Beitrag wurde zuletzt am aktualisiert

Bundespolizei Trojaner entfernen

Bundespolizei Virus / Trojaner entfernen

„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.

Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!

Schritt für Schritt Anleitung


Neue Varianten vom BKA-Virus (Bundestrojaner) im Umlauf! Alle Informationen + Videos zum Entfernen der Schadsoftware im GVU-Trojaner 2013 Beitrag, falls diese Tipps nicht zum Ziel – der vollständigen Wiederherstellung des Rechners – führen sollten

Die ersten Schritte bei Problemen dieser Art

Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!

  1. Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
  2. Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
  3. Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
  4. Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
  5. Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
  6. Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.

Anleitung zum Löschen des Bundespolizei Virus

Bundespolizei Virus - Bildschirm eines infizierten Windows PCs

Bundespolizei Virus – Bildschirm eines infizierten Windows PCs

  1. Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
  2. Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten

Windows im abgesicherten Modus starten

  1. Windows startet nun in einer Art Minimal-Konfiguration.
  2. Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
  3. Den Befehl regedit eingeben und [Enter] drücken
  4. Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
  5. Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
  6. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
  7. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
  8. [OK] klicken und das Registry-Fenster schließen [x].

Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.

Windows-Registry - Pfad zur jashla.exe

Windows-Registry – Pfad zur jashla.exe

Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.

Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).

Den Rechner jetzt ganz normal neu starten

Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.

Rechner auf Schadsoftware prüfen

Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.

Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.


Was heißt, der Spuk ist „erst mal“ vorbei?

Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.

Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!

Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …

Ich konnte euch mit den Informationen rund um das Thema Bundespolizei Trojaner entfernen weiter helfen? Dann bewerte diesen Beitrag ganz kurz und/oder hinterlasse einen Kommentar.

Bewertung für Bundespolizei Trojaner entfernen:
Sehr schlecht, mir fehlen die WorteHat gar nicht geholfenHat bedingt geholfenSehr gut, hat soweit funktioniertSuper, hat alles geklappt
 4,79 von 5 1 bei bislang 34 abgegebenen Stimmen.

57 Kommentare zu "Bundespolizei Trojaner entfernen"

  1. sscm | 13. September 2011 um 20:09 | Antworten

    Hilfeee :-(
    erst mal möchte ich dir für deine tolle Anleitung danken!! Aber ich habe es leider trotzdem nicht hinbekommen!! denn mein shell Wert hat schon bereits den namen: explorer.exe, ich habe es trotzdem gelöscht, und nochmal umbenannt aber es klappt nicht :-(

  2. sscm | 13. September 2011 um 20:10 | Antworten

    ach ja, und jashla.exe finde ich nicht :-(

  3. maren | 13. September 2011 um 22:15 | Antworten

    ich komm bei schritt 7 nicht weiter :( brauche dringend hilfe wenn es geht! find dieses hkey local machine aber mehr auch nicht

  4. uwe | 14. September 2011 um 03:39 | Antworten

    Ich hatte das gleiche Problem wie sscm. der trojaner scheint den wert umzubenennen. Setze Explorer.exe in Anführungszeichen, „Explorer.exe“.Dann läuft`s wieder.
    Allerdings finde ich den Trojaner nicht, wer kann mir helfen ? Ich habe alles genannte probiert.

  5. uwe | 14. September 2011 um 04:02 | Antworten

    Die Web-adresse, die mir das böse Ding geschickt hat, wird von avast freedownload erkannt.
    Habs mehrfach getestet.

  6. Daniel Weihmann | 14. September 2011 um 06:13 | Antworten

    Gibt es im Trojaner Board schon eine Diskussion darüber wie die Datei jetzt heißt? Die Wahrscheinlichkeit ist natürlich recht groß, dass aus jashla.exe jetzt irgend ein anderer Name geworden ist. Auch gut möglich, dass es sich schon gar nicht mehr um das Original des Trojaners handelt, sondern er einfach nur nach programmiert wurde.
    In diesen Fällen wird man mit großer Sicherheit diesen auch „verbessert“ haben!

