Ich bin ja nun auch kein Heiliger, aber die Gelegenheiten, bei denen ich mich auf eher dubiosen Internetseiten herumtreibe, sind selten. Immerhin habe ich mir seit Beginn meiner PC-Karriere (Commodore 128 nicht mitgerechnet) noch nie einen wirklich aktiv werdenden Virus eingefangen (und die wenigen, die es bis auf meine Festplatten schafften, wurden stante pede von meiner Virensoftware gemeuchelt). Aber inzwischen ist man eh nicht mal mehr in ordentlichen Gegenden des weltweiten Netzes vor bösen Buben sicher.
Und so habe ich mir in den letzten Wochen gleich drei Mal kurz nacheinander den sogenannten BKA-Trojaner eingefangen, dieses unangenehme Ding, das einem den Zugriff auf den ganzen PC sperrt, den Taskmanager und die Systemsteuerung blockiert und auch sonst den PC oder das Notebook zu einem reinen Stromverbraucher degradiert. Und das auf einwandfreien Seiten: einer Firmenwebsite aus dem IT-Bereich, der Homepage einer Gemeinde mit Stadtrechten in Bayern und in einem Forum zu Fragen der IT-Sicherheit <gnichel>.
Nun bin ich mit reichlich Hardware gesegnet, sodass es kein Problem ist, das Internet zu recherchieren, was die Möglichkeiten der Problemlösung angeht.
Indes – das Internet ist speziell beim BKA-Trojaner nicht wirklich hilfreich. Die großen Antivirensoftwarehersteller haben keine wirklichen Lösungen anzubieten, weil der BKA-Trojaner wohl nicht wirklich als Virus gilt (und eigentlich ist er ja auch keine Gefahr, weil er sich von einem infizierten PC aus nicht weiter verbreitet, sondern nur ein nerviger Störenfried, der – Dummheit des Users vorausgesetzt – viel Geld für nichts kosten kann). Und die Foren, in denen es um den BKA-Trojaner, seine Wirkung und seine Beseitigung geht, ist voll mit Hinweisen auf Software, die Registrys ausliest und tonnenweise Protokolle erzeugt, die in die Foren gestellt werden (darin, man bedenke das, reichlich Informationen, die man aus Datenschutzgründen dort gar nicht lesen möchte; aber wen juckt schon Datenschutz?), und auf weitere Software, die seltsame Dinge tut, die Antivirensoftware eigentlich auch tun sollte (und manchmal auch wirklich tut), und … nein, wirkliche Hilfe findet man dort nicht.
(Besonders hervorzuheben sind die Domains botfrei.de und bka-trojaner.de des Bundesamtes für Sicherheit in der Informationstechnik. Während letztgenannte Seite eine Galerie der bisher bekannten BKA-Trojaner-Versionen bietet, zu Problemlösungen jedoch in ein wenig befriedigendes Forum verzweigt, leistet sich botfrei.de mitunter den Lapsus, bei der vorhandenen Testmöglichkeit des eigenen Rechners selbst von der Antivirensoftware als gefährlich erkannt zu werden.)
Zum Glück sind Trojaner dumm. Schon immer gewiesen. Und eigentlich müssten die Trojaner auf unseren PCs »Grieche« genannt werden, denn das waren die Jungs, die damals in Troja mit dem Holzpferd ihren Fuß in die gegnerische Tür gestellt haben. Aber an »Trojaner« hat man sich inzwischen gewöhnt – ebenso wie an den nicht minder dämlichen »SuperGAU«, an »Blitzeis« und »Starkregen«.
Die Trojaner, die ich mir eingefangen hatte, waren die Versionen 3.02 und 3.04 (lt. der Galerie auf bka-trojaner.de). Das sind insofern harmlose Kameraden, als sie schon mal nicht fähig sind, alle angeschlossenen Bildschirme zu sperren, sondern nur den Hauptmonitor lahmlegen. (Da zahlt es sich aus, dass ich auf jedem Monitor, den ich nutze, immer mindestens einen Windows Explorer geöffnet habe.)
Und die BKA-Trojaner, die sich bei mir eingenistet hatten, gehörten zu den besonders dämlichen Exemplaren, weil sie sich nicht einmal wirklich die Mühe machten, sich zu verbergen.
Der erste Trojaner – ich glaube, es war der 3.02 – entlarvte sich gleich selbst. Das ging so: Ich arbeite mit reichlich geöffneten Programmen: vier bis sechs Windows-Explorer-Instanzen, Outlook, Firefox, Dameware, Word, Publisher, Acrobat Professional, und dann noch aufgabenbezogene Tools. Der erste Schritt zur Problemlösung ist der Versuch, den PC neu zu starten, während der BKA-Trojaner bereits aktiv ist. Dazu sollte man darauf achten, dass man zu sendende Emails im Outlook-Postausgang stehen hat, oder ein nicht abgespeichertes Word-Dokument offen ist. Erreicht man den Windows-Startbutton nicht, um Windows neu zu starten, kann man auch versuchen, den Rechner einfach herunterzufahren, indem man den Knopf am PC kurz drückt.
