Hilfestellung zur Entfernung der BKA/GEMA/GVU-Ransomware
& weiteren Variationen
>> Hilfestellung zur Bereinigung von Trojan.Encoder & Trojan.Matsnu.1 befallenen Systemen (Verschlüsselte Daten) <<
Da die meisten Leute es wohl immernoch übersehen was links unter dem Menü steht... (schreibe ich es mal hier hin:
Die explorer.exe ist immer seltener das Problem. Bitte Punkte P14 & P14.1 ebenfalls beachten!
(P01) Welche "explorer.exe" Dateien stehen aktuell zur Verfügung?
Windows XP (32-bit)
Windows XP (64-bit)
Windows 7 (32-bit)
Windows 7 (64-bit)
Windows 8 Developer Preview build 8100 (64-bit)
Windows Server 2012 build 8400 Release Candidate (RC) Datacenter-Evaluierung (64-bit)
Windows Server 2008 R2 (64-bit)
Windows Vista (64-bit)
Windows Vista (32-bit)
Windows 2000 (32-bit)
Windows NT (32-bit)
Windows 8 (32-bit)
Windows 8 (64-bit)
Windows Server 2012 (64-bit)
Aus rechtlichen Gründen kann ich diese Dateien leider hier nicht zum Download anbieten.
Wenn ihr Hilfe zu eurer explorer.exe braucht, weil zum Beispiel der einfache Weg der Systemwiederherstellung nicht so ohne weiteres klappt, oder im Autostart nichts drin steht, dann meldet Euch per Mail unter bka-virus[at]kunden.pp4it.de
.
(P01.1) Was mache ich mit der neuen explorer.exe?
Die "neue" explorer.exe muss jetzt auf einen Stick, eine externe Festplatte, eine CD gebracht werden. Denn durch dieses Medium kann man die folgenden Schritte zum Ersetzen der evtl. infizierten explorer.exe-Datei nutzen
(Achtung, die explorer.exe muss von einem baugleichen Betriebssystem stammen, also keine andere Windows-Version!)
Anmerkung: Das Ersetzen der explorer.exe-Datei bringt nur in den ersten 3-4 Varianten etwas. Aller darauf folgenden Versionen der BKA-Ransomware haben andere Dateien im Autostart und/oder in diversen anderen Verzeichnissen. Dann hilft nur noch eine Systemwiderherstellung (P10), ein Backup zurückspielen, oder die Datei(en) zu finden. Für letzteres siehe die Punkte P14 und P14.1.
(P02) Austausch einer "explorer.exe" mit DOS-Befehlen (Variante 1)
Kurze Erläuterung: DOS-Modus ist nicht mehr ganz korrekt eigentlich, da dieser seit WindowsXP immer weniger dem entspricht was er einst mal war. DOS-Modus ist unter Windows noch dieses "kleine" Schwarze Fenster mit i.d.R. weisser Schrift" welches sich wie hier beschrieben mit dem Befehl "cmd" aufrufen lässt.
Unter Windows-Versionen unter XP geht glaube ich "cmd" noch nicht, dafür aber "command".
Start > Ausführen > cmd > [Ok] Button oder [Windowstaste]+[R] > cmd [OK] Button oder Abgesicherter Modus mit Eingabeaufforderung.
Alternativ unter Windows Vista / Windows 7 sollte man die Eingabeaufforderung (cmd) als Administrator ausführen (Start > Alle Programme > Zubehör > [Rechte Maustaste] Als Administrator ausführen... > Eingabeaufforderung).
Dort dann:
Befehl: [Laufwerksbuchstabe vom Stick etc]: also zum Beispiel E:
<- Dieser Buchstabe ist aber unter anderem davon abhängig, welche Laufwerke und Partitionen sonst noch existieren.
A: = Diskettenlaufwerk, C: = Lokaler Datenträger, D: = CD-Laufwerk, dann wäre als Beispiel E: der eben eingesteckte USB-Stick.
Befehl: replace explorer.exe C:\Windows
Jetzt sollte die explorer.exe eigentlich überschrieben sein/werden.
(P03) Austausch einer "explorer.exe" mit DOS-Befehlen (Variante 1.2 - Achtung...nicht ganz einfach!)
Sollte es nicht klappen, dann benenne die Datei um:
1. Explorer.exe zur Not per Task-Manager (taskmgr) erst mal per "Prozess beenden" beenden, weil sonst evtl. der Zugriff verweigert wird. Danach dann in die immer noch offene Eingabeaufforderung (cmd).
1.1 Die Explorer.exe ist auch in der Eingabeaufforderung beendbar:
Befehl: TASKKILL /F /IM explorer.exe
weiter mit:
Befehl: cd\
Befehl: cls
Befehl: rename C:\windows\explorer.exe explorer.exe.vir
Befehl: cd\
Befehl: [Laufwerksbuchstabe vom Stick etc]: also z.B. E:
<- Dieser Buchstabe ist aber unter anderem davon abhängig, welche Laufwerke und Partitionen sonst noch existieren.
