Beitrag wurde zuletzt am aktualisiert

BKA-Virus verhindert abgesicherten Modus

BKA-Virus verhindert den abgesicherten Modus – SystemwiederherstellungBKA-Virus verhindert den abgesicherten Modus – Systemwiederherstellung

Eine weitere, neue Variante des Bundespolizei-Virus verhindert eine Windows-Ausführung im ab­gesicherten Modus. Einer per F8-Taste erreichbaren Startvariante des Microsoft-Betriebssystems, bei der sich aus verschiedenen Modi der verwendeten Windows-Version eine Auswahl (z.B. „letzte funktionierende Version“, „abgesicherter Modus mit Eingabeaufforderung“ und so weiter) treffen lässt.
Aus Sicht der Hacker war diese Anpassung des Trojaners unbedingt notwendig geworden, da diese „Hintertür“ in vielen Fällen eine relativ einfache System­wiederherstellung möglich machte.

Erstmalig auffällig wurde diese „Verbesserung des Trojaners“ mit dem Erscheinen der GVU-Ransomware im März 2012.

Der Trojaner hat, wenn sich der abgesicherte Modus nicht mehr starten lässt, eine ganze Reihe Systemeinstellungen in der Windows-Registry gelöscht. Über die Windows-eigenen Startfunktionen wird der Rechner also nicht mehr hoch fahren, sodass eine Boot-CD bzw. eine Boot-DVD oder das Booten von einem USB-Stick aus erfolgen muss. Sicher gibt es noch ein paar weitere Möglichkeiten … die einfachste Lösung bietet aber Windows selbst:

Die Windows Systemwiederherstellung!

In diesem Artikel zum Thema BKA-Trojaner (auch als Bundespolizei-, GEMA- oder GVU-Trojaner bekannte Ransomware) wird eine Systemwiederherstellung sowie die dringend empfohlene Systemüberprüfung nach der Trojaner-Entfernung beschrieben. Gern dürfen Fragen gestellt und (noch besser) weitere Hilfen in den Kommentaren hinterlassen werden.
Nicht alle hier aufgezeigten Möglichkeiten sind für Computer-Laien gedacht. Im Zweifelsfall einen Fachmann aufsuchen! Alle Hinweise sind nach bestem Wissen und Gewissen hier veröffentlicht wurden. Sie sind möglicherweise nicht vollständig und eine Garantie kann ich auch nicht geben.

Inhaltsübersicht – Lösungsansätze und Empfehlungen

Systemwiederherstellung unter Windows 7

Der Rechner lässt sich bei Windows 7 und Windows Vista direkt von der Installations-DVD booten – das ist der einfachere Weg. Sollte man diese nicht zur Hand und auch keinen eigenen Systemreparatur-Datenträger erstellt haben, so können u.a. bei Dr. Windows Windows 7 Notfall-CDs für 32- und 64-Bit Systeme herunter geladen werden.

Diese ISO-Dateien, ein Speicherabbild des Inhalts einer CD oder DVD, müssen noch auf eine DVD gebrannt oder auf einen ausreichend großen USB-Stick kopiert werden. Egal ob DVD oder USB-Stick: das Medium muss bootfähig sein, sonst kann das Notfall-System nicht gestartet werden. Wie das geht, wird auf scareware.de beschrieben und wird eigentlich von jedem Brennprogramm unterstützt sowie von Windows 7 bereit sogar als Bordmittel bereit gestellt.

Die Windows 7 / Vista Installations-DVD (Notfall-CD, USB-Stick) einlegen und den Rechner einschalten. Gegebenenfalls muss noch die Reihenfolge für den Boot-Vorgang zuvor umgestellt werden, falls Windows von der Festplatte bootet. Hierzu direkt nach dem Einschalten des Rechners die Taste für das BIOS-Setup klicken ([F12], [DEL]). Die Herstellen haben für diese Funktion unterschiedliche Tasten, welche es ist wird kurz auf dem Bildschirm gezeigt.

Nachdem im Menü die Spracheinstellungen gewählt wurden, bietet Windows 7 im nächsten Auswahl­bildschirm die Computerreparaturoptionen zur Auswahl an. Diesen Modus wählen und mit Hilfe des Assistenten sich zu den hoffentlich vorhandenen Wiederherstellungspunkten durch klicken.

Windows 7 Computerreperaturoptionen

Windows 7 Computerreperaturoptionen

Eine Systemwiederherstellung stellt den Rechner System-seitig so wieder her, wie er am Tag des Anlegen des Wiederherstellungspunktes war. Das heißt, dass gespeicherte Daten (E-Mails, Fotos, Dokumente und auch der Trojaner selbst) noch immer vorhanden sind, aber alle Änderungen am System (z.B. der Registry) zurück gesetzt werden.

Windows XP Wiederherstellungskonsole

Hierzu wird der Rechner von der Windows XP Betriebssystem-CD* aus gestartet, ggf. ist im BIOS ein vorheriges Umstellen der Boot-Reihenfolge notwendig. Auf dem Startbildschirm lässt sich mit der Taste [R] die Wiederherstellungskonsole aufrufen, wofür das Administrator-Passwort benötigt wird. Im Anschluss kann in der speziellen Eingabeaufforderung mit dem Befehl help eine Liste möglicher Befehle aufgerufen werden.

Windows XP Reparatur / Wiederherstellungskonsole

Windows XP Reparatur / Wiederherstellungskonsole

Windows XP Reparatur-Installation

Um einiges einfacher, aber auch rigoroser, ist die Windows XP Reparatur-Installation. Diese wird ebenfalls direkt von der Windows XP Betriebssystem-CD* gestartet. Auf dem Startbildschirm wählt man den Modus „Windows installieren“ und im folgenden Fester mit der Taste [R] die Möglichkeit einer Windows-Reparatur. Im Tipparchiv von Wintotal ist der Ablauf beschrieben und es wird auch auf die Nacharbeiten eines solchen Eingriffs ins System hingewiesen.
Eine weitere gute Beschreibung für eine Systemwiederherstellung unter Windows XP hält das Wiki auf winboard.org bereit.

* Unter Windows XP ist dies nur mit der korrekten Installations-CD (keine Recovery-Medien) oder mit dem ERD-Commander 5.0 von Microsoft (nur für MSDN Kunden) möglich.

Den BKA-Trojaner per Rescue-CD entfernen

Auch die Nutzung von Rescue-CDs, die von einigen Antiviren-Herstellern angeboten werden, ist ein Versuch wert. Diese können in der Regel kostenfrei herunter geladen und genutzt werden. Wie weiter oben bereits beschrieben, werden auch hierbei ISO-Dateien zur Verfügung gestellt, die auf eine CD gebrannt werden müssen und von denen aus der Rechner gestartet werden muss. Ob und welche Hersteller sich dabei als praxistauglich erweisen, zeigen möglicherweise die Kommentare zu diesem Artikel.