Das Herunterfahren klappt unter Vista und Windows 7 nicht sofort, weil erst mitgeteilt wird, welche Anwendungen den Vorgang blockieren. Mein erster BKA-Trojaner erlaubte sich an dem Punkt einen kapitalen Absturz und nannte seinen Namen: ch8l0.exe. Nachdem ich das Herunterfahren nicht fortsetzte, sondern abbrach, war das Problem schon halb gelöst.
Im Windows Explorer suchte ich nach der so mitteilungsfreudigen Datei und fand sie auch problemlos. Löschen ließ sie sich freilich erst im abgesicherten Modus. Und das war auch alles: eine Datei, eine exe, dazu ein Registryeintrag (dem ich auf die Spur kam, weil der Versuch, die ch8l0.exe beim Windows-Neustart zu starten, fehlschlug), sonst nichts. Problem behoben.
Der zweite BKA-Trojaner, ein 3.04, war geschickter. Er stürzte nicht ab, als ich versuchte, den PC mit nicht gespeicherten Daten herunterzufahren, nannte also auch nicht seinen Namen. In Erinnerung an seinen Vorgänger startete ich den abgesicherten Modus und suchte nach der schon bekannten exe. Und in der Tat: sie war da – und gleich darauf wieder weg.
Aber der Trojaner war immer noch da. Offensichtlicher war er also ein wenig hartnäckiger.
Nach einigen erfolglosen Versuchen, im Web eine Lösung zu finden, versuchte ich es mit einfache(re)m Nachdenken. Im abgesicherten Modus öffnete ich den Windows Explorer und durchsuchte die Systemfestplatte nach allen ausführbaren Programmen (ergo: *.exe). Diese (und ihre Standorte) sah ich der Reihe nach durch.
Die meisten seiner Programme und deren ausführbaren Dateien kennt man ja. Bei den unbekannteren oder ganz unbekannten schadet es in diesem Stadium gar nichts, sie einfach zu starten. Bei manchen, die eigentlich alleine nicht lauffähig sind, passiert nichts, bei manch anderen gibt es Fehlermeldungen. Andere starten ein Programm, das man dann leicht identifizieren kann. Und irgendwann kommt eine, die den BKA-Trojaner startet.
Bei meinem zweiten war es zudem noch einfach, weil die böse Datei die skype.exe war. Ich telefoniere nicht gerne, und ich telefoniere überhaupt nicht über den PC; darüber hinaus ist in dem Netzwerk, in dem ich arbeite und wohne, Skype als Anwendung (aufgrund von Sicherheitsrisiken) untersagt. Ergo hatte eine skype.exe auf meinem PC gar nichts zu suchen.
Nach einem weiteren Neustart im abgesicherten Modus – der BKA-Trojaner war ja aktiv, sollte es jedoch nicht sein –, durchsuchte ich das Laufwerk C: nach dem Suchbegriff »skype«. Der fand nicht nur die exe, sondern auch ein Verzeichnis mit diesem Namen. Rechte Maustaste, löschen (und nach dem nächsten Neustart im normalen Modus eine Leerung des Papierkorbs nicht löschen), Feierabend.
Als ordentlicher Mensch gönnt man sich danach noch einen Scan mit einer Antivirensoftware (bei mir ein Netzwerk-Kaspersky sowie die Microsoft Security Essentials), schmeißt die dabei gefunden weiteren Mitesser auch noch von der Platte, und kann wieder arbeiten.
Mein dritter BKA-Trojaner war auch ein 3.04 und nach den vorherigen Erfahrungen ganz schnell beseitigt. Er tarnte sich ebenfalls als skype.exe mit einem entsprechenden Verzeichnis. Beide Kandidaten hatte ich diesmal in nicht einmal drei Minuten wieder des PCs verwiesen.
Zusammenfassung des Vorgehens zur Beseitigung des BKA-Trojaners:
- PC im abgesicherten Modus neu starten.
- Im Windows Explorer C: nach allen ausführbaren Dateien (*.exe) durchsuchen.
- Diese ausführbaren Dateien untersuchen, ggf. starten, bis der BKA-Trojaner erscheint.
- PC neuerlich im abgesicherten Modus neu starten.
- Im Windows Explorer C: nach einem passenden Suchbegriff durchsuchen: hat man eine skype.exe als Übeltäter identifiziert, sucht man nach »skype« und entsprechend.
- Dateien und Verzeichnisse, die den verdächtigen Namen tragen, löschen. (Sofern man ein Programm des Namens tatsächlich eingesetzt hat, muss man es nachfolgend neu installieren.)
- Evtl. noch im abgesicherten Modus, ansonsten spätestens nach einem weiteren Neustart in den normalen Modus die (hoffentlich!) vorhandene Antivirensoftware ausführen.
- Nicht vergessen, den Papierkorb zu leeren.
Viel Erfolg.