Bundespolizei Trojaner entfernen! In 10 Schritten wieder Zugang zum PC

“Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!” – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als “Es ist die ungesetzliche Tätigkeit enthüllt” zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!

Achtung! Neue Varianten vom BKA-Trojaner im Umlauf.
Alle Infos zum Entfernen des Schädlings hier: BKA-Trojaner 2013

Die ersten Maßnahmen

Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern “nur” eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.

Anleitung zum Löschen des Bundespolizei Virus

Bundespolizei Virus – Bildschirm eines infizierten Windows PCs

Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
Mit den Pfeiltasten die Option “Abgesicherter Modus Eingabeaufforderung” wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.

Windows im abgesicherten Modus starten

Windows startet nun in einer Art Minimal-Konfiguration.
Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
Den Befehl regedit eingeben und [Enter] drücken
Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
Hier muss man sich durch das Verzeichnis klicken. Ziel der “Reise” ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der “Wert” dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann. Sollte hier bereits “explorer.exe” stehen, dann zuerst die Hilfestellungen von Simon beachten (Punkt 8 sowie Punkte 1 bis 6).
Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
[OK] klicken und das Registry-Fenster schließen [x].

Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere Anlaufstelle ist Webseite vom Anti-Botnet Beratungszentrum.

Windows-Registry – Pfad zur jashla.exe

Der Start des BKA-Trojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.

Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).

Den Rechner jetzt ganz normal neu starten

Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.

Rechner auf Schadsoftware prüfen

Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit der aktuellen Testversion von Avira Antivirus Premium, die hier gratis herunter geladen werden kann.

Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus “Scherz” im Internet veröffentlicht.

Was heißt, der Spuk ist “erst mal” vorbei?

Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.

Die bekannten “Floskeln”: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!

Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …

Sicherheitssoftware zum Schutz vor Angriffen dieser Art

Hier ein paar kostenpflichtige Software-Empfehlungen, die möglicherweise eine Attacke dieser Art verhindert hätten und vor zahlreichen anderen Bedrohungen aus dem Internet sowie Schädlingsverbreitungen durch E-Mails, Downloads, Datenaustausch usw. schützen:

Avira Internet Security 2013
Bitdefender Internet Security 2013
Gutscheicode für 25% Rabatt auf Bitdefender Internet Security 2013: AFFILI25
Kaspersky Internet Security 2013
Gutscheincode für Kaspersky Internet Security 2013: 5EURKASP
F-Secure Internet Security 2013
F-Secure Internet Security 2013 jetzt 30 Tage kostenlos testen
Malwarebytes’ Anti-Malware

Hast du etwas zum Thema beizutragen? Ich freue mich sehr über weitere Hinweise, andere Sichtweisen oder anregende Diskussionen. Natürlich gern auch Fragen, die ich versuche werde zu beantworten.

Bitte beachtet vor dem Kommentieren die Hinweise zum Datenschutz und der Netiquette hier auf www.redirect301.de - danke!

Bereits 3.800 Kommentare

Hausverwaltung Essen 20. Mai 2013 am 19:00 - Antworten

Sehr hilfreiche Site.
Im ersten Moment als Anlaufstelle sehr gut, vor allem mit Schritt-für-Schritt Anleitung…

TOP
- Simon 25. Mai 2013 am 08:25 - Antworten
  
  @ Hausverwaltung Essen
  
  Freut zu hören wenn diese Seite helfen konnte.
  
  Anmerkung<br /<
  Ich denke ich darf dies auch im Namen von Herrn Weihmann so sagen. :-)
  
  Mit freundlichen Grüßen,
  Simon
  (Fachinformatiker für Systemintegration)
  
  Hilfeseite
  Mail me
Bahri 20. Mai 2013 am 20:00 - Antworten

Das klappt bei mir nicht was kann ich tun???
- Daniel Weihmann 20. Mai 2013 am 20:40 - Antworten
  
  Klick mal auf http://www.redirect301.de/tag/bka-trojaner. Der Trojaner verändert sich sehr oft und somit funktioniert diese ältere Anleitung leider nicht mehr überall.
- Simon 25. Mai 2013 am 08:26 - Antworten
  
  @ Bahri
  
  Darf ich fragen wie der aktuelle Stand ist?
  
  Mit freundlichen Grüßen,
  Simon
  (Fachinformatiker für Systemintegration)
  
  Hilfeseite
  Mail me
Aktualisierter BKA-Virus lädt Kinderpornos auf den heimischen PC und sperrt abgesicherten Modus | newsbloggers 21. Mai 2013 am 13:34 - Antworten

[...] logische Schlussfolgerung, war doch bis dato der abgesicherte Modus ein einfacher Weg, den Trojaner über die Systemwiederherstellung wieder loszuwerden. Im Test funktionierte der abgesicherte Modus jedoch exakt zwei Mal problemlos, [...]
Anonym 25. Mai 2013 am 03:52 - Antworten

Ich komme aus der Schweiz und habe einen sehr ähnlichen Trojaner. Dieser ist einfach im Schweiz-style. Ich habe die Artikelnummern überprüft und bemerkt, dass diese einfach wahllose Zahlen sind. Zudem kam mir die 100 Franken/Euro-Überweisung sehr merkwürdig vor. Ich hoff ich kann ihn mit dieser Anleitung hier entfernen und bedanke mich hier schon im Vorraus für diese Hilfe.
- Simon 25. Mai 2013 am 08:27 - Antworten
  
  @ Anonym
  
  Sollte es Fragen/Probleme dabei geben, einfach hier weiter posten oder gerne auch direkt eine Mail an Mich.
  
  Mit freundlichen Grüßen,
  Simon
  (Fachinformatiker für Systemintegration)
  
  Hilfeseite
  Mail me
- Daniel Weihmann 25. Mai 2013 am 09:58 - Antworten
  
  Ist prinzipiell alles der selbe Schrott, nur mit einer angepassten “Optik”.

Redirect 301