„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Also…
Systemwiederherstellung hat nichts gebracht. Dubiose Namen habe ich auch keine gefunden aber im Startmenü ein Element namens „Smock Lair Ajar“ vom Hersteller Agnitum Ltd. und dies habe ich deaktiviert und der Admin lief wieder. Zur Probe nochmal aktiviert und prompt kam wieder die Meldung. nun deaktiviere ich nochmal und starte neu und hoffe es klappt dann nun.
Mmmh, sehr interessant. DAS wäre defintiv mal eine komplett neue Variante.
Blöd gefragt, aber steht der eventuell in der Systemsteuerung-Software-deinstallieren auch drin?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich bin es wieder !
Habe auf dem Netbook meiner Frau schon wieder der Trojaner, aber jetzt geht es ihm gerade an den Kragen.
Nachdem Antivor uns AVG nichts gemeldet haben und Norton Power Eraser auch nix brachte, habe im Netz diesen Tip bekommen:
http://www.kaspersky.com/antivirus-removal-tool?form=1
Und er findet und findet …..
Immer der selbe Trojaner „Trojan.Win32.Menti.jbhv“ in Firefox, in shell32.dll, in diversen Coockies ….
Die meisten davon liegen immer in Firefox-Dateien.
Anschließend werde ich noch den Firefox runterwerfen und einen neuen installieren.
Gruß Tom
Hab mir den auch grad eingefangen…. Juhu… Da sieht man mal wieder wie viel die UAC (bei mir auf Standard) bringt…. Nix…. War bei mir auch im Bereich Systemstart im msconfig als „Norma Sappy Damp Kirk“ von Agnitum Ltd. und ist im User\Roaming\mahmud.exe. Und das trotz avira, firewall (Nicht Windows) und Spybot. Gleich mal Avira über den Ordner laufen lassen: 0 Treffer… Danke… *g*
Mal von Kaspersky das Virus Removal Tool genommen und geprüft. Standard-Schnellsuche: Keine Bedrohung… Was??? OK. Bin noch im abgesicherten Modus. Ich musste den Ordner explizit hinzufügen damit er den findet. Auch nicht berauschend….
Jetzt ist natürlich gut, das wir erfahrenere User sind. Was macht aber der Dau??? Eine Anleitung für den ist ja enthalten. Die verdienen sich denke ich dämlich.
Achja: Neee. Ist leider nicht in der Software zum deinstallieren… Das wäre schön.
@carsten
Dazu sei wiedermal folgendes gesagt bzw. gefragt:
1. Aktualität des GESAMTEN Systems? (Adobe, JAVA!, Microsoft/Windows-Updates/ etc.)
2. Aktualität des Virenscanners? Kostenfrei oder Kostenpflichtig?
3. Backup des Systems vorhanden (und ich meine natürlich nicht die Systemwiederherstellung. *schmunzel*)
Das der AntiVirenscanner wie auch externe Tools eventuell nichts finden, liegt wohl nicht daran das diese es nciht können/könnten, sondern viel eher daran das die Variante des BKA-Virus/Trojaners sich als laufender Prozess bzw. seine Dateien „tarnen“ kann. Sprich Sie fallen einfach nicht auf da der Virenscanner sie nciht sehen kann – zumindest nciht im normal laufenden System.
Schlimmer wäre da sogar ncoh eine Änderung des Antivirensignatur, so das der Antivirus selbst dafür „ausgeschaltet“ wäre.
So in der Richtung GData vor ein paar Wochen für den echten BKA-Trojaner.
Die Frage ist jetzt wer sich da dumm und dümmer verdient.
Denn iom Grunde verdienen sich an „DAU’s“ gleich i.d.R. 3 Parteien:
1. Der/Die Programmierer
2. Die Antivirenherteller
3. Dienstleister beim/zum entfernen des Virus/Trojaners
Eine Firewall kann schlicht nicht davor schützen, wie sollte Sie auch.
Denn ein Virus/Trojaner/Malware/Scareware/Rootkits/etc. fahren ja im häufigsten Fall über die erlaubten Ports ODER kennen die installierte Softwarefirewall und „programmieren“ diese selbständig um.
Da würde dann in der Theorie zumindest nur eine Hardwarefirewall für den Versuch der Verbindung nach Außen was bringen.
Drauf käme der Genosse aber dennoch.
Im übrigen ist zumindest die Firewall von Windows7 auch mittlerweile sehr konkret einstellbar. (Für alle die Windows 7 haben aber sich bislang nicht damit beschäftigt haben. :-) )
Das soll jetzt alles nciht böse gemeint sein, aber vielleicht auch als ein Denkanstoß für manch einen Teilbereich deines Posts.
Im Endeffekt kann jeder hier (auch ich!) nur daraus lernen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ja scheint zu gehen. Jetzt muss ich nur mal sehen wie ich den Trojaner auch loswerde da er im Moment ja dann wohl nur inaktiv ist…
so hab jetzt den Pfad des Befehls verfolgt und dort den Ordner gelöscht. Nun zeigt er mir keinen Namen für das Element mehr an und auch keinen Hersteller… langt das?
Wie weit kannst Du ihn denn zurückverfolgen? Kein Pfad wäre mehr als ungewöhnlich.
Kannst Du zur Not einen Screenshot machen und mal wo hochladen?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo, ich wieder.
Boot CD Mit Norton (aktuallste Definitionen hat auch nichts gebracht, keine Funde !!.
Rechner neu gestartet (Ohne Internetverbindung) – gleiches Problem.
