Jun 18

Ok, es ist ein wenig offtopic hier und so ganz neu ist der UKASH BKA Trojaner auch nicht. Aber gestern Abend wurde der Blogger von einer Bekannten zur Hilfe gerufen. Da war er also der PC, der nach dem Windows Start behauptete, das BKA haben zahlreiche Rechtsverstöße auf diesem Rechner gefunden und die Besitzerin müsse nun 100 Euro mittels UKASH zahlen. Das POPuP des Trojaners zeigt auch gleich, wo man solche Voucher kaufen kann.

Wie erwähnt, ganz neu ist der Trojaner nicht, er ist wohl seit Ende März im Umlauf. Die Infizierung findet über  JAVA-Code in Werbe-POPups oder verseuchte Flash-Inhalte statt. Letztere Lücke soll von Adobe vor wenigen Tagen gestopft worden sein, aber nicht Jeder aktualisiert seine Software sofort. Das Erschreckende an diesem Trojaner ist, dass er es auch im Juni noch schafft, sich an aktuellen Antiviren-Programmen vorbei zu „schleichen“, obwohl es seit mehr als zwei Monaten zahlreiche Meldungen über den Trojaner gab.

Wenn es passiert ist und das BKA vom Bildschirm grüßt, dann gilt es Ruhe zu bewahren.  Natürlich zahlt man nicht die 100 Euro und natürlich hat das BKA mit diesem Trojaner nichts zu tun, außer dass man dort natürlich die Hintermänner dieses Trojaners sucht. Die nicht ganz fehlerfreie Grammatik im deutschen Text lassen jedoch vermuten, dass die Drahtzieher aus dem Ausland kommen.

Gott Lob ist der UKASH-Trojaner eigentlich harmlos. Er ändert 30 Registry-Einträge und ersetzt die Shell durch das POPuP Programm. Das wiederum versucht die IP-Adresse des Rechners zu ermitteln und startet mit dieser Adresse zwei DNS-Abfragen – dadurch werden der vermeintliche Rechnerstandort und der Provider ermittelt. Daher kann man den Rat, nur ein Neuaufsetzen des Systems sei ein sicheres Vorgehen, bei diesem Trojaner ausnahmsweise ausser Acht lassen. Das wird allerdings in Foren heftig diskutiert – stellvertretend für zig deratiger Threads hier ein Link ins Gulli-Board, wo ein Mitarbeiter einers AV-Labors mitschreibt.

Wie also wird vorgegangen:

1. Für alle Fälle wird ein Backup des infizierten Systems gezogen, um evtl. doch noch Daten retten zu können, falls etwas wider Erwarten schief läuft. Die Sicherung wird mit einer Rescue-CD oder Notfall-CD vorgenommen, wie sie in regelmäßigen Abständen diversen Zeitschriften beiliegen.  [Update: Die Notfall-CD 2.2 der Computerbild kann man sogar kostenlos downloaden und als CD brennen oder nach Anleitung auf einen USB-Stick kopieren] . Ebenfalls gut geeignet sind die Notfall-CDs vieler Backup- oder Partitionierungs-Programme z.B. von Paragon. Wer mit Linux klar kommt, kann auch eine beliebige Linux Live-CD nehmen. Wer ein halbwegs aktuelles Backup hat, kann notfalls auf die Sicherung verzichten.

2. Das Windows nun starten, mit F8 sofort in den abgesicherten „Modus mit Eingabeaufforderung“  wechseln.

3. Die Systemwiederherstellung starten. Dies geschieht mit der Eingabe
\windows\system32\restore\rstrui.exe
Anschließend wählt man einen Wiederherstellungspunkt, der mindestens einen Tag älter als das erste Auftauchen des Trojaners ist, aus und startet die Wiederherstellung. Evtl. nach diesem Datum installierte Software muss danach allerdings neu installiert werden.

4. Nun sollte das System wieder starten. Die Registry ist auch 100% sauber. Aber die Dateien des Trojaners sind noch auf der Platte und müssen noch entfernt werden. Da der Trojaner aber nicht aktiv ist, sollte nun ein gutes AV-Produkte keine Probleme haben, den Müll zu beseitigen.

