donky2000
Goto Top

BKA-Trojaner diesmal habe ich keine Chanse

Hallo Forum,
ich habe den BKA-Trojaner schon bei etlichen PCs von bekannten entfernt, aber im Moment beiße ich mir bei einem die Zähne aus.
Vielleicht kann mir hier ja einer helfen.

Der PC:
- Betriebssystem XP-SP3 prof.
- Start im abgesicherten modus --> Blue Screen 7b
- Start als normaler Benutzer (admin) --> BKA Bild erscheint sofort. Keine Möglichkeit mit Strg-Alt-entf
- Gastzugang funtioniert aber ich kann keine Programme ausführen, auch nicht mit runas.
- XP-CD Reparaturkonsole --> chkdsk /R erfolgreich.

Hat jemand noch eine Idee?

Grüße aus dem Westerwald

Content-Key: 207937

Url: https://administrator.de/contentid/207937

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: breaky
breaky 13.06.2013 um 08:14:20 Uhr
Goto Top
Guten Morgen,
http://bka-trojaner.de/

oder mit der Hirens Boot CD.
http://www.youtube.com/watch?v=pcSfCFZ3qC4

grüße aus dem Sauerland.

der breaky.
Mitglied: ricochico
ricochico 13.06.2013 um 08:15:53 Uhr
Goto Top
Zitat von @donky2000:
Hat jemand noch eine Idee?

Eigentlich hab ich nur das als Idee, was in so einem Fall das einzig Richtige ist:
-Sauberes und Virenfreies Backup zurückspielen
oder
-Den Rechner neu installieren.
Mitglied: manuel1985
manuel1985 13.06.2013 um 08:16:47 Uhr
Goto Top
C'T Desinfec't versucht?
Mitglied: 106543
106543 13.06.2013 um 08:21:56 Uhr
Goto Top
Hi,

Rechner platt machen und neu aufsetzen. Wenn ein Virus mal drauf ist bleiben immer Reste sonst, garnicht erst versuchen, das Ding runter zu kriegen.

Grüße
Exze
Mitglied: nxclass
nxclass 13.06.2013 um 08:37:54 Uhr
Goto Top
Den Rechner neu installieren
... ist wohl das einzig vernünftige - dabei evtl. gleich den Datenträger überschreiben

- Start im abgesicherten modus --> Blue Screen 7b
- Start als normaler Benutzer (admin) --> BKA Bild erscheint sofort. Keine Möglichkeit mit Strg-Alt-entf
... das ist bei einem Befall wohl das schlechteste was man machen kann - da dabei sämtliche "restlichen" Sicherungssysteme des BS ausgehebelt werden.

und wenn du den Grund suchst warum:
- ... normaler Benutzer (admin) ...
der Administrator ist kein "normaler" Benutzer
Mitglied: departure69
departure69 13.06.2013 um 09:05:36 Uhr
Goto Top
Hallo.

Der BKA-Trojaner hat sich seit erstem Auftreten leider auch weiterentwickelt und wurde immer ausgeklügelter.

Ich habe den Rechner einer Nachbarin mit eine aktuellen WDO-CD gereinigt und danach noch zusätzlich mit einer aktuellen Kaspersky-CD. Das Gerät war danach auf jeden Fall komplett virenfrei. Was diese bootbaren Offline-Virenscanner leider nicht zu leisten vermögen, ist, daß sie die durch den Trojaner verbogenen Pfade in der Registry wieder geradebiegen (wie sollen sie auch, dafür sind sie nicht zuständig). Vor allen Dingen zeigt die Shell noch immer auf die exe des dann nicht mehr vorhandenen Trojaners.

Das Ende vom Lied war, daß ich die Kiste neu installiert habe, was zum Glück ohnehin irgendwie nötig war, alte XP-Installation auf noch älterer Hardware, die Neuinstallation hat dem Gerät gutgetan, manchmal lohnt es sich einfach.

