BKA Trojaner entfernt

Es war mal wieder soweit. Obwohl ich immer alle Updates gemacht hatte (?), wurde mein Rechner mit dem BKA-Trojaner infiziert. Ich surfte mit dem Firefox und auf einmal meckerte er die Java-Version an. Das war’s, der Trojaner kam über Java rein.  Vor einiger Zeit hatte ich schon die Rechner meiner Kinder bereinigt und deshalb etwas ‚Übung‘. Bei diesem Trojaner mußte ich etwas mehr Zeit aufwenden um wieder meinen Deskop mit Startleiste zu sehen. Oben links stand „GVU – Gesellschaft zur Verfolgung von Urheberrechtsverletzungen“. Ich konnte den Taskmanager in diesem Konto nicht aufrufen, er verschwand sofort wieder (Ctrl-Alt-Entf). Und im abgesicherten Modus anmelden ging auch nicht, der Rechner fuhr sofort wieder runter.

Vorab – Ich arbeite und surfe nur unter einem Benutzerkonto mit eingeschränkten Rechten. So kann man sich immer noch als Adminstrator einloggen. Eine andere Möglichkeit wäre noch über’s Netzwerk von einem anderen Rechner aus auf das entsprechende Verzeichnis zugreifen zu können. Dazu einen zweiten Rechner ins Netzwerk ‚hängen‘ mit gleichem Benutzernamen und ggf. auch gleichem Passwort. Dann kann man auch auf das AppData\Local\Temp-Verzeichnis zugreifen. Es ist nicht immer sichtbar (Einstellung im Explorer), aber direkt eintippen geht. Wär vielleicht was wenn der einzige Account auf dem Rechner infiziert ist. Das man vom 2. Rechner jetzt nicht irgendwelche Dateien vom infizierten Rechner aufruft versteht sich wohl von selbst.

Zuerst in folgendes Verzeichnis vom infizierten Benutzer – \Benutzer\xyz\Appdata\Local\Temp. Das macht man natürlich von einem anderen Konto aus. ‚xyz‘ muß man durch seinen Benutzernamen ersetzen! AppData sieht man nicht, einfach so im Explorer im Dateipfad eingeben…

Und alles in diesem Temp-Verzeichnis löschen. Hier befindet sich der ausführbare trojaner. Bei mir hieß er b34btbztdb0vavaw.exe. Nach erneutem Einloggen in den infizierten Account wurde nur noch die Eingabeaufforderung gezeigt mit dem Hinweis das dieses Programm nicht gefunden wurde.

Zur Sicherheit eine Kopie der Registry machen, spätere Änderungen bzw. Löschungen können nicht mehr rückgängig gemacht werden. In der Registry den Eintrag suchen wo er aufgerufen wird. Das macht man jetzt im Konto des infizierten Benutzers!, und dann nur unter HKEY_CURENT_USER. Hier ein Bildchen:

Den Eintrag AutoRun in der Registry löschen.

Ein erneutes Einloggen zeigt nur noch die Eingabeaufforderung und einen schwarzen Hintergrund, keine Taskleiste, alles andere scheint weg zu sein. Man kann aber in der Eingabeaufforderung alle Programme aufrufen, auch den regedit. So konnte ich auch ein Snapshot der Bildchen hier machen und sichern.

Jetzt möchten wir noch die Taskleiste, Hintergrund und alles wir bisher hatten. Der Trojaner startet nur die Eingabeaufforderung, bzw hat die Registry entsprechend geändert.

 Wir löschen den Eintrag Shell.

Das war’s.

Als Tipp vielleicht noch: Bei einem anderen (nicht infizierten) Konto vorher die beiden Einträge vergleichen, die ich löschen möchte.