„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Hallo, wir sind am verzweifeln…
Bei uns ist der Pfad bei Shell bereits Explorer.exe und wir können leider auch kein Mahmud oder jashla finden.
Und nun bitte nicht lachen, aber wo finde ich den Benutzernamen?
P.s.: danke trotzdem schon mal für die super antleitung
Zum Thema „explorer.exe“ schon in Shell-Zeichenfolge:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-10#comment-1617
Solange man noch ins System reinkommt (was ja den anschein hat), kann man auf Arbeitsplatz/Computer (im Startmenü oder auf dem Desktop) mit der rechten Maustaste klicken und dort auf „Verwaltung“ und dort „Benutzerkonten“.
Alternativ: Start – Systemsteuerung – Benutzer(konten)
Dort müsste man alle User des System einsehen können.
(Abgesehen von WindowXP Home), da sieht man den Benutzer „Administrator“ i.d.R. nicht.
3.te Möglichkeit wenn kein Desktop mehr verfügbar ist, aber noch das Startmenü oder die Tastenkombination [WindowsTaste] + [R] – dann könnte dort noch „LUSRMGR.MSC“ eingegeben werden um dort in die Benutzerverwaltung zu kommen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
danke Simon für deine Anstrengung:) Aber ich habe eine Frage, und zwar: nachdem ich LUSRMGR.MSC eingegeben habe, kam,wie schon von Ihnen erwähnt [Lokale Benutzer und Gruppen (lokal)\Benutzer]. Wie ist denn jetzt der letzte Schritt?…ich komme nicht weiter, ich danke Ihnen im Voraus für Ihre Antwort…
Simon!!!
Du glaubst nicht, wie erleichtert ich jetzt bin! Es hat tatsächlich geklappt!
Und du musst mal überlegen – du hast hier zig Menschen geholfen, dass sie keine 100 euro verloren haben, oder ihren Pc aufgegeben haben, oder was auch immer!
Ich danke dir sehr, wirklich :D !
Also jetzt wünsche ich dir noch einen schönen Abend,
falls du noch antwortest werde ich dir nachher oder morgen schreiben!
Danke, Danke, Danke,
Phillip
1. Freut mich zu hören das es funktioniert hat.
2. Jetzt bitte aber nicht Backup-Einrichtung und immer aktuelles System mit Antivirenschutz vergessen.^^
Aus meiner Sicht bin ich ja eigentlich ganz froh Menschen helfen zu können.
Aus kaufmännischer Sicht mache ich mir selbst und auch der Firma in der Ich arbeite hiermit natürlich gerade rießen Sche***e, denn ich schmeiße Geld ausm Fenster.
Aber, wie gesagt, ich versuche dennoch zu helfen. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker – Systemintegration)
Ja, stimmt, dann ist es umso netter!
Ja, ich werde jetzt 10x mehr drauf achten, aktuelle updates bei antivirenschutzprogramme vorzunehmen!
Also ich muss dennoch was fragen. Jetzt kann ich den Pc ja wieder normal benutzen, muss ich trotzdem noch irgendwelche Datein löschen? Ich meine, bei suche finde ich diese „mahmud“ etc. nicht… Also antivira findet auch nichts… Ich bin jetzt fertig oder?
:)
Bis dann,
Phillip
Also zum Thema „aktuell halten“, führe ich mal wieder eines meiner Postings ins Feld:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-10#comment-1624
Zum weiteren Vorgehen nach einer infektion, kann cih ebensfalls ein Posting angeben:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-10#comment-1695
(Meine Postings von vor Stunden/Tagen erleichtern mir doch sehr die Arbeit/Hilfe. :-) )
Mahmud.exe etc. wirst Du nicht finden, da deine exoplorer.exe in diesem Fall wohl „der Feind“ war.
Generell kann aber ein einmal eingeschleuster Virus/Trojaner/etc. IMMER noch was nachladen oder nachgeladen haben vielmeher, was nur jetzt nicht zu sehen/nicht aktiv oder noch nciht aktiv ist.
