Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

BKA-Trojaner diesmal habe ich keine Chanse

Frage Sicherheit Viren und Trojaner

Mitglied: donky2000

donky2000 (Level 1) - Jetzt verbinden

13.06.2013 um 08:03 Uhr, 3589 Aufrufe, 14 Kommentare, 1 Danke

Hallo Forum,
ich habe den BKA-Trojaner schon bei etlichen PCs von bekannten entfernt, aber im Moment beiße ich mir bei einem die Zähne aus.
Vielleicht kann mir hier ja einer helfen.

Der PC:
- Betriebssystem XP-SP3 prof.
- Start im abgesicherten modus --> Blue Screen 7b
- Start als normaler Benutzer (admin) --> BKA Bild erscheint sofort. Keine Möglichkeit mit Strg-Alt-entf
- Gastzugang funtioniert aber ich kann keine Programme ausführen, auch nicht mit runas.
- XP-CD Reparaturkonsole --> chkdsk /R erfolgreich.

Hat jemand noch eine Idee?

Grüße aus dem Westerwald
Mitglied: breaky
13.06.2013 um 08:14 Uhr
Guten Morgen,
http://bka-trojaner.de/

oder mit der Hirens Boot CD.
http://www.youtube.com/watch?v=pcSfCFZ3qC4

grüße aus dem Sauerland.

der breaky.
Bitte warten ..
Mitglied: ricochico
13.06.2013 um 08:15 Uhr
Zitat von donky2000:
Hat jemand noch eine Idee?

Eigentlich hab ich nur das als Idee, was in so einem Fall das einzig Richtige ist:
-Sauberes und Virenfreies Backup zurückspielen
oder
-Den Rechner neu installieren.
Bitte warten ..
Mitglied: manuel1985
13.06.2013 um 08:16 Uhr
C'T Desinfec't versucht?
Bitte warten ..
Mitglied: 106543
13.06.2013 um 08:21 Uhr
Hi,

Rechner platt machen und neu aufsetzen. Wenn ein Virus mal drauf ist bleiben immer Reste sonst, garnicht erst versuchen, das Ding runter zu kriegen.

Grüße
Exze
Bitte warten ..
Mitglied: nxclass
13.06.2013 um 08:37 Uhr
Den Rechner neu installieren
... ist wohl das einzig vernünftige - dabei evtl. gleich den Datenträger überschreiben

- Start im abgesicherten modus --> Blue Screen 7b
- Start als normaler Benutzer (admin) --> BKA Bild erscheint sofort. Keine Möglichkeit mit Strg-Alt-entf
... das ist bei einem Befall wohl das schlechteste was man machen kann - da dabei sämtliche "restlichen" Sicherungssysteme des BS ausgehebelt werden.

und wenn du den Grund suchst warum:
- ... normaler Benutzer (admin) ...
der Administrator ist kein "normaler" Benutzer
Bitte warten ..
Mitglied: departure69
13.06.2013 um 09:05 Uhr
Hallo.

Der BKA-Trojaner hat sich seit erstem Auftreten leider auch weiterentwickelt und wurde immer ausgeklügelter.

Ich habe den Rechner einer Nachbarin mit eine aktuellen WDO-CD gereinigt und danach noch zusätzlich mit einer aktuellen Kaspersky-CD. Das Gerät war danach auf jeden Fall komplett virenfrei. Was diese bootbaren Offline-Virenscanner leider nicht zu leisten vermögen, ist, daß sie die durch den Trojaner verbogenen Pfade in der Registry wieder geradebiegen (wie sollen sie auch, dafür sind sie nicht zuständig). Vor allen Dingen zeigt die Shell noch immer auf die exe des dann nicht mehr vorhandenen Trojaners.

Das Ende vom Lied war, daß ich die Kiste neu installiert habe, was zum Glück ohnehin irgendwie nötig war, alte XP-Installation auf noch älterer Hardware, die Neuinstallation hat dem Gerät gutgetan, manchmal lohnt es sich einfach.