Langsam resigniere ich. Ich komme weder in die Registry noch sonst irgendwo hin. Strg+alt+entf – Taskmanager –
gleiches Bild
Hat noch jemand ne Idee ? Neuinstallation ist nach wie vor Tabu.
Hallo habe das Teil auch gerade unter Win7.
Eingefangen per Firefox – akt. Version.
Bin im abgesicherten Modus und habe „explorer.exe“ manuell gestartet.
Hat sich eingenistet unter
C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanqdiskfh28.dll und mit einem dazugeh. „scandisk“ zum Starten. Mal sehen ob manuelles löschen hilft.
Ich nochmal.
Evtl. gehört eine C:\Users\\wvloadk0B.dll auch noch mit dazu, die war kurz vorher da, lösche ich auch mal….
nichts derartiges gefunden bis jetzt :(
Habe im abgesicherten Modus einen 2.User angelegt, damit funktioniert zumind. Win7 wieder (und man kommt auf seine Daten)
Handelt sich lt.“Avira“ um
C:\Users\username\wvloadk0B.dll „BDS.Sinowal Yakl“
und kopiert sich automatisch wieder zu username\Autostart wenn man’s manuell löscht..
Dateien dich sich nach einem Neustart wieder herstellen sind ja im Grunde nciht neu. Nur in Sachen BKA-Virus kommt es jetzt gehäufter vor.
Das der Virus sich selbst aber wieder replizieren kann, selbst ohne Internet, liegt daran das sicherlich auf keinm der Systeme hier die Systemwiederherstellung SOWIE die Auslagerungsdatei deaktiviert wurde.
Das ganze hat für den User natürlich einen Nachteil, ein REstore mit einer Sicherung ist NICHT mehr möglich.
Ein Restore des Virus aus einer der beiden Dateien (hipyerfiles.sys und pagefiles.sys) ist dann ebenfalls nicht mehr möglich.
Weiterhin existiert auf jeder Festplatte auch der versteckte Recyled.bin-Ordner in dem solche Viren ihre Files „verstecken“.
Dateien darin lassen sich meist nur löschen, wenn der PC von einem externen Boot-Medium gestartet wurde, oder per USB-Adapter an einem anderen sauberen/sicheren PC ghängt.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Noch was hinterher…
Solltest Du in der Gegend von Frankfurt (am Main) wohnen, könnte man evtl. zur Not ein Treffen arrangieren indem Ich dir hoffentlich helfen könnte.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Oh – auf jeden Fall VIELEN DANK für dieses nette Angebot :-)
Mich trifft’s aber nicht allzusehr, da ich das System in einer getrennten VM Win 7, extra zum Surfen, habe.
Fand ziemlich heftig wie das Teil das ganze System übernimmt – habe keine .exe o.ä. ausgeführt, beim Klick auf einen Link (Firefox) war nach ca. 3 sek das System lahmgelegt – und das trotz elementarer Schutzvorrichtungen (Virenscanner, Firewall).
Deine Anleitung oben ist toll gemacht :)
Viele Grüße M.
@ Michael
Das Angebot gilt zwar für „Alle“, war aber in diesem fall eigentlich auf Marco gemünzt.^^
Wegen der Anleitung…jetzt kommts drauf an welche Du meinst. Denn die Bebilderte da oben ist vom Blog-Besitzer „Daniel Weihmann“.
@ Marco
Wie schauts aus?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
huhu,
bin seit gut 15 minuten auch opfer dieses Trojaners. Ein Glück hab ich noch meinen Laptop damit ich wenigstens hier rein schauen konnte. Also:
Auch bei mir steht nichts in der registry es ist alles so wie es sein sollte mit explorer.exe etc aber ich finde sonst absolut nichts. Was kann ich nun tun??
Keine *.dll (siehe andere Posts auf dieser SEite)?
Keine Mahmud/upd/vasja/jashla/1654510688/ etc. *.exe?
Nachzuprüfen in sämtlichen \Temp-Ordnern uterhalb der User-Verzeichnisse und in %APPDATA%.
Weiterhin könnte auch die explorer.exe infiziert sein (wie schon so oft hier beschrieben) und gelöst.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
ich bin jemand, der wirklich keine Ahnung von Computern hat. Bis Punkt 8 bin ich auch schon gekommen, aber ich habe keine Datei mit einem Namen, wie hier beschrieben gefunden,nur explorer.exe. Die einzige Datei in diesem Ordner (Winlogon) die mit .exe endet, ist C:/Windows/system32/userinit.exe. Könnte diese Datei die gesuchte Datei sein? Soll ich die löschen, oder soll ich etwas gegen die Datei explorer.exe unternehmen? Wenn ja, was kann ich tun?
Ich hoffe Du kannst mir weiterhelfen.
Liebe Grüße Lena
@ Lena
Theoretisch kann jede Datei infiziert sein. Die Userinit.exe in \system32 ist im Regelfall eine Systemdatei.
Soltle diese nicht durch eine neue Ausgetauscht werden können, so würdest Du bei bloßem Löschen noch größere Probleme danach haben.
Denn ohne diese Datei wird es für Windows mehr als schwierig die „User/Benutzer“ zu initialisieren.
