Vor versperrten Fenstern: der Bundespolizei Trojaner

BKA Trojaner, Österreich Version
[Gesamt:1    Durchschnitt: 1/5]

Bundespolizei-Trojaner schließt Windows

Jetzt bin ich ihm bei einem Kunden auch endlich begegnet: dem aus Funk- und Fernsehen bekannten Bundespolizei Trojaner, in Deutschland BKA-Trojaner oder auch einfach nur Polizei Virus genannt! Er macht sich dadurch bemerkbar, dass man gleich nach dem Windowsstart eine Seite angezeigt bekommt, in welcher man beschuldigt wird, z.B. auf Internetseiten mit illegalen Inhalten (wie etwa Kinderpornografie, Urheberrechtsverletzungen, u.ä.) zugegriffen zu haben, und das dieser Computer nur „entsperrt“ werden kann, wenn man € 100,- bezahlt.

Oder noch besser: Die Festplatte Beispielbild des Bundespolizei Trojanermit allen Daten wird verschlüsselt oder gelöscht, wenn man nicht innerhalb 24 Stunden bezahlt. Solche und ähnliche Drohungen kann man da lesen, die Texte unterscheiden sich von Version zu Version, ganz so wie der „Programmierer“ gerade aufgelegt war.

Von Programmierer kann in diesem Fall aber nicht die Rede sein, denn für diese Trojaner gibt es schon idiotensichere „Heimwerker-Baukästen“, die man von einschlägigen Quellen beziehen kann. Ransomware wird dieses Prinzip der „Computer-Erpressung“ übrigens genannt.

Noch ein Beispielbild des Bundespolizei TrojanerAber zurück zum Thema: was tun, wenn nun dieser lästige Bildschirm da ist, und sich Windows nicht mehr starten lässt?

Als erstes: Ruhe bewahren, es ist nichts geschehen! Auf keinen Fall Geld überweisen! Der Bundespolizei Trojaner löscht weder etwas, noch verschlüsselt* er ihre Daten (ev. machen dies andere Trojaner, mir ist so einer persönlich noch nicht bekannt). Die Entfernung dieses Schadprogrammes ist nämlich recht einfach:

Starten Sie den Computer neu und drücken sie gleich nach dem schwarzen Startbildschirm (kurz bevor „Windows wird gestartet“ erscheint) die Taste F8.

Windows Startoptionen

Mit dieser Taste ruft man die erweiterten Windows-Startoptionen auf, wo wir nun mit den Pfeiltasten den „Abgesicherten Modus“ auswählen und mit der Enter-Taste starten.

Hinweis Abgesicherter Modus Windows 7

Nach einiger Zeit (kann auch länger als ein normaler Windows-Start dauern) sollten Sie nun im Windows sein, ein Fenster weist uns nun darauf hin, dass sich Windows im eingeschränkten Modus befindet und und und, dieses Fenster kann man einfach wegklicken.

Nun im Startmenü unter „Alle Programme“ > Autostart nachsehen, ob dort ein neuer bzw. unbekannter Eintrag vorhanden ist – falls ja, mit der rechten Maus auf diesen Eintrag klicken und ganz unten „Eigenschaften“ auswählen. Wenn dort nun unter Verknüpfung > Ziel etwas mit „…\deo0_sar.exe“ steht, haben wir die Version, welcher ich heute bei dem Kunden begegnet bin.

Da braucht man einfach nur die Verknüpfung zu löschen, somit wird das Programm nicht mehr beim Windows Start ausgeführt. Vorher sollte man sich aber den genauen Pfad des Bundespolizei Trojaners merken, um das Schadprogramm dann per Windows Explorer manuell zu löschen (meist liegt dieses in einem der temporären Verzeichnisse).

Es kann aber auch sein, dass sich der Trojaner in die Registry eingetragen hat, dann scheint er nicht im Autostart-Ordner auf. Da gibt es nun mehrere Lösungsmöglichkeiten, die ich hier aber leider nicht alle aufführen kann. Teilweise können diese Versionen auch per „Windows-System-Wiederherstellung kuriert werden.

Das war es nun auch schon, aber auf jeden Fall gleich einmal die Antivirus/Internetsecurity-Software überprüfen, ob diese aktuell, aktiviert bzw. überhaupt installiert ist, und einen kompletten Systemscan durchführen lassen.

