UPDATE 1: Trittbrettfahrer des Ransom UKASH – Trojaner (BKA- Trojaner)

UPDATE vom 30. August 2012:

Bitte beachten Sie: Da es mittlerweile weitere Varianten dieses Schädlings gibt, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.

Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter http://forum.botfrei.de wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.

Aus aktuellem Anlass zum BKA- Trojaner 2.0 , eine Erweiterung zur manuellen Entfernung der Malware.

Voraussetzungen:
Bitte beachten Sie, dass diese Anleitung nur für computererfahrene Benutzer empfohlen wird. Halten Sie sich bitte an die Anweisungen dieser Anleitung.

Vorteile:
Diese Entfernungsmethode hat den Vorteil, dass Sie keine zusätzliche Software herunterladen müssen.

Hilfe:
Sollten Sie Hilfe benötigen, registrieren Sie sich kostenfrei in unserem Support-Forum.

1. Starte Sie ihren Rechner in den Abgesicherte Modus mit Eingabeaufforderung.

  • Während dem Hochfahren mehrmals F8 drücken. ( Kann bei manchen Systemen auch eine andere F Taste sein )
  • Navigieren Sie mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücken Enter.
  • Loggen Sie sich in ein Konto ein, welches über Administrationsrechte verfügt.

2. Geben Sie in der Eingabeaufforderung(Dosbox)

  • regedit.exe ein und drücken Enter

3. Überprüfen Sie als erstes diese Einträge:

  • Für XP User:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”explorer.exe
  • Für Vista/ W7 User:
    [HKEY_Current_User\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”explorer.exe


Im Winlogon steht der Schlüssel shell. Wenn Sie diesen mit Doppelklick öffnen, sollte dort als Wert: explorer.exe stehen. Wenn das nicht der Fall ist, löschen Sie den Eintrag und schreiben dort den Wert explorer.exe hinein und bestätigen mit OK.

Wenn diese Pfade keine Auffälligkeiten hatten, schauen Sie bitte in folgenden Pfaden nach auffälligen Exe-Dateien (*.exe)

[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows CurrentVersion\ Run]
[HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run]


Alles was in diesem run Verzeichnis steht hier, wird für alle Benutzer des Rechners automatisch beim Windowsstart mit gestartet. Wenn hier als Eintrag ein ziemlich langer nichts sagender und keinen Sinn ergebender Name dabei ist z.B. AVUpdate mit dem verdächtigen Wert: ../jashla.exe, dann überprüfen Sie, wo diese Datei liegt und entfernen Sie anschließend den betroffenen Eintrag und auch die Datei.
Es bietet sich in diesem Schritt an, alle unnötigen Einträge zu entfernen um den Autostart etwas aufzuräumen. Aber Vorsicht: Wichtige Einträge (Virenscanner etc.) sollten nicht entfernt werden.

Für Experten:
Sie haben in den verschieden Pfaden der Registrierung nicht die Einträge vorgefunden (z.B. explorer.exe), sondern nichtssagende und keinen Sinn ergebende Namen, so löschen Sie nicht gleich den Eintrag. Schreiben Sie sich den Namen und den Pfad der Datei auf. Das sind wertvolle Informationen, um evtl. die bösartige Datei manuell zu untersuchen und zu löschen. Wenn  Sie den Rechner wieder im normalen Modus starten, können Sie diese Datei zur Überprüfung  im Internet zu Virustotal oder zu Jottis Malwarescan laden, siehe Abb.1 und 2, dort wird diese Datei mit bis zu 40 Virenscannern auf Viren und Malware überprüft. Wenn die Datei als Schadsoftware erkannt ist, können Sie die Datei löschen (Abb.2).

Abb.1

Abb.2

Eine weitere Möglichkeit wäre die Systemwiederherstellung das heißt, das System auf ein Datum vor der Infizierung zurück zu setzen. Dazu geben Sie in der Eingabeaufforderung (Dosbox) den Befehl ein:
Abhängig vom Betriebssystem entweder:
rstrui.exe oder den kompletten Pfad  \windows\system32\restore\rstrui.exe und bestätigen mit der Entertaste, nach wenigen Sekunden öffnet sich der Systemwiederherstellungsassistent.(Abb.3)

Abb.3

Abb.4

Dort klicken Sie auf “Computer zu einem früheren Zeitpunkt wiederherstellen” und bestätigen mit “weiter“. Nun suchen Sie einen Wiederherstellungspunkt vor der Infizierung (Abb.4) und bestätigen mit “weiter“. Der Computer wird nun zurückgesetzt.
Die Abbildungen 3 und 4 können je nach Betriebsystem etwas abweichen.