Übrigens, wie oben schon geschrieben, das Angebot (siehe weiter oben bei Marco) gilt nicht nur für User sondern auch Userinnen (bis zu einem gewissen Maß versteht sich).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Was ist wenn ich die explorer.exe Datei in dem Ortner Shell lösche? Habe sonst keine Idee wie ich den Virus von meinem Laptop bekomme.
hallo bin auch ein opfer allerdings steht in der oben genannten beschreibung in shell der explorer.exe ganz normal drin aber er ist noch da
@ Lena
Den WErt explorer.exe löschen ist keine gute Idee. Bei den meisten Usern/Userinnen hat dies (verständlicherweise) zu Startproblemen geführt.
Ein ersetzen durch eine saubere explorer.exe ist die erstmal bessere Alternative.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Habe ihn nun gefunden puhh!!!
Er hatte sich im Temp Ordner verkrochen unter dem namen:
0.8795835834288328.exe
Dazu würde ich die ganzen Dateien die seit dem erscheinen erstellt wurden in diesem verzeichnis löschen da ich kurz vor dem öffnen dieser Datei gesehen habe das sich dort eine neue Datei eingesetzt hat
Unter Win 7
In C:\User\username\AppData\Local\Temp\
hatte ich auch verschiedene 0.69….exe und 0.96….exe
Löschen dieser .exe-Files hilft nur kurz, ist nach wenigen Minuten wieder wie vorher mit obigem BuTroj-Bild Meldung (ohne Firefox, also im Leerlauf).
Ich lösch den User und wechsel auf den anderen neuen User,
das funktioniert.
Siehe dazu:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-13#comment-2072
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Erstmal vielen Dank für die ausführliche Beschreibung.Bis zum Punkt 8 hat sie auch einwandfrei funktioniert jedoch ist bei mir der Pfad in der Datei „Shell“ ganz normal (explorer.exe) und ich kann da auch nix ändern…. :/ was nun?!! oO
Siehe dazu:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-13#comment-2073
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
ich bräuchte wirklich deine Hilfe, habe auch den BKA Virus
habe die oben beschriebenen 10 Punkte ausgeführt aber ich finde nicht „jashla.exe“ habe das im Task Manager gesucht, aber finde nichts, die Datei kann ja auch anders heißen.
Wie finde ich das jashla ding?
Danke
Wie sieht es hiermit aus?
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-13#comment-2073
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon, wie es scheint wird das ein Full-time Job hier für dich. Danke vielmals für die erste Anleitung dieser Art, die bei mir funktioniert. Hab bereits mehrere Rettungs-CD von Avira und Kasperki probiert, nach Stunden haben die was gefunden, aber nix gefixt. Die shell=Explorer.exe scheint der Knackpunkt bei der Geschichte zu sein, die wird dabei immer durch die MAlware ersetzt. wenn der explorer erst mal wieder läuft, kann man ja den Virenscanner laufen lassen.
SChön dass es Dich gibt!
Danke erst mal für das Lob.
und freut mich natürlich das es funktioniert hat.
Die anleintung oben (also die Bilder + Text) sind aber von Daniel Weihmann, dem Blog-Besitzer (falls diese Anleitung gemeint war).
Ein Fulltime-Job könnte das hier glatt sein (naja fast), aber wie man anhnad der meist nur Abends gegebenen Antworten sieht, habe ich bereits einen solchen Fulltime-Job.
Und aus kaufmännischer Sicht ist das hier für mich als Helfer eigentlich Murks.
Ich verdiene hierdran ja (teilweise leider) keinen Cent.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hi an alle. ich habe leider seit gestern abend 24.11.11 seit ca. 22.uhr das selbe problem :(
ich habe den schlüssel der hier unter 8. genannt wird gelöscht, aber dies hat nichts gebracht.
weiterhin funktioniert mein taskmanager auch nicht mehr :S
was kann ich tun um den mist schnellstens wieder wegzukriegen ?
danke aus frankfurt
Wie sieht es mit einem Teil der Tipps von hier aus?
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo ich denke ich hab’s gefunden.
In der Registry unter:
\Computer\HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Run\NvCplDaemonTool
steht
Value= rundll32.exe C:\USERS\benutzername\wvload…1.dll,IWMPEvents
sowie der Eintrag
vasja= 0.999.exe oder 9.nnn.exe (die aus dem temp ordner)
Diese beiden Einträge löschen, sowie den temp ordner von
den 0.9nnn.exe und 9.nnn.exe befreien,
die $irgendwas aus dem Recycle-Bin-Ornder entfernen
und die wvload…dll_IWMP aus dem C:\Users-Root löschen.
Bei getrennter Internet-Verbindung.
Jetzt startet es wieder wie zuvor – mal schauen ob das alles war :-)
Bitte mal berichten ob jemand bei sich das so beheben konnte.
Hallo Zusammen,
bei mir hat unserer Admin den Trojaner mit folgendem Programm entfernt:http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1
Vielleicht hilft euch das
Gruesse
Das Programm wurde auch schon öfter erwähnt und leistet durchaus auch seinen Dienst.
Leider aber (so die Erfahrung) nicht in allen Varianten des „Schädlings“ und leider kann manch einer/eine das Programm ja aktuell nicht mal mehr runterladen/installieren.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
So, bei mir ist das alles noch komplizierter.
Bin nun über die OriginalCD in die Einhgabeaufforderung (nicht über abgesicherten Modus; das klappt ja nicht).
Dann bin ich in die regedit. Dort ist an beschriebener Stelle unter dem Shell-Eintrag der Wert „cmd.exe /k start cmd.exe“ verzeichnet.
Habe hier nun entsprechend „explorer.exe“ reingeschrieben und die Datei „cmd.exe“ mit der von der Original-CD ausgetauscht.