  7. Astrid Lammers | 15. September 2011 um 18:29 | Antworten

    Vielen Dank für die super Anleitung! Nun sind wir das Ding endlich los!!

  8. LeChuck | 16. September 2011 um 09:40 | Antworten

    Bei mir hieß die EXE-Datei 0.3442121405175709.exe
    So unheimlich klug ist der Trojaner nicht, da die Exe-Datei im Taskmanager dankenswerter Weise aufgeführt wird während sie aktiv ist.

  9. Julian | 16. September 2011 um 11:00 | Antworten

    Hallo zusammen.
    Ich habe alles wie in der Anleitung gemacht.Nur ich habe das selbe Problem das der shell wert bereits “ explorer.exe“ heisst.Wie gehe ich weiter vor?

  10. Martin | 16. September 2011 um 23:27 | Antworten

    Vielen Dank! solange es noch anständige Leute wie dich gibt, haben Idioten die sowas erstellen keine Chance !

  11. Oliver meyer | 17. September 2011 um 08:41 | Antworten

    Bei mir stand unter Wert bereits „Explorer.exe“, sprich ich konnte gar keinen Pfad loeschen und das bundespolizeifenster öffnet nach wie vor! Was nun?

  12. Profiler | 17. September 2011 um 08:43 | Antworten

    Hallo und guten Morgen,
    zunächst möchte ich mich mal für die 10 Punkte-Lösung beim Entfernen des Bundespolizei-Trojaners bedanken. Respekt und kompetent zugleich, was man von den meisten Forenbeiträgen nicht sagen kann.

    Profiler

  13. maunz | 19. September 2011 um 21:36 | Antworten

    Hallo! Erst einmal danke für die Anleitung. War schon super erleichtert und wollte mich dran machen. Allerdings kann ich in der DOS-Eingabeaufforderung nichts eingeben, er reagiert einfach nicht, versucht zu starten, dann kommt eine Meldung, dass Windows nicht gestartet werden konnte und ich kann wieder auswählen zwischen Abgesichtertem Modus, “ mit Netzwerktreibern, “ mit Eingabeaufforderung und Windows normal starten. Mache ich das versucht er es erneurt und es kommt nach kurzer Zeit die gleiche Meldung. Mache ich gar nichts startet sich der PC automatisch neu bis wieder die gleiche Meldung kommt (Windows konnte nicht erfolgreich gestartet werden usw.)

    Was kann ich nun noch machen?

    LG

  14. Inga | 20. September 2011 um 22:48 | Antworten

    HAllo! ich hab alles gemacht, alle 10 schiritte und jetzt mein bildschrim ist total schwarz und ich kann nichts machen! Was soll ich tun??

  15. Daniel Weihmann | 21. September 2011 um 06:36 | Antworten

    @Inga: Steht Explorer.exe in Anführungszeichen beim beschriebenen Registry-Eintrag?

    @maunz: Das kling nach einem anderen Virus. Es gab vor ein paar Jahren mal einen, der den Rechner immer wieder neu startete. Müsstest versuchen den Bluescreen zu aktivieren. Dort stehen dann Fehlernummern, nach denen man im WWW suchen kann.

