engelhuber.de //blog

Gehirnfürze aus der Sicht eines Nerds

Bundeskriminalamt (BKA) Trojaner/Virus entfernen

| Keine Kommentare

Vor ein paar Tagen bekam ich einen Anruf eines Bekannten dass er sich einen Virus eingefangen hätte. Auf dem Bildschrim war nach erfolgreicher Windows Anmeldung nur noch eine Meldung vom Bundeskriminalamt (BKA) zu sehen, in der ihm vorgewurfen wurde kinderpornografisches Material oder andere illegalen Sachen verbreitet zu haben. Der Computer wäre nun gesperrt und nach Zahlung von 100€ via Ukash (welche Behörde nutzt bitte Ukash?? 🙂 ) wieder nutzbar. Tatsächlich ließ sich nichts mehr mit dem PC machen… Allerdings sprang nach kurzer Zeit auch schon der Virenscanner (Antivir) an, welcher eine der infizierten Dateien meldete. Die Datei ließ sich sogar löschen, allerdings erschien nach anschließendem Reboot des PCs nur noch der blaue Windows Startbildschirm mit einem Mauszeiger. Sonst nichts… auch nicht im abgesicherten Modus.

Daraufhin habe ich den PC mit der Kaspersky Rescue Disk 10 (download) gebootet (ggf. vorher im BIOS die Bootreihenfolge ändern: 1. CD/DVD 2. HDD)  und einem Virenscann unterzogen. Dieser hat auch noch einige weitere infizierte Dateien gelöscht, unter anderem in den temporären Internet Dateien des Firefox, woraus ich schließe, dass der Virus/Trojaner von einer infizierten Internetseite stammt.

So weit so gut, ich dachte damit wäre nun alles bereinigt und der PC würde wieder booten. Pustekuchen… 🙂
Es erschien weiterhin nur der blaue Hintergrund mit Mauszeiger. Nach ein wenig rumprobieren bin ich aber mit der Tastenkombination STRG+ALT+ENTF in den Task-Manager gekommen, von wo ich mittels „Neuer Task…“ die regedit.exe (Registrierungseditor) öffnen konnte. Nach ein wenig Recherche im Netz habe ich dann herausgefunden, dass der Virus einen Eintrag in der Registry ändert der normal nach dem Starten des Rechner die explorer.exe startet.

Unter Windows XP navigiert man nun in der Registry in folgenden Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Unter Vista und Windows 7: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Dort war unter dem Eintrag „Shell“ die böse .exe statt der explorer.exe hinterlegt. Der komplette Pfad in „Shell“ kann nun mit „explorer.exe“ überschrieben werden und anschließend sollte der Rechner wieder normal booten.

Bei neueren Versionen des Virus können wohl auch Dateien über folgende Pfade nachgeladen werden:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Der wichtigste ist jedoch der Shell Eintrag der angibt was nach dem Login gestartet werden soll.

Wichtig: Auch wenn der Virus nun auf den ersten Blick besiegt erscheint, würde ich den Rechner einer Neuinstallation unterziehen. Der jetzige Zustand kann genutzt werden um Daten etc. zu sichern. Wer sicher gehen möchte sollte lieber neuinstallieren.

Autor: Engelhuber

Wenn dir der Post hilfreich war bzw. er dir gefallen hat, würde ich mich über ein Kommentar freuen. Natürlich ist auch negative Kritik gerne gesehen ;)

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.