[WOOSH]

Vielen Dank für den Tip!

Mit ner anderen USB-Tastatur hat es nicht funktioniert (das selbe wie mit der G15), aber ich hatte noch ne ganz alte Tastatur hier rumliegen, mit nem DiN Anschluss (ein Glück dass der PC auch noch so nen Anschluss hatte ) und die hat es dann nicht ausgeschaltet, während die 2 anderen USB-Tastaturen bei der Auswahleingabe nicht reagiert hatten.

Vielen Dank noch mal, bin überglücklich, dass es jetzt doch noch irgendwie geklappt hat!

[SILÄS]

Nochmal zur Info, gibt den Virus jetzt auch in einer neuen Version.

Sieht optisch ein wenig anders als vorher und wurde von Rechtschreibfehlern befreit verhällt sich aber genauso wie der alte.

Dummerweise spuckt er mir aber keine Fehlermeldung mehr aus, über die sich der Speicherort finden lässt.

[MrSepp]

@manumanu25 für's nächste mal: auf der z.b. Hirens BootCD ist ein tool zum Rücksetzen und freischalten des Administratoraccounts (auch für alle anderen).

Vielen Dank für deinen Lösungsweg, bin gerade am basteln

[JonathanHarker]

Hallo,
ich habe den gleich "BKA" Virus.
Irgendwie hilft im Moment nix:
- Kaspersky Rescue findet ihn nicht
- Manuell wir von Vloxxity beschrieben, da finde ich nicht die Pfade und Dateien (auch nicht wenn ich im abgesicherten Modus nach den Dateinamen suche)
- Das Verfahren von pablo.rodriguez hat leider auch nicht geholfen
...
Hat jemand von Euch noch eine Idee?
LG

[pablo.rodriguez]

warst Du denn (im abgesicherten Modus) in der Registry und hast die beschriebenen Pfade gefunden? Stand da der Falsche Eintrag drinnen? (also nicht explorer.exe)?

[JonathanHarker]

Also ich bin in die Registry, habe die Pfade und Einträge dort auch gefunden. Bei mir heißt die Datei mahmud.exe, über die bin ich vorher schon im Explorer (abges. Modus) gestolpert, weil die genau zum Infizierungszeitpunkt erstellt worden ist.

Habe zwei Einträge aus der Registry gelöscht sowie die Datei in entsprechendem Pfad.

Danach bootete WinXP zum ersten mal wieder korrekt (allerdings im Diagnosemodus).
Danach normaler Systemstart. => Ist der Virus damit weg? Ich hatte hier im Forum auch gelesen, dass er sich mehrfach ablegt und an bis zu 30 Stellen in der Registry einträgt?

Ich habe übrigens direkt danach mal im Firefox geschaut, wo ich zuletzt war: googlesearch! Aber vielleicht habe ich ihn mir früher schon irgendwoanders eingefangen.

Danke jedenfallls sehr für die vielen Tipps hier im Forum!

[pablo.rodriguez]

mmh... also... gut dass Dein Windows wieder bootet.

Grundsätzlich sollte man das Löschen der Registry-Werte (außer die der Run-Ordner) vermeiden... Wenn bei Dir der Shell-Schlüssel falsch gewesen ist, wäre ein Umbenennen des Wertes in "explorer.exe" schöner gewesen. Ich denke dass daher der Diagnosestart kam....

Weg ist DIESER Virus dann, wenn Du Autostart-Einträge (Registry-Run-Ordner und Autostart-Ordner) und den besagten Shell-Schlüssel entfernt hast. Denn dann behindert DIESER Virus Dich nicht mehr beim Arbeiten UND er kann sich von alleine auch nicht mehr installieren. Gibt natürlich noch andere Viren, welche andere Verhaltensmuster darlegen.

Aber hier handelt es sich eigentlich um ScareWare... Also er sollte die User erschrecken (Bundeskriminalamt) und damit Geld erpressen...

