„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Sehr hilfreiche Site.
Im ersten Moment als Anlaufstelle sehr gut, vor allem mit Schritt-für-Schritt Anleitung…
TOP
@ Hausverwaltung Essen
Freut zu hören wenn diese Seite helfen konnte.
Anmerkung<br /<
Ich denke ich darf dies auch im Namen von Herrn Weihmann so sagen. :-)
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Das war doch eher ein Spam-Kommentar. Die URL auf eine zum Namen passende Adresse habe ich natürlich entfernt …
Das klappt bei mir nicht was kann ich tun???
Klick mal auf https://www.redirect301.de/tag/bka-trojaner. Der Trojaner verändert sich sehr oft und somit funktioniert diese ältere Anleitung leider nicht mehr überall.
@ Bahri
Darf ich fragen wie der aktuelle Stand ist?
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Ich komme aus der Schweiz und habe einen sehr ähnlichen Trojaner. Dieser ist einfach im Schweiz-style. Ich habe die Artikelnummern überprüft und bemerkt, dass diese einfach wahllose Zahlen sind. Zudem kam mir die 100 Franken/Euro-Überweisung sehr merkwürdig vor. Ich hoff ich kann ihn mit dieser Anleitung hier entfernen und bedanke mich hier schon im Vorraus für diese Hilfe.
@ Anonym
Sollte es Fragen/Probleme dabei geben, einfach hier weiter posten oder gerne auch direkt eine Mail an Mich.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Ist prinzipiell alles der selbe Schrott, nur mit einer angepassten „Optik“.
@Daniel
Also bitte, das ist doch kein Schrott. Um es genau zu nehmen iost es schon gewissermaßen ein stück Kunst.^^
klar ist das je nach Betrachtungswinkel leicht unterschiedlich *schmunzel*, aber es hält so ziemlich jedem Programmierer vor, was alles möglich ist, wenn man nur Mittel & Wege ins System kennt.^^
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Du wirst doch nicht noch die Seite wechsel wollen ;-)
@ Daniel
*Argh* kein Antwortbutton mehr bei deiner AW verfügbar. :-(
Naja, zumindest rein von der „Geldseite“ her wäre es natürlich verlockend, aber ich glaube meine Programmiererskills sind dafür doch viel zu schwach und das ich mich eines Baukastens für Kids bediene, kommt nicht in die Tüte. :-p
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Hallo Daniel,
die Anleitung ist echt prima, aber ich verzweifle dennoch am Trojaner.
Denn bei mir ist jeder abgesicherte Modus eine Sackgasse. 3-5 Sekunden nach Erreichen des Startbildschirms im abgesicherten Modus startet der PC von allein erneut. Eine Bearbeitung der Registry fällt also komplett weg.
Auch Systemwiederherstellung klappt nicht. Genauso wie eine Windows Reparatur CD den Trojaner nicht beseitigt. Auch die manuelle Rücksetzung der Registry (mittels der Dateien im Ordner regBack.)
Hast du noch Ideen, was ich versuchen kann um den Störenfried zu entfernen?
@Martin
Der Neustart erfolgt ggf. aus 2 verschiedenen Gründen…
1. Der Schädling/Nervtöter hat in der Registry einen bzw. mehrere Werte umgeschrieben und verhindert damit einen sauberen Start.
2. Der Schädling/Nervtöter hat wichtige Teile für den Abgesicherten Modus gelöscht (aus der Registry), so das ebenfalls dieser Modus nicht mehr zur Verfügung steht.
Am „einfachsten“ kann man dem ganzen nun über 2 Wege versuchen Herr zu werden:
1. Start des Rechners mit einer Bootfähigen Rettungs-CD/DVD. Als Beispiele seien dafür mal „Kasperskys Rescue Disc“ (spezielle Version im Netz verfügbar zum selbstbrennen) oder die im Handel/Online erhältliche „c’t desinfec’t 2013“ DVD.