Eine (sicher nicht vollständige) Auswahl an Rettungs-CDs

Wer an dieser Stelle weitere Tools empfehlen kann, sollte diese Informationen bitte mit Link unten in den Kommentaren hinterlassen.

Notwendige Nacharbeiten zur Trojaner-Entfernung

Wie weiter oben schon beschrieben, befindet sich der BKA-Trojaner noch auf dem Rechner. Er ist derzeit sicher nicht aktiv und richtet im Augenblick keinen Schaden an, doch wer weiß was sich die Hacker noch alles einfallen lassen … Deshalb als erstes eine vollständige System-Überprüfung mit Malwarebytes Anti-Malware und im Anschluss einen Viren-Scan (z.B. mit einer Test-/ Vollversion von Avira Antivirus oder Kaspersky im ersten Schritt.

Auch per Online-Scan lässt sich der Rechner überprüfen

Praktisch sind auch Systemüberprüfungen, die sich direkt online ausführen lassen. Ohne größere Downloads und Installationsroutinen lässt sich z.B. mit dem ESET Online Scanner der Rechner vollständig und gründlich auf Schadsoftware überprüfen.
Wichtig! Bei ESET muss hierbei unter den „Erweiterten Einstellungen“ die Suche nach „Potenziell schädlichen Anwendungen“ aktiviert werden, um wirklich einen vollständigen Scan durchzuführen.

Die System-Scans finden sicherlich einen oder auch mehrere Schädlinge auf dem Rechner. Diese Funde löschen, dokumentieren und im Nachgang im Internet über die jeweiligen Schädlinge informieren. In einigen Kommentaren der anderen BKA-Trojaner-Beiträge hier auf redirect301.de tauchten oftmals zusätzlich Würmer und Rootkits bei den Systemüberprüfungen auf, die u.a. Passwörter ausspioniert oder das ganze System übernommen haben.

Auf jeden Fall die installierte Software aktualisieren, schließlich wird der Trojaner eine Sicherheitslücke in irgend einer Anwendung ausgenutzt haben. Selbst eine Neuinstallation ist in einigen Fällen unbedingt anzuraten. Vor allem dann, wenn die Systemscans einen oder mehrere Rootkits gefunden haben.

Ohne Software-Aktualisierungen und entsprechenden Sicherheits-Tools hat man den BKA-Trojaner schnell ein zweites Mal auf dem Rechner!

Veraltete / unsichere Software auf dem Rechner finden

Sicherlich sind die verwendeten Browser und deren Erweiterungen eines der ersten Einfalltore für Trojaner, Viren und Malware. Diese sollten regelmäßig auf einem aktuellen Stand gehalten werden. Aber auch andere Anwendungen, die mit einem Bein im Internet stehen, gehören zu potentiellen Gefahrenquellen. Flash, Java, Mail-Programme, PDF-Reader usw. werden gern als Einfalltore von Hackern genutzt, da eigentlich bekannte Sicherheitslücken oft nicht oder zu spät von den Anwendern gestopft werden. Viele Softwarehersteller bieten deshalb automatische Updates an – diese gilt es zu nutzen!

Da es außerhalb von organisierten IT-Infrastrukturen, und für Computer-Laien erst Recht, nur schwer möglich ist immer up to date zu bleiben und alle Aktualisierungen regelmäßig durchzuführen, gibt es Tools wie den Secunia Personal Software Inspector. Diese Sicherheitssoftware macht bereits im Systray, dem Benachrichtigungsfeld neben der Uhr, darauf aufmerksam, dass Aktualisierungen vorzunehmen sind.

Secunia Personal Software Inspector (PSI)

Secunia Personal Software Inspector (PSI)

Wie kann ich mich vor dem BKA-Virus schützen?

Eine 100%ige Sicherheit würde es nur geben, wenn der Rechner ausgeschalten bliebe. Vielleicht noch 99% wenn der Rechner nicht an das Internet angeschlossen wird. Aber das möchte ja niemand … Unpraktikabel sind sicherlich Empfehlungen wie nur mit einem Linux als Betriebssystem zum surfen oder nicht als Administrator unter Windows zu arbeiten. Auch eine Internetnutzung nur aus einer virtuellen Maschine heraus funktioniert bestens, ist aber auch nicht für jeden geeignet und ohne erweiterte PC-Kenntnisse umsetzbar.

Was aber jeder machen kann, ist seine Anwendungen (vor allem das Betriebssystem, den die Browser und die Sicherheitssoftware) aktuell zu halten. Nicht jeden „lustigen“ E-Mail-Anhang zu öffnen und Warnungen am Bildschirm auch mal zu lesen. Ist man sich unsicher, ob Anwendung „X“ Zugriff auf das Internet benötigt, dann liegt man sicherlich mit „nein“ oftmals besser, als mit einem unbedachten „ok“ wenn die Firewall danach fragt. Braucht man wirklich alle derzeit verwendeten Browser-Plugins und -Toolbars? Oftmals eher nicht!

Also über ein Deinstallieren nachdenken und bei der Installation einiger Anwendungen besser auf den benutzerdefinierten Modus zu klicken und somit möglicherweise unnötige Programme von vorn herein auszuschließen. Hier gibt es sicher noch eine Reihe weitere Beispiele, die gern in den Kommentaren genannt werden dürfen.

Sicherheitssoftware? Ja, ohne geht es leider nicht!

Es gibt gute kostenfreie Lösungen und schlechte teure Anwendungen aber auch schlechte kostenfreie und richtig gute kostenpflichtige Software. Will man wirklich sicher unterwegs sein, wird man oft nicht um ein paar Euro im Jahr umher kommen. Und es gibt unzählige falsche Einstellungen bzw. Nutzeraktionen, die man bei diesen Softwareprodukten vornehmen kann. Nichts desto trotz möchte ich ein paar Tools hier nennen (es gibt übrigens für mich eine Provision für den Kauf einiger der hier vorgestellten Security-Lösungen, was allerdings nicht ausschlaggebend für die Empfehlungen an dieser Stelle war), die dabei helfen, sicherer im Internet unterwegs zu sein:

Ich habe unter diesen natürlich einen Favoriten, denke aber, dass alle Programme einen guten Job machen und richtige eingesetzt vor vielen Gefahren schützen.

Dieser Artikel zur Bekämpfung des Bundespolizei-Virus ist (mal wieder) etwas länger geworden und deckt doch nicht alle Fragen ab. Es gibt aber einfach zu viele Varianten des Trojaners selbst und auch zu viele unterschiedliche System-Einstellungen und Softwarekomponenten, sodass einfach nicht alle Fragen einfach beantwortet werden können. Nutzt die Kommentarfunktion, die Facebook-Seite und die anderen Informationsseiten im Internet oder sucht einen Fachmann zu diesem Thema auf. In jeder größeren Stadt wird es PC-Service-Center geben, die den Rechner wieder fit machen …

83 Kommentare zu "BKA-Virus verhindert abgesicherten Modus"

  1. Vielen Dank für den ausführlichen Bericht, wie man den BKA Virus entfernen kann. Er war sehr informativ und hilfreich.