Computer wieder hochgefahren – immer noch der Bundespolizei-Trojaner….. Doof.
Schau Dir mal z.B. das nächste Posting(die nächsten Postings hier drunter an. Das könnte theoretisch schon die Lösung sein.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hier nochmal komplett:
Bei getrennter Internet-Verbindung
————————————
In der Registry unter:
\Computer\HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Run\NvCplDaemonTool
steht
Value= rundll32.exe C:\USERS\benutzername\wvload…1.dll,IWMPEvents
sowie der Eintrag
vasja= 0.999.exe oder 9.nnn.exe (die aus dem temp ordner)
Diese beiden Registry-Einträge löschen.
Folgende Files löschen:
———————–
– den temp ordner des benutzername von den 0.9nnn.exe und 9.nnn.exe befreien (löschen)
– die $irgendwas aus dem Recycle-Bin-Ornder entfernen
– die wvload…dll_IWMP aus dem C:\Users löschen
– C:\Users\benutzername\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanqdiskfh28.dll
und die andere scandisk…. dort löschen
Bitte mal hier schreiben ob’s geholfen hat :)
Michael H.
Danke für die ausführliche Erläuterung.
Zumindest sieht man heirbei das es wohl mittlerweile ncoh extremere Varianten gibt.
Denn so „viele“ Dateien mit unterschiedlichen Bezeichungen an so vielen Orten hat hier zumindest noch kaum einer gepostet.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
war am Mittwoch auch von diesem Trojaner betroffen. Irendwie über Firefox eingefangen. Bin so vorgegangen:
nach dem Start erscheint ja dieses tolle BKA-Fenster (Zahlungmöglichkeiten Ukash und Paysafecard). Konnte mit der Win-Taste aber den zunächst nicht sichtbaren Start-Button der Taskleiste öffnen und somit auch alle Programme starten bzw. durch Ausführen in die Registry kommen. Unter Shell war auch ganz normal explorer.exe aufgeführt. Task-Manager war allerdings gesperrt.
Da ich zunächst nix Verdächtiges finden konnte habe ich mir Malwarebytes Anti-Maleware runtergeladen und laufen lassen. Die gefunden Dateien weg und seitdem läuft wieder alles soweit ok.
Kann ich nciht viel mehr zusagen, als: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-13#comment-2101
:-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hi,
hatte die datein bisher in Quarantäne gestellt und nochmals nach .exe dateien durchsucht, folgende sind aufgefallen:
unter Ordner Temp:
0.05436884043130541.exe.ink (Backdoor.agent)
und
0.05436884043130541.exe (Exploit.Drop.2)
Mir ist bewusst dass ich wohl doch ne rechte „softe Variante“ des Trojaners erwischt habe und andere viel größere Probleme haben. Trotztdem Danke an jeden der hier Versucht zu helfen, mir wurde hier auch sehr geholfen.
OS: Windows XP Professional SP3
Hallo,
vielen Dank für die ausführlichen Informationen!
Da ich keine verdächtigen registry-Einträge finden konnte, gelang es mir mit der oben genannten Software (http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1):
– Software an sauberen Computer heruntergeladen und auf USB stick gespeichert
– Befallenen Computer mit in abgesichten Modus gestartet und Software vom USB-Stick installiert
– Software gestartet und Suchlauf beginnen (kein Update der Software nötig)
– identifizierte Objekte auswählen und über Software entfernen (bei mir hat die Software einen vasja-Wert in der registry gefunden)
-> Computer startet wieder normal
Jetzt begebe ich mich noch auf die Suche, ob der Trojaner noch andere Dateien hinterlassen hat.
Viel Erfolg allen
Fabian
Hallo habe mir den trojaner auch zugezogen aber bei shell steht schon explorer.exe und da wollt ich mal wissen wie ich den sonst wegbekomme bzw erstma sein aufgehn vehindere ? wär lieb wenn mir das einer erklären würde weil ich kenn mich nicht so gut aus und die erklärungen hab ich bisj jz leider nicht verstanden, also wär cool wenn mir es jmd langsam schritt für schritt erklären würde ;)
Wie sieht es hiermit aus? https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bei mir konnte ich den Shell Ordner zwar finden jedoch keinen dataipfad .
Ich hab ihn gelöscht und den pc dann ausgeschaltet . Wenn ich ihn jetzt wieder anmach ist der Virus immer noch da und mein internet geht nicht mehr.
Siehe Kommentar oben drüber…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hi,
hab recht wenig ahnung… leider.
mein problem ist ich habe alles bis schritt Nr.2 bzw 3 getan nur kann ich jetzt nichts eingeben. sodass ich jetzt immer noch nicht weiter weiß… vllt kann mir ja einer sagen was ich evtl falsch mache…
lg tobi
Leider wissen wir viel zu wenig zu deinem aktuellen Problem.
Klar ist bislang nur das Du auch den BKA-Virus in einer seiner Varianten haben wirst.
Und das Du wohl bis in den Abgesicherten Modus kommst.