Grundsätzlich werden keine persönlichen Dateien oder E-Mails und ähnliche Dateien bei diesem Verfahren überschrieben bzw. gelöscht. Aber Sie sind immer gut beraten, vorher eine Datensicherung Ihres Systems zu erstellen.
Wenn die Wiederherstellung funktioniert hat und die Vorschaltseite des UKASH nicht mehr erscheint, wird die eigentliche Malware noch auf dem System sein. Sie sollten den Rechner gründlich mit verschiedenen Scannern überprüfen lassen.
Um 100% sicher zu gehen, dass der Computer “sauber” ist, empfehlen wir immer eine Neuinstallation

46 thoughts on “UPDATE 1: Trittbrettfahrer des Ransom UKASH – Trojaner (BKA- Trojaner)”

  1. Dieser Tipp hat wunderbar geklappt und war eine große Hilfe. Besonders da ich auf dem Gebiet ein Laie bin, bin ich froh endlich wieder auf mein Benutzerkonto zugreifen zu können. Ich gebe mich jedoch nicht der Illusion hin, dass die Sache damit erledigt ist, besonders da ich (durch vorher angewandte Scan-Software) gesehen habe was für andere Viren auf dem gesamten PC zu finden waren. Jetzt gehts ans Aufräumen.

  2. Meine Damen und Herren,
    was sollen die Menschen den machen wenn Sie diese
    wirklich gute Hotline Ende des Monats abschalten?
    Ich habe wirklich Angst, dann noch mit meinem PC in das Internet zu gehen,
    mir wurde sehr gut 2 mal geholfen per Telefon, und mir wurde versichert das ich
    nicht der einzige war.

  3. Hallo,
    die Systemwiederherstellung ist ein sehr guter Tip,aber wie schon oben beschrieben ist der Trojaner noch auf dem Rechner.
    Man gehe nach der Systemwiederherstellung wie folgt vor.
    Rechner normal hochfahren,dann mit linker Maustaste auf Start gehen,es erscheint das blaue Feld wo wir auch den Rechner runterfahren können,und auch die Anzeige “Ausführen”.
    Diese wird angeklickt und die Eingabe Regedit eingetragen.
    Nun hat sich der Regestrierungs-Editor geöffnet.
    In diesem Fenster klicken wir mit linker Maustaste “Bearbeiten an”.
    Dort öffnet sich die Taskleiste wo “suchen” eingetragen ist.
    Nun wird suchen angeklickt wo sich das Suchfenster öffnet.
    In dieses Fenster tragen wir “eloxor.exe ein und bestätigen dies mit weitersuchen,welch nach dem Eintrag aktivieren lässt.
    Der Rechner sucht jetzt alles durch was sich in der Registry unter diesem Namen verbirgt.
    Sobald er fertig mit suchen ist werden diese Einträge angezeigt.
    Die gezeigten Einträge nun mit rechter Maustaste aus der Registry löschen.
    Diese Prozedur machen wir nun mit “jashla.exe”
    Soweit so gut,die Einträge sind gelöscht,bzw in den freien Festplattenspeicher nur verschoben.
    Um diese nun von aussen unzugänglich zu machen empfehle ich den freien Festplattenspeicher mit cleanHDD oder auch ccleaner mehrfach zu überschreiben.
    Somit kann von aussen mit hoher Wahrscheinlichkeit nicht mehr zugegriffen werden.
    Diese Angaben sind allerdings ohne Gewähr,und somit die allersicherste Methode die Formatierung und Neuaufsetzung des Betriebssystems zu bervorzugen ist.

    Lg diffi 43

  4. Bei mir war der Name der bösen Datei “mahmud.exe”
    Ich habe diese in der Registry deaktiviert und dann von der Platte gelöscht

  5. Sytemwiederstellung hat geklappt. Allerdings ist ausser der Hintergrundbild nix anderes mehr da. Keine Menüleiste. Was soll ich jetzt am besten machen?

