Eine weitere, neue Variante des Bundespolizei-Virus verhindert eine Windows-Ausführung im ab­gesicherten Modus. Einer per F8-Taste erreichbaren Startvariante des Microsoft-Betriebssystems, bei der sich aus verschiedenen Modi der verwendeten Windows-Version eine Auswahl (z.B. “letzte funktionierende Version”, “abgesicherter Modus mit Eingabeaufforderung” und so weiter) treffen lässt.
Aus Sicht der Hacker war diese Anpassung des Trojaners unbedingt notwendig geworden, da diese “Hintertür” in vielen Fällen eine relativ einfache System­wiederherstellung möglich machte.

Erstmalig auffällig wurde diese “Verbesserung des Trojaners” mit dem Erscheinen der GVU-Ransomware im März 2012.

Der Trojaner hat, wenn sich der abgesicherte Modus nicht mehr starten lässt, eine ganze Reihe Systemeinstellungen in der Windows-Registry gelöscht. Über die Windows-eigenen Startfunktionen wird der Rechner also nicht mehr hoch fahren, sodass eine Boot-CD bzw. eine Boot-DVD oder das Booten von einem USB-Stick aus erfolgen muss. Sicher gibt es noch ein paar weitere Möglichkeiten … die einfachste Lösung bietet aber Windows selbst:

Die Windows Systemwiederherstellung!

In diesem Artikel zum Thema BKA-Trojaner (auch als Bundespolizei-, GEMA- oder GVU-Trojaner bekannte Ransomware) wird eine Systemwiederherstellung sowie die dringend empfohlene Systemüberprüfung nach der Trojaner-Entfernung beschrieben. Gern dürfen Fragen gestellt und (noch besser) weitere Hilfen in den Kommentaren hinterlassen werden.
Nicht alle hier aufgezeigten Möglichkeiten sind für Computer-Laien gedacht. Im Zweifelsfall einen Fachmann aufsuchen! Alle Hinweise sind nach bestem Wissen und Gewissen hier veröffentlicht wurden. Sie sind möglicherweise nicht vollständig und eine Garantie kann ich auch nicht geben.

Inhaltsübersicht – Lösungsansätze und Empfehlungen

Systemwiederherstellung unter Windows 7

Der Rechner lässt sich bei Windows 7 und Windows Vista direkt von der Installations-DVD booten – das ist der einfachere Weg. Sollte man diese nicht zur Hand und auch keinen eigenen Systemreparatur-Datenträger erstellt haben, so können u.a. bei Dr. Windows Windows 7 Notfall-CDs für 32- und 64-Bit Systeme herunter geladen werden.

Diese ISO-Dateien, ein Speicherabbild des Inhalts einer CD oder DVD, müssen noch auf eine DVD gebrannt oder auf einen ausreichend großen USB-Stick kopiert werden. Egal ob DVD oder USB-Stick: das Medium muss bootfähig sein, sonst kann das Notfall-System nicht gestartet werden. Wie das geht, wird auf scareware.de beschrieben und wird eigentlich von jedem Brennprogramm unterstützt sowie von Windows 7 bereit sogar als Bordmittel bereit gestellt.

Die Windows 7 / Vista Installations-DVD (Notfall-CD, USB-Stick) einlegen und den Rechner einschalten. Gegebenenfalls muss noch die Reihenfolge für den Boot-Vorgang zuvor umgestellt werden, falls Windows von der Festplatte bootet. Hierzu direkt nach dem Einschalten des Rechners die Taste für das BIOS-Setup klicken ([F12], [DEL]). Die Herstellen haben für diese Funktion unterschiedliche Tasten, welche es ist wird kurz auf dem Bildschirm gezeigt.

Nachdem im Menü die Spracheinstellungen gewählt wurden, bietet Windows 7 im nächsten Auswahl­bildschirm die Computerreparaturoptionen zur Auswahl an. Diesen Modus wählen und mit Hilfe des Assistenten sich zu den hoffentlich vorhandenen Wiederherstellungspunkten durch klicken.

Windows 7 Computerreperaturoptionen

Windows 7 Computerreperaturoptionen

Eine Systemwiederherstellung stellt den Rechner System-seitig so wieder her, wie er am Tag des Anlegen des Wiederherstellungspunktes war. Das heißt, dass gespeicherte Daten (E-Mails, Fotos, Dokumente und auch der Trojaner selbst) noch immer vorhanden sind, aber alle Änderungen am System (z.B. der Registry) zurück gesetzt werden.

