Menü

BKA Trojaner entfernen - Schritt für Schritt

BKA Trojaner
BKA Trojaner
Seit 8 Jahren infiziert der BKA Trojaner (auch als Bundespolizei Virus bekannt) täglich tausende Rechner. Der BKA Trojaner ist eine so genannte Ransomware-Malware, die eine gefälschte Meldung des Bundeskriminalamtes anzeigt, die besagt dass der Computer – aufgrund von pornografischem Material, Spam oder einer Urheberrechtsverletzung – gesperrt wurde. Der Trojaner sperrt sämtlichen Zugriff auf Ihren Computer (Dateien, Programme). Bei jedem Versuch auf die Windows-Oberfläche zuzugreifen, wird der Sperrbildschirm angezeigt und Sie werden dazu aufgefordert eine Geldstrafe in Höhe von 100 Euro zu zahlen. Per Bitcoin, Paysafecard, Ukash oder anonymisierten Internetgutscheinen.

Darüber hinaus greifen einige Versionen des BKA Trojaners auf die Webcam zu und blenden im Sperrbildschirm ein Live-Bild der Webcam ein. Das Design des Sperrbildschirms wird von den Cyber-Kriminellen regelmäßig geändert. Einige Versionen nutzen das Logo der Bundespolizei und der GVU.

Lösegeld nicht bezahlen

Tatsächlich handelt es sich nicht um eine Nachricht des Bundeskriminalamtes, der Vorwurf der rechtwidrigen Handlung dient lediglich der Einschüchterung und auch nach der Zahlung des Betrages wird der Computer sicherlich nicht von der Schadsoftware befreit. Wer Opfer eines Erpresser-Trojaners geworden ist, sollte niemals auf die Lösegeldforderung eingehen. Das Geld ist weg, die Betrüger freuen sich, und an ihrem Rechner ändert sich rein gar nichts.

Den sogenannten BKA-Trojaner gibt es in vielen unterschiedlichen Varianten und das schon seit längerer Zeit. Mit etwas Sachverstand gibt es Mittel und Wege, die schädliche Software auf Ihrem Rechner zu identifizieren und zu löschen. Wir erklären Ihnen auf dieser Seite, wie Sie den BKA Trojaner entfernen - ohne Zahlung des geforderten Lösegeldes.

Wichtig: Diese Internetseite ist keine offizielle Seite einer Behörde.

Lösch-Anleitungen

Welche Trojaner-Variante hat Ihren Computer infiziert? Alle Varianten anzeigen

Wir würden uns sehr freuen, wenn Betroffene an dieser Umfrage teilnehmen würden.

Entfernen können Sie den BKA Trojaner (unter Windows) per Live-CD, per Systemwiederherstellung oder manuell. Bitte führen Sie alle Schritte in der richtigen Reihenfolge durch. Wenn Sie Fragen haben oder an einer Stelle nicht weiterkommen, brechen Sie die Entfernung ab und kontaktieren Sie uns. Entschlüsselungs-Programme haben wir unter dem Navigationspunkt "Entschlüsselungs-Tools" für Sie zusammengefasst. Sind auf dem befallenen Computer noch ungesicherte Daten (Fotos, Dokumente etc.), sollten Sie diese vor der eigentlichen Systemreinigung in Sicherheit bringen. Wie das geht, erfahren Sie hier.

Erpresservirus auf Android

Backup machen - vor der Bereinigung

Vor der Bereinigung Ihres Computers sollten Sie Ihre Daten sichern. Sehr gut ist die Datensicherung per ComputerBild Notfall CD oder per Knoppix Live CD.

Tipp: Eine Datensicherung ist generell die beste Vorsorge für eine sehr breite Palette an Problemen mit dem Computer. Die steigenden Zahl von Erpresser-Trojanern macht deutlich, dass es um die Datensicherung offensichtlich im Allgemeinen eher schlecht bestellt ist: Denn jedem, der seine Daten ordnungsgemäß gesichert hat, kostet die Drohung des Erpressers nur ein müdes Lächeln - er stellt seine böswillig gesperrten Daten einfach wieder her und arbeitet weiter. Sicher Sie Ihre für Sie wichtigen Dateien (Fotos, Videos, Unterlagen, etc.) in Regelmäßigen Abständen z.B. auf externen Festplatten, CD-Roms oder Online-Diensten. Windows zum Beispiel bietet auch verschiedene Möglichkeiten, Sicherheits-Backups zu erstellen.