Alternativen:

Das BSI stellt seit Mai auf der Webseite www.Botfrei.de drei Anleitungen bereit, wie der Trojaner sicher entfernt werden könne. Die Kaspersky-Rescue-CD kann der Blogger ganz und gar nicht empfehlen. Das Durchsuchen und Desinfizieren eines älteren Rechners mit 42GB Festplatte dauerte zwei Stunden. Beim folgenden Neustart merkte Windows, dass es beschädigt war und hat sich selbst mit der „letzten funktionierenden Konfiguration“ repariert und dabei den Trojaner ebenfalls wiederhergestellt. Mag sein, dass es im April oder Mai mit der CD funktioniert hat und der Trojaner seitdem „verbessert“ wurde.  Wie sich der CD-Cleaner oder die Avira Rescue-CD schlagen, ist leider unbekannt. Die Avira Rescue-CD wird immerhin tagesaktuell gehalten, so dass hier nach dem Download keine Internet-Aktualisierung erforderlich ist.

 

geschrieben von Holger \\ tags: , , , , , , , , , ,

40 Kommentare to “Gruß vom BKA? Der UKASH BKA Trojaner und wie man ihn entfernt”

  1. Jacqueline sagt:

    Vielen, vielen Dank!!!
    Hat super funktioniert! Gut, dass ich gleich die Bundespolizei angerufen habe, sonst wäre ich um 100,- Euro ärmer geworden.
    Ich kann diese Hilfe-Seite hier nur empfehlen!

  2. Mathias sagt:

    finde es scheiße wie man menschen abzocken will, muss man das den auch in allen Lagen machen,mich hat es nun mit diesem Trojaner auch erwischt und ich war am Boden.Aber bei nüchterner Überlegung habe ich Eure Seite gefunden und es so gemacht. Super nun geht mein PC wieder. Danke.Ich hab auch gespart.
    Empfehle diese seite gern weiter.

  3. Andreas Fulsche sagt:

    Hallo,

    mich hat der Trojaner erst Ende Oktober erwischt und nun geht gar nichts mehr, obwohl ich regelmäßig alle 4 Wochen über AVIRA einen Check mache. Wie soll ich ein Backup machen,wenn ich gar nicht erst an die Dateien ran komme? Wenn ich über einen Bekannten oder in der Firma die Notfall-CD herunterladen und brennen kann, wie funktioniert dann das einspielen ohne nutzbare Oberfläche? Ich werde wohl heute mal mit F8 u.s.w. versuchen die Situation zu retten.

  4. Holger sagt:

    Hallo Andreas,

    ein Notfall-Medium bringt seine eigene Oberfläche mit. Ich benutze dazu meist die Notfall-CDs auf PE-Basis. In der c´t ist einmal jährlich ein angepaßter Builder drin. Da die Grundlage davon ein Windows ist, darf die c´t natürlich keine fertigen CDs auf dieser Basis in die Hefte packen. Aber zum Erstellen reicht z.B. eine Probierversion von Windows7 oder Windows-Server aus. Die c´t veröffentlicht ihre Builder aber nicht im Netz, man braucht also die Heft-CD/DVD. Daher hatte ich den Artikel noch mal um den Link zur Computerbild erweitert, weil man deren Medium als Image kostenlos runterladen kann.

    Andere Notfall-CDs basieren auf Linux mit einer mehr oder weniger komfortablen grafischen Oberfläche. Es ist immer empfehlenswert, vor einem solchen Reparieren sich mit einer Notfall-CD Zugriff auf den Rechner zu verschaffen. Viele „Notfall-CDs“ kann man auch auf USB-Sticks packen und von dem Stick starten. Bei Netbooks sehr hilfreich, die haben ja kein CD-Rom eingebaut.

