BKA-Trojaner mit LiveCD entfernen – so geht’s einfacher!

Auf vielen Seiten werden zur Auffindung und Bereinigung eines Rechners, der vom BKA-Trojaner befallen ist, LiveCD’s empfohlen. Aus unserer Sicht überfordern diese sehr unspezifischen Anleitungen insbesondere wenig versierte Endnutzer und es besteht die erhöhte Gefahr, dass Fragmente des Schädlings übersehen werden. Wir raten daher dringend dazu, sich hierbei von speziell geschultem Personal, wie z.B. den Malware-Experten aus unserem Support-Forum, Hilfe zu holen.

Wer dennoch im Alleingang den Schädling entfernen möchte, wird auf das speziell für diesen Zweck entwickelte Entfernungs-Tool HitmanPro verwiesen, welches hier (Download: HitmanPro) heruntergeladen werden kann.

Aktualisierung beim 1. Start von Hitman

Aktualisierung beim 1. Start von Hitman

Die botfrei.de Edition ist für den Privat-Anwender nicht nur kostenfrei, sondern überaus nutzerfreundlich und kann ohne Computer-Kenntnisse bedient werden. In einer 2-teiligen bebilderten Schritt-für-Schritt-Anleitung führen wir Sie durch den Bereinigungsprozess und stellen Ihnen auch eine CD-Version von HitmanPro zur Verfügung.

Kickstart-Feature mogelt sich vor den Sperrbildschirm!

Nach dem Neustart des Rechners über den von HitmanPro erstellten Kickstart-USB-Stick überwacht ein spezieller Bootloader den Startvorgang von Windows. Noch bevor die Ransomware aktiv wird, klingt sich HitmanPro ein und und untersucht bzw. bereinigt den Rechner von der Schadsoftware. Hierfür greift der Multi-Scanner nicht nur auf die Signatur-Datenbanken mehrerer namhafter AV-Hersteller zurück, sondern auch auf Erkenntnisse aus der Cloud. Dadurch ist nicht nur eine hohe Erkennungsleistung, sondern auch ein schnelles Reagieren bei neu auftretenden Varianten gewährleistet.

Forensic File Clustering

Eine besondere Stärke des Entfernungs-Tools HitmanPro ist die forensische Analyse des infizierten Rechners mittels “NTFS Timeline Forensics“, über welche HitmanPro den Zeitpunkt der Infektion rekonstruiert und zeitliche Zusammenhänge herstellt:

NTFS-Timeline-Forensics

Wie in der vorangehenden Grafik illustriert, wurde z.B. die dort als schädlich erkannte “skype.dat” (Ursprung der Analyse) über einen Webseiten-Besuch auf den Rechner geschleust. Nach Ausnutzen von Sicherheitslücken in Adobe’s PDF und Oracle’s JAVA wurde neben dem visuell “spürbaren” BKA-Trojaner auch ein Rootkit mit dem Namen “ZeroAccess” auf dem Rechner platziert, der den Angreifern damit ein Hintertürchen bietet. Wird diese Backdoor nicht “geschlossen”, und die entsprechende Software nicht aktualisiert, ist eine Wiederinfektion vorprogrammiert.

Darüber ist es dem Scanner nicht nur möglich alle zur Malware gehörenden Dateien (so auch Bilder mit kinderpornographischen Inhalten) zu lokalisieren und mittels Cloud-Abgleich als “böse zu verifizieren”, sondern auch der AV-Industrie noch “unbekannte Binaries” und “Zero-Day Exploits” zu identifizieren und mitzuentfernen.

Fazit: HitmanPro ist sehr ein gründlicher und empfehlenswerter Viren-Killer. Aufgrund seiner ausgesprochen einfach zu bedienenden Menü-Führung, ist dieses Entfernungs-Tool auch für weniger versierte Computer-Nutzer tauglich und für diese Nutzergruppe in jedem Fall einer LiveCD, wie Desinfec’t oder Knoppix vorzuziehen.

Bleiben Sie mit uns in Kontakt und folgen Sie dem Autor dieses Berichts und uns auf Twitter, bzw. Facebook. Wir stellen täglich neue Informationen zur Verfügung und warnen Sie vor neuen Gefahren. 