Mit freundlichem Gruß,
Simon
(Fachinformatiker – Systemintegration)
Hallo, habe mir gerade den Trojaner eingefangen. beim Atrritbut Shell steht aber korrekt der Wert „explorer.exe“ und das beim User und Administrator. DIe Suche im Esxplorer findet keinen jashla. und nun. danke.
Bitte nicht böse sein, aber 5 Kommentare drüber (oder so) steht „alles“ dazu:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-10#comment-1617
Mit freundlichem Gruß,
Simon
(Fachinformatiker – Systemintegration)
ich glaube habe ein schweren fehler gemacht!
ich habe shell gelöscht und habe das falsch verstanden und der virus ist immer noch drauf was muss ich jetzt tun?
Dein/Ihr Problem hatte gerade vor ein paar Stunden auch Phillipp.
Im Zuge dessen einfach mal der Link zu allen Postings dieser Problemlösung:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-10#comment-1753
Mit freundlichem Gruß,
Simon
(Fachinformatiker – Systemintegration)
Hey Leute bei mir ist der Pfad shell garnicht mehr vorhanden, kann sein , dass ich ihn gelöscht habe, weil ich vorher auf internet Seiten shon was probiert habe . Was kann ich tun bitte um hilfe
Ich habs hin bekommen und ich danke für eure wunderbare Hilfe ;) bei mir war es übrigens auch mahmut
Moin. Ich hab mir den Mist vor ein paar Stunden eingefangen. Bin zudem reiner User, das vorab.
Ich hab zwar gleich geschnallt, dass das ein fake ist und dachte, es sei mit dem Task Manager getan. Das geht ja bekannterweise nicht.
Dann habe ich einfach probiert, was ich überhaupt noch machen kann und dabei gemerkt, dass ich einen Rechtsklick am obersten und untersten Bildschirmrand ausführen kann. Da hab ich auf „Eigenschaften“ geklickt und da stand ein Pfad: Daniel/AppData/Local/Temp/upd.exe \main (oder ähnlich, erinnere mich leider nicht mehr)
Ok, das ist also die Zecke, hab ergo den Rechner neu gestartet und wollte die nun einfach wie der Blitz löschen. Jetz war das Sauding aber zu schnell. Also im abgesicherten Modus gestartet und gelöscht. Wo ich schonmal da war, hab ich gleich Avira AntiVir Personal drüberlaufen lassen und gleichzeitig im Inet geforscht.
Da bin ich auf diese Seite gekommen. Jetzt habe ich NACHDEM ich die upd.exe gelöscht und den Virenscanner hab drüberlaufen lassen (der übrigens erstmalig seit ich Rechner verwende ZWEI Funde hatte, darunter einen Java/Agent M1 irgendwas) noch versucht die Routine wie zu Beginn beschrieben durchzuführen.
Jetzt findet sich aber bei der SHELL nur die explorer.exe, welche sich auch normal ausführen lässt. (Also „explorer.exe“+Enter erzeugt die Explorer-Leiste am unteren Rand ohne Auffälligkeiten.)
Also dachte ich, wenn das Ding bei mir wohl upd.exe hieß und nict jashla oder mahmud, dann müsste ich den registry-eintrag ja unter diesen Namen finden, egal wie der Pfad im Endeffekt aussieht. Ich hab jashla und mahmud wie erwartet nicht gefunden, dafür aber „upd.exe“ und zwar bei CURRENT VERSION/RUN
Diesen Eintrag hab ich auch entfernt. Java ist jetzt gleich wieder aktuell.
Und nach diesem mitternächtlichen Erguß hab ich eigentlich nur eine Frage:
War das richtig? Oder gibt es noch etwas zu tun?
In der Hoffnung nichts überlesen zu ahben, klingt das soweit gut.
Jetzt fehlt im Endeffekt nur noch ein immer aktuelles System, immer wieder gescheite Backups für den Ernstfall und eventuell noch ein Offline-virenscan.
