Es war ja eigentlich zu erwarten, dass es auch beim Befall durch den Bundespolizei-Trojaner irgend­wann dem be­troffenen Rechner unmöglich gemacht wird, den Task-Manager zum abschießen der Malware einzusetzen.
In dieser Variante des BKA-Trojaners wurde zwar auch “nur” im Windows-Autostart eine entsprechende exe-Datei abgelegt und doch ging die Version bei meiner letzten Malware-Bekämpfungen noch einen Schritt weiter als “gewohnt”.
Man könnte sagen, dass die Jungs ihre Hausaufgaben gemacht und den Trojaner entsprechend weiter entwickelt haben. Das heißt für uns Nutzer, dass noch immer kein Ende in Sicht ist …

Auf keinen Fall die geforderten 100 € bezahlen!

Sondern hier, über die Google-Suche oder beim PC-Techniker des Vertrauens entsprechende Hilfe suchen. Die Entfernung der Schadsoftware ist in den meisten Fällen recht schnell vorgenommen und das Zahlen des geforderten Betrags ändert nichts an der Tatsache, dass der Rechner nicht mehr funktioniert.
Die auf dem Bildschirm zu sehende Behörde Bundespolizei National Cyber Crimes Unit gibt es nicht! Das sind Internet-Kriminelle, die mit diesen Methoden versuchen, Geld zu erpressen und augenscheinlich damit auch immer wieder Erfolg haben.

Beseitigung der Randerscheinungen

Da ich bereits hier auf redirect301.de sowie der unermütliche Simon auf seiner Webseite eine Vielzahl an Informationen zum Thema Ransomware-Entfernung veröffentlicht haben, möchte ich mich in diesem Artikel mehr auf die “Randerscheinung” bei dieser BKA-Trojaner Variante konzentrieren.

Also als erstes den Trojaner mit Hilfe der oben verlinkten Anleitungen oder den unter www.bka-trojaner.de veröffentlichten Hilfestellungen entfernen und dann die zusätzlichen Nebenerscheinungen beheben.
Sollte im DOS-Eingabefenster (das war bei meiner letzten Aufräumaktion der Fall) der Aufruf von msconfig nicht funktionieren, dann hilft es sicherlich den kompletten Pfad zur msconfig.exe einzugeben.

C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

In der Registry ist dieser unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE angegeben.

BKA-Trojaner - Im Namen der Bundespolizei werden PC-Nutzer erpresst

BKA-Trojaner – Im Namen der Bundespolizei werden PC-Nutzer erpresst


Wie wird der Task-Manager wieder aktiviert?

Ein Rechtsklick auf die Task-Leiste am unteren Bildschirmrand bzw. die Tastenkombination STRG + ALT + ENTF führen normalerweise zu einem Fenster, das den Aufruf des Task-Managers ermöglicht. Zum einen kann ein Administrator dies gewollt so konfigurieren, dass ein Nutzer den Task-Manager nicht aufrufen kann oder aber, wie im Fall des BKA-Trojaners, das vom Angreifer auch gezielt eingesetzt werden. Der Vorteil für den Hacker liegt auf der Hand: Der aktive Prozess des Virus bzw. des Trojaners lässt sich nämlich nicht ohne weiteres beenden.

1. Den Gruppenrichtlinien-Editor aufrufen

Unter Start / Ausführen den Gruppenrichtlinien-Editor mit gpedit.mscaufrufen.

gpedit.msc

Gruppenrichtlinien-Editor per gpedit.msc aufrufen

2. Die Strg + Alt + Entf – Optionen

Nach Benutzerkonfiguration / Administrative Vorlagen / System / Strg+Alt+Entf-Optionen navigieren und auf “Task-Manager entfernen” doppelt klicken.

Gruppenrichtlinien-Editor

Gruppenrichtlinien-Editor (Strg + Alt + Entf – Optionen)

3. Die Task-Manager Eigenschaften

Im sich öffnenden Fenster “Nicht konfiguriert” wählen und mit OK bestätigen.

Task-Manager Eigenschaften

Eigenschaften von Task-Manager entfernen

Jetzt sollte sich auch der Task-Manager wieder wie gewohnt aufrufen lassen …

Wer noch Fragen, Tipps oder Anregungen zu dieser Variante des BKA-Trojaners hat, kann gern an dieser Stelle einen Kommentar hinterlassen. Auch eine Verbreitung dieser Informationen per Facebook & Co. hilft sicher nicht nur dem eigenen Freundeskreis.