Grüße
Bitte warten ..
Mitglied: killtec
13.06.2013 um 09:14 Uhr
Hi,
ich hatte bei einem Bekannten auch den BKA-Trojaner. Er hatte das Glück, dass er auf dem PC keine wichtigen Daten drauf hatte.
Das OS war hier auch ein WinXP (Home). Ich habe ihm jetzt ein Linux installiert, in anbetracht, dass der Support und die Updates für XP eh auslaufen.
ist das sauberste die Platte zu formatieren und das OS neu zu machen. Evtl. hier auch ein Linux?

Gruß
Bitte warten ..
Mitglied: 105422
13.06.2013 um 09:17 Uhr
Zitat von ricochico:
> Zitat von donky2000:
> ----
> Hat jemand noch eine Idee?

Eigentlich hab ich nur das als Idee, was in so einem Fall das einzig Richtige ist:
-Sauberes und Virenfreies Backup zurückspielen
oder
-Den Rechner neu installieren.

Dem stimme ich zu. Setz das System neu auf und Du hast Ruhe sowie ein neues frisches System für den Bekannten. Und eventuell nachfolgender Ärger und Zeit, falls Du doch nicht alles entfernt bekommst erspart man sich damit auch.

Gruß
Bitte warten ..
Mitglied: kontext
13.06.2013, aktualisiert 19.05.2016
Hallo,

wie schon meine Vorredner geschrieben haben, kann auch ich dir nur raten die Maschine Platt zu machen.
Ein kontaminiertes System ist ein kontaminiertest System und du weißt nicht was / wo über die Maschine doch noch läuft ...
... ich kann dir da sogar ein sehr schönes Beispiel auch mit einem BKA-Virus liefern ...

Der PC von meinem Vater war mit dem Virus infiziert.
Der Account war nur ein Standard-Account (ich mache immer zusätzlich noch einen versteckten Admin-Account).
Start mit dem Admin-Account und die Maschine bereinigen und JAVA, etc. deinstalliert ...
... Maschine funktioniert wieder - Anmeldung mit Vaters Account funktioniert.

Nach einer Woche meldet sich mein Vater das er Probleme mit der Übertragung von Bildern von der Kamera hat.
Ein wenig das Problem analysiert und die Windows-Dienste angeschaut ...
... ca. die Hälfte der Windows-Dienste (unter anderem das Sicherheitscenter, Firewall, etc) konnten nicht mehr gestartet werden
... die Problematik mit der Datenübertragung ist lt. diversen Threads auf den BKA Virus zurück zu führen

Also Maschine Platt gemacht und alles funktioniert wieder wie gewollt.
Normalerweise mache auch ich die Maschinen platt, sobald ein Virus sich eingenistet hat ...
... hier war es jedoch so dass das mein Vater nicht so wichtig gesehen hat ...

In diesem Sinne - Mach alles neu - und alle sind glücklich (auch für die Zukunft)
PS: ein Backup hätte dir das Prozedere wahrscheinlich erspart

Gruß
kontext
Bitte warten ..
Mitglied: ricochico
13.06.2013 um 10:36 Uhr
Zitat von 105422:
Dem stimme ich zu. Setz das System neu auf und Du hast Ruhe sowie ein neues frisches System für den Bekannten. Und eventuell
nachfolgender Ärger und Zeit, falls Du doch nicht alles entfernt bekommst erspart man sich damit auch.

Ergänzend dazu:
Mach von dem neue installierten und fertig eingerichteten Rechner (aktuelle Treiber, alle Updates, alle nötigen Programme) ein Image/Backup auf ein USB Festplatte (Deine eigene oder die deines Bekannten).
Denn der kommt vermutlich in ein paar Wochen/Monaten wieder mit solch einem Viren Problem zu dir.

Und dann ist der Rechner mit einem Image im Idealfall innerhalb von 20 Minuten wieder auf den Beinen.
Bitte warten ..
Mitglied: crosshead
13.06.2013 um 12:56 Uhr
Hi,
geh doch mal remute auf den Rechner, richte ein neues Admin Konto ein, log dich in dieses Konto ein und mach eine Systemwiederherstellung auf ein paar Tage vorher. Dann sollte das wieder gehen. Zu guter letzt kannst du dann deine Removat Tools oder Virenscanner laufen lassen und das Teil entfernen.

