Bundespolizei, BKA, GEMA – Trojaner entfernen

Gestern war es endlich so weit. Seit Monaten machen die obskuren Störenfriede in der Netzwelt auf sich aufmerksam. Wer nach ihnen sucht, findet unzählige Foren und Frage-Antwort-Seiten auf denen Betroffene Benutzer ihr Leid klagen. Entweder aus Unsicherheit warum sie sich denn mit den oberen Behörden anlegen, oder wohl weißlich den Schwindel erkannt und jetzt vor dem Problem stehend, wie die Schädlinge wieder vom heimischen Rechner herunter kommen.

Anleitungen gibt es viele. Sehr viele. Für einen Schädling der einheitlich unter dem Spitznamen „Anti-Bundestrojaner“ läuft, bedenklich viele. Das hat auch seinen Grund wie ich feststellen durfte.

Die Masche ist jedes Mal die gleiche und setzt auf Unwissenheit und Verunsicherung der Opfer. Über eine Sicherheitslücke, meist durch veraltete Programme oder einen infizierten Download, nistet sich der Schädling auf dem Rechner ein. Beim nächsten Neustart, schaut der Benutzer dumm aus der Wäsche.

Kaum dass der Rechner gestartet wurde, sitzt der Anwender nur noch vor einer einzelnen Seite die technische Daten des Rechners auflistet und behauptet man hätte illegale, möglicher Weise kinderpornographische Dateien auf dem Rechner fest gestellt. Um einer Strafanzeige zu entgehen, wird der Benutzer aufgefordert über Ukash oder einen anderen Online-Bezahldienst eine Summe von rund 100 Euro zu bezahlen. Einen Weg dies zu umgehen gibt es für Laien nicht. Gängige Tastaturkommandos und die Benutzeroberfläche werden durch den Trojaner gesperrt.

Software die auf diesem Weg Benutzer verunsichert und zu erpressen versucht gibt es viele. Man nennt diese Gattung in der Regel „Scareware“ (Scare steht im Englischen für ängstigen, erschrecken). Bekannt wurde sie durch falsche Antivirensoftware, die plötzlich hunderte Funde auf dem Rechner meldete und zum dringlichen Kauf des nutzlosen Programms drängte.

Benutzer mit Ahnung werden spätestens jetzt stutzig, während die gewünschten Opfer Panik bekommen. Die GEMA stellt also fest man habe illegale Dateien, sprich unerlaubt kopierte Musik auf dem Rechner? Nun die GEMA ist keine staatliche Organisation und gar nicht so tief verankert, als dass sie private Rechner ausspionieren dürfte ohne dabei selbst gewaltigen Ärger zu bekommen.

Die Bundespolizei oder das Bundeskriminalamt? Warum sollten diese Strafttäter auch noch vorwarnen und mit kleinsten „Lösegeldern“ vergessen was weitaus größere Folgen für Verbrecher hätte? Kinderpornographie? Verbreitung illegaler Downloads? Emails mit terroristischen Hintergrund? Nein da wird nicht freundlich vorgewarnt. Da stehen die Herren und Damen gleich mit Durchsuchungsbefehl vor der Haustüre und nehmen den kompletten Rechner, Datenträger und was sich sonst noch finden lässt mit.

Wege zur Beseitigung des Schädlings

Wie wird man diesen Störenfried wieder los? Eine Frage die sich pauschal nicht beantworten lässt. Es gibt mehrere Varianten, oft auch mit leicht veränderten Aussehen der vorgetäuschten Warnung. Mancher lässt sich sehr leicht beseitigen, für andere muss tiefer ins System eingegriffen werden. Allen bleibt gemein: Wirklich sicher kann man sich nur fühlen, wenn der Rechner neu aufgesetzt wird.

Der Trojaner lässt sich zwar in vielen Vielen Fällen nicht nur deaktivieren und auch löschen, ob er damit aber restlos vom System entfernt wurde, oder ob zum Beispiel eine Hintertür für Spammails oder Passwortdiebstähle offen bleibt, ist oft unklar. Kommen auf dem Rechner sensible Daten oder Bankgeschäfte zum Einsatz, ist anzuraten im Anschluss an die Bereinigung eine Datensicherung durch zu führen und eine Neuinstallation durch zu führen.

