Ich hatte bereits in 2 längeren Beiträgen über die Beseitigung des sogenannten Bundespolizei-Trojaners geschrieben und möchte nun einen Teil der Schritte auch noch einmal bildhaft hier veröffentlichen. Ich kann mir gut vorstellen, dass nicht so Computer-erfahrene auf diesem Weg vielleicht noch den einen oder anderen Hinweis zusätzlich zur Trojaner-Beseitigung erhalten. Wer noch Screenshots von Windows 7 oder Vista zur Verfügung stellen kann, darf mir diese gern per E-Mail zukommen lassen. Das würde sicher vielen weiter helfen.

Nun möchte aber diesen Beitrag nicht so textlastig gestalten; die notwendigen Informationen gibt es entweder in der Anleitung zur Entfernung des Bundespolizei-Trojaners unter Windows XP (hier bitte auch die zahlreichen Kommentare beachten) oder im gestern veröffentlichten Beitrag Fragen und Antworten zum Bundespolizei-Virus.

Bundespolizei – Es ist die ungesetzliche Tätigkeit enthüllt!

Bundespolizei-Trojaner (Begrüßungsbildschirm)

Der verhasste "Begrüßungsbildschirm" des Bundespolizei-Trojaners

Wer sich den Trojaner eingefangen hat, bekommt nur noch diesen Bildschirm und nichts geht mehr im Windows. Internetverbindung trennen und sich nicht von den Drohungen verrückt machen lassen. Auch die Ausgabe der IP-Adresse, des Betriebssystems, des Browsers usw. bedeuten überhaupt nichts. Das sind alles Dinge, die sich mit ein paar Programmzeilen Code auslesen lassen.

Die Registry unter Windows XP

Windows XP Registry

Der Pfad zur mahmud.exe zeigt sich in der Windows XP Registry

Die Schalt- und Nervenzentrale des Microsoft-Betriebssystems startet man in der schwarzen DOS-Box mit dem Befehl regedit. Hier wurde der Trojaner eingeschleust und sorgt(e) nun dafür, dass anstatt des gewohnten Windows-Explorers eine andere Datei, nämlich die vermeintliche BKA-Meldung, geladen wird.
Hier muss, wie im Foto zu sehen, wieder die „Explorer.exe“ geladen werden. Einige haben kommentiert, dass sie den Registry-Eintrag „Shell“ gelöscht haben. Nicht löschen, der wird durchaus gebraucht!

Shell im Registrierungs-Editor

Die Shell im Registrierungs-Editor muss den Wert "Explorer.exe" bekommen

Starten der Explorer.exe aus dem DOS-Fenster

Hat man in der Registry den Eintrag gefunden und korrigiert, kann man in der noch offenen DOS-Eingabeaufforderung die Explorer.exe starten. Einfach Aufruf eingeben, Enter drücken und eine fast gewohnte Arbeitsumgebung erblicken.

Explorer.exe aus dem DOS-Fenster starten

Explorer.exe aus dem DOS-Fenster starten

Versteckte Dateien anzeigen lassen

Es kann hilfreich sein, wenn man sich auch die versteckten Dateien anzeigen lässt. Das ist im normalen Windows-Betrieb meist nicht notwendig, hier würde ich diese Einstellung allerdings bevorzugen. Über ExtrasOrdneroptionenAnsichtgelangt man zu den erweiterten Einstellungen.

Ordneroptionen alle Dateien anzeigen

Ordneroptionen alle Dateien anzeigen aktivieren

Die Trojaner.exe löschen

Die Namen dieser Datei ändern sich immer mal wieder. Ich habe sie unter jashla.exe und unter mahmud.exe „kennen gelernt“. Diese löschen und auch gleich den Papierkorb leeren.

Finden und Löschen der mahmud.exe

Finden und Löschen der mahmud.exe (ggf. anderer Name)

Windows-Suche verwenden

Schafft man es nicht sich durch den Pfad zur Trojaner-Datei zu klicken, kann auch die Windows-Suche helfen.

Suche nach der mahmud.exe

Suche nach der mahmud.exe

Woher kommt der Bundespolizei-Trojaner?

Mit fast 100%iger Wahrscheinlichkeit aus den Tiefen des Internets. Bei diesem Rechner waren die im Screenshot zu sehenden Webseiten die letzten, die besucht werden konnten. Ob sich der Virus hier oder eventuell ein paar Stunden oder Tage zuvor eingefangen wurde, kann ich nicht sagen. Schau einfach mal in eure Browser-History und in anderen Log-Protokollen auf dem Rechner nach.

Browser-Chronik

Auf der Spurensuche in der Browser-Chronik

Letzte Aufräumarbeiten

Zum Abschluss noch die temporären Internetdateien löschen und mit einem Antiviren-Programm den Rechner überprüfen. Den PC oder das Notebook neu starten. Wenn alles geklappt hat, ist der Spuk vorbei. Jetzt natürlich den Rechner gegen künftige Aktionen dieser Art versuchen abzusichern und, für alle Fälle, diese Seite zu den Favoriten hinzufügen oder via Facebook, Twitter oder GooglePlus mit mir in Kontakt zu bleiben.
Gebt den Link hier her auch an Freunde und Bekannte weiter, wer weiß wann den nächsten Rechner betrifft …