    Der regelmäßige Scan ist zwar gut, aber man braucht heutzutage wirklich einen Scanner, der direkt die Platte überwacht und die Installation eines Schädlings verhindert. Das konnte Avira in der free-Version bislang nicht leisten, wie sich die neue Version (seit ein paar Tagen zu bekommen) da schlägt, weiß ich noch nicht. Aber früher wurden Viren von einzelnen Hackern wegen der „Ehre“ geschrieben, heute stecken hinter den Trojanern kriminelle Banden und das Geschäft mit Maleware und dem Datendiebstahl ist ein Millionengeschäft geworden.

    Viel Erfolg beim Säubern des Rechners!

  5. hannes schuetz sagt:

    Hey! man kann normalerweise über strg+alt+entf den task manager öffnen, dort einen neuen task öffnen, auf durchsuchen klicken, bei zB lokaler datenträger c rechtsklicken und in nuem fenster öffnen. dann ist man im normalen Dateimanager. dort kann man dann zB die CD oder den USB stick öffnen wir normal auch!
    PS: Ich bin 13 Jahre alt!!! (habe das alles selbst herrausgefunden^^)

  6. hannes schuetz sagt:

    ups! herausgefunden natürlich mit einem r…und übrigens: man wird dadurch natürlich nicht den virus los, aber bis er weg ist und entfernt wurde ist diese methode ganz hilfreich, oder? 🙂

  7. Holger sagt:

    Hallo Hannes,

    diese Methode taugt wenig. Der Trojaner stoppt nach wenigen Sekunden fast alle Prozesse, was man schön sehen kann, wenn man sofort nach dem Start per Taskmanager den Prozessexplorer startet. Zum anderen muss man immer damit rechnen, das eine aktive Schadsoftware sich beim Kopieren von Daten gleich mit vervielfältigt. Dieser Trojaner macht das nicht, aber das ist die Ausnahme. Eine mit aktivem Trojaner erzeugte Sicherheitskopie von Daten sollte nur im Ausnahmefall verwendet werden. Normalerweise ist in einem solchen Fall immer die externe Platte oder USB-Stick mit verseucht und sollte daher auf gar keinem Fall unter Windows an einen Rechner angestöpselt werden. Dank Autostart unter Windows hat man den Schädling gleich wieder im System.

  8. Railcell sagt:

    Hallo

    Die beste und einfachste Lösung ohne Systemwiederherstellung :
    Beim Erscheinen des UKASH Screens mit der Maus an die rechte Bildschirmseite.
    Dann rechte Maustaste : Eigenschaften . Es erscheint der Name der Virusdatei als .exe und auch der Ordner wo er steckt.
    Dann im abgesicherten Modus Booten , die Datei suchen und Löschen.
    anschließend noch in der Registry die Datei suchen und ebenfalls löschen.
    Dann is er weg !!

  9. Holger sagt:

    Eine Möglichkeit, aber eine sehr gefährliche. Der Trojaner wird vermutlich alle paar Tage verändert. Nur so ist es erklärbar, dass sich seit einem dreiviertel Jahr immer wieder an Virenscanner vorbeischleichen kann. Die Versionen, die im Sommer im Umlauf waren, haben sich in ca 30 Positionen in der Registry verewigt. Und sie haben dafür gesorgt, dass sie sofort im letzten Wiederherstellungspunkt sind.
    So bestechend einfach Deine Lösung ist, sie erscheint mir sehr riskant und keineswegs die „beste“.

  10. Maurice sagt:

    Hallo,
    bei mir tauchte die BKA-Mitteilung am 23.11.2011 auf. Es war nur eine Benutzerkennung betroffen.
    Nach einem Neustart im abgesicherten Modus habe ich festgestellt, dass in meinem WinVista-Autostart-Ordner (C:\users\…..\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup) ein Link (0.08446534578848253.exe) eingerichtet worden war. Dieser Link verwies auf rundll32.exe und eine exe-Datei in meinem Temp-Ordner (C:\users\…..\AppData\Local\Temp.08446534578848253.exe,X11)
    Den Link und die Datei im Temp-Ordner habe ich daraufhin entfernt. Danach konnte ich mit der betroffenen Kennung wieder normal arbeiten.
    Mein Virenscanner (Norman) hat dann später noch einen Trojaner Suspicious_Gen2.SGDYF (C:\Users\…..\AppData\Local\Temp\jar_cache4466012598104487138.tmp) gefunden und in die Quarantäne geschoben.