2. Meisten ist der „Abgesicherte Modus mit Eingabeaufforderung“ noch nutzbar, dann wäre es damit ebenfalls machbar.
Klar gibt es noch mehr Wege, diese sind aber allesamt nicht mal eben in ein paar Sekunden hier zusammengetippt. :-)
Sollte es noch Fragen geben, dann entweder hier tippen, oder direkt eine Mail an mich.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Ich hab da eine Frage..
Bisher hat bei mir mit der Lösung alles funktioniert, nur wenn ich nach „jashla.exe“ oder einfach nur „jashla“ suche, findet es die Datei nicht.
D.h. ich kann sie auch gar nicht löschen. Hab es auch schon versucht indem ich den zuvor notierten Pfad eingegeben habe, der wurde aber nicht gefunden..
Kann mir da evtl. jemand weiterhelfen?
Die kann auch andere Namen haben – die Hacker halten sich leider nicht immer an die bekannten Namensvorgaben. Schau mal hier: http://kunden.pp4it.de/bka-entfernung.php
Bei mir sieht es folgender maßen aus.
ich kann meinen Laptop weder im
Abgesicherten Modus,
Mit Netzverbindun,
Mit Eingabeaufforderung
Hochfahren.
Auch Startet die Win XP CD nicht trotz
umstellung im Boot.
Weiß nicht was ich noch machen soll.
Bitte es ist dringend ich brauche meine Daten.
LG isabel
@ Isabel
Bitte lies Dir/lesen sie sich mal mein Kommentar (etwas weiter oben) an Martin durch.
Denn etwa selbiges ist nun hier die anwendbare Möglichkeit.
Weiterhin stehe ich auch gerne hier oder direkt per Mail zur Verfügung.
Anmerkung:
Ich habe jetzt zwar erst mal Urlaub, bin damit zwar auch nicht mehr so schnell am Rechner, aber versuche trotzdem täglich meine Mails zu checken und/oder hier zu antworten.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Es ist zwar eine sehr gute Anleitung , dennoch stecke ich fest und weiß nicht was ich machen soll. Bei dem Schlüssel „Shell“ ist schon der Wert „explorer.exe“ und verstehe nicht wie ich jetzt weiter verfahren soll. Eine Antwort wäre sehr schön Mit freundlichem Gruß
Bella
Hallo Bella,
hast du dein Problem lösen können?
Gruß JR
bis jetzt hat alles perfekt geklappt jedoch wenn ich jashla.exe angebe findet es diesen Programm nicht …
Hab das probiert aber Wenn i auf Shell klicke steht da kein pfad Wo i das löschen kann
Praktisch is cliché problem wie basia. Hilfe
Schaut mal hier: https://www.redirect301.de/gvu-trojaner-entfernen-2013.html
Habe der Anleitung gefolgt nur einen Fehler gemacht glaube ich ich finde die Shell Datei nicht im Explorer brauche echt dringend Hilfe
Hallo Ralf,
blockiert deinen Rechner der Schädling noch?
Hallo!
Mein Vater hat trotz Norton Internet Security diesen Trojaner auf dem Laptop!Habe heute versucht ihn mit F8 usw. zu löschen aber der Trojaner lässt mich nichts machen beim abgesicherten Modus schaltet der den Laptop sofort wieder auf normal Status und ich kann nichts machen!Gibt es da noch eine Möglichkeit irgendwie diesen Trojaner zu entfernen??
Ich konnte es noch niwcht probieren, klingt aber vielversprechend: https://www.redirect301.de/bka-trojaner-automatisch-entfernen.html
Hilfe habe den Virus habe das schon ausprobiert aber klappt nicht
Ich komme in den abgesicherten Modus rein
hallo ich habe gestern Abend auch den Bundestrojaner bekommen trotz avira vollversion…weis zwar nicht wie das genau aufen pc ist jedoch muss es runter.abgesicherter modus ging net ist immer sofort in den normalen modus gesprungen.habe dan mit eingabeaufforderung eine systemwiederherstellung gemacht.rechner läuft wieder.was ich gleich gemeekt hab bei avira war alles deaktiviert genauso wie die windows firewall.hat erstmal gedauert das wieder zu starten… so nun sollte es ja runter vom pc. hab avira geupdatet hat 2tr gefunden gehabt. Frage muss ich mein pc neu aufsetzen oder komm ich auch ohne davon?
