Kinderporno-Trojaner entfernen mit dem DE-Cleaner von Avira

Wie im vorangegangen Bericht beschrieben, hat auch Avira bei seinen Produkten nachgelegt und somit ist es jetzt möglich, auch mit dem Avira DE-Cleaner die neueste Version des BKA-Trojaner (UKASH/PAYSAFE-Trojaner) zu erkennen und neben den Schaddateien auch die pornografischen Bilder zu löschen.

Da es in der Regel nicht möglich ist, den Rechner normal zu starten, zeigen wir Ihnen in dieser Anleitung, wie Sie mit dem Avira DE-Cleaner und einem USB-Stick, diese Infektion beseitigen können.

Schritt für Schritt den Desktop vom BKA-ScreenLocker befreien:

Vorraussetzungen:
1. zweiten internetfähigen Rechner
2. USB-Stick

1. Laden Sie auf einem sauberen System den Avira DE-Cleaner von der Seite https://www.botfrei.de/decleaner.html herunter. (Abb.1). Verbinden Sie anschließend den USB-Stick mit dem Rechner.

Avira DE-Cleaner Download auf den Desktop

Abb.1

2. Installieren Sie den Avira DE-Cleaner auf den Rechner und fahren Sie bei der Installation fort, bis die Oberfläche wie in (Abb.2) zu sehen erscheint. Oben unter dem Avira Banner haben Sie nun die Möglichkeit den USB-Stick zu erstellen. Klicken Sie auf “Auf USB-Gerät kopieren

Abb.2

3. Der USB-Stick wird automatisch erkannt und als Laufwerksbuchstabe angezeigt (Abb.3). Danach klicken Sie auf  „kopieren“.

Abb.3 DE-Cleaner auf externes USB-Gerät kopieren

Abb.3

4. Nach erfolgreichen Kopiervorgang, klicken Sie auf „OK“ und entfernen Sie den USB-Stick.

Abb.3a: Dateien erfolgreich auf USB-Stick kopiert

Ab hier geht es am infizierten Rechner weiter:

5. Starten Sie den Rechner und drücken gleichzeitig die F8 Taste, damit Sie in das erweiterte Menü gelangen. Dort wählen Sie den abgesicherten Modus aus.

erweitertes Menü

6. Verbinden Sie nun den oben erstellten USB-Stick mit dem infizierten Computer.

7. Wenn der gewohnte Desktop im abgesicherten Modus erscheint, klicken Sie auf den Arbeitsplatz, wählen Sie den USB-Stick aus und starten den Avira DE-Cleaner.

8.  Nach Start des Avira DE-Cleaner, erscheint folgende Meldung (Abb.4). Diese bestätigen Sie mit “OK“, die Bereinigung ist ohne Internetverbindung möglich.

Abb.4: Der DE-Cleaner benötigt in diesem Fall kein Update um lauffähig zu sein

Abb.4

9. Bei folgendem Fenster wählen Sie den “Vollständigen Suchlauf” und klicken auf „Suchlauf starten“ (Abb.5).

Abb.5: Suchlauf starten

Abb.5

10. Hat der Avira DE-Cleaner den Rechner überprüft, könnte die Anzeige wie in Abb.6 aussehen, klicken Sie auf “Alle entfernenavira_f1

11. Starten Sie ihren Computer nach der Bereinigung wie gewohnt neu und schauen Sie ob der LockScreen verschwunden ist. Sollte der LockScreen doch erscheinen, melden Sie sich kostenfrei in unserem Forum und erstellen ein neues Thema. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.


Weitere Maßnahmen und Empfehlung vom ABBZ:

  • Installieren Sie eine professionelle AV-Software und achten Sie darauf, dass diese immer aktuell und im Hintergrund (als Guard) mitläuft.
  • Überprüfen Sie Ihren Rechner regelmäßig auf Schadcode-Befall, und holen Sie sich hierbei IMMER eine zweite Meinung durch HitmanPro oder unsere DE-Cleaner ein!
  • Machen Sie bei unserem JAVA-Experiment mit und deinstallieren Sie JAVA.
  • Surfen Sie nicht mit einem administrativem Konto. Denn wenn Sie ohne Authentifizierung Programme installieren können, dann kann dies auch ein Schadprogramm.
  • Halten Sie Ihre Software aktuell: Hierbei hilft Ihnen z.B. CSIS Heimdal Security Agent.
  • Surfen Sie mit Mozilla’s FireFox? Dann greifen Sie auf Erweiterungen wie Noscript, Adblock und WOT zurück.
  • Nutzen Sie die “Windows Systemherstellung” und greifen Sie auf eine Imaging-Software zurück, beispielsweise Acronis. Beachten Sie hierbei, dass die Imageabbilder Ihre Passwörter und persönlichen Daten enthalten. Hier empfehlen wir den Einsatz von verschlüsselten Festplatten. Testen Sie das Einspielen der von Ihnen erstellten Systemabbilder (“images”) nach einem festen Zeitplan.
  • Öffnen Sie Dateien nur von vertrauenswürdigen Quellen und wenn Sie diese erwarten. Dies gilt für Datei-Anhänge aus E-Mails genauso, wie für Downloads aus dem World Wide Web. Meiden Sie Streaming-Platformen!