Hier eine Funktions-Übersicht der aktuellen G-Data Sicherheitsprodukte (mehr auch von anderen Anbietern demnächst):

Eine Sicherung wichtiger Daten (wie Dokumente, Bilder, Emails…) sollte spätestens jetzt durchgeführt werden, denn man weiss nie, was so ein Trojaner sonst noch in das heimische System eingeschleust hat. Die sauberste/sicherste Vorgehensweise nach so einer Infektion ist jedoch immer noch eine komplette Windows-Neuinstallation, sowie das Ändern aller bisher verwendeten Passwörter (nicht nur von Windows, sondern auch auf Facebook, sms.at, Amazon, Ebay…)

Falls Sie Ihr System mithilfe dieser Anleitung nicht sauber bekommen haben, oder Beratung zu Datensicherheit, -sicherung, Backupstrategien u.ä. wünschen, kontaktieren Sie uns einfach unverbindlich, entweder gleich hier als Kommentar oder per EMail

Weitere Informationen zum Thema „Polizei Virus Entfernen“

News zu dem Bundespolizei Trojaner/BKA Trojaner/Polizei Virus auf orf.at: Warnung vor „Polizei-Trojaner“

Gesammelte Information und Forum zu den verschiedenen Trojaner-Versionen: Anti-Botnet Beratungszentrum

Artikel auf derstandard.at: „BKA-Trojaner“ in Österreich in Umlauf

 

* Nachtrag: inzwischen sind leider doch Trojaner-Versionen aufgetaucht, die bestimmte Dateien auf dem Computer verschlüsseln. Meist handelt es sich dabei um Musik, Bilder, Office-Dokumente, PDF & Outlook-Dateien. Dabei wird dann auch oft nicht die ganze Datei verschlüsselt, sondern nur der Anfang der Datei, auch der Dateiname wird dabei durch eine wilde Zeichenfolge ohne Endung ersetzt.

Für einige dieser Trojaner gibt es Möglichkeiten, die Dateien wieder herzustellen, aber leider existieren auch Versionen, wo der Verschlüsselungsmechanismus unbekannt und somit eine Wiederherstellung derzeit unmöglich ist. Hier hilft nur ein vorheriges Backup der wichtigsten Daten!

 

29 comments

  1. H.Raubitzek sagt:

    Mein neuerdings eingefangener Polizei Trojaner versteckte sich in den Prefetch Dateien von Windows.

    ctfmon.exe.OE.17969B.pf in C:Windows/prefetch

    nach Löschen der Einträge in Autostart und bereinigen der Registry läuft der Computer wieder wie gewohnt.
    Bisher habe ich noch keinen Hinweis auf die Prefetch Dateien im Internet gefunden.

    Also vielleicht hilft auch dieser Beitrag ein wenig

    mfG H.R.

  2. Auch heute wieder eine neue Version: der Win32:Karagany-MR[Trj]! Links oben die Rot-Weiß-Rote Flagge und rechts der österreichische Adler, Überschrift lautet: „Der Computer ist für die Verletzung der Gesetze der Republik Österreich blockiert worden“ dann folgt einiges an gebrochenen deutsch und unten steht noch „zahlen ein Bußgeld von 100 €“ per Ukash.

    Der Trojaner ist einfach per regedit zu löschen, eingetragen war er nur unter hkey_current_user\software\microsoft\windows\currentversion\run mit dem Namen SensApi und dem Pfad C:\Users\\AppData\Local\Microsoft\Windows\1186\SensApi.exe

    Dieses Verzeichnis muss natürlich dann auch noch entfernt werden, und gleich im Anschluss einen funktionstüchtigen Virenscanner installieren! Auf dem vorliegenden Laptop war Avira Antivirus (Free Version) installiert, diese Software kann ich persönlich schon seit längerem nicht mehr empfehlen, wenn es ein gratis Virenscanner sein muss: avast! Antivirus. Diese Software scannt auch Webseiten nach Scripts, bevor diese im Browser angezeigt werden, sehr hilfreich!

  3. Hannah sagt:

    Hallo, bei mir ist der Trojaner auch im abgesicherten Modus aktiv!
    Was soll kann ich tun?
    Wie steht es um meine Daten?

  4. Hallo Hannah,

    in so einem Fall würde ich gleich die Festplatte ausbauen, und auf einem sauberen System bereinigen, das geht am einfachsten mit einem SATA2USB-Adapter wie diesem hier:

    http://www.amazon.de/gp/product/B0017J4IAQ/ref=as_li_ss_tl?ie=UTF8&camp=1638&creative=19454&creativeASIN=B0017J4IAQ&linkCode=as2&tag=wwwakedv-21

    Wenn das nicht möglich ist, dann mit einer Boot-CD den Computer hochfahren und nach Viren durchsuchen lassen z.B. AntiVir Rescue System:
    http://www.chip.de/downloads/AntiVir-Rescue-System_30971022.html oder http://www.heise.de/download/avira-antivir-rescue-system.html

    Hoffentlich geht es damit, viel Glück.

