UKASH Trojaner unter Windows 7 Home Premium

Und wieder einmal eine neue Variante eines UKASH Trojaner. Diesmal auf einem Rechner mit Windows 7 Home Premium, auf dem kein Virenscanner installiert war. Bei dieser Variante war es eigentlich recht einfach wieder an das System ranzukommen. Als erstes wurde der Rechner im abgesicherten Modus mit Eingabeaufforderung gestartet (Taste F8). Nach dem Start wurde msconfig (einfach in das Eingabefeld unter Start/Programme/Dateien durchsuchen eingeben) gestartet, der u.g. Eintrag in der Registerkarte Systemstart deaktiviert und sichergestellt, dass die entsprechende Datei (hier fest0r_ot.exe) gelöscht ist.

Nach dem Neustart war der Zugriff auf das System wieder möglich. Mit regedit.exe wurde dann der entsprechende Eintrag in der Registry unterhalb von

HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupfolder

gelöscht. (Vorsicht beim Einsatz dieses Programms! Nur dann einsetzen, wenn man weiß was man tut)

Nachdem der Eintrag in der Registry gelöscht wurde, erscheint dieser auch nicht mehr auf der Registerkarte Systemstart in msconfig

Der Systemzugriff war somit wieder möglich – aber wie immer gilt: Eine solche Maßnahme garantiert nicht, dass das System auch wirklich wieder „sauber“ ist.

Siehe auch: www.trojaner-board.de, Tools für den Verschlüsselungstrojaner
Ukash Trojaner unter XP entfernen, Ukash Verschlüsselungstrojaner

Ukash Trojaner unter XP entfernen

Bei einem befallenen Rechner hatte die Tastenkombination Strg+Alt+Entf zum Starten des Task-Manager leider keinen Erfolg. Auch im abgesicherten Modus ließ sich der Taskmanager nicht auf diese Weise aufrufen. Stattdessen wurde der PC im abgesicherten Modus mit Eingabeaufforderung gestartet. Nach dem Erscheinen der Eingabeaufforderung wurde dann die Datei jashla.exe unter %UserProfile%\Benutzer\Anwendungsdaten gelöscht. Nach einem Neustart im abgesicherten Modus wurde dann mit Strg+Alt+Entf der Taskmanger aufgerufen und mit Neuer Task die Systemwiederherstellung (%systemroot%\system32\Restore\rstrui.exe) gestartet und eine Systemwiederherstellung eines früheren Wiederherstellungspunktes gewählt. Danach ließ sich der Rechner wieder starten. Zusätzlich sollte man auch einen Virenscan der Datenträger durchführen und ggf. weitere Sicherheitstools einsetzen.

Nach der Nachricht unter http://computer.t-online.de/ukash-bundeskriminalamt-trojaner-erpresst-nutzer/id_45379290/index vom 02.09.2011 soll es sogar 13 verschiedene Varianten des Trojaners geben.
siehe auch Hinweis des BKA vom 01.04.2011 (kein Aprilscherz!) unter https://www.bka.de/nn_196810/sid_3FCEB3E375E010A3F9F0E85D4EDD2B22/nsc_true/DE/ThemenABisZ/Kriminalpraevention/Warnhinweise/110401__BKABPolSchadsoftware.html?__nnn=true

siehe auch  http://mgblog2.wordpress.com/2011/09/05/aggressiver-computervirus-in-immer-neuen-varianten-bka-virus/

Aufgrund der Tatsache, daß sich mehrere Varianten verbreiten, kann es natürlich sein, dass o.g. Vorgehensweise nicht hilft. So hatte ich beispielsweise auch einen befallenen Rechner, bei dem das Löschen der jashla.exe nicht möglich war. Wieder auf einem anderen war diese gar nicht auffindbar. Bisher hat aber bei allen befallenen Rechnern, mit denen ich mich auseinander setzen durfte, aber der Start im abgesicherten Modus und die Systemwiederherstellung funktioniert. Dennoch gibt es natürlich keinerlei Garantie, dass danach die Schadsoftware definitiv beseitigt ist.

siehe auch: Ukash Verschlüsselungstrojaner, Ukash Trojaner unter Windows 7 Home Premium