Ok, es ist ein wenig offtopic hier und so ganz neu ist der UKASH BKA Trojaner auch nicht. Aber gestern Abend wurde der Blogger von einer Bekannten zur Hilfe gerufen. Da war er also der PC, der nach dem Windows Start behauptete, das BKA haben zahlreiche Rechtsverstöße auf diesem Rechner gefunden und die Besitzerin müsse nun 100 Euro mittels UKASH zahlen. Das POPuP des Trojaners zeigt auch gleich, wo man solche Voucher kaufen kann.
Wie erwähnt, ganz neu ist der Trojaner nicht, er ist wohl seit Ende März im Umlauf. Die Infizierung findet über JAVA-Code in Werbe-POPups oder verseuchte Flash-Inhalte statt. Letztere Lücke soll von Adobe vor wenigen Tagen gestopft worden sein, aber nicht Jeder aktualisiert seine Software sofort. Das Erschreckende an diesem Trojaner ist, dass er es auch im Juni noch schafft, sich an aktuellen Antiviren-Programmen vorbei zu “schleichen”, obwohl es seit mehr als zwei Monaten zahlreiche Meldungen über den Trojaner gab.
Wenn es passiert ist und das BKA vom Bildschirm grüßt, dann gilt es Ruhe zu bewahren. Natürlich zahlt man nicht die 100 Euro und natürlich hat das BKA mit diesem Trojaner nichts zu tun, außer dass man dort natürlich die Hintermänner dieses Trojaners sucht. Die nicht ganz fehlerfreie Grammatik im deutschen Text lassen jedoch vermuten, dass die Drahtzieher aus dem Ausland kommen.
Gott Lob ist der UKASH-Trojaner eigentlich harmlos. Er ändert 30 Registry-Einträge und ersetzt die Shell durch das POPuP Programm. Das wiederum versucht die IP-Adresse des Rechners zu ermitteln und startet mit dieser Adresse zwei DNS-Abfragen – dadurch werden der vermeintliche Rechnerstandort und der Provider ermittelt. Daher kann man den Rat, nur ein Neuaufsetzen des Systems sei ein sicheres Vorgehen, bei diesem Trojaner ausnahmsweise ausser Acht lassen. Das wird allerdings in Foren heftig diskutiert – stellvertretend für zig deratiger Threads hier ein Link ins Gulli-Board, wo ein Mitarbeiter einers AV-Labors mitschreibt.
Wie also wird vorgegangen:
1. Für alle Fälle wird ein Backup des infizierten Systems gezogen, um evtl. doch noch Daten retten zu können, falls etwas wider Erwarten schief läuft. Die Sicherung wird mit einer Rescue-CD oder Notfall-CD vorgenommen, wie sie in regelmäßigen Abständen diversen Zeitschriften beiliegen. [Update: Die Notfall-CD 2.2 der Computerbild kann man sogar kostenlos downloaden und als CD brennen oder nach Anleitung auf einen USB-Stick kopieren] . Ebenfalls gut geeignet sind die Notfall-CDs vieler Backup- oder Partitionierungs-Programme z.B. von Paragon. Wer mit Linux klar kommt, kann auch eine beliebige Linux Live-CD nehmen. Wer ein halbwegs aktuelles Backup hat, kann notfalls auf die Sicherung verzichten.
2. Das Windows nun starten, mit F8 sofort in den abgesicherten “Modus mit Eingabeaufforderung“ wechseln.
3. Die Systemwiederherstellung starten. Dies geschieht mit der Eingabe
\windows\system32\restore\rstrui.exe
Anschließend wählt man einen Wiederherstellungspunkt, der mindestens einen Tag älter als das erste Auftauchen des Trojaners ist, aus und startet die Wiederherstellung. Evtl. nach diesem Datum installierte Software muss danach allerdings neu installiert werden.
4. Nun sollte das System wieder starten. Die Registry ist auch 100% sauber. Aber die Dateien des Trojaners sind noch auf der Platte und müssen noch entfernt werden. Da der Trojaner aber nicht aktiv ist, sollte nun ein gutes AV-Produkte keine Probleme haben, den Müll zu beseitigen.