Von dem her, wenn es wieder läuft... Gratulation

[shadow15m]

Bei diesem Befall ist nur einen Neuinstallation sicher
Alles andere bringt gar nichts.
Das Teil kann was weiss ich nachgeladen haben und das wird nicht erkannt.
Also wenn man ein vertrauenswürdiges System erlangen will, dann
Partitionen löschen, Partitionen neu erstellen, formatieren, installieren
Und auch an alle externen Wechselmedien denken und diese mit Onlinescannern überprüfen
Am besten man startet das Sstem mit einre Live Sstem CD (wie eta Ubuntu o.ä.) und geht damit online udn überprüft so die Medien

Auch diese ganzen Anleitungen zum entfernen diese Ekelpaketes taugen nicht die Bohne

[Replica666]

Hab mir den trojaner auf meinen eigentlichen pc gestern gehohlt.
hab die festplatte dan an den pc gehangen an dem ich jetzt sitze. Hab den Avira DE-Cleaner laufen lassen, der hatt aber nichts gefunden. Hab dann kaspersky laufen lassen, der hatt dann ein paar sachen gefunden, aber ich bin mir nicht wirklich sicher dass der BKA-trojaner dabei war.
jetzt steht ja an verschiedenen stellen, dass man die regestry überprüfen soll, weil beim eintrag
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”explorer.exe“
auch ein anderer wert stehen kann (durch den trojaner) und mann dass ändern sollte.
Kann man eigentlich auch von einem anderem PC, somit auch auf einem nicht befallen Betriebssystem auf die Regestry das befallen systems zugreifen, (also von die befallene systemplatte am anderen PC angeschlossen ist)?
hoffe ich habe mich jetzt nicht allzu kompliziert ausgedrückt^^

[KamiNoYari]

Mh verstehe nicht, wieso manche so ein Problem damit haben...
Bei mir war das vor ca. 2 Wochen so..
Ich war auf ner p2p Seite und dann kam das plötzlich.
Wollte es erst Mal aus machen, ging aber nicht..
Dann fing das Herz an zu klopfen
Hab mir dann erst Mal den Text gründlich durchgelesen und als ich die vielen Rechtschreibfehler und, dass man mit PSC Zahlen soll gelesen hab, war das Herzklopfen weg haha.
Ich weiß nicht mehr wieso, aber ich konnte dann Benutzer abmelden. Hab das dann gemacht und als ich nochmal auf den Benutzer ging (neu Angemeldet) war nichts mehr, habe mich informiert, wie der Virus heißt und ihn gelöscht.
Von daher stellt sich mir die Frage, was habt ihr alle mit eurem Back-Up??

[Cmdr_Michael]

Wer immer noch Probleme hat:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
>>Anleitungen für die Bereinigung des BKA-Trojaners
>>UPDATE 2: Trittbrettfahrer des Ransom UKASH – Trojaner (BKA- Trojaner)

bzw. direkt:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Dort gibt es auch noch andere Artikel mit anderen Anleitungen, bzw. unter der Woche sogar Live-Support.
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[waltropicc]

Hallo,

als Tip am Rande kann ich euch eine Möglichkeit nennen, die auf jedenfall funktioniert.
Man benötigt aber in meinem Fall Tune Up Utilities auf dem PC.
Konnte auch nichts machen und dachte auch das alles weg ist, aber wenn man den PC dann neu startet und Tune Up schnell öffnet und sofort im Bereich Windows aufräumen auf Registrierung reinigen klickt, dann findet diese i.d.R. den Fehler und dann läuft es wieder. So habe ich es jedenfalls 2 mal bei mir gemacht und es ging danach problemlos wieder. Danach dann evtl. Spybot oder sowas installieren.

MfG

[mKey89]

Zitat:

Zitat von waltropicc

Danach dann evtl. Spybot oder sowas installieren.

Wie wärs mit System absichern?
Der BKA-Trojaner kommt durch veraltete Software, vorwiegend Java und Internet Explorer ins Haus.

Deshalb stets Programme und System aktuell halten.
Java lässt sich über die Systemsteuerung -> Java updaten
Dann trifft man in der Systemsteuerung auch auf "Windows-Update"

Spybot hat eine sehr schlechte Erkennungsquote und sollte nicht installiert werden.
Alternative (als Scanner): [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Gruß
mkey

[Creepytimo]

Mal eine Frage nebenbei;
löscht das ding eig. wirklich die festplatte oder steht das nur da um den nutzer vorzugaukeln er hätte keine Zeit fremde hilfe zu suchen?