  11. Daten-Diebstähle an der Tagesordnung? » TelkoTalk sagt:

    […] zwar gegen Angriffe von Aussen geschützt, aber schon so vergleichsweise einfache Trojaner wie der UKASH (BKA-Trojaner) schaffen es immer wieder, Virenschutzsoftware zu überwinden. Ein gezielt zum Datenklau eingesezter […]

  12. DJ-Wahnsinn sagt:

    Hallo
    Ich habe es mir heute Eingefangen und anzeige erstattet.
    ich habe den Trojaner so bekommen
    ich habe windows 7
    dan habe ich mein pc gestartet dan F2 gedrückt dan F8 und dan musst du dich mit dem Abgesicherten Modus anmelden dan [strg+alt+entf] dan task manager Öffnen dan oben links auf neuer task starten dan festplatte c windows system32 und oben in die suchleiste rstrui.exe eingeben dan einfach öffnen
    dan systemwiederherstellung machen aber am besten von vor zwei tagen oder so und dan ist euer pc wieder Clean und dan am besten antivir runterladen und jeden tag 2-3 durch laufen lass das hilft

    ich hoffe das sich keiner den Trojnaer einhaldet und wen dan bitte sofort an die nächste Polizei dienst stelle wenden und anzeige erstatten wenn ihr ein LapTop habt nimmt den bitte mit dan machen die ein foto und dan wieder nach hause und am besten das so probieren wie ich es beschrieben habe

    viel glück

    lg DJ-Wahnsinn

  13. Holger sagt:

    Hallo,

    die Methode, wie Du ihn entfernt hast, ist absolut korrekt. Ob man nun den Taskmanager aufruft und damit die Wiederherstellungskonsole startet oder ob man den Aufruf einfach in die Kommandozeile tippt, ist Geschmackssache.
    Antivir: Die freie Version von Antivir scheint immer wieder leicht von diesem Trojaner umgangen zu werden. Die freie Version scant auch nicht den Webtraffic. Dadurch kann der Trojaner erstmal von Antivir ungehindert auf den Rechner kommen. Auch die Avira Recue-Disk machte beim Entfernen keine gute Figur. So sehr ich Avira eigentlich mochte, aber empfehlen kann ich ihn derzeit absolut nicht. GData macht beim UKASH BKA bislang die beste Figur. 100% würde ich mich auch darauf nicht verlassen, der Trojaner scheint für seine Hinterleute gut Geld abzuwerfen und wird alle paar Tage modifiziert!

  14. DJ-Wahnsinn sagt:

    Hallo,

    ja klar ist das geschmacks sache und das antivir das webtraffic nicht scannt ist ja eig bekannt aber damit wollte ich nur mal sagen wie ich ihn entfernt habe

    lg

  15. Bundespolizei: National Cyber Crimes Unit - Achtung!!! BKA-Trojaner, Bundeskriminalamt-Trojaner, Ukash-Trojaner | Windows Security Blog ScareWare.de - Sicherheit gegen Malware sagt:

    […] geht, weiß ich nicht, weil ich ihn nur in passiver Form habe. Das gilt auch für die Anleitung auf http://www.telkotalk.de. Viel […]

  16. Was war, was kommen wird. Ausblick auf 2012 » TelkoTalk sagt:

    […] Wie man sich schützen kann? 100% sicherlich nie, aber halten Sie ihre Software und natürlich ihren Virenscanner immer aktuell. Seien Sie sparsam mit dem “Verteilen” von persönlichen Daten und ganz besonders bei Konto- oder Kreditkartennummern. Verwenden Sie Antivirensoftware, die auch die Mails und den Webdatenverkehr mit überwacht. Das kostet zwar Performance, bietet aber mehr Schutz, z.B. vor dreisten Erpressungstrojanern wie dem UKash/BKA-Trojaner. […]

  17. Seppel sagt:

    Hallo,

    ich bin seit heute auch ein Opfer. Leider habe ich keine Möglichkeit, kurzfristig eine Sicherungskopie anzufertigen, daher probiere ich es erst mal mit dem DE-Cleaner von AVIRA.