A: = Diskettenlaufwerk, C: = Lokaler Datenträger, D: = CD-Laufwerk, dann wäre als Beispiel E: der eben eingesteckte USB-Stick.
Befehl: copy explorer.exe C:\Windows
(P04) Austausch einer "explorer.exe" mit DOS-Befehlen (Variante 1.3 - Achtung...ebenfalls nicht ganz einfach!)
Wechsel nach einem Systemneustart zu einem anderen Benutzerkonto. Voraussetzung das ein solches existiert, ansonsten lege ein solches im Abgesicherten Modus an.
Also Start > Ausführen > runas /user:"Administrativer Benutzername" > cmd > [OK] Button
Kennwort eingeben
Start > Ausführen > runas /user:"Administrativer Benutzername" taskmgr > [OK] Button
Kennwort eingeben
[Reiter] Prozesse auswählen und die explorer.exe mit “Prozess beenden” beenden.
+ Rename-Befehl für die explorer.exe ausführen (siehe P03)
+ Copy-Befehl für die neue explorer.exe vom Stick ausführen (siehe P03)
+ Rechnerneustart
+ Login als der jetzige Benutzer
+ Prüfung ob 2 explorer.exe Dateien im Pfad [Laufwerksbuchstabe]:\Windows\ vorhanden sind (eine mit modifizierter Endung von Dir/Ihnen)
+ Modifizierte Datei löschen
+ Rechnerneustart
+ Login als der reguläre Benutzer
+ Hoffen das nun wieder alles in Ordnung ist. :-)
ACHTUNG: Administrator ist der Standard, er kann aber auch anders heißen. Jenachdem wie der Administrative User heißt, z.B. könnte er auch Admin heißen.
(P05) Austausch einer "explorer.exe" mit anderem Betriebsystem (Variante 1)
Das Austauschen geht natürlich auch mit fast jeder Linux-Distribution z.B. Knoppix oder Ubuntu von CD/DVD. Oder man hat sich ein Windows-PE zum starten von einen USB-Stick schon mal eingerichtet, dies würde hier ebenfalls wertvolle Dienste leisten.
Hauptsache sind Schreib/-Leserechte auf FAT32/NTFS-Dateisysteme.
(P06) Austausch einer "explorer.exe" mit anderem Betriebsystem (Variante 2)
Festplatte ausbauen, per USB-Adapter an einen sauberen geschützten PC/Laptop hängen und dort die Datei austauschen.
Auf die selbe Art & Weise kann man allerdings auch eventuelle sonstige Schädlings-Dateien entfernen.^^
(P07) Was machen direkt nachdem der Schädling wieder "weg" ist?
Am besten wäre natürlich Daten sichern und Neuinstallieren, denn nur damit kann man sich eigentlich sicher sein dass das System wieder clean ist.
Man kann aber auch erstmal seinen PC mit einer Boot-CD/DVD/Stick die ein Antiviren-System beinhaltet starten. Solange Windows nicht aktiv ist, können auch die meisten Schädlinge nicht aktiv sein (abgesehen von MBR-Viren/Trojanern/Rootkits).
Die Chance eventuell noch eine Datei die sich im laufenden Windowsbetrieb sonst verstecken würde beim Start von CD/DVD/Stick zu finden ist damit signifikant höher. Und liefert in der Regel somit zuverlässigere Werte als ein Virenscanner im laufenden Windows-Betrieb.
Weiterhin wird DRINGEND empfohlen sämtliche Passwörter zu ändern, denn die vermeintliche BKA-Software enthält in vielen Fällen auch eine Keylogger-Funktion. Da ich nicht genau weiß ob alle Tasteneingaben oder nur die im Zusammenhang mit der BKA-Software mitgeloggt und versendet werden, empfehle ich ALLE Passwörter zu ändern (Anmeldung am System, Mailkonten falls Webmail wie GMX etc. genutzt werden, Onlinebanking, etc.).
(P08) In der Registry steht bei der "Zeichenfolge" Shell schon der "Wert" explorer.exe. Was nun?
Vorab - niemals den kompletten String löschen. Ohne diesen String wird nachher Windows, in der Regel, nicht mehr sauber hochfahren!
Zur eigentlichen Frage, dies könnte zwei Gründe haben:
1. Die explorer.exe ist infiziert. Dann verfahre nach den ebenfalls hier - beschrieben Schritten (Punkte P01 bis P06).
2. Dein System ist infiziert und es sind andere Dateien die ausschlaggebenden Dateien. (Siehe dazu unteranderem P14 & P14.1)
Ebenfalls möglich, schreibe mir eine Mail mit Angabe des Betriebssystems und der Angabe 32/64-bit unter bka-virus[at]kunden.pp4it.de
.
(P09) Ich habe den angegebenen Registrywert gefunden und weiß nicht was ich tun soll! Oder habe ihn gelöscht...
Nutze diese *.reg-Datei und importiere Sie in die Registry. Dies geht entweder als Administrativer Benutzer per Doppelklick und Bestätigung, oder wenn man die Registry öffnet und diese Datei importiert.