  2. Hallo,
    Haha, wo fängt man sich denn einen BKA Virus ein. Aber sehr hilfreich. Das heißt wenn ich ihn habe, weiß ich was zutun ist, Danke.

    • Einfangen kannst du dir ihn über prinzipiell jede beliebige Webseite. Der Seitenbetreiber bekommt sicherlich davon gar nichts mit.

    • Zum Beispiel wurde von wetter.com die letzten Tage Malware verbreitet. Siehe Artikel bei Heise.

    • @Navadas

      Schaue Dir/Schauen Sie sich dazu mal die Punkte P19 und P19.1 meiner Seite an.
      Ich denke das gibt noch ein bisschen mehr an Infos zu Infektionswegen.

      Auch die News sind da eventuell nicht falsch ab und an anzuschauen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

    • na z.B. auf „computerbild.de“, ich wollte directX aktualisieren, dann hieß es der flashplayer brauche ein update, dann kan eine JavaScript-update aufforderung und irgentwo dazwische kam das PopUp die Firewall auszuschalten, da sonst das Update nicht installiert werden könne und blöd wie ich war….
      Klar sagt jeder “ Wie kan man nur so blöd sein und das machen aber wenn man schon mehrere Stunden gebraucht hat um ein neues Spiel zu installieren und es dann endlich ein Ende zu haben scheint wird man ebend unaufmerksam. Und dann passierts.
      Habe mich übrigens an den PC-Laden um die Ecke gewandt, die mir promt helfen konnten. Tja so komms

  3. Hallo,
    Hatte vor ein paar Tagen auch den geliebten BKA-V. habe im abgesicherten Modus mit cmd gestartet dann MSCONFIG und in den Startoptionen eine“ 32984635hgsldhcnk.exe gefunden-> diese gelöscht,danach per Taskmanager explorer.exe gestartet,datei auf der Festplatte gesucht ABER sobald ich den ordner öffne wo die Datei drinsteht hab ich wieder ein Buntes Bildchen->Datei bzw.Ordner lassen sich nicht löschen.. was kann ich tun??
    Danke und hoffe auf Antwort

  4. Hallo,

    ich bekam den BKA-Virus nur durch Besuchen einer Website, ohne daß ich irgendeinen Download angeklickt hätte. Ich benutze Windows IE 8 und Avira Free Edition. Trotzdem konnte der Virus sich installieren. Hätte nicht das Antivirenprogramm warnen müssen?
    Habe ihn wegbekommen, indem ich von der Installations-CD gebootet habe im abgesicherten Modus und dann sofort die Systemwiederherstellung anwendete.
    Nach irgendwelchen Dateien zu suchen und diese dann zu löschen ist zu kompliziert und die Gefahr ist zu groß, doch eine nicht-befallene Datei mit zu löschen.

    Arpad

    • Ein manueller Download ist bei diesem Schädling nicht notwendig, den gibt es quasi nebenher. Schau mal hier bei der Wikipedia.

      Eine Antiviren-Lösung hilft nicht unbedingt beim BKA-Trojaner, da es sich nicht um einen Virus handelt, sondern um eine Ransomware. Diese besitzt keine Viren-Signaturen.

      Systemwiederherstellung funktioniert, aber der Trojaner schlummert natürlich weiter auf deinem Rechner. Ist ist nur (im Augenblick) nicht aktiv und könnte theoretisch im Hintergrund deine Passwörter irgendwohin übermitteln.

      Ich kann dir nur dringend zu raten den Trojaner zu entfernen und einen vollständigen Systemcheck durchzuführen.

    • @ Arpad

      Bitte noch diesen Post (mindestens) beachten:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  5. Woher bekommt man diese Virus denn?^^

    • Heutzutage von einer praktisch beliebigen Webseite, die von Hackern mit dem Schadcode verseucht wurde. Das kann ein kleiner Blog sein, bei dem der Betreiber ein zu einfaches FTP-Passwort verwendete und den Hackern so der Zugriff relativ leicht fiel. Aber auch andere Lücken in der verwendeten Software, im PHP und MySQL bei größeren Seiten, wie zuletzt wetter.com, können Trojaner / Ransomware dieser Art verbreiten.

      Etwas sicherer ist man unterwegs mit einem aktuellen Browser sowie aktuellen Java-, PDF- und Flash-Versionen. Die Hacker brauchen eine Schwachstelle auf Seiten des Webbesuchers, um ihren Code einzuschleusen …

    • @ Felix

      Schaue Dir/Schauen Sie sich dazu mal die Punkte P19 und P19.1 meiner Seite an.
      Ich denke das gibt noch ein bisschen mehr an Infos zu Infektionswegen.

      Auch die News sind da eventuell nicht falsch ab und an anzuschauen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  6. Natürlich habe ich den Avira-Systemchek gemacht, es wurden auch Viren gefunden.
    Trotzdem sollte ein Antivirenprogramm so etwas verhindern.

    Arpad

    • Fände ich auch klasse, wenn ein Antiviren-Programm dies bzw. alles machen würde. Aber wie gesagt: Es handelt sich nicht um einen Virus.

      Ein Antiviren-Programm hat auch keine Firewall-Funtionalitäten und hilft auch nicht bei der Erkennung von Spam-Mails.
      Eine richtige Internet-Security Lösung, wie hier einige erwähnt wurden, machen diesen Job. Diese sollten Anspringen, wenn auf einer Webseite Malware o.ä. verbreitet wird.

      • @ Daniel Weihmann

        Muss ich leider dazusagen, das Avira selbst in der PRO-Version bei einem „Kunden“ die SPAM-Mail mit vermeintlicher ZIP->ZIP->PDF.pif->EXE nicht erkannt hat und derjenige (leider) die Datei geöffnet und angeklickt hatte. :-(

        Zum Glück war darin aber keine Variante des Verschlüsselungstrojaners drin, sonst hätte da jemand jetzt vermutlich schlecht dagestanden.

        @ All
        Wiederum, und das soll keine Schleichwerbung sein, aber es ist nunmal so…
        Mein Liebling (seit nunmehr rund 4-5 Jahren) ist Eset NOD32 AntiVir bzw. die Suite.
        Filtert bei mir tadellos beinnahe jeden Tag nunmehr solch eine Mail aus, bzw. wenn er es mal „noch“ nicht macht, dann 1-2 max. 3 Stunden später.
        (Klar würde das reichen für jemand der Draufklickt, aber vor allem kann auch der beste Schutz nicht schützen!).

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)
        Mail me

  7. Markus Petry | 28. Mai 2012 um 09:16 | Antworten

    Ich habe mir den BKA-Trojaner auch eingefangen, bekomme ihn aber nicht los,Laptop lässt sich nicht im abgesicherten Modus hochfahren. habe mehre Programme w.z.b. Win Undocker aber geht nicht! kann mir einer helfen

    • @ Markus Petry

      Sende mir mal eine Mail mit der Fehlerbeschreibung. Ich denke/hoffe das man es darüber schneller wieder hinbekommen könnte.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  8. Wie deaktiviert (bzw. zerstört) der Virus eigentlich den abgesicherten Modus?