Nicht das sich während des Betriebs noch was vor dem aktuell laufenden Virenscanner verstecken kann/tut.
Mit freundlichem Gruß,
Simon
(Fachinformatiker – Systemintegration)
Hallo Simon,
ich sitze jetzt fast 3 Stunden an meinem zweiten Laptop und bislang hat nichts geholfen. Ich hab VISTA als Betriebssystem.
Weder gibt es bei mir jashla, noch muhamad. Wenn ich in dem DOS-Modus explorer.exe eingebe, steht da „Zugriff verweigert“. Will ich im abgesicherten Modus (ohne Eingabeaufforderung) per Rechtsklick den Explorer aufmachen, tut sich gar nichts (nur das Zeichen dafür, dass er lädt).
Was kann ich noch tun?
Gruß
Nacht-Falter
Sei mir nicht böse, aber Nachts um 01:56Uhr muss selbst ich mal schlafen.^^
Irgendwie muss schließlich auch ein Simon mal dann seine Brötchen verdienen.
An und für sich hört sich das Problem – fast – danach an als wäre die explorer.exe infiziert. Allerdings würde ich dann beim Aufruf der explorer.exe das BKA-Ding erwarten.
1. Wie sieht es mit den Möglichkeiten aus, die Festplatte an einen anderen PC z.B. per USB-Adapter anzuschließen?
2. Was sagt der abgesicherte Modus (wenn man nach obiger Anleitung vorgeht)?
3. Zumindest einen Teil (oder auch die Ganze) der Anleitung von http://blog.botfrei.de/2011/11/bka-trojaner-infiziert-explorer-exe-auch-unter-windows-7/ könnte man eventuell dafür nutzen.
> Dazu kannst Du/können Sie auch die Posts auf der verherigen Seite von „guenni“ mitverfolgen. Der macht dies gerade anhand der Anleitung durch (was aber schwerer ist als mal eben eine Kopie von einem sauberen Vista-System und deren explorer.exe oder einer Installations-CD/DVD.)
Mit freundlichem Gruß,
Simon
(Fachinformatiker – Systemintegration)
Guten Morgen…
ich brauch ganz schnell hilfe :-)
Ich sitze an dem Laptop von meinen Bruder und versuche seit gestern abend den Virus zu löschen ich habe es folgender maßen gemacht
Snake3590 schrieb am
18. November 2011 um 11:48
Hey, ja iwie will er nicht fündig werden…
Ist aber kein Problem!
Solang sich der Name der *.exe nicht geändert hat…
Ich hab es dann so gemacht:
1. Obengenannte ANleitung bis einschließlich Punkt 4. anwenden.
2. Dann “msconfig” eingeben.
3.Unter dem Reiter “Systemstart” einen EIntrag suchen der im Pfad die sogenannte “mahmud.exe” enthällt.
4. Haken bei diesem EIntrag entnehmen. Anschließend unten rechts auf Übernehmen. Rechner ganz normal Neustarten…
5.dann pfad:
C:\Users\[Dein Benutzername]\AppData\Roaming\
Dieses verzeichnis öffnen und Die mahmud.exe löschen.
Nun hab ich punkt 5 offen und versuche die Datei zu löschen aber wenn ich doppel klick mache öffnet sich ein Fenster und dort steht ob ich die Datei herunterladen möchte??aber da steht nichts von löschen…ist die datei schon gelöscht?
Was muss ich machen???
LG Nicole
Guten Morgen,
nichts für ungut, aber hier zeigt sich wirklich überdeutlich das eigentliche Problem: Millionen von Leuten sind im Internet unterwegs, kümmern sich aber nicht um die simpelsten Sicherheitsmaßnahmen, die Simon hier ständig wiederholt: Aktueller Virenscanner und aktuelles Betriebssytem! Jeder 5. in Deutschland surft ohne tauglichen Virenschutz!