  18. Holger sagt:

    Hallo Seppel,

    wünsche Dir viel Erfolg dabei. Aber die Sicherungskopie solltest Du immer ziehen. Egal wie Du die Reinigung versuchst. Es kann immer was schiefgehen.

    Die Methode über die Wiederherstungskonsole hat den Charme, dass sie bis jetzt immer funktioniert hat, obwohl der Trojaner mindestens ein „Update“ pro Woche bekommt und deshalb immer wieder aktuelle Antivirenprogramme überlisten kann. Und man hat schnell wieder ein System, mit dem man arbeiten kann. Die Grundreinigung kann man notfalls auch einen Tag später machen.

    Gruß Holger

  19. crunch sagt:

    hallo
    habe mir auch das pferdchen eingehandelt.
    nachdem ich mir im netz infos geholt hatte,

    So entfernen Sie den Ukash-Trojaner (BKA-Trojaner):
    1. Starten Sie den mit dem Ukash-Trojaner (BKA-Trojaner) infizierten PC.
    2.Sobald nach der Anmeldung der Desktophintergrund sichtbar ist, drücken Sie die Tastenkombination [Strg] + [Alt] + [Entf]. Machen Sie dies mehrmals hintereinander: Solange, bis sich der Taskmanager öffnet. Unter Windows 7 klicken Sie auf Task-Manager starten.
    3.Wechseln Sie in den Karteikartenreiter Prozesse.
    4.Der Ukash-Trojaner beziehungsweise BKA-Trojaner versteckt sich hinter teils zufallsgenerierten Namen wie eloxor.exe und jashla.exe. Stoppen Sie alle verdächtigen Anwendungen, indem Sie den Eintrag markieren und auf die Schaltfläche Prozess beenden klicken.
    5.Im nächsten Schritt starten Sie die Systemwiederherstellung von Windows. Das heißt, Sie setzen Ihr System auf ein Datum vor der Infizierung mit dem Ukash-Trojaner (BKA-Trojaner) zurück.

    bin ich bis dahin gekommen.
    rechner startete nach der systemwiederherstellung, es kam auch erst mein normales desktopbild. nach ein paar sekunden kam aber ein neuer bildschirm vom „APACHE 2 Test Page“ im voller größe ohne das ich da ein fenster schließen kann.
    was kann ich da machen, kann mir wer weiterhelfen.
    rechner hat vista drauf.

  20. Holger sagt:

    Hallo,

    die von Dir genutzte Methode ist im „Prinzip“ identisch mit der hier propagierte Methode. Aber nur im Prinzip. Denn Du stehst unter Zeitdruck und Du mußt ALLE Prozesse des Trojaners killen, sonst bringt die Systemwiederherstellung nicht den gewünschten Erfolg.

    Und genau das ist Dir passiert. Ein Teil des Trojaners ist nach wie vor aktiv, weil er schon/noch aktiv war, als Du das System wiederhergestellt hast. Der Apache ist ein Webserver, der dürfte lokal laufen, aber nicht das finden, was er darstellen soll.

    Was Du nun machst? Erst mal das System mit der Not-CD eines Backupprogramms starten und ein Backup der Daten machen, falls noch nicht geschehen.

    Danach kannst probieren, ob der hier beschriebene Weg noch funktioniert. Nimm aber einen älteren Wiederherstellungspunkt, denn es ist möglich, das der Wiederherstellungspunkt, den Du schon benutzt hast, inzwischen auch infiziert ist.

    Falls das nicht funktioniert, würde ich ernsthaft eine Neuinstallation in Erwägung ziehen.

  21. Seppel sagt:

    Hallo,

    nachdem ich den DE-Cleaner gestern 3 Stunden laufen ließ und er drei Schadsoftwares gefunden hatte, aber noch lange nicht am Ende war, habe ich abgebrochen und es mit der Systemwiederherstellung probiert.

