Beitrag wurde zuletzt am aktualisiert

Bilder zur BKA-Trojaner-Entfernung

Bilder und Screenshots zur Bundespolizei-Trojaner Entfernung

Ich hatte bereits in 2 längeren Beiträgen über die Beseitigung des sogenannten Bundespolizei-Trojaners geschrieben und möchte nun einen Teil der Schritte auch noch einmal bildhaft hier veröffentlichen. Ich kann mir gut vorstellen, dass nicht so Computer-erfahrene auf diesem Weg vielleicht noch den einen oder anderen Hinweis zusätzlich zur Trojaner-Beseitigung erhalten. Wer noch Screenshots von Windows 7 oder Vista zur Verfügung stellen kann, darf mir diese gern per E-Mail zukommen lassen. Das würde sicher vielen weiter helfen.

Nun möchte aber diesen Beitrag nicht so textlastig gestalten; die notwendigen Informationen gibt es entweder in der Anleitung zur Entfernung des Bundespolizei-Trojaners unter Windows XP (hier bitte auch die zahlreichen Kommentare beachten) oder im gestern veröffentlichten Beitrag Fragen und Antworten zum Bundespolizei-Virus.

Bundespolizei – Es ist die ungesetzliche Tätigkeit enthüllt!

Bundespolizei-Trojaner (Begrüßungsbildschirm)

Der verhasste "Begrüßungsbildschirm" des Bundespolizei-Trojaners

Wer sich den Trojaner eingefangen hat, bekommt nur noch diesen Bildschirm und nichts geht mehr im Windows. Internetverbindung trennen und sich nicht von den Drohungen verrückt machen lassen. Auch die Ausgabe der IP-Adresse, des Betriebssystems, des Browsers usw. bedeuten überhaupt nichts. Das sind alles Dinge, die sich mit ein paar Programmzeilen Code auslesen lassen.

Die Registry unter Windows XP

Windows XP Registry

Der Pfad zur mahmud.exe zeigt sich in der Windows XP Registry

Die Schalt- und Nervenzentrale des Microsoft-Betriebssystems startet man in der schwarzen DOS-Box mit dem Befehl regedit. Hier wurde der Trojaner eingeschleust und sorgt(e) nun dafür, dass anstatt des gewohnten Windows-Explorers eine andere Datei, nämlich die vermeintliche BKA-Meldung, geladen wird.
Hier muss, wie im Foto zu sehen, wieder die „Explorer.exe“ geladen werden. Einige haben kommentiert, dass sie den Registry-Eintrag „Shell“ gelöscht haben. Nicht löschen, der wird durchaus gebraucht!

Shell im Registrierungs-Editor

Die Shell im Registrierungs-Editor muss den Wert "Explorer.exe" bekommen

Starten der Explorer.exe aus dem DOS-Fenster

Hat man in der Registry den Eintrag gefunden und korrigiert, kann man in der noch offenen DOS-Eingabeaufforderung die Explorer.exe starten. Einfach Aufruf eingeben, Enter drücken und eine fast gewohnte Arbeitsumgebung erblicken.

Explorer.exe aus dem DOS-Fenster starten

Explorer.exe aus dem DOS-Fenster starten

Versteckte Dateien anzeigen lassen

Es kann hilfreich sein, wenn man sich auch die versteckten Dateien anzeigen lässt. Das ist im normalen Windows-Betrieb meist nicht notwendig, hier würde ich diese Einstellung allerdings bevorzugen. Über ExtrasOrdneroptionenAnsichtgelangt man zu den erweiterten Einstellungen.

Ordneroptionen alle Dateien anzeigen

Ordneroptionen alle Dateien anzeigen aktivieren

Die Trojaner.exe löschen

Die Namen dieser Datei ändern sich immer mal wieder. Ich habe sie unter jashla.exe und unter mahmud.exe „kennen gelernt“. Diese löschen und auch gleich den Papierkorb leeren.

Finden und Löschen der mahmud.exe

Finden und Löschen der mahmud.exe (ggf. anderer Name)

Windows-Suche verwenden

Schafft man es nicht sich durch den Pfad zur Trojaner-Datei zu klicken, kann auch die Windows-Suche helfen.