Wenn deine Desktop Dateien nun noch verschlüsselt sind, gibts auf Chip.de Tools zum entschlüsseln. Fertig. So machen wir das auch dauernd hier

Viel Erfolg

Gruß
Bitte warten ..
Mitglied: ricochico
13.06.2013 um 13:47 Uhr
Zitat von crosshead:
Wenn deine Desktop Dateien nun noch verschlüsselt sind, gibts auf Chip.de Tools zum entschlüsseln. Fertig. So machen wir
das auch dauernd hier

Sorry wenn ich das jetzt so sage, aber genau deswegen ist das Netz voll von Zombierechnern, Virenschleudern und Botnetzen.
Ein kompromitiertes System ist und bleibt ein kompritiertes System.

Auch wenn du glaubst, der Virenscanner hätte etwas entfernt und du deinem System nun vertrauen kannst, es ist reiner Aberglaube.
Der Trojaner hat mit den Rechten eines Admins dein System bereits übernommen.

Es hilft nur das einspielen eines sauberen Backups oder eine Neuinstallation.

Alles andere ist einfach fahrlässiger und sinnloser Voodoo.
Bitte warten ..
Mitglied: goscho
13.06.2013 um 18:12 Uhr
Hi Leute
Zitat von ricochico:
> Zitat von crosshead:
> ----
> Wenn deine Desktop Dateien nun noch verschlüsselt sind, gibts auf Chip.de Tools zum entschlüsseln. Fertig. So
machen wir
> das auch dauernd hier

Sorry wenn ich das jetzt so sage, aber genau deswegen ist das Netz voll von Zombierechnern, Virenschleudern und Botnetzen.
Ein kompromitiertes System ist und bleibt ein kompritiertes System.
Das ist viel zu pauschal und stimmt nicht in jedem Fall.

Auch wenn du glaubst, der Virenscanner hätte etwas entfernt und du deinem System nun vertrauen kannst, es ist reiner
Aberglaube.
Der Trojaner hat mit den Rechten eines Admins dein System bereits übernommen.
Woher weißt du oder alle andere hier, die schreiben, man könne jeden PC, der mal einen Schädling gesehen hat, einfach nur plattmachen, dass genau ihr System (so es Windows ist) wirklich sauber ist?

Ich behaupte einfach mal ganz keck, dass jeder hier schon Viren auf seinem (Windows)-PC hatte oder eben keinen vernünftigen Scanner, der diesen angezeigt hat.
In über 70% der Fälle kann man die Schädlinge entfernen, ohne das System neu aufzusetzen.
Meist helfen die Offline-CScanner in Verbindung mit dem manuellen Registry-Säubern sehr gut.

Manchmal sind es auch Fehlalarme von übereifrigen Virenwächtern.
Sollte man auch dann den PC gleich plattmachen?

Alles andere ist einfach fahrlässiger und sinnloser Voodoo.
Das hat nichts mit Voodoo zu tun.
Man analysiert einfach den Aufwand im Verhältnis zum Nutzen und was genau auf dem PC alles im Argen ist.
Dann kann man die Entscheidung treffen, ob man sichert und neuinstalliert oder auf andere Weise versucht, den Schaden zu beheben.

Parallele zum Auto:

Kauft ihr nach jedem Parkrempler ein neues Auto, nur weil irgend jemand erzählt, dass dabei die Achsen verschoben sein können?
Bitte warten ..
Mitglied: ricochico
13.06.2013 um 21:43 Uhr
Hallo,

Zitat von goscho:
Woher weißt du oder alle andere hier, die schreiben, man könne jeden PC, der mal einen Schädling gesehen hat,
einfach nur plattmachen, dass genau ihr System (so es Windows ist) wirklich sauber ist?

Das habe ich nicht behauptet.
Hier geht es um ein kompromittiertes System, dass auch als solches erkannt wurden.

Ich behaupte einfach mal ganz keck, dass jeder hier schon Viren auf seinem (Windows)-PC hatte oder eben keinen vernünftigen
Scanner, der diesen angezeigt hat.

Ich behaupte mal, das der OP und viele zuhause keine regelmäßigen Backups fahren und von ihrem sauberen System auch keines haben.
Zu viel Aufwand.
Aber seine Daten sind einem ja genau solange egal, bis sie nicht mehr seine sind.


In über 70% der Fälle kann man die Schädlinge entfernen, ohne das System neu aufzusetzen.

