UPDATE 2: Trittbrettfahrer des Ransom UKASH – Trojaner (BKA- Trojaner)

UPDATE vom 30. August 2012:

Bitte beachten Sie: Da es mittlerweile weitere Varianten dieses Schädlings gibt, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.

Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter http://forum.botfrei.de wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.

Wie sich mittlerweile herumgesprochen haben sollte, gibt es viele verschiedene Varianten des UKASH BKA-Trojaners, welche auch verschiedene Vorgehensweisen benötigen. Es gibt leider noch nicht das ultimative Tool, was alle Varianten erkennt und auch entfernt.
Ein weiteres Tool welches sich bewährt hat, ist die Portable Version des SUPERantispyware. Herunterladen können Sie ihn hier.
Speichern Sie die Datei sas_zufallszahl.com* auf einem USB- Stick. Starten Sie den Rechner im abgesicherten Modus mit Eingabeaufforderung und verfahren Sie wie im Hauptartikel bei Abb.3 u. 4.  Starten Sie die Datei  SAS_zufallszahl.com vom USB- Stick. Das Programm wird initialisiert und schließlich gestartet.

Wie Abb. 1 zu sehen klicken Sie auf “Ihr Computer durchsuchen“, standardmäßig ist der Scanner auf c:\… und Kompletter Scann eingestellt (Abb. 2), klicken Sie auf “Weiter“.

Wenn das Ergebnis der Funde erscheint, kann es sein, dass dort ein Registrierungseintrag erscheint siehe Abb. 3 roter Kasten oben.
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ WINLOGON…
Dieser wurde aber nicht markiert, diesen müssen Sie markieren, der Superantispy weiß nicht, was er da machen soll und läßt diesen aussen vor, klicken Sie hier die oberste Checkbox, die untergeordneten werden automatisch markiert!! Drücken Sie auf „weiter“. Daraufhin werden die Funde entfernt und der Rechner wird neu gestartet. Nun sollte der BKA- Trojaner entfernt sein.

Hinweis:
Hierbei wird keine Gewährleistung bzw. Haftung übernommen. Ausführen und Bereinigen des Computers geschieht auf eigene Gefahr.
Egal, welches Tool Sie benutzen um Schadware zu beseitigen: Sie sollten vorher immer eine Datensicherung erstellt haben.

*bei jedem Download verändert sich der Dateiname 

72 thoughts on “UPDATE 2: Trittbrettfahrer des Ransom UKASH – Trojaner (BKA- Trojaner)”

  1. Leider hat auch diese Variante bei mir nicht funktioniert. Er fand zwar Schadenssoftware, allerdings – so wie es scheint – nicht diesen BKA-Virus.
    Gleich nach em Starten des PC erscheint immer noch diese Meldung.

  2. Ein erster Säuberungsversuch mit Avira de-Cleaner war bei meinem infiziertem PC ohne Erfolg. Das Antivirenprogramm hat den BKA-Virus nicht gefunden.

    1. Mit SuperAntiSpyware hat es, wie hier beschrieben, funktioniert. Der BKA-Virus ist entfernt. Werde mir aber trotzdem mal die Registry anschauen.

  3. huhu.
    ich habe das problem, das wenn ich den abgesicherten modus starte sofort wieder das BKA Bild erscheint. Ich hab quasi keine chance???

    Könnt ihr mir sagen wie ich trotzdem das SuperAntiSpyware benutzen kann???

    Biiitte um Hiilfe.

    THX <3

    1. Hallo, wie aus der Anleitung hervorgeht, sollten Sie den abgesicherten Modus mit Eingabeaufforderung auswählen!!

      Gruß ABBZ

  4. Hallo,

    bei mir kam gestern die BKA Meldung. Ich hab dann den PC manuell heruntergefahren und neu gestartet. Win XP 64 fuhr wie gewohnt hoch die Meldung erschien nicht nochmal. Ich informierte mich im Internet und entschied mich einen Systemwiederherstellungspunkt von Mittwoch zu wählen. Gesagt, getan. Habe seitdem keine neue Meldung gesehen und habe Avira Anti-vir, Malewarebytes und Ad-aware durchlaufen lassen, die nichts ädequates gefunden haben. Nun meine Frage: ist der PC wieder Trojaner frei? Oder was soll ich noch machen? Vielen Dank schon mal für die Hilfe!!

    1. Hallo,

      in Kombination einer Systemwiederherstellung und Scan mit mehreren verschiedenen Tools wie Malwarebytes und Ad-aware sollten Sie auf der sicheren Seite sein. Der BKA-Trojaner ist vergleichsweise harmlos, da keine weiteren Systemdateien oder Registrykeys, außer die in der Anleitung genannten, modifiziert werden.

