GAME-FORUM

Gema-, BKA-, Ukash-, BSI-Virus & Hackerangriff: BKA-Mails und BKA-Popupfenster mit Virus im Gepäck – So entfernen Sie den Bundeskriminalamt-Trojaner


Vorsicht beim Öffnen von E-Mails vom Bundeskriminalamt (BKA). Zurzeit sind gefälschte E-Mails mit dem Betreff “Ermittlungsverfahren Nr. X” (wobei X eine sechsstellige Zufallszahl ist) sowie dem Absender “abteilung89502@bka.de” im Umlauf. Im Anhang der gefälschten Mails steckt ein gefährlicher Virus.

Daher gilt: Auf keinen Fall den Dateianhang öffnen. Die im Anhang versteckte Schadsoftware nistet sich im eigene Rechner ein und verwendet die Adressen aus dem Adressbuch, um sich selbst weiter zu verschicken. Zudem spioniert der Trojaner heimlich persönliche Daten des PCs aus.

Im Mailtext geht es um eine angebliche Strafanzeige gegen den Empfänger mit der Aufforderung, den Anhang zu öffnen und die fingierte Strafanzeige auszudrucken. Das BKA empfiehlt, die E-Mails ungelesen zu löschen und einen aktuelle Virenschutz-Software zu verwenden. Das Bundeskriminalamt weist ausdrücklich darauf hin, dass im Namen der Behörde niemals derartige Mails verschickt.

Neue Variante: Das gefälschte BKA-Popupfenster mit UKash-Zahlungsaufforderung

Eine neue Variante ist ein Popupfenster mit einer gefälschten BKA-Meldung mit dem Titel “Die offizielle Mitteilung des Bundeskriminalamts”. Im falschen BKA-Fenster wird behauptet, dass Ihr Computer an strafbaren Handlungen beteiligt gewesen sein soll. Der Vorwurf: Verteilung kinderpornografischen Materials sowie der Versand von E-Mails mit terroristischem Hintergrund. Angeblich wird Ihr Computer gesperrt und es erscheinen Meldungen wie “Achtung: Aus Sicherheitsgründen wurde Ihr Windows blockiert”. Zur Entsperrung sollen Sie innerhalb von 24 Stunden eine Strafe in Höhe von 100 Euro über den Bezahldienst “uKash” oder “Paysafecard” bezahlen. Ansonsten drohe die Löschung der gesamten Festplatte.

Um authentisch zu wirken, enthält die Falschmeldung Informationen über Ihren Rechner wie Betriebssystem, verwendete IP-Adresse und Provider. Zudem ist rechtswidrig das Logo der Bundespolizei, des Bundeskriminalamts und verschiedener Antivirenhersteller abgebildet. Alles gefälscht. Wie die Popupmeldung zum Beispiel aussehen kann, zeigt das Bundeskriminalamt auf ihrer Webseite.

GVU Trojaner: Webcam-Erpresser entfernen

Sobald der GVU Trojaner ein System befallen hat, deaktiviert der Schädling Windows-Desktop, Taskmanager und Registry. Gleichzeitig erscheint eine Warnmeldung, die auf den angeblichen Fund illegal heruntergeladener Musik oder andere Straftaten wie das Versenden von Spam-Mails hinweist. Besonders fies ist, dass der Trojaner neuerdings das Bild Ihrer Webcam abgreift und auf dem Bildschirm anzeigt. Nur mit der Überweisung von 100 Euro könne die Sperre und somit auch das Video-Stalking aufgehoben werden – doch zahlen sollten Sie auf keinen Fall.

Um den GVU Virus entfernen zu können, braucht es kein Geld, sondern eine Zurücksetzung des Systems. Diesen Lösungsweg sollten Sie nur anwenden, wenn auf Ihrem PC mindestens ein Wiederherstellungspunkt angelegt wurde. Sobald die Meldung des GVU Trojaners zu sehen ist, starten Sie Ihren PC neu. Während des Bootvorgangs drücken Sie dann mehrmals die Taste [F8], um die Startoptionen für Windows aufzurufen.
Dort wählen Sie dann den Eintrag „Abgesicherter Modus mit Eingabeaufforderung“. Warten Sie jetzt solange, bis nur noch ein blinkender Balken zu sehen ist und geben Sie dann den Befehl „rstrui.exe“ ein (ohne Anführungszeichen). Daraufhin startet die Windows-Systemwiederherstellung, die sich wegen des gesperrten Desktops nur noch auf diesem Wege aufrufen lässt. Jetzt können Sie einen der Systemwiederherstellungspunkte auswählen und Ihren Rechner zurücksetzen.
Der GVU Trojaner kann von seinen Autoren jedoch schnell verändert werden - die Entsperrung durch diese Methode ist also nicht garantiert. Wenn Sie zudem auf keinen Wiederherstellungspunkt zurückgreifen können, sollten Sie den kostenlosen WindowsUnlocker von Kaspersky einsetzen. Er verspricht, alle Arten von Erpresser-Malware zu entfernen. Eine Schritt-für-Schritt-Anleitung zur Freeware finden Sie in unserer Fotostrecke.

Der "Kaspersky WindowsUnlocker" sorgt für Befreiung. Die Download-Datei liegt im ISO-Format vor, das Sie unter Windows 7 per Rechtsklick (unter Vista und XP mit einem Brennprogramm wie ISO Recorder) auf einen CD-Rohling kopieren. Zum Erstellen eines entsprechenden USB-Sticks greifen Sie zum Kaspersky USB Rescue Disk Maker. Nach dem Start Ihres infizierten PCs scannt das Tool vom Datenträger aus die Registry nach Infizierungen und entfernt diese gegebenenfalls.