BKA Trojaner - Bitte um Begleitung beim entfernen!

Guten morgen zusammen!
Habe seit gestern den BKA Trojaner auf meinem Laptop. Hatte den Avira drauf, aber den schaltet der Trojaner ja einfach aus. Hab schon ein bißchen gegoogelt und die Entfernung mittels abgesichertem Modus entdeckt. Gleich ausprobiert, geht aber nicht, weil der Lapi sich gar nicht mehr starten lässt.

Weiter gegoogelt und eine Anleitung zur Entfernung gefunden: http://support.kaspersky.com/de/viruses/solutions?qid=208641247

Nun weiß ich aber nicht, welche Variante ich versuchen soll. Am liebsten die einfachste, bin kein PC Profi, sondern nur Nutzer und kenn mich mit de ganzen Fachbegriffen nicht aus. Hab jetzt dies Rettungs USB Datei auf den Stick geladen, wollte aber vorher noch euch Profis um Rat und Hilfe bitten, bevor ich genau das Falsche mache.

Könnte mich jemand bei der Entfernung begleiten bitte?

 

Man kann Malware i.d.R. nicht erfolgreich entfernen.
Begründung:
http://www.malte-wetz.de/wiki/pmwiki.php/De/RemovalTools

Schon gar nicht durch denjenigen, der nicht fähig war, sich im laufenden PC-Betrieb vor Malware zu schützen.
Und du glaubst doch nicht im Ernst, das du als Home-User erfolgreich gegen Malwareautoren vorgehen kannst.

Selbst Profis
http://www.heise.de/thema/Tatort-Internet
vernichten alles, was auf der Festplatte ist und setzen das OS neu auf.

Denn nur so bekommt man ein vertrauenswürdiges System.

PS: Erkundige dich, was Malware so alles kann.
Dann wirst du über deinen naiven Lösch-Ansatz selber lachen und sehen, das du mit Lösch-Aktionen so gut wie keine Chance hast.

Und erkundige dich, wie man mit einem PC optimal arbeitet um malwarefrei zu sein und zu bleiben:
http://www.pcwelt.de/forum/sicherhe...g-mache-meinen-pc-sicher-stand-10-2012-a.html

 

Danke für Deine unheimlich nette Antwort!

 

Hallo jutta76,

vom Grundgedanken hat missiregis recht mit dem Neuaufsetzen des Systems, auch wenn man das Ganze etwas höflicher formulieren könnte.

Du kannst auch mal hier in diesem Forum suchen oder ein eigenes Thema eröffnen.


Gruss

 

Deinen Feind auf deinem PC kann man nicht mit Nettigkeiten bekämpfen sondern nur mit knallharten Maßnahmen.

Und der Erkenntnis, das man diesen Feind mit Selektionsmaßnahmen nicht erfolgreich dauerhaft bekämpfen kann.
Indem man einzelne Daten herausoperiert.

Wer so denkt, unterschätzt mit seinem Nichtwissen die Komplexität und Rafinesse von Malware.
Und ist dann der ewige Verlierer.

Aber mach wie dir Schön ist und träum weiter.
Ich bin raus.

 

So unnett war seine Antwort nicht... nur direkt, und das sogar noch relativ höflich verpackt.

Nur weil Du gerne etwas anderes gelesen hättest (wie eine detaillierte Anleitung), hat das nichts mit unnett zu tun.

Fakt ist nunmal, dass das Löschen nur Augenauswischerei ist, Zeitverschwendung ebenso: du verbringst schon mehr Zeit mit Löschversuchen als ein Neuaufsetzen brauchen würde...
Was mich meine Erfahrung lehrt.. du wirst entweder maulen, oder nicht wiederkommen, zu irgendeinem Mega-DAU finden, der mit dir stundenlang sucht und arbeitet und nach ein paar Wochen/Monaten wieder vor der gleichen Scheisse sitzen... aber mach nur, ich warte auf den Tag, an dem jeden das Internet abgeschaltet wird oder Geldstrafen drohen, wenn er sein System nicht sicher hält bzw wenns mal schief geht, wieder sicher macht.

 

Sind noch Schulferien?

Kann mich nicht erinnern gelesen zu haben dass das jemand hier behauptet!
Bin mir fast sicher dass diese Erkenntnis nicht nur bei einem User vorhanden ist!

