Tech-Blog seit 2010
Daniel Weihmann
Bundespolizei Trojaner entfernen

Bundespolizei Trojaner entfernen

Von Daniel Weihmann · · 3.955 Kommentare

"Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!" - so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows-XP-Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei? Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres Deutsch als "Es ist die ungesetzliche Tätigkeit enthüllt" zu. Und ein Freikauf in Höhe von 100 Euro via Ukash ist auch nicht ganz die deutsche Gesetzeslage.

Wichtig: Dieser Artikel stammt aus dem Jahr 2011 und beschreibt die Entfernung des damaligen Bundespolizei-Trojaners unter Windows XP, Vista und 7. Die Anleitung funktioniert grundsätzlich auch für spätere Varianten (GVU-Trojaner, GEMA-Trojaner). Moderne Ransomware wie Locky, WannaCry oder aktuelle Erpressungstrojaner erfordern andere Vorgehensweisen.

Wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie.

Die ersten Schritte

Ruhe bewahren. Es ist nicht die Bundespolizei, die hier einen Virus installiert hat. Das BKA hat dazu offizielle Warnmeldungen herausgegeben. Hinter der Meldung steckt eine kriminelle Vereinigung, die versucht, an schnelles Geld zu kommen. Der Rechner muss nicht platt gemacht werden und es gehen keine Daten verloren.
  1. Beweise sichern: Am besten ein Foto von der Meldung anfertigen. (Optional - dem Virus ist diese Aktion egal.)
  2. Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (Ebenfalls optional.)
  3. Internetverbindung trennen - Netzwerkkabel herausziehen oder WLAN deaktivieren.
  4. Etwas Zeit nehmen und diese Anleitung befolgen. Die Schritte sind einfach beschrieben und auch als Laie zu schaffen.

Anleitung zum Löschen des Bundespolizei-Virus

Bundespolizei Virus - Bildschirm eines infizierten Windows PCs
Bundespolizei Virus - Bildschirm eines infizierten Windows PCs

Schritt 1: Abgesicherten Modus starten

  1. Rechner einschalten und sofort im Sekundentakt die Taste F8 drücken (noch vor dem Windows-Logo), bis eine Auswahlliste erscheint.
  2. Mit den Pfeiltasten die Option "Abgesicherter Modus mit Eingabeaufforderung" wählen und mit Enter bestätigen.
Windows im abgesicherten Modus starten
Windows im abgesicherten Modus starten
Abgesicherter Modus blockiert? Neuere Varianten des Trojaners verhinderten den abgesicherten Modus. In diesem Fall half der Start von einer Boot-CD (z.B. Hiren's BootCD oder Kaspersky Rescue Disk) oder eine Systemwiederherstellung per Windows-Installations-DVD.

Schritt 2: Registry bearbeiten

  1. Windows startet in einer Minimal-Konfiguration. Es öffnet sich die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabe).
  2. Den Befehl regedit eingeben und Enter drücken.
  3. In der Registry zum folgenden Pfad navigieren:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  4. Auf der rechten Seite den Schlüssel Shell suchen. Dessen Wert enthält den Pfad zur Schadsoftware, z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe, 0_0u_l.exe).
  5. Den Pfad notieren, damit die Datei anschließend gelöscht werden kann.
  6. Doppelklick auf Shell, den Pfad zum Virus löschen und durch Explorer.exe ersetzen.
Achtung: Nicht den Registry-Eintrag Shell selbst löschen - der wird von Windows gebraucht. Nur den Wert (den Pfad zur Schadsoftware) durch Explorer.exe ersetzen.
Windows-Registry - Pfad zur jashla.exe
Windows-Registry - Pfad zur jashla.exe
Shell steht bereits auf Explorer.exe? Bei einigen Varianten (vor allem unter Windows Vista und 7) stand der Schlüssel unter HKEY_CURRENT_USER statt HKEY_LOCAL_MACHINE. Prüfen Sie beide Pfade. Wenn Shell überall korrekt ist, hilft eine Systemwiederherstellung: im DOS-Fenster rstrui.exe eingeben und einen Wiederherstellungspunkt vor der Infektion wählen.

Schritt 3: Schadsoftware von der Festplatte löschen

Der Start des Trojaners ist jetzt verhindert. Aber die Datei liegt noch auf der Festplatte.

  1. Im DOS-Fenster Explorer.exe eingeben. Windows sieht jetzt fast wieder normal aus.
  2. Zum zuvor notierten Pfad navigieren oder die Windows-Suche nutzen, um die Datei zu finden (z.B. jashla.exe, mahmud.exe).
  3. Die Datei löschen. Der Dateiname hatte oft zusätzliche Zeichen, z.B. jashla.exe.1234567.pd.

Alternativ: Strg + Alt + Entf drücken, unter "Anwendungen" auf "Neuer Task" klicken und zum Pfad navigieren.

Schritt 4: Neustart und Virenprüfung

Den Rechner ganz normal neu starten. Hat alles geklappt? Dann ist der Spuk erst mal vorbei.

Jetzt unbedingt einen vollständigen Virenscan durchführen. Der Trojaner hat möglicherweise weitere Schadsoftware nachgeladen. Ein gründlicher Scan mit einem aktuellen Antivirenprogramm ist daher unverzichtbar.

Warum "erst mal" vorbei?

