BKA Virus entfernen nur wie ?

Overroller

Overroller

Enthusiast
Thread Starter
Mitglied seit
10.04.2009
Beiträge
5.172
Ort
Winsen / Luhe
Hallo leute, ich habe ein Problem ein Kunde von mir hat auf seinem Laptop den BKA Virus also der wo direkt nach dem Windows Boot ein Bildschirm kommt auf dem stejht das er in Terroristische Aktivitäten und Kinderpornos verwickelt sien soll und 100 Euro zahlen müsse.

Ich bin mitlerweile Ratlos was ich noch tuen kann um dieses Hartnäckige Ding wegzubekommen, hier mal eine Auflistung was ich bisher getan habe in Cronologischer Reienfolge.

1. SpyBot Durchscannnen: Fand auch ne Menge und hat dieses behoben

2. ADAware: Fand auch noch einiges und hat dieses behoben

3. Test Versuch im Laptop Rechern Fährt hoch der BKA Bildschirm kommt nicht mehr aber die Desktopsymbole kommen nicht nur der Desktop hintergrund ist zu sehn und ich kann nichts machen. Wenn ich in den Taks Manager gehe sind da einige aplicationen die im hintergrund laufen darunter uach ca 5 mal der Prozess svost.exe, wenn ich diesen Manuel beende kommt die Meldung der Rechner wird in einer Minute Runter gefahren und das tut er dann auch.

4. GData Antivirus Durchscannen lassen: Findet 2 Funde kann diese aber weder Reparieren noch löschen

5. Norton 360 Durchscannen Lassen: Findet auch 2 Funde kann aber uch nichts daran beheben oder löschen.

6. Kaspersky Internet Security Durchscannen lassen: Findet 3 Sachenbehebt 1 und kann mit den anderen beiden wieder nichts machen.

7. Starten von der KAspersky Resque CD von der BKA seite: auch dieses brachte keine Abhilfe.

So ich hoffe ihr habt irgendwie ahnung was ich noch tun kann oder wie ich dieses lästige biest entfernen kann ich bin echt Ratlos.

mfg Overroller
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Rechner neu aufsetzen, Dokumente aus dem letzten Backup wieder zurückspielen.
Mir wäre das viel zu unsicher, hab ich jetzt den Virus entfernt? Ist der zu 100% weg, oder seh ich den bloss nicht mehr?

-> Darum lieber neu machen.

MfG
 
Mal die G Data Live CD probiert ? aber vorher updaten. kann man in der Oberfläche machen.

Wens nicht hilft dann bleibt eigentlich nur noch das system neu aufzuspielen
 
ZU Punkt 3.
3. Test Versuch im Laptop Rechern Fährt hoch der BKA Bildschirm kommt nicht mehr aber die Desktopsymbole kommen nicht nur der Desktop hintergrund ist zu sehn und ich kann nichts machen. Wenn ich in den Taks Manager gehe sind da einige aplicationen die im hintergrund laufen darunter uach ca 5 mal der Prozess svost.exe, wenn ich diesen Manuel beende kommt die Meldung der Rechner wird in einer Minute Runter gefahren und das tut er dann auch.
Zum Vergrößern anklicken....

Versuch mal sobald der Rechner vollständig hochgefahren ist, über den Task-Manager den Prozess "explorer.exe" manuell zu starten. Nach meiner Erfahrung läufts dann.

Aber ansich sollte man das System IMMER neu aufsetzten nach dem es einmal infiltriert ist/war.
Man kann nie sicher seien ob in das System nicht tiefergehend eingeriffen worden ist. Eventuell wurde eine sog. backdoor eingerichtet oder essentielle Systemdaten wurden korumpiert.
Setzte dich doch mal mit deinem kunden zusammen und spreche über die Risiken dieses System weiterzu verwenden und über mögliche Alternativen, z.B. währe es ja vieleicht auch mit einem partiellen Back Up getan.
Für weiteres müsste man wissen welche Daten der Kunde unbedingt behalten möchte.
Falls das System nicht neu aufgesetzt werden darf/kann hilft nur die manuelle eliminierung der korrupten Dateien.
Mit Diversen Professionellen Virenscannern suchen, Datei name und Ort notieren, über eine Live-CD(Linux oder ähnliches, ich benutz meist mein altes Knoppix) die Dateien und Regestry-Einträge löschen.
Im laufenden System wirst du da gar nichts erreichen, da auf die Dateien meist zugegriffen wird. Auch der abgesicherte Modus reicht da meistens nicht aus.
 
Zuletzt bearbeitet:
KGM11 schrieb:
Wenn dem so wäre hätte der Kunde vernünftige Backups (inkl. Image der Systempartition zum schnellen Wiedereinspielen).
Zum Vergrößern anklicken....