Deshalb sind wir ja froh dass es solche Feuerwehrleute wie dich hier gibt.

Bin froh deinen Beitrag gelesen zu haben, der bringt mich jetzt in meinem Leben weiter!

Gruss

 

@gany
Danke, so gehts auch.

@missirgis und phoenix
Wenn ich mich auskennen und Bescheid wissen würde, würde ich nicht hier im Forum nachfragen und um Antwort oder Hilfe bitte!

Ob mir die Antwort gefällt, ist nicht die Frage. So wie es ist, so ist es. Allerdings erwarte ich keine derart zynische Antwort auf eine nett gestellte Frage!

Hatte den Virus auch im Büro trotz Kaspersky und da kümmert sich ein Profi drum.

Ich hatte gehofft den Lapi so weit hin zu bekommen, daß ich noch ein paar Daten sichern kann und ihn dann neu aufsetzen kann? Möglich oder nicht?

 

Zwecks Datensicherung
Vorgehensweise:
im Board Sicherheit angepinnt von Root:
http://www.pcwelt.de/forum/sicherhe...ion-7-0-3-stand-16-07-2012-a.html#post2141820

 

Und den hast du dir bei dem Download von Last Chaos eingefangen, wo hast du das denn runter geladen?

Gruß kingjon

 

Danke! Kann die Downloads nicht öffnen.

 

Danke, habs woanders herunter geladen und auf CD gebrannt. Leider öffnet er diese beim Start nicht bzw. ist bei dem Boot Ordner die Festplatte eingestellt und die Reihenfolge kann ich nicht ändern.

 

Das war sicher eine ISO Datei, hast du die auch als bootfähige CD gebrannt - also über die Imagefunktion des Brennprogramm?
Die Bootoptionen werden im BIOS eingestellt, wie du da hinkommst steht im Handbuch und wird beim Start(Bootschirm) angezeigt. Meist ist es die Ent-Taste oder F2.
Dort findest du unter Boot die einzelnen Laufwerke aufgeführt, da aktivierst du nur das CD-Laufwerk, abschließend im Speichern-Menue Änderungen speichern und verlassen.
Dann sollte er von der CD booten.

Gruß kingjon

 

Ergänzend zum bereits Gesagten und Verlinkten:

Diese Malware konnte sich installieren, weil die Browser-Plugins wie Java, Flash oder Adobe Reader veraltet sind. Dadurch gelingt eine Drive-by-Infektion. Mit anderen Worten: Deine Schuld, weil du das System nicht gründlicher gepflegt hast.

Falsch. Erstens hätte eine Infektion durch ein AV ja verhindert werden müssen, nicht wahr? Klappte nicht, weil JEDES AV über 60% der aktuellen Malware einfach nicht rechtzeitig erkennt.
Zweitens schaltet dein Avira (wenn überhaupt) nicht die Malware aus, sondern nur deren absichtlich auffälligen Symptome, was ein wesentlicher Unterschied ist.

Umsonst entdeckt.

Microsoft verrät in der Windows-Hilfe: Abgesicherter Modus ist eine Option für die Problembehandlung bei Windows, mit der der Computer in einem eingeschränkten Status gestartet wird. In diesem Modus werden nur die Basisdateien und Basistreiber gestartet, die zum Ausführen von Windows erforderlich sind. [...] Wenn ein vorhandenes Problem nach dem Starten im abgesicherten Modus nicht mehr auftritt, können die Standardeinstellungen und die Basisgerätetreiber als mögliche Ursache ausgeschlossen werden. Wenn Sie die Ursache des Problems nicht kennen, können Sie das Problem mithilfe des Ausschlussverfahrens herausfinden. Versuchen Sie, alle normalerweise verwendeten Programme, einschließlich der Programme im Ordner Autostart, nacheinander zu starten, um auf diese Weise festzustellen, durch welches Programm das Problem verursacht wird.

Was die Tippgeber und Malware-Opfer nicht verstehen, ist der Umstand, dass Malware selbstverständlich in der Lage ist, sowohl die erwähnten und vermeintlich sicheren Standardeinstellungen und Basisgerätetreiber vorher zu manipulieren, als auch die eigenen Komponenten als "sicher" zu registrieren. Die Folge ist natürlich, dass bestenfalls ein absichtlich auffälliges Symptom, wie z.B. die Anzeige einer gefälschten Warnung, verschwindet, der PC aber unverändert kompromittiert bleibt.