Windows XP Wiederherstellungskonsole

Hierzu wird der Rechner von der Windows XP Betriebssystem-CD* aus gestartet, ggf. ist im BIOS ein vorheriges Umstellen der Boot-Reihenfolge notwendig. Auf dem Startbildschirm lässt sich mit der Taste [R] die Wiederherstellungskonsole aufrufen, wofür das Administrator-Passwort benötigt wird. Im Anschluss kann in der speziellen Eingabeaufforderung mit dem Befehl help eine Liste möglicher Befehle aufgerufen werden.

Windows XP Reparatur / Wiederherstellungskonsole

Windows XP Reparatur / Wiederherstellungskonsole

Windows XP Reparatur-Installation

Um einiges einfacher, aber auch rigoroser, ist die Windows XP Reparatur-Installation. Diese wird ebenfalls direkt von der Windows XP Betriebssystem-CD* gestartet. Auf dem Startbildschirm wählt man den Modus “Windows installieren” und im folgenden Fester mit der Taste [R] die Möglichkeit einer Windows-Reparatur. Im Tipparchiv von Wintotal ist der Ablauf beschrieben und es wird auch auf die Nacharbeiten eines solchen Eingriffs ins System hingewiesen.
Eine weitere gute Beschreibung für eine Systemwiederherstellung unter Windows XP hält das Wiki auf winboard.org bereit.

* Unter Windows XP ist dies nur mit der korrekten Installations-CD (keine Recovery-Medien) oder mit dem ERD-Commander 5.0 von Microsoft (nur für MSDN Kunden) möglich.

Den BKA-Trojaner per Rescue-CD entfernen

Auch die Nutzung von Rescue-CDs, die von einigen Antiviren-Herstellern angeboten werden, ist ein Versuch wert. Diese können in der Regel kostenfrei herunter geladen und genutzt werden. Wie weiter oben bereits beschrieben, werden auch hierbei ISO-Dateien zur Verfügung gestellt, die auf eine CD gebrannt werden müssen und von denen aus der Rechner gestartet werden muss. Ob und welche Hersteller sich dabei als praxistauglich erweisen, zeigen möglicherweise die Kommentare zu diesem Artikel.

Eine (sicher nicht vollständige) Auswahl an Rettungs-CDs

Wer an dieser Stelle weitere Tools empfehlen kann, sollte diese Informationen bitte mit Link unten in den Kommentaren hinterlassen.

Notwendige Nacharbeiten zur Trojaner-Entfernung

Wie weiter oben schon beschrieben, befindet sich der BKA-Trojaner noch auf dem Rechner. Er ist derzeit sicher nicht aktiv und richtet im Augenblick keinen Schaden an, doch wer weiß was sich die Hacker noch alles einfallen lassen … Deshalb als erstes eine vollständige System-Überprüfung mit Malwarebytes’ Anti-Malware und im Anschluss einen Viren-Scan (z.B. mit einer Test-/ Vollversion von Avira Antivirus 2013, Kaspersky 2013 oder Eset NOD32) im ersten Schritt.

Auch per Online-Scan lässt sich der Rechner überprüfen

Praktisch sind auch Systemüberprüfungen, die sich direkt online ausführen lassen. Ohne größere Downloads und Installationsroutinen lässt sich z.B. mit dem ESET Online Scanner der Rechner vollständig und gründlich auf Schadsoftware überprüfen.
Wichtig! Bei ESET muss hierbei unter den “Erweiterten Einstellungen” die Suche nach “Potenziell schädlichen Anwendungen” aktiviert werden, um wirklich einen vollständigen Scan durchzuführen.

Die System-Scans finden sicherlich einen oder auch mehrere Schädlinge auf dem Rechner. Diese Funde löschen, dokumentieren und im Nachgang im Internet über die jeweiligen Schädlinge informieren. In einigen Kommentaren der anderen BKA-Trojaner-Beiträge hier auf redirect301.de tauchten oftmals zusätzlich Würmer und Rootkits bei den Systemüberprüfungen auf, die u.a. Passwörter ausspioniert oder das ganze System übernommen haben.

Auf jeden Fall die installierte Software aktualisieren, schließlich wird der Trojaner eine Sicherheitslücke in irgend einer Anwendung ausgenutzt haben. Selbst eine Neuinstallation ist in einigen Fällen unbedingt anzuraten. Vor allem dann, wenn die Systemscans einen oder mehrere Rootkits gefunden haben.

Ohne Software-Aktualisierungen und entsprechenden Sicherheits-Tools hat man den BKA-Trojaner schnell ein zweites Mal auf dem Rechner!