Bedauerlicherweise ist das nicht immer der fall. Du glaubst nicht wie viele Menschen wirklich wichtige Daten auf ihren Festplatten sichern ohne sich darüber im klaren zu seien, dass die Daten auch wieder verschwinden bzw. von dritten gelesen werden könnten.
Soweit scheint die Welt dann doch noch nicht aufgeklärt zu sein ;)
 
Zuletzt bearbeitet:
Hallo,

ich hatte das Ding auch bei einer Freundin, die Avira-Rettungs-CD hats wegbekommen. Nach eingehender Diskussion konnte ich sie dann auch davon überzeugen, dass "er startet wieder ohne das BKA-Ding" nicht gleichbedeutend mit "Er ist wieder sauber." ist.

Grüße
Purator

P.S.: Frag deinen Kunden mal, ob er, wenn er seinen Haustürschlüssel verliert und ihm jemand den Schlüssel wiederbringt, das Schloss trotzdem wechseln würde...
 
Overroller schrieb:
System neu aufsetzen kommt nicht in Frage hat der Kunde deutlich gemacht
Zum Vergrößern anklicken....

dann wuerde ICH das nicht angreifen!

alles andere ausser komplett neu aufsetzen ist FAHRLAESSIGER PFUSCH.

damit schadest du eventuell nicht nur deinen kunden, sondern auch noch unbeteiligten dritten.
 
Zuletzt bearbeitet:
Overroller schrieb:
System neu aufsetzen kommt nicht in Frage hat der Kunde deutlich gemacht
Zum Vergrößern anklicken....

Was machst du wenn der Kunde eine Woche später sein Geld zurück verlangt weil der Virus schon wieder drauf ist? Es ist deine Aufgabe ihn über die Alternativen und die Risiken aufzuklären. Dem Kunden kann die Neuinstallation doch eigentlich egal sein solange hinterher seine Einstellungen und wichtige Daten wieder vorhanden sind. Er weiß aber vermutlich noch garnichts von dieser Alternative.
 
Hallo,

da gabs mal einen sehr netten Artikel von einem Microsoft-Mitarbeiter, der die Problematik sehr gut erläutert hat, ich finde ihn nur leider nicht mehr :-(

Grüße
Purator
 
Neu aufsetzen wegen einer kleinen ausführbaren *.exe, die sich in den Autostart geschlichen hat? Na jetzt setzt's aber 13. ;)

Du benötigst eine Knoppix Live CD oder eine andere Linux Live Distribution.
Einlegen, starten, My Documents öffnen und unter Windows 7 zu:

C:\Users\%USERNAME%\AppData\Local\Temp

navigieren.

Dort alles rauslöschen. Es liegt unter anderem eine dubiose EXE Datei drin.
Diese ist der Erreger. Sobald alles gelöscht ist, System herunterfahren, neu starten und in den abgesicherten Modus booten. Dort dann den Autostart-Eintrag der gelöschten EXE Datei rauslöschen, ganz wichtig!

Abschließend neu booten, fertig. System sauber. 100%. Versprochen!
 
Purator schrieb:
Hallo,

da gabs mal einen sehr netten Artikel von einem Microsoft-Mitarbeiter, der die Problematik sehr gut erläutert hat, ich finde ihn nur leider nicht mehr :-(

Grüße
Purator
Zum Vergrößern anklicken....
ich nehme mal an du meinst einen der folgenden
Help: I Got Hacked. Now What Do I Do?
Help: I Got Hacked. Now What Do I Do? Part II

NicoRR schrieb:
Neu aufsetzen wegen einer kleinen ausführbaren *.exe, die sich in den Autostart geschlichen hat? Na jetzt setzt's aber 13. ;)
Zum Vergrößern anklicken....
den letzten bka firlefanz den ich vor dem gesicht hatte war z.B. nicht in %temp% zu finden, sondern an 34 anderen stellen (von dem abgesehen, laut offizieller beschreibung nistet er sich ungefähr an 30 stellen ein ;) )

Auch ist dieser bka ukash quatsch keinesfalls nur eine kleine ausführbare *.exe, die haben sich da sogar einige mühe gegeben.

Man sollte sich eines im klaren sein, wer mit adminrechte unterwegs ist (ich verwette darauf fast was) und sich was einfängt, für den zählt zu 100% das von ms geschriebene. Wer rumeiern will, kanns ja machen (von dem abgesehen dass overroller nicht so recht weiss was er tut)

@topic
wenn du rumeiern willst, schies remote die alpahnumerischen prozesse gleichzeitig ab
lass microsoft security essentials drüberlaufen (starte den taskmanager, starte inet explorer, lade msee, installiers, starte es übern taskmanager, lass vollständig scannen mit aktuelle signaturen)
danach solltest du desktopsymbole etc wieder haben - sprich lauffähig
wie sauber das ding danach wieder ist - no comment
 
Zuletzt bearbeitet:
Hab diesen Mist vor kurzem erst bei meiner Schwester entfernen müssen. Ich bin eigentlich auch eher ein Freund der "Nummer sicher" ;) aber in diesem Fall ist eine komplette Formatierung absolut nicht nötig.