[pablo.rodriguez]

Die derzeitigen Versionen des Bundeskriminalamtvirus machen das meines Wissen nicht.

Gibt aber natürlich auch andere Viren die meist in gewissen Abständen willkürlich Dateien von der Platte löscht. Dies kann dann zufällig mehr oder weniger schlimm für den Betroffenen sein.

[Murdock88]

Och Kinners ... was macht ihr hier son einen Aufstand ...

Ein Freund hatte es auch, also nur mal um einiges hier richtig zu rücken:

1. Man sich diese blöden Dinger NICHT auf P0rn-Seiten.

2. Seine Frau hatte sich ein Programm mit der gleichen Masche (nur anderes Bildchen) eingefangen, als sie auf WERKENNTWEN war. Deshalb ist man NIE dagegen gefeit. Ich vermute, dass diese Dinger nicht im Seitencode sind, sondern eher in den Bildchen.

3. Man kriegt sowas nicht nur auf XP, sondern eigentlich kann man sich derartige Programme auf JEDEM Microsoft Betriebssystem einfangen.

4. Anleitungen, wie man das los wird, erhält man MANNIGFACH, wenn man einfach mal google bemüht.

5. Der "Trick" ist einfach, schnell genug das Programm erstm al zu killen (ausm Taskmanager), bevor es wieder die Seiten schließt. Dies geschieht nämlich nicht alle paar Sekunden, sondern höchstens nach ner halben Minute. Danach die entsprechenden Einträge ind er Reg suchen, oder ggf. auch über MSCONFIG, und dann die Dateien zu löschen, die das ganze verursachen. Es sind immer mehrere Dateien, die jedoch den gleichen Namen oder zumindest die gleiche Größe besitzen. In verschiedenen Ordnern selbstverständlich.

6. Diese "Dinger" sind natürlich "relativ" harmlos. Es sind keine Trojaner, welche das System unbemerkt übernehmen. Diese Leute wollen an eure Kreditkarteninfos oder auch Geld (am besten Beides XD). ANachdem das Programm entfernt wurde habe ich bei meinem Feund mehrere Ani-Trojaner-Prograamme laufen lassen. KEINER hat noch irgend etwas verdächtiges gefunden. Weder auf der Platte selbst, noch in der Registry oder sonstwo.

[TheBandicoot]

Hat jetzt auch meinen Arbeits- PC bei meiner Arbeitsstelle überfallen. War auf iload.to unterwegs, und ich hätte vielleicht gut daran getan, endlich mal einen vernünftigen S*****blocker zu verwenden, damit diese nervige Tittenwerbung verschwindet. Dann urplötzlich meldete sich avast, eine verdächtige Datein wäre gefunden und geblockt worden, drei Sekunden später flimmerte dann das Fake- BKA- Bild über meinen Monitor. neustart hilft nicht, das Problem ist, dass ich es nicht schaffe, irgendwie den Taskmanager zu zünden, bevor das dieser verdammte Vollbild- Kack aktiv wird. Abgesicherter Modus geht auch nicht, da gibts nen netten Bluescreen. Was auch immer das ist, es ist wirksam. System ist Windows XP.

Aber nicht wirksam genug. Festplatte an einen anderen Rechner angeschlossen, alle wichtigen Dokumente runtergezogen, anschließend dann den Virenscanner drüberjagen und wenn alle Stricke reißen, format c.

[knuffel61]

Hallo allerseits, mac ht alles nur nicht Zahlen.

ich hatte das gleiche Problem.

Nach viel rumgeeiere habe die bei kaspersky die rescuedisk runtergeladen,
als bootable gebrannt,
drüberlaufen lassen und nach dem neustart war alles wieder save,
Vorteil, die CD kann von Viren nicht verändert werden.


[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Ach ja, war XP Pro.

Viel Erfolg bei der ärgerlichen Beschäftigungstherapie,

schlussendlich verstehe ich nicht wieso man an die Hintermänner nicht rankommt.

Laut deren Anweisung soll man so Wertmarken kaufen, über die Überweisungskette der Banken müsste es doch ein leichtes sein für das BKA hier das Ziel der Gelder zu ermitteln.

[scorp32]

Hallo zusammen!