      MfG
      ABBZ Team

  5. Hatte ich auch, in der letzten Woche.
    Da ich mir wöchentlich ein Image erstelle, habe ich das wieder auf gespielt.

    Aber ein Schock war es doch, dabei bin ich doch noch nie auf den beschriebenen Seiten gewesen, ganz bestimmt nicht, 😉

  6. hallo,
    hab mir den Trojaner vorletzte Woche eingefangen und bin gleich mit einem Bild von dem Trojaner zur Polizei und habe Anzeige erstattet. Hab zwar von der Polizei auch eine Kaspersky Rescue Disk 2010 bekommen, die aber leider nicht geholfen hat.
    Hab daraufhin meinen Lap zum Fachmann gebracht und nun läufts wieder ohne Problem 🙂
    Würde allen Betroffenen raten, sich Kaspersky Virenschutz zu kaufen, da das “normale” Antivir nichts gegen den Trojaner machen kann!
    Und ohne neuen Schutz kommt der Trojaner bald wieder…

    lg Nadine

    1. Hallo, es gibt immer eine Schwachstelle beim Schutz gegen Viren, Trojaner und andere Schädlinge. Irgendwann, und dies kann ich Ihnen garantieren, wird eine Version im Umlauf sein, die von Kaspersky oder von einem beliebigen Anti-Viren Produkt nicht erkannt wird. Die größte Schwachstelle in diesem Kollektiv ist immer noch der Benutzer der vor dem Bildschirm sitzt. Wenn ein Benutzer aufmerksam ist und nicht leichtgläubig jede E-Mail öffnen oder jeden Link anklickt, können geschätzte 99% der Infektionen verhindert werden. Danke. Gruß ABBZ

  7. Also ich habe das so gelöst bei einem Kunden

    PC starten nach Bios check F8 drücken und das Windows im Abgesicherten modus mit eingabeanforderung oder wie das heißt gestartet als Administrator reingegangen in der Konsole habe ich regedit eigegeben

    dann :
    nach
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    gehen
    den eintrag shell wieder geändert in explorer.exe und wolla das wars
    ein Viren progdurchlaufen lassen und er findet auch direkt was es war auch ein ableger vom Rasmon

    mfg
    mod

  8. Und was mache ich, wenn der abgesicherte Modus nicht geht?
    DE Cleaner ist über Nacht durchgelaufen, wenn das neue Teil dann nicht weg ist, weiß ich auch nicht.

    1. Hallo, bitte bedachten Sie, dass Sie “Abgesicherter Modus mit Eingebeaufforderung” auswählen. Gruß ABBZ

    2. Der geht leider genauso wenig.
      Oben links blinkt es nur, ich denk mal nach 20 Minuten warten kommt da auch nichts mehr. Naja, ich hoffe mal auf den De Cleaner 2.0. Wenn ich wenigstens eine gescheite Eingabeaufforderung hätte, wäre alles gut. Meinen Sie, dass es reicht, wenn ich per Linux Livecd die Registryeinträge lösche und mich danach (im Idealfall) einlogge und einen Malewarescanner durchlaufen lasse?

      mfg

  9. Also meine ex hatte das selbe problem, aber bei ihr hatte ich gott sei dank die zeit beim windows vista noch einen neuen benutzer zu erstellen und damitfunktioniert es erstmal wieder! habe noch nen durchlauf von avira gestartet, weiß aber zum jetzigen zeitpunkt leider nicht ob dieser was gefunden hat! also ne zwischenlösung ist halt auch noch fix nen neuen benutzer zu erstellen, denn darauf hat der trojaner keinen einfluß!

