Zusammenfassung: Ransom UKASH – Trojaner (BKA-Trojaner)

Er kündigt sich als eine wichtige Nachricht des BKA (Bundeskriminalamt) oder der Bundespolizei an, entpuppt sich aber als ein fieser Erpressungs-Trojaner. Er sperrt die Oberfläche des Windows-PCs und bittet den PC-Besitzer zur Kasse (über den Bezahldienst UKASH).

Aber was nun? Lassen Sie sich nicht erpressen – werden Sie botfrei!


Erfahrungsgemäß nistet bzw. infiziert diese Schadware das Betriebssystem an 30 verschiedenen Stellen. In der Regel benötigt man aber nur eine Stelle, um den Trojaner an der Ausführung zu hindern. Und diesen Eintrag gilt es zu finden!

1. Registrierung (Registry)

In der Registrierung können Sie über Bearbeiten -> Suchen durch Eingabe von Jashla.exe bzw. AVUpdate nach diesen Einträgen suchen lassen. Wenn Sie fündig geworden sind, löschen Sie den Eintrag nicht einfach, sondern lesen Sie erst die Vorgehensweise im weiterführenden Blog. Schreiben Sie sich den Pfad auf, wo das betreffende Schadfile liegt und löschen dieses manuell oder lassen Sie nach Neustart des Rechners das Tool Malwarebytes den Rechner gründlich scannen. Lesen Sie aufmerksam diese Anleitung.

2.
a) USB-Stick

Die weniger versierten User sollten das Verfahren mit der USB- Stick und dem portable Tool Superantispyware versuchen, wobei auf das Ergebnis geachtet werden muss, es ist möglich, das das Tool nicht direkt etwas mit dem gefundenem Eintrag in der Registrierung anfangen kann, deshalb muss dieser Eintrag im Ergebnis manuell zur Löschung markiert werden, siehe Anleitung.

b) Boot-CD erstellen

Sie haben die Möglichkeit eine Boot-CD zu erstellen. Dies greift unter das Betriebsssystem und scannt von dort den Rechner. Folgen Sie dazu unsere bebilderten Anleitung.

3. Systemwiederherstellung

Sie haben die Möglichkeit über den abgesicherten Modus mit Eingabeaufforderung eine Systemwiederherstellung zu aktivieren. Sie sollten erfahrungsgemäß ein Datum wählen, das einige Tage vor der Infizierung liegt. Bei der Wiederherstellung werden nur Systemdateien zurückgeschrieben. Persönliche Dateien und Programme bleiben unberührt – hierzu die Anleitung.

4. Benutzerkonten

Sind auf dem Computer mehrere Benutzerkonten vorhanden, haben Sie jetzt alle Möglichkeiten diversen Tools aus dem Internet zu laden wie z.B. das Tool Malwarebytes. In der Regel sperrt der BKA-Trojaner nur ein Benutzerkonto, die anderen bleiben davon unberührt. Anleitung.


5. infizierte explorer.exe

Starten Sie den Rechner im abgesicherten Modus mit Eingabeaufforderung und geben Sie in der CMD-BOX zur Überprüfung “explorer.exe” . Öffnet sich die BKA-UKASH Screenlocker Seite, ist das ein Indiz dafür, dass die explorer.exe infiziert ist. Lesen Sie dazu diese Anleitung


Fazit
: Viele Weg führen nach Rom. Leider gibt es noch nicht das “ultimative” Bereinigungs-Tool, aber einige sehr gute Ansätze zur Bereinigung. Wenn sie aber 100% sicher gehen wollen, kommen Sie an einer Neuinstallation nicht vorbei.

Teilen Sie ihre Erfahrungen mit uns, besuchen Sie uns doch einfach in unserem Support-Forum unter forum.botfrei.de oder holen Sie sich dort adäquate Unterstützung aus unserer noch jungen Community! Werden Sie botfrei! 

28 thoughts on “Zusammenfassung: Ransom UKASH – Trojaner (BKA-Trojaner)”

