Bundespolizei-Trojaner entfernen unter Windows 7 – über den “Abgesicherten Modus”

Ich weiß nicht genau, wie ich ihn mir eingefangen habe, eigentlich bin ich bei solchen Dingen eher vorsichtig. Ich habe noch gesehen, wie AVG Antivirus gefragt hat, ob ich eine Datei in Quarantäne schicken will, dann habe ich aber weiter telefoniert. Und dann erschien diese Warnung über den ganzen Bildschirm, nichts ging mehr: Die Bundespolizei hätte mich erwischt, ich soll 100 Euro zahlen. So ein Ärger.

Bundespolizei-Trojaner entfernen unter Windows 7 – über den “Abgesicherten Modus”

Wie ich in den landläufigen Foren auf meinem (Zweit-)Netbook schnell herausfand, ist das mitnichten eine offizielle Mitteilung oder etwa der Bundestrojaner, sondern das Werk von Abzockern, die mit dieser Sperrung einfach Geld machen wollen. Der Bundespolizei-Trojaner (oder besser: die Ransomware) tritt seit Mitte 2011 in verschiedenen Versionen auf: Mal als BKA-Meldung, mal von der GEMA oder der GVU, mal scheinbar von der Österreichischen Bundespolizei. Die üblen Gesellen dahinter hoffen, dass Leute das glauben und das Geld einfach zahlen.

Die Sache ist also bekannt und auch, wie man den vermeintlichen Bundespolizei-Virus wieder entfernen kann. Dumm nur, dass über die Zeit auch die Ransomware weiterentwickelt wurde und spätere Versionen ausgefeiltere Verstecke und Namen nutzen. Selbst wenn man den Sperrbildschirm losgeworden ist, hat die Schadsoftware in vielen Fällen auch noch die Daten auf der Festplatte verschlüsselt – und macht sie zunächst unbrauchbar.

Aber für all das gibt es die Möglichkeit der Rettung, grob in drei Schritten:

1. Den Sperr-Bildschirm-Prozess beseitigen.
2. Den Bundespolizei-Trojaner von der Festplatte fegen.
3. Die Daten zurück entschlüsseln.

bundespolizei-trojaner entfernen

Schritt 1: Den vermeintlichen Bundespolizei-Trojaner-Bildschirm entfernen

Auf der Suche im Netz stößt man auf verschiedene Wege, die Sperrung aufzubrechen. Der Kaspersky Windows Unlocker, den man mit dem Kaspersky USB Rescue dann von einem USB-Stick booten kann, wie es Chip vorschlägt, hat bei mir (bzw. meiner fortgeschrittenen Ransomware-Version) nicht funktioniert. Alle Prozesse nach Anleitung durchgeführt, aber der Sperr-Bildschirm immer noch da. Danach schlägt Chip vor, andere Rescue-Virenscanner über die Festplatte laufen zu lassen. Das habe ich mit AVG Rescue ausprobiert, das etwa zwei Stunden durchlief und einige Viren in uralten Mail-Anhängen fand – hat aber auch nicht geholfen.

Da habe ich nochmal weiter gesucht, beispielsweise bei dieser vielversprechenden Anleitung von redirect301.de, die wiederum auf die umfangreiche Hilfeseite eines Simon verweist, was mich aber nicht direkt weiterbrachte, um dann schließlich beim ersten Kommentar zu der eher umständlichen Anleitung von botfrei.de (mit Anlegen eines neuen Admin-Accounts via Linux) fündig zu werden – im Prinzip recht einfach:

1. Windows 7 im “Abgesicherten Modus mit Eingabeaufforderung” starten
2. Den Systemstart-Eintrag des Bundespolizei-Virus entfernen

Mein Problem war, dass der “Abgesicherte Modus” von Windows 7 bei mir zunächst über F8 beim Booten nicht starten wollte. Dann erschien nur die Auswahl, über welches Device ich booten will (Festplatte oder DVD-Laufwerk, bzw. USB-Stick, wenn angeschlossen). Offenbar hatte sich mein BIOS davorgeschaltet und die Taste F8 belegt. Keine Möglichkeit, den “Abgesicherten Modus” auszuwählen. Die Lösung: Einfach das Booten von der Festplatte anwählen, und anschließend nochmal sofort F8 drücken. Voila!

Dann den “Abgesicherten Modus mit Eingabeaufforderung” auswählen, sich wie gewohnt bei Windows 7 anmelden.
In dem schwarzen DOS-Fenster, das dann irgendwann erscheint, “msconfig” eingeben.