Bitte beachten Sie: Wenn ihr Rechner mit Malware kompromittiert wurde, bekommen Sie nur 100%ige Sicherheit, wenn Sie das System formatieren und neu aufsetzen! Unsere Experten im Forum helfen Ihnen gerne weiter!

12 thoughts on “Kinderporno-Trojaner entfernen mit dem DE-Cleaner von Avira”

  1. Hier fehlt, meiner Meinung nach, noch ein deutlicher Hinweis, dass das Neu Aufsetzen des Systems am sichersten ist!

    Denn wenn ein System infiziert wurde ist es kompromittiert. Es ist demnach nun mal der EINZIGST sichere Weg ein infiziertes System komplett Neu Aufzusetzen, inklusive Neu schreiben des MBRs.

    Das Antivirenprogramme bzw- scanner hauptsächtlich nur das erkennen, wofür sie auch Signaturen besitzen wisst ihr sicherlich. Auch die generische, heuristische, verhaltensbasierte Erkennung oder Cloud Protection erkennen nicht viel mehr. Außerdem sollte euch ja auch bekannt sein, dass Malware sehr wohl in der Lage ist auch im abgesicherten Modus aktiv zu sein, sowie Antivirenprogramme bzw. scanner zu manipulieren.

    Mehr als das Entfernen von SYMPTOMEN wird hier, meines Achtens, nicht vorgenommen. Das System ist weiterhin kompromittiert.

    Gruß Florian

    1. Nachtrag:

      Der Grund warum ich diesen Beitrag geschrieben habe ist, dass Heise auch einen Artikel zum entfernen der “neuesten” Version der Ukash Scareware veröffentlicht hat.

      Der Autor, des Artikels, weist im Gegensatz zu ihnen im letzten Absatz auf das Neu Aufsetzen, und auf den Vorteil dieser Maßnahme hin.

      Zitat (Jürgen Schmidt im Artikel “Unrat des BKA-Trojaners finden und löschen” auf heise security): “Die bessere Vorgehensweise ist es […] das System einschließlich des Betriebssystems komplett neu einzurichten. Nur so kann man ganz sicher sein, dass danach wieder alles richtig sauber ist.”

      Quelle: http://www.heise.de/security/artikel/Unrat-des-BKA-Trojaners-finden-und-loeschen-1859558.html .

    2. Herr Jürgen Schmitt von der c’t empfiehlt dies zwar, lässt aber z.B. das Schließen der Sicherheitslücken (das Updaten der Systeme) gänzlich außer Betracht, so dass das System weiterhin angreifbar bleibt, wenn es nicht neu aufgesetzt wird.

      Grüße,
      TK, ABBZ

    3. Danke für den Hinweis; haben wir in diesem Artikel wohl vergessen und werden es nachreichen.

      Grüße,
      TK, ABBZ

  2. Ich bin vollkommen hilflos in diese Falle gekommen. Können Sie mir helfen. Ich bin nicht sehr versiert im Umgang mit meinem PC. Mein Fachmann ist wohl im Urlaub.
    Vielen Dank im Voraus
    U. Schwenke

  3. mein Rechner ist von einer dieser Erpressersoftware befallen. Dies bescränkt sich allerdings nur auf einen User. Unter dem vorhanden 2. User kann ich ins Internet und auch sonst arbeiten. Zusätzlich habe ich noch den Admin als gesonderten User. Kann ich den DE-Cleaner mit einem der nicht betroffenen User direkt auf den Rechner laden und dann für das gesamte System laufen lassen?

    1. Danke für die schnelle Antwort. Kann ich den USB-Stick mit dem befallenen Rechner über den freien User erstellen oder muss dies auf einem freien Rechner erfolgen?

      Gruss Christian

    2. Hallo Christian,

      über das freie Userkonto sollte das eigentlich kein Problem darstellen.

      Grüße,
      TB, ABBZ

    3. Ich hatte gestern endlich Zeit mich mit meinem Rechner zu beschäftigen. Über den freien User habe ich HitmanPro instaliert und dann direkt in der 30-Tage-Testversion laufen lassen. Ergab 2 Funde, Sicherheitshalber habe ich mir noch einen USB Stick anschließend erstellt. Danach noch malewarebyts installiert und gleichfalls gescannt-5 Funde. Allem Anschein läuft mein System jetzt wieder ordentlich. Allerdings läßt sich das Sicherheitscenter nicht einschalten, obwohl Defender und Avira aktiv sind. Die Hintergrundkontrolle über die Sicherheitseinstellungen hätte ich schon gerne wiederhergestellt. Wäre eine Systemwiederherstellung ( bin Vista-Nutzer) auf einen Zeitpunkt vor der Infektion sinnvoll?
      Jedenfalls Danke für die Empfehlungen und Hilfe auf euren Seiten.
      Gruß
      Karl-Heinz

Kommentare sind geschlossen.