Grüße
Mitglied: killtec
killtec 13.06.2013 um 09:14:25 Uhr
Goto Top
Hi,
ich hatte bei einem Bekannten auch den BKA-Trojaner. Er hatte das Glück, dass er auf dem PC keine wichtigen Daten drauf hatte.
Das OS war hier auch ein WinXP (Home). Ich habe ihm jetzt ein Linux installiert, in anbetracht, dass der Support und die Updates für XP eh auslaufen.
ist das sauberste die Platte zu formatieren und das OS neu zu machen. Evtl. hier auch ein Linux?

Gruß
Mitglied: rahbauke
rahbauke 13.06.2013 um 09:17:37 Uhr
Goto Top
Zitat von @ricochico:
> Zitat von @donky2000:
> ----
> Hat jemand noch eine Idee?

Eigentlich hab ich nur das als Idee, was in so einem Fall das einzig Richtige ist:
-Sauberes und Virenfreies Backup zurückspielen
oder
-Den Rechner neu installieren.

Dem stimme ich zu. Setz das System neu auf und Du hast Ruhe sowie ein neues frisches System für den Bekannten. Und eventuell nachfolgender Ärger und Zeit, falls Du doch nicht alles entfernt bekommst erspart man sich damit auch.

Gruß
Mitglied: kontext
kontext 13.06.2013, aktualisiert am 19.05.2016 um 10:02:09 Uhr
Goto Top
Hallo,

wie schon meine Vorredner geschrieben haben, kann auch ich dir nur raten die Maschine Platt zu machen.
Ein kontaminiertes System ist ein kontaminiertest System und du weißt nicht was / wo über die Maschine doch noch läuft ...
... ich kann dir da sogar ein sehr schönes Beispiel auch mit einem BKA-Virus liefern ...

Der PC von meinem Vater war mit dem Virus infiziert.
Der Account war nur ein Standard-Account (ich mache immer zusätzlich noch einen versteckten Admin-Account).
Start mit dem Admin-Account und die Maschine bereinigen und JAVA, etc. deinstalliert ...
... Maschine funktioniert wieder - Anmeldung mit Vaters Account funktioniert.

Nach einer Woche meldet sich mein Vater das er Probleme mit der Übertragung von Bildern von der Kamera hat.
Ein wenig das Problem analysiert und die Windows-Dienste angeschaut ...
... ca. die Hälfte der Windows-Dienste (unter anderem das Sicherheitscenter, Firewall, etc) konnten nicht mehr gestartet werden
... die Problematik mit der Datenübertragung ist lt. diversen Threads auf den BKA Virus zurück zu führen

Also Maschine Platt gemacht und alles funktioniert wieder wie gewollt.
Normalerweise mache auch ich die Maschinen platt, sobald ein Virus sich eingenistet hat ...
... hier war es jedoch so dass das mein Vater nicht so wichtig gesehen hat ...

In diesem Sinne - Mach alles neu - und alle sind glücklich (auch für die Zukunft)
PS: ein Backup hätte dir das Prozedere wahrscheinlich erspart face-smile

Gruß
@kontext
Mitglied: ricochico
ricochico 13.06.2013 um 10:36:47 Uhr
Goto Top
Zitat von @rahbauke:
Dem stimme ich zu. Setz das System neu auf und Du hast Ruhe sowie ein neues frisches System für den Bekannten. Und eventuell
nachfolgender Ärger und Zeit, falls Du doch nicht alles entfernt bekommst erspart man sich damit auch.

Ergänzend dazu:
Mach von dem neue installierten und fertig eingerichteten Rechner (aktuelle Treiber, alle Updates, alle nötigen Programme) ein Image/Backup auf ein USB Festplatte (Deine eigene oder die deines Bekannten).
Denn der kommt vermutlich in ein paar Wochen/Monaten wieder mit solch einem Viren Problem zu dir.

Und dann ist der Rechner mit einem Image im Idealfall innerhalb von 20 Minuten wieder auf den Beinen.
face-wink
Mitglied: crosshead
crosshead 13.06.2013 um 12:56:41 Uhr
Goto Top
Hi,
geh doch mal remute auf den Rechner, richte ein neues Admin Konto ein, log dich in dieses Konto ein und mach eine Systemwiederherstellung auf ein paar Tage vorher. Dann sollte das wieder gehen. Zu guter letzt kannst du dann deine Removat Tools oder Virenscanner laufen lassen und das Teil entfernen.