In über 70% der Fälle glaubt man das jedenfalls.
In über 90 % der Fälle haben diese Leute ihren PC zwei Monate später wieder hier bei mir/dir/euch, damit man den nächsten Virus entfernen kann.
Ausserdem ist das arbeiten als root/administrator vieeel einfacher.

Meist helfen die Offline-CScanner in Verbindung mit dem manuellen Registry-Säubern sehr gut.

Jeder wie er meint.
Ich gebe hier meine Meinung und Erfahrung wieder.
Und in meinen Augen das, was das Beste ist:
Ich favorisiere eindeutig regelmäßige Backups (auch Images für das OS) und bei Infektion eines PCs das zurückspielen eines dieser sauberen Backups.
Oder die neuinstallation.
Und das werde ich auch so weiter vertreten.

Manchmal sind es auch Fehlalarme von übereifrigen Virenwächtern.

Manchmal.
Das letztemal das ich soetwas sah, war vor 7 - 8 Jahren als ein McAfee sogar Systemdateien in die Quarantäne verschob.
Hier geht es aber um den BKA Trojaner.

Sollte man auch dann den PC gleich plattmachen?

Ein False Positiv kann man nachverfolgen und auch erkennen.
Ich schrieb nicht mal, solle in Panik den roten Knopf drücken und in Panik unter dem Tisch kriechen.


> Alles andere ist einfach fahrlässiger und sinnloser Voodoo.
Das hat nichts mit Voodoo zu tun.
Man analysiert einfach den Aufwand im Verhältnis zum Nutzen und was genau auf dem PC alles im Argen ist.

Richtig.
Aber:
Ein sauberes Image zurück zu spielen ist in, sagen wir mal, max. 30 Minuten erledigt.

Ein Scann des PCs mit einer Offline CD inklusive der erstellen einer aktuellen CD plus aktuellen Virendefinition dauert aus meinen Erfahrungen heraus oft um einiges länger.

Auf welches System würdest du dich lieber verlassen?
Aufwand vs. Nutzen?

IMHO ist das Problem einfach meist die fehlenden Backups aufgrund der Faulheit/Unwissenheit des Users.

Und genau deswegen sage ich hier nicht: "Scann mit der Offline-Glücklichmach-Super-Virenschutz-CD und alleswird gut",
sondern ich sage (auch zu Bekannten und Kunden) :
"Mach Backup, meen Jung! Regelmäßig! Spar dir Ärger."
"Oder installier neu oder leb mit Datenverlust."

Der Virus/Trojaner/... ist ja nur eine Möglichkeit sich Ärger einzuhandeln.

Dann kann man die Entscheidung treffen, ob man sichert und neuinstalliert oder auf andere Weise versucht, den Schaden zu beheben.

Jeder wie er will.

Parallele zum Auto:

Vergleiche hinken und sind IMHO sinnlos.

Kauft ihr nach jedem Parkrempler ein neues Auto, nur weil irgend jemand erzählt, dass dabei die Achsen verschoben sein
können?

Hat jemand gesagt, er soll einen neuen PC (Hardware) kaufen?
Du verwechselst da jetzt Hardware und Software, Goscho.

Hier ein sinnloses Beispiel:

In deinem Auto leuchtet die Kontrollampe auf und du merkst, das deine Bremsen nicht richtig funktionieren.
Dein Mechaniker sagt, er müsse sicherheitshalber das Steuergerät für die Bremsen zurücksetzen und mit der neuesten Firmware bespielen.
Du aber sagst zu ihm:
"Nee, zieh einfach die Radschrauben mit dem Kreuz nach, dass passt dann schon. Und schau nach, ob der Ersatzreifen genug Luft hat".
"Ich fahr jetzt auf die Autobahn"


Schönen sonnigen Abend wünsche ich noch.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Viren und Trojaner
Erpressungs-Trojaner Locky markiert Geisel-Dateien mit .aesir-Endung

Link von VGem-e zum Thema Viren und Trojaner ...

Viren und Trojaner
Ransomware-Krypto Trojaner, welcher Virenscanner erkennt am besten ? (22)

Frage von hansdampf zum Thema Viren und Trojaner ...

Erkennung und -Abwehr
Erpressungs-Trojaner Cerber lernt dazu und verschlüsselt noch mehr

Link von Dani zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...