PC-Notruf: Kunde hatte BKA-Trojaner

12.03.2012

Notruf am Morgen: ein Kunde hat sich einen Trojaner eingefangen und konnte nicht mehr arbeiten.

Der Kunde arbeitet mit Windows Vista auf einem Laptop und hatte sich irgendwie den sogenannten BKA-Trojaner Alternativ-Link eingefangen. Der Trojaner wird bei Start von Windows ausgeführt und blockiert so ziemlich alle Interaktion mit dem Laptop - zu sehen ist eine erschreckende Meldung, dass man illegale Sachen gemacht hätte und nun mittels ukash einen Betrag zu überweisen hätte.

Mein Kunde verhielt sich genau richtig: er machte nichts und rief mich an. Vor Ort konnte ich das Übel relativ einfach entfernen. Die Trojaner-Version meines Kunden war recht primitiv: es musste einzig ein Programm aus dem Autostart-Ordner entfernt werden.

Ich ging wie folgt vor:

• Der Kunde hatte durch Anstecken einer USB-Festplatte es geschafft, dass Windows im Hintergrund ein Fenster geöffnet hatte.
• Per Alt + Tab konnte ich dazu wechseln
• Gleichzeitig verschwand der Trojaner im Hintergrund und ich konnte mittels Strg + Alt + Entf den Rechner herunterfahren lassen
• Das Herunterfahren beendete den Trojaner und bei der Frage, ob ich irgendein Programm wirklich beenden wolle, drückte ich auf Abbrechen und konnte so das komplette Herunterfahren verhindern.
• Mir stand also nun das Windows voll zur Verfügung.
• Dann suchte ich im Netz nach den verschiedenen Versionen und hangelte mich durch die Anleitungen (siehe BKA-Trojaner Alternativ-Link).
• Die Variante meines Kunden war primitiv: das Entfernen eines Programms aus dem Autostart-Ordner löste das Problem.
• Ich entfernte natürlich noch das Programm auf der Festplatte. Es lag unter:
  

C:UserVistaAppDataLocalTemp

• Der Name begann mit „0.3…“.
• Anschließend ließ ich den Virenscanner einen kompletten Scan durchführen.

Diese Variante war sehr einfach zu entfernen.

Nochmal in aller Deutlichkeit ein Tipp an alle Betroffenen:
Zahlen Sie auf keinen Fall und rufen Sie im Zweifel uns bzw. einen Kollegen zu Hilfe.

Update 07.06.2016: Danke an Herrn Funke von EDV-Funke für die Info zum inzwischen ungültig gewordenen Link. Ich habe seinen Vorschlag des neuen Links auf http://www.bundespolizei-virus.de/ übernommen.

zurück