Erpressungsversuch durch BKA-Trojaner | Hilfe bei www.botfrei.de

Im Internet kursiert zur Zeit ein neues Schadprogramm, das versucht den unbedarften Anwender zu erpressen. Alleine der Besuch einer infizierten Webseite reicht aus, um sich über einen so genannten Drive-by-Exploit mit dem BKA-Trojaner zu infizieren.

BKA TrojanerIst dieser Virus einmal auf dem Rechner installiert, so öffnet sich ein bildschirmfüllendes Pop-Up-Fenster, welches den Nutzer zur Zahlung einer vermeintlichen „Strafe” auffordert (siehe Bild, links). Hierbei wird behauptet, dass der Computer an strafbaren Handlungen, insbesondere im Zusammenhang mit der Verteilung kinderpornografischen Materials sowie dem Versand von E-Mails mit terroristischem Hintergrund beteiligt gewesen sein soll. Aufgrund dieser Umstände sei der Computer durch die Bundespolizei bzw. das Bundeskriminalamt gesperrt worden. Um sich „freizukaufen”, soll der Benutzer nunmehr binnen 24 Stunden einen Betrag in Höhe von 100 Euro mittels des digitalen Bezahldienstes „uKash” bezahlen, andernfalls werde die Festplatte gelöscht.

Bei der Infektion verändert der Trojaner den PC so, dass der Zugriff auf den Desktop fortan blockiert wird und kein Arbeiten mehr möglich ist. Nach aktuellem Kenntnisstand läßt sich das Schadprogramm über eine „Boot-CD”, wie z.B.  die „Rescue Disk 10” von Kaspersky, entfernen (http://support.kaspersky.com/de/viruses/rescuedisk).

Aufgrund der durch diesen Trojaner hervorgerufenen Unsicherheit vieler Bürger, stehen auf der Webseite des Anti-Botnet-Beratungszentrums (http://www.botfrei.de) Hinweise zur Desinfektion bereit. Darüberhinaus stehen die Experten der Beratungshotline Mo-Sa zwischen 9 und 21 Uhr unter der Sonder-Rufnummer 0231/1892 650 (zum deutschen Festnetztarif) für jeden Internetnutzer telefonisch zur Verfügung.

Die telefonische Beratungshotline steht sonst nur den Kunden der Internetzugangsanbieter zur Verfügung, die Partner des Anti-Botnetz-Beratungszentrums sind. Es handelt sich dabei um eine Initiative des Verbands der Deutschen Internetwirtschaft (eco), des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie einiger Internetprovider wie 1&1. Mit Hilfe des Beratungszentrums sollen Computer besser gegen Botnet-Infektionen geschützt und der Cyberkriminalität so die Grundlage entzogen werden.

Update: Inzwischen konnten die Experten des Anti-Botnet-Beratungszentrums verifizieren, dass auch der DE-Cleaner aus dem Hause Avira den Schädling entfernt. Hierzu muss der DE-Cleaner allerdings z.B. auf einem USB-Stick vorhanden sein und das System im „abgesicherten Modus mit Eingabeaufforderung” gebootet werden. Auch hierbei unterstützt die telefonische Beratungshotline.

Kategorie: Netzkultur
12 Kommentare12
  1. 6. Mai 2011 um 20:35 |

    Auch die Rescue Disk der Firma G-Data kann den Trojaner erfolgreich entfernen. Wir haben damit schon ein paar Rechner von diesem Trojaner befreien müssen.

  2. 15. Mai 2011 um 18:18 |

    Hallo habe auch dieses pop up Fenster der BKA und ich kann garnicht machen und auch der Task Manager startet nicht mehr. Kann mir bitte jemand helfen?

    1. 16. Mai 2011 um 11:12 |

      Hallo Dominik,

      die o.g. Beratungshotline hilft Dir kostenfrei dabei, Dich von dem Schädling und dem „Pop-Up-Fenster” zu befreien. Auf den WebSeiten http://www.botfrei.de/ findest Du auch eine Anleitung, wie Du das Virus mit dem DE-Cleaner entfernt bekommst.

      Grüße,
      Thorsten Kraft
      1&1 Internet AG

    2. 6. August 2011 um 23:41 |

      Unter Taskmanager—>Neuer Task (Ausführen),den Befehl regedit eingeben & navigieren.
      HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon–>schau mal im rechten Fenster, ob Shell REG_SZ Explorer.exe so steht. Falls nicht einfach Explorer.exe dort eingeben, neustarten und der Desktop erscheint wieder.