danke für die anleitung. scheint ja ganz gut zu funktionieren. habe das beschriebene problem bei mir mit „trojan remover“ (von z.B. chiponline downloadbar) behoben. funktionierte schnell, automatisch und bis heute – 3 tage danach – korrekt. mfg margrit08
@ margit08
Kann man sagen welche Schadobjekte gefunden worden waren? Also nicht unbedingt der Dateiname, sondern vielmehr der Name des Schädlings?
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
ich danke dir für diese anleitung sie war sehr hilfreich :D
ich hab grad ein ganz anderes Problem. ich hab mir von einem freund helfen lassen, er meinte ich soll ein neues Benutzerkonto erstellen und das alte löschen. es hat funktioniert. damit ich aber meine selbsterarbeiteten bilder, Videos und musik nicht verlier hab ich die beim löschen des alten Kontos verweigert, der Laptop meinte irgendwas mit, das die in einem ordner auf dem Desktop gespeichert wären. doch ich sehe nichts. heißt das jetz meine ganzen Daten sind im eimer? ):
@ Julia
Mal abgesehen davon das man auf dieser Art & Weise definitiv keine Schädlinge/Nervtöter sauber entfernt, ist ein anderes Benutzerkonto natürlich meist eine Option.
Das andere Benutzerkonto zu löschen heißt in der Regel, wenn man kein gescheites Backup hat, alle dort abgelegten Daten zu verlieren.
Man kann allerdings auch die Löschung bestimmter Daten, soweit ich weiß, verneinen und dies wurde ja wohl auch getan.
Im Zuge dessen sollte noch ein Teil des alten Profils unter
(Windows XP) C:\Dokumente und Einstellungen\“Benutzerkonto“\Eigene Dateien
(Windows Vista/7/8 deu.) C:\Benutzer\“Benutzerkonto“\Eigene …
(Windows Vista/7/8 engl.) C:\Users\“Benutzerkonto“\Own …
existieren.
Sollte dort nicht mal mehr das alte Benutzerkonto zu sehen sein, ist es mit großer Wahrscheinlichkeit komplett gelöscht worden.
Dann kann man nur noch eine Datenwiederherstellung mit bestimmten Programmen ausprobieren.
PS.: Nichts gegen deinen Freund/Bekannten, aber auf all diese Umstände sollte man vorher hinweisen.^^
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
antwort auf frage simon (siehe unten in diesem kommentar):
ja, kann man. der „trojan remover“ zeigt den schädling an, benennt ihn und dann kann man sagen: löschen/isolieren. habe mir den aber leider nicht gemerkt… mfg margrit08
Simon 15. Juli 2013 am 07:24 – Antworten
@ margit08
Kann man sagen welche Schadobjekte gefunden worden waren? Also nicht unbedingt der Dateiname, sondern vielmehr der Name des Schädlings?
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
Ich brauche auch unbedingt hilfe!
Ich habe heute diesen trojaner bekommen und deine anleitung befolgt! Hat auch gut geklappt nur ich habe wie es aussieht die shell datei aus dem registry gelöscht! Was soll ich jetzt tun? Ich brauche bitte echt hilfe! Mfg
Noch ne frage: falls ich das alles richtig gemacht habe und shell gegen explorer.exe getauscht habe, ich mir den wert nicht gemerkt bzw gefunden habe was mach ich dann? Was kann ich dann eingeben dass es funktioniert?
@ Philipp
Wie ist der aktuelle Stand?
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Habe seit heute das Problem mit dem polizeitrojaner.