  6. Hallo, ich habe den Computer von meinem Sohn erst mal wieder freigeschaltet. Ich hatte bei mir auch die “…mahmud.exe” drauf. Danke erst einmal für den Tip. Jetzt muss ich noch aufräumen und säubern.
    Die Seite ist eine große Hilfe, danke dafür.

  7. Super, hat funktioniert – vielen Dank.
    Da ich allerdings unter den angegebenen Pfaden nichts gefunden habe, hab ich über die Suchfunktion “AVUpdate” gesucht und den Übeltäter dann doch gefunden.

  8. super hilfe. Bei mir war der Name der bösen Datei auch “mahmud.exe”. eure anleitung war perfekt, bei mir hat sich es in der shell eingenistet, so dass ich gleich drauf gestossen bin.
    danke fürs helfen.

  9. Hallo,

    bei mir hat der Virus auch zugeschalgen. Allerdings komme ich mit “regedit” weiter.
    Dann öffnet sich ein Fenster mit dem Hinweis “Die Bearbeitung der Registrierung wurde durch den Administrator deaktiviert”
    Was nun?

    1. Hallo Jo,
      versuchen Sie erneut in den abgesicherten Modus mit Eingabeaufforderung zu kommen. Geben Sie in der Konsole ein: gpedit.msc. Im neuen Fenster gehen Sie dann auf Benutzerkonfiguration -> Administrative Vorlagen -> System -> Überprüfen Sie ob “Zugriff auf Programme zum Bearbeiten der Registrierung verhindern” aktiviert bzw. konfiguriert ist. Wenn ja dann machen Sie einen Doppelklick auf den Eintrag und stellen auf “Nicht konfiguriert”. Danach auf ok, schließen Sie beide Fenster und geben Sie in die Konsole ein: shutdown -r -t 00. Starten Sie danach erneut den abgesicherten Modus mit Eingabeaufforderung und folgen der Anleitung.

      Gruß
      MG,
      ABBZ

  10. Bei mir war der Name der bösen Datei “mahmud.exe”
    Mit eurer Anleitung habe ich in gefunden. Hatte sich in der “shell” eingenistet, so dass ich gleich drauf gestossen bin.
    Lasse nun den Virenscanner (Avast!) und dann noch “Spybot” laufen.
    Danke!

  11. Infizierung auf Erotikseite xn…(erst sehr niedergeschlagen – aber selber Schuld!); AVIRA free hat nicht angeschlagen, Lösung im abgesicherten Modus, F8 funktionierte erst nach Zwischenmodus, AVIRA DE-cleaner ist wiederholt nicht durchgelaufen, SuperSpyware hat nicht angeschlagen (hat aber andere Viren gefunden) => manuelle Suche in Registratur als reiner Anwender mit letzter Kraft erfolgreich: es war AVUPDATE “mahmud.exe” in HKEY_CURRENT_USER\…\run (Suchfunktion hilfreich) – gelöscht in Registratur und in ablesbarer Datei.

    FAZIT: Bleibt auf sauberen Wegen in einer schmutzigen Welt (die wir besser machen sollten). Danke an diese sehr hilfreiche Plattformseite!

  12. Nach langem Hin und Her und achtstündigem Scan mit Avira DE-cleaner, der allerdings nicht fündig wurde, bin ich dem Übeltäter im Run-Verzeichnis unter der Bezeichnung AVUpdate mahmut.exe Auf die Spur gekommen. Nachdem ich den Eintrag gelöscht hatte, lief alles wieder reibungslos.
    Bin mir nur nicht sicher ob die Datei automatisch mitgelöscht wurde.Unter App.Data war sie jedenfalls nicht mehr zu finden. Vielleicht habt Ihr noch eine Idee?
    Vielen Dank für die wertvollen Tipps.
    Gruß, Peter.