    • @ Stefan

      In den meisten Füällen erden die benötigten Starteinträge aus der Registry gelöscht oder so umbenannt, das diese nicht mehr verwertbar/nutzbar sind.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

      • gibt es irgendwo eine .reg-Datei oder eine Anleitung um diese einträge wiederherzustellen OHNE die Systemwiederherstellung bemühen zu müssen?

        • @ Stefan

          Je nach Betriebssystem kann ich diese REG-Datei liefern.
          Das Problem ist eher, das man vorher die Registry des Zielsystems exportieren müsste um sie an einem anderen Rechner wieder zu importieren und dort den Schlüssel auszutauschen.

          Alleine dieser Aufwand ist durch manch eine Boot-CD/DVD schneller „erstmal“ unnötig gemacht oder durch einen USB-Adapter zu lösen.

          Mit freundlichem Gruß,
          Simon

          (Fachinformatiker für Systemintegration)

  9. Jürgen Wenckelmenk | 31. Mai 2012 um 15:36 | Antworten

    Kommt das Ding wirklich vom BKA oder ist das nur ein Deckname?

    • nein, das ist Beschiss, soll nur ein wenig mehr Panik verbreiten damit man auch brav zahlt …

    • @ Jürgen Wenckelmenk
      @ All

      Wie ich es immer sage: „Denkt mal drüber nach – Wenn das BKA was von Euch will, steht es vor der Tür oder kommt durchs Fenster.“
      (Vielleicht ein bisschen übertrieben, aber vom Kern her stimmts wohl.)

      Keine Polizei oder sonstiger „Verein“ des Staates würde Geld per Mail, per Ukash, per PaySafecard, per Paypal, etc. verlangen.

      Daher – BKA/GEMA/GVU/Bunderpolizei-Nertöter/Schädling = FAKE

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Das ist nicht dein Ernst?

  10. Hallo allerseitz!
    Hab mir gestern Abend auch den Virus
    eingefangen, habe aber die neuste Version
    (denke ich). Denn der „Hintertür“-Trick
    Funktioniert nicht aber das Booten auch
    nicht. Was tun?
    Danke im Voraus

    • Systemwiederherstellung ist sicherlich eine gute Möglichkeit.

    • @ Shanmuka

      Schon mal eine CD/DVD wie z.B. „desinfec’t 2012“ der Zeitschrift c’t ausprobiert?
      Oder geht wenigstens der „Abgesicherte Modus mit Eingabeaufforderung“ noch?

      @ Daniel Weihmann
      Eine Systemwiederherstellung ist bei den neusten Verschlüsselungsvarianten (kommen meist per Mail im ZIP-Archiv), keine gute Lösung mehr.
      Denn wenn man ihn hat, trägt er sich nach meiner bisherigen Erfahrung auch dort zu 85% mit ein und ist danach „nach wie vor“ da.

      Ausprobieren kann man es – nützen muss es aber (leider) nichts mehr.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  11. Aber ich verstehe noch nicht ganz wie
    das gehen soll? Habe nur Programmier-
    Kentnisse in Java! Brauche ich dafür
    die CD, oder muss ich einfach beim Start
    bildschirm„R“ drücken? Habe ( falls euch
    das hilft einen Lenovo. Dort kann man
    irgendwie einen Reparaturs-Botton klicken
    wo so ein Schrauenschlüssel drauf ist. (
    ist auf der Tastaur).
    Danke im Voraus!

    • @ Shanmuka

      Wen ein Windows Vista/Windows 7 installiert ist, kann man auch vor der Systemwiederherstellung (per Abgesichertem Modus oder per Original Installations DVD) mit [F8] beim Rechnerstart den Menüpunkt „Computerreparatur“ auswählen.

      Im Idealfall bringt es was, je nach Variante ergibt sich daraus aber halt auch keinerlei Veränderung.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  12. PS: ich find das echt toll mit deiner Web-
    site! Dass du das so gut erklärst und
    Mühe gibst anderen so zu helfen!
    Weiter so!:)

  13. Bzw verhindert der Virus den abgesicherten
    Modus nicht aber wenn ich „regedit“
    eingebe (in diesem Fenster) steht da ungültiger
    Befehl!?

    • @ Shanmuka

      Der Befehl „regedit“ wie auch „msconfig“ und „taskmgr“ werden vermutlich gesperrt sein.
      Sprich der Schädling hat sich in der Registry die Werte genommen und entsprechend auf „aus“ gestellt.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  14. Danke aber ich habe jetzt noch mal die komplette Festplatte gelöscht! Hatte eh nur Spiele und Steam usw drauf.
    Trotzdem Danke an alle! GData hat den BKA nicht gemeldet!

  15. Hi Simon,
    Hab „glücklicherweise“ ne richtig „gute“ Verschlüsselungs-Version erwischt^^:
    – kein abgesicherter Modus
    kein Taskmanager
    – 128-Bit Verschlüsselung aller Dateien (Beispiel: yLEAyojLAAnqjL)
    – Auslesen der Festplatte auf funktionierendem Rechner zeigt ebenfalls verschlüsselte Dateien
    -Befehle wie msconfig, regedit oder regedt32 funktionieren nicht

    Um den BKA-Screen wegzubekommen, hat das Booten von einer CD namens DE-Cleaner geholfen. Die stammt von Kaspersky und verfügt über ein Linux-BS und einen sehr ausführlichen Scanner (mind. 1 Tag lang gescannt).

    Nachdem ich den Taskmanager laut Anweisung wieder aktiviert hatte, war zwar nach Strg+Alt+Entf nicht mehr ausgegraut, hat aber dennoch nicht gestartet.

    Hast du evtl. noch hilfreiche Hinweise für mich? Vielen Dank im Voraus

  16. OK, also versteh ich das richtig, dass es bislang noch keine Möglichkeit gibt, die verschlüsselten Daten wiederherzustellen?!?

    • @ lotentoni

      Auszug:
      „Dies wiederum würde bedeuten das man OHNE die Beschlagnahmung der C&C-Server (Command & Control Server) KEINE Chance hätte diese Daten wieder zurückzuentschlüsseln.
      Ein manuelles entschlüsseln würde alleine für wenige Dateien wohl 10tausende bist 100tausende Jahre dauern.“

      Mit anderen Worten – mit aktueller Technik und dem aktuellen Wissenstand ist es sozusagen unmöglich diese Daten jemals wieder zu retten.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

    • @ lonetoni

      Mal abgesehen von Bildern – habe ich naürlich vergessen… Punkt P01.2.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  17. OK, vielen Dank. Dann mach ich mich mal ans Formatieren :-(

    • @ lotentoni

      Tut mir leid für die schlechten News, aber ich würde auch viel lieber sagen können: „Noch ne Woche und dann kann man es wieder zurückentschlüsseln.“ :-)

      Nur leider scheint diesmal seitens der „Bösen“ eine „gute Lösung“ für die immer neuen Abhilfen gefunden worden zu sein. :-(

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

    • von Avira gibt es den Ransome file unlocker, der setzt allerdings voraus, dass man von einer verschlüsselten Datei noch eine unverschlüsselte Kopie zur Verfügung hat (z.B. aus einer früheren Daten-Sicherung). Das Programm vergleicht Original und verschlüsselte Variante um den Code heruszufinden. Habe das allerdings noch nie getestet.