Die Selbsthilfe zum entfernen des Trojaners funktioniert bis zum Schritt 8. Im Schlüssel namens Schell steht bereits Explorer.exe. Somit ist hier aus? Ebenfalls finde ich Jashla.exe nich
Kann mir jemand helfen?
@ Arnold
Es gibt mehrere Möglichkeiten, je nachdem welche Variante man sich eingefangen hat. Entweder uralt, oder Monate alt, oder fast nagelneu.^^
Entsprechend könnte entweder meine Seite hilfreich sein.
Sollte das alles nichts helfen, kann man mir auch einfach eine Mail senden.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
@ Simon
Habe es bis heute noch nicht hinbekommen weil ich diese datei mit jashla.exe nicht finde!
Kann das irgendein experte oder so jemand das machen dass der computer wieder geht?
Mfg
@ Philipp
Funktioniert denn der „Abgesicherte Modus mit Netzwerktreibern“ oder wenigstens irgendeiner der beiden anderen Abgesicherten-Varianten?
Am einfachsten ist vermutlich erst mal die Kontaktaufnahme per Mail (Siehe Signatur).
Dann könnte man alle weiteren Schritte der Hilfe/Unterstützung auch darüber laufen lassen.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Hallo, Simon!
Ich habe mir jetzt das Windows 7 Prof gekauft, weil man da einen virtuellen Computer aufsetzen kann. Ich hoffe,
daß ich so dieser Virusplage entgehen kann.
Gruß
Peter
@ Hallo Peter
lange nicht mehr gesehen/geschrieben/gesprochen.^^ :-)
Man kann auch unter anderen Windows-Versionen, unter anderem auch unter Windows XP virtuelle Maschinen laufen lassen.
Unter Windows 7 Professional & Ultimate hat man nur den Vorteil das man sich von Microsoft direkt ein „Windows XP“ für das „Microsoft Virtual PC“ beziehen kann, ohne das man es irgendwie selbst konfigurieren muss.
Ansonsten gibt es noch andere Anbieter wie Vmware (der Player ist kostenfrei), oder Oracles Virtual Box (Freeware).
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Virtual Box läuft bei mir unter Windows 7 und unter Ubuntu. Im letzten Jahr noch unter XP.
Hallo Daniel,
wie sind Deine Erfahrungen mit VMWare?
@ Peter Zeller
also mit VMware an sich bin ich privat (Workstation und Server) wie auch geschäftlich (ESXi Server mit vSphere) voll zufrieden. Es gibt fast nichts, was man im Normalgebrauch nicht abbilden könnte.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
…ich sehe gerade, es ist Virtual Box. Wie gut funktioniert das?
Gruß an Simon.
Peter
@ Peter Zeller
Wo ist es VirtualBox? In Windows 7 kann man sich ganz legal 2 Downloadpakete von Microsoft direkt runterladen.
Das erste Paket ist das Programm „VirtualPC“ und das zweite ist dann „Microsoft Windows XP Professional 32-bit“.
VirtualBox an sich funktioniert auch meines Erachtens nach gut, und kann im Gegensatz zu VMware Workstation auch Windows 8/8.1.
Was aber bei VMware bestimmt bald auch funktionsfähig sein wird.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Bei mir geht jetzt nichtmal mehr das fenster für den abgesicherten modus mehr auf das kommen sollte wenn man F8 drückt!!! Was soll ich jetzt tun?
Mfg
Dann benutze die Windows CD:
http://www.trojaner-board.de/132035-anleitung-scan-farbars-recovery-scan-tool.html
Wie findet man diese Winlogon ? Bzw was ist damit gemeint das man auf dieses + Zeichen klicken soll ? Wie finde ich dieses Winlogon ?
Lg Jülide
@ Jülide
„Winlogon“ fgindet man in der REgistry. Diese wiederum kann man z.B.über einen der „Abgesicherten Modus“-Arten aufrufen.
Dorthin kommt man im Regelfall wiederum über dauerndes [F8]-Tastengehämmer beim Rechnerstart.