    1. Hallo Peter,

      gerne helfen wir Dir in unserem Support-Forum unter http://forum.botfrei.de kostenfrei weiter. Erstelle dort einfach einen eigenen Thread mit allen Informationen aus diesem Kommentar und wir helfen Dir individuell weiter. Hier ist es einfach etwas unübersichtlich. 😉

      Grüße,
      TK, ABBZ

  13. Hallo,
    ich hab auch den Virus, wenn auch ohne “Ukash-Zahlungsmöglichkeit”, bei mir gehts nur mit dieser Karte.
    Hab meine Registry schon durchwühlt, finde weder jashla, mahmud oder AVUpdate, auch die Suche hilft nicht weiter. Der DE-Cleaner läuft grad durch, mal gucken was bei rauskommt.
    Hat sonst jemand nen Tipp, was ich noch machen könnte?

    Gruß Julian

    1. Hallo Julian,
      bei Ihnen ist wahrscheinlich die explorer.exe infiziert. Hier haben wir eine Anleitung für genau diesen Fall. Falls Sie noch Fragen haben, lade ich Sie in unser Forum ein.

      Gruß
      MG
      ABBZ

  14. Hi,
    als erstes 1000 Dank für die guten Infos hier.

    Dachte folgendes könnte vielleicht interessant/hilfreich sein:

    Entfernen hat zunächst mal geklappt. Hatte Ukash Vrojaner Version 2 (oder höher) auf dem Rechner und es handelte sich um die Datei “..\AppData\Roaming\mahmud.exe”.

    Der entsprechende Eintrag wie oben beschrieben hat auch gepasst:
    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

    In den Eigenschaften von mahmud.exe stand:

    LoonHugoProwlAlgo (sorry – bin nur 100% sicher was LoonHugo angeht – dann hab ich auf meinen Notizen etwas unleserlich gekritzelt…)
    NEC Computers Limited
    Version 2.8.99
    16.11.11
    15:04
    192 KB

    Habe dann noch mit CCleaner den Browsercache und temp files (etc.) gelöscht.

    Check mit Avira-DE-Cleaner zeigte dann keine Probleme mehr an. Prüfung mit bordeigenem Sohpos auch nicht. Externe Scanprogramme über Netz muss ich noch laufen lassen.

    Habe nun aber erstmal nach “mahmud” in der Registry gesucht und wurde an mehreren stellen Fündig:

    Computer\HKEY_LOCAL_MACHINE\SOFTWRE\WOW6432Node\Tracing\mahmud_RASMANCS

    Computer\HKEY_LOCAL_MACHINE\SOFTWRE\WOW6432Node\Tracing\mahmud_RASAPI32

    Jeweils die gleichen Werte:
    (Standard) REG_SZ (Wert nicht festgelegt)
    ConsoleTracingMask REG_DWORD 0xffff0000 (4294901760)
    EnableConsoleTracing REG_DWORD 0x00000000 (0)
    EnableFileTracing REG_DWORD 0x00000000 (0)
    FileDirectory REG_EXPAND_SZ %windir%\tracing
    FileTracingMask REG_DWORD 0xffff0000 (4294901760)
    MaxFileSize REG_DWORD 0x00000000 (1048576)

    Der genannte Ordner %windir%\tracing ist leer.

    Werde die Einträge jetzt löschen… kann aber nicht recht einschätzen welches Gefahrenpotential hiervon ausgeht. Kann sich der Trojaner auf diese Art woanders bereits unter einem anderen Namen getarnt haben und seinen “job” immer noch ausführen?

    Gruß,
    SMS

  15. hi ihr lieben,
    erstmal vorweg…ich bin ein total PC-depp. kenn mich gar nicht aus und kann mit nix was anfangen.
    hab das mit der Systemwiederherstellung versucht, aber das funktioniert einfach nicht. ich kann bei meinem PC (Window 7) auch kein Datum aussuchen auf das er zurücksetzten soll, sondern der gibt mir nur 2 Daten vor.
    Gibt es irgendeine Möglichkeit ein noch früheres Datum selbst auszusuchen?

    Außerdem habe ich im Task-Manager eine mahmud.exe Datei gefunden und den Prozess abgebrochen.
    aber bei Shell steht bei mir das ganz normale explorer.exe

    Ich versteh irgendwie gar nix mehr und weiß gar nicht wo ich anfangen soll.
    alles auf einmal hat ja aúch nichts gebracht.
    kann mir irgendjemand genau sagen was ich machen muss…..*dackelblick*

    ach ja und wie lasst ihr denn alle euren Virenscanner laufen. bei mir kommt die sperre sobald der Pc hochfährt. Außer noch schnell Task-Manager krieg ich nichts geöffnet.