      • @ stefan

        Das Teil funktioniert, wenn auch nciht unbedingt so gut wie das anderer Hetrsteller.
        Beachte allerdings, das es nur bei der veralteten Variante des Verschlüsselungs-Trojaners somit funktioniert.
        Siehe dazu….(Punkt P01.1)

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)
        Mail me

  18. Hallo,

    habe ich das jetzt richtig verstanden, daß der „neue“ BKA-Virus nur durch Neuformatieren der Festplatte entfernt werden kann?
    Befällt der Virus eigentlich auch Rechner aus andern Ländern, wo die den Text gar nicht lesen können?

    Nun habe ich zwei Fragen: 1. wie formatiert man eine Festplatte neu, wenn man immer das BKA-Virus Bild auf dem Schirm hat?
    2. Ich habe noch die alte Festplatte in meinem Rechner. Könnte man die „aktuelle“ Festplatte (wo Windows drauf ist) neu formatieren, ohne die alte auch zu löschen? Das Virus befällt ja wohl hauptsächlich die Windows Pogrammdateien.
    Wenn dem so ist, dann könnte man ja alle wichtigen Daten immer auf der alten Platte speichern und die aktuelle nur für das Betriebssystem verwenden und bei Virusbefall immer wieder neu formatieren.

    Kann man das Virus eigentlich durch Verwendung bestimmter Browser und zusätzliche Tools irgendwie verhindern? Ich hatte den BKA-Trojaner mit dem IE 8 von irgendeiner Website bekommen, hätte der Mozilla-Browser das vielleicht verhindert?

    Gruß,
    Arpad

    • @ Arpad

      Zitat:
      habe ich das jetzt richtig verstanden, daß der “neue” BKA-Virus nur durch Neuformatieren der Festplatte entfernt werden kann?
      -> Nein

      Zitat:
      Befällt der Virus eigentlich auch Rechner aus andern Ländern, wo die den Text gar nicht lesen können?
      -> Welche Variante meinst Du denn überhaupt?

      Zitat:
      Nun habe ich zwei Fragen: 1. wie formatiert man eine Festplatte neu, wenn man immer das BKA-Virus Bild auf dem Schirm hat?
      -> Mit der Original Installations bzw. RECOVERY CD/DVD

      Zitat:
      2. Ich habe noch die alte Festplatte in meinem Rechner. Könnte man die “aktuelle” Festplatte (wo Windows drauf ist) neu formatieren, ohne die alte auch zu löschen? Das Virus befällt ja wohl hauptsächlich die Windows Pogrammdateien.
      -> Die zweite Festplattemuss man nicht formatieren – Windows bietet einem alles an, aber man muss ja nixht machen was das Setup so sagt.

      Was der Virus/Trojaner befällt, kommt ganz und gar auf die Variante an. Es geht vom harmlosen Bildschirmsperren über infizierte C:-Platten bis hin zur Verschlüsselung SÄMTLICHER Festplatten, Netzwerkfreigaben und angeschlosennen Speichermedien!

      Zitat:
      Wenn dem so ist, dann könnte man ja alle wichtigen Daten immer auf der alten Platte speichern und die aktuelle nur für das Betriebssystem verwenden und bei Virusbefall immer wieder neu formatieren.
      -> Meine Empfehlung ist IMMER 2 Partitionen zu machen. C:\ für Windows und D:\ für Daten.
      Weiterhin muss man aber dennoch IMMER ein Backup seiner Daten auf z.B. eine immer mal wieder angeschlossene externe Festplatte einrichten! En Backup ist das A&O einer jeden Datensammlung!

      Zitat:
      Kann man das Virus eigentlich durch Verwendung bestimmter Browser und zusätzliche Tools irgendwie verhindern?
      Jaein.
      Sein System immer aktuellst zu halten und einen gescheiten Viren/Malware/Rootkit/Pornware/Scareware-Schutz einzusetzen ist eine essentielle Angelegenheit in Sachen „Schutz“.

      Zitat:
      Ich hatte den BKA-Trojaner mit dem IE 8 von irgendeiner Website bekommen, hätte der Mozilla-Browser das vielleicht verhindert?
      -> Kann man so nicht sagen, da es auf doie Einstellungen drauf ankommt. Daher eher erst mal ein „nein“.

      Für mehr Informationen zu all diesen Themen:
      + BKA/GEMA/GVU/Bundespolizei-Ransomware/Trojaner
      + Verschlüsselungs-Trojaner
      + News zu diesen und verwandten Themen

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  19. Huhu

    Ich hatte gestern auch das problem mit diesen netten Virus.
    Ich wollte ihn auch entfernen aber wenn ich in den abgesicherten modus wollte startete er jedesmal neu also kein rankommen

    also baute ich meine platte aus sicherte mir meine bilder und andere dateien und machte sie dann platt.

    Zu meinem bedauern musste ich jetzt feststellen das alle meine Bilder und daten andere namen haben und ich nicht mehr drauf zu greifen kann
    (fttddGfVsUUxGfssUx) <— so und noch ganz viele andere namen haben jetzt meine daten meine frage dazu ist kann ich die jetzt alle löschen oder kann ich die noch retten??

    Ich hoffe ihr könnt mir weiterhelfen da es leider keine kopien von gibt

    mfg Matze

    • @ Matze

      Siehe etwas weiter oben….da habe ich schon mal folgendes beschrieben:

      Auszug:
      “Dies wiederum würde bedeuten das man OHNE die Beschlagnahmung der C&C-Server (Command & Control Server) KEINE Chance hätte diese Daten wieder zurückzuentschlüsseln.
      Ein manuelles entschlüsseln würde alleine für wenige Dateien wohl 10tausende bist 100tausende Jahre dauern.”

      Mit anderen Worten – mit aktueller Technik und dem aktuellen Wissenstand ist es sozusagen unmöglich diese Daten jemals wieder zu retten.^^

      Für mehr Informationen zu all diesem Thema: Verschlüsselungs-Trojaner

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  20. Ich wundere mich wirklich, daß man es nicht schafft, die Daten des Betriebssystems so zu schützen, daß sie eben nicht einfach so ohne Autorisierung von einem Schadprogramm verändert werden können. Würde nicht schon ein Schreibschutz für den Ordner mit diesen Windows-Dateien helfen?