Und dann schlagen hier Leute auf, denen man sogar erkären muss, wie man eine Datei löscht, unfassbar!!!
MAN DOPPELKLICKT ZUM ÖFFNEN NICHT AUF EINE DATEI, DAMIT FÜHRT MAN SIE AUS!!! Datei markieren, Umschalttaste gedrückt halten und dann ENTF drücken. Damit landet sie nicht im Papierkorb, sondern im Nirwana.
ich will mich ja nicht aufregen oder sowas aber man hätte das ganze auch netter sagen können…..ich habe von Computern nicht viel ahnung…ausserdem sitze ich an den rechner von meinen bruder!!!!nicht ich habe diesen Virus.
Ich habe das eben makriert und die umschalltaste und entf. gedrückt aber es passiert nichts
Stimmt @Nicole. Das hätte medien-sicher auch netter sagen können.
Aber dass eine Trojaner-Entfernung ein kleines Mindestmaß an Computerkenntnisse voraus setzt, sollte jedem irgendwo klar sein. Mir ist auch klar, dass man als Leihe sich nicht all zu oft in der Registry herum treibt und man ja hofft, den Rechner wieder irgendwie fit zu bekommen.
Falls Shift+Entf nicht klappt, dann kannst du es immer noch mit Rechtsklick + Löschen prbieren. Im Anschluss den Papierkorb leeren.
Klar, ich hätte es auch netter und durch die Blume sagen können, aber dann hat es erfahrungsgemäß nicht dieselbe Wirkung!
Man fährt auch nicht Auto, ohne zu wissen wo Gas und Bremse sind, aber Computernutzung ohne jegliche Ahnung ist für die Mehrheit kein Problem.
Der wirtschaftliche Schaden, der dadurch entsteht, geht in die zweistelligen Milliarden!
Wenn alle, die hier gefragt haben (inzwischen bald 1000 Kommentare) sich um Virenschutz und Systemaktualität gekümmert hätten, wäre dieser Trojaner kein Thema. Und um das zu wissen, reicht schon die Lektüre einer ganz banalen Tageszeitung.
Auf dieser Seite steht längst alles, und zwar mehrfach, was man wissen muss, um diesen Schädling los zu werden. Wer damit nicht zurecht komt, sollte sich einen realen Experten zur Hilfe holen, das kann man dann per Onlineerklärung nicht lösen.
Grüße
medien-sicher
Einerseits „Danke“ an medien-sicher, denn Du hast durchaus recht.
Es stimmt das viele Leute oben das wohl lesen, versuchen nachzumachen und es nicht klappt. Dann posten diese hier unten und lesen dabei nciht mal ein paar Postings.
Andererseits kenne ich aber auch die Verzweiflung die manchen Leuten dann buchstäblich ins Gesicht geschrieben steht. Manchmal kommt die Erkentniss das man hätte dort auch einfach ein bisschen hätte weiterlesen können – später.
Ich bin zwar auch kein Freund davon mich dauern wiederholen zu müssen (deshalb ja nur die Verweise auf frühere Postings), aber Leute dich sich mit dem PC auskennen (und nicht nur welche die jetzt nach der Entfernung meinen ES zu können^^), sollten den anderen versuchen zu helfen. Dies ist und bleibt natürlich weiterhin ein „steiniger“ Weg. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Wenn man wenig bis keine Ahnung von Eingabeaufforderung und Registry hat:
Für weniger als 10€ gibt es Adapter, mittels derer man die Festplatte per USB an einen anderen Rechner hängen und scannen lassen kann. Dieser muss dann aber einen ordentlich aktuellen Virenschutz haben!!!
http://www.amazon.de/adaptare-Serial-Adapter-Konverter-Festplatten/dp/B002N5Y4N4/ref=sr_1_1?ie=UTF8&qid=1321862602&sr=8-1
Bitte nicht böse sein, aber ich bevorzuge dann doch lieber ein paar mehr Euro auszugeben und würde daher eher
1. http://www.amazon.de/-70200-USB-mini-Festplattenadapter-SATA/dp/B004GC7V32/ref=sr_1_1?s=computers&ie=UTF8&qid=1321910076&sr=1-1
oder
2. http://www.amazon.de/Sharkoon-DriveLink-IDE-SATA-USB/dp/B000OIJBQM/ref=sr_1_5?s=computers&ie=UTF8&qid=1321910099&sr=1-5
empfehlen.