Vorweg kann ich jedenfalls sagen, die Methode mit der Kaspersky CD hat bei mir nicht funktioniert, man bekommt leider nicht alles weggelöscht.

Hiermit klappt es aber ganz wunderbar und man brauch sich keine Sorgen mehr machen

Anleitung
 
Wenn es EIN Virus geschafft hat, dann können es HUNDERT andere auch geschafft haben, für die es noch keine Signaturen gibt.
 
Den hatte ich am Wochenende auch drauf aber ich musste auch neu aufsetzen..., erst hab ich nur die Benutzerkonten entfernt im Abgesichertem Modus samt Eingabeaufforderung und bin genausoweit gewesen wie der TE, kein Popup mehr, Suche geht und ich kann auf verschiedene Sachen inkl. System zugreifen aber Desktop bleibt weiterhin gesperrt...
Danach hab mich dann im Internet mal bissl schlau gemacht und ausser der Rescue Disk von Kaspersky (angeblich einige kostenlose) mit anschliessender Systemwiederherstellung wird durchweg nur zur Neuinstallation geraten. Der Grund soll der sein dass selbst nach dessen "angeblicher" Entfernung (mit der Rescue Disk und Systemwiederherstellung) nicht garantiert werden könne dass er zu 100% verschwunden ist denn man weiss nicht genau wo der überall sitzt, Fakt soll aber sein dass er weitere Programme mit sich zieht die immer neue Ableger erstellen und die wiederum auch viele Ableger irgendwo/überall erstellen sollen.

@Overroller, hat dein "Kunde" denn keine AV/Internetsecurity Software gehabt? Wahrscheinlich wird er nicht drum rumkommen wenn er auf Nummer Sicher gehen will... es ist ja auch nicht so dass es ihn erst seit kurzem gibt nur andere Lösungen gibts eigentlich keine und den gibts angeblich schon seit März/April...

Mfg.
 
Zuletzt bearbeitet:
MewtoX schrieb:
@Overroller, hat dein "Kunde" denn keine AV/Internetsecurity Software gehabt? Wahrscheinlich wird er nicht drum rumkommen wenn er auf Nummer Sicher gehen will... es ist ja auch nicht so dass es ihn erst seit kurzem gibt nur andere Lösungen gibts eigentlich keine und den gibts angeblich schon seit März/April...
Zum Vergrößern anklicken....
es ist ja nicht so dass es keine variationen davon gibt...trendmicro hat z.B. den letzten denn ich gesehn hab auch nicht erkannt und wenn man dann schon adminrechte hat knipst die ein oder andere variante auch mal gern den virenwächter aus.
 
Das mag sein, dafür raten aber auch viele nicht als Admin mit seinem Konto im Windows unterwegs zu sein sondern nur als "Benutzer", es gibt ja auch die Möglichkeit Programme mit Adminrechten zu starten wenn man nur "Benutzer" ist.
Ich hab jetzt die Avira Premium drauf und da, so hat ein Bekannter es mir gesagt, ist der schon seit März bekannt und wird halt auch laufend aktualisiert, klar kann man nicht ausschliessen dass sowas nie wieder passiert aber es hilft doch ungemein denke (hoffe) ich ;)

Mfg.
 
Hallo,

@0711 Ja, genau den hab ich gesucht. Gleich mal bookmarken...

Grüße
Purator
 
Für "sicheres" surfen im Internet gibt es jetzt den Browser in the box vom BSI.
Der Browser wird in einer Linux-VM ausgeführt.

Gruß
Krümel

P.S.: Ich würde dem Kunden auch dringend raten das System neu aufzusetzen. Die Daten können ja nach Sicherung (und scan) zurück gespielt werden.
 
@TE: Die Sache ist eigentlich ganz einfach übers Geld und Ausschluss der Gewährleistung lösbar. Je aufwendiger eine Entfernung, je länger dauerts nunmal und je teurer wirds. Wenn man dann noch erklärt, dass es keinerlei Garantie gibt, dass der Rechner auch tatsächlich Malware frei ist, wird sich der Kunde das schon 2x überlgen. Eine forensische und sicherheitstechnische Überprüfung würde wahrscheinlich nochmal min soviel Arbeitskosten verursachen, wie der PC wahrscheinlich gekostet hat.

Und wenn einem ein System oder die Daten darin sooo wichtig sind, dann hat man davon ein BACKUP.

mfg Olli
 
@giller

Soviel Geld darf der TS ja gar nicht verlangen, wenn das Forum schon seine Arbeit macht statt seine Kenntnisse selbst zu erarbeiten und zu vertiefen.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

M
[User-Review] LG gram 17 17Z90S-G.AA78G
Antworten
7
Aufrufe
1K
mz_z
M
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh