Meine Anleitung zum Entfernen des Bundespolizei Trojaners wurde in den vergangenen Wochen sehr oft aufgerufen und es wurden eine ganze Reihe Kommentare hinterlassen. Oft war es einfach nur ein „Dankeschön“ oder ein „Prima, hat funktioniert“. Aber auch Fragen und Hilfe­schreie von ratlosen Be­troffenen wurden gepostet. Ebenso erreichten einige E-Mails mein Postfach, die ich alle artig beantwortet habe.

Richtig klasse fand ich Kommentare, die zusätzliche Hilfestellungen erläuterten, über Mutationen des Trojaners berichteten und Korrekturen bzw. Erweiterungen zu meinen Ausführungen hinterlassen hatten.
In diesem Artikel möchte ich versuchen, aus etwa 250 Kommentaren und neuen Erfahrungen eine Zusammenfassungen sowie eine Erweiterung des ersten Trojaner-Beitrags abzuliefern. Dass dieser Beitrag etwas länger werden wird, ist dabei sicherlich kaum zu vermeiden …

Ich weiß leider auch nicht mehr …

Punkt 1 soll hierbei – auch wenn es dem einzelnen Betroffenen nicht hilft – die Information sein, dass ich persönlich den Trojaner nur zwei Mal gesehen und wie beschrieben entfernt habe. Dabei handelte es sich Ende August 2011 um das Betriebssystem Windows XP Home und vor ein paar Tagen um Windows XP Professional. Es ist also gut möglich, dass bei Windows 7 oder Windows Vista der Ablauf etwas anders ist. Helfen kann ich an dieser Stelle allerdings nicht wirklich, da ich zum überwiegenden Teil mit Ubuntu arbeite und die neuen Betriebssystemversionen aus dem Hause Microsoft eigentlich gar nicht kenne.
Ich wollte den Artikel Ende August einfach schreiben, da ich im Internet selbst nicht wirklich eine richtige Hilfe finden konnte und mir dachte, dass diese Ausführungen auch noch ein paar Leute interessieren würde. Das hat’s ja wohl auch!


Viren und Trojaner sowie das Handtieren in den Betriebssystem-Komponenten sind weder mein, noch das Spezialgebiet dieses Webangebots auf redirect301.de. Ich wollte es vor den ersten echten Hinweisen nur kurz klar stellen …

Mutationen des Bundespolizei-Trojaners

Natürlich verändern die Programmierer von Viren und Trojaner ihren „Zögling“. Die Jungs und Mädels sind ja nicht doof und im Internet sehr aktiv. Sobald erste Lösungen im Netz auftauchen, wird der Code angepasst; vielleicht ist meine Anleitung ja sogar in das Änderungsprotokoll der Trojaner-Weiterentwicklung eingeflossen – wer weiß.
So wurde beim BKA-Trojaner augenscheinlich aus der jashla.exe beispielsweise die mahmud.exe und die vasja.exe. Morgen heißt die Datei möglicherweise schon oktober.exe oder irgendwas mit … Der Name ist aus Sicht der Programmierer völlig egal. Mich hat hierbei sowieso gewundert, dass man nicht auf System-ähnliche Namen gesetzt hatte. Eine winsyst.exe oder exlporer.exe klingt aus meiner Sicht viel realer. Hier also die Augen offen halten!

Der Bundespolizei-Trojaner und Windows 7

Bei Windows 7 und Windows Vista scheint der Pfad in der Registry Computer\HKey_current_user\Software\Microsoft\Windows\currentversion\run zu lauten. Auch ein Blick unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run klingt viel versprechend. Der Schädling selbst lag in diesem Fall unter C:\USERS\(mein Username)\AppData\Roaming\mahmud.exe.

So kann auch eine Systemwiederherstellung durchaus das System wieder auf einen funktionierenden Zustand zurück verhelfen. Und wenn anschließend ein Systemcheck sowie eine entsprechende Sicherheitssoftware zum Einsatz kommt, dann ist vielleicht auch das eine Lösung. Habe ich nicht probiert, klingt aber nicht unvernünftig.

Genaues Arbeiten bei der Schädlingsbekämpfung

Punkt 2 ist, dass unglaublich vielen Leuten mit der Anleitung geholfen wurde. Die Anleitung wird also in der Mehrzahl der Fälle funktioniert haben und sicher auch weiteren Betroffenen helfen. Mir fiel bei Anfragen auf, dass oftmals nicht korrekt gelesen wurde oder man dachte, dass es ja auch ohne Schritt „X“ gehen müsste (ich denke dabei z.B. an eine E-Mail von Josef). Wichtig ist wirklich die Schritte und Pfade genau einzuhalten und ggf. lieber zu zweit oder zu dritt an der Entfernung des Trojaners zu arbeiten.
Es schadet sicher auch nicht, sich Stichpunkte zu machen, die einzelnen Schritte abzuhaken und vielleicht ein paar Fotos vom Bildschirm zu schießen. Aber bitte nicht von vorn auf den Bildschirm blitzen, das wird nichts!