    Oben steht, dass man danach noch einmal einen Virenscan durchführen soll. Das habe ich mit Antivir und anschließend doch noch einmal mit dem DE-Cleaner gemacht, beide Programme haben aber nichts mehr gefunden. Kann ich davon ausgehen, dass ich den Trojaner jetzt los bin?

    Gruß
    Seppel

  22. Holger sagt:

    Hallo Seppel,

    der Trojaner wird regelmäßig modifiziert, damit er sich wieder an den gängigen AV-Programmen vorbeimogeln kann.

    Der Weg über die Systemwiederherstellung repariert überschriebene Dateien (dieser Trojaner überschreibt aber nichts, das ist einer seiner Tricks, die AV-.Programme zu überlisten) und die manipulierte Registry wird durch eine ältere, noch saubere Version ersetzt. Danach startet der Rechner wieder „sauber“. Aber die Dateien des Trojaners sind noch da, sie sind nur nicht mehr aktiv. Die Dateien müssen also noch weg und das macht am besten ein AV-Programm Deines Vertrauens. Wenn jetzt nichts gefunden wurde, ist das nicht schlimm. Wiederhol es einfach in ein paar Tagen noch mal. Es ist ohnehin eine gute Idee, einmal die Woche einen Komplettscan zu machen.

  23. Kugelig sagt:

    Hallo, meine Schwester hat auf ihrem Laptop jetzt auch Ukash drauf (Win 7 HoPr – System). Nachdem ich aber das System neugestartet hatte läuft das System jetzt erstaunlicherweise. Im Task-Manager ist nichts ungewöhnliches. Warum denn das? SIe will private Fotos, docs. usw. auf eine externe unbenutzte Festplatte kopieren und dann das System im Urzustand mit Systemwiederherstellung wieder starten (ist nix wichtiges sonst drauf). Ist das zielführend? Oder muss das System neu aufgesetzt werden mit der Recovery-CD?

  24. Holger sagt:

    Das ist schon ungewöhnlich, dass der Rechner nach dem Neustart scheinbar unbeschaded wieder anläuft. Denkbar ist das schon, weil Windows 7 einige ungewöhnliche Schreibzugriffe auf Systembereiche nur scheinbar ausführt und beim nächsten Neustart verwirft. Es hat aber noch niemand geschrieben, dass dies auch mit dem Ukash passiert, denn der überschrieb bislang keine Systemdateien, hat sich aber reichlich in der Registry verewigt.
    Eine Datensicherung auf eine externe Platte ist immer gute Idee, bevor man weiter vorgeht. Bislang hat eine Systemwiederherstellung immer gereicht, um den Plagegeist 100%ig zu deaktivieren. Danach Platte mehrere Tage hintereinander mit einem Virenscanner absuchen, damit auch die inaktiven Reste verschwinden.

  25. Brocken sagt:

    Hallo!
    Der ukash ist leider immernoch aktiv und hat mich nun auch erwischt.
    Erstmal Panik und ein leeres Gefühl in der portmonaie gegend aber nach kurzem googeln bin ich gleich auf hilfeseiten gestoßen.
    Auf mindestens einer von diesen wird geraten alle passwörter zu ändern, da der ukash oft mit einem keylogger geliefert wird.

    Ist das sinnvoll?

    Habe das System jetzt auf einen Tag vor der infizierung zurückgesetzt und lasse aktuell meinen avira das zweite mal drüberlaufen.
    Beim ersten durchlauf hat er 37! Dateien entdeckt.

    Und ein bisschen offtopic die frage: bringen Freeware AV Programme noch etwas und welcher av Scanner ist der sinnvollste/effektivste? Wenn man das so pauschal sagen kann

  26. Klein sagt:

    Ich habe im Internt Porno Seiten mir angesehen . Eventuel bin ich auf eine Seite
    gelandet ?? die nicht korekt war. Daraufhin wurde sofrort ohne eines besoderen
    Hinweis mein PC von der BKA gesperrt , mit dem Hinwes das ich 100,00 €
    Strafe bezahlen müsste . OK Wenn es so ist ??
    Darauf hin bin ich gefahren und habe „Ukash“ gekauft . Als ich nach 3 Standen
    Heim kam war der PC freigeschalte .