  5. Werner sagt:

    Offenbar existiert eine neue Version des BP-Trojaners. Von Antivirus mit den Virusdefinitionen vom letzten Freitag (25.01.13) nicht erkannt, mit jenen vom Samstag (26.01.13 erkannt und entfernt.

    Wesentlichstes Problem: Im Normalmodus zeigt Windows (wie vor dem Entfernen des Trojaners) lediglich einen weißen Schirm und den Maus-Cursor. Sonst keinerlei Funktion.

    Help?!?

  6. Hallo Werner,

    in den abgesicherten Modus von Windows kommst du noch, kannst du dort „normal“ arbeiten? Wenn ja schau mal, ob nicht noch ein seltsames Programm im Autostart-Ordner liegt, oder ob in der Registry unter

    hkey_current_user\software\microsoft\windows\currentversion\run
    hkey_current_user\software\microsoft\windows\currentversion\runonce

    hkey_local_machine\software\microsoft\windows\currentversion\run
    hkey_local_machine\software\microsoft\windows\currentversion\runonce

    hkey_local_machine\software\wow6432node\microsoft\windows\currentversion\run
    hkey_local_machine\software\wow6432node\microsoft\windows\currentversion\runonce

    irgend etwas auffälliges steht, im Zweifelsfall auf google nach den unidentifizierten Programmnamen (wie etwa HPWuSchd2.exe) suchen.

    Du kannst den Computer auch Online mit einem anderen Virenscanner durchsuchen lassen, zB:

    http://www.eset.com/de/home/products/online-scanner/

    Viel Glück!

    • Werner sagt:

      Vielen Dank. Alex.

      Was ich oben noch nicht gesagt hatte: Es geht um den Rechner meines Vaters, ein Asus Laptop unter Vista.

      Abgesicherter Modus geht nicht – da bootet die Kiste normal und fährt ohne Eingabemöglichkeit sofort wieder herunter.

      Abgesicherter Modus mit Eingabeaufforderung geht. Explorer.exe lässt sich dann auch starten. regedit sowieso.

      Unter
      hkey_current_user…\current version\run
      finden sich IMHO verdächtige Einträge a la:
      ^3’v
      ^3>v
      etc. Alle enthalten die Files „(Standard)“ und „machine id“ + Hex-Code (de ec 4d bd 32 0e f8 00)
      den Eintrag
      h3yv
      würde ich ebenfalls als verdächtig bewerten, da er als einziger unter den scheinbar regulären mit Kleinbuchstaben beginnt…

      Soweit der Status…

      merci vielmals

      Werner

  7. Simon sagt:

    Hallo ich habe es durch einen einfachen trick geschaft, es zu entfernen: ich muss jedes mal das internet ausschalten und dann den computer einschalten dann wieder ausschalten. Dann wieder das internet einschalten und den computer wieder einschalten.

  8. Bianca sagt:

    Hallo,
    Mein Freund hat sich gestern auch einen Polizei Virus eingefangen… Er hat sich dann gleich eine neue Norton-CD gekauft und versucht so das Problem zu beseitigen. Hat auch gut geklappt, als er dann nach einem Viren Check den PC neugestartet hat war der Bildschirm aber wieder occupiert von dem Virus.
    Wie kriegt man den denn endgültig weg? Denn langsam zerrt es an den Nerven^^

    Lg Bianca

  9. hristian sagt:

    Hallo
    Habe leider auch den bp trojaner.
    Was muss ich eingeben im abgesicherten modus bzw.
    Wo finde ich die info was ich da eingeben muss?
    Bitte danke fuer die hilfe.
    Mfg. Christian

  10. Und heute wieder eine neue Version, ein Entfernen mithilfe der Avira Rescue CD war in dem Fall nicht möglich. Zum Glück bietet Kaspersky eine spezielle Rescue CD an, die den sogenannten WindowsUnlocker beinhaltet, dieser soll auch hartnäckigere Versionen des Ransomware/Bundespolizei-Trojaners entfernen können… und tut es auch!

