IT-MÜCKE

PC-Notruf: Kunde hatte BKA-Trojaner

12.03.2012

Notruf am Morgen: ein Kunde hat sich einen Trojaner eingefangen und konnte nicht mehr arbeiten.

Der Kunde arbeitet mit Windows Vista auf einem Laptop und hatte sich irgendwie den sogenannten BKA-Trojaner Alternativ-Link eingefangen. Der Trojaner wird bei Start von Windows ausgeführt und blockiert so ziemlich alle Interaktion mit dem Laptop - zu sehen ist eine erschreckende Meldung, dass man illegale Sachen gemacht hätte und nun mittels ukash einen Betrag zu überweisen hätte.

Mein Kunde verhielt sich genau richtig: er machte nichts und rief mich an. Vor Ort konnte ich das Übel relativ einfach entfernen. Die Trojaner-Version meines Kunden war recht primitiv: es musste einzig ein Programm aus dem Autostart-Ordner entfernt werden.

Ich ging wie folgt vor:

  • Der Kunde hatte durch Anstecken einer USB-Festplatte es geschafft, dass Windows im Hintergrund ein Fenster geöffnet hatte.
  • Per Alt + Tab konnte ich dazu wechseln
  • Gleichzeitig verschwand der Trojaner im Hintergrund und ich konnte mittels Strg + Alt + Entf den Rechner herunterfahren lassen
  • Das Herunterfahren beendete den Trojaner und bei der Frage, ob ich irgendein Programm wirklich beenden wolle, drückte ich auf Abbrechen und konnte so das komplette Herunterfahren verhindern.
  • Mir stand also nun das Windows voll zur Verfügung.
  • Dann suchte ich im Netz nach den verschiedenen Versionen und hangelte mich durch die Anleitungen (siehe BKA-Trojaner Alternativ-Link).
  • Die Variante meines Kunden war primitiv: das Entfernen eines Programms aus dem Autostart-Ordner löste das Problem.
  • Ich entfernte natürlich noch das Programm auf der Festplatte. Es lag unter:

C:UserVistaAppDataLocalTemp

  • Der Name begann mit „0.3…“.
  • Anschließend ließ ich den Virenscanner einen kompletten Scan durchführen.

Diese Variante war sehr einfach zu entfernen.

Nochmal in aller Deutlichkeit ein Tipp an alle Betroffenen:
Zahlen Sie auf keinen Fall und rufen Sie im Zweifel uns bzw. einen Kollegen zu Hilfe.

Update 07.06.2016: Danke an Herrn Funke von EDV-Funke für die Info zum inzwischen ungültig gewordenen Link. Ich habe seinen Vorschlag des neuen Links auf http://www.bundespolizei-virus.de/ übernommen.


zurück

Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information