Deine leicht eingeschnappten Bemerkungen gegenüber kompetenten Helfern finde ich übrigens unangebracht.

 

@kingjon
Ja ich denke schon, weil das Internet ja wochenlang nicht ging. Ich hab yahoo und zdf.de ausprobiert, war nichts und dann wollten wir noch versuchen einen großen Download zu starten weil dann immer das Internet ausgefallen ist. Mir fiel auf die Schnelle nur Last Chaos ein, also hab ich den Download von der offiziellen HP gestartet. Nach 2 % ging das Fenster des BKA auf. Habe keine Ahnung ob das gleich aufgeht, wenn man sich das einfängt, oder erst nach einer gewissen Zeit?

@iron67
Ob missiregis kompetent ist, oder nicht kann ich nicht beurteilen, auf jeden Fall hat er sich im Ton vergriffen. Andere Foris haben ja gezeigt, daß es auch anders geht.
Ich hatte den selben Virus auch im Büro auf dem PC trotz aktuellem Kaspersky. Der PC Mensch meinte, daß der Trojaner ihn ausgeschaltet hat weil Kaspersky ohne Passwort gesichert war. Ich bin normaler Nutzer und setze mich nicht mit den Feinheiten von Malware auseinander und da bin ich sicher nicht allein, dazu gibt es Profis.

Wie dem auch sei. Die Daten sind gesichert und der Laptop ist neu aufgesetzt und abgesichert dank sehr netter Hilfe und Begleitung im Trojaner Board.

Danke für Eure Infos.

 

Das ist von Variante zu Variante verschieden. Und es gibt zehntausende Varianten.

Aber ich kanns. Er ist.

Nein. Du bist nur etwas zu sensibel. Darum mal ein altes und für eine andere Plattform gedachtes, aber unverändert gültiges Zitat:

Der Ton im Usenet ist häufig kürzer angebunden als im täglichen Leben, denn Tippen geht langsamer als Reden. Daher fallen Höflichkeitsfloskeln leichter unter den Tisch als anderswo. Deshalb sind die Aussagen aber weder oberlehrerhaft noch böse gemeint. [Thomas Hochstein]

Da liegt er falsch.

Gleich noch ein Starwars-Zitat, weils so schön passt:

That is, why you fail. [Yoda]

Wer sich mit den Feinheiten nicht auseinandersetzt, bleibt abhängig vom Wissen oder vermeintlichen Wissen anderer und bevorzugt die scheinbar einfacheren und dennoch "ausreichenden" Entfernungstipps.

Auch dazu ein Zitat, und zwar von einem Profi:

Dieses Board enthaelt mindestens halb so viel Voodoo, Unwissenheit und Unfaehigkeit wie z.B. das answers.microsoft.com Forum - dafuer in Gelb. [Jürgen P. Meier über Trojaner-Board.de in dcsm]

 

Hallo jutta76,

ich habe Deine Postings und alle Antworten hier gelesen und bin ebenfalls der Auffassung, daß Du etwas zu empfindlich reagiert hast. Der Beitrag von missiregis war knapp, sehr deutlich und ehrlich, da wurde nichts beschönigt, sondern nur auf die nackten Tatsachen hingewiesen.

Die Wahrheit ist halt nicht immer schön, und in Anbetracht Deines Malware-Problems macht es wenig Sinn, Schönrederei zu betreiben, davon gehen die Schädlinge nicht weg.

Zu Deinem eigentlichen Problem:

Nein, definitiv nicht. Und ganz abgesehen davon, was "nützt" ein Antivirenscanner, wenn ERST die Malware auf den Rechner kommt und DANN die Meldung erfolgt? Dann ist es bereits zu spät, oder siehst Du das anders?

Der AM ist hierfür auch völlig ungeeignet, denn er wurde von MS für andere Dinge vorgesehen, aber das wurde hier ja schon gepostet.

Die Anleitung kannst Du in die Tonne hauen, lies bitte einmal hier:

http://malte-wetz.de/wiki/pmwiki.php/De/RemovalTools

Insofern ist auch der Tipp mit dem TrojanerBoard nicht unbedingt die 1. Wahl, weil hier vor allem Bereinigungsaktionen durchgeführt werden. Ein kompromittiertes System MUSS neu aufgesetzt werden.