    Ich frage mich auch, was die „Hacker“ eigentlich damit bezwecken: Nur wenige Idioten werden auf ihren Text hereinfallen und ihnen Geld überweisen – dann spricht sich natürlich herum, daß das auch nicht half, den Rechner wieder klarzubekommen und daher werden andere erst recht nichts bezahlen. Und die Daten von irgendwelchen Menschen zu zerstören lohnt sich auch nicht, wenn sie nicht auch Geld dafür bekommen.

    Diese „Hacker“ machen sich also völlig unsinnige Arbeit, die sie Zeit kostet und dem Risiko einer Strafverfolgung aussetzt, aber finanziell nichts bringt. Das finde ich dumm. Jeder Taschendieb steht im Vergleich besser da.
    Handelt es sich nun um notorische Loser, die sich nur an jedem harmlosen Rechnernutzer pauschal für ihr eigenes Versagen rächen wollen, oder sind es bösartige Kids, die auf sich aufmerksam machen wollen, wie die Wandbeschmierer?
    Die Schadprogramme scheinen ja relativ ausgereift zu sein, was doch immerhin für eine gewisse Intelligenz ihrer Ersteller sprechen würde, doch die sinnlose Anwendung ist ein Zeichen von Dummheit.

    Gruß,
    Arpad

    • @ Arpad

      Zitat:

      Ich wundere mich wirklich, daß man es nicht schafft, die Daten des Betriebssystems so zu schützen, daß sie eben nicht einfach so ohne Autorisierung von einem Schadprogramm verändert werden können. Würde nicht schon ein Schreibschutz für den Ordner mit diesen Windows-Dateien helfen?
      -> Die Daten werden ja MIT vollen Berechtigungen geändert. Selbst das theoretisch ja aktivierte UAC von Windows 7 ist nur ein kleiner Schutz gegen diese Veränderungen.
      Denn das Teil wird mit den Rechten des Users (meist Administrativ) , ansonsten aber mit den Rechten eines Systembenutzers ausgeführt (und dieser Nutzer hat die nötigen Rechte immer).^^

      Zitat:
      Ich frage mich auch, was die “Hacker” eigentlich damit bezwecken: Nur wenige Idioten werden auf ihren Text hereinfallen und ihnen Geld überweisen – dann spricht sich natürlich herum, daß das auch nicht half, den Rechner wieder klarzubekommen und daher werden andere erst recht nichts bezahlen.
      -> Ist eine bewährte Methode die mehrere tausend Nutzer am Tag dazu bewegt 50,100,150,200 €uro zu zahlen. Diese stellen dann erst danach in ihrer Angst, Verzweiflung und Wut fest das es nichts gebracht hat – mal abgesehen vom verlorenen Geld.

      Damit ist und bleibt dies ein lohnendes Geschäftsmodell.

      Die Verschlüsselung ist nur ein Mittel das gewählt wird/wurde, weil man die anderen Varianten mit etwas Ertfahrung oder dem FACHhändler ja wieder beheben konnte. So ist die Erpressung wenigstens wirkungsvoll.

      Zitat:
      Diese “Hacker” machen sich also völlig unsinnige Arbeit, die sie Zeit kostet und dem Risiko einer Strafverfolgung aussetzt, aber finanziell nichts bringt. Das finde ich dumm. Jeder Taschendieb steht im Vergleich besser da.
      -> Wie schon geschrieben, das stimmt so nicht. Selbst wenn PRO TAG nur 100 Leute darauf reinvielen (Europaweit), dann wären das z.B. 100 x 100 €uro= 10000 €uro. Klingt für mich sehr lohnend.
      Um die Strafverfolgung brauchen die Leute sich bei geschicktem Ansstellen erst mal wenig Gedanken machen, da Sie ihre Wege gut genug verschleiern können und damit erstmal Wochen/Monate/Jahre „unsichtbar“ bleiben können.

      Zitat:
      Handelt es sich nun um notorische Loser, die sich nur an jedem harmlosen Rechnernutzer pauschal für ihr eigenes Versagen rächen wollen, oder sind es bösartige Kids, die auf sich aufmerksam machen wollen, wie die Wandbeschmierer?
      -> Erst mal sind es meist Leute die das Programmieren schon lange und sehr gut beherrschen. Manchmal sind es wohl auch Kinder oder Studenten die es gerade lernen/gelernt haben und einfach ausprobieren wollen was so geht.
      Und dann gibt es natürlich noch die Script-Kiddies ide sich das Teil mit dem im Internet verfügbaren Baukästen einfach zusammenklicken und damit unübersehbare Schäden anrichten können (theoretisch).
      Und nicht verwunderlich, aber manchmal stecken auch Firmen hinter solchen Dingen – auch wenn diese dann eher als Auftraggeber „arbeiten“. Dies ist dann zum Beispiel bei den SPAMmern häufiger der Fall.

      Zitat:
      Die Schadprogramme scheinen ja relativ ausgereift zu sein, was doch immerhin für eine gewisse Intelligenz ihrer Ersteller sprechen würde, doch die sinnlose Anwendung ist ein Zeichen von Dummheit.
      -> Wie gesagt, das sinnlos stelle ich (zumindest aus der Geld-Sichtweise) mal in Frage.
      Die neusten Varianten in Sachen „Verschlüsselungs-Trojaner“ sind excellent gebaut und lassen nach aktuellem Wissenstand keine Chance für eine Rückverschlüsselung ohne die Masterserver-Beschlagnahmung.
      Siehe dazu meine Seite….(klick).
      Und *sorry* aber vom Grundgedanken her sind diese Leute bestimmt nciht „Dumm“ – eher könnte man sagen Naiv. Denn sie können sich in aller Regel nicht Jahrelang verstekcne.
      Im letzten mir bekannten Fall hat es nicht Europa sondern WEltweit Leute betroffen und damit die USA ebenso. Dort hat es dann mithilfe des CIA/FBI/etc. aber auch immerhin 3 Jahre gedauert bis man die 5-7 Leute aus glaube ich Bulgarien dingfest machen konnte (und zu lächerlichen 320.000Euro verklagt hat – oder so.)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  21. Wir sind ein Kleinbetrieb und habe seit heute auf unserern Rechnerden,über den die Zahlungen erfolgen,den BKA-Virus.Ich nöchte mich bei den Hackern bedanken, das Sie uns das Leben noch schwerer machen, wie es sowieso schon bei der Wirtschaftslage ist. Danke nochmal, Ihr Schaden nur den Kleinen Leute die es sowieso schon schwer genug haben.

    • @ Norbert

      Man bedenke eines dabei.
      Da diese Leute nicht darauf achten wem sie das unterjubeln, sondern ihnen das egal ist, kann man sie leider nciht dafr „alleine anklagen“.