  16. Inga | 21. September 2011 um 07:37 | Antworten

    ich kenne mich nicht so aus, wo soll das stehen?:) könntest Du mir das besser eklären?:) Vielen Dank

  17. NicoMichaBL | 21. September 2011 um 10:18 | Antworten

    Hallo,
    ich würde gerne die Anleitung befolgen, aber wenn ich (F8, Windows im abges. Modus mit Eingabeauf.) starten will, startet der ganze Rechner neu. Ich habe so nicht die Möglichkeit irgendwas zu prüfen oder einzustellen.
    Help me!
    LG Micha

    • Stephan Poth | 30. September 2011 um 12:09 | Antworten

      nimm die F5 Taste.
      doppelklick die shell Datei
      „NICHT LÖSCHEN“
      Die datei wird benötigt damit der explorer startet.
      SDondern den eintrag kopieren,
      dan durch explorer.exe ersetzen

      Dann das Kopierte
      zb.
      C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
      in die Adressleiste einfügen
      und den letzten eintrag….bei mir ist es download…. löschen.
      Dann bist du im Ordner wo sich der Virus befindet.
      Hier einfach den Virus löschen.
      Fertig!!!!

  18. Daniel | 21. September 2011 um 12:44 | Antworten

    Virus entfernen unter windows vista:
    ich hatte das gleiche Probleme dass der Wert der Shell-Datei (nach doppelklicken wird der sichtbar) lediglich Explorer.exe hieß und ich keinen Pfad angezeigt bekam (ebenso wenig später jashla.exe finden konnte). Ich hab es dann folgendermaßen hinbekommen: Explorer.exe wie hier jemand beschrieben hat in Anführungszeichen setzen, also „Explorer.exe“. dann das Fenster geschlossen, und das MS-DOS Eingabefenster wieder geöffnet und dort Explorer.exe eingegeben, dann öffnet sich Windows im angesicherten Modus ohne den Trojaner, und dann eine Systemwiederherstellung, auch wenn diese 4 Tage alt war waren alle Daten vom Vortag noch vorhanden. Danach war alles wieder in Ordnung. Hoffe das hilft…und auch vielen Dank nochmal an Daniel Weihmann!!

  19. Daniel | 21. September 2011 um 12:47 | Antworten

    Ach ja: ich hatte die shell-Datei NICHT gelöscht, keine Ahnung ob das was verändert hätte

  20. Chris | 21. September 2011 um 18:08 | Antworten

    Auch bei mir tritt das Problem auf, dass ich nach Betätigen der F8-Taste und anschließender Auswahl des abgesicherten Modus + Eingabeaufforderung nicht in den DOS-Modus gelange, sondern mein PC jedesmal neu startet. An einem anderen Virus kann es nicht liegen, hsbe erst gestern den Scan laufen lassen.
    Vorschläge?

  21. KG Loehle | 21. September 2011 um 22:06 | Antworten

    Hallo an alle Betroffenen,
    nachdem ich den 2. Rechner vom BP-Troj. „versaut“ bekommen habe, bekam ich von unserem Admin eine ct´-DVD die mit geballter Linux-Antiviren-Scanner-Power dieses Drecksmachwerk eliminierte. Dabei wurden aber auch Desktop samt Taskleiste geext! Nur mit Taskmanager kann ich mich durchs System hangeln und humpeln, sehr bequem und nervenschonend ;-( Gibt´s da auch einen Registry-Spezial-Trick, Daniel? Retter der BP-Verschreckten!

  22. Oli | 22. September 2011 um 01:06 | Antworten

    Vielen Dank an Daniel, die Anleitung war zu 99% hilfreich (hab auch win7, daher nicht komplett geklappt) aber Steven hat das ganze mit seinem Tipp doch noch erfolgreich gemacht.
    Hab fast 4 stunden gebraucht aber jetzt läuft’s wieder, Danke!!!!

    Ich frage mich nur woher der Trojaner kam, habe nämlich keine verdächtige Emails bekomme oder geöffnet, ich war lediglich in dem Moment beim FB als die Meldung über die Sperre kam und ich habe auch das MS Security Essentials auf meinem PC installiert, deshalb weiß ich nicht was ich falsch gemacht haben sollte… aber wie auch immer jetzt ist es weg ;-)

  23. Kristina | 22. September 2011 um 16:22 | Antworten

    mit windows xp professionell geht des irgendwie nicht
    der starte immer wieder von neuem wenn ich des eingebe.was mach ich falsch?