    Die Kaspersky Rescue Disk 10 kann man hier herunterladen: http://support.kaspersky.com/de/viruses

    Und hier die Anleitung zum „Entsperren“ mithilfe des Kaspersky WindowsUnlocker: http://support.kaspersky.com/de/faq/?qid=208641247

    Im Schnelltext: ISO-Datei herunterladen, auf CD brennen oder auf einem USB-Stick „installieren“ (Software dazu kann auch bei Kaspersky heruntergeladen werden) und den Computer von Stick/CD starten.
    Im nun gestartetenLinux-System dann die Konsole öffnen und dort „windowsunlocker“ eintippen und mit der Eingabetaste bestätigen. Den Anweisungen folgen und danach den Computer noch auf Schadsoftware überprüfen lassen (alle Laufwerke aktivieren, Funde löschen!)

    In dem aktuellen Fall handelte es sich um den Trojan-Ransom.Win32-Foreign.behx, der in den beiden Dateien zu finden war:

    Benutzerverzeichnis/appdata/roaming/skype.dat
    Benutzerverzeichnis/appdata/local/temp/n5yrj4bfxkmamq37apz3zv.exe

    Auf dem Laptop übrigens wieder einmal die gratis Version vom Avira Antivirus installiert! Noch einmal: Wenn es ein kostenloser Virenscanner sein soll, dann bitte doch gleich den Avast, der bietet derzeit doch etwas mehr Sicherheit.

  11. Faile sagt:

    Ich hab irgendwie 0 verstanden xD
    (bin 12) meine mutter ihr laptop geht nicht mehr und ich sollte es Reparieren und es war nicht in den autostart Ordner

    • Dann solltest du das lieber einem Profi überlassen. Sucht euch einen Computer-Dienstleister in eurer Nähe, das kostet kein Vermögen. Je nach Aufwand ca. 60-100 Euro, die Tipps zum sicheren Umgang mit Computer und Internet sollte es dann noch gratis dazu geben (ist jedenfalls bei uns so).

  12. Thomas sagt:

    Hallo ich habe versucht den trojaner zu entfernen indem ich über regedit: hkey_local_machine\software\microsoft\windows\currentversion\run
    die datei shell suche, und hab aber, anstatt die datei zu öffnen und den pfad zu ändern, die datei gelöscht
    jetzt kann ich sie nicht mehr finden. der trojaner is natürlich noch immer aktiv

  13. Thomas sagt:

    Habe die Datei gelöscht (hab sie eben über regedit, hkey_local_machine\software\microsoft\windows\currentversion\run
    gesucht, markiert, und bin dann auf entf gegangen

  14. Ameli sagt:

    Bei mir steht unter hkey_current_user\software\microsoft\windows\run eine Datei mit Namen ‚gvdxpgk‘ und dem Pfad C:\Users\Ameli\AppData\Local\fkoowo.exe
    kann/darf/soll ich das löschen? ist das der Virus? danke und lg

    • Ja, diesen Eintrag kannst du bedenkenlos löschen, und auch die Datei C:\Users\Ameli\AppData\Local\fkoowo.exe würde ich mir genauer anschauen bzw. löschen. Hast du keine Antiviren-Software installiert? Ich empfehle als Grundschutz den „Avast Antivirus“ (kostenfreie Version unter http://www.avast.com) bzw. zum zusätzlichen Säubern „Spybot – Search and Destroy“.

  15. Lukas sagt:

    Hallo!

    Hab auch den Trojaner auf einem Laptop (windows 7) (seit 22. August 2013). Nach dem neustarten komm ich mit F8 zwar zu dem Menü mit „abgesicherter Modus“ und so weiter, aber nach der Eingabe fährt der Laptop wieder runter, dann wieder hoch und der Desktop ist wieder weiß. Was soll ich tun???
    Danke!!!!! lg

  16. robert sagt:

    hallo
    habe leider auch diesen trojaner, hat norton umgangen und blockiert mein laufwerk, kann nicht mehr booten. abgsicherter modus nicht möglich, fährt runter, startet normal, weisser bildschirm und cursor.
    ersuche um hilfestellung, danke.

  17. mathias sagt:

    Leute ich hab nen neuen polizei virus wen ich den abgesicherten modus starte fährt er sich wieder runter kam man da noch helfen

  18. mathias sagt:

    Bitte wer wirklich dringend

  19. mathias sagt:

    Bitte könntet ihr mir helfen ich hab einen neuen Polizeivirus wen ich gesicherten modus starte fährt der laptop sich wieder runter kan man da noch helfen bitte wer dringend

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.