  3. 20. Mai 2011 um 07:33 |

    Hatte den Fall ebenfalls. Es ist ebenfalls möglich im Abgesicherten Modus mit Eingabeaufforderung zu starten, dann über die DOS Oberfläche nach c -> Windows -> System32 -> Restore zu navigieren und dort die RSTRUI.exe aufzurufen und auf einen früheren Systemzeitpunkt zurück zu gehen.

    Dann sollte man vielleicht das Wechseln auf einen anderen Virenscanner überdenken, bevor man weitersurft. So gehts zumindest bei W7 Professional.

    Grüße
    Sleepingshorty

  4. 5. August 2011 um 17:43 |

    Surfst Du Porno und Warez, kriegste Malware – überrascht Euch das wirklich so sehr ?

  5. 5. Januar 2012 um 14:33 |

    Die hier erwähnten Tipps zum vermeintlichen Entsperren des PCs und Entfernen des Schädlings sind nicht indiziert, da nicht zuverlässig.
    Es sind diverse sehr unterschiedliche Varianten des BKA-/GEMA-Trojaners im Umlauf, die ihrerseits weitere Malware verschiedenster Art nachladen, womit eine zuverlässige Reinigung nicht mehr möglich ist – schon gar nicht vom infizierten System aus, während die Malware aktiv ist.
    Zudem erkennen entgegen anderslautenden Behauptungen AV-Programme aktuelle Versionen der Malware äußerst unzuverlässig.
    Die einzige vernünftige Maßnahme ist das komplette Neuaufsetzen des Rechners inkl. Neuschreiben des Master Boot Records, da zu der nachgeladenen Malware auch Root- und Bootkits gehören können, die normales Formatieren überleben. Dies erfolgt möglichst über eine bootfähige Ubuntu-Live-CD, so dass das infizierte System nicht aktiv werden kann.

  6. 14. Februar 2012 um 17:49 |

    Ich hatte heute auch die Nachfolgerversion des BKA Virus. Antivir hat ihn nicht entdecht.
    Das ist schon mein zweiter diesen Monat, zuvor war das der GEMA Virus.
    Diesmal war das einer der mit vorgaukelte ich hätte illigale Software von Microsoft auf dem PC.
    Zum Glück ging es den PC im abgesichrem Modus zu starten (ohne dass der Virus startete, bei GEMA-Virus ging es nicht) . Dann habe ich einfach mit der Suchfunktion (XP) mir alle ausführbaren Dateien *.exe (Stern steht für irgendeinen Namen der Datei) auf der Festplatte suchen und anzeigen lassen.
    Zuvor muss in der Ordneransicht „versteckte Dateien anzeigen ” aktiviert werden.
    Dann die liste der *.exe Dateien nach Datum sortiert und VOILA die heutige neueste detei in der liste heisst 0.61985264854 und liegt in dem Temp Ordner.
    Namen kopieren in der Registry suchen und Löschen. Die Datei (Virus ) natürlich auch Löschen.
    Habe noch extra zur Prüfung Antivir Virus-Datenbank erneuert und die gefundene Datei geprüft, hat nichts gefunden. Das war aber defenitiv der Virus.
    z.Z. geht Windows noch aber am besten danach Windows neu aufsetzen.

    Gruß

  7. 6. März 2012 um 21:47 |

    Bin bis dato 3 mal über diese PopUps gestolpert.
    Stellen für jeden normalen User ein unüberwindbares Problem dar.
    Manuelle Systemreinigung: Vergiss es
    Virenscanner: Müssen als Image auf startbarer CD verfügbar und aktuell seien.
    Ob sie alles erkennen: Nur mit Glück.
    Praktizierte Lösung: Eine hinreichend aktuelle Komplettsicherung des Systems und eine Sicherung direkt nach dem Cleaninstall incl. aller notwendigen Programme (Boot-CD vom Sicherungsprogramm nicht vergessen).
    Die Rücksicherung dauert 20 Min. plus aktualisieren der Sicherheitssoftware.
    Nach max. 1 Std. steht der Rechner wie neu, wenn der MBR sauber ist.
    Man muss sich allerdings im Vorfeld mit dem Thema Datensicherung beschäftigt haben.
    Dafür sollten aber auch alle eigenen Dateien / Daten auf einer seperaten Platte, oder mindestens einer seperaten Partition liegen.

  8. 30. März 2012 um 11:05 |

    Hallo , wenn schon eine Tel No angegeben wird sollte diese auch frei sein. Leider existiert dieselbe wohl nicht mehr. Es heißt: kein Anschluss unter dieser Numme.
    Gruß R.B.r

    1. 5. April 2012 um 11:42 |

      Hallo Herr Becker,

      bei http://www.botfrei.de erhalten Sie weiterhin alle Informationen zu diesem Thema.

      Viele Grüße
      Alexander Thieme, 1&1

Die Kommentare sind geschlossen.