Aber was genau passiert nun? Und wie sieht es auch mit den Tipps von hier:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo habe mir das teil heute auch eingefangen. Zum g
Glück war mir nach ein paar Sekunden klar worum es sich hier handelt. Leider hat mich mein Antivir nicht davor geschützt obwohl das Teil jawohl schon etws älter sein soll. Ich bin ihn wie folgt los geworden. Im Abgesicherten Modus gestartet mit Eingabeaufforderung und User ausgewählt der Infiziert ist. Dann in die Console msconfig eingegeben und dort unter systemstart geschaut was dort nicht hingehören könnte . ich hatte dann dort unter c/user/username7appdata/roaming eine mohmad.exe oder so. Diese deaktiviert und den rechner neugestartet und siehe da er läuft. Dann in den ordner rein und die exe gelöscht. Den ordner AppData wird euch nur angezeigt wenn ihr es in der Systemsteuerung unter Ansichten aktiviert . Ob man nun wirklich das teil los ist keine Ahnung, aber man hat nun die Chance Daten zu sichern und dann den rechner in Ruhe neu aufzusetzten was ich empfehle.
Gruß Steini
Hi,
ich nochmal…
gottsei dank es hat soweit alles funktioniert.
ich mache eben nen systemcheck über avira… bei mir hieß die datei nicht jashla.exe sondern mahmud.exe
Danke nochmal für die super erklärung…
Hiho,
habe mir den Virus gerade gefangen, habe auch schon die ganzen Anleitungen und Kommentare gelesen, es gibt nur 1 Problem.
Ich komme beim Reboot nicht in den abgesicherten Modus. Wenn ich den PC anmache, piept er 3 mal und das wars, kein Ladebildschirm etc. per F8 geht auch nix, da die Tastatur nicht funktioniert ( scheint ausgeschaltet zu sein ) mit Win CD läuft auch nix und nu? :'(
Probiere mal folgendes:
1. Rechner neustarten
2. Während des Neustarts die F8-Taste grückt halten
Daraufhin sollte er eigentlich wie blöde anfangen zu piepsen.
3. Jetzt loslassen und ggf. nochmal ein paar Mal kurz drücken.
In der Regel kommt jetzt dann auch endlich mal das gewünschte Menü.
Einen PC so lange damit zu ärgern sollte zwar eigentlich nicht nötig sein, kann aber vorkommen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
Also :
1. Internet abgeklemmt
2. Reboot ( schon 20 x )
3. DIREKT F8 Taste gedrückt im 1 sek. Takt bzw. gedrückt gehalten.
4. NICHTS :(
Wie schon beschrieben, scheint es so, als würde der Trojaner meine Tastatur blockieren, da gehen nämlich nichtmal die Lämpchen an, die ja normal beim Hochfahren angehen!
MFG Patrick
Bislang ist hier keine Variante des BKA-Trojaners bekannt die dazu im Stande wäre.
Auch kenne ich selbst keinen Virus/Trojaner/Rootkit/Malware/Scareware/etc. die dazu in der Lage wäre.
Selbt die nun wieder häufiger vorkommenden MBR-Viren/Trojaner/Rootkits (MBR = Master Boot Record = Die ersten glaube 2MB einer jeden Festplatte – korrigiert mich wenns falsch ist^^) sind dazu bislang – so meine ERfahrungswerte, nicht im Stande.
Da ich das Verhalten so nciht kenne, müsste ich auf einen dEfekt des Geräts/der Tastatur tippen.
Eine richtige Diagnose aber kann ich nur vorort bzw. bei mir tätigen.
Solltest Du in der Gegend von Frankfurt (am Main) wohnen [ich wohne ca. 30km davon entfernt], dann wäre eines der beiden Szenarien denkbar.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
wohne leider im Raum Düsseldorf also eher nicht.
Habe gerade versucht eine andere Tastatur anzuschließen, gleiches Spiel, keine Reaktion der Tastatur ( Lampen ), hinten wie vorne in nen Slots.
Hatte auch noch einen deaktivierten, nicht komplett entfertnen Malware aufm Rechner, falls dies nochwas zur Sache tut, aber schon seit 6 Monaten oder so.
Bundespolizei Trojaner 3.0? :D
Wie wäre es mit BART ?
CD Programm schiebt sich vor den Bios, sodfas Windows im Rückraum bleibt und man seelenruhig auf die Festplatte zugreifen kann…..
Sofern es möglich ist, das nur die Widnows-CD einen „Hau“ hätte und deswegen nciht startet, könnte man soziemliche „jede“ startbare CD/DVD nehmen die über ein Antivirus-System oder ein WinPE-System verfügt.
Darunter fallen mir auf Anhieb CD/DVD’s von der Zeitschrift c’t ein oder auch ISO-Images zum brennen direkt von Bitdefender, AVG oder Antivir.
Zu nur teilweise entfernten Viren/Trojanern/Malware/Scareware/Rootskits/etc. kann ich nur auf meinen Post https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1852 verweisen.
Hoffe aus der Distanz helfen zu können.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Nachtrag:
Natürlich verfügen diese Images nicht über ein WinPE-System.
Das könnte eine selbstzusammengestellt WinPE/BART-Disc oder
eine DART 6.5 (für Windows7,Server2k8R2) oder
eine DART 6.0 (für WinVista/Server2k8) oder
ein ERD-Commander (für WindowsXP, Server2k3)
von Microsoft.
Leider sind die letzten drei nur für MSDN-Abonnenten zugänglich.
(Heißt letztenendes zwar das wir in der Firma über so etwas verfügen, ich es aber nicht online zur Verfügung stellen kann).
Weiterhin setzt sich keine der CD/DVD’s VOR das BIOS oder gar UEFI-System, selbst ein MBR-Virus/Trojaner kommt erst dann „zum Zuge“, wenn die Festplatte initialisiert wurde.