    MfG MasterD

    *hoffe ich konnte etwas helfen ^^

  10. Ich möchte Euch meine Lösung für WinVista anbieten.
    Benötigt wird dafür die Installations-CD von WinVista und ein wenig Kenntnis vom guten alten DOS.
    Und so funktioniert`s:
    Installations-CD ins CD/DVD-Laufwerk und im BIOS dieses Laufwerk als First Boot Device einstellen und speichern.
    Rechner neu starten, bei der Meldung “von CD starten” die entsprechende Taste drücken.
    Die Lizenzvereinbarung akzeptieren und bei der Auswahl “Installation” oder System wiederherstellen/reparieren” letzteres wählen.
    Im folgenden Menü kann man dann die Eingabeaufforderung anwählen.
    Nun kommt das gute alte DOS zum Einsatz.
    der entsprechende Befehl lautet:
    dir [Laufwerksbuchstabe, wo Euer Vista installiert ist, meistens C: ] [Name der gesuchten Datei, in meinem Fall jashla.exe, wenn das nicht funktioniert mahmut.exe, hängt vermutlich von der Version des Trojaners ab] /A: RHSI /S (bestätigen mit der ENTER-Taste)
    Das kann jetzt etwas dauern, je nach Größe der Festplatte.
    Gefunden wurde die Datei in meinem Fall im ROAMING-Ordner des entsprechenden Benutzers.
    Diese Datei mit dem DOS-Befehl del [Pfad zur Datei, wird Euch mit dem vorherigen Befehl angezeigt, genauso übernehmen] \jashla.exe löschen.
    Rechner neu starten, vorher CD aus dem Laufwerk nehmen.
    Der Rechner fährt wieder “normal” hoch, anschließend die Registry nach den entsprechenden Einträgen durchsuchen und die entsprechenden Einträge löschen.

    Anschließend einen Virencheck durchführen.

    Zur Vorbeugung empfehle ich die Verwendung einer so genannten Sandbox, beispielsweise BufferZonePro, ist eine Freeware, welche eine virtuelle Umgebung schafft für alle Anwendungen, die auf das Internet zugreifen.
    So kann ein Virus oder Trojaner nur in dieser virtuellen Umgebung Schaden anrichten, beim nächsten Systemstart ist wieder alles schick, als wäre nichts gewesen.

    MfG

    Marvin Gate-Way

  11. Ich habe zu wenig Kenntnisse, aber wenn ich der PC starte, habe ich
    überhaupt keine Chance bei dem Wahl zu kommen “abgesicherten Modus mit Eingabeaufforderung”
    Kann jemand mich Schritt für Schritt erklären was ich zu tun habe. Der PC started
    und das BKA Bild kommt auf. Also komplett gesperrt. Ich bin dankbar für jeder Hilfe.

    1. Wenn auf dem Computer nur ein einziges Betriebssystem installiert ist, halten Sie beim Neustart des Computers F8 gedrückt. F8 muss gedrückt werden, bevor das Windows-Logo angezeigt wird. Wiederholen Sie den Vorgang, wenn das Windows-Logo angezeigt wird und Windows normal startet. Sobald Sie Auswahlmenü des Safe-Modes sind wählen Sie “abgesicherten Modus mit Eingabeaufforderung” und befolgen weiter die Anleitung.

  12. Herzliche Dank an CG für die Anweisung. Morgen werde ich das Ergebnis an Ihnen miteilen. Ich bin jetzt auf der Arbeit. Ich wünsche Ihnen einen schönen Tag.

  13. Guten Morgen,
    Erstmal herzliche Dank, es hat wunderbar funktioniert. Ich war froh noch DOS Kenntnisse zu haben. Nur ein kleines Problem bleibt, jetzt habe ich keine Möglichkeit meine Fritzbox zu “finden” oder im Internet zu kommen ? Werd der PC trotzallerdem von der Virus blokkiert? obwohl ich der PC auf einem frührere Datum zurück gesetzt habe?
    Das Virus habe ich versucht zu finden, und im Arbeitsplatz diese File suchen lassen, aber es kommen keine Ergebnisse. Vielleicht haben Sie ein Idee.

    1. Hallo Peter,

      Sie sollten in jedem Falle über eine Neuinstallation Ihres PCs nachdenken. Die von uns gegebenen Hinweise dienen in aller Regel erst einmal dazu, dass Sie wieder Herr Ihres Rechners werden und die Möglichkeit haben wichtige Daten zu sichern, damit Sie diese nach einer Neuinstallation wieder/noch haben. Ich persönlich würde einem kompromittiertem System niemals mehr glauben schenken und produktiv einsetzen, und so schnell wie mgl. die Kiste neu aufsetzen.

      Grüße,
      TK, ABBZ

  14. Leider nicht erfreulich, aber das ist immer wenn die Ratschläge ernst gemeint sind. Ich werde Ihre Rat annehmen und tatsächlich neu installieren (lassen).
    Danke Danke Danke und mfg, aus Eschborn.

  15. Habe schon mehrere Tips versucht, immer ohne Erfolg.

    Jetzt hat es aber geklappt. Der Visrus ist wech. Dafür recht herzlichen Dank!

  16. so ging es bei mir nicht:

    “drückt während dem Bootvorgang F8 und wählt anschließend den abgesicherten Modus mit Eingabeaufforderung” Das hat nur zu einem blinkenden Cursor in der oberen linken Ecke geführt.

    so hat es bei mir funktioniert:

    Windows gestartet.