Alternativen:
Das BSI stellt seit Mai auf der Webseite www.Botfrei.de drei Anleitungen bereit, wie der Trojaner sicher entfernt werden könne. Die Kaspersky-Rescue-CD kann der Blogger ganz und gar nicht empfehlen. Das Durchsuchen und Desinfizieren eines älteren Rechners mit 42GB Festplatte dauerte zwei Stunden. Beim folgenden Neustart merkte Windows, dass es beschädigt war und hat sich selbst mit der “letzten funktionierenden Konfiguration” repariert und dabei den Trojaner ebenfalls wiederhergestellt. Mag sein, dass es im April oder Mai mit der CD funktioniert hat und der Trojaner seitdem “verbessert” wurde. Wie sich der CD-Cleaner oder die Avira Rescue-CD schlagen, ist leider unbekannt. Die Avira Rescue-CD wird immerhin tagesaktuell gehalten, so dass hier nach dem Download keine Internet-Aktualisierung erforderlich ist.
18. Oktober 2011 um 18:55 Uhr
Vielen, vielen Dank!!!
Hat super funktioniert! Gut, dass ich gleich die Bundespolizei angerufen habe, sonst wäre ich um 100,- Euro ärmer geworden.
Ich kann diese Hilfe-Seite hier nur empfehlen!
4. November 2011 um 16:22 Uhr
finde es scheiße wie man menschen abzocken will, muss man das den auch in allen Lagen machen,mich hat es nun mit diesem Trojaner auch erwischt und ich war am Boden.Aber bei nüchterner Überlegung habe ich Eure Seite gefunden und es so gemacht. Super nun geht mein PC wieder. Danke.Ich hab auch gespart.
Empfehle diese seite gern weiter.
10. November 2011 um 13:02 Uhr
Hallo,
mich hat der Trojaner erst Ende Oktober erwischt und nun geht gar nichts mehr, obwohl ich regelmäßig alle 4 Wochen über AVIRA einen Check mache. Wie soll ich ein Backup machen,wenn ich gar nicht erst an die Dateien ran komme? Wenn ich über einen Bekannten oder in der Firma die Notfall-CD herunterladen und brennen kann, wie funktioniert dann das einspielen ohne nutzbare Oberfläche? Ich werde wohl heute mal mit F8 u.s.w. versuchen die Situation zu retten.
10. November 2011 um 21:03 Uhr
Hallo Andreas,
ein Notfall-Medium bringt seine eigene Oberfläche mit. Ich benutze dazu meist die Notfall-CDs auf PE-Basis. In der c´t ist einmal jährlich ein angepaßter Builder drin. Da die Grundlage davon ein Windows ist, darf die c´t natürlich keine fertigen CDs auf dieser Basis in die Hefte packen. Aber zum Erstellen reicht z.B. eine Probierversion von Windows7 oder Windows-Server aus. Die c´t veröffentlicht ihre Builder aber nicht im Netz, man braucht also die Heft-CD/DVD. Daher hatte ich den Artikel noch mal um den Link zur Computerbild erweitert, weil man deren Medium als Image kostenlos runterladen kann.
Andere Notfall-CDs basieren auf Linux mit einer mehr oder weniger komfortablen grafischen Oberfläche. Es ist immer empfehlenswert, vor einem solchen Reparieren sich mit einer Notfall-CD Zugriff auf den Rechner zu verschaffen. Viele “Notfall-CDs” kann man auch auf USB-Sticks packen und von dem Stick starten. Bei Netbooks sehr hilfreich, die haben ja kein CD-Rom eingebaut.
Der regelmäßige Scan ist zwar gut, aber man braucht heutzutage wirklich einen Scanner, der direkt die Platte überwacht und die Installation eines Schädlings verhindert. Das konnte Avira in der free-Version bislang nicht leisten, wie sich die neue Version (seit ein paar Tagen zu bekommen) da schlägt, weiß ich noch nicht. Aber früher wurden Viren von einzelnen Hackern wegen der “Ehre” geschrieben, heute stecken hinter den Trojanern kriminelle Banden und das Geschäft mit Maleware und dem Datendiebstahl ist ein Millionengeschäft geworden.
Viel Erfolg beim Säubern des Rechners!
12. November 2011 um 17:03 Uhr
Hey! man kann normalerweise über strg+alt+entf den task manager öffnen, dort einen neuen task öffnen, auf durchsuchen klicken, bei zB lokaler datenträger c rechtsklicken und in nuem fenster öffnen. dann ist man im normalen Dateimanager. dort kann man dann zB die CD oder den USB stick öffnen wir normal auch!
PS: Ich bin 13 Jahre alt!!! (habe das alles selbst herrausgefunden^^)
12. November 2011 um 17:10 Uhr
ups! herausgefunden natürlich mit einem r…und übrigens: man wird dadurch natürlich nicht den virus los, aber bis er weg ist und entfernt wurde ist diese methode ganz hilfreich, oder?