  24. Manuel | 23. September 2011 um 00:32 | Antworten

    Malewarebytes ist auch ganz hilf reich dadurch bin ich ihn auch losgeworden ist freeware

  25. Manuel | 23. September 2011 um 00:44 | Antworten

    es ist egal welches antivirus,internetschutzoder firewal
    ihr habt der virus schafft es sie zu umgehen

    ich habe g-data totalcare es hat sofort alarm geschlagen wo das fenster auf ging aber da war es schon fast zu spät es wurde dann in karrantäne gesetzt aber es konnte nicht gelöscht werden

    und da ist mir das eingefallen was mir ne computer fach firma gesagt und gezeigt hat das mit malwarebites

  26. Mareike | 23. September 2011 um 19:18 | Antworten

    Vielen Dank! Hat alles perfekt geklappt :)
    (Hab meinen Eltern ihren Rechner mit wichtigen Dokumenten „gerettet“, war der Held des Tages)

  27. c.G | 24. September 2011 um 10:15 | Antworten

    so..

    die anleitung funktionierte bei mir auch nicht..

    was tun?

    abgesicherter Modus mit eingabeauforerung.
    dann über „regedit“ zu winlogon navigieren…
    bisher alles gut.
    shell eintrag ausfindig gemacht… auch gut..
    nun explorer.exe in „Explorer.exe“ umbenannt

    okay jetzt über das dos fenster noch Explorer.exe eingetippt und juhuu man hatte wieder „zugriff“

    mit aktivem dos fenster wieder regedit eintippen und nun über Hkeycurrentuser/software/microsoft/windows/currentversion/run

    mal bissl geschaut… ich kannte kein programm bei mir das vasja hieß und sich im autostart befinden sollte….

    hab mir den eintrag ma angesehen und siehe da mein mozilla wurde befallen…
    den eintrag habe ich gelöscht und im mozilla verzeichnis die exe gelöscht die in etwa 20 stellig mit zahlen versehen war.

    und siehe da ich konnte normal booten und alles war ruhig…

    malwarebytes nochmal benutzt und kaspersky zum scannen..

    alles bereinigt und mein rechner brauchte kein reinstall bisher..

    hoffe ich konnte helfen

  28. M.G. | 24. September 2011 um 11:08 | Antworten

    Super Anleitung. Virus entfernt. Alles wieder ok. Vielen Dank für die auch für einen kompletten Laien verständliche Anleitung.

  29. Inga | 24. September 2011 um 15:33 | Antworten

    JEstz ist es geklappt. Vielen Dank!

  30. Joe | 24. September 2011 um 17:17 | Antworten

    Hallo ich habe folgendes problem ich kan den abegsuchtern modus nicht richtig starten wen ich drüf drücke 5 sec black screen dan blue screen dan reboot was kan ich machen

  31. Mike | 25. September 2011 um 11:26 | Antworten

    Hi, vielen Dank, mit der Anleitung hat es funktioniert

  32. E P Baum | 25. September 2011 um 11:45 | Antworten

    Hallo, danke für die Anleitung.
    es hat zwar erst nach dem 4. Versuch geklappt( man sollte besser lesen können).
    Nachdem ich die Datei gelöscht (in den Papierkorb)
    und neu gestartet hatte, war „Er“ immer noch vorhanden.
    Erst nachdem ich den Papierkorb im abgesicherten Modus gelöscht hatte, lief mein PC wieder.
    D A N K E !!! für diese Hilfe.

    • robi1960 | 25. September 2011 um 18:33 | Antworten

      bei mir war datei jashla.exe unter folgendem pfad versteckt:
      user\username\appdata\roaming\jashla.exe
      in der registry war der eintrag der jashla.exe zum starten auch noch woanders versteckt, unter:
      hkey_current_user\software\microsoft\windows\currentversion\run\avupdate

      gruß robi

  33. Rob | 25. September 2011 um 13:56 | Antworten

    vielen dank! hat geklappt!