Der Trojaner kam nicht von allein auf die Festplatte. Meistens war es eine E-Mail mit einem vermeintlichen PDF-Anhang, eine manipulierte Webseite oder eine infizierte Datei aus einer unseriösen Quelle.

Um sich künftig zu schützen:

Varianten des Bundespolizei-Trojaners

Zwischen 2011 und 2015 tauchten zahlreiche Varianten auf, die alle nach demselben Prinzip funktionierten: Bildschirm sperren, eine offizielle Behörde vortäuschen und Geld per Ukash oder Paysafecard fordern.

VarianteJahrBesonderheit
Bundespolizei-Trojaner2011Erste Version, 100 Euro per Ukash
BKA-Trojaner2011-2012Verschiedene Versionen mit BKA-Logo
GVU-Trojaner2013Sperrte auch den abgesicherten Modus
GEMA-Trojaner2012-2013Fälschte eine GEMA-Meldung wegen Urheberrecht
Android-Variante2015Browser-basiert auf Smartphones, Löschen der Browser-Daten half

Screenshots aus der Zeit des Trojaners

Zeitdokument 2011-2013. Die folgenden Screenshots stammen aus den Originalartikeln, die zwischen 2011 und 2013 auf redirect301.de erschienen sind. Sie zeigen die verschiedenen Varianten des Sperrbildschirms und die Schritte zur Entfernung.
Bundespolizei Trojaner - Sperrbildschirm
Die gefälschte Bundespolizei-Meldung
BKA Trojaner Sperrbildschirm
BKA-Trojaner - Variante mit Webcam-Bild
Windows blockiert Trojaner
"Ihr Windows System ist blockiert"
GVU Trojaner Sperrbildschirm
GVU-Trojaner (2013)
BKA Pressestelle Trojaner
Variante mit "Bundeskriminalamt Pressestelle"
BKA Trojaner Code
Ukash-Eingabefeld für den "Freikauf"
Windows XP Registry bearbeiten
Registry-Bearbeitung unter Windows XP
Registry Shell Schlüssel
Der Shell-Schlüssel in der Registry

Häufige Fragen

Kommt der Bundespolizei-Trojaner heute noch vor?

In seiner ursprünglichen Form nicht mehr. Die Ukash- und Paysafecard-Zahlungswege, die der Trojaner nutzte, wurden eingestellt. Die Nachfolger sind moderne Ransomware-Varianten, die Dateien verschlüsseln und Lösegeld in Bitcoin fordern. Diese lassen sich nicht einfach per Registry-Bearbeitung entfernen.

Ist die Anleitung noch aktuell?

Die beschriebene Methode funktioniert für alle Trojaner-Varianten, die den Bildschirm sperren, ohne Dateien zu verschlüsseln. Für verschlüsselnde Ransomware hilft sie nicht. Im Zweifelsfall einen IT-Fachmann hinzuziehen.

Was ist der Unterschied zum "Bundestrojaner"?

Der echte Bundestrojaner (offiziell: Quellen-TKÜ) ist eine staatliche Überwachungssoftware der deutschen Behörden. Der hier beschriebene "Bundespolizei-Trojaner" ist eine kriminelle Schadsoftware, die sich nur als behördliche Meldung ausgibt. Die beiden haben nichts miteinander zu tun.

Verwandte Artikel

Kommentararchiv 3955

Fast 4.000 Kommentare zwischen 2011 und 2019 - eine der längsten Diskussionen im deutschsprachigen Internet zu diesem Thema. Der Großteil der Kommentare stammt aus den Jahren 2011 (2.114) und 2012 (1.600), als die Infektionswelle ihren Höhepunkt hatte.

Die häufigsten Dateinamen - Die Schadsoftware hieß je nach Variante jashla.exe, mahmud.exe oder 0_0u_l.exe und versteckte sich im AppData-Ordner des Benutzerprofils. Hunderte Leser bestätigten, dass sie den Trojaner dort gefunden und gelöscht haben.

Registry-Schlüssel Shell - Viele berichteten, dass der Schlüssel unter Winlogon bereits korrekt auf Explorer.exe stand. In diesen Fällen half eine Systemwiederherstellung per rstrui.exe aus dem abgesicherten Modus. Windows Vista und 7 Nutzer fanden den Eintrag häufiger unter HKCU statt HKLM.

Abgesicherter Modus blockiert - Ab 2013 tauchten neue Varianten auf (GVU-Trojaner, GEMA-Trojaner), die auch den abgesicherten Modus sperrten. Die Community empfahl hier den Start von einer Boot-CD wie Hiren's BootCD oder Kaspersky Rescue Disk.

Android-Variante ab 2015 - Auch Smartphone-Nutzer meldeten sich mit einer Browser-basierten Sperrseite. Hier reichte meist das Löschen der Browser-Daten oder ein Neustart im abgesicherten Modus.

Bezahlung und Polizei - 53 Kommentare drehten sich um die Frage, ob man zahlen soll (niemals!). 251 Leser fragten, ob eine Anzeige bei der Polizei sinnvoll ist. Antwort aus der Community: Anzeige ja, aber die Chancen auf Ermittlungserfolg waren gering.

Danksagungen - 468 Leser bedankten sich ausdrücklich dafür, dass die Anleitung funktioniert hat. Ein wiederkehrender Hinweis: Nach der Entfernung unbedingt einen vollständigen Virenscan durchführen, da der Trojaner oft weitere Schadsoftware nachgeladen hatte.