Ukash - Bundespolizei Trojaner Problem

[MistaJack]

Ich habe neulich erst einen von diesen UKASH-Trojanern bei Bekannten beseitigt - zwar nicht den BKA, aber es gibt ja ne Menge davon. Deswegen kann ich vielleicht die eine oder andere Erfahrung beisteuern, in der Hoffnung, dass das weiterhilft und sich auf den BKA beziehen läßt.

1.) Der Trojaner besteht aus mehreren Komponenten: Das Schadprogramm und ein Vorschaltprogramm dafür. Das Schadprogramm wird von den Cleanern erkannt und entfernt. Hier empfehlen sich dringend die CDs der Antivirenprogrammhersteller (z.B. die von Kaspersky). Die CDs enthalten meist auch eine Unlocker-Funktion, die die unschönen Nebeneffekte (keine Desktop-Icons, kein Taskmanager mehr, falsches Shell-Programm usw.) wieder rückgängig macht. Das Vorschaltprogramm wird nicht als Malware erkannt und bleibt meist "erhalten". Leider!
2.) Zumeist werden nur einzelne User befallen. Mit neuen Usern tritt das Problem nicht auf. Man kann also mit Administrator-Usern auf dem Profil des befallenen Users Korrekturen vornehmen.
3.) Das Vorschaltprogramm, was den Computer mehr oder weniger lahm legt - man sieht kurz den Desktop, aber nach einigen Sekunden erscheint wieder der BKA-Bildschirm - aktiviert sich offensichtlich nur bei bestehender Internet-Verbindung. Also, alle LAN-Kabel ziehen oder WLAN im Router deaktivieren bzw. Router vom Netz nehmen. Dann kann man sich sogar mit dem ursprünglich befallenen User anmelden.
3.) Das Vorschaltprogramm lädt sich über einen Registryeintrag (Run in HKEY_CURRENT_USER) beim Login in den Speicher und entfernt den Eintrag sofort wieder. Beim Herunterfahren trägt es sich wieder ein. Getarnt war es in meinem Fall als "firefox.exe" und lag im eigenen Profilordner. Dieses habe ich gekillt und fand den Registry-Eintrag vor, den ich dann gelöscht habe. Sollte der Run-Eintrag nicht sichtbar sein, empfiehlt es sich, in der Eingabeaufforderung folgendes einzugeben:
reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ich hoffe, ich konnte zur Lösung des Problems beitragen. Viel Erfolg!

 

[Mourisse]

Malwarebytes Anti-Malware hilft! hab den BKA schon mehrmals gelöscht damit!

huh? schon mehrmals gelöscht?

zwei fragen:
-wenn angeblich schon mehrmals gelöscht, bist du da ganz sicher das tatsächlich gelöscht?
-wie kann da "Malwarebytes Anti-Malware" dann tatsächlich hilfreich gewesen sein?

und damminochmal - wo zum teufel surft ihr? seit jahren klick ich hier und dort -> noch nie hatte ich was ernsteres! und habe standard-system: win7+router+internetsecuritysuite - wie viele andere user auch... (ach, NoScript und ProcessExplorer und ccleaner ist auch mit an bord).

reg-scan wird auch immer und regelmäßig gemacht. nach'm surfen werden cookies, temp.dateien + co. gelöscht.

ominöse seiten vermeide ich.

...aber mehrmals gelöscht -> das macht mir jetzt angst. im ernst.

 

[Helge01]

wo zum teufel surft ihr? seit jahren klick ich hier und dort -> noch nie hatte ich was ernsteres! und habe standard-system: win7+router+internetsecuritysuite - wie viele andere user auch... (ach, NoScript und ProcessExplorer und ccleaner ist auch mit an bord).

Konsequent angewendet ist das schon die Antwort

 

[Zipfelklatscher]

und damminochmal - wo zum teufel surft ihr? seit jahren klick ich hier und dort -> noch nie hatte ich was ernsteres!

Ja, ich musste auch etwas innerlich schmunzeln, weil der Threadersteller "ganz normal gesurft hat". Wenn man ganz normale Seiten ansurft, dürfte man sich auch nichts einfangen. Ich hatte in den 10-12 Jahren, in denen ich jetzt einen PC nutze, noch nie Probleme mit Viren oder solchem Kroppzeug. Es waren immer nur Rechner von Bekannten und Kollegen, die ich immer wieder mal "säubern" durfte. Manche von denen hätte man eigentlich nur noch mit Schutzhandschuhen und Atemschutzmaske anfassen dürfen. Also die Rechner, nicht die Bekannten/Kollegen.

Auf die Frage derjenigen, warum ich bisher noch keine Probleme mit Schadsoftware hatte, tippe ich mir immer nur gegen ihre Stirn und sage "Auch mal das benutzen, was da drin ist."