      Denen geht es schlicht um 2 Dinge – Daten und Geld. Woher das kommt ist egal, hauptsache es kommt.^^

      Das es blöde und nervig zugleich ist, das ist natürlich aus unserer Sicht unumstritten.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

    • @Norbert: Unbedingt darüber nachdenken, ob ein Rechner, der mit Kundendaten, Rechnungen usw. einer Firma zu tun hat, unbedingt zum Surfen im Internet verwendet werden muss!
      Ansonsten kann ich dir natürlich nur zustimmen, aber so böse ist nun mal die Welt.

  22. Gerade bat mich meine Nachbarin zum zweiten Mal um Hilfe beider Entfernung des BKA Trojaners. Sie hatte das Problem vor ca. 3 Wochen schon einmal. Über die Systemwiederherstellung kam ich dann wenigstens ins Hauptmenü. Ich deinstallierte dann ihren AVG Virenschutz und installierte dafür F-Secure. Scheint ja nicht viel geholfen zu haben… Na, hoffentlich klappts heute genauso wie beim letzten Mal…

    • @ Gert Kaiser

      Bitte bedenken Sie/bedenke, das eine Systemwiederherstellung nur die Schädlingsdateien nicht mehr in den „ausgeführt“ Modus versetzt.
      Vorhanden bleiben diese Dateien in aller Regel aber trotzdem.
      Zumdem weiß man ohne die geeigeneten Scans nicht mit was man es ggf. zu tun hat.
      Wie z.B. mit einem Rootkit/einer BackDoor.

      Daher bitte noch MINIMUM mal das Posting (https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080) hier lesen und beachten.

      Soltle es noch Fragen geben, gerne per Mail an mich.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  23. Wenn man schnell ist kann man evtl die Sicherungs-CD umgehen. Bei mir konnte ich noch bevor der Trojaner den Desktop blockiert auf „windows->benutzer wechseln“ klicken. Dann normal wieder anmelden und man kann die Systemwiederherstellung durchführen.

  24. Hallo Daniel,

    erstmal vielen Dank für Deine „Idiotensichere“ Anleitung zur Entfernung des Trojaners. Leider ist es bei mir am letzten Schritt gescheitert. Der PC findet den „Jashla-Pfad“ nicht. Somit kann ich diesen nicht löschen und ich komme nicht weiter.
    Habe den GVU Trojaner auf dem Rechner. Kann es vielleicht sein dass es dann ein ganz anderer Pfad ist?

    Wäre sehr dankbar wenn ich Hilfe bekomme.

    LG Kathi

  25. ACHTUNG!!!!

    Mit dieser RettungsCD von Bitdefender habe ich den Trojaner finden und löschen können.

    Auf dieser Seite downloaden:
    http://www.bitdefender.de/support/Windows-Reparatur-mit-Hilfe-der-BitDefender-RESCUE-CD-650.html

    Die ISO-Datei mit Nero oder mit einem anderen Brennpogramm auf CD brennen.
    Dann denn Rechner neu starten und im Bios Menue Booten auf CD/DVD umstellen.
    CD einlegen auf neustart und dann wird von CD gebootet.
    Es erscheint das Bitdefender Bildschirm und dann scanvorgang starten.
    Bei mir hat er zwei Trojaner gefunden, hab dann beide gelöscht und weg waren sie. Dann den Rechner neu starten und alles ist palletti.

  26. Hallo,
    ich bin momentan in Kanada, und habe mir den selben Virus (naja halt nicht BKA sondern Government Canada) eingefangen. Abgesicherter Modus funktionier nur mit Eingabe option, gut damit hatte ich gerechnet, aber was ich persoenlich sehr komisch finde, ist das ich im Start Up, kein Startprogramm finde, das irg wie verdaechtig sein koennte, ich bin die Liste jetzt hundert mal durchgegangen und habe alles geloescht was irgendwie ohne sinn erschien aber der Kollege zeigt mir immer wieder das ich doch bitte $100 zahlen soll. Das mit dem Booten werde ich heute mal probieren, auch wenn ich nicht wirklich verstehe was das aendern soll, der Virus wird doch davon nicht geloescht oder? Und wenn ich meinen Laptop dann wieder hochfahre koennte er doch quasi von vorne beginnen oder nicht?

    • @ Roocko

      Hallo,

      die Startdatei(en) werden in der Registry ebenfalls verankert. Dazu ist somit kein „Autostart“ im StartUp bzw. der msconfig notwendig.

      Wenn der „Abgesicherte Modus mit Eingabeaufforderung“ immerhin funktioniert, kann man darüber den Schaddateien zu Leibe rücken.
      Alternativ geht man hin und lädt sich z.B. eine entsprechende Rescue-Disc von Kaspersky.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      Mail me

  27. Hallo,
    Habe auch den Trojaner gehabt und anstatt einer Daten Rettung und Entfernung des Trojaners direkt formatiert und neu installiert. Nun bekomme ich einen stop Bsod direkt nach “WINDOWS IS LOADING FILES “und kann kein Windows mehr installieren. Ubuntu läuft tadellos.
    Hat damit jemand Erfahrung?
    Bzw kann jemand helfen?

    • @ Sepp

      Hallo,

      mal abgesehen davon das es nicht unbedingt geschickt war sofort zu formatieren (mal vom Datenverlust abgesehen), so hat man nun auch keinerlei Informationen was man da eigentlich auf dem System hatte und was man ggf. noch für Maßnahmen ergreifen müsste.

      Nun, aber zum beschriebenen Problem.
      Um da was zu sagen zu können, müsste man erst mal ein paar Informationen mehr haben…
      1. Welches Betriebssystem?
      2. Recovery oder richtige Neuinstallation?
      3. Von Anfang an nach der Installation das Problem, oder erst nach Treiberinstallationen?
      4. Welche BlueScreen STOP-Meldung erscheint?
      5. Selbstbaurechner oder Fertiggerät (Marke)?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      Mail me

      • Hallo,
        also mein System ist ein MSI Ex623.
        Vorher war win7 drauf, keine nennenswerten Daten. Daher habe ich auch sofort formatiert, um den Vorgang zu beschleunigen. Wie ich mir das Virus eingefangen habe, war mir nicht ganz klar, da auch andere den Laptop genutzt hatten. Das wird jetzt nicht mehr stattfinden.

        Vorher war win7 x64 drauf. Nach Formatierung war es nicht mehr möglich zu installieren, da sowohl der normale Start als auch der abgesichtere Modus mit Eingabeaufforderung bei dem BSOD
        „stop c000021a (Fatal System Error) The initial process or system process terminated unexpectedly with a status of 0x00000000 (0xc00000001 0x001003f0).

        Mein Vorgehen war so:
        Format C -> versuch der Neuinstallation um evtl. Daten auf D zu retten. -> kein Erfolg
        Installation von Ubuntu um Daten zu retten-> erfolg
        Löschen aller Partitionen ->Format über Gparted
        Versuch der Installation -> kein Erfolg

        Der Bluescreen tritt nach Start von dem Win7x64 installations USB-Stick, quasi direkt nach „Windows is loading files“ auf es blinkt kurz der „windows wird gestartet“ Ladebalken und dann geht er in den Bluescreen.