  1. Hallo, kurzer Erfahrungsbericht, wie ich als ziemlicher Laie den Trojaner trotzdem aus meinem Windows Vista losgeworden bin:
    Nachdem ich festgestellt hatte, dass eigentlich nur ein Benutzer ohne Administratorrechte betroffen war und im Task Manager in den Prozessen bei anderen Benutzern keine verdächtige exe-Datei angezeigt wurde, ließ ich eine Systemwiederherstellung über eine einen Tag vor Auftreten des Trojaners in Windows offenbar automatisch erfolgte Sicherung laufen, die aber nichts brachte.
    Danach bin ich den von TB hier empfohlenen Weg gegangen, bei nur einem befallenen Benutzerkonto das Tool Malwarebytes einzusetzen. Das brachte allerdings auch nichts, zumal mir beim Laufenlassen des aus dem Internet heruntergeladenen neusten Release-Standes der Fehler “Programm_Error_Updating (11004, 0, No address found)” angezeigt wurde, womit ich natürlich nichts anzufangen wusste.
    Dann las ich zufällig, dass man bei einer Systemwiederherstellung sich eines mehrere Tage zurückliegenden Sicherungsstandes bedienen sollte. Gelesen – getan: Ich nahme eine Sicherung, die ca. eine Woche vor der Infizierung lag, und siehe da, die blöde Bupo-Ukash-Seite war verschwunden und die erfolglose Malwarebytes-Software war auch wieder weg – wie praktisch!
    Somit hat sich der in einem Stiftung Warentest-Heft von mir entdeckte Tipp bewährt, im Internet möglichst als Benutzer ohne Administrationsrechte zu surfen.

    1. Hallo vielen dank für diesen tollen Tip habe es gerade nach Deinen Erfahrungen mit Erfog durchgefuhrt und es hat einwandfrei geklappt

      Noch einmal Vielen Dank

      koeln 05.02.2012

    1. Hallo Domi,
      das kann man so pauschal nicht beantworten, da der BKA-Trojaner in verschiedenen Versionen erscheint und somit eine Erkennung erschwert. Wenn Sie eines dieser AV-Produkte nach Ihrer Wahl installieren sollte das ausreichen. Hier finden Sie eine Liste empfohlener AV-Produkte: https://www.botfrei.de/privat.html Unter “kostenlose Virescanner”

      Gruß
      MG, ABBZ

  2. Hallo,
    alles, was bisher geraten wurde, könnte im Falle trotzdem nicht – wie bei mir – zum Erfolg führen. Ich hatte eine Version des “Ukash” auf meinem Rechner (XP SP3), die zumindest zusätzlich (da ich vorher alle angeratenen Erkennungsprogramme hab’ laufen lassen, weiß ich nicht, ob die den Ukash entfernt hatten) einen Ersatz für den Original-Explorer überklatscht hat (eigentlich ein alter Trick). Die Version hat nur 178 KB und ist daher leicht zu erkennen. Löschen oder Umbenennen hilft ungemein. Beim Neustart – alles ist soweit in Ordnung – sieht man, dass auf dem Desktop ein Verweis auf (bei mir) 0.1306995598134124.exe mit identischen Eigenschaften vorhanden ist. Der sollte natürlich ebenfalls vernichtet werden. Weitere Arbeiten habe ich noch nicht vorgenommen. Wie schon auf Vor-Beiträgen erwähnt, gibt es aber ohne Neuinstallation keine 100%ige Sicherheit.
    Viel Erfolg
    Töcky

  3. Es gibt mittlereile eine Variante des Trojaners die auf Paypal Codes besteht.
    Dieses ist Benutzer gebunden d.h. das wenn man sich mit einem anderen Benutzer anmeldet. Dieses Erpressierische Fenster nicht geöffnet wird.

    Deshalb sollte man mindestens 2 Benutzerkonten auf einem PC haben.
    Löschen lies sich die die Ransomware mit Combofix.

  4. Für alle wo der Tastmanager nicht mehr geht!

    Einfach eine *.reg Datei anlegen (z.B. durch eine *.txt in *.reg umbenennen) und das hier eintragen:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    “DisableTaskMgr”=dword:00000000

    –> hier noch um die richtige Explorer.exe wieder zu aktivieren (als kleiner Zusatz, kann jedenfalls nicht schaden)!!!
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    “Shell”=”explorer.exe”

    dann doppelklick daruf und mit ja bestätigen!

    Oder die manuelle Variante in den “regedit” gehen (auf “Ausführen” gehen und regedit eingaben) und den Pfad gehen:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

    und dann den wert bei “DisableTaskMgr” auf “0” setzten.

    Hier noch eine hilfreiche Seite:
    https://blog.botfrei.de/2011/07/anleitung-bka-trojaner-manuell-uber-die-registry-entfernen/

  5. Hi Leute, hab das ding gut entfernt, wie schützt man sich vor einem erneuten befall?
    irgendwo muss ich doch ne sicherheits lücke haben….

    jdownloader läuft mit java, kommt das ding hier rein?

    ms security essentials läuft
    spybot und noscripzt im firefox…

    was soll ich machen?

  6. Hi,

    warum sind Ihre Seiten nicht per TLS gesichert? Ich würde gerne etwas sicherer sein, dass ich hier keine Falschinformationen von Hackern zugespielt bekomme… 😉 und was halten Sie eigentlich von DNSSEC? Ist das OK?