13. November 2011 um 13:19 Uhr
Hallo Hannes,
diese Methode taugt wenig. Der Trojaner stoppt nach wenigen Sekunden fast alle Prozesse, was man schön sehen kann, wenn man sofort nach dem Start per Taskmanager den Prozessexplorer startet. Zum anderen muss man immer damit rechnen, das eine aktive Schadsoftware sich beim Kopieren von Daten gleich mit vervielfältigt. Dieser Trojaner macht das nicht, aber das ist die Ausnahme. Eine mit aktivem Trojaner erzeugte Sicherheitskopie von Daten sollte nur im Ausnahmefall verwendet werden. Normalerweise ist in einem solchen Fall immer die externe Platte oder USB-Stick mit verseucht und sollte daher auf gar keinem Fall unter Windows an einen Rechner angestöpselt werden. Dank Autostart unter Windows hat man den Schädling gleich wieder im System.
21. November 2011 um 21:32 Uhr
Hallo
Die beste und einfachste Lösung ohne Systemwiederherstellung :
Beim Erscheinen des UKASH Screens mit der Maus an die rechte Bildschirmseite.
Dann rechte Maustaste : Eigenschaften . Es erscheint der Name der Virusdatei als .exe und auch der Ordner wo er steckt.
Dann im abgesicherten Modus Booten , die Datei suchen und Löschen.
anschließend noch in der Registry die Datei suchen und ebenfalls löschen.
Dann is er weg !!
21. November 2011 um 22:38 Uhr
Eine Möglichkeit, aber eine sehr gefährliche. Der Trojaner wird vermutlich alle paar Tage verändert. Nur so ist es erklärbar, dass sich seit einem dreiviertel Jahr immer wieder an Virenscanner vorbeischleichen kann. Die Versionen, die im Sommer im Umlauf waren, haben sich in ca 30 Positionen in der Registry verewigt. Und sie haben dafür gesorgt, dass sie sofort im letzten Wiederherstellungspunkt sind.
So bestechend einfach Deine Lösung ist, sie erscheint mir sehr riskant und keineswegs die “beste”.
24. November 2011 um 02:08 Uhr
Hallo,
bei mir tauchte die BKA-Mitteilung am 23.11.2011 auf. Es war nur eine Benutzerkennung betroffen.
Nach einem Neustart im abgesicherten Modus habe ich festgestellt, dass in meinem WinVista-Autostart-Ordner (C:\users\…..\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) ein Link (0.08446534578848253.exe) eingerichtet worden war. Dieser Link verwies auf rundll32.exe und eine exe-Datei in meinem Temp-Ordner (C:\users\…..\AppData\Local\Temp.08446534578848253.exe,X11)
Den Link und die Datei im Temp-Ordner habe ich daraufhin entfernt. Danach konnte ich mit der betroffenen Kennung wieder normal arbeiten.
Mein Virenscanner (Norman) hat dann später noch einen Trojaner Suspicious_Gen2.SGDYF (C:\Users\…..\AppData\Local\Temp\jar_cache4466012598104487138.tmp) gefunden und in die Quarantäne geschoben.
24. November 2011 um 22:57 Uhr
[...] zwar gegen Angriffe von Aussen geschützt, aber schon so vergleichsweise einfache Trojaner wie der UKASH (BKA-Trojaner) schaffen es immer wieder, Virenschutzsoftware zu überwinden. Ein gezielt zum Datenklau eingesezter [...]
29. November 2011 um 20:12 Uhr
Hallo
Ich habe es mir heute Eingefangen und anzeige erstattet.
ich habe den Trojaner so bekommen
ich habe windows 7
dan habe ich mein pc gestartet dan F2 gedrückt dan F8 und dan musst du dich mit dem Abgesicherten Modus anmelden dan [strg+alt+entf] dan task manager Öffnen dan oben links auf neuer task starten dan festplatte c windows system32 und oben in die suchleiste rstrui.exe eingeben dan einfach öffnen
dan systemwiederherstellung machen aber am besten von vor zwei tagen oder so und dan ist euer pc wieder Clean und dan am besten antivir runterladen und jeden tag 2-3 durch laufen lass das hilft
ich hoffe das sich keiner den Trojnaer einhaldet und wen dan bitte sofort an die nächste Polizei dienst stelle wenden und anzeige erstatten wenn ihr ein LapTop habt nimmt den bitte mit dan machen die ein foto und dan wieder nach hause und am besten das so probieren wie ich es beschrieben habe
viel glück
lg DJ-Wahnsinn
29. November 2011 um 20:32 Uhr
Hallo,
die Methode, wie Du ihn entfernt hast, ist absolut korrekt. Ob man nun den Taskmanager aufruft und damit die Wiederherstellungskonsole startet oder ob man den Aufruf einfach in die Kommandozeile tippt, ist Geschmackssache.
