In dieser Variante des BKA-Trojaners wurde zwar auch „nur“ im Windows-Autostart eine entsprechende exe-Datei abgelegt und doch ging die Version bei meiner letzten Malware-Bekämpfungen noch einen Schritt weiter als „gewohnt“.
Man könnte sagen, dass die Jungs ihre Hausaufgaben gemacht und den Trojaner entsprechend weiter entwickelt haben. Das heißt für uns Nutzer, dass noch immer kein Ende in Sicht ist …
Auf keinen Fall die geforderten 100 € bezahlen!
Sondern hier, über die Google-Suche oder beim PC-Techniker des Vertrauens entsprechende Hilfe suchen. Die Entfernung der Schadsoftware ist in den meisten Fällen recht schnell vorgenommen und das Zahlen des geforderten Betrags ändert nichts an der Tatsache, dass der Rechner nicht mehr funktioniert.
Die auf dem Bildschirm zu sehende Behörde Bundespolizei National Cyber Crimes Unit gibt es nicht! Das sind Internet-Kriminelle, die mit diesen Methoden versuchen, Geld zu erpressen und augenscheinlich damit auch immer wieder Erfolg haben.
Beseitigung der Randerscheinungen
Da ich bereits hier auf redirect301.de sowie der unermütliche Simon auf seiner Webseite eine Vielzahl an Informationen zum Thema Ransomware-Entfernung veröffentlicht haben, möchte ich mich in diesem Artikel mehr auf die „Randerscheinung“ bei dieser BKA-Trojaner Variante konzentrieren.
Also als erstes den Trojaner mit Hilfe der oben verlinkten Anleitungen oder den unter www.bka-trojaner.de veröffentlichten Hilfestellungen entfernen und dann die zusätzlichen Nebenerscheinungen beheben.
Sollte im DOS-Eingabefenster (das war bei meiner letzten Aufräumaktion der Fall) der Aufruf von msconfig nicht funktionieren, dann hilft es sicherlich den kompletten Pfad zur msconfig.exe einzugeben.
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
In der Registry ist dieser unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE angegeben.
BKA-Trojaner - Im Namen der Bundespolizei werden PC-Nutzer erpresst
Wie wird der Task-Manager wieder aktiviert?
Ein Rechtsklick auf die Task-Leiste am unteren Bildschirmrand bzw. die Tastenkombination STRG + ALT + ENTF führen normalerweise zu einem Fenster, das den Aufruf des Task-Managers ermöglicht. Zum einen kann ein Administrator dies gewollt so konfigurieren, dass ein Nutzer den Task-Manager nicht aufrufen kann oder aber, wie im Fall des BKA-Trojaners, das vom Angreifer auch gezielt eingesetzt werden. Der Vorteil für den Hacker liegt auf der Hand: Der aktive Prozess des Virus bzw. des Trojaners lässt sich nämlich nicht ohne weiteres beenden.
1. Den Gruppenrichtlinien-Editor aufrufen
Unter Start / Ausführen den Gruppenrichtlinien-Editor mit gpedit.mscaufrufen.
Gruppenrichtlinien-Editor per gpedit.msc aufrufen
2. Die Strg + Alt + Entf – Optionen
Nach Benutzerkonfiguration / Administrative Vorlagen / System / Strg+Alt+Entf-Optionen navigieren und auf „Task-Manager entfernen“ doppelt klicken.
Gruppenrichtlinien-Editor (Strg + Alt + Entf - Optionen)
3. Die Task-Manager Eigenschaften
Im sich öffnenden Fenster „Nicht konfiguriert“ wählen und mit OK bestätigen.
Eigenschaften von Task-Manager entfernen
Jetzt sollte sich auch der Task-Manager wieder wie gewohnt aufrufen lassen …
Wer noch Fragen, Tipps oder Anregungen zu dieser Variante des BKA-Trojaners hat, kann gern an dieser Stelle einen Kommentar hinterlassen. Auch eine Verbreitung dieser Informationen per Facebook & Co. hilft sicher nicht nur dem eigenen Freundeskreis.
Also bei Windows XP funktioniert gpedit.msc nicht.
Ich habe das Problem mit der Systemwiederherstellung in Hilfe- und Support in Windows auf ein früheres Datum wieder hinbekommenm.