Eine Bekannte von mir hat sich den BKA eingefangen...
Ich habe

Karspersky Rescue geladen und durchlaufen lassen...
Registry nach Anleitung geändert
Sys-Wiederherstellung probiert...

NIX! Der BKA Begrüssungsbildschirm ist unverwüstlich! Morgen werde ich das System neu aufsetzen! Habe meinen Stick benutzt..kann ich den bei meinem PC weiter nutzen oder muss ich damit rechnen das ich das BKA Teil dann auch auf meinem Rechner verwanzt?

Hat noch jemand ne Idee statt Plattmachen?

Gruß

scorp32

[pablo.rodriguez]

Beitrag #110 schritt für schritt durchgehen...

Wenn sich auf Deinem Stick infiszierte Daten befinden und diese per autorun.inf ausgeführt werden könnte es blöd laufen. Geb dem ganzen aber eine Wahrscheinlichkeit von max 2%

[scorp32]

Hab ja alles durch was beschrieben wurde. Die Registry Veränderung müsste doch eigentlich funzen.Vielleicht hab ich es falsch gemacht hab den Eintrag in explorer.exe geändert.
in der HK...Software..WindowsNT..Winlogon..

Ich versuche das nochmal.

[pablo.rodriguez]

bitte vergiss nicht dass Du sowohl unter HKLM (HKEY_Local_MASCHINE) und unter HKCU (HKEY_CURRENT_USER) nachsehen musst.

wenn es "nur" den HKCU betreffen sollte könntest das auch wie folgt umgehen.

Wenn Du im Abgesicherten Modus mit Eingabeaufforderung bist, gib folgendes in die schwarze Box (konsole):

net user /add Pablo Rodriguez

(dann hättest einen neuen Benutzer Namens "Pablo" mit Passwort "Rodriguez" erstellt). Bitte ändere das nach Deinen Bedürfnissen ab.

Nun muss dieser Nutzer noch lokaler Administrator werden. Das machst gleich im Anschluss mit folgenden Befehl:

net localgroup administratoren /add Pablo

(Pablo muss natürlich der Benutzername sein, welchen Du vorab vergeben hast)

Starte den Rechner neu und melde Dich als Pablo (als Dein Benutzername) an. Wenn der Bildschirm wieder normal sein sollte, dann war es der HKCU-Wert. Du könntest dann mit dem neuen Benutzer weiterarbeiten, die Daten sichern und ggf. den alten Benutzer löschen. Oder aber Du loggst Dich wieder als Infizierter Benutzer ein und änder den HKCU-Wert.

Wichtig. Der HKCU-Wert kann nur der betroffenen Angemeldete User ändern. Du könntest also als Pablo nicht den Wert für bspweise Hans ändern.

[scorp32]

Also ich komme ja rein..ich umgehe den BKA rotz mit oftmaligem Strg+Alt+Entf und kann (nachdem ich die explorer.exe deaktiviere)dann im Task Manager Anwendungen starten. Da auch als Admin in der reg die Werte verändern. Thx werde ab 3 Uhr es nochmals versuchen. Ist ein anderer Rechner mit dem ich aber auch online bin d.h. ich kann ja im Task Manager auch die Browser starten..es fehlt eig nur der Desktop wenn de so willst^^

Beim User HKUSER wie ist da der Pfad? Auch der "gleiche"?

[pablo.rodriguez]

ah okay... dann bitte aber folgendes noch beachten wennst es nochmal versucht.

BITTE das ganze wie beschrieben im abgesicherten Modus starten. Und auch wie beschrieben die Werte aus dem Run-Ordner in der Registry entfernen. Denn der Virus trägt sich dort ein. Folge ist, dass jedem Rechnerstart das Teil aufs neue da ist... Auch wennst es noch so oft abänderst

[scorp32]

Also nach dieser Anleitung^^

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[pablo.rodriguez]

ja... genau... Das was ganz unten aufgeführt ist, ist ziemlich wichtig. In meinen Fällen hat sich der dort unter unterschiedlichen Namen eingenistet. Auch ist interessant wo Du den Quelle des Unheils abgelegt hast. Bei mir haben Personen es beispielsweise beim Download statt gespeichert auf "Ausführen" gedrückt. Dann ist die Datei im Temp-Ordner (appdata...). Gibt auch Leute die alles auf Desktop legen etc. Also dort musst Du gucken und die infiszierte Datei löschen. Damit es erstens nicht mehr versehentlich ausgeführt wird und zweitens der Autostart nicht mehr ausführen kann...