Antivir: Die freie Version von Antivir scheint immer wieder leicht von diesem Trojaner umgangen zu werden. Die freie Version scant auch nicht den Webtraffic. Dadurch kann der Trojaner erstmal von Antivir ungehindert auf den Rechner kommen. Auch die Avira Recue-Disk machte beim Entfernen keine gute Figur. So sehr ich Avira eigentlich mochte, aber empfehlen kann ich ihn derzeit absolut nicht. GData macht beim UKASH BKA bislang die beste Figur. 100% würde ich mich auch darauf nicht verlassen, der Trojaner scheint für seine Hinterleute gut Geld abzuwerfen und wird alle paar Tage modifiziert!
29. November 2011 um 21:30 Uhr
Hallo,
ja klar ist das geschmacks sache und das antivir das webtraffic nicht scannt ist ja eig bekannt aber damit wollte ich nur mal sagen wie ich ihn entfernt habe
lg
30. November 2011 um 16:43 Uhr
[...] geht, weiß ich nicht, weil ich ihn nur in passiver Form habe. Das gilt auch für die Anleitung auf http://www.telkotalk.de. Viel [...]
1. Januar 2012 um 21:57 Uhr
[...] Wie man sich schützen kann? 100% sicherlich nie, aber halten Sie ihre Software und natürlich ihren Virenscanner immer aktuell. Seien Sie sparsam mit dem “Verteilen” von persönlichen Daten und ganz besonders bei Konto- oder Kreditkartennummern. Verwenden Sie Antivirensoftware, die auch die Mails und den Webdatenverkehr mit überwacht. Das kostet zwar Performance, bietet aber mehr Schutz, z.B. vor dreisten Erpressungstrojanern wie dem UKash/BKA-Trojaner. [...]
19. Januar 2012 um 21:42 Uhr
Hallo,
ich bin seit heute auch ein Opfer. Leider habe ich keine Möglichkeit, kurzfristig eine Sicherungskopie anzufertigen, daher probiere ich es erst mal mit dem DE-Cleaner von AVIRA.
19. Januar 2012 um 22:57 Uhr
Hallo Seppel,
wünsche Dir viel Erfolg dabei. Aber die Sicherungskopie solltest Du immer ziehen. Egal wie Du die Reinigung versuchst. Es kann immer was schiefgehen.
Die Methode über die Wiederherstungskonsole hat den Charme, dass sie bis jetzt immer funktioniert hat, obwohl der Trojaner mindestens ein “Update” pro Woche bekommt und deshalb immer wieder aktuelle Antivirenprogramme überlisten kann. Und man hat schnell wieder ein System, mit dem man arbeiten kann. Die Grundreinigung kann man notfalls auch einen Tag später machen.
Gruß Holger
20. Januar 2012 um 17:36 Uhr
hallo
habe mir auch das pferdchen eingehandelt.
nachdem ich mir im netz infos geholt hatte,
So entfernen Sie den Ukash-Trojaner (BKA-Trojaner):
1. Starten Sie den mit dem Ukash-Trojaner (BKA-Trojaner) infizierten PC.
2.Sobald nach der Anmeldung der Desktophintergrund sichtbar ist, drücken Sie die Tastenkombination [Strg] + [Alt] + [Entf]. Machen Sie dies mehrmals hintereinander: Solange, bis sich der Taskmanager öffnet. Unter Windows 7 klicken Sie auf Task-Manager starten.
3.Wechseln Sie in den Karteikartenreiter Prozesse.
4.Der Ukash-Trojaner beziehungsweise BKA-Trojaner versteckt sich hinter teils zufallsgenerierten Namen wie eloxor.exe und jashla.exe. Stoppen Sie alle verdächtigen Anwendungen, indem Sie den Eintrag markieren und auf die Schaltfläche Prozess beenden klicken.
5.Im nächsten Schritt starten Sie die Systemwiederherstellung von Windows. Das heißt, Sie setzen Ihr System auf ein Datum vor der Infizierung mit dem Ukash-Trojaner (BKA-Trojaner) zurück.
bin ich bis dahin gekommen.
rechner startete nach der systemwiederherstellung, es kam auch erst mein normales desktopbild. nach ein paar sekunden kam aber ein neuer bildschirm vom “APACHE 2 Test Page” im voller größe ohne das ich da ein fenster schließen kann.
was kann ich da machen, kann mir wer weiterhelfen.
rechner hat vista drauf.