  34. Björn | 26. September 2011 um 11:23 | Antworten

    Ich habe die erste Anleitung versucht und ausersehen die Shell Datei gelöscht und daher habe ich den leitpfad nicht notiert wie bekomme ich es wieder hin oder geht es auch anders? Ich bin aber nicht so fit im punkto Computer danke für eure Hilfe.

  35. PFWA | 26. September 2011 um 18:02 | Antworten

    Hallo,
    danke für die gute Anleitung.Auch als „Nichtprofi“
    konnte ich den Trojaner entfernen.
    Nur bei mir hatte er sich nicht als „jashia.exe“ ein-
    geschlichen, sondern hatte sich hinter:C\Dokumente und Ein
    stellungen….. als „mahmud.exe 27B334E6.pf“ versteckt.
    Danke
    pfwa

  36. tomm | 26. September 2011 um 19:56 | Antworten

    fettes DAnke…er heist jetzt mahmud exe

    • Daniel Weihmann | 26. September 2011 um 20:11 | Antworten

      … und das wird nicht der einzige und letzte „Spitzname“ des Trojaners sein. Ich denke ich werde die Tage mal damit beginnen, die über 100 Kommentare mal zu sortieren und vielleicht bekomme ich einen Artikel über mögliche Probleme, Namen des Virus usw. hin. Als wer noch etwas beitragen kann, bitte hier kommentieren.

  37. Wolfgang | 27. September 2011 um 10:48 | Antworten

    …hat erstmal funktioniert:) danke

    Ein Tipp wer z.b.Proleme mit abgesicherten Modus hat.
    Was bei mir mit win xp gefunzt hast >

    Windows normal starten auf Benutzer klicken und dann sofort strg-alt-entf klicken
    dann oben unter Datei auf neuer task gehen und: explorer.exe eingeben

    weiter, wie oben bereits beschrieben

    Virus heisst immo noch mahmud.exe und war unter
    c:windows/prefetch/mahmud1234567.exe zu finden

  38. Maike | 28. September 2011 um 15:18 | Antworten

    Ähm :D
    Bei hakt es schon am Anfang.
    Wie schalte ich den Computer aus?
    Normalerweise klicke auf dieses Windowszeichen an der Tastatur und dein öffnet sich ja soetwas und dann schalte ich den aus.
    Aber es geht nicht :/
    Habe auch schon auf die Einschaltaste gedrückt ….
    Geht nicht …
    Wie haben sie es denn gemacht?

    • Daniel Weihmann | 28. September 2011 um 18:27 | Antworten

      Bei den meisten Rechnern sollte es genügen, falls vorhanden, den Reset-Knopf zu drücken. Hat man diesen oft recht kleinen Schalter nicht, dann hilft es den Power-Knopf (den Einschaltknopf) für mehrere Sekunde (5-8 schätze ich) gedrückt zu halten. Hilft alles nicht weiter, dann gibt es noch den Weg über den Netzstecker. Einfach ziehen, einen Moment abwarten und wieder einstecken.

      Möglicherweise funktioniert beim eingeschaltenen Rechner noch die Tastenkombination [STRG] + [ALT] + [Entf], habe ich aber nicht getestet, als ich den Trojaner „in der Hand“ hatte …

  39. momo | 29. September 2011 um 08:44 | Antworten

    Danke!!!
    Mit dieser tollen Anleitung habe sogar ich als Laie es geschafft, den PC wieder „frei“ zu bekommen.

  40. cano | 29. September 2011 um 21:54 | Antworten

    Ich hab Shell Datei ausversehen gelöscht anstat in Explorer.exe umbenannt weil es das so schon stand. Was soll ich jetzt machen?

  41. Marcel | 29. September 2011 um 22:42 | Antworten

    Winlogon ordner is nun weg nach der aktion, was nun?