Wenn deine Desktop Dateien nun noch verschlüsselt sind, gibts auf Chip.de Tools zum entschlüsseln. Fertig. So machen wir das auch dauernd hier face-wink

Viel Erfolg

Gruß
Mitglied: ricochico
ricochico 13.06.2013 um 13:47:36 Uhr
Goto Top
Zitat von @crosshead:
Wenn deine Desktop Dateien nun noch verschlüsselt sind, gibts auf Chip.de Tools zum entschlüsseln. Fertig. So machen wir
das auch dauernd hier face-wink

Sorry wenn ich das jetzt so sage, aber genau deswegen ist das Netz voll von Zombierechnern, Virenschleudern und Botnetzen.
Ein kompromitiertes System ist und bleibt ein kompritiertes System.

Auch wenn du glaubst, der Virenscanner hätte etwas entfernt und du deinem System nun vertrauen kannst, es ist reiner Aberglaube.
Der Trojaner hat mit den Rechten eines Admins dein System bereits übernommen.

Es hilft nur das einspielen eines sauberen Backups oder eine Neuinstallation.

Alles andere ist einfach fahrlässiger und sinnloser Voodoo.
Mitglied: goscho
goscho 13.06.2013 um 18:12:26 Uhr
Goto Top
Hi Leute
Zitat von @ricochico:
> Zitat von @crosshead:
> ----
> Wenn deine Desktop Dateien nun noch verschlüsselt sind, gibts auf Chip.de Tools zum entschlüsseln. Fertig. So
machen wir
> das auch dauernd hier face-wink

Sorry wenn ich das jetzt so sage, aber genau deswegen ist das Netz voll von Zombierechnern, Virenschleudern und Botnetzen.
Ein kompromitiertes System ist und bleibt ein kompritiertes System.
Das ist viel zu pauschal und stimmt nicht in jedem Fall.

Auch wenn du glaubst, der Virenscanner hätte etwas entfernt und du deinem System nun vertrauen kannst, es ist reiner
Aberglaube.
Der Trojaner hat mit den Rechten eines Admins dein System bereits übernommen.
Woher weißt du oder alle andere hier, die schreiben, man könne jeden PC, der mal einen Schädling gesehen hat, einfach nur plattmachen, dass genau ihr System (so es Windows ist) wirklich sauber ist?

Ich behaupte einfach mal ganz keck, dass jeder hier schon Viren auf seinem (Windows)-PC hatte oder eben keinen vernünftigen Scanner, der diesen angezeigt hat.
In über 70% der Fälle kann man die Schädlinge entfernen, ohne das System neu aufzusetzen.
Meist helfen die Offline-CScanner in Verbindung mit dem manuellen Registry-Säubern sehr gut.

Manchmal sind es auch Fehlalarme von übereifrigen Virenwächtern.
Sollte man auch dann den PC gleich plattmachen?

Alles andere ist einfach fahrlässiger und sinnloser Voodoo.
Das hat nichts mit Voodoo zu tun.
Man analysiert einfach den Aufwand im Verhältnis zum Nutzen und was genau auf dem PC alles im Argen ist.
Dann kann man die Entscheidung treffen, ob man sichert und neuinstalliert oder auf andere Weise versucht, den Schaden zu beheben.

Parallele zum Auto:

Kauft ihr nach jedem Parkrempler ein neues Auto, nur weil irgend jemand erzählt, dass dabei die Achsen verschoben sein können?
Mitglied: ricochico
ricochico 13.06.2013 um 21:43:00 Uhr
Goto Top
Hallo,

Zitat von @goscho:
Woher weißt du oder alle andere hier, die schreiben, man könne jeden PC, der mal einen Schädling gesehen hat,
einfach nur plattmachen, dass genau ihr System (so es Windows ist) wirklich sauber ist?

Das habe ich nicht behauptet.
Hier geht es um ein kompromittiertes System, dass auch als solches erkannt wurden.

Ich behaupte einfach mal ganz keck, dass jeder hier schon Viren auf seinem (Windows)-PC hatte oder eben keinen vernünftigen
Scanner, der diesen angezeigt hat.