    Ich möchte nun von der BKA die 100,00€ die ich um sonst augegeben habe zurückerstattet bekommen. Sonst gehe ich davon aus das Das eine VERAS::: war .

  27. björn sagt:

    Hi leute..
    also ich hab aus versehen die datei „shell“ im abgesicherten modus gelöscht.
    Und da ich keine andere möglichkeit gesehen habe, habe ich mein betriebssystem wiederhergestellt.
    Da ich das schon einige male gemacht habe, weis ich dass der pc mir eine sicherung von allen dateien macht.
    Meine frage ist nun, ob der trojaner noch immer da ist obwohl ich das system wiederhergestellt habe?

  28. Holger sagt:

    Hallo Brocken,

    eine UKASH Variante, die auch Passwörter mitlogt ist mir neu, aber nicht auszuschließen. Der UKASH-Trojaner ist eigentlich eine simple „Entführung“ des eigenen Rechners – nach dem Motto „Wir haben Deinen Rechner gesperrt, zahl das Lösegeld und wir geben ihn wieder frei“. Er wird alle paar Tage geändert, so daß er immer wieder durch die Abwehr der AV-Programme huschen kann.

    Das Ändern und Variieren von Passwörtern ist generell keine schlechte Idee. Insbesondere ist es sinnvoll, möglichst viele verschiedene Passworte zu verwenden, denn immer häufiger werden die Passwortdateien diverser Portale namhafter Firmen entwendet. Nehmen wir mal an, Du bist bei verschiedenen Firmen/Portalen/Foren als „Brocken“ angemeldet und in einem Fall gelang es jemanden, das Passwort zu erwischen (geknackt oder weil im Klartext abgelegt wurde), dann wäre das auch bei anderen Diensten nutzbar. Nicht gut.

    Zu Deiner Frage: Freeware AV ist sicherlich besser als gar keine. Aber es ist ein Trugschluss, ein teures Programm ist sicher. Die letzten beiden Jahre haben gezeigt, dass auch teure Kaufprogramme keinen 100% Schutz bieten können. Bei individuell angesetzter Schadsoftware gibt es kaum Schutz durch AV-Software und auch bei massenhaft verbreiteter Malware hinken die Programme immer ein paar Stunden/Tage hinterher. Genau deshalb ist der UKASH so erfolgreich. Ich benutze derzeit G DATA Internet Security, aber das Programm bremst Rechner ganz schön ab, was nervt, wenn man nicht den neuesten 8 Karnprozessor im Gehäuse stecken hat.

  29. Holger sagt:

    Ja, der ist noch teilweise da. Aber er ist nach dem Wiederherstellen nicht mehr aktiv und die Reste können mit jedem gutem AV-Programm gefunden und beseitigt werden. Durch das Wiederherstellen ist die Registry wieder „clean“, was beim UKASH wichtig, denn dort verewigt er sich recht ausgiebig.

  30. Holger sagt:

    Den UKASH kann man sich auf diversen Seiten einfangen – legalen und illegalen und es ist egal, um welches Thema es auf den besuchten Seiten ging. Anders ausgedrückt: UKASH kann man sich auf Seiten mit unerotischem und völlig legalen Inhalten einfangen. Der UKASH-Trojaner wird im Regelfall über gehackte Server ausgeliefert, im Bereich von Porno oder Warez ist es denkbar, dass die „Auslieferung“ bewußt über dubiose Partnerprogramme geschieht. Mir ist ein konkreter Server bekannt, über den UKASH im vergangenen Jahr verteilt wurde und dieser Server war gehackt worden, was die Seitenbetreiber einige Tage lang nicht bemerkten.

    Du kannst gerne zur Kriminalpolizei gehen. Die 100 Euro wirst Du nicht wiederbekommen, aber die Anzeige gegen Unbekannt wird man gerne aufnehmen. Die werden allerdings wissen wollen, welche Seiten man sich zuletzt angeguckt hat…

    Ansonsten: Dieser UKASH-Trojaner hat mit dem BKA nichts zu tun bis auf die Tatsache, dass die Urheber Kriminelle sind und als solche natürlich vom BKA gesucht werden.