Suche nach der mahmud.exe

Suche nach der mahmud.exe

Woher kommt der Bundespolizei-Trojaner?

Mit fast 100%iger Wahrscheinlichkeit aus den Tiefen des Internets. Bei diesem Rechner waren die im Screenshot zu sehenden Webseiten die letzten, die besucht werden konnten. Ob sich der Virus hier oder eventuell ein paar Stunden oder Tage zuvor eingefangen wurde, kann ich nicht sagen. Schau einfach mal in eure Browser-History und in anderen Log-Protokollen auf dem Rechner nach.

Browser-Chronik

Auf der Spurensuche in der Browser-Chronik

Letzte Aufräumarbeiten

Zum Abschluss noch die temporären Internetdateien löschen und mit einem Antiviren-Programm den Rechner überprüfen. Den PC oder das Notebook neu starten. Wenn alles geklappt hat, ist der Spuk vorbei. Jetzt natürlich den Rechner gegen künftige Aktionen dieser Art versuchen abzusichern und, für alle Fälle, diese Seite zu den Favoriten hinzufügen oder via Facebook, Twitter oder GooglePlus mit mir in Kontakt zu bleiben.
Gebt den Link hier her auch an Freunde und Bekannte weiter, wer weiß wann den nächsten Rechner betrifft …

17 Kommentare zu "Bilder zur BKA-Trojaner-Entfernung"

  1. Vielen, vielen Dank.

    Mit Hilfe deiner Anleitung habe ich die mahmud.exe gefunden und gelöscht.

    Schön, dass es Menschen wie dich gibt.

    Rainer

  2. Hallo
    auch Ich möchte mich für die fast Super beschreibung bedanken , möchte aber anmerken das nicht alle Rechnerbesitzer wissen wie sie ins DOS kommen (ich auch nicht) wäre schön wenn Du so nett bist und auch diesen weg beschreiben würdest.
    Viele Grüße Olaf

    • Bei wem das DOS-Fenster nicht nach dem Start des abgesicherten Modus automatisch aufgegangen sein sollte (bei meinen Problemrechnern war jedes Mal der Fall), dem könnte ich spontan gar nicht sagen, wie es weiter gehen soll. Der Explorer wird aufgrund des Trojaners ja nicht gestartet und somit hat man sicherlich auch nicht die Möglichkeit [Start] [Ausführen] und hier die Eingabe [cmd] mit „ok“ zu bestätigen. Das Navigieren über [Start] [Programme] [Zubehör] [MS Eingabeaufforderung] ist ja auch nicht möglich.
      Falls die Tastenkombination [Strg] + [Alt] + [Entf] den Windows Task Manager öffnen sollte, kann dort unter [Datei] [Neuer Task] auch [cmd] für das DOS-Fenster oder gleich [regedit] für die Registry eingeben.
      Die eigentliche Anleitung hast du aber gelesen? Die Bilder sollten lediglich diesen Artikel unterstützen.

      Ansonsten noch jemanden zur Trojaner-Entfernung heran ziehen, der sich etwas mit Rechnern auskennt. Auch gut möglich, dass du dir eine Variante des Trojaners eingefangen hast, die hier noch niemanden begegnet ist.

  3. Hallo
    ich habe mich leider nicht verständlich genug gemacht, Sorry, leider hat es gestern bei meinem Freund mit F8 F2 F11 usw. nicht gefruchtet.Der Rechner ist nicht im Abgesicherten Modus gelandet.Das Problem war mahmud.exe de ist jetzt weg jedoch auch die Explorer exe die ist überschrieben worden entweder von der Originalen Win CD oder vom mahmud selbst ,aber das fruchtet auch noch die Tage .Es gibt den trojaner auch noch unter dem Namen calc[1]exe.

  4. Ich hab leider auch vorschnell“Shell“ komplett geloeschtwas nun???

  5. Hi zusammen,
    ich habe auch den BKA-Trojaner allerdings weder mahmud.exe gefunden noch in der registry etwas gefunden. Wenn ich aber die explorer.exe aus dem Dosfenster starte kommt der Sack auch wieder hoch!!!
    Was tun?!?

  6. Hallo,

    habe auch diesen Virus auf meinem Laptop mit Windows Vista.