Ich behaupte mal, das der OP und viele zuhause keine regelmäßigen Backups fahren und von ihrem sauberen System auch keines haben.
Zu viel Aufwand.
Aber seine Daten sind einem ja genau solange egal, bis sie nicht mehr seine sind.
face-wink

In über 70% der Fälle kann man die Schädlinge entfernen, ohne das System neu aufzusetzen.

In über 70% der Fälle glaubt man das jedenfalls.
In über 90 % der Fälle haben diese Leute ihren PC zwei Monate später wieder hier bei mir/dir/euch, damit man den nächsten Virus entfernen kann.
Ausserdem ist das arbeiten als root/administrator vieeel einfacher.

Meist helfen die Offline-CScanner in Verbindung mit dem manuellen Registry-Säubern sehr gut.

Jeder wie er meint.
Ich gebe hier meine Meinung und Erfahrung wieder.
Und in meinen Augen das, was das Beste ist:
Ich favorisiere eindeutig regelmäßige Backups (auch Images für das OS) und bei Infektion eines PCs das zurückspielen eines dieser sauberen Backups.
Oder die neuinstallation.
Und das werde ich auch so weiter vertreten.

Manchmal sind es auch Fehlalarme von übereifrigen Virenwächtern.

Manchmal.
Das letztemal das ich soetwas sah, war vor 7 - 8 Jahren als ein McAfee sogar Systemdateien in die Quarantäne verschob.
Hier geht es aber um den BKA Trojaner.

Sollte man auch dann den PC gleich plattmachen?

Ein False Positiv kann man nachverfolgen und auch erkennen.
Ich schrieb nicht mal, solle in Panik den roten Knopf drücken und in Panik unter dem Tisch kriechen.
face-wink

> Alles andere ist einfach fahrlässiger und sinnloser Voodoo.
Das hat nichts mit Voodoo zu tun.
Man analysiert einfach den Aufwand im Verhältnis zum Nutzen und was genau auf dem PC alles im Argen ist.

Richtig.
Aber:
Ein sauberes Image zurück zu spielen ist in, sagen wir mal, max. 30 Minuten erledigt.

Ein Scann des PCs mit einer Offline CD inklusive der erstellen einer aktuellen CD plus aktuellen Virendefinition dauert aus meinen Erfahrungen heraus oft um einiges länger.

Auf welches System würdest du dich lieber verlassen?
Aufwand vs. Nutzen?

IMHO ist das Problem einfach meist die fehlenden Backups aufgrund der Faulheit/Unwissenheit des Users.

Und genau deswegen sage ich hier nicht: "Scann mit der Offline-Glücklichmach-Super-Virenschutz-CD und alleswird gut",
sondern ich sage (auch zu Bekannten und Kunden) :
"Mach Backup, meen Jung! Regelmäßig! Spar dir Ärger."
"Oder installier neu oder leb mit Datenverlust."

Der Virus/Trojaner/... ist ja nur eine Möglichkeit sich Ärger einzuhandeln.

Dann kann man die Entscheidung treffen, ob man sichert und neuinstalliert oder auf andere Weise versucht, den Schaden zu beheben.

Jeder wie er will.

Parallele zum Auto:

Vergleiche hinken und sind IMHO sinnlos.

Kauft ihr nach jedem Parkrempler ein neues Auto, nur weil irgend jemand erzählt, dass dabei die Achsen verschoben sein
können?

Hat jemand gesagt, er soll einen neuen PC (Hardware) kaufen?
Du verwechselst da jetzt Hardware und Software, Goscho.

Hier ein sinnloses Beispiel:

In deinem Auto leuchtet die Kontrollampe auf und du merkst, das deine Bremsen nicht richtig funktionieren.
Dein Mechaniker sagt, er müsse sicherheitshalber das Steuergerät für die Bremsen zurücksetzen und mit der neuesten Firmware bespielen.
Du aber sagst zu ihm:
"Nee, zieh einfach die Radschrauben mit dem Kreuz nach, dass passt dann schon. Und schau nach, ob der Ersatzreifen genug Luft hat".
"Ich fahr jetzt auf die Autobahn"
face-wink

Schönen sonnigen Abend wünsche ich noch.