Bundespolizei-Trojaner schließt Windows
Jetzt bin ich ihm bei einem Kunden auch endlich begegnet: dem aus Funk- und Fernsehen bekannten Bundespolizei Trojaner, in Deutschland BKA-Trojaner oder auch einfach nur Polizei Virus genannt! Er macht sich dadurch bemerkbar, dass man gleich nach dem Windowsstart eine Seite angezeigt bekommt, in welcher man beschuldigt wird, z.B. auf Internetseiten mit illegalen Inhalten (wie etwa Kinderpornografie, Urheberrechtsverletzungen, u.ä.) zugegriffen zu haben, und das dieser Computer nur “entsperrt” werden kann, wenn man € 100,- bezahlt.
Oder noch besser: Die Festplatte mit allen Daten wird verschlüsselt oder gelöscht, wenn man nicht innerhalb 24 Stunden bezahlt. Solche und ähnliche Drohungen kann man da lesen, die Texte unterscheiden sich von Version zu Version, ganz so wie der “Programmierer” gerade aufgelegt war.
Von Programmierer kann in diesem Fall aber nicht die Rede sein, denn für diese Trojaner gibt es schon idiotensichere “Heimwerker-Baukästen”, die man von einschlägigen Quellen beziehen kann. Ransomware wird dieses Prinzip der “Computer-Erpressung” übrigens genannt.
Aber zurück zum Thema: was tun, wenn nun dieser lästige Bildschirm da ist, und sich Windows nicht mehr starten lässt?
Als erstes: Ruhe bewahren, es ist nichts geschehen! Auf keinen Fall Geld überweisen! Der Bundespolizei Trojaner löscht weder etwas, noch verschlüsselt* er ihre Daten (ev. machen dies andere Trojaner, mir ist so einer persönlich noch nicht bekannt). Die Entfernung dieses Schadprogrammes ist nämlich recht einfach:
Starten Sie den Computer neu und drücken sie gleich nach dem schwarzen Startbildschirm (kurz bevor “Windows wird gestartet” erscheint) die Taste F8.
Mit dieser Taste ruft man die erweiterten Windows-Startoptionen auf, wo wir nun mit den Pfeiltasten den “Abgesicherten Modus” auswählen und mit der Enter-Taste starten.
Nach einiger Zeit (kann auch länger als ein normaler Windows-Start dauern) sollten Sie nun im Windows sein, ein Fenster weist uns nun darauf hin, dass sich Windows im eingeschränkten Modus befindet und und und, dieses Fenster kann man einfach wegklicken.
Nun im Startmenü unter “Alle Programme” > Autostart nachsehen, ob dort ein neuer bzw. unbekannter Eintrag vorhanden ist – falls ja, mit der rechten Maus auf diesen Eintrag klicken und ganz unten “Eigenschaften” auswählen. Wenn dort nun unter Verknüpfung > Ziel etwas mit “…\deo0_sar.exe” steht, haben wir die Version, welcher ich heute bei dem Kunden begegnet bin.
Da braucht man einfach nur die Verknüpfung zu löschen, somit wird das Programm nicht mehr beim Windows Start ausgeführt. Vorher sollte man sich aber den genauen Pfad des Bundespolizei Trojaners merken, um das Schadprogramm dann per Windows Explorer manuell zu löschen (meist liegt dieses in einem der temporären Verzeichnisse).
Es kann aber auch sein, dass sich der Trojaner in die Registry eingetragen hat, dann scheint er nicht im Autostart-Ordner auf. Da gibt es nun mehrere Lösungsmöglichkeiten, die ich hier aber leider nicht alle aufführen kann. Teilweise können diese Versionen auch per “Windows-System-Wiederherstellung kuriert werden.
Das war es nun auch schon, aber auf jeden Fall gleich einmal die Antivirus/Internetsecurity-Software überprüfen, ob diese aktuell, aktiviert bzw. überhaupt installiert ist, und einen kompletten Systemscan durchführen lassen.