Ist man dort, drückt man entweder [WindowsTaste]+[R] -> regedit eingeben -> [OK] drücken
ODER
Start- -> Ausführen -> regedit eingeben -> [OK] drücken.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Hallo Simon,
wie gut kennst du dich aus in Windows 7 Prof ?
Gruß, Peter
@ Peter Zeller
Nun, als Fachinformatiker, arbeitend bei einem IT-Dienstleister arbeite ich immer mit den aktuellen Systemen. Auf die ein oder andere Art & Weise.
Weiterhin nutze ich damit auch die neue Systeme meist etwas vor dem offiziellen Release für „Normaluser“. :-)
Kurzum, ich denke ich kenne mich damit recht gut aus.^^
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Hallo Simon,
ich dachte mir das schon, also meine Frage war eher rhetorisch. Derzeit versuche ich auf support.net zu klären, wie ich bei Windows 7 zum Administrator mit allen Rechten werde. Grund: Ich habe einen neuen Rechner gekauft, – W7 Prof war vorinstalliert, UEFI-Bios ebenso, Mainboard von Asus – und wenn ich auf \Computer\C: gehe, dann sind da jede Menge Ordner, bei denen mir der Zugriff verweigert wird. Was mich ärgert, weil der Rechner ja allein mir gehört. Und evt. führt das zu Problemen, wenn ich mir mal wieder einen Virus einfangen sollte.
Gruß
Peter
@ Peter Zeller
Nun, das mit dem Administrator ist eigentlich aus zwei Gründen recht „simpel“ geklärt:
1. Den First-Administrator kannst Du sauber über „Start -> [Rechte Maustaste] auf „Computer“ -> Verwaltung -> Lokale Benutzer und Gruppen -> Benutzer“ aktivieren.
Ich persönlich würde diesen mir aber in der Hinterhand behalten und dann lieber einen weiteren Benutzer mit Adminrechten oder aber (deutlich besser!) nur Userrechten – einrichten.
Das Kennwort des Administrator das dann bei einer De/-Installation und eingeschaltetem! UAC (User Access Control) abgefragt wird, kennst Du ja dann selbst, da Du es ja zuvor selbst eingerichtet hast.
Das einige Verzeichnisse auf C:\ keine Zugriffsrechte für den normalen Administrator auf Anhieb haben, ist richtig und wichtig so. Es handelt sich dabei in aller Regel um Systemnahe Verzeichnisse, in welchen man in aller Regel, auch bei einer Infektion nicht unbedingt was zu suchen hat.
Und wenn doch, kann kann man immernoch über das „Ergreifen der sogenannten Besitzerrechte“ in den Ordner reinschauen (als Admin).
Ich hoffe ich konnte damit etwas helfen und Licht ins Dunkel bringen.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Hat super geklappt, vielen Dank! Schön das es euch Gute gibt die diesen Affen die Suppe versalzen ;-).
@ Andy
Darf ich fragen ob es der reine Austausch der explorer.exe war, oder ob da noch anders rangegangen wurde?
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Hallo,
ich habe ein kleines Problem und zwar bin bin ich jetzt bei schritt 6 bzw. 7 und verstehe nicht so ganz was ich machen soll.
Wenn ich mit doppelklick auf shell klicke kommt dann der Name Shell und der Wert explorer.exe. Was muss ich hier genau löschen??
mfg
Diese Anleitung ist leider überholt.
@ Patrick
Diese Anleitung ist schon seit ca. 1,5 Jahren „überholt“. Nichts desto trotz ist Sie für manche dennoch eine Hilfe und außerdem ein Anhaltspunkt wenn nichts mehr geht.
Weiterhin hat eben nicht jeder diese „eine“ Variante, so das diese Anleitung im Idealfall sogar der Schlüssel zur Lösung sein kann.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
@ Anna
Wenn dort explorer.exe steht, ist entweder selbige infiziert, oder aber und das ist wahrscheinlicher, der Schädling/Nervtöter steckt woanders.