    Während Windows noch hochläuft den Drei-Finger-Griff Strg Alt Del, auch gerne mehrfach.

    Damit lies sich der Task-Manager starten bevor der Schirm mit dem Test des Erpressers erscheinte und so lange offenhalten bis der entsprechende Prozess (in meinem Fall jashla.exe) gefunden und gestoppt war. (u.U. 2-3 mal wiederholen bis man das Ding findet)

    Im Task Manager unter Datei-Neuer Task lies sich Explorer.exe starten und ich kam in meine Verzeichnisse wieder rein.

    Regedit: Dann war noch nötig in der Registry mindestens einen Eintrag zurückzusetzen

    [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

    Beim Eintrag “Shell” wird auf die Malware (z.B. jashla.exe) verwiesen.
    Dem Verweis folgen und im entsprechenden Verzeichnis die Malware löschen.
    Im Registry-Eintrag muss “Explorer.exe” eingetragen werden.

    Damit ist man nicht fertig. Meine Virenprogramme waren z.B. deaktiviert.

    Jetzt laufen diverse Virensucher, die aktuellesten Daten sich ge-back-up-ed und dann wird der Rechner in seinen Grundzustand versetzt, Windows neu aufgespielt und die Programme neu installiert. Das ist, denke ich, sicherer und geht schneller als 8 Virensucher laufenzulassen und dann doch noch unsicher zu sein.

  17. Ich sollte eigentlich auch den Trojaner auf meinem PC. Nur bei mir läuft alles wie immer und es wird auch nicht das Fenster beim Starten geöffnet. Hab jetzt alle Datein durchsucht und nix gefunden. Weiß jemand welche Dateinamen der Trojaner alles verwendet?

    Als sich das Fenster bei mir geöffnet hat, hab ich den Computer sofort heruntergefahren. Kann das vieleich daran liegen?

    mfg Maxi

  18. Hallo,
    zum entfernen der “jashla.exe” empfehle ich eine Live Linux CD/DVD zu benutzen.
    So kann man ohne Problem die entsprechenden Dateien löschen.
    Danach den PC im Abgesicherten Modus starten, der Desktop wird jetzt leer sein, Alt/Strg/Entf drücken und über den Taskmanager regedit aufrufen. Hier kann man nun den Desktop u.s.w. wieder sichtbar machen.
    Dann mit Malwarebytes Anti-Malware und SpyBot scannen und die Funde löschen.

  19. Ich habe mir gestern auch diesen Virus eingefangen. Mein PC ist lahm gelegt. F8 beim hochfahren zeigt keine Wirkung. Ich werde jetzt mal die Methode von Grrr! versuchen und darüber berichten.
    Oder gibt es mittlerweile eine andere bessere Methode??

    mfG

  20. So also bei mir ist das gestern auch passier. Ich war an meinem Laptop und da hat sich dieses Pop – Up Fenster geöffnet, mir war sofort klar das ich das nicht bezahle. Aber wie bekomme ich das jetzt weg… ich habe keine ahnung von pc deshalb meine 1.frage wie sicher ich meine daten ?? weil ich ja keinen direkten zugriff mehr habe auf den laptop. und 2. Starten Sie den Rechner im abgesicherten Modus mit Eingabeaufforderung ?? hää wo kann ich das machen??? Bitte helft mir ich bin verzweifelt… Vielen lieben Danke schon mal im Vorraus.

  21. super vielen dank
    aber da wäre noch meine erste frage wie sicher ich meine daten ??
    liebe grüße =)

    1. Unsere Tipps auf diesen Seiten dienen lediglich dazu, wieder Zugriff auf das System zu bekommen und wichtige Daten, die man nicht verlieren möchte, zu sichern. Einem zuvor kompromittiertem System, würde ich nie mehr vertrauen, sondern immer neu aufsetzen. (frisch installieren).

      Grüße,
      TK, ABBZ

  22. Mir war alles suspekt und (in Unkenntnis noch dieser Empfehlungen) habe ich Windows 7-64 gleich neu installiert; hat auch schon beim zweiten Versuch geklappt.
    Jetzt habe ich jedoch noch ein Verzeichnis “windows.old” mit 3 Unterverzeichnissen (Größe 15,7 GB), dass sich allen Löschversuchen mit Hinweis auf fehlende Berechtigungen widersetzt hat.
    Gibt es ein entsprechendes Programm?