So entfernen Sie den BKA Trojaner per Live-CD

Kaspersky Notfall CD
Kaspersky Notfall CD
Es gibt inzwischen eine Vielzahl von Versionen des BKA Trojaners. Wir empfehlen die System-Bereinigung per Live-CD. Manuelle Löschanleitungen überfordern unerfahrene Computernutzer und beziehen sich nur auf einzelne Versionen des BKA Trojaners. Macht der Nutzer ein Fehler bei der manuellen Bereinigung / nutzt eine falsche Anleitung (falsche Trojaner-Version), werden möglicherweise nicht alle Fragmente des Schädlings entfernt.

Bei der System-Bereinigung per Live-CD untersucht eine spezielle Antivirensoftware den Rechner und bereinigt diesen völlig automatisch. Bootfähige Live CDs stellen beim Virenscan in der Regel ein sehr wirksames Mittel dar, weil damit auch viele Tarn-Aktionen von Malware durchdrungen werden können, die ansonsten während eines Scans bei laufendem Betriebssystem noch wirksam sein könnten.

Wichtig: Eine Live-CD sollte immer auf dem aktuellen Stand sein. In der Regel ist eine Aktualisierung der Virendatenbank nach dem Start der Live-CD möglich.

Hier eine Übersicht der zuverlässigsten Live-CDs (inkl. Anleitungen). Wenn wir Ihnen kostenlos eine Live-CD zusenden sollen (per Post), kontaktieren Sie uns einfach.

Alternativ lassen sich einige Versionen des Trojaners per Systemwiederherstellung entfernen.

Den BKA Trojaner per Systemwiederherstellung entfernen

In sehr vielen Fällen hilft bei Windows-Rechnern quasi als Erste-Hilfe-Maßnahme, den Rechner auf einen früheren Zeitpunkt zurückzusetzen. Einen anschließenden Komplett-Scan des Rechners empfehlen wir aber in jedem Fall!

Anleitung (Systemwiederherstellung):

Video: Den Trojaner per Systemwiederherstellung entfernen
  1. Drücken Sie beim Start Ihres Computers die F8-Taste Ihrer Tastatur. Es erscheinen einige Startoptionen, wählen Sie die Startoption Abgesicherter Modus mit Eingabeaufforderung.

    Windows Startoptionen
    Windows Startoptionen
  2. Geben Sie den Befehl rstrui.exe ein und drücken Sie die Enter-Taste.
  3. Wählen Sie einen älteren Systemwiederherstellungspunkt. Der Computer wird dann in den Zustand vor der Trojaner-Infizierung zurückversetzt.
  4. Installieren Sie einen anständigen Virenscanner, der gute Testergebnisse aufweist. Sorgen Sie für seine richtige Konfiguration und schalten Sie den Virenscanner nach Möglichkeit nie aus. Wenn es Sicherheitsupdates für den Virenscanner gibt, installieren Sie diese möglichst immer sofort. Mehr Informationen auf AV-Test.org oder in unserem Virenscanner Vergleich.

Den BKA Trojaner manuell entfernen

Wichtig
Diese Anleitung funktioniert nur bei der Version 1.01 des BKA-Trojaners.
  1. Starten Sie Ihren Computer und drücken Sie die Taste F8 mehrmals. Es erscheint ein schwarzer Bildschirm mit diversen Startoptionen. Wählen Sie die Option Abgesicherter Modus (per ENTER-Taste).
  2. Öffnen Sie den Windows-Explorer (Windows-Taste + E-Taste) und gehen Sie in das Windows-Laufwerk C:\

    Oben rechts können Sie den lokalen Datenträger C:\ durchsuchen. Suchen Sie nach *.exe

    Trojaner Datei suchen
  3. Nach mehreren Minuten werden Ihnen sämtliche .exe-Dateien angezeigt. Sortieren Sie die .exe-Dateien nach dem Änderungsdatum (Rechte Maustaste in einem freien Bereich -> Sortieren nach -> Änderungsdatum) und ändern Sie die Ansicht auf Details (Rechte Maustaste in einem freien Bereich -> Ansicht -> Details).
  4. Die zuletzt geänderten .exe-Dateien werden nun ganz oben angezeigt. Die Trojaner .exe-Datei sollte sich also sehr weit oben befinden, wenn der Rechner erst vor kurzem infiziert wurde. Die Datei hat eine kryptische Bezeichnung (beispielsweise "xaoaznqmdsds") und trägt das Standard .exe-Icon (siehe Bild).

    infizierte Datei im Explorer
    Die infizierte Datei im Windows Explorer suchen

    Haben Sie eine verdächtige Datei gefunden (Bekannte .exe-Dateien des BKA-Trojaners), klicken Sie mit der rechten Maustaste auf die Datei und anschließend auf Eigenschaften -> Details. Finden sich dort kaum Angaben über Hersteller oder Produktname, handelt es sich sehr wahrscheinlich um die Trojaner-Datei.

