.7

Achtung: In Abb.6  sehen Sie den Eintrag Shell im Winlogon. Hierbei müssen Sie den Schlüssel “Shell öffnen Abb.7  den Pfad löschen und durch explorer.exe ersetzten, dasselbe gilt für den Shell Schlüssel mit dem Eintrag mahmud.exe.

Haben Sie alle Vorkehrungen getroffen, schließen Sie den Registrieungseditor und das Tool Autoruns und geben Sie im Windows Command Prompt (schwarze Box) ein:

shutdown -r -t 00

Der Computer wir automatisch heruntergefahren und im normalen Modus gestartet. Die Vorschaltseite des UKASH-BKA Trojaners sollte nun nicht mehr erscheinen und das schädliche File haben Sie auch gelöscht. Um sicher zu gehen, dass sich nicht noch weitere Schädling auf Ihrem Rechner befinden, scannen Sie Ihren Rechner daraufhin bitte noch einem unserer DE-Cleaner und mit dem Tool von Malwarebytes im Vollscan.

Teilen Sie Ihre Erfahrungen mit uns. Besuchen Sie uns doch einfach in unserem Support-Forum unter forum.botfrei.de oder holen Sie sich dort adäquate Unterstützung aus unserer noch jungen Community! Werden Sie botfrei!

About TB

The Quest

6 Thoughts on “Mit Windows-eigenen Tools dem BKA/Ukash-Trojaner den Gar ausgemacht!

  1. Thomas Bivour on 30. Oktober 2011 at 11:52 said:

    Ich habe mir auch leider diesen BKA-Trojaner eingefangen!
    Ich kann aber leider das Autorun nicht starten nach Eingabe von explorer.exe + Entertaste im Windows Command Prompt erscheint gleich wieder die BKA-site!
    Was kann man tun?
    Gruß Thomas Bivour

  2. Thomas Bivour on 31. Oktober 2011 at 09:52 said:

    Danke für den Tip!
    Ja so war es! Die Explorer.exe war infiziert.
    Habe es mit der Systemrücksetzung geschafft.
    Läuft wieder alles soweit, nur das einzige was mir auffällt ist das
    der windos-willkommensgruß ein bisschen lange braucht.

    Ist da vielleicht noch etwas unbereinigt?
    Aber kann doch eigentlich nicht sein oder?

    Gruß und danke erst einmal

    Thomas Bivour

    • Hallo Thomas,

      ich würde empfehlen auf jeden Fall noch die Software Malwarebytes drüber zu jagen. Dass das System dann sauber ist, ist zwar keine Sicherheit (und Du solltest Dir vllt. dennoch überlegen Deinen Rechner neu aufzusetzen), aber die Wahrscheinlichkeit, dass da noch was drauf schlummert wird geringer.

      Solltest Du weitere Fragen haben, oder sofern wir Dir individuell weiterhelfen sollen, bitten wir Dich in unserem Support-Forum unter http://forum.botfrei.de/ einen kostenfreien Account zu erstellen. Wir helfen Dir gerne dort weiter!

      Grüße,
      TK, ABBZ

  3. Hallo,

    es scheint mal wieder eine neue Variante dieses Trojaners zu geben. Benutze Windows 7, 64 Bit. In meinem Fall gab es keinen Eintrag in der Registry.
    Ich habe per “msconfig” einen Eintrag “avupdare” unter Systemstart gefunden. Ausführung bei Systemstart deaktiviert, Datei “mahmud.exe” gelöscht, Rechner neu hochgefahren und startet wieder normal. Allerdings traue ich dem Frieden nicht so und werde die Tage Windows neu aufsetzen.
    Windows war und ist aktuell und auf dem neusten Stand mit den Patches. Was mich nicht wundern würde, wäre die Tatsache: Firefox 8 Hand in Hand mit einer evtl. noch nicht gefixten Sicherheitslücke in Windows ist die Ursache…

    • Hallo,

      Sie sollten auf jeden Fall noch einen Komplettscan mit Malwarebytes durchführen, um mögliche Reste des Schädlings zu bereinigen. Auch wenn Windows aktuell ist, sollten Sie definitiv auch Ihre installierten Programme auf Updates überprüfen! Gerade Adobe Flash Player, Reader und Java werden gerne für Drive-By-Downloads verwendet. Nutzen Sie doch unseren Update-Checker von Secunia.

      Grüße,
      CG (ABBZ)

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Post Navigation