    Grüße, RAEL

  23. Natürlich arbeite ich mit Adminrechten, keine Frage! Das Problem scheint zu sein, dass mir die “Adminrechte der zu löschenden Verzeichnisse” (alte Win-Installation) fehlen.
    Vielen Dank mit dem Hinweis auf Knoppix. Werde ich dann bei Gelegenheit ausprobieren!

    Grüße, RAEL

  24. Super, mit Knoppix gings natürlich. Vielleicht wäre es auch mit dem guten alten DOS gegangen … aber, wer hat das noch?
    Die Ansicht des “kompromittierenden Systems” kann ich nur teilen. Wenn es vollends NICHT gelingt, die Kiste auf einen vorhergehenden Zustand wieder zurück zu setzen, bleibt nur eine Neuinstallation. Es macht wenig Sinn, die Registry händisch zu “frisieren”; in der Regel werden so nicht alle Veränderungen eliminiert, die schaden.

    Vielen Dank

    PS.: Ich glaube, es ist auch nicht so verkehrt, Tipps außerhalb eines Themas abzugeben – wenn man weiß, wovon. Oder sagt, dass man davon wenig versteht, bzw. es zu komplex für diese Hilfe erscheint.

    Noch viel Erfolg!

  25. also ich hab ja eigentlich keine ahnung. nachdem ich mir den trojaner eingefangen habe, habe ich mit viel geduld eine systemwiederherstellung durchgeführt einen virenschutzdurchlauf und etc…….ich arbeite mit vista leider :o(. keine viren im system gefunden. lächerlich. ist ja eigentlich egal. hatte dann vor einfach ein neues betriebssystem draufzuspielen auch wenn meine daten dann alle futsch sind. das funktioniert aber leider nicht. er fängt an zu booten , lädt ein paar treiber und hört nach 2 minuten auf mit einem blauen bils´dschirm der mir sagt ich soll die festplatte nach viren überprüfen. hab meinen pc abgegeben und der junge sagte das sich dieser virus vielleicht sogar bis auf die hardware gefressen hat. ich bin am ende. was kann man da noch machen. ich kennen niemanden der mir meine festplatte diagnostizieren kann. wie es den anschein macht, bin ich die einzige die der trojaner so hart erwischt hat. bei den meisten reicht ne neue Bsoftware und ich kann die nicht mal mehr draufspielen. ist mein laptop wirklich totalschaden?

    1. Hallo Saddi,

      in der Hardware festfressen können sich Viren eigentlich nicht. Ich vermute eher, dass Du Deinen Master BootRecord neu schreiben lassen musst. Wende Dich hierzu bitte an unser Support-Forum unter http://forum.botfrei.de. Wir helfen Dir dort gerne weiter!

      Grüße,
      TK, ABBZ

  26. Hallo liebe “Windoofs-Geschädigte”,

    mit Schreck habe ich die o.a. Beiträge btrff. des dollen Betriebssystem von dem noch dolleren (Kill) Bill Gates überflogen. Welch ein Aufwand und was für ein Krampf an einem eh schon sehr bescheidenen Sys. rumzudocktern.
    An seine Daten kommt man ganz einfach mit einer Live-CD mit einer sehr benutzerfreundlichen Linux Distribution, ala´ Ubuntu / Kubuntu, auch Knoppix uvm.

    Zur Wiederherstellung des Master Boot Records gibt es die CD “Super Grub”….einfach genial…..

    http://wiki.ubuntuusers.de/Einsteiger

    Einfach mal ein wenig danach googeln. Es gibt auch zahlreiche super gemachte Videoanleitung auf Youtube dazu.

    http://www.youtube.com/watch?v=cnNDRNqEdjg

    Und mal ehrlich, wer benötigt schon ein suboptimales MS-System, aufwendig zu warten und in Schuss zu halten. Überall Sicherheitslücken, die man meist nur mit kostenpflichtigen und noch bescheidener Software wieder stopfen will/muss.

    Alleine die Zockerei (Windoofsgames) rechtfertigt für den einen oder anderen noch die Haltung eines so labilen Mimös´ chen.

    Für den “normalen” PC-Nutzer mit Email, Surfen, Chatten, Excel- und Schreibmaschine, reicht das sehr hübsche und stabil laufende Linux mit seinen ganzen Derivaten.

    ein paar Bsp.:
    http://pinguyos.com/
    http://karl-tux-stadt.de/ktuxs/?p=3060

    Nebenbei macht das Arbeiten damit auch Spaß, keine Gedanken an Virensoftware und Firewall verschwenden, die Hardware-Anforderungen sind bei weitem nicht so hoch wie bei den überfrachteten Windoofs-Spezifikationen, es funktioniert zumeist alles auf Anhieb nach der Installation, keine eiwges Nachinstallieren von dutzend Treibern, dies passiert wirklich während der Installation.( Einge Ausnahmen, lizenzrechtlicher Art bestätigen die Regel)

    Nun liegt es an jedem selbst einmal über den Tellerrand zu schauen…….