Nach meiner Erfahrung, wird er dann bisweilen aber noch nicht aktiviert, sondern erst im Windows selbst beim starten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo erstmal,
Ich habe gestern diesen Trojaner/Virus auf dem Laptop bekommen, und ich muss sagen ich habe ein paar Probleme.
Es wurde oben genannt das man bei HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon unter „Shell“ den weg des Virus findet und ihn aufschreiben soll und später gegen explorer .exe ersetzen soll …
Mein Problem ist dabei das ich Shell wohl gefunden habe aber es steht dahinter schon explorer.exe.
Da dachte ich das es ok ist und habe normal gestartet, aber der virus karm wieder …
ich habe noch unter systemsteuerung und anderen sachen Jashla.exe gesucht oder sonst irgendetwas .
Ich habe jetzt bei Systemsteuerung meinen Mozilla Firefox gelöscht weil er als einzigestes geändert worden ist …
Aber ich finde einfach nichts wo ich suchen soll,
könnte mir villeicht jemand wirklich für leien erklären wo ich ihn sonst finden könnte .???
Mit freundlichen grüßen Johnsteel.
Wie ist der aktuelle Stand? Noch wie oben beschrieben?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bei mir ist des Anders… Bei Abgesichter Modus mir Eingabeaufforderung stppt es aus einem Grund immer!
Warum ist das so?
ich hab das tausend mal probiert es geht net!
Was stoppt dort immer?
Wie sieht es mit einer Systemwiederherstellung aus? Oder mit dem zurückspielen eines wenige Tage alten Backups?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bei mir ist des Anders… Immer wen ich auf Abgesichter Modus mit Eingabeaufforderung klicke stppt es aus einem Grund immer!
Warum ist das so?
ich hab das tausend mal probiert es geht net!
Ich denke mal das war ein doppelter (Fehl)klick?!
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Für alle die Windows 7 haben Startmenü User AppData Roaming und denn steht ganz unten mahmud exe die löschen und alles ist wieder gut
Mahmud.exe ist es nicht immer.
Aber um den Pfad unter Windows schneller zu finden, reicht es
im Windows-Explorer oder
unter START > Ausführen oder
mit [WindowsTaste]+[R]
die Systemvariable %APPDATA% einzugeben.
Achtung, manche Dateien sind natürlich erst sichtbar, wenn alle Systemdateien und Versteckte Dateien&Ordner angezeigt werden (Windows-Exlorer > Extras > Ordneroptionen)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich habe auch diesn trojaner von diesen … bekommen und habe das da oben die anleitung befolgt wobei bei mir schon standt shell und dann explorer.exe das habe ich dan mit E also groß geschrieben das einzige was da anders war und jetz is die frage soll ich shell löschen oder wie ? weil da is auch kein pfad angezeigt und und wenn ich jashla.exe in der suche überall ausprobiert auch task manager findet der nichts kein bisschen das einzige was ich machen konnte war das teil zu deaktievieren aber auch mit dem da stehenden pfad hatt der nichts gefunden und ich bin jetz echt verwirrt :S
@ jan
Nimm es mir nicht böse, aber wir sind hier nicht bei Facebook oder ICQ.
Schreib doch bitte mal ein paar gerade Sätze mit Groß/-Kleinschreibung und gescheiter Interpunktion.
Dann kann man Dir eventuell auch versuchen zu helfen.
Danke.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@simon
ja sorry mir ist meine groß/ klein schreibung so ziemlich egal wenn ich ein Virus problem habe ausserdem dachte ich hier wird einem geholfen und nicht auf die Rechtschreibung geachtet?! (auch nicht böse nehmen okay) aber okay hier ist mit groß und klein schreibung.
was is Interpunktion ?
Ich habe auch diesen Trojaner bekommen, und die obere Anleitung funktioniert bis zu den Punkt wo ich bei Shell was verändern soll, da ist steht explorer.exe halt klein ich habe nur ein großes E eingefügt so wie es oben steht.
Ich habe jetz dieses Ding bei msconfig deaktiviert konnte denoch nichts finden weder under jashla.exe oder andere namen nichts überall und wie gesagt bin ich verwirrt.
@ Jan
Du hast ein paar Dinge dabei vergessen:
1. Wer Dir helfen soll, muss deine Erklärung/Erläuterung auch verstehen. Dies geht am besten, wenn sich das Problem schnellstmöglich dem Leser (also dem tendenziellen Helfer) erschließt.
2. Zumindest meine Wenigkeit, wie auch Herr Weihmann (Blog-Besitzer) haben unsere Jobs gelernt und kennen uns mehr oder weniger gut mit eben solchen Viren/Trojaner-Problemen aus.
Heißt aber nicht das Hellsehen zu unseren Fähigkeiten gehört.
3. Bevor das hier in böses geflame ausartet, sage ich nur soviel zu dienem letzten Posting…
– Interpunktion ist das richtige Setzen von Punktierungszeichen, also z.B. Punkte und Kommas.
4. Eine korrekte Schreibweise ist nicht nur für das Lesen besser geeignet, sondern es wird dadurch (wie schon erwähnt) auch einfacher.
5. Selbst wenn Du einen Virus hast (auf deinem PC/Laptop/Netbook) so wie viele/fast alle hier, dann wird dir hier auch geholfen. Eine korekte Schreiweise + richtige Grammatik macht das ganze lediglich „einfacher“.
Das Francesco dir schon geholfen hat und damit aus deiner Sicht sicherlich „hilfbereiter & freundlicher“ war, nehme ich jetzt mal so hin.