Hier eine Funktions-Übersicht der aktuellen G-Data Sicherheitsprodukte (mehr auch von anderen Anbietern demnächst):
Eine Sicherung wichtiger Daten (wie Dokumente, Bilder, Emails…) sollte spätestens jetzt durchgeführt werden, denn man weiss nie, was so ein Trojaner sonst noch in das heimische System eingeschleust hat. Die sauberste/sicherste Vorgehensweise nach so einer Infektion ist jedoch immer noch eine komplette Windows-Neuinstallation, sowie das Ändern aller bisher verwendeten Passwörter (nicht nur von Windows, sondern auch auf Facebook, sms.at, Amazon, Ebay…)
Falls Sie Ihr System mithilfe dieser Anleitung nicht sauber bekommen haben, oder Beratung zu Datensicherheit, -sicherung, Backupstrategien u.ä. wünschen, kontaktieren Sie uns einfach unverbindlich, entweder gleich hier als Kommentar oder per EMail
Weitere Informationen zum Thema “Polizei Virus Entfernen”
News zu dem Bundespolizei Trojaner/BKA Trojaner/Polizei Virus auf orf.at: Warnung vor „Polizei-Trojaner“
Gesammelte Information und Forum zu den verschiedenen Trojaner-Versionen: Anti-Botnet Beratungszentrum
Artikel auf derstandard.at: “BKA-Trojaner” in Österreich in Umlauf
[aartikel]B008UG5QRS[/aartikel] |
[aartikel]B008RT87PQ[/aartikel] |
[aartikel]B008N8BHRG[/aartikel] |
[aartikel]B00742YFL2[/aartikel] |
* Nachtrag: inzwischen sind leider doch Trojaner-Versionen aufgetaucht, die bestimmte Dateien auf dem Computer verschlüsseln. Meist handelt es sich dabei um Musik, Bilder, Office-Dokumente, PDF & Outlook-Dateien. Dabei wird dann auch oft nicht die ganze Datei verschlüsselt, sondern nur der Anfang der Datei, auch der Dateiname wird dabei durch eine wilde Zeichenfolge ohne Endung ersetzt.
Für einige dieser Trojaner gibt es Möglichkeiten, die Dateien wieder herzustellen, aber leider existieren auch Versionen, wo der Verschlüsselungsmechanismus unbekannt und somit eine Wiederherstellung derzeit unmöglich ist. Hier hilft nur ein vorheriges Backup der wichtigsten Daten!
Mein neuerdings eingefangener Polizei Trojaner versteckte sich in den Prefetch Dateien von Windows.
ctfmon.exe.OE.17969B.pf in C:Windows/prefetch
nach Löschen der Einträge in Autostart und bereinigen der Registry läuft der Computer wieder wie gewohnt.
Bisher habe ich noch keinen Hinweis auf die Prefetch Dateien im Internet gefunden.
Also vielleicht hilft auch dieser Beitrag ein wenig
mfG H.R.
Auch heute wieder eine neue Version: der Win32:Karagany-MR[Trj]! Links oben die Rot-Weiß-Rote Flagge und rechts der österreichische Adler, Überschrift lautet: “Der Computer ist für die Verletzung der Gesetze der Republik Österreich blockiert worden” dann folgt einiges an gebrochenen deutsch und unten steht noch “zahlen ein Bußgeld von 100 €” per Ukash.
Der Trojaner ist einfach per regedit zu löschen, eingetragen war er nur unter hkey_current_user\software\microsoft\windows\currentversion\run mit dem Namen SensApi und dem Pfad C:\Users\\AppData\Local\Microsoft\Windows\1186\SensApi.exe
Dieses Verzeichnis muss natürlich dann auch noch entfernt werden, und gleich im Anschluss einen funktionstüchtigen Virenscanner installieren! Auf dem vorliegenden Laptop war Avira Antivirus (Free Version) installiert, diese Software kann ich persönlich schon seit längerem nicht mehr empfehlen, wenn es ein gratis Virenscanner sein muss: avast! Antivirus. Diese Software scannt auch Webseiten nach Scripts, bevor diese im Browser angezeigt werden, sehr hilfreich!
Hallo, bei mir ist der Trojaner auch im abgesicherten Modus aktiv!
Was soll kann ich tun?
Wie steht es um meine Daten?
Hallo Hannah,
in so einem Fall würde ich gleich die Festplatte ausbauen, und auf einem sauberen System bereinigen, das geht am einfachsten mit einem SATA2USB-Adapter wie diesem hier:
http://www.amazon.de/gp/product/B0017J4IAQ/ref=as_li_ss_tl?ie=UTF8&camp=1638&creative=19454&creativeASIN=B0017J4IAQ&linkCode=as2&tag=wwwakedv-21
Wenn das nicht möglich ist, dann mit einer Boot-CD den Computer hochfahren und nach Viren durchsuchen lassen z.B. AntiVir Rescue System:
http://www.chip.de/downloads/AntiVir-Rescue-System_30971022.html oder http://www.heise.de/download/avira-antivir-rescue-system.html
Hoffentlich geht es damit, viel Glück.
Offenbar existiert eine neue Version des BP-Trojaners. Von Antivirus mit den Virusdefinitionen vom letzten Freitag (25.01.13) nicht erkannt, mit jenen vom Samstag (26.01.13 erkannt und entfernt.