Veraltete / unsichere Software auf dem Rechner finden

Sicherlich sind die verwendeten Browser und deren Erweiterungen eines der ersten Einfalltore für Trojaner, Viren und Malware. Diese sollten regelmäßig auf einem aktuellen Stand gehalten werden. Aber auch andere Anwendungen, die mit einem Bein im Internet stehen, gehören zu potentiellen Gefahrenquellen. Flash, Java, Mail-Programme, PDF-Reader usw. werden gern als Einfalltore von Hackern genutzt, da eigentlich bekannte Sicherheitslücken oft nicht oder zu spät von den Anwendern gestopft werden. Viele Softwarehersteller bieten deshalb automatische Updates an – diese gilt es zu nutzen!

Da es außerhalb von organisierten IT-Infrastrukturen, und für Computer-Laien erst Recht, nur schwer möglich ist immer up to date zu bleiben und alle Aktualisierungen regelmäßig durchzuführen, gibt es Tools wie den Secunia Personal Software Inspector. Diese Sicherheitssoftware macht bereits im Systray, dem Benachrichtigungsfeld neben der Uhr, darauf aufmerksam, dass Aktualisierungen vorzunehmen sind.

Secunia Personal Software Inspector (PSI)

Secunia Personal Software Inspector (PSI)

Wie kann ich mich vor dem BKA-Virus schützen?

Eine 100%ige Sicherheit würde es nur geben, wenn der Rechner ausgeschalten bliebe. Vielleicht noch 99% wenn der Rechner nicht an das Internet angeschlossen wird. Aber das möchte ja niemand … Unpraktikabel sind sicherlich Empfehlungen wie nur mit einem Linux als Betriebssystem zum surfen oder nicht als Administrator unter Windows zu arbeiten. Auch eine Internetnutzung nur aus einer virtuellen Maschine heraus funktioniert bestens, ist aber auch nicht für jeden geeignet und ohne erweiterte PC-Kenntnisse umsetzbar.


Was aber jeder machen kann, ist seine Anwendungen (vor allem das Betriebssystem, den die Browser und die Sicherheitssoftware) aktuell zu halten. Nicht jeden “lustigen” E-Mail-Anhang zu öffnen und Warnungen am Bildschirm auch mal zu lesen. Ist man sich unsicher, ob Anwendung “X” Zugriff auf das Internet benötigt, dann liegt man sicherlich mit “nein” oftmals besser, als mit einem unbedachten “ok” wenn die Firewall danach fragt. Braucht man wirklich alle derzeit verwendeten Browser-Plugins und -Toolbars? Oftmals eher nicht!

Also über ein Deinstallieren nachdenken und bei der Installation einiger Anwendungen besser auf den benutzerdefinierten Modus zu klicken und somit möglicherweise unnötige Programme von vorn herein auszuschließen. Hier gibt es sicher noch eine Reihe weitere Beispiele, die gern in den Kommentaren genannt werden dürfen.

Sicherheitssoftware? Ja, ohne geht es leider nicht!

Es gibt gute kostenfreie Lösungen und schlechte teure Anwendungen aber auch schlechte kostenfreie und richtig gute kostenpflichtige Software. Will man wirklich sicher unterwegs sein, wird man oft nicht um ein paar Euro im Jahr umher kommen. Und es gibt unzählige falsche Einstellungen bzw. Nutzeraktionen, die man bei diesen Softwareprodukten vornehmen kann. Nichts desto trotz möchte ich ein paar Tools hier nennen (es gibt übrigens für mich eine Provision für den Kauf einiger der hier vorgestellten Security-Lösungen, was allerdings nicht ausschlaggebend für die Empfehlungen an dieser Stelle war), die dabei helfen, sicherer im Internet unterwegs zu sein:

Ich habe unter diesen natürlich einen Favoriten, denke aber, dass alle Programme einen guten Job machen und richtige eingesetzt vor vielen Gefahren schützen.

Dieser Artikel zur Bekämpfung des Bundespolizei-Virus ist (mal wieder) etwas länger geworden und deckt doch nicht alle Fragen ab. Es gibt aber einfach zu viele Varianten des Trojaners selbst und auch zu viele unterschiedliche System-Einstellungen und Softwarekomponenten, sodass einfach nicht alle Fragen einfach beantwortet werden können. Nutzt die Kommentarfunktion, die Facebook-Seite und die anderen Informationsseiten im Internet oder sucht einen Fachmann zu diesem Thema auf. In jeder größeren Stadt wird es PC-Service-Center geben, die den Rechner wieder fit machen …