    Danke schon mal im vorraus

    LG JK

    1. Hallo Jule, Sie sagen ausser dem Taskmanager geht nichts mehr, ist doch schon was… 🙂
      Geben sie im Taskmanager oben links bei Datei ->Neuer Task ->regedit ein. Nun öffnet sich die Registrierung. Klicken Sie ganz oben im Baumverzeichnis auf Arbeitsplatz so das dieser markiert ist. Nun gehen Sie oben auf Bearbeiten-> suchen-> und geben dort mahmud.exe ein und lassen suchen.
      https://blog.botfrei.de/2011/10/mit-windows-eigenen-tools-dem-bkaukash-trojaner-den-gar-ausgemacht/
      schauen Sie dort bei Abb.2

      Gruß ABBZ

    2. vielen Dank, meine Güte es hat funktioniert.
      ich war völlig aufgeschmissen, ich danke euch!

      LG Jule

  16. Leute, vielen, vielen Dank für die Tips 🙂 Hatte im abgesicherten Modus unter HKEY_CURRENT_USER unter Run auch diese avupdate-Sache mit der mahmud.exe… Hab das da gelöscht und mache jetzt mit Avira einen kompletten Systemcheck, der auch schon 2 Mal einen Fund der Malware angezeigt hat! Hoffe, daß mein Laptop dann wieder ausreichend gesäubert und sicher ist! Habt ihr eine Ahnung, ob man sich den Trojaner überall herholen kann oder nur bei bestimmten Aktivitäten im Netz? Habe ja oben schon was von einer Erotikseite gelesen und bei mir schlug er zu, als ich auf einer bekannten Plattform unterwegs war, die Filme und Serien bereitstellt 😉 Ist ja quasi an sich schon kein sicheres Terrain… Muß ich jetzt befürchten, mir beim nächsten Besuch da wieder so ein Mistfing einzufangen??

    1. Hallo Kat,

      Sie sollten in jedem Fall noch einen zweiten Komplettscan mit Malwarebytes machen um da sicher zu gehen. Eine Änderung Ihrer Passwörter ist sicherlich auch empfehlenswert!
      Der BKA-Trojaner ist ein sogenannter Drive-By-Download. Da reicht das blosse Ansurfen einer angegriffenen Seite aus, um durch den Schädling infiziert zu werden. Die Chance auf eine Infizierung liegt in den Bereichen Erotik, Warez und illegale Downloads allerdings um ein Vielfaches höher als auf “normalen” Webseiten.

      Grüße,
      CG (ABBZ)

  17. Danke für die Erklärung, CG!
    Das hab ich mir schon gedacht! Diesen Komplettscan über Malwarebytes werde ich dann auf jeden Fall noch machen!
    Ok, das heißt dann sicher, daß man sich vor solchen Drive-By-Downloads im Vorfeld auch nicht wirksam schützen kann, habe gelesen, daß es auch Rechner getroffen hat, die eine Vollversion eines Antivirenptogrammes besaßen 🙁

  18. Hallo,
    ich habe mir alles auf Ihrer Seite über den BKA-Trojaner durchgelesen und ausprobiert. Übrigens sind die Anleitungen auch für Laien wie mich sehr verständlich und ausführlich beschrieben – wirklich sehr gut gemacht. Nachdem ich weder eine Datei namens jashla oder mahmud und auch AVUpdate finden konnte, habe ich laut Anweisung explorer eingegeben, woraufhin sich das normale Explorerfenster geöffnet hat. Also scheint es dieser auch nicht zu sein. Außerdem erscheint bei mir auch unter Winlogon gar kein Eintrag namens shell.
    Ich habe dann eine Systemwiederherstellung durchgeführt und der Computer ließ sich ganz normal starten. Nach Installieren einer neuen Virenschutzsoftware wurde ein Neustart notwendig und prompt erschien wieder dieses BKA-Fenster! Zum Verzweifeln! Allerdings habe ich bei dem einen Mal als der Computer normal funktionierte im Taskmanager unter Prozesse den explorer zweimal entdeckt. Hat das was zu bedeuten? Ich würde mich sehr freuen, wenn Sie mir weiterhelfen könnten. Grüße Dilos
    P.S. Ich benutze Windows 7

  19. Vielen Dank für diese tolle Seite!!!

    Nach etlichen Versuchen hat die Systemwiederherstellung zum Erfolg geführt.