Im Zuge dessen, könnte man nun versuchen die explorer.exe auszutauschen, oder aber den Schädling im System suchen.
Eine Hilfe für beides, ist auf meiner Seite zu finden.
Sollte es noch Fragen/Probleme geben, schreibe entweder hier ins Blog, oder aber sende mir eine Mail diesbezüglich.
Dann kann man das direkt klären ohne das Blog zuzuposten mit hier erst mal ggf. wenig hilfreichen Texten/Fragen.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
eine weitere möglichkeit ist, den rechner wie hier beschrieben mit drücken durch f8 im gesicherten modus hochzufahren, dann unter suchen – dateien/order eingeben:
*.exe
(also: stern punkt exe)
alle dan gefundenen exe dateien nach datum sortieren und meist ist die aktuellste .exe datei der übeltäter. (oft hat sie auch einen seltsamen namen aus zahlen und buchstaben mischmasch) diese löschen und den rechner dann normal hochfahren
(so war es bei mir zwei mal – ich übernehme aber keine gewähr)
liebe grüße
@Nadie
Nun, das ist was ich auch unter anderem mit der Dateisammlung auf meiner Seite vorschlage. Dort sind viele Beispiele bzw. ehemals ermittelte Schädlingnamen und Fundorte zu finden.
Das einfache umbenennen und Entfernen der Datei/en hilft zwar das dass Windows wieder läuft (meistens), nicht aber um zu erkennen was man sich da gefangen hatte.
Wenn man also schon seinen Rechner so „säubert“, dann sollten diverse Scans auf Malware/Scareware/Rootkits/Viren/Trojaner im Abgesicherten Modus (WICHTIG!) erfolgen.
Weiterhin ist es leider nicht in jeder Schädlings/Nervtötervariante möglich in einen der Abgesicherten-Modus-Arten zu wechseln, manchmal startet auch nur der Rechner neu.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
Hallo Simon,
ich habe auf meinem Laptop jetzt auch so einen Trojaner gefunden.
Ich habe auch bereits die Schritte 1-5 befolgt und das hat bisher auch alles funktioniert.
Mein Problem:
Ich komme mit Punkt 6 nicht weiter.. Ich bin dem Pfad gefolgt und nun bei „Shell“ angekommen. dort steht bereits Explorer.exe drin. Nun weiß ich nicht wie ich weiter verfahren soll.. leider habe ich bisher auch nicht auf deiner seite gefunden was mir weiter hilft..
@bensch
In wie fern „gefunden“? Und wo gefunden?
Und, wurde auch ein Schädlingsname erkannt (kommt drauf an wie er halt gefunden wurde)?
Schritt 6 ist ggf. nicht mehr notwendig, je nachdem halt, wie der Schädling/Nervtöter gefunden worden ist.
Bitte erst noch diese Fragen beantworten.
Dies kann entweder hier im Blog geschehen, oder gerne auch per Mail an mich direkt.
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
Hilfeseite
Mail me
bei mir taucht keine eingabeaufforderug auf in die ich regedit eingeben kann
Hallo, wie kann ich dies löschen bei einem Imac ?
Hallöchen, bei Apple hilft nur hdd extern checken lassen da der Kumpel in einer *.lst steht und Safari blockt.
Ist übrigens der erste Hilferuf von Apple, Respect.
Ansonsten über Apple-ID wiederherstellen, vorrausetzung ist das eine Sicherung über Timemaschine erfolgt ist.
LG Karsten
JA leider zahlen leider einige Menschen den Betrag in höhe von 100 Euro …. Doch dahinter stecken Kriminelle Menschen…
Ich sage nur bloß nicht zahlen !
an den Blogger … Top erklärt !
… und es findet sich schon wieder eine neue Masche im Zusammenhang mit solch einem Erpresser-Trojaner im Netz: Selbe Machart, jedoch werden „nur“ 10 Dollar oder andere kleinere Beträge gefordert.