Hier den Reiter “Systemstart” auswählen, und jetzt nach verdächtigen Dateien gucken, die beim Autostart des Rechners aktiviert werden. Das kann offenbar, je nach Version des Bundespolizei-BKA-GEMA-GVU-Trojaners, etwas haklig werden. In der genannten Anleitung im Kommentar war es eine exe-Datei unter c:/windows/system32 von einer Firma namens Gloom Hums GmbH. Ich fand so etwas nicht, sondern der Prozess lag in einer Datei mit zufälliger Buchstabenkombination wie “iosdbvhwtau.exe”, die unter der adresse c:/ProgramData/ lag. Einige andere Einträge in dem Systemstart-Menü konnte ich zwar auch nicht zuordnen, fand aber mit einer Google-Suche heraus, dass es nur um die Webcam oder um ein Adobe-Update ging, und nicht um einen Virus-Eintrag.

Hier half dann auch die Hilfe-Seite von Simon weiter, die diese Art des Trojaners unter P 14 auflistet:
“C:\ProgramData\ – Seit dem 23.04.2012 befinden sich dort Dateien mt sehr langem meist wildem Buchstabengewusel. Die meisten dieser Dateien enthielten bislang Rootkit/BackDoor-Funktionen!”

Also diesen Eintrag abgehakt, Übernehmen oder OK, dann den Rechner normal neustarten. Und es funktionierte: Der Sperr-Bildschirm war weg!

2. Schritt: Den Bundespolizei-Virus vom Rechner fegen mit Malwarebytes und Co.

malwarebytes-logo
Jetzt kommt man wieder normal an den Rechner, aber einiges ist noch zu tun: Der Prozess wird nicht mehr bei jedem Computerstart ausgelöst, befindet sich aber noch irgendwo auf der Festplatte.

Also: Die Anti-Malware-Software Malwarebytes herunterladen, die 14-tägige Pro-Testversion installieren und einen Vollständigen Suchlauf durchführen (bei mir ca. zwei Stunden Dauer). Die schädlichen Dateien wurden bei mir an zwei Orten gefunden und entfernt.

Am besten anschließend nochmal einen anderen Virenscanner (beispielsweise Avira Antivir, avast! oder Panda) durch alles durchlaufen lassen, sicher ist sicher.

3. Entschlüsseln der Daten

Und dann: fertig. Bei mir waren (entgegen anderer Berichte im Netz) die Daten einfach wieder zugängig, und bisher läuft alles wie gewünscht.

In anderen Fällen sind offenbar die Daten verschlüsselt und zunächst unbrauchbar – dafür gibt es kostenlose Software, die das wieder entschlüsselt, z.B. Avira Ransom File Unlocker und Kaspersky Rannoh Decryptor.

Dafür braucht man allerdings mindestens eine Datei, die unverschlüsselt vorliegt. Also ein Foto, das man nicht nur auf dem Computer, sondern auch noch auf der Kamera hat, oder eine verschickte Datei aus einem Webmail-Anhang, oder im besten Fall natürlich eine Datei aus einem zuvor angelegten Backup – oft hatte man auch noch die Windows-Standard-Wallpaper auf dem Rechner, die es direkt bei Microsoft im Original gibt.

Wie gesagt – genau dieser Weg führt nur bei einer bestimmten Version des Bundespolizei-Trojaners zum Ziel, aber das Starten im Abgesicherten Modus und Entfernen des Autostart-Eintrags sollte auch bei anderen BKA/GEMA/GVU-Varianten grundsätzlich funktionieren. Für Spezialfälle schienen mir folgende zwei Foren hilfreich, wo freundliche Experten auch Schritt für Schritt weiterhelfen: das Trojaner-Board und das Forum von botfrei.de.

Abschließende Notizen und Ratschläge, um sich zu schützen:

1. Regelmäßige Backups anfertigen (z.B. mit Ocster Backup). Dann kann man einen befallenen Rechner einfach überbügeln.
2. Nur legale Software nutzen und nur legale Webseiten besuchen. Gecrackte Versionen können immer mal solche Hintertüren und Gefahren enthalten.
3. Sich überlegen, ob man doch von einem kostenlosen Virenscanner auf eine bezahlte Sicherheits-Suite umsteigt – die 20 Euro sind im Zweifelsfall dann vielleicht doch den vermiedenen Ärger und die potenziell verlorenen Daten wert (z.B. für Kaspersky oder Norton).

Vielen Dank auf jeden Fall an Regina Utesch auf botfrei.de, und an Nik für den Hinweis mit dem BIOS!

Neue Artikel von GIGA SOFTWARE

GIGA Marktplatz