Neue BKA-Trojaner Variante infiziert die explorer.exe

UPDATE vom 30. August 2012:
Bitte beachten Sie: Da es mittlerweile weitere Varianten des hier abgebildeten Schädlings gibt, welche optisch ein ähnliches oder identisches Erscheinungsbild haben, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.
Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter https://botfrei.de/forum wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.

Seit neuestem kursiert eine weitere BKA-Trojaner (UKASH) Variante 3, die die explorer.exe unter Windows mit einer infizierten explorer.exe austauscht. Hier stellen wir Ihnen zwei Anleitungen vor, mit Hilfe dessen Sie den BKA-Trojaner beseitigen können. Bei der ersten Variante ersetzen sie manuell die infizierte explorer.exe. Diese Anleitung wird jedoch nur für computererfahrene Benutzer empfohlen.
Allen anderen Benutzern empfehlen wir die Systemwiederherstellung (weiter unten) bzw. den automatischen Reparaturmodus mit Hilfe der Windows CD.

Achtung: Diese Lösung richtet sich nur an WindowsXP-Benutzer!
Windows 7 Benutzer lesen hier weiter.

1. Manueller Eingriff
Wenn Ihr PC infiziert ist, sehen Sie folgenden Bildschirm:

1. Starten Sie Ihren PC neu und drücken beim Hochfahren mehrmals die F8-Taste. Danach wählen Sie den “abgesicherten Modus mit Eingabeaufforderung“. Nach der Windows Anmeldung sehen Sie die Konsole (schwarzes Fenster). Dort geben Sie ein:

cd
dir explorer.exe /s

Jetzt überprüfen Sie die Größe der gefundenen explorer.exe Dateien. Die Größe  von ca. 178.668 Bytes bedeutet, dass die explorer.exe im Windows Ordner infiziert ist. Die originale explorer.exe hat eine Größe von ca. 1.035.264 (ca. 1MB) und liegt im Cache Ordner “dllcache”. Sollte keine explorer.exe im dllcache Ordner vorhanden sein oder die explorer.exe eine Größe von ca. 178.668 Bytes haben, gehen Sie bitte zur Anleitung Systemwiederherstellung (unten).

2. Geben Sie jetzt folgenden Befehl ein. Mit diesem Befehl überschreiben Sie die infizierte Datei mit der Originalen. Bestätigen Sie das Überschreiben mit “J”.

xcopy c:windowssystem32dllcacheexplorer.exe c:windows

3. Danach überprüfen Sie erneut die Größe der Datei im Windows Ordner mit dem Befehl: “dir explorer.exe /s”. Sollte die Größe ca. 1.035.264 Bytes betragen, können Sie den PC herunterfahren. Hierzu geben Sie den Befehl: “shutdown -r -t 00” ein. Der PC fährt nun im normalen Modus hoch und die Reparatur ist hiermit abgeschlossen. Wichtig: Überprüfen Sie Ihren PC zusätzlich mit Malwarebytes.
________________________________________________________________________

2. Systemwiederherstellung

1. Starten Sie den PC im “abgesicherten Modus mit Eingabeaufforderung”. Melden Sie sich an. In der Konsole schreiben Sie nacheinander:

cd
cd windowssystem32restore
rstrui.exe

2.  Wählen Sie in der grafischen Systemwiederherstellung “Computer zu einem früheren Zeitpunkt wiederherstellen”. Klicken Sie auf “Weiter”.
3. Wählen Sie im Kalender ein früheres Datum zur Wiederherstellung aus. In der Liste erscheint der Eintrag zu diesem Datum. Klicken Sie auf “Weiter”.
4. Im nächsten Dialog wird der von Ihnen gewählte Wiederherstellungspunkt angezeigt. Bestätigen Sie die Warnmeldungen, indem Sie auf “Weiter” klicken.
5. Der Fortschritt der Systemwiederherstellung wird angezeigt. Der PC fährt automatisch wieder hoch.
6.  Die Wiederherstellung ist abgeschlossen. Klicken Sie auf “OK”. Überprüfen Sie Ihren PC zusätzlich mit einem Anti-Viren Produkt, z.B. mit Malwarebytes
Weitere Unterstützung bei der Bereinigung des BKA-Trojaners erhalten Sie in unserem Forum.