  20. Brauche dringend Hilfe: habe schon mehrmals mahmud.exe über regedit löschen und system wieder herstellen können. Hat nach 4 Tagen mehrmals täglich säubern ca. 2 Wochen Ruhe gegeben. Habe registry jeden Tag geprüft und Virenscanner laufen lassen. Heute morgen ist er wieder da. Nun scheint er sich anders einzuschleichen. Mahmud und jashla heisst er nicht mehr, in der shell steht auch explorer.exe. Systemherstellung zu einem anderen Zeitpunkt ist nur heute nacht möglich, da hat er sich aber wohl schon eingeschlichen. Ich weiss nicht mehr was ich noch suchen soll. Danke.

  21. Ich hab ihn per Hand in der Reg gefunden. Dann habe ich die Endung in der Reg geändert damit ich den PC starten kann. Funktionierte auch . Dann habe ich wie beschrieben die Datei mit – Jottis Malwarescanner – durchsuchen lassen. Dieser Scan hat ihn aber nicht als Virus oder ähnlichen eingestuft. Gruß Lothar

    PS: Bei dem Link zu Virustotal bekomme ich eine Fehlermeldung!

  22. Und schon wieder Windows user haben Probleme Trojaner und andere Mist Gott sei dank benutze ich Linux hahahaha.

    1. So, so! Ab und an sitzt die Sicherheitslücke aber auch vor dem Bildschirm, da hilft dann auch kein Linux als OS auf dem Rechner!

      Grüße,
      TK, ABBZ

  23. Zitat:
    “Dilos sagt:
    22. November 2011 um 23:22

    Hallo,
    ich habe mir alles auf Ihrer Seite über den BKA-Trojaner durchgelesen und ausprobiert. Übrigens sind die Anleitungen auch für Laien wie mich sehr verständlich und ausführlich beschrieben – wirklich sehr gut gemacht. Nachdem ich weder eine Datei namens jashla oder mahmud und auch AVUpdate finden konnte, habe ich laut Anweisung explorer eingegeben, woraufhin sich das normale Explorerfenster geöffnet hat. Also scheint es dieser auch nicht zu sein. Außerdem erscheint bei mir auch unter Winlogon gar kein Eintrag namens shell.
    Ich habe dann eine Systemwiederherstellung durchgeführt und der Computer ließ sich ganz normal starten. Nach Installieren einer neuen Virenschutzsoftware wurde ein Neustart notwendig und prompt erschien wieder dieses BKA-Fenster! Zum Verzweifeln! Allerdings habe ich bei dem einen Mal als der Computer normal funktionierte im Taskmanager unter Prozesse den explorer zweimal entdeckt. Hat das was zu bedeuten? Ich würde mich sehr freuen, wenn Sie mir weiterhelfen könnten. Grüße Dilos
    P.S. Ich benutze Windows 7”

    ————————————————————————————————————-

    Das war bei mir auch der Fall mit der doppelten explorer.exe, leider konnte ich kein Screenshot von dem BKA Screen machen, er war jedenfalls anders, als die hier zu findenden. Übrigens, habe Vista, Sp2, 32 bit…

    Was mir hoffentlich geholfen hat (obwohl ein ungutes Gefühl bleibt, so dass ich, wenn ich mal nen Tag Zeit finde, das System wohl doch noch neu aufsetzen werde):

    1. Ich kam per sehr schnellem und wiederholten Strg+Alt+Entf drücken dann doch kurz in den Taskmanager, und sah dort die doppelte explorer.exe.

    2. Mein Rechner hat ein zweites Benutzerkonto mit eingeschränkten Rechten. Darüber konnte ich den Rechner starten ohne den BKA Bildschirm…
    Habe darüber eine Systemwiederherstellung durchgeführt (Beschreibung dazu existiert hier bereits mehrfach).