Ich würde mir dieses „ich schreibe immer alles klein nur weils schnell gehen soll“ dennoch nicht angewöhnen bzw. wieder abgewöhnen.
Wie gesagt, das hier ist kein Facebook/ICQ/WkW und es gibt dann noch die nicht zu verachtende Netiquette (https://www.redirect301.de/netiquette.html)
Und als letztes Wort dieses Textes (sozusagen):
Das alles meine ich so wie ich es schreibe.
Ob Du es mir nun krumm nimmst oder nicht ist mir damit dann in etwa genauso egal, wie das Du nur Kleinschreiben „willst“.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
und wie ist es mit Systemwiederherstellung ?
hä?
Ich habe keine ahnung von den Computer Sachen ^^
ja kann ich mit einer systemwiederherstellung denn virus weg machen ?
http://www.helpster.de/bundespolizei-virus-entfernen-anleitung-zur-beseitigung-des-trojaners_54250
@Francesco
gefunden danke ^^
Hallo zusammen!
Erstmal vielen Dank, dass ihr euch in eurer Freizeit mit den Problemen anderer beschäftigt.
Seit gestern hat sich dieser Trojaner auch bei mir eingeschlichen. Anleitung wie oben funktionierte nicht, da sich auch bei mir der Wert des Schlüssels Shell bereits als explorer.exe eingetragen ist.
Habe diverse andere Versuche unternommen-keine Lösung.
Nun habe ich in der AppData die Datei gefunden (mahmud) und gelöscht. Alles „scheint“ nun wieder zu funktionieren, aber ich trau dem ganzen nicht und möchte mit meinem PC keine Virenschleuder darstellen.
Ich habe Windows 7 64bit…3 verschiedene Scans haben alle nichts gefunden, aber das hat ja nichts zu heißen. Mit CCleaner habe ich auch alles nochmal schön „geputzt“.
Bin ich den Übeltäter nun los oder schlummert der noch immer in meinem Rechner und falls ja, wie kann ich die Dateien finden?
LG und vielen Dank
Erstmal freut es zu hören das Du/Sie den vermeintlichen BKA-Virus/Trojaner besiegt hast/haben..
Zum jetzigen Status den PCs ist anhand der mittlerweile vielfältigen Varianten nichts genaues zu sagen.
Daher führe ich mal wieder einen meiner Posts ins Feld, welcher zumoindest zu Teilen sicherlich den ein oder anderen Ratschlag für die jetzige Situation enthält:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1852
Sollten noch Fragen bestehen, einfach fragen. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo, hab mir heute auch den Virus eingefangen. Bei Punkt 8 komme ich allerdings nicht weiter, da ich nicht weiß wie ich den Wert des Schlüssels „Shell“ rausbekommen soll.
Würde mich über Hilfe freuen.
MfG
Sehr geehrte Frau Kabinettsvorsitzende,
falls Sie diesen Ihren Eintrag vom 26.11. nochmals anschauen sollten, hier ein Tip von DAU zu DAU:
Sie müssen, sobald Sie in der Zehnpunkteanleitung zur ersten Variante des Trojaners bei dem Punkt über den Registrierungseintrag „Shell“ angelangt sind und diesen Eintrag in der Registrierung gefunden haben, einen schlichten DOPPELKLICK auf „Shell“ ausführen, um die Eigenschaften einsehen zu können, die dann, sofern Sie „nur“ die erste Trojanervariante erwischt haben, den Pfad zu demselben anzeigen sollten.
Gruß
Horststephan Sauerwiesauerbier
Der Wert sollte auch rechts in der Regedit schon so sichtbar sein.
Ein Doppelklick ist theoretisch alleine für das ansehen nicht zwangsläufig notwenig, zum ändern des WErtes natürlich schon. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Vielen vielen Dank für die tolle Beschreibung.
Meiner hieß Mahmud.exe.
Jetzt läuft wieder alles.
Danke für die vielen Hinweise! Mich hat Michaels Eintrag auf den richtigen Pfad gebracht. In der Registry unter:
\Computer\HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Run
fand ich „vasja“ mit dem Wert Users\benutzername\AppData\Local\Temp\upd.exe – dort und auf der Festplatte habe ich gelöscht.
Jetzt lasse ich erstmal Kaspersky laufen und hoffe, damit hat es sich erledigt.
Viele Grüße,
Niki
Hallo,
ich habe mir diesen Virus gestern auch eingefangen und auch schon einiges versucht gegen ihn zu unternehmen. Nur leider scheitere ich daran ihn zu löschen. ich kenne zwar seinen namen und weiß auch wo er ist nur leider ist die Datei versteckt und ich bekomme sie nicht sichtbar gemacht, egal welches Mittel ich versuche.
Kann mir vieleicht jemand sagen wie ich diese Datei dennoch sichtbar machen, sie aus dem Autostart nehmen und dann löschen kann?
Was wurde bislang genau gemacht und was wurde versuchtr die Datei(en) sichtbar zu machen?
In der Regel sollte das einschalten der Sichtbarkeit von „Systemdateien“ und „Versteckte Dateien & Ordner anzeigen“ im Windows-Explorer > Extras > Ordneroptionen dafür ausreichen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Lieber Daniel Weihmann, ganz herzlichen Dank für die ausführliche Hilfe!!!! Es hat problemlos geklappt.
@ Simon
Stand ist der gleiche wie gestern/ vorgestern.
Mache den PC an, piept innerhalb der ersten 3 sek 3x und nix passiert, Bildschirm geht nicht an und Tastatur auch nicht, sodass ich halt garnicht die F8 drücken kann.