Ich denke, dass 8 € schneller und häufiger gezahlt werden als 100 €. Am Ergebnis ändert aber auch das nichts. Der Rechner wird dann immer noch nicht funktionieren!
guten tag ich habe auch bekommen die trojen bundes polizei wie kann meine cumputer schüzten ich habe zone alarm und avast frei und avg kann meine cumputer schützen sind nur information angekomene ins nächste 12 stude wir meine bronzer gespert das erich bitte melden sie mich schneller die möglixkeit
Hallöchen christos,
wenn Du noch Zugriff auf Deinen Rechner hast dann versuche bitte mittels diesen Programm (http://www.giga.de/downloads/kaspersky-windowsunlocker/) den PC erstmal zu checken.
Danach eine kostenpflichtige Internet- Security (Kaspersky, ODER Norton ) niemals zwei da die sich aufheben!!!
auf den Rechner und Zone Alarm runter bzw deinstallieren war früher mal besser.
Aufgrund der Tatsache das dieser BKA Trojaner immer intelligenter wird ist auch ein Programm wie Spyhunter oder Malwarebytes eine gute lösung zum durchsuchen und eliminieren.
Wenn der Rechner schon gesperrt ist, versuchen eine kaspersky rescue-Disk einzulegen, dann rechner online vor Windowsstart checken lassen.
Bei Erfolg diese Ransom-Software löschen.
Bin selbst am Grübeln, bei einem Neu-Befall, aber ich hoffe das es etwas hilft, Notfalls muss ein Techniker Ran.
IMMER DRAN DENKEN SICHERHEIT zu 99% KOSTET ETWAS.
LG Karsten
Nochmal ich, muss einfach mal was loswerden, finde SIMON´s Ausführungen KLASSE, Hut ab.. weil es wenige gibt (nicht persönlich nehmen) die noch nicht Betriebsblind sind.
EINFACH MAL DANKE für die Unterstützung!!
Karsten
Was nützt einem diese Anleitung, wenn der Rechner erst gesperrt ist?
Für einen PC Laien (der dazu noch unter Panik ist) ist die Gefahr viel zu groß, dass er sich immer mehr verzettelt und weiteren Schaden anrichtet.
Empfehlenswert ist nur der (vorherige) Einsatz und Kauf eines guten Anitvirenprogramms und ebenfalls empfehlenswert Malwarebytes, die kostenpflichtige Version.
Sollte der PC tatsächlich einmal gesperrt sein, ist ein Gang zum IT Techniker wesentlich besser. Da hat man die Gewissheit, dass der PC danach tatsächlich sauber ist.
Zudem können verlorengangene Daten auch wieder hergestellt werden.
Seriöse Anbieter nehmen dafür ca. 80 – max. 100 Euro.
Trojaner Beseitigung machen die nahezu täglich und scannen nebenbei noch nach anderen, versteckten, ganz neuen ‚Feinden‘ im PC-System.
Übrigens, es sind meist nicht die Porno-Seiten, auf denen sich Viren tummeln, sondern die ganz normalen, seriösen Seiten, wo es meist niemand vermuten würde.
Die Kriminellen sind ja auch nicht blöd.
Und niemals Dateianhänge in e-mails öffnen oder auf Links klicken. Auch nicht, wenn es um ‚Letzte Mahnung‘, ‚Androhung von Gefängnis‘ oder die ‚bestellte Ware i.H.v. 6000 Euro‘ geht, die demnächst zugestellt wird, wenn man nicht widerspricht.
Und Online Banken schicken euch keine e-mails mit irgendwelchen Aufforderungen, Bestätigungen, oder Aktualisierungen.
Und im Internet meldet man sich auch nicht leichtfertig überall mit seiner echten e-mail Adresse oder seinen persönlichen Daten, Hausadresse an.
Offenbar gibt es aber so etliche Einfaltspinsel vor dem Bildschirm, die sich nicht daran halten (können).