Dort kann ich zumindest sagen, hat man definitv lange was davon. :-)
(Muss nicht heißen das das andere schlecht ist, bei den beiden oberen Produkte könnte ich aber Bestnoten vergebn – seit mittlerweile Jahren.)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
warum sollte ich BÖSE sein? Ich habe das billige Teil auch seit Jahren klaglos im Einsatz, es hat auch mal 25€ gekostet. Aber so wie die meisten unserer „Patienten“ hier gestrickt sind, wollen sie ja auch keine 25 € für einen anständigen Virenschutz ausgeben…
Ich denke, das manche Leute das Geld nciht ausgeben wollen, wird an 2 Dingen liegen…
1. Sie wissen eventuell nicht um die Problemtaik die mit einem kostenfreien Produkt auftreten KANN.
Außerdem gibt es tonnenweise Tests die gute Noten bestätigen.
2. Die Leute siond evtl. so eingestellt wie mein einer Chef (und das muss man sich mal im Kopf durchgehen lassen!) einfach grob Fahrlässig und sagen sich „Ich weiß wohin ich surfe, ich weiß was ich tue am PC, ich weiß was ich an meinen PC anstecke, ich weiß was ich am PC öffne“.
Das schlimme dabei ist, ich wette das der PC meines einen Chefs schon infiziert ist, er aber das ungemeine Glück hat das er einen virus drauf hat der sich nicht zeigt.
Da es durchaus solche Viren gibt, kann dies ja durchaus der Fall sein.^^
Leider merken 90% der Leute meist erst dann das es doch nötig gewesen wäre, wenn eben „gar nichts“ mehr geht.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
das habe ich probiert,funktioniert auch nicht, bekomme die Meldung :
Datenträger entfernen/ Neustart Taste drücken
oder die Meldung: BOOTMGR fehlt, Neustart mit Str+Alt+Entf…
sind diejenigen die diesen Virus entwickelt haben gefasst, das ist echt beschissen….
Lg
Hast du versucht, von der infizierten Platte am USB zu booten? Das geht nicht!
Du musst die Platte als Wechseldatenträger an ein laufendes, aktuelles, geschütztes Windows hängen und von dort aus scannen und säubern lassen.
Wie bist Du/sind Sie vorgegangen?
Ab wann, bzw. nach welcher Aktion kommt/kam diese Meldung?
Wenn BOOTMGR fehlt kommt, dann wäre i.d.R. etwas für den Startvorgang von Windows „defekt“.
Dies ließe sich durch eine Systemwiederherstellung, eine Reperatur per CD/DVD oder auch durch ein früheres Backup wieder beheben (voraussetzung man hat ein solches).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Daniel selbst das funktioniert nicht!Ich kann nichts löschen.wenn ich rechtsklick mache dann steht da bloß kopieren ect.
Soo ich habe es geschafft!!Ist gelöscht :-)
Mache nun einen Neu Start und werde nachher Antivir drauf machen und dann durch laufen lassen!
LG Nicole
Wie hier schon gesagt, wenn man sich wenig auskennt, reicht ein kostenloser Virenscanner definitv NICHT aus. Die 25-30€ im Jahr rechnen sich locker, wenn man bedenkt wieviel Zeit hier mit der Löschung eines einzigen Trojaners verbraten wurde.
GDATA ist vom Preis-/Leistungsverhältnis her empfehlenswert.
Sorry das ich so oft heute „gegen“ Dich/Sie zu sein scheine, aber wie cih es ja schon oft genug schrieb.