Habe die Screenshots, die hier im Artikel zu sehen sind, auf einem Windows XP Rechner gemacht. Auf Start klicken, Ausführen wählen und dann gpedit.msc eingeben.
Ich habe ein änlichen Problem, finde jedoch in der regedit den Eintrag nicht! Können Sie mir Helfen?
Geht’s dir um den Aufruf von msconfig?
Ich will hier kein Besserwisser sein aber all solch Geschichten würden nicht passieren, wenn Windows endlich von der Bildfläche verschwinden würde. Schöne Grüße aus NYC
Und dann? Sobald es sich für die „Bösen Jungs“ lohnt, werden eben entsprechende Trojaner (Viren oder was auch immer) für die anderen Betriebssysteme entwickelt.
Halloo ich kann den task menager nicht öffnen nd start auch nicht bitte hilfeee
ich hatte das Problem auch habe den pc dann im abgesicherten Modus neu Gestartet in dem ich ihn aus geschaltet habe ( Hinten den Knopf am PC umgelegt) bin dann auf Systemwiederherstellung gegangen und danach war alles wieder in Ordnung.
Damit befindet sich der Trojaner allerdings noch auf deiner Festplatte, du hast lediglich den automatischen Start des Schädlings (vorerst) außer Kraft gesetzt.
Nimm‘ mal noch ein Virenprogramm deines Vertrauens + Malwarebytes und scanne deinen kompletten Rechner.
Ausschalten kann man den Rechner auch, indem man den Power-Knopf mehrere Sekunden (5-10) gedrückt hält.
@ BlackBoy
Bitte dies hier beachten: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Also ich hab das problem auch … Kann im abgesicherten modus im autostart die .exe löschen und trotzdem kommt bei normalem start diese seite immer wieder … Habe auch schon von einer antiviren-cd gebootet aber kein fund einer schädlichen software … Was nun?
Sollte ich doch noch was finden mit welchem antiviren programm sollte ich deiner meinung nach nochmal nachgucken?
Und was schlägst du für ein anti-malwareprogramm vor?
Gibt es vielleicht im Autostart noch eine wpbt0.dll? Oder sonstige Dinge, die merkwürdig erscheinen …
Dann auch dieses Zeug dort entfernen und neu starten.
@ Daniel Weihmann
@ All
Ganz neu seit vorgstern im Repatoure (oder so ähnlich):
cgs8h0.exe
Siehe dazu auch Punkt P14.1 meiner Seite.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Und damit wäre es dann getan? Auch wenn antivir nichts findet?
Es gibt hier zahlreiche Kommentare in denen davon berichtet wurde, dass AnitVir X 2 Funde gemeldet und gelöscht hat. Ein weiterer Check mit Tool Y fand aber noch einmal 5 weitere Schädlinge.
Ich würde auf jeden Fall noch einen Malware-Check machen.
ich habe den virus auch seid gestern.
ich kann aber nicht im abgesicherten modus starten!! versuche es heute schon denn ganzen tag. bitte um hilfe
Kann ich dir nur eine Boot-CD empfehlen.
wie bitte kann man den task manager öffnen? so schnell ist man gar nicht wie das bild auftacht ich bitte dringend um hilfe danke schön lg DR.
Setzt doch den PC einfach um einen tag zurück, einfacher geht´s nicht…
Hab den Trojaner auch. Wie setzte ich den Laptop zurück ? Hab schon viele Varianten ausprobiert aber nichts hilft?
Schau mal hier @fred
konnte den Trojaner im Autostart über den abgesicherten Modus und dann den ccleaner zwar Lahm legen. Dann habe ich mit Simons Hilfe einige Scans gemacht und die schadhaften Dateien beseitigt. jedoch habe ich noch immer keinen Admin-Zugriff. Die Gruppenrichtlienien lassen sich nicht aufrufen um den Taskmanager wieder zu starten. Fehlermeldung: „gpedit.msc“ konnte nicht gefunden werden. stellen Sie sicher, dass Sie den Namen richtig eingegeben haben und wiederholen Sie den Vorgang. Kann mir jemand weiter helfen!!! Sonst läuft der Computer wieder gut.