PC-Service / Fachwerkstatt

Im Zweifel sollte der Rechner bzw. das Notebook in eine Fachwerkstatt gebracht werden. Ich gehe davon aus, dass hier Experten sitzen, die zum einen den Trojaner sicher entfernen und zum anderen künftige Attacken durch Softwarelösungen weitgehend zu verhindern wissen. Was das kosten wird kann ich schwer einschätzen. Ich hatte im Netz Preise um die 100 € beobachtet, was mir auch völlig korrekt erscheint.

Hier also vorher fragen und sich auch über die anstehenden Arbeiten informieren lassen. Ein Hardwaretausch oder die komplette Neuinstallation halte ich für unseriös. Ebenso sollte eine Beratung für eine entsprechende Securtity-Software erfolgen, die das Service-Center gleich mit installieren sollte. Das kostet natürlich extra, ich schätze um die 25 € + eine jährliche Lizenz für die Software.

Wie kommt der Trojaner auf den Rechner?

Bei meinem letzten „Fall“ hatte ich einige Screenshots angefertigt und bin auch Logprotokolle usw. durchgegangen. Die zuletzt besuchte Webseite war hier eine Online-Spieleseite mit dem Game „Dark Orbit“ und hier wurde eine Sponsoren-Anzeige o.ä. als letztes protokolliert. Ob es damit etwas zu tun hat, weiß ich nicht. Es lief auf dem Rechner AVIRA AntiVir in der kostenfreien Version. Hilft nicht viel weiter, oder!?

Wer den Trojaner bei sich entfernen konnte und wieder einen normalen Zugriff auf sein System hat, kann ja in der Ereignisprotokollierung von Windows oder einem eventuell laufenden Schutzprogramm mal nachsehen und Informationen dazu hier in den Kommentaren hinterlassen. Irgendwie muss doch die Quelle zu finden sein!

Ein sicheres System

Ich nutze auf meiner Windows-Installation Avira Internet Security und kann diese auch nur weiter empfehlen. Natürlich wird auch dies – genauso wenig wie Gurt und Airback im Auto vor einem schweren Unfall schützen – 100%ige Sicherheit bedeuten. Aber neben einer aktuellen Betriebssystem-Version, einem vernünftigen und stets aktuellen Browser und etwas Umsicht im WWW ist das sicher der richtige Schritt.
Das Arbeiten als Administrator ist normalerweise nicht notwendig, auch wenn es so unter Windows bequemer ist. Es bietet sich also an, einen unprivilegierten Nutzer unter Windows anzulegen, mit dem man im Internet unterwegs ist. Ich kann mir nicht vorstellen, dass man bei Windows als Nichtadministrator Änderungen – so wie beim Bundespolizei Trojaner geschehen – in der System-Registrierung hätte vornehmen können.

Da ich aber bis heute keine gesicherte Aussage darüber habe, über welchen Weg der Trojaner auf den jeweiligen Rechner gekommen ist, ist es sicher auch schwer zu sagen, dass man diese oder jene Webseiten meiden sollte.

Was hat die Bundespolizei mit dem Trojaner zu tun?

Natürlich nichts! Bei diesem Trojaner wurde lediglich mit der Angst der Betroffenen gespielt. Es wurde davon ausgegangen, dass auf diese Art der eine oder andere schnell das Geld überweist, was natürlich völliger Blödsinn ist. Hier nochmal: Kein Geld überweisen! Auch wenn der gesunde Menschenverstand mir sagt, dass das so blöd niemand sein kann, haben wohl doch eine ganze Reihe Leute gezahlt und sitzen nun weiter vor ihrer BKA-Warnmeldung.

Ärgerlich finde ich die Reaktion der Bundespolizei. Ich hätte erwartet, dass man selbst mit Informationen zu diesem Trojaner an die Öffentlichkeit geht. Auch bei den Antiviren-Herstellern sind mir nicht wirklich tiefgründige Hinweise begegnet. Vielleicht habe ich die entsprechenden Informationen auch übersehen …
Wer weitere Hinweise und Links – gern auch etwas offizielles von der Polizei & Co. – zur Beseitigung des Trojaners parat hat, sollte diese in den Kommentaren hinterlassen. Ich baue diese gern hier im Artikel ein.

Wie könnt ihr helfen?

Natürlich wie bisher auch durch Kommentare und Hinweise. Die PDF mit der 10 Schritte-Anleitung darf natürlich weiter vervielfältigt und auch im Internet veröffentlicht werden. Lasst aber bitte den Link zum Original-Artikel drin. Ach ja, ein Link … Wäre klasse, wenn ihr diesen, den ersten Artikel zum Bundespolizei-Trojaner oder direkt www.redirect301.de irgendwo verlinkt. Vielleicht bei Twitter, Facebook oder im eigenen Blog usw.