    Open your mind, use open source…..

    schönen Tag noch

    TB

  27. Hallo,
    bei mir stellt sich das Ganze insoweit anders dar, als sich meine Tochter den Trojaner auf meinem PC (Vista) nur auf ihrem Nutzerkonto eingehandelt hat, wogegen ich auf den anderen Nutzerkonten davon nichts bemerke. Ich könnte mir vorstellen, dass das die Bekämpfung erleichtert, oder? Kennt sich da jemand aus?

  28. Mithilfe des Update 2 konnte ich das Ding loswerden. Vielen Dank dafür!

    Die Maske bei meinem SAS sah zwar etwas anders aus als auf der Abbildung, hat aber dennoch gut geklappt. Der Scan hat insgesamt ca. 3 Std. gedauert.

    Nochmals vielen herzlichen Dank!

  29. HILFE!!!
    Habe seid heute morgen diesen BKA Trojaner auf meinem PC. Windows XP ist drauf.
    Alle Vorgänge hier haben nichts geholfen, ich weiß nicht mehr weiter. Eine Neuinstallation würde ich machen, aber ich habe meine Daten (Eigene Dateien) nicht gesichert…

    Gibt es mittlerweile eine neue Version dieses fiesen Trojaners???

  30. Update 2 hat mir bei meinem Problem auch nichts geholfen. Habe alle möglichen Scanner die Nacht durchlaufen lassen, mehrere Verdächtige Daten gefunden und gelöscht aber der Trojaner blieb hartnäckig

    Das nächste Problem war, das mir alle Adminrechte entzogen wurden weshalb ich auch keinen Zugriff in die Registry hatte

    Die Lösung war bei mir letzten Endes: Windows 7 im abgesichtern Modus mit Eingabeaufforderung starten. In der Konsole eingeben “msconfig.exe” -> Dienste -> Systemwiederherstellung starten. Zumindest komme ich jetzt wieder normal ins OS rein und kann meine Daten sicher vor der Neuinstallation.

    Hoffe ich konnte dem ein oder anderen helfen!

  31. So, habe nun endlich den infizierten Dateipfad gefunden.
    -> HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Run
    Dann den Ordner ‘avupdate’ anwählen und dort als Wert ‘explorer.exe’ einpflegen.
    Der Virus endete mit …mahmoud.exe
    Vielen Dank für eure Hife !!!

  32. Hi!
    Hatte den verseuchten PC eines Freundes auf dem Schreibtisch. (XP SP 3)
    Nach vielem Ausprobieren gelang es schließlich so:

    1. Antivir DE-Cleaner (wie hier beschrieben) auf anderem PC auf USB-Stick
    2. Virus-PC im abgesicherten Modus F8
    3. AUF KEINEN FALL DEN EXPLORER anmachen, um den Stick zu suchen!!!!
    Den HIER ist der Feind!
    4. den Taskmanager aufrufen über cmd. Man sieht, ob der Virus aktiv ist oder nicht, wenn unter Systemleistung die CPU nicht zu 100 oder fast 100 Prozent ausgelastet ist. (Hatte nämlich von hier den Tipp mit dem explorer ausprobiert, das Virusbild war da und die CPU quälte sich bei 100 %)
    5. Dort neue Aufgabe oben links, Befehl “durchsuchen”, dann über Button Computer auf den Stick zugreifen und dort dann Antivir starten. Ja, dauert eine Zeitlang. Und irgendwann hatte ich das Gefühl, er würde stehen bleiben, bin mir aber nicht ganz sicher. ABER, ich drückte dann abbrechen, er hatte inzwischen bereits 4 Schädlinge gefunden. (;Mein Kumpel ist gut im Netz unterwegs gewesen…)
    Bei Abbrechen kommt dann trotzdem das Feld, was soll mit den bisher gefunden Sachen passieren, also entfernen.
    UND AHA, SIEHE DA: Eine infizierte Datei war Explorer.exe höchstselbst!
    6. Ergänzend holte ich mir noch das “superantispyware” (siehe auch oben), wieder über den Taskmanager auszuführen. Dauert auch etwas. Der fand hier keine Schädlinge mehr, aber diverse Cookies von diesen und jenen Seiten. Nun, auch weg. Reboot.
    7. Problem: Desktop Leiste und Icons weg. Jetzt war mir klar, warum es vorher schon auf dem Desktop nur den Hintergrund gegeben hatte aber alles andere nicht. Die Datei vom Explorer war durch eine verseuchte ausgetauscht worden!
    8. auf den Stick vom heilen PC (auch XP SP3 !!!) die Datei aus C:\Windows explorer.exe kopiert – unbedingt in keinen Unterordner, sondern ganz oben!!!!
    9. Nun wird’s altomodisch: Denn ich habe ja auf dem Ex-Virus-Rechner ja noch keinen Explorer, auch wenn ich hochfahre, um die Datei rüberzuholen. Wir brauchen DOS-Befehle! (jedenfals ich 😉 )
    10. Also Ex-Virus-Schleuder normal hochfahren. Dann Affengriff Strg-Alt-Entf. Der Tastkmanager. Dort neue Aufgabe: cmd eintippen und die schon bekannte Eingabeaufforderung ist da.
    11. Dort Eintippen Buchstabe des Sticks (wenn ich’s nicht weiß, dann herausfindbar auch über neue Aufgabe dann “Durchsuchen” – Computer – da ist dann der Laufwerksbuchstabe.)
    Also dann so: h: und Entertaste (Bzw. Euer Buchstabe für den Stick eben D oder E oder….) Es sollte nun eben der neue Buchstabe mit dem Doppelpunkt blnken, wir sind jetzt auf dem Stick.
    12. dann dort eigeben: copy explorer.exe c:\windows Entertaste drücken, kurz warten, fertig.
    13. jetzt am einfachsten einfach neu starten, dann ist alles wieder da
    14. nun aber noch unbedingt einen superaktuellen Virenscanner laden. Der Kumpel hatte noch eine ältere Antivir drauf. Also die neue 12er Version und Komplettscan. Dabei fand ich noch einige andere Trojaner.
    15. Fazit: Hört sich nach einiger Arbeit an, war’s auch, aber eher die Recherche. DAs Machen dann ging eigentlich. Ob hier der verseuchte exlporer tatsächlich der BKA-Virus war oder ein anderer der gefundenen Fieslinge? Ich glaube ja, da ja bei dem einen Versuch mit dem explorer.exe eingeben im Taskmanager um auf den Stick zugreifen zu können ja tatsächlich sofort das BKA-Bild auftauchte und der Virus dann aktiv war (CPU-Auslastung).
    16. Viel Erfolg – Vinceremos Companeros!

  33. Hallo. Habe auch den Trojaner. Habe erst das Antivir ausprobiert. Hatte neun gefunden aber nur 5 gelöscht…danach immer noch das doofe Bild. Dann habe ich versucht über regedit.exe zu löschen. Habe auch Datein gefunden und mit explorer.exe versehen doch nun fährt mein Laptop immer mit windows 7 ultimate hoch und meldet sich dann sofort wieder ab, so dass ich nicht mal im abgesicherten Modus arbeiten kann. Benötige dringend Hilfe. Sind wichtige Dateien drauf. MFG

    1. Hallo IP,

      gerne helfen wir Dir individuell weiter. Melde Dich bitte hierzu in unserem Support-Forum kostenlos an: http//forum.botfrei.de und erstelle für Dich ein eigenes Thema. Hier ist es uns leider aufgrund der schlechten Übersicht nicht mgl. Support zu leisten.

      Grüße,
      TK, ABBZ

  34. Hallo .´Hatte mir auch den Trojaner eingefanen und das Tool laufen lassen . Bei mir hat es 4 Einträge gefunden die “Browser Hijack.Deskbar” hießen. Nach dem Neustart bekam für kurze Zeit der Desktop zu sehen , nach ca 5-6 Sekunden wurde der Schirm allerdings grau und der Trojaner installierte sich wieder neu .
    Hab eben über die Systemwiederherstellung den letzten Wiederherstellungspunkt erstellen lassen , jetzt scheint der Trojaner außer Gefecht zu sein . Lasse gerade meinen Virenscanner laufen . Vielleicht sind die Dateien noch vorhanden um sie an ein AV-Labor zu schicken.

    1. Hallo schensi,

      denke bitte daran dein System auch nach der Systemwiederherstellung noch einmal komplett durchzuchecken, z.B. mit Malwarebytes Anti-Malware. Es können immer noch Reste auf dem PC übrig sein.