Wesentlichstes Problem: Im Normalmodus zeigt Windows (wie vor dem Entfernen des Trojaners) lediglich einen weißen Schirm und den Maus-Cursor. Sonst keinerlei Funktion.
Help?!?
Hallo Werner,
in den abgesicherten Modus von Windows kommst du noch, kannst du dort „normal“ arbeiten? Wenn ja schau mal, ob nicht noch ein seltsames Programm im Autostart-Ordner liegt, oder ob in der Registry unter
hkey_current_user\software\microsoft\windows\currentversion\run
hkey_current_user\software\microsoft\windows\currentversion\runonce
hkey_local_machine\software\microsoft\windows\currentversion\run
hkey_local_machine\software\microsoft\windows\currentversion\runonce
hkey_local_machine\software\wow6432node\microsoft\windows\currentversion\run
hkey_local_machine\software\wow6432node\microsoft\windows\currentversion\runonce
irgend etwas auffälliges steht, im Zweifelsfall auf google nach den unidentifizierten Programmnamen (wie etwa HPWuSchd2.exe) suchen.
Du kannst den Computer auch Online mit einem anderen Virenscanner durchsuchen lassen, zB:
http://www.eset.com/de/home/products/online-scanner/
Viel Glück!
Vielen Dank. Alex.
Was ich oben noch nicht gesagt hatte: Es geht um den Rechner meines Vaters, ein Asus Laptop unter Vista.
Abgesicherter Modus geht nicht – da bootet die Kiste normal und fährt ohne Eingabemöglichkeit sofort wieder herunter.
Abgesicherter Modus mit Eingabeaufforderung geht. Explorer.exe lässt sich dann auch starten. regedit sowieso.
Unter
hkey_current_user…\current version\run
finden sich IMHO verdächtige Einträge a la:
^3’v
^3>v
etc. Alle enthalten die Files “(Standard)” und “machine id” + Hex-Code (de ec 4d bd 32 0e f8 00)
den Eintrag
h3yv
würde ich ebenfalls als verdächtig bewerten, da er als einziger unter den scheinbar regulären mit Kleinbuchstaben beginnt…
Soweit der Status…
merci vielmals
Werner
Hallo Werner,
diese seltsamen Einträge würde ich löschen, und wenn nichts anderes hilft: Festplatte ausbauen und an einem anderen Computer scannen, das geht meist am schnellsten.
Grüße
Alexander
Hallo ich habe es durch einen einfachen trick geschaft, es zu entfernen: ich muss jedes mal das internet ausschalten und dann den computer einschalten dann wieder ausschalten. Dann wieder das internet einschalten und den computer wieder einschalten.
Hallo,
Mein Freund hat sich gestern auch einen Polizei Virus eingefangen… Er hat sich dann gleich eine neue Norton-CD gekauft und versucht so das Problem zu beseitigen. Hat auch gut geklappt, als er dann nach einem Viren Check den PC neugestartet hat war der Bildschirm aber wieder occupiert von dem Virus.
Wie kriegt man den denn endgültig weg? Denn langsam zerrt es an den Nerven^^
Lg Bianca
Hallo Bianca,
die oben angeführten Tipps wie etwa die Einträge im Autostart-Ordner bzw. in der Registry überprüfen hat er schon ausprobiert?
Hallo
Habe leider auch den bp trojaner.
Was muss ich eingeben im abgesicherten modus bzw.
Wo finde ich die info was ich da eingeben muss?
Bitte danke fuer die hilfe.
Mfg. Christian
Hallo Christian,
im abgesicherten Modus unter Start > Alle Programme > Autostart nachschauen, ob dort ein neuer unbekannter Eintrag ist, und falls ja, diesen löschen. Wenn dir das Programm regedit nicht unbekannt ist, dann die im Beitrag https://akedv.at/673/bundespolizei-trojaner#comment-274 genannten “Pfade” untersuchen.
Und heute wieder eine neue Version, ein Entfernen mithilfe der Avira Rescue CD war in dem Fall nicht möglich. Zum Glück bietet Kaspersky eine spezielle Rescue CD an, die den sogenannten WindowsUnlocker beinhaltet, dieser soll auch hartnäckigere Versionen des Ransomware/Bundespolizei-Trojaners entfernen können… und tut es auch!
Die Kaspersky Rescue Disk 10 kann man hier herunterladen: http://support.kaspersky.com/de/viruses
Und hier die Anleitung zum “Entsperren” mithilfe des Kaspersky WindowsUnlocker: http://support.kaspersky.com/de/faq/?qid=208641247
Im Schnelltext: ISO-Datei herunterladen, auf CD brennen oder auf einem USB-Stick “installieren” (Software dazu kann auch bei Kaspersky heruntergeladen werden) und den Computer von Stick/CD starten.