Hallo an alle. Hatte heute oben angeführten Trojaner auf meinem Rechner und konnte ihn mithilfe versch. Anleitungen wohl beseitigen. Meine Frage: und jetzt? Ist mein PC weiterhin einem erhöhtem Risiko bzgl Phishing oder Ähnlichem ausgesetzt? Sollte ich das Betriebssystem neu installieren? Bitte um Tipps…Danke!
Hallo ich habe eine Frage ich habe mir auch einen Dieser Trojaner eingefangen, habe es mit im Abgesicherten Modus und Systemwiederherstellung geschafft den PC wieder ans laufen zu bringen, jetzt habe ich aber das Problem das alle meine Dateien neue Formate bekommen haben und ich nicht auf meine alten Fotos zurück greifen kann.
Kann mir bitte jemand helfen?
Danke im Voraus
Was meinst du mit neue Formate? Öffnet sich „nur“ dein Standard-Fotoprogramm nicht mehr wenn du einen Doppelklick auf ein Bild machst oder sind die Dateiendungen verschwunden?
nach Beseitigung der schädlichen Dateien ließen sich gpedit.msc und Taskmanager nicht mehr aufrufen. Man konnte sich also nicht mehr bestimmte administrative Berechtigungen ändern. Simon hatte mir empfohlen im Nachgang die entsprechende Win_version bei CT runter zu laden und überzu installieren (sind allerdings einige GB) Ich hoffe also, dass dies dann alleas wieder zum laufen bringt. Ich mach das in ca. 2 Wochen, da der Computer sonst macht was er soll und gebe Euch Bescheid ob es klappt.
@daniel : gibts die möglichkeit dich persönlich anzurufen…?
Hallo habe das gleiche problem wie Dirk ,bei mir sind die Foto´s auch alle in Datei so heist das Verzeichnis umbenannt,was mache ich jetzt?
Hallo, ich bekomme bei der Suche nach „gpedit.msc“ die Meldung, dass die Datei nicht gefunden werden kann. Was ist nun zu tun? Und muss ich auf noch weitere Probleme achten bzw. danach suchen? Was tut der Virus denn noch im Hintergrund? (ich habe den Virus vor ein paar Wochen mit Eurer Anleitung entfernen können). Viele Dank schon mal und bin gespannt!
Hat einwandfrei gemäß Anleitung geklappt!
Danke
Ich habe den Trojaner erfolgreich von einem befallenen Rechner entfernen können, seit dem Befall kann aber das E-Mail-Programm (Thunderbird unter Win7) keine Verbindung mehr zum Mailserver aufbauen – kann es da einen Zusammenhang geben und weiß jemand einen Rat?
Danke schon einmal im Voraus
Ich habe das jetzt auch eben mit der Bundespolizei bekommen wie mach ich das weg auf mein Windows 7
Schau dir mal diesen Artikel an @Alexander
https://www.redirect301.de/bka-virus-verhindert-abgesicherten-modus.html#windows-7
Hallo,
ich habe auch eine Variante gehabt, die den Taskmanager nicht öffnen läss (windows 7). Tipp: das Eingabefeld des Trojaners mit unzulässigen Zeichen (z.B. „^“) bombardieren (einfach eine Zeit die Taste gedrückt halten, dann loslassen). Der Prozess des Trojaners ist jetzt eine Weile „überfordert“ und der Taskmanager lässt sich nun über „strg + alt + entfernen“ öffnen…
Klasse @doze – Wie kommt man denn auf so was?
Als Nachtrag vllt ganz hilfreich: gpedit.msc gibt es unter XP Home NICHT!!
Hatte den Virus zwar nicht ab evtl hilft auch diese Tastenkombination:
STRG+UMSCHALT+ESC
Bei mir (windows 7) findet es bei Ausführen gpedit.msc nicht. und eine andere variante über regedit, geht auch nicht weil ‚Das Bearbeiten der Registrieung wurde duch den Administartor deaktiviert‘ . Was soll ich nun machen?
Hallo,
ich habe gestern auch eine Variante des Trojaners eingefangen. Taskmanager ist gesperrt. McAffee hatte den Trojaner entdeckt, doch der hat sich schneller in Windows breit gemacht als McAffe ihn entfernen konnte. Jetzt ist ein user von Dreien gesperrt, die beiden Anderen (einschließlich Admin) funktionieren einwandfrei. Der Taskmanager im befallenen user ist gesperrt. Ein Iso-Image von der Rechnereinrichtung (Win7) habe ich.