Deine Daten vorher mittels Live-CD sichern, die Du von einem sauberen Rechner lädtst (iso-Datei auf dem Desktop abspeichern) und danach auf CD brennst. Im Anschluß daran den Rechner platt machen, inkl. Überschreiben des MBR.

Ich hoffe daher, daß Du Dich hinsichtlich Deines Rechners nicht auf halbherzige Aktionen einläßt. Denn heutige, moderne Malware läßt sich nicht mittels Removal-Tools entfernen, das kannst Du vergessen. Früher oder später kriegst Du wieder Probleme, das ist so sicher wie das Amen in der Kirche. Dann kannst Du nur hoffen, daß Dein Konto nicht leer geräumt wurde, Deine persönlichen Daten nicht ausgelesen und kein Mißbrauch damit getrieben wurde.

Ich kann Dir daher auch nur die Empfehlung mit auf den Weg geben, Dich hier noch einmal zu melden und Dir weiter helfen zu lassen. Verletzte Eitelkeiten oder persönliche Empfindllichkeiten sollten in Anbetracht des Ernstes der Situation (kompromittiertes System) hintenan gestellt werden. Alles andere, was Du jetzt anstrebst, ist Flickschusterei und gefährlich.

 

Sag mal hast du was an den Augen?

Was hat die jutt76 den hier eindeutig geschrieben!

Da steht sehr gut zu lesen

Hauptsache nochmal angemeldet und alles wiederholen.

Gruss

 

Hallo Gany,

stimmt, habe ich überlesen, sorry dafür, insbesondere an jutta76.

Freundliche Grüße an Dich zurück, Gany

 

Glashaus...

... Steine. Da trifft Dein vorausgegangenes erstes Zitat nämlich auf einige Deiner eigenen Folgezitate zu.

Du kannst, je nach Alter des betroffenen Computers, und mit angepasster BIOS-Konfiguration, auch von USB booten. Bedeutet: Du könntest ein Live-System Deiner Wahl auch von einem sauberen, bootfähigen USB-Stick booten, der a) zuvor an keinem infizierten PC betrieben worden sein darf, und b) an einem sauberem PC wie folgt erstellt werden kann:

-> http://unetbootin.sourceforge.net/
-> http://www.lidux.de/ubuntu-usb-stick-installieren-unetbootin/

Dann vom Stick booten.

Man kann nicht mit Sicherheit den Infektionszeitpunkt vom offensichtlichen Auftreten bestimmter Symptome ableiten. Es muss auch mit zeitlich vorausgegangenen Infektionen gerechnet werden, vor allem dann, wenn ein System in seinen Grundfesten schon länger nicht sicher konfiguriert war.

Virenscanner vermögen lediglich sehr begrenzt zu wirken. Siehe dazu als Beispiel die Erkennungsleistungen bei einem sehr gefährlichen, passwortstehlenden Schädling, der zudem auch optisch unauffällig bleibt (also keine offensichtliche Infektion wie bei Scareware / Ransomware).

-> https://zeustracker.abuse.ch/statistic.php (Siehe dort die unterste Flash-Animation "Average Antivirus detection rate (last 60 days)").

Nein, weil die Malware auf dem gleichen System läuft wie der Virenscanner, und diesen somit manipulieren kann. Wenn denn der Virenscanner die Schädlinge allesamt überhaupt erkannt hätte, was unwahrscheinlich ist (siehe oben).

Das setzt allerdings voraus, dass...

a) die jeweiligen "Profis" auch wissen, was sie tun, und die jeweils passenden, verantwortungsbewussten Ratschläge geben (was in diesem Fall auf allen betroffenen Computern die Systemneuinstallation nach Überschreiben des MBR bedeutet),
b) in der Folge der Benutzer sich zumindest insoweit Basiswissen aneignet, als dass ihn dieses in die Lage versetzt, Infektionen künftig zuverlässig zu verhindern.

-> http://www.malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidbar

Wird einer der beiden Punkte nicht umgesetzt, lacht der Dritte -- und damit ist der lachende Malwareverbreiter gemeint, der von einer upassenden Reaktion auf Benutzerseite in jederlei Hinsicht profitiert.

Dieses Vorgehen ist allerdings wie gesagt auf beide betroffenen Systeme anzuwenden.