  43. Volkan | 1. Oktober 2011 um 16:32 | Antworten

    weg bekommen habe ich den virus nicht kann das sein das es irgendwo anders ist und nicht mehr im shell mein shell heißt explorer.exe ohne “ zeichen. also ganz normal.

    die datei finde ich leider auch nicht habe überall durchgesucht bitte um dringend hilfe

  44. Sportfreund | 2. Oktober 2011 um 10:39 | Antworten

    Tolle Anleitung, hat unter XP super geklappt. Danke!!

  45. Volker | 2. Oktober 2011 um 11:55 | Antworten

    Sensationell! Hat geholfen. Vielen Dank! Sehr effiziente Anleitung!

    Vielleicht noch folgender Hinweis: bei mir hieß die Datei nicht jashla.exe sondern mahmud.exe. Scheint also eine Modifikation zu sein.

    Dankeschön!

  46. Christop | 2. Oktober 2011 um 21:19 | Antworten

    Hallo, erstmal danke für die anleitung, ich habe windows 7 wenn ich auf shell doppelkicke öffnet sich ein Fenster mit Name und Wert bei Wert steht bei mir allerding schon explorer.exe da und wenn ich es in Anführungszeichen setze wie oben genannt wurde rührt sich bei mir auch nichts :( gibt es evtl unterschiede zwiscbei windows 7 wenn ja würde ich mich freuen wenn mir jemand sagt was ich da zu tun habe. mfg

  47. DADDY | 2. Oktober 2011 um 23:27 | Antworten

    Hey, Danke erstmal an die Wundervolle Anleitung!
    Bei mir hat denke ich fast alles geklappt aber habe jetzt folgendes Problem:
    (Nebenbei: Die hieß bei mir nciht Jashla.exe sondern mahmud.exe , ich weis auch nicht wieso?)
    Das Bundespolizeifenster öffnet sich auch nicht mehr bei mir, wenn ich den PC im normalen Modus starte, aber mein Explorer will sich nicht öffnen!
    Wenn ich versuche ihn im Taskmanager auszuführen öffnet sich jetzt mein Ordner „Eigene Datein“
    Und im Taskmanager unter Prozesse ist ein Prozess der heißt DTShellHlP.exe
    Kann mir da jemand pls helfen? :(

  48. DADDY | 2. Oktober 2011 um 23:39 | Antworten

    Ok, ich habs alleine Hinbekommen, falls jmd das gleich Problem hat, nur für die Zukunft, dann muss er nochmal >Schritt 9< ausführen, dann kann man im, wenn sich der Explorer beim start schon nicht öffnet, unter Taskmanager einfach explorer.exe ausführen!

    Trotzdem danke, die Anleitung ist Spitzenklasse! =D

  49. Ingrid | 3. Oktober 2011 um 00:51 | Antworten

    Habe es nach ein paar Problemen jetzt glaub geschafft. Vielen Dank für die guten Anleitungen. Konnte von vielen Mitteilungen profitieren. Andere Namen und so…
    Also nochmal DANKE an alle.

  50. Dustin | 3. Oktober 2011 um 01:43 | Antworten

    KEINE PANIK! ICH HABE DIE LÖSUNG:

    Bei mir stand ebenfalls als Wert schon explorer.exe drin und ich konnte auch die jashla.exe nicht finden. Es scheint als<hätte sich der Trojaner einen neuen namen zugelegt.
    Ich habe zunächst im Shell schlüssel den wert Explorer.exe in Anführungszeichen gesetzt, danach habe ich mein System mal manuell ein wenig durchforstet. Bei mir war der Trojaner in C/Benutzer/Name/AppData/Roaming zu finden und zwar unter dem Namen: Mahmud .
    Ich habe die Datei gelöscht und nun klappt alles wieder wie vorher.

    LG Dustin

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.