UPDATE vom 30. August 2012:
Bitte beachten Sie: Da es mittlerweile weitere Varianten des hier abgebildeten Schädlings gibt, welche optisch ein ähnliches oder identisches Erscheinungsbild haben, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.
Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter https://botfrei.de/forum wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.

Nachdem wir uns im Glauben wiegten, den Ransom – Trojaner (BKA- Trojaner) im Griff zu haben, legten die Cyberkriminellen mit einem veränderten BKA- Trojaner 2.0 nach. Diese Version 2.0 bietet zusätzlich die Zahlmöglichkeit per paysafecard und hat oben die schwarz-rot-goldenen Streifen hinzu bekommen. Wie auch die alte Version weist der Text zahlreiche Rechtschreibfehler auf. Die wesentlichen Änderungen des BKA- Trojaners 2.0 fanden jedoch in der Programmierung statt. So nistet sich diese Version 2.0 tiefer im Betriebssystem und in der Registry ein.

Ransom UKASH – Trojaner (BKA- Trojaner 2.0)

Wenn wir die alte Malware noch manuell per Eingriff in die Registry am Start hindern konnten, arbeitet der BKA- Trojaner 2.0 mit zufallsgenierten Namen z.B. jashla.exe und versteckt sich an anderen Stellen der Registry:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun…
Wir zeigen Ihnen wie Sie auch die neue Variante mit dem DE-Cleaner von Avira entfernen können.
In dieser Anleitung erfahren sie zunächst, wie Sie den DE-Cleaner von Avira auf einen USB-Stick kopieren und wie Sie ihn im Abgesicherten Modus über die Eingabeaufforderung starten können. Sie brauchen dafür einen Computer mit Internetanbindung, einen USB-Stick und den Avira DE-Cleaner. Laden Sie sich den Avira DE-Cleaner von hier  herunter und speichern diesen auf den Desktop. Stecken Sie den USB-Stick in den vorgesehenen USB-Anschluß.

Abb.1

Starten Sie, mit einem Doppelklick auf die Datei “Avira-DE-Cleaner.exe” (Abb.1). Nun lädt der DE-Cleaner automatisch die aktuellen Virusdefinitionen herunter und zeigt zunächst die Lizenzbedingungen an. Diese müssen Sie mit “OK” bestätigen.

Abb.2

Wie in Abb.2 zu sehen ist, klicken Sie oben auf die Option “Auf USB-Gerät kopieren“. Nun erscheint ein neues Fenster „DE-Cleaner auf externes USB-Gerät kopieren“. Dort wählen Sie ihren USB-Stick aus und klicken auf kopieren. Die Daten des DE-Cleaners werden auf den USB-Stick kopiert. Wenn der Vorgang beendet ist, schließen Sie den DE-Cleaner und entnehmen den USB-Stick.
Starten Sie den Computer, der mit dem BKA-Trojaner infiziert ist. Beim Startvorgang drücken Sie die F8-Taste, um in ein spezielles Menü zu kommen. Dort werden verschiedene Modi zum Start Ihres Computers aufgelistet.

Mit F8 in die erweiterte Windows Startoptionen

Wählen Sie hier bitte den “Abgesicherten Modus mit Eingabeaufforderung“. Der Rechner bootet in einem eingeschränkten Modus , d.h. es werden nur dringend benötigte Treiber und Programme geladen. Das kann z.B. zufolge haben, dass Funktastaturen und Mäuse nicht funktionieren, des Weiteren wird die Grafik nur im Standartmodus (VGA) geladen usw.
Wie gewohnt erscheint die Loginmaske. Nach dem Sie Ihr Passwort eingegeben haben, startet nicht der Desktop, sondern es erscheint die Eingabeaufforderung (Dosbox).

Abb.3

Wie in Abb.3 zu sehen,  geben Sie hier explorer.exe ein und bestätigen mit der “Entertaste“.
Nach einigen Sekunden erscheint der Windowsexplorer. Dort klicken Sie wie in Abb. 4 zu sehen, auf den Arbeitsplatz und wählen den USB-Stick (hier TOSHIBA E:) aus.

Abb.4

Wenn sie den USB-Stick gewählt haben, erscheint im rechten Fenster der Inhalt des USB-Sticks.

Abb.5

Nachdem Sie die Datei, wie Abb.5 zu sehen, mit Doppelklick gestartet haben, erscheint eine Meldung. Diese besagt “Leider konnte kein Internet….Diese Meldung bestätigen Sie mit “OK“, da im eingeschränkten Modus der Computer die nötigen Treiber dazu nicht geladen hat. Der kopierte DE-Cleaner auf dem USB-Stick hat jedoch alle aktuellen Dateien, um den Rechner damit zu scannen. Sinnvoll ist es eine vollständige Überprüfung duchzuführen(Checkbox)! Der Cleaner beginnt anschließend mit seiner Arbeit. Je nach Größe der Festplatte, kann dies einige Zeit dauern.

Abb.6

Wie in Abb. 6 und 7  zu sehen wurden 2 Objekte gefunden.

Abb.7

Klicken Sie auf “Ausgewählte entfernen” und beenden Sie den DE-Cleaner und den Windows Explorer nach der Bereinigung und fahren den Computer mit dem Befehl: shutdown -s -t 00 herunter.

Abb.8

Ist der Computer ausgeschaltet, entnehmen Sie den USB-Stick und starten denn Computer neu. Die UKASH Vorschaltseite des BKA-Trojaner sowie die ausführende Datei sollten nun entfernt sein. Um sicher zu gehen, scannen Sie den Computer mit mindestens zwei weitern Onlinescannern.
Anmerkung:
Sie sollten bei der Anmeldung an Windows im “abgesicherten Modus mit Eingabeaufforderungen”  immer das Konto wählen, das über Administrationsrechte verfügt.
PC erfahrene User haben nach dem Start des Windows Explorers (Abb.4) die Möglichkeit, auch andere Programme zu starten bzw. zu installieren, um mit diversen Programmen wie z.B. (OTL, HJT), Informationen Ihres Rechners zu sammeln.
Beachten Sie weiterführende Artikel zum UKASH – BKA Trojaner in Update 1 und Update 2!

Wenn Sie individuelle Hilfe benötigen, können Sie sich auch gerne an unsere Experten im Support-Forum unter https://botfrei.de/forum wenden! Wir helfen Ihnen dort gerne kostenfrei weiter!