      Gruß
      CG, ABBZ

  35. Hallo,
    Ich habe das Problem, dass meine Shell Datei in der reg schon Explorer.exe heißt. Habe dann gelesen, dass ich wohl die “neue Version” des BKA Virus habe. Habe dann, wie beschrieben über den abgesicherten Modus mit eingabeaufforderung mein pc gestartet und den ‘DE- cleaner’ und ‘Superantispyware’ durchlaufen lassen. Ergebnis: einiges an adware gefunden aber nicht den Trojaner… Habt ihr vllt n besseres Viren Programm oder was kann ich jetzt machen ?
    Vielen dank für eure Hilfe 🙂

  36. Danke für die Antwort 😉 der link ist gut! ich hab Vista als Betriebssysthem… Welche Variante soll ich nun nehmen? XP oder Windows 7 Variante? Oder was ganz andes?

  37. Wenn Ihr irgendwie noch ein Programm starten könnt, Anti-Malware von Malware-Bytes wird Ukash, oder ähnliche Trojaner wie z.B. “system restore” sicher beseitigen.
    Danach würde ich aber
    – nicht mehr als Administrator ins Netz gehen (Gefahr der Reinfektion !),
    – bis auf weiteres auf Telebanking verzichten,
    – vorläufig Kreditkartendaten nicht mehr online eingeben und
    – öfter als üblich wichtige Dateien sichern.
    Ein komplettes Neuaufsetzen des Betriebssystems ist dann nicht notwendig.

  38. Hallo Zusammen!

    Ich bin am verzweifeln, da ich wahrscheinlich die ganz fiese Nummer des BKA Trojaners habe. Der Trojaner schafft es meinem PC “zu erzählen” ich hätte keine Wiederherstellungspunkte gesetzt (was nicht stimmt, die werden regelmäßig Sonntags von Acronis erstellt) und er schafft es sich gekonnt zu verstecken.
    Alle Registry- Einträge unter “shell” und “run” sind sauber, bzw. kenn ich die wenigen Dateein die dort aufgeführt wurden sind. Auch die Möglichkeit das meine Explorer.exe infiziert sein könnte bin ich durchgegangen. Die ist sauber.
    Weder der ‘DE- cleaner’ und ‘Superantispyware’ sowie ‘Kaspersky’ konnte diesen Trojaner finden und lahm legen.
    Ich bin mir relativ sicher das ich mir das Ding über Java eingefangen habe. Die Konsole habe ich bereits mehrfach mit den Avira DE-Cleaner gereinigt.
    Langsam weiß ich nicht mehr was ich noch tun soll, außer die Platte auszubauen und beim Fachmann platt machen zu lassen.
    Hoffe ihr habt noch ein paar Tipps für mich? Mein PC- Kenntnisse sind ganz gut, kann mit Fachbegriffen umgehen.

    Vielen Dank schon mal.

    1. Hallo Herby,

      gerne helfen wir Dir kostenfrei in unserem Support-Forum weiter. Registriere Dich hierzu bitte einfach unter: http://forum.botfrei.de und beschreibe uns Dein Problem dort nocheinmals. Hier im Blog ist es für uns einfach unmöglich und zu unübersichtlich!

      Grüße,
      TK, ABBZ

  39. bei einem bekannten scheint die trojanerdatei b8ufi0wo.exe zu heissen und war in user/appdata/roaming zu finden. hoffe, das löschen hat jetzt endlich was gebracht……..

  40. Hatte mir eine sehr aggressive Variante eingefangen, bei der der abgesicherte Modus geblockt wurde. Mit der Kaspersky rescue disk 10 und dem ebenfalls von Kaspersky angebotenen Winunlocker für die “registry” habe ich nunmehr wieder Zugriff auf den abgesicherten Modus. Allerdings besteht keine Möglichkeit diesen zu verlassen und Windows Vista wieder normal zu starten. Selbst bei der Menüwahl für Windows über F8 und “windows normal starten” lande ich im abgesicherten Modus. Die Systemwiederherstellung wird formal ausgeführt und der gewählte Zeitpunkt hergestellt. Das zuvor beschriebene Problem bleibt, ich kann nur den abgesicherten Modus verwenden.

  41. Hallo, Ihr Lieben, habe das selbe Problem wie alle hier, habe die F8 Geschichte gemacht und auch regedit, habe aber keinen curser in diesem Bereich. Was nun?Gruß Wolle

  42. Hallo,

    ich habe mir auch dieses Virus eingefangen und dann diesen Weg mit dem DE-Cleaner durchgeführt. Jedenfalls ist der Virus immer noch vorhanden, hat sich also nichts verändert. Leider habe ich keine große Ahnung von PC´s und ich weiß nicht, was ich jetzt machen soll. Könnt ihr mir vielleicht helfen oder sagen, wo ich eine detailliert anleitung finde?

Kommentare sind geschlossen.