  31. Sven sagt:

    BKA Trojaner noch immer aktiv.
    Aktuell habe ich zig Wege gelesen und ausprobiert aber es erwischt mich immer wieder. Heute war er anscheinend in der Werbung bei sport1.de versteckt. Habe gelesen das der sich in die PopUps setzt. Sport1 kann sicher nix dafür aber das Problem bleibt beim Laien liegen. Aktuell mache ich einen Check durch einen Online-Scanner ESET. Der hat fast 200k Dateien geprüft und 2 gefährliche gefunden. Danach teste ich die hier beschriebene Variante! Also wenn sie die Jungs mal erwischen, würd ich mich in die Schlange stellen zum Steinigen!

  32. BKA-Trojaner und kein Ende: Wie man vorbeugen kann » TelkoTalk sagt:

    […] mehr als einem Jahr schrieb ich hier den ersten Beitrag zum BKA-Trojaner auf Telkotalk. Seit Herbst letzten Jahres ist er der mit Abstand am häufigsten gelesene Artikel […]

  33. crunchy sagt:

    danke danke danke !!!!!*
    ihr habt mir mein leben gerettet ich hatte so angst aber dank ecuh funktioniert alles wiedeer !!!
    Gott segene dich :***

  34. hilfee sagt:

    Ich kann task manger nicht starten da kommt immer diese bundespolizei was.soll ich tun?

  35. Holger sagt:

    Wie im Beitrag beschrieben führen viele Wege nach Rom, das hängt aber auch stark von der Version des Trojaners ab. Was garantiert nicht funktioniert: Bezahlen. Also entweder das Glück mit einer Reinigungs.CD suchen oder die im Beitrag beschriebene Methode anwenden. Die hat bislang bei jedem Befall im Bekanntenkreis funktioniert. Danach den Rechner ein paar Tage hintereinander mit aktuellem Virenscanner auf Reste absuchen und ganz wichtig alle Löcher im Rechner stopfen. Also JAVA auf aktuellen Stand oder ganz rausschmeißen. Flash auf den neuesten Stand, den Browser auf den neuesten Stand. Acrobat Reader aktualisieren oder durch ein weniger gefährliches Programm austauschen. Am sichersten surft man im Moment mit Googles Chrome. Der telefoniert vielleicht nach Hause (Kann man abstellen), aber er sperrt auch die hochgefährlichen Adobe-Produkte in seinen Sandkasten. Gegen Lücken in Java hilft auch er nicht – deshalb JAVA raus oder täglich nach Updates suchen lassen.

    Gruß Holger

  36. Was war: Telkotalks Rückblick 2012 » TelkoTalk sagt:

    […] war 2012 eine klare Entwicklung hin zu Erpressungstrojanern auszumachen. Der allseits bekannte UKASH-Trojaner, hierzulande auch als BKA-Trojaner bekannt, hat den Sprung über den großen Teich geschafft und […]

  37. Kai sagt:

    Sehr guter Tipp, hätte mir viele Stunden sparen können wenn ich den gleich gefunden hätte.

    dankeschön

  38. Olli sagt:

    also, wenn ich mir all das so durchlese, hab ich alles richtig im Griff 😉

    * mal Tüte anzünde und zurücklehne 🙂

  39. ukashal.com.tr sagt:

    BKA Trojaner noch immer aktiv.
    Aktuell habe ich zig Wege gelesen und ausprobiert aber es erwischt mich immer wieder. Heute war er anscheinend in der Werbung bei sport1.de versteckt.!

  40. Was wird: Telkotalks Blick in die Glaskugel 2016 » TelkoTalk sagt:

    […] die ein Gerät sperren und/oder Daten verschlüsseln, sind leider ganz und gar nicht neu. Der UKASH-Trojaner (auch bekannt als BKA-Trojaner) trieb schon 2011 sehr erfolgreich sein Unwesen auf PCs und der […]

Hinterlasse ein Kommentar