        Gruß

        Sepp

    • Lässt sich ein Windows installieren, wenn bereits ein anderer Bootloader (Ubuntu) auf der Maschine ist? Mein Bauchgefühl sagt mir, dass das nur anderes herum funktioniert – also erst Windows und dann Linux.

      Kann aber auch sein, dass das seit Windows 7 anders ist …

      • @ Daniel

        Da ist auch unte rWindows XP schon kein Problem gewesen. Einfacher Grund:
        Die Neuisntallation macht man in der Regel eh mit der Windows üblichen Formatierung (im Laufe des Setups) und damit wird auch der bekannte Bootloader gelöscht bzw. später überschrieben.

        Eher oist sopmit nachher ein installiertes Linux (auf anderer Partition) nciht mehr startbar, dafür aber das Windows.

        Das wird wohl somit nicht das Problem von Sepp sein. Ich ahne schon was das Problem sein könnte, muss aber noch die richtigen Worte dafür finden.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

        Mail me

  28. Jonathan Henke | 14. Juni 2013 um 18:26 | Antworten

    ich hatte daselbe problem hab mich natürlich auch über das geanze da informiert gehabt und da kam mir eine idee ich hatte auf dem konto wo der virus darauf war keine adminrecht als bin ich auf das gegenagen wo ich hatte das leis sich problemlos starten und habe einfach mein benutzerkonto glöscht und ein neues erstellt hatte danch keine probleme mehr ^^

  29. Hallo zusammen,
    ich habe gerade das Problem mit dem BKA Virus, nur komme ich gar nichts ins BIOS und das Laufwerk wird auch nicht in Betrieb genommen. CD zum Booten fällt also flach. Nach ca. 5 Sekunden fährt sich der PC immer wieder neu hoch. Bildschirm bleibt schwarz. Ich habe Windows 8 und ein Asus P8Z77V Mainboard. Ich verzweifle. Was kann ich tun?

  30. nach stundenlanger Arbeit war die Lösung das BIOS via USB-Flashback zu aktualisieren

  31. hatte den auch (win7 64bit). so hab ichs gemacht:
    windows startet. bka bildschirm kommt. dann strg+alt+entf drücken. dann „abmelden“ wählen. das wird er dann auch tun, allerdings kommen meist programme die nicht so schnell geschlossen werden können (bei mir skype oder spotify) mit der fehlermeldung „abmelden erzwingen“ oder „warten bis programm geschlossen wird“ oder sowas. dort dann einfach zügig auf „abbrechen“ drücken, also nicht abmelden lassen. spätestens nach dem dritten versuch war ich wieder ganz normal aufm desktop, ohne bka anzeigebildchen. nun kann man erstmal alle wichtigen daten retten (fürs gute gewissen).
    dann: msconfig ausführen („start“ – nach msconfig suchen), dort auf systemstart. den eintrag auswählen der einem spanisch vorkommt (man kennt ja normalerweise die programme die man installiert hat) und häkchen raus. dort sieht man auch unter „befehl“ wo das ding herkommt. also dort hin durchklicken und den ordner löschen. direkt neben „befehl“ steht „ort“, dort sieht man den pfad zum registry eintrag. also wieder auf „start“ und „regedit“ ausführen. ebenfalls da hin durchklicken und den entsprechenden regedit eintrag löschen. rechner herunterfahren(!) und dann wieder anmachen. fertig.

    recovery cd etc von avira hat nix geholfen. kein virus gefunden. systemwiederherstellungen bei windows starthilfe (ich glaube ein paar mal f8 drücken beim booten) sind alle fehlgeschlagen.

    bin kein pc experte, also fragt mich nicht wie was geht, wenn es so nicht klappt wie bei mir ;)

    • Danke für die Hinweise. Ist natürlich ein Versuch wert, auf diesem Weg zurück ins System zu gelangen.

      Mach‘ auf jeden Fall noch einen Systemcheck mit Malwarebytes. Die kostenfreie Version reicht für einen einmaligen Test völlig aus.

      • ay ay captain
        gesagt – getan. hat einiges gefunden. so wie ichs gesehn hab, war der bka bursche aber nicht mehr dabei.

        • @ charly

          Darf man fragen welche Objekte gefunden wurden? Weniger interessant sind die Dateinamen, vielmehr aber die Schädlingsnamen.

          Mit freundlichen Grüßen,
          Simon
          (Fachinformatiker für Systemintegration)

          Hilfeseite
          Mail me

        • @ charly

          Eben vergessen…
          In welchem Windows-Modus wurde gescannt?

          Mit freundlichen Grüßen,
          Simon
          (Fachinformatiker für Systemintegration)

          Hilfeseite
          Mail me

  32. klar darf man ;)

    Infizierte Registrierungsschlüssel: 9

    kincjchfokkeneeofpeefomkikfkiedl (PUP.FCTPlugin) -> Keine Aktion durchgeführt.

    {FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    {3BF3DED5-0FC8-4207-AC09-AA7B5AF4E408} (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    {1B97A696-5576-43AC-A73B-E1D2C78F21E8} (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    PricePeep.PricePeepBho.1 (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    PricePeep.PricePeepBho (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    {FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    {FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    {FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    Infizierte Registrierungswerte: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse: 1
    C:\Program Files (x86)\Object (PUP.FCTPlugin) -> Keine Aktion durchgeführt.

    Infizierte Dateien: 14
    SoftonicDownloader_fuer_audiocon.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

    SoftonicDownloader_fuer_switch-audio-file-converter.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

    status.txt (PUP.FCTPlugin) -> Keine Aktion durchgeführt.

    config.ini (PUP.FCTPlugin) -> Keine Aktion durchgeführt.

    enable.txt (PUP.FCTPlugin) -> Keine Aktion durchgeführt.

    status2.txt (PUP.FCTPlugin) -> Keine Aktion durchgeführt.

    pricepeep.dll (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    PPVA_Update.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    sogouloader.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    sogou_explorer_silent_2.0.0.1096_3285.exe (Adware.Sogou) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    sogou_pinyin_50_5251.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    wluccpa (Malware.Packer.EPGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    Build.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    pptvsetup_self.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    das wolltest du wissen oder?
    und? war er dabei? O.o
    sieht alles gleich aus :D

    was meinst du mit modus?
    das malwarebytes im normalen windows modus, mittels quick scan

    das andere avira rescue dingens von cd aus gebootet und dort gescannt. also im „nicht windows modus“ :P

  33. Hallo,
    Ich hab meinen lap top, nachdem ich gemerkt habe, dass si ein virus drauf is, in den abgesicherten modus gebracht. Dieser jedoch geht nicht auf. Der lap top wird ständig neu gestartet.
    Was kann ich nun tun?
    Mit der taste f8 klappt nichts.
    Kann ich windows neu installieren wenn sich der lap top im abgesichertem modus befindet?

    Lg

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*