Bau gleich mal die Festplatte aus und werde sie als externe an einen anderen PC anschließen, dann müsste ich ja eig nurnoch die entsprechenden Dateien löschen oder?
MFG Patrick
Also irgendwie klingt das für mich nach einen Hardware-Defekt.
Aber wie gesagt, genauer ginge das nur mit der Hardware vor Augen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Wenn das nicht klappen sollte ( brauche eig nichts von der Platte außer vll die 2500 Musiktitel ) zieh ich diese auf den angeschlossenen Rechner und setz Win XP komplett neu auf, richtig?
Als USB-angeschlossene Platte solltest Du damit theoretisch machen könnenw as Du willst.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bräuchte evtl. nurnoch eine Anleitung wie das ganze Funktioniert wenn ich die Festplatte als externe anschließe.
Mit regedit werde ich ja höchswahrscheinlivh nicht auf meiner externen dann landen :/
Also, Shell exe oder co. löschen und dann könmnte ich evtl Win neu aufsetzen?
Wenn Du die Platte per USB dransteckst, siehst Du ja einfach einen neuen Wechseldatenträger (sozusagen).
Damit kannst Du somit beinahe verfahren wie Du willst.
Du kannst ja auch die Platte mit einem aktuellen Virenscanner und Malewarescanner durchforsten lassen.
Die Shell „Zeichenfolge“ in der Registry kannst Du theoretisch vom Wert her auch ändern, du musst Dir nur am Haupt-PC in der Regedit deine „alte“ Registry-File von der USB-Platte importieren.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bastelt ihr etwa immer noch an dem Troyaner herum …?
Ich hab da auch mal eine Frage dazu,
Simon wie lange hast Du gebraucht bist Du ihn wieder los geworden bist.
Ich habe 15 Minuten gebraucht, und nicht eine einzige Datei verloren.
Mit freundlichem Gruß
Smolly
Ich habe zwar nie bislang die Zeit gestoppt und ich habe ihn persönlich auch noch nicht gehabt.
Aber schon auf x-Kundensystemen dafür.
Grob geschätzt habe ich alles zwischen 10 Minuten bis hin zu mehreren Stunden daran verbracht.
Der PC wurde von mir zumidest in diesem „Task“ dann ebenfalls nie neuinstalliert.
Dies folgte dann manchmal später, wenn der Kunde alles wichtige gesichert hatte (oder wir dies für ihn getan hatten) und das System problemlos platt gemacht werden konnte.
Frage(n) damit beanwortet?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Danke für die Antwort.
Smolly
Ich habe mir Freitag Nacht auch diesen Virus eingefangen. Glücklicherweise bin ich nun auch wieder los, da ich meinen PC über ein Switchboard bei meinem Bruder anschließen konnte um hier die wirklich gute Anleitung durchführen zu können. Danke schön.
Mich würde nur interessieren wie lange so ein Virus braucht um aktiv zu sein denn ich habe keine emails geöffnet und unmittelbar davor auch keine Daten gedownloaded.
Aus reinem Interesse würde ich gerne noch wissen ob mein PC wieder freigeschaltet worden wäre wenn ich das Geld bezahlt hätte oder ob ich dann auch nur die lange Nase gesehen hätte.
Wie genau meinst Du das mit dem „wie lange braucht ein Virus um aktiv zu sein“?
Meinst du seine Startzeit?
Beio den ersten Varianten des Virus/Trojaners hätte ich es persönlich ncoh für möglich gehalten das er tatsächlich danach sich in Luft aufgelöst hätte – zumindest eine Zeitlang.
Bei den aber mittlerweile vorhandenen Varainten holt man sich mittlerweile NACH dem Bezahlen eher noch mehr Schädlinge auf den PC/Laptop/Netbook. Verschwinden würde er gewiss nicht.
Frühere Viren/Malware/Scareware lief nach dem selben Schema ab und blieb auch nach dem Bezahlen weiterhin vorhanden. Im blödesten Fall wurden (wie eben schon mal geschrieben) sogar fiesere Schädlinge nachgeladen als Dankeschön.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Die Zahlung hätte nichts geändert. Der Trojaner ist (aus meiner Sicht) nicht dafür vorgesehen sich aufgrund einer Code-Eingabe o.ä. selbst zu zerstören. Hat jemand andere Erfahrungen?
Ich kenne beide Fälle: Bei dem einen war der Trojaner erst nach dem Neustart aktiv, bei einem anderen schlug er sofort zu. Mitten beim surfen im WWW. Aber wenn ich die Kommentare durchsehe, dann lassen sich hier eine ganze Reihe Varianten entdecken.
Vielleicht gibts diesen Trojaner irgendwo im Netz als „Baukasten“, wo man an und abhaken kann was man gern hätte.
Die bisherigen Varianten solcher „nur“ Störenfriede und nicht direkt Schädlinge, wurde bei mir bislang „sofort“ aktiv.
Die wenigsten brauchen einen Neustart.
Der dient meist nur ncoh dazu den Störenfried/Schädling möglichst sicher im system zu verankern.
Es gibt für fast alle Viren/Trojaner/Malware/Scareware/Rootskits „Baukästen“ im Internet.
Das sind tatsächlich einfach „Klick + Klick = Virus“ Baukästen.
Heißt aber auch, wenn sonst nichts modifiziert würde, wird ein Virenscanner das Teil sofort erkennen (solange er gut ist und aktuell – versteht sich).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)