Zur Problemlösung: Abgesicherter Modus

Alle Arbeitsschritte haben gemein, dass der Benutzer die reguläre Arbeit und Werkzeuge seines Computers nicht nutzen kann. Um dem Schädling zu Leibe zu rücken, wird der absicherte Modus benötigt. Dieser lässt sich erreichen, indem einfach während der Start-Phase des Rechners, wiederholt F8 gedrückt wird, bis der Startvorgang mit einer entsprechenden Auswahl unterbrochen wird.

Der abgesicherte Modus verzichtet darauf die meisten Treiber, Dienste und automatisch startenden Programme zu laden, bremst somit auch Prozesse die viele Schädlinge benötigen um das System aktiv zu übernehmen. Dies geht allerdings auch zu Lasten der Bedienbarkeit und ist daher nur eine Notfalllösung. Produktives Arbeiten ist im abgesicherten Modus ausdrücklich nicht empfohlen.

Systemwiederherstellung gegen den Trojaner

In diesem einen Fall erwies sich die „Scareware“ zum Glück als nicht weiter wild. Der Rechner hatte wenige Tage vor der Infizierung einen Wiederherstellungspunkt angelegt. Über die damit verbundene Systemwiederherstellung spielt Windows selbstständig gängige Kerndateien auf den Stand des gewählten Zeitpunktes. Ein Verfahren das nicht immer, dafür aber auch für unerfahrene Anwender komfortabel helfen kann.

Nachdem das System um eine knappe Woche zurück gesetzt wurde, gab der Schädling Ruhe. Windows lies sich wieder im normalen Modus starten, ohne unmittelbar nach dem Hochfahren gekapert zu werden. Dies erlaubte die Suche nach verbliebenen Dateien des Trojaners, die durch Foren- und Blogkommentare bekannt waren.

Im Anschluss an diese Bereinigung wurden die Lücken geschlossen über die sich dieser und andere Schädlinge einen leichten Einstieg verschaffen konnten. Der Rechner wurde nur sporadisch und für die immer gleiche Tätigkeit genutzt. Dies schlug sich in den Programmen nieder. Viele Programme waren vor über einem Jahr zu letzt aktualisiert worden, mehrere Sicherheitsupdates fehlten komplett. Eine Antiviren-Suite mit Firewall existierte zwar, hatte die Laufzeit aber um mehr als ein Jahr überschritten.

Um das Risiko zukünftiger Infektionen zu minimieren, wurden die Windows-eigenen Updates eingespielt und der Rechner mehrmals erfolgreich neu gestartet. Anschließend wurden nicht benötigte Programme deinstalliert und die übrigen Programme auf den aktuellen Stand gebracht.

Wo wird geholfen?

Dieses Mal war es vergleichsweise einfach dem Schädling bei zu kommen. Nach knapp einer Stunde war alles erledigt und der Rechner wieder sicher nutzbar. Auch wenn praktisch keine sensiblen Daten vorhanden und das neu aufsetzen des Systems eine weitere Option gewesen wäre, muss es nicht immer ein Kahlschlag sein, sobald der Computer sich etwas eingefangen hat.

Gerade dieser Trojaner ist leider sehr vielfältig und tritt nicht nur optisch, sondern auch von seiner Programmierung her in vielen Varianten auf. Eine einheitliche Lösung gibt es nicht, will man den Computer anschließend so weiter nutzen wie er vor der Infektion gestellt war.

Dem Trojaner eine eigene Seite gewidmet hat https://www.bundes-trojaner.de/. Mit zahlreichen Screenshots dokumentiert, werden für unterschiedliche Lösungswege für die jeweiligen Computersysteme angeboten.

Ebenfalls gut verständlich und in leicht nachvollziehbaren Schritten formuliert ist http://www.redirect301.de/bundespolizei-trojaner-entfernen.html.

Wird es hakeliger, dann beschreibt http://kunden.pp4it.de/bka-entfernung.php sehr ausführlich, tiefgreifende Schritte um der Lage Herr zu werden. Laien möchte ich von dieser Hilfestellung abraten. Die einzelnen Arbeitsschritte setzen trotz guter Erklärung ein gewisses Verständnis voraus und greifen tief in das System ein.

Es gibt einen Kommentar

Verfasse einen Kommentare

Don't worry. We never use your email for spam.