28 thoughts on “BKA-Trojaner mit LiveCD entfernen – so geht’s einfacher!”

  1. Habe einige Zeit selber herumgehext, um den BKA Trojaner loszuwerden, mit HitmanPro war es super einfach und erfolgreich!
    Danke

  2. Mit HitmanPro löscht man zwar den ‘BKA-Trojaner’ aus dem Autostart, wenn es um bekannte Versionen geht.

    Aber …
    Die Sicherheitslücken bestehen weiterhin …
    Vielleicht wurde noch andere Malware installiert.??

    Wie vom Autor erwähnt, würde ich mich nicht alleine auf den HitmanPro-Kickstarter verlassen. Das Forum wurde ja nicht ohne Grund eingerichtet.

    Tschau

    1. Das trifft aber auch auf die Entfernung mit LiveCD’s zu. Auch hier bleiben die Sicherheitslücken unberührt.

    2. Eine Kontrolle durch unsere Experten ist in jeden Fall eine Option.

      Grüße,
      TK, ABBZ

  3. Das Programm ist wirklich eine Supersache und funktioniert einwandfrei. Danke vielmals.

  4. Man sollte trotzdem die Festplatte gründlich schreddern und nicht nur bloß reinigen. Das Ding kommt wieder. So ist es mir ergangen. Ich hab ihn entfernt und schwups 3 Stunden später war er wieder da.

    1. Hallo Dimitris Bachmann,

      das Entfernen der Infektion ist nur der erste Schritt, du solltest mal schauen warum dein System anfällig für solche Probleme ist. In der Regel liegt es an alten Programmen (Java, Adobe u.a.)die ausgenutzt werden. Installiere die mal den kostenfreien Heimdal Security Agent, der überprüft deinen Rechner nach Sicherheitslücken und schließt diese automatisch.

      Grüße,
      TB, ABBZ

    2. Ihr seid die besten vielen Dank :-D. Ihr habt meinen Kunden horrende Kosten erspart ,-)

  5. Nachtrag:

    HitmanPro meldet dass die Software teilweise entfernt wurde und ein Neustart nötig ist (USB Boot Stick nach wie vor angeschlossen). Dieser funktioniert allerdings nicht und es kommt nur der blaue Windows Startbildschirm ohne Anmeldemaske.

    Beim Starten ohne Stick im abgesicherten Modus fährt der PC hoch und dann direkt wieder runter und startet im normalen Modus. Hier kommt dann wieder der weiße Bildschirm. Somit ist die Ransomware nach wie vor aktiv…

  6. Hallo und guten Tag wie kann ich diese hilfs CD erwerben hatte 4 mal diesen scheiß drauf und kam nicht an die systemsteuerung ran um den pc zurück zu setzen (schwarzes Display) für eine Hinweis Mail wäre ich sehr dankbar gruß H.Oertel

    1. Hallo Horst,

      du kannst dir die AntiBot CD3 von hier herunterladen und selber auf einen Rohling brennen. Evtl. kommt aber für dich auch die Beseitigung mit dem HitmanPro.Kickstart in Frage, schau mal in diesen Workshop.

      Grüße,
      TB, ABBZ

  7. Leider funktioniert es bei mir nicht. Ich habe HitmanPro auf den USB Stick installiert und der betroffene Rechner zeigt nach dem Start auch die Auswahloptionen an. Dann aber startet die Wiederherstellungskonsole von Windows! Was mache ich falsch?

    1. Morgen Volkmar,

      kann man so schwer sagen, melde dich bitte mal in unserem Forum an und erstelle ein neues Thema, die Experten helfen Dir weiter.