    Mit freundlichen Grüßen
    Karsten

  7. hallo.

    ich durfte mich damit leider auch plagen (w7/64bit), konnte aber mit dem befehl ALT+F4 wieder auf die oberfläche gelangen. der explorer war auch runterfahren, so dass ich den im taskmanager manuell gestartet hatte. danach hatte ich die einschlägigen schlagwörter suchen lassen (festplatte + registry) und sie entfernt.
    erstmal war das teil also ausser funktion!

    leider hatte ich zum zeitpunkt eine externe festplatte angeschlossen, die ebenfalls infiziert wurde. dort wurde ein versteckter ordner angelegt. um diese ordner zu sehen, muss man ersteinmal den dateiexplorer anders einstellen.

    natürlich sollte die datei runter von der festplatte, lies sich aber nicht löschen.
    die schreib- und leserechte lagen bei einem kryptischen admin-user. nach etwas wartezeit, änderte sich dieser user in “eigener name home”. (eigener name = wie ihr euren pc benannt habt).

    selbst in den erweiterten einstellungen mittels admin-konto, dass ich diesem von mir genutztem admin-konto die rechte zugeschrieben habe, lies sich dieser ordner nicht löschen.
    das gleiche problem habe ich dann auf den festplatten vom pc gefunden, dass hier ordner angelegt wurden, die nicht löschbar waren. lediglich einige dateien aus diesem ordner waren löschbar.
    in den verbleibenden dateien habe ich dann die befehle gefunden, dass sich dieses teil erneut installiert, bei jeder verbindung mit dem internet. firewall und virenscanner wurden irreparabel beschädigt, bei jedem neustart.

    fazit:
    ich konnte zwar meine daten retten, aber letztendlich musste ich das system neu aufsetzen.

    1. @ FN: probiers mal mit einem Programm, das diese Bereiche mit nullen überschreibt (z.B.: McAfee testversion)

  8. Wo wir schon beim BKA-Trojaner wären – was ist mit dem “echten” Bundestrojaner, also dem von realen Polizeibehörden eingesetzten Ding?

    “Offizielle” Seiten wie dns-ok.de gibt es dazu wohl weniger…

    Was ist eurer Meinung nach, für Laien die beste Möglichkeit, einen Befall zu erkennen/ beseitigen?

    Da sich die Meinungen über (il)legalität von Trojaner & Einsatz teilen, kenne ich die Rechtslage z.Zt. nicht…
    ich weiß nicht wie weit ihr dem BSI “untersteht”… ist es euch als Projekt einer Bundesbehörde überhaupt “möglich”, hierzu Tipps zu geben?

    Danke und Gruß!

  9. Garfield eine zweite Partition wie Linux einsetzen zum surfen,damit gehst du diesen zumindestens erstmal aus dem weg und den ganze ausführbaren Dateien Sortimenten ,die es nun schon mitlerweile in zich verschiedenen Varianten gibt vom BKA Trojaner.

  10. Habe jetzt jede Möglichkeit die hier aufgezählt ist ausprobiert aber nichts hat funktioniert. Ich bin langsam am verzweifeln.. In der Registrierung finde ich keine auffälligen Eintragungen, die SUPERAntiSpyware stürzt nach kurzer Zeit im Suchlauf einfach ab, die Kaspersky Rescue Disk hat auch nicht geholfen, die Systemwiederherstellung funktioniert nicht und meine Explorer.exe ist nicht infiziert. Bitte helft mir!

  11. Hallo,

    hab mir heute auch einen Trojaner eingefangen. Hab eine Systemwiederherstellung gemacht – hat sofort funktioniert – und danach mit Spybot noch nach auffälligen Dateien gesucht – nix gefunden.. ist der PC jetzt sicher?

    lg Mary

  12. Hatte soeben auch dieses Problem. Bei meinem Rechner befand sich unter HKEY_Current_User/Software/Microsoft/Windows/CurrentVersion/Run ein zusätzlicher mir unbekannter Eintrag. Er lautete in etwa “gonaexlsc.exe” und der Name war in etwa “gonaexdwy…” . Windows konnte dies jedoch selbsttätig mittels Systemwiederherstellung reparieren.

    1. Hallo Bettina,
      Ja, mit der Systemwiederherstellung kann es funktionieren, Symptom wurde behoben, aber der Schädling befindet sich noch auf dem Rechner!!
      Du solltest dein System mal mit dem kostenfreien Tool von Malwarebytes scannen, damit evtl. noch vorhandene Schädlinge entfernt werden…

      Gruß ABBZ

Kommentare sind geschlossen.