Kann ich eventuell ohne in die Eingeweide zu gehen und das Risiko, dass danach doch noch irgendwo versteckte Trojanerfunktionen lauern, nicht einfach den befallenen user löschen?
Falls ja, einfach im Admin über windows?
Und falls auch das funktionieren sollte, muss ich dannach noch irgendwelche Daten mit einem Shredder vollständig entfernen?
Vielen Dank für die Hilfe im voraus.
Kann ich über die funktionierenden user (
Hallo, ich habe ebenfalls diesen BKA-Trojaner. Hab schon alles versucht. Ich komm nicht in den taskmanager und nicht in die registry. Sobald Wlan verfügbar ist kommt nur der große Bildschirm mit Zahlungsforderung. Hab Malwarebytes drüber laufen lassen. Der hat einen Trojaner entdeckt und entfernt. Leider sind die Symptome geblieben. Habe den Kaspersky Windows unlocker runtergeladen, komme aber nicht ins Bootmeü um von CD zu booten. Bios ist gesperrt, da Firmenrechner. Hat noch jemand eine Idee? Vielen Dank
Offensichtlich ist das Zeug wieder sehr aktiv und modifiziert.
– Task-Manager kann nicht geöffnet werden
– Neustart hilft nicht
– Aber Benutzer wechseln geht:
Ich habe einen neuen Benutzer eingerichtet ohne Admin-Rechte.Darauf surfe ich. Erscheint die Sch… dann Strg+Alt+Entf. Benutzerwechsel zum Administrator. Systemwiederherstellung auf einen Wiederherstellungszeitpunkt zu dem der Rechner noch nicht befallen war ….. fertig.
Mir ist schleierhaft warum Microsoft kein Update liefert, das diesen A…. den Job vermiest. Sollte doch möglich sein, oder etwa nicht?
Hi
Ich hatte den Virus seit gestern Abend auf dem PC und habe einiges ausprobiert. Der PC (als er am Netz angeschlossen war) wurde natürlich auch sofort durch die bekannte Seite gesperrt und ich konnte nichts mehr machen.
Jetzt am Schluss habe ich den PC einfach vom Netz abgehängt und eine Systemwiederherstellung mit dem Speicherpunkt von vor 2 Tagen durchgeführt. Überraschenderweise läuft der PC jetzt wider! :)
Danke dieser Beitrag hat mit sehr geholfen!
Danke Danke Danke!!!
Hi Daniel.
Hab es genauso gemacht wie von dir beschrieben und es funktioniert!
Danke sehr!
Hey, einen super Post haben Sie hier verfasst. MFG
Hallo. Ich hatte auch diesen Trojana drauf. Hab mein Laptops im abgesicherten modus gestartet und mein virenprogramm durch laufen lassen. Hatte 31 funde, 8davon hat er in Quarantäne geschoben. Jetzt läuft das Laptop wieder normal. Ist der Trojaner jetzt weg? Bitte um Hilfe. Gruß Nadine
Nach einem Befall durch einen Trojaner würde ich zu einer Neuinstallation von Windows raten. Bei dir wurden 31 Schadprogramme gefunden … vielleicht hat die Software aber einen übersehen. Was ist eigentlich mit den 23 Funden, die nicht in Quarantäne verschoben wurden?
Auf jeden Fall das System mit Malwarebytes‘ und einem Antiviren-Programm deines Vertrauens (z.B. Kaspersky, Avira oder Eset) weitere intensive Scans unterziehen.
Guten Abend, Herr Weihmann!
Habe noch auf meinen älteren Laptop Windows XP drauf, der vom Trojaner befallen worden ist.
Ich habe probiert, nach den 10 Schritten vorzugehen, leider habe ich nicht verstanden, was mit dem Pfad (den man ja notieren sollte) gemeint war…
Habe nun dort Explorer.exe stehen, und finde nun nicht die Datei zum löschen…
gibt es noch eine Möglichkeit diesen Pfad zu finden?!
Herzlichen Dank
Michael
Die Artikel zum BKA-Trojaner sind leider für mich nicht aktuell zu halten. Mein letzter funktionierender Stand zur Bekämpfung des Schädlings ist hier https://www.redirect301.de/gvu-trojaner-entfernen-2013.html zusammengefasst (inkl. Video-Anleitungen).