      Grüße,
      TB, ABBZ

  8. Hallo,
    habe seit dem 12.7. auf meinem Bürorechner den o.b. Virus/Trojaner, der das System komplett sperrt und keinen Zugang zu Windows ermöglicht. Mit Hilfe des Laptops habe ich dann im Internet über die verschiedenen Möglichkeiten der Bereinigung nachgelesen.
    1. Kaspersky Rescue Dik 10 schon mindestens zehnmal über den Rechner laufen lassen, nkl. windowsunlocker etc., aber leider ohne Erfolg. Wenn ich dann den Rechner starte, auch mit F8 -abgesicherter Modus – komme ich bis zum blauen Windowsbildschirm + Herzlich willkommen-Botschaft, dann klinkt sich der Sperrbildschirm wieder ein- Feierabend.
    2. Auch mit Hitman Pro versucht, sowohl die USB-Stick-Version als auch die Sidekick-Version über CD = zwischenzeitliches Flackern des Bildschirms, dann wieder der GVU-Sperrbildschirm, also auch kein Weiterkommen.
    Habe keine Ahnung wie ich in die registry komme, um entsprechende Daten zu löschen, denn Zeitpunkt des “Überfalls” sind exkt bekannt.
    Wie rette ich meinen Rechner?

    1. Hallo Herr Schemm,

      melden Sie sich bitte mal in unserem Forum und eröffnen einen neuen Beitrag. Die Experten helfen dann Schritt für Schritt weiter.

      Grüße,
      TB, ABBZ

  9. Danke … daaanke! Ich habe das mit diesem Programm sogar als “Nicht-Computerfachmann” geschafft. Auch habe ich rechtzeitig mein BIOS aufgerufen und die Priorität des USB-Sticks als erstes gesetzt, damit es funktioniert. Man muss sich hier natürlich erst mal etwas beherzt durchlesen, aber dann funktioniert es. Unbezahlbar besser als das Anschauen schlecht gemachter YT-Videos um folglich, nachdem man sich 550MB Daten von irgendeiner Website herunter geladen hat feststellen zu müssen, dass dieser Weg außer zu einem Knoten im Hirn zu keinem weiteren Erfolg führt.

    1. Es freut uns sehr, dass wir Dir mit dieser Anleitung helfen konnten und Dein PC wieder zugänglich ist.

      Grüße,
      TK, ABBZ

  10. Ich habe eine Boot DVD mit Hitman an einem Dell XPS 702 getestet, der Bootloader funktioniert nicht, außer dem Programmnamen erscheint nichts in der Konsole (kein Menü) nach Boot von DVD.

    Auf einem älteren Thinkpad (T60p) erscheint der Bootloader mit Auswahlmöglichkeiten, es werden aber keine Tastatureingaben angenommen, also hängt man hier auch.

    Über irgend etwas stolpert das Tool beim Booten, eigentlich schade, sah vielversprechend aus. In der Zeit, die ich jetzt hier reingesteckt habe, hätte man den Rechner schon fast neu aufgesetzt.

    1. Hallo,
      Melden Sie sich bitte mal in unserem Forum und eröffnen einen neuen Beitrag. Die Experten helfen dann Schritt für Schritt weiter.
      Bei einem unserer Testrechner von Dell war es nötig, die BIOS Einstellung unverändert zu lassen, so dass die Festplatte in der Bootreihenfolge vor USB-Sticks steht und beim Start des Rechners über die Taste F12 ein Bootmenü aufzurufen, in welchem man für diesen einen Start wählen kann, von welchem Gerät gebootet werden soll. Ein Umstellen der Bootreihenfolge im BIOS hatte hier zur Folge, dass der Rechner beim Windows Start nur einen schwarzen Bildschirm zeigt.
      Grüße,
      MW, ABBZ

  11. Hallo, habe mir auch den BKA-Virus am 06.10.13 eingefangen. Versuche über F8 waren vergeblich. Auch ein scannen mit Kaspersky Rescue Disk brachte keinen Erfolg. Schliesslich wandte ich die Software von HitmanPro an. Da ich Windows XP habe, musste ich mir erst die CD erstellen, die im BIOS die Möglichkeit schafft, das System über den USB-Stick, den ich mir auch erstellen musste, zu starten. Die Anleitungen dazu waren, wie ich finde, leicht verständlich. Und das Ganze führte schliesslich auch zum Erfolg. Der Trojaner wurde ermittelt und unschädlich gemacht. Der PC funktioniert wieder einwandfrei. Eine Nachkontrolle ergab keine noch vorhandenen Reste. Werde in den nächsten Tagen sicherheitshalber noch einige Nachkontrollen durchführen.
    Fazit: Ein super Programm

Kommentare sind geschlossen.