20. Januar 2012 um 20:53 Uhr
Hallo,
die von Dir genutzte Methode ist im “Prinzip” identisch mit der hier propagierte Methode. Aber nur im Prinzip. Denn Du stehst unter Zeitdruck und Du mußt ALLE Prozesse des Trojaners killen, sonst bringt die Systemwiederherstellung nicht den gewünschten Erfolg.
Und genau das ist Dir passiert. Ein Teil des Trojaners ist nach wie vor aktiv, weil er schon/noch aktiv war, als Du das System wiederhergestellt hast. Der Apache ist ein Webserver, der dürfte lokal laufen, aber nicht das finden, was er darstellen soll.
Was Du nun machst? Erst mal das System mit der Not-CD eines Backupprogramms starten und ein Backup der Daten machen, falls noch nicht geschehen.
Danach kannst probieren, ob der hier beschriebene Weg noch funktioniert. Nimm aber einen älteren Wiederherstellungspunkt, denn es ist möglich, das der Wiederherstellungspunkt, den Du schon benutzt hast, inzwischen auch infiziert ist.
Falls das nicht funktioniert, würde ich ernsthaft eine Neuinstallation in Erwägung ziehen.
21. Januar 2012 um 02:34 Uhr
Hallo,
nachdem ich den DE-Cleaner gestern 3 Stunden laufen ließ und er drei Schadsoftwares gefunden hatte, aber noch lange nicht am Ende war, habe ich abgebrochen und es mit der Systemwiederherstellung probiert.
Oben steht, dass man danach noch einmal einen Virenscan durchführen soll. Das habe ich mit Antivir und anschließend doch noch einmal mit dem DE-Cleaner gemacht, beide Programme haben aber nichts mehr gefunden. Kann ich davon ausgehen, dass ich den Trojaner jetzt los bin?
Gruß
Seppel
21. Januar 2012 um 15:26 Uhr
Hallo Seppel,
der Trojaner wird regelmäßig modifiziert, damit er sich wieder an den gängigen AV-Programmen vorbeimogeln kann.
Der Weg über die Systemwiederherstellung repariert überschriebene Dateien (dieser Trojaner überschreibt aber nichts, das ist einer seiner Tricks, die AV-.Programme zu überlisten) und die manipulierte Registry wird durch eine ältere, noch saubere Version ersetzt. Danach startet der Rechner wieder “sauber”. Aber die Dateien des Trojaners sind noch da, sie sind nur nicht mehr aktiv. Die Dateien müssen also noch weg und das macht am besten ein AV-Programm Deines Vertrauens. Wenn jetzt nichts gefunden wurde, ist das nicht schlimm. Wiederhol es einfach in ein paar Tagen noch mal. Es ist ohnehin eine gute Idee, einmal die Woche einen Komplettscan zu machen.
16. Februar 2012 um 00:21 Uhr
Hallo, meine Schwester hat auf ihrem Laptop jetzt auch Ukash drauf (Win 7 HoPr – System). Nachdem ich aber das System neugestartet hatte läuft das System jetzt erstaunlicherweise. Im Task-Manager ist nichts ungewöhnliches. Warum denn das? SIe will private Fotos, docs. usw. auf eine externe unbenutzte Festplatte kopieren und dann das System im Urzustand mit Systemwiederherstellung wieder starten (ist nix wichtiges sonst drauf). Ist das zielführend? Oder muss das System neu aufgesetzt werden mit der Recovery-CD?
16. Februar 2012 um 21:24 Uhr
Das ist schon ungewöhnlich, dass der Rechner nach dem Neustart scheinbar unbeschaded wieder anläuft. Denkbar ist das schon, weil Windows 7 einige ungewöhnliche Schreibzugriffe auf Systembereiche nur scheinbar ausführt und beim nächsten Neustart verwirft. Es hat aber noch niemand geschrieben, dass dies auch mit dem Ukash passiert, denn der überschrieb bislang keine Systemdateien, hat sich aber reichlich in der Registry verewigt.
Eine Datensicherung auf eine externe Platte ist immer gute Idee, bevor man weiter vorgeht. Bislang hat eine Systemwiederherstellung immer gereicht, um den Plagegeist 100%ig zu deaktivieren. Danach Platte mehrere Tage hintereinander mit einem Virenscanner absuchen, damit auch die inaktiven Reste verschwinden.