BKA-Trojaner

Du brauchst eine PE-Boot-CD (BartePE, WinPE etc.) mit einem Registry-Editor. Theoretisch geht das auch mit anklemmen der Festplatte an einen anderen PC, dort besteht jedoch die Gefahr eines eigenen Befalls.
Eine Universalanleitung gibt es hier nicht, da es verschiedene Varianten des Trojaners gibt, die an unterschiedlichen Stellen in der Registry verankert sind.

In seltenen Fällen wird er hier gestartet:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Meist jedoch über einen Shell-Aufruf bei
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Beachte nicht nur den Registryeintag zu löschen, sondern auch die entsprechenden zugehörigen Dateien auf dem Rechner. Wird er im Winlogon geladen und "hängt" dort an der "userinit.exe", dann darfst du nicht den ganzen Schlüssel löschen, sondern mußt ihn wieder in den Urzustand verstzen, der Pfad sieht normalerweise so aus: "C:\Windows\system32\userinit.exe," mit Virus aber bspw. so "C:\Windows\system32\userinit.exe, c:\users\Heinz\AppData\shdsdjdkd.exe", das muß dann enstprechend angepasst werden. Wie du schon siehst, ist das alles andere als trivial und wenn du einen Fehler machst, ist das System u.U. unbrauchbar. Abgesehen davon sind kompromittierte Systeme nicht mehr als vertauenswürdig einzustufen und zwingend neu zu installieren.

Gruß Kai

Der sicherste Weg ist es natürlich, die Platte komplett neu zu formatieren und das System neu aufzusetzen. Da (zumindest mein) System aber regelmäßigen Änderungen unterworfen ist und meine Backups durchaus nicht immer brandaktuell sind, habe ich aus eigener Erfahrung Verständnis für den Wunsch, ein prinzipell bewährtes System "reparieren" zu wollen.

Obwohl sich seit vielen Jahren in meinem System kein Virus nehr festsetzen konnte, habe ich natürlich ein persönliches Notfallszenario, das momentan wie folgt aussieht.

1. Nutzt der Virus nur eigene Dateien und/oder infiziert lediglich einen bestimmbaren Kreis von (System-)Dateien, würde ich versuchen, ihn zu eliminieren. Das geht sinnvoll aber nur dann, wenn das infizierte System dabei selbst nicht läuft, da in diesem Fall der Zugriff auf infizierte Dateien gesperrt sein kann.

2. Ist es ein Virus, der sich breit auf dem System verstreut und sich etwa in sämtiche ausführbare Dateien (exe u.a) hineinproduziert, wäre mir ein Reparaturversuch zu heikel, weil eine einzige übersehene infizierte Datei das Ergebnis aller Bemühungen zunichte machte.

Wenn dieser Weg als hier als gangbar angesehen wird und ich das Posting von Mozart richtig dahingehend interpretiere, dass der BKA-Virus einer derer ist, die bei mir unter Ziff.1 fallen (ich würde zur Sicherheit aber noch an einem anderen Rechner googeln, weil Viren ständigen Veränderungen unterworfen sind), würde ich einen Reparaturversuch an einem anderen System wagen (vorher Autostart deaktivieren!).

Die Chancen stehen m.E. gut und ein fortbestehender Befall würde von einem Virenwächter/-Scanner sicher schnell festgestellt werden. Ich persönlich würde die Zeit investieren, wenn im Verlauf dieses Threads nicht ernsthafte Bedenken geäußert werden, die meinen "Notfallplan" insgesamt in Frage stellen (was ich keineswegs ausschließen möchte - er ist ausschließlich das Produkt eines meiner Denkprozesse).

Frankie

Zitat

Original geschrieben von frank_aus_wedau
Nutzt der Virus nur eigene Dateien und/oder infiziert lediglich einen bestimmbaren Kreis von (System-)Dateien, würde ich versuchen, ihn zu eliminieren.

Das Problem ist, dass du dir dessen nie sicher sein kannst. Und ein vollstaendiger Scan von einem externen Bootmedium dauert locker etliche Stunden, garantiert aber auch nicht, dass du alle Infektionen gefunden hast oder diese entfernen kannst.

Eine Neuinstallation ist der garantiert sichere Weg und letztendlich kaum zeitaufwaendiger. Angenehmer Nebeneffekt: Man wird unnoetigen Ballast los, der sich ueber die Zeit angesammelt hat. Wer das vermeiden will, sollte sich mit dem regelmaessigen Erstellen von Backups vertraut machen - das hilft auch in anderen Situationen (z.B. Hardwaredefekt oder -verlust).

Sofern man keine besonderen Anforderungen hat, kann man das auch mit einer virtuellen Maschine angehen. Dort lassen sich Snapshots des kompletten Systems bequem per Mausklick oder auch automatisch erstellen; man braucht nur mehr Plattenplatz und verliert etwas Performance, was bei zeitgemaesser Hardware aber nicht ins Gewicht faellt.

Zitat

Original geschrieben von harlekyn
...
Wer das vermeiden will, sollte sich mit dem regelmaessigen Erstellen von Backups vertraut machen - das hilft auch in anderen Situationen (z.B. Hardwaredefekt oder -verlust).
...

Das ist ganz sicher eine Option, die man unabhängig vom Beweggrund nutzen sollte.

Bei mir war es häufig Fremdsoftware, die mein System so zerschossen hat, dass man die beschädigten Bereiche nicht konkret bestimmen konnte. Das übelste war die Drucker-/Scanner-/OCR-Software von Samsung. Da kam ich nicht einmal mehr über einen Bluescreen hinaus.

Das geht m.E. am sinnvollsten, wenn für System und Programme eine gesonderte Partition erstellt wird (Partition C: ), auf der sich keine persönlichen Dateien befinden. Musst Du dann ein Recovery machen, bleiben die (sich auf anderen Partitionen befindlichen) eigenen Dateien unangetast. Wenn Du das System neu aufsetzt, solltest Du das gleich in Deine Überlegungen mit einbeziehen.

Frank

Eine gute Anleitung zur Lösung des Problems findest du hier :

http://blog.botfrei.de/2011/08…er-bka-trojaner-update-2/

Solche Hilfs-Proggis wie "SAS_zufallszahl.com" (eine Art Blackbox - man weiß nicht, was drin steckt) lasse ich auf meinem Rechner eher nicht laufen ... vielleicht ein Grund, warum mancher Virus an mir vorüberzieht.

Anwendungsprogramme starte ich ausschließlich von namhaften Herstellern oder bekannten Entwicklern, die ich als 100% vertrauenswürdig einstufe.

Sämtliche Freeware-Tools aus irgendwelchen Zeitschriften, Downloadseiten etc. (insbesondere Registry-Tools) sind nützlich wie ein Kropf und zudem eine latente Gefahrenquelle, weil sie unerkannt (möglicherweise sogar unbeabsichtigt) Türöffner für Schlimmeres sein können (etwa weil sie unerkannt sicherheitsrelevante Bereiche verändern).

Dabei nehme ich durchaus in Kauf, dass auch manches halbwegs nützliche Tool dabei auf der Strecke bleibt.

Frankie

Wir bekommen momentan fast jeden Tag einen Rechner mit dem BKA Teil rein, manchmal auch 2 oder 3... Auf den meisten Rechnern ist Avia free drauf