    Datei Details
    Details (Eigenschaften) der Datei
  5. Löschen Sie die verdächtige Datei!
  6. Sehr wahrscheinlich hat sich der Trojaner auch in die Registrierungsdatenbank von Windows eingenistet. Öffnen Sie die Registrierungsdatenbank (Suche nach regedit) und klicken Sie sich zu dem Verzeichnis HKEY_CURRENT_USER\SOFTWARE\ Microsoft\Windows\CurrentVersion\ - Prüfen Sie dort die Verzeichnisse Run, RunOnce und RunServices auf auffällige Einträge (langer, sinnloser Name) und entfernen Sie diese. Hier listen wir bereits bekannte Einträge des Trojaners auf.

    Registrierungsdatenbank von Windows überprüfen
    Die Registrierungsdatenbank von Windows

    Gleiches gilt für auffällige Einträge in den Verzeichnissen Run, RunOnce, RunOnceEx, RunServices und RunServicesOnce unter HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\
  7. Der Trojaner sollte nun gelöscht sein. Starten Sie Ihren Computer neu und prüfen Sie den Computer mit einem guten Virenschutz, zum Beispiel mit der Internet Security von Bitdefender.

So schützen Sie sich gegen Schädlinge wie dem BKA Trojaner

Gerade haben Sie noch fröhlich im Internet gesurft, da stürzt plötzlich der Computer ab und nichts geht mehr. Was ist passiert? Vermutlich haben Sie sich einen Virus eingefangen. Das kann ohne ein vernünftiges Virenschutz-Konzept schnell einmal passieren. Gefährlicher sind jedoch Angriffe, die Sie zunächst gar nicht bemerken. So haben Datendiebe möglicherweise Ihre Kreditkartennummer abgefangen und kaufen jetzt munter auf Ihre Kosten ein. Wer ungeschützt im Internet surft, setzt sich großen Gefahren aus. Ein Virenscanner gehört daher zur Grundausstattung jedes Computers. Die Software überwacht zum einen die Festplatte, achtet gleichzeitig aber auch auf verdächtige Aktivitäten, die auf eine bereits eingedrungene Schadsoftware hinweisen, wie etwa Änderungen am Dateisystem.

Wenn Ihr Virenschutz-Konzept jedoch nur darauf basiert, dass Sie sich auf einen Virenscanner verlassen, werden Sie vermutlich früh oder später trotzdem von einem Schädling getroffen. Ein paar Sicherheitstipps sollten Sie unbedingt beachten:

  • Malwarebefall über infizierte E-Mail-Anhänge ist nach wie vor keine Seltenheit. Abhilfe: Öffnen Sie keine E-Mails, über deren Herkunft Sie nicht Bescheid wissen. Und Finger weg von unseriösen Gratisangeboten und Gewinnspielen. Es handelt sich dabei meist um pure Abzocke - zur kostengünstigen Sammlung von E-Mail Adressen. Security Suites enthalten sehr oft Module, die vor bösartigen Mail-Anhängen, Webseiten und Abzockfallen warnen oder diese sogar blockieren.

    Am besten geben Sie auch auf sozialen Netzwerken niemals persönliche Daten wie Name, Adresse, Telefonnummer, E-Mail-Adresse, etc. bekannt.
  • Die meisten Viren schleusen sich heutzutage per Drive-by-Download in das Computer-System. Bei dieser Art von Infizierung wird dem Benutzer sozusagen im Vorbeifahren ein Exploit-Skript installiert. Möglich ist das über Schwachstellen im Browser oder über aktive Inhalte (z.B. Java Script, Flash). Selbst auf seriöse Internetseiten ist man vor dieser Art von Infizierung nicht sicher! Diese könnten gehackt und anschließend dazu genutzt werden, Schadcodes per Drive-by-Download zu verbreiten.

    So schützen Sie sich vor Drive-by-Infizierungen:

    1. Surfen Sie nicht mit Administratorenrechten. Nutzen Sie zum Surfen ein Windows-Gastkonto.
    2. Halten Sie Ihren Browser + Browsererweiterungen immer aktuell.
    3. Starten Sie Ihren Browser in einer Sandbox (zum Beispiel mit Sandboxie).
    4. Installieren Sie die Firefox Erweiterungen NoScript und AdBlock Plus (https://adblockplus.org/de/).
    Sehr bekannt für Drive-by-Viren sind illegale Streaming-Portale. Meiden Sie solche Internetseiten!
  • Ihre persönlichen Daten wie Bilder, Videos, Texte etc. stellen sicherlich einen hohen individuellen Wert dar. Nicht immer können diese Daten bei der Bereinigung eines mit Malware befallenen Computers gerettet werden und sind somit unwiederbringlich verloren. Daher sollten Sie Ihre wichtigen Dateien unbedingt regelmäßig auf externe Medien sichern.
  • Weitere Virenschutz-Tipps finden Sie hier.