    Bin der Anleitung aus einem anderen Forum so weit gefolgt, habe aber dummerweise diese shell.exe gelöscht anstatt sie zu ersetzen.

    Was muss ich jetzt tun?

    Danke im vorraus

  7. Schon fies der Name. Ich dachte zuerst hier ging es tatsächlich um den von der Polizei illegal eingesetzten aus den Nachrichten.

    Grüße

  8. Erstmal danke für die super Anleitung. Ich habe bei mir xp installiert und habe versucht den Trojaner wie beschrieben zu entfernen. Ich habe auch die Datei shell gefunden allerdings, hieß der Pfad bereits Explorer.exe. Ich habe dann nichts weiter gemacht und einen Neustart im normalen Modus durchgeführt und der Trojaner tauchte nach dem Neustart nicht mehr auf. Kann ich jetzt beruhigt sein oder versteckt er sich noch irgendwo?

    In der suche finde ich weder mahmud.exe noch jasha.exe

    danke nochmal

  9. Da werden sie geholfen: http://www.bka-trojaner.de
    :-)

  10. ALSO ICH HAB DIE SHELL DATEI AUCH VERSEHENTLICHERWEISE GELÖSCHT. DAS HABEN JA AUCH SCHON MEHRERE ANGESPROCHEN. WAS KÖNNEN WIR NUN TUN? DaNKE IM VORAUS!!

    • Hallo,
      Auch von mir danke für die Anleitung,
      Aber auch ich hab die Shell voreilig komplett gelöscht was nun?!

      Lg Steffen

  11. Hallo,

    ich habe mich damals an das Forum von botfrei gewendet. Dort wurde mir super geholfen: http://forum.botfrei.de !

  12. Hallo! Einfach PC ohne Internet verbindung starten !Dann von ein Virusprogramm (Malwarebytes) denn Virus suchen lassen und entfernen.Jetzt Dateien sichern.Dann Neustarten!

  13. Habe mir heute den verhassten Bundespolizei-Bildschirm eingefangen. Losgeworden bin ich ihn (hoffentlich, es deutet zumindest nichts mehr darauf hin) auf eher unkonventionellem Weg, weil ich nämlich den guten Anweisungen auf dieser Homepage hier aufgrund meiner Unfähigkeit, den Abgesicherten Modus zu starten, nicht nachkommen konnte. Irgendwas haut mit meiner USB-Funktastatur nicht hin, jedenfalls F8 geht bei mir (Windows 7 64bit Desktop-PC) nicht. Also beim Neustart gingen zunächst alle Icons vom Desktop und die Startleiste war weg, dann öffneten sich der Windows-Explorer und der Internet-Explorer in dieser Reihenfolge. Bleibt man im IE, geht der Windows-Explorer ins Unsichtbare, daher auf dem Fenster aktiv bleiben und ihr habt schon mal euren Explorer wieder. Ich habe glücklicherweise Avira Antivir (kostenlos), so dass ich per Rechtsklick C: prüfen lassen konnte. Ergebnis: C:\Users\MeinUsername\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RYT6NW0Y\91_232_29_108[1].htm‘
    enthielt einen Virus oder unerwünschtes Programm ‚HTML/FakeAlert.AP‘ .
    Ich habs gelöscht, jedoch brachte das nach Neustart erstmal keinen Erfolg. In den oben erwähnten Pfaden der Registry war alles i.O., heisst bei der Shell stand explorer.exe drin. Hab schon geflucht, dass ich jetzt die explorer.exe auswechseln muss. Dann hab ich mir über die Suchoption im Explorer nochmal alle Dateien von heute angesehen. Da war unter Benutzer/MeinUsername/AppData/Local/Temp eine Datei namens arg6010.exe, die ich auch nicht löschen konnte, weil sie gerade läuft. Komischerweise war in der Autostart eine Verknüpfung zu eben gerade dieser Anwendung. Gut, Verknüpfung gelöscht, Neustart und siehe da, alles fährt hoch wie früher. Schnell noch die arg6010.exe aus dem …/Temp-Ordner gelöscht und ich hoffe nun, gut ist. Um mein F8-Problem muss ich mich jetzt kümmern. Hat da jemand eine Idee?
    Beste Grüße

  14. shell heisst bei mir schon explorer.exe?

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*