 

[Nahot]

Nett das so viele geschrieben haben, aber ich muss leider auch fragen, lesen sich einige den Eingangspost überhaupt durch? Hier werden Sachen geschrieben die dort schon klar benannt sind oder win7 kommt ins Spiel, wo ich klar in der XP Sektion geschrieben habe.
Auch Sprüche wie, beim normalen surfen fängt man sich nichts ein, bringen ja so viel. Mir ist jahrelang auch nichts groß passiert und nun war es halt so. Weil einem selbst so was noch nicht passiert ist, gibt es das also nicht? Und weil du selbst noch nicht erschossen worden bist, werden auch andere nicht erschossen? Mann o Mann. Danke an die anderen, die wertfrei versucht haben konstruktives bei zu tragen.

Nach dem hochfahren hab ich versucht in den taskmanager zu kommen, beim befallenen Profil. Hat teilweise geklappt, zumindest konnte ich sehen, was alles so aktiv war. Brachte nur leider nichts, da auch nichts auffälliges drin stand. Danach im abgesicherten modus hat das Avira-DE tool heute etwas gefunden, warum gestern nicht ist mir schleierhaft: msdubm.cmd. Die hab ich gelöscht und diverse Proggis nochmal drüber laufen lassen und momentan läuft der Rechner normal.
Zum manuellen Entfernen aus der registry: Leider war da ja nichts ersichtlich. Dort standen schlicht die Einträge aus dem autostart, und davon hatte ich ja schon viel deaktiviert. Abgeklemmt vom Netz hatte ich den Rechner sowieso, aber nur im abgesicherten modus lief er - glücklicherweise - noch normal.

Nunja, sobald es mir möglich ist mach ich den Rechner platt und setz ihn neu auf. Hoffe das geht auch bald.

edit: So, gerade noch Malewarebytes Anti-Malware laufen lassen und das wurde gefunden

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SYSTEM\CurrentControlSet\Services\SVKP (Trojan.Agent) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|10094 (Trojan.Agent) -> Daten: C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msdubm.cmd -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\WINDOWS\system32\SVKP.sys (Trojan.Agent) -> Keine Aktion durchgeführt.

Der Regschlüssel ist klar und wird gelöscht, wie schaut es mit der svkp.sys aus?

Grüße

 

[frogger9]

erstmal ist NoScript kein Allgemeinschutz, sondern eine sinnvolle Erweiterung im Browser. Problematischer sind die verwendeten PlugIns im Browser, die Sicherheitslücken aufweisen können.

Auch eine "Internet Security Suite" stellt kein Allheilmittel da, die Verwendung einer ISS hat eher einen Plazebo-Effekt.

Ich glaube, ich hatte seit über 15 Jahren keinen Virus mehr auf einem Produktiv-System gehabt.

Dabei sind die Schutzfunktionen eher minimal vom Aufwand:

- Windows Firewall
- einfacher Virenscanner
- Deaktivierung diverser Plug-Ins im Browser
- Verwendung einer SandBox
- Regelmässige Backups
- Brain.exe

 

[Kraligor]

Auch wenn ich dir da mehr oder weniger zustimmen muss (wird jeder ITler der Ahnung von der Materie hat sagen), aber gerade bei dem "Fake BKA Trojaner" Malwarebytes 1x drüberlaufen lassen und du bist ihn los, ohne Überreste (ja ich weiß was jetzt kommt).

Manche Leute haben einfach keine Zeit/Lust mal eben 12h Rechner komplett neu aufzusetzen.

Mag sein, mag aber vielleicht eben nicht sein. Vielleicht ist es ein modifizierter Fake-BKA-Trojaner, der eben nur vortäuscht, komplett entfernt zu sein. Die Chance ist gering, aber gegeben. Das Risiko muss man selbst abwägen - im Zweifelsfall gilt aber (da sind wir uns ja einig ): Platt machen.

Ansonsten: Wenn man viel auf unsicheren Seiten unterwegs ist, hilft ein virtuelles Linux-System ungemein.

 

[beuldi]

huh? schon mehrmals gelöscht?

zwei fragen:
-wenn angeblich schon mehrmals gelöscht, bist du da ganz sicher das tatsächlich gelöscht?
-wie kann da "Malwarebytes Anti-Malware" dann tatsächlich hilfreich gewesen sein?

ich selbst hatte ihn noch nie! hab aber gelegentlich bei freunden und bekannten damit ausgeholfen und daher weiß ich, das das ding funktioniert.

mit dem surfverhalten hat das, meiner meinung nach, wenig zu tun. ich musste den bka auch schon bei einer bekannten entfernen, wo ich weiß, das sie definitiv keinen zweifelhaften seiten besucht hat.

MAM im abgesicherten modus installieren, bei vorhandener i-net anbindung updaten und nen quick-scan starten reicht dafür in der regel aus ...