BKA vs. EiTiCo oder GEMA vs. Fätt-Boys?


Der BKA-/UKASH-/GEMA-Trojaner treibt immer noch sein Unwesen. Habe ich mir gerade einen Ableger in Version 3.04 unter XP eingefangen… 

Da der Sperr-Screen, wie es aussieht, erst bei stehender Internetverbindung nachgeladen wird, kam mir der Gedanke, die Netzwerkverbindung zu deaktivieren. LAN-Kabel raus, fertig. Danach konnte die Kiste erst einmal wieder ohne Sperr-Screen (aber natürlich auch ohne Internet) benutzt werden !!! 

Das an Bord befindliche Avira AntiVir verlangte während des Scans die Rescue-CD, und die fand dann nichts. Die allseits als BKA-Wunderheiler bekannte Rescue Disk 10 von Kaspersky brach beim Scan des befallenen Laufwerks einfach ab. OTL im abgesicherten Modus (wie so oft empfohlen) ging gar nicht – der abgesicherte Modus ließ sich per F8 zwar aufrufen – der Bildschirm blieb aber dauerhaft schwarz… Also blieb nur ein Normal-Booting übrig. Ein Aufruf von msconfig brachte einen Autostart-Eintrag von C:/Dokumente und Einstellungen/Administrator/Lokale Einstellungen/Anwendungsdaten/Skype/SkypePM.exe (Trojan-Spy.Win32.Zbot.dptt; Bezeichnung des Schädlings ist variabel!) zum Vorschein. Haken raus. Pfad gemerkt. Datei gelöscht (wurde von AntiVir nicht als verseucht erkannt!).

Allerdings zeugten Datum und der Fakt, daß ich kein Skype auf dem Rechner habe, davon, daß da irgendwer irgendwie aus irgend einem Grund sein Unwesen trieb. Es folgte ein Aufruf von Regedit. Suche nach SkypePM. 2 Einträge gelöscht (einer davon war der, der über msconfig zu sehen war). Reboot, Kabel ran, SCHEINBAR alles roger.

Avira und Kaspersky per Rescue-Scheibe nacheinander rübergejagt; nach neuerlichem Reboot dann HiJackThis und AntiMalware von Malwarebytes. Noch zwei Registry-Einträge entdeckt, die etwas kurios anmuteten. Diese habe ich aber selbst mal ‘verbogen’ – also Entwarnung. Übrigens: Der Kasper fand dabei dann doch noch was: Trojan-Spy.Win32.Zbot.dptt in einer F:/Temp/ms0cfg32.exe (Größe 0 Byte, erstellt und geändert 31.12.69 23:59)…. Der Krempel wurde entsorgt.

WindowsUnlocker (von der Kasper-CD) quittiert alles mit OK.

ZBotKiller.exe von Kaspersky findet auch nichts mehr, was er entsorgen könnte. Scheint nun wieder alles ruhig zu sein…

Auch der Online-Scanner ESET findet nichts.

Der Ansatz mit der msconfig stellte sich im Nachhinein auch als richtig raus - ich habe soeben noch diese nette Anleitung gefunden…

[UPDATE 26.06.2012]

4 Gedanken zu “BKA vs. EiTiCo oder GEMA vs. Fätt-Boys?

  1. Pingback: Internet Explorer? Ausschalten !!! | 3SEPO@Blog

  2. Pingback: Die Jungs von der Bundespolizei… | 3SEPO@Blog

  3. Pingback: Richtig viel Geld | 3SEPO@Blog

  4. Pingback: WIN-NPPN1JPV75J und WORLDST-UQ3K9Q0 | 3SEPO@Blog

Hinterlasse eine Antwort