    3. Habe über das 2. Konto meinem Avast Scanner einen Startzeitscan machen lassen.
    Ergebnis: 8 Funde

    4. Habe dann mir die Kaspersky Resue CD10 besorgt, und damit den WindowsUnlocker laufen lassen.
    Ergebnis: Alles gut

    5. Mit selbiger CD einen Komplettscan gemacht
    Ergebnis: 3 Funde

    6. Erneuter Scan (nach Löschend der Funde) mit Kaspersky
    Ergebnis: O Funde (zum ersten Mal gefreut…:-)

    7. Gebootet, mit dem 2. Konto eingeloggt, die Registry nach den hier zu findenden Anweisungen durchsucht
    Ergebnis: Nichts, was da nicht hin soll

    8. Gebootet und mit dem “infizierten” Konto angemeldet
    Ergebnis: Kein BKA Fenster mehr

    9. Erneut mit der Kaspersky Rescue CD gebootet und gescannt.
    Ergebnis: 0 Funde (zum zweiten Mal gefreut)

    10. Normaler Boot, Anmelden mit “ehemals? infiziertem” Konto
    Mailwarebytes laufen lassen.
    Ergebnis: 0 Funde (drittes Mal gefreut)

    11. SuperAntiSpyware laufen lassen
    Ergebnis: 0 Funde (mein hoffnung steigt, eine Systemneuinstallation doch noch zu vermeiden, aber wie gesagt, sicher ist sicher, wenn ich das nä. Mal viel Zeit habe…)

    12. Erstmal ne Runde BFBC” gespielt zum Frustabbau

    13. Plan: Morgen, vor dem normalen Start, nochmal mit der Rescue Cd booten und scannen….

    Fall das, was ich hier gemacht habe, jmd hilft, gerne…Übrigens: gut strukturierte Seite, das Lesen hat mich weit gebracht…Danke dafür!!!!

    Gerne ein Kommentar von den Mods,
    obs reicht, was ich betrieben habe,
    oder dochh lieber System neu drauf???

    Gruß an alle Gestressten!

    Übrigens:
    Auch wenns eigentlich klar ist, sollte man seine wichtigen Daten regelmäßig sichern!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Das beruhigt die Nerven, wenn man sich so nen Dreck einfängt,
    da das System neu aufzusetzen zwar keinen Spaß macht, und gerne mal 2 Tage dauert, bis alle Programme so wieder drauf sind, dass diese laufen.
    Aber mit nen paar Bierchen oder ner Flasche Rotwein geht sowas dann auch…
    Nur, wer nicht sichert, ärgert sich wohlmöglich über Datenverlust, wo vielvielviel Arbeit (Tage, Wochen..) drin steckte….

    Ingo

  24. HI, habe auch einen GVU-Virus, wenn ich nun den abgesicherten Modus mit Eingabeaufforderung starte, dann fährt der quasi normal hoch. Er zeigt mir die Dateien an die er lädt und denn kommt die Benutzerauswahl.

    Nix mit einloggen und denn kommt die DOS-Box, die wird übersprungen.

    Habe es schon mitAVG Tool probiert, leider ohne Erfolg.

    Hoffe es weis jemand rat

    Ist im übrigen Windows Viste

    1. Hallo Sven,

      gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem Support-Forum und erstelle ein Thema unter “Hilfe” –> “Windows Systeme”!

      Grüße,
      CS, ABBZ

  25. ich komme bei Administrationsrechte nicht weiter da muss ich immer wieder das selbe schrieben

  26. Hallo,
    Ich benutze Windows 7…
    Wie wiederherstelle ich das System ohne cd??habe kein zugriff auf meinen Desktop oder taskmanager (der zeigt keine Prozesse an)

    1. Hallo Davido,

      du kannst dich kostenlos in unserem Support-Forum anmelden. Unsere Experten helfen dir “Schritt-für-Schritt” bei der Bereinigung deines Rechners.

      Grüße,
      CG (ABBZ)

  27. Hallo an alle die mir helfen können -.-

    Ich hab schon alles probiert was hier steht -.-
    doch es klappt nichts

    kann mir einer bitte erklären was ich eventuell nicht gemacht haben könnte um den trojaner zu entfernen?
    Danke

    Neko

    1. Hallo Neko,

      die UKASH- Trojaner haben sich natürlich in laufe der Zeit verändert und diese Anleitung greift nicht mehr überall…

      Melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ

Kommentare sind geschlossen.