Im nun gestartetenLinux-System dann die Konsole öffnen und dort “windowsunlocker” eintippen und mit der Eingabetaste bestätigen. Den Anweisungen folgen und danach den Computer noch auf Schadsoftware überprüfen lassen (alle Laufwerke aktivieren, Funde löschen!)
In dem aktuellen Fall handelte es sich um den Trojan-Ransom.Win32-Foreign.behx, der in den beiden Dateien zu finden war:
Benutzerverzeichnis/appdata/roaming/skype.dat
Benutzerverzeichnis/appdata/local/temp/n5yrj4bfxkmamq37apz3zv.exe
Auf dem Laptop übrigens wieder einmal die gratis Version vom Avira Antivirus installiert! Noch einmal: Wenn es ein kostenloser Virenscanner sein soll, dann bitte doch gleich den Avast, der bietet derzeit doch etwas mehr Sicherheit.
Ich hab irgendwie 0 verstanden xD
(bin 12) meine mutter ihr laptop geht nicht mehr und ich sollte es Reparieren und es war nicht in den autostart Ordner
Dann solltest du das lieber einem Profi überlassen. Sucht euch einen Computer-Dienstleister in eurer Nähe, das kostet kein Vermögen. Je nach Aufwand ca. 60-100 Euro, die Tipps zum sicheren Umgang mit Computer und Internet sollte es dann noch gratis dazu geben (ist jedenfalls bei uns so).
Hallo ich habe versucht den trojaner zu entfernen indem ich über regedit: hkey_local_machine\software\microsoft\windows\currentversion\run
die datei shell suche, und hab aber, anstatt die datei zu öffnen und den pfad zu ändern, die datei gelöscht
jetzt kann ich sie nicht mehr finden. der trojaner is natürlich noch immer aktiv
Hallo Thomas,
was genau hast du gelöscht, einen Eintrag in der registry oder eine physikalische Datei auf der Festplatte?
Habe die Datei gelöscht (hab sie eben über regedit, hkey_local_machine\software\microsoft\windows\currentversion\run
gesucht, markiert, und bin dann auf entf gegangen
Bei mir steht unter hkey_current_user\software\microsoft\windows\run eine Datei mit Namen ‘gvdxpgk’ und dem Pfad C:\Users\Ameli\AppData\Local\fkoowo.exe
kann/darf/soll ich das löschen? ist das der Virus? danke und lg
Ja, diesen Eintrag kannst du bedenkenlos löschen, und auch die Datei C:\Users\Ameli\AppData\Local\fkoowo.exe würde ich mir genauer anschauen bzw. löschen. Hast du keine Antiviren-Software installiert? Ich empfehle als Grundschutz den “Avast Antivirus” (kostenfreie Version unter http://www.avast.com) bzw. zum zusätzlichen Säubern “Spybot – Search and Destroy”.
Hallo!
Hab auch den Trojaner auf einem Laptop (windows 7) (seit 22. August 2013). Nach dem neustarten komm ich mit F8 zwar zu dem Menü mit “abgesicherter Modus” und so weiter, aber nach der Eingabe fährt der Laptop wieder runter, dann wieder hoch und der Desktop ist wieder weiß. Was soll ich tun???
Danke!!!!! lg
Hallo Lukas,
lade dir die Kaspersky Rescue Disk 10 von http://support.kaspersky.com/de/viruses herunter, starte deinen Computer von der CD bzw. USB Stick und scanne alle Laufwerke damit.
hallo
habe leider auch diesen trojaner, hat norton umgangen und blockiert mein laufwerk, kann nicht mehr booten. abgsicherter modus nicht möglich, fährt runter, startet normal, weisser bildschirm und cursor.
ersuche um hilfestellung, danke.
Hallo, hast du dein System schon von der Kaspersky Rescue Disk 10 gestartet und alle Laufwerke prüfen lassen?
Leute ich hab nen neuen polizei virus wen ich den abgesicherten modus starte fährt er sich wieder runter kam man da noch helfen
Bitte wer wirklich dringend
Bitte könntet ihr mir helfen ich hab einen neuen Polizeivirus wen ich gesicherten modus starte fährt der laptop sich wieder runter kan man da noch helfen bitte wer dringend
Hallo Matthias,
welche von den oben stehenden Tipps hast du denn schon getestet? Die Kaspersky Rescue Disk 10 lege ich dir mal ans Herz, Downloadlink steht weiter oben, einige Male…