[scorp32]

Hab fast alles aus der Registry entfernt..Machine und User..Nichts.^^

Edit: Hab kapituliert^^

System neu aufgesetzt. Es half wirklich nichts...:-/

[FießerFettsack]

Hab dasselbe Problem, ein Freund hat dieses Teil... aber auf seinem PC waren noch Sachen die für MICH echt wichtig sind!

Kann ich die noch irgendwie bekommen?

bevor ich das alles neu aufsetze will ich die dateien gerettet haben :O

Hilfe wäre echt toll

[scorp32]

Ja! Ich editiers und erklärs Dir hier:

Als erstes versuchste es mit F8 und Abgesicherten Modus..hat bei mir nichts gebracht..

Also normal starten
bevor der W Bildschirm kommt strg+Alt+Entf sehr oft hintereinander drücken bis der Task-Manager kommt
danach SOFORT die explorer.exe die Ausführung beenden!!!

Danach kannst Du mit dem Taskmanager ins System also Windows rein, und kannst alles ausführen auch Programme-
oder Du sicherst Dir die Daten die Du brauchst!

Hau rein!

[FießerFettsack]

ok danke konnte alles auf nen USB Stick ziehen

[pablo.rodriguez]

yo... aber wennst das nicht unter "Abgesicherten Modus mit Eingabeaufforderung" machst vergiss nicht während Windows startet die "shift-taste" gedrückt zu halten...

edit: Seh grad hat sich schon erledigt..

[scorp32]

Ne brauchst nicht den abgesicherten Modus!

[jettset]

Och mist, bei mir kam es auch. Habe eine Datei runtergeladen, da gab es eine Java Zugangsanfrage, ich habe mit OK gedrückt. Nun installiere ich alles neu. Es lohnt sich nicht, den Virus ausfindig zu machen, sondern alles platt zu machen.

Aber eine theoretische Frage: nehmen wir an, ich hätte das Virus auf einem virtuellen XP (Windows Virtual PC) eingefangen, wäre dann nur das XP betroffen oder auch mein komplettes PC? Hätte es gereicht, nur den Windows Virtual PC Datei zu löschen/deinstallieren?

[PepperID]

Im abgesicherten Modus starten, dann unter C:\Users\Euerprofil\AppData\Roaming oder Local durchklicken, irgendwann werdet ihr eine exe in einem versteckten Ordner finden(sollte man vorher an schalten) die Alixxxx.exe heißt, die löschen dann neustarten und ihr seit fertig... bei mir hats geholfen

[pablo.rodriguez]

Zitat:

Zitat von PepperID

Im abgesicherten Modus starten, dann unter C:\Users\Euerprofil\AppData\Roaming oder Local durchklicken, irgendwann werdet ihr eine exe in einem versteckten Ordner finden(sollte man vorher an schalten) die Alixxxx.exe heißt, die löschen dann neustarten und ihr seit fertig... bei mir hats geholfen

Das kann man soooo nicht sagen . Lag wahrscheinlich bei Dir in diesem Ordner weil Du es nicht erst auf "Desktop/anderer Ort" gespeichert hast, sondern gleich auf "Ausführen" gegangen bist. Den von Dir besagten Pfad findest relativ schnell indem Du %Tmp% oder %Temp% in das "Such-Fenster/Ausführ-Fenster" eingibst. Dieser Temp-Ordner kann auch mal gerne einfach gesäubert werden.
Dazu einfach in die Console wechlsen ("cmd" in das Such-/Ausführenfenster eingeben)
Folgenden Befehl dort eingeben: del /f /s /q %temp%\*.*

In diesem Temp-Verzeichnis befinden sich alle temporären Dateien. Sprich Download welche direkt ausgeführt werden, Videostream-Elemente, temporäre-Setup-Dateien etc. Von dem her kann sich das Verzeichnis ganz schön aufplustern. Zusammengefasst befindet sich dort nix wichtiges, so dass der Inhalt wirklich problemlos gelöscht werden kann.

Dieser Name muss auch nicht mit "Ali" beginnen. Je nach Quelle heißen die Teile anders.