Also, mir hat diese Anleitung sehr geholfen. Es hat allerdings 3 Monate gedauert, bis ich sicher sein konnte, dass mein Netbook tatsächlich trojanerfrei ist. Vor allem Simons Seite ist eine wichtige zusätzliche Hilfe. Daß Daniel und Simon sich uneigennützig diese Arbeit machen, sollte man nicht kritisieren, sondern loben.
Passt schon @Peter. Natürlich ist man als Laie normalerweise bei einem Fachmann besser aufgehoben … aber wo man bei Zahnschmerzen lieber zum Zahnarzt geht oder wenn der Motor im Auto qualmt den ADAC anruft, da trauen sich viele am PC den einen oder anderen Handgriff mehr zu.
Außerdem hat diese Seite den Nebeneffekt, daß man die Entwicklung des Virus verfolgen kann.
Gruß, Peter
Die BKA-Trojaner (Antivirus)….sind der Großte…….Verbrecher ….was das gibt…..Hier sagen Snoweden…….aber die BKA-BND-Trojaner…hier in B.R.D. sind Aktiv ….lange….das die …Menschen mit Verschidene ….Rass….hier zum Verfolgt………seit 2000 bis jetz mich Uberwachen diese mize……BKA-BND-Ex-Trojaner ….und seit 2000…..bis jetz meine Leben war eine Kampf….für die Gerechtikeit….aber hier gibt kein „Gerechtikeit“….die Monster …Figur von diese Antivirus-BKA-BND-Trojaner …..das muss die Europa und die ganze Welt….wissen das diese Monster Figur….sind der großste ….Verbrecher…..in ganze welt…..wo ..hier gibt keine Freihalt,kein Gerechtikeit,keine Demokratie……
Hallo,
die CT meldet, daß es jetzt einen Virus gibt, der richtig verschlüsselt, also nach allen Regeln der Kunst, sozusagen wie es sich gehört. Das bedeutet, daß ein User seine Daten noch nicht einmal in hundert Jahren entschlüsseln kann.
M.E. liegt der Fehler darin, daß Windows über die Registry vielfältig einstellbar ist, daß also die sinnvollen Einstellungen so verändert werden können, daß ein User auf seinen Rechner nicht mehr zugreifen kann, wie das zB beim BKA-Virus der Fall ist. Wäre Windows ein gekapseltes System, wären Ärgernisse wie der BKA-Virus nicht möglich. Eine Verschlüsselung würde das aber wohl nicht verhindern, fürchte ich.
Gruß, Peter
Lösung hin, Lösung her. Ich finde, solche Typen sollten in den Knast. Sie schädigen und belästigen Leute sehr. Wahrscheinlich sind es dumme Russen. Die Kripo sollte sich solcher Fälle annehmen und dafür sorgen, dass sie in den Knast gehören!
Zu „die gehören in den Knast“ stimme ich dir voll und ganz zu, aber ich denke nicht, dass sich irgendeine deutsche Strafverfolgungsbehörde darum ernsthaft kümmert.
Zu „es sind wahrscheinlich dumme Russe“ kann ich dir ganz und gar nicht zustimmen. Man ging zwar in einigen Meldungen zu diesem Trojaner von Osteuropa aus, aber letztendlich können das auch Inder, Deutsche, Amerikaner oder Eskimos sein. „Dumm“ würde ich komplett ausschließen, denn die Idee auf diesem Weg richtig viel Geld zu verdienen mag zwar moralisch verwerflich sein, aber sie funktioniert. Ist nichts anderes als Rentner in einen Bus zu sperren und den Lamadecken oder Kochtöpfe zu verkaufen …
Was hilft gegen solche Angriffe:
1. Man hat vorher Paragon Backup installiert
2. Einen Wiederherstellungspunkt erstellt
3 Man installiert Windows neu (dauert ein paar Minuten)
4. Man installiert zuerst Paragon Backup
5. Man erstellt einen Wiederherstellungspunkt in Paragon
6. Alles ist wie immer!
7. Klingt umständlich, aber: Windows ist wie immer da!