Ein kostenfreier Virenscanner KANN nicht MUSS genausogut sein wie einer kostenpflichtiger.
Kostenfreie Programme haben i.d.R. immer irgendwelche Nachteile. Bei Antivirenprogrammen ist es meist das es nicht ganz so häufig updates gibt, oder sie langsamer sind im Scannen.
ABER der Virus/Trojaner kommt ja nicht als neues Objekt daher. Er wird immer nur partiell verändert, heißt seine eigentliche Routine ist bekannt.
Wichtigter oder sagen wir lieber genauso wichtig, ist und bleibt ein KOMPLETT aktuelles System (Adobe, Java, Antivirus, Microsoft/Windowsupdates, etc).
GDATA kann ich persönlich nicht wirklich soo viel zu sagen, außer das sie bislang bei mir persönlich „zu langsam“ waren und die Nachricht das mal kurzzeitig (ein paar Tage) weltweit alle Rechner für den echten BKA-Trojaner (Staattrojaner) ungeschützt waren (extra!), macht GData für mich nicht gerade vertrauenswürdiger.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
http://www.gdata.de/
Hallo,
hab mir gestern den Virus eingefangen, allerdings konnte ich ihn mit Strg+Alt+esc in die Taskleiste verschwinden lassen, sodass ich meine anderen Programme weiterführen konnte. Da meine Eltern den auch schon mal hatten und da gar nichts mehr ging, war ich erst malverwundert. Hab ihn dann normal runtergefahren, aber als ich mich heute darum kümmern wollte war der gar nicht mehr da! Hatte mir den Pfad aufgeschrieben und dann halt gleich die Datei gelöscht und Virenscan gemacht, da war dann auch nix mehr.
Ist das vll ein neuer Virus? Hab halt Angst dass der noch irgendwo sitzt und ich nichts dagegen machen kann…
Lg M.
Datei gleich gelöscht = Virus weg.
Klingt einfach und plausibel zugleich.
Dennoch würde ich das System mit aktuellster Software (Offline) scannen um zumindest noch ein bisschen sicherer zu sein.
Kurz gefragt: Wie aktuell war das komplette System (Adobe, Java, Microsoft/-Windowsupdates)?
Und welcher AntiVirusschutz wird/wurde eingesetzt?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
Vielen vielen Dank für die perfekte info zum killen des Trojaners,
Da ich meinen Rechner sehr viel und für die Arbeit benötige bin ich echt voll happy das alles super geklappt hat.
Mein Avira personal free hat dieses leider nicht erkannt.
Werd diesen jetzt wohl von Meinem Rechner verbannen und mir eine Aktuelle auch wohl Kostenpflichtige Software holen.
Vielen Dank !!
Ich kenne bislang KEINE Antivirensoftware die rechtzeitig genug angeschlagen hätte. Jede Software erkennt ihn danach, dann aber ist es meist zu spät.
Mein Liebling „Eset NOD32 Antivirus“ erkennt ihn auch währenddessen bzw. danach. Eienr Probe ob er auch schnell genug ist das schlimmste von Anfang an zu verhindern, das habe ich NOCH nicht gemacht. :-)
Das wichtigste ist und bleibt (wie so oft schon geschrieben) ein aktuelles System, Antivirensoftware und natürlich immerwieder Datei/PC-Backups.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Deine Anleitung war für mich als Noob Gold wert. Vielen Dank!
Hatte den Virus über einen USB-Stick eines Freundes bekommen. Die Daten darauf waren vom April/Mai, daher hieß der Trojaner auch noch „Mahmoud“ und war wohl noch nicht mutiert. Hatte so viel davon gelesen, dass es in den letzten Monaten immer wieder neue Formen des Virus‘ gab. Lasse gerade mein System komplett mit AntiVir scannen. Sieht bisher gut aus.
Danke nochmal!!!
Freut zu hören, also das Du/Sie ihn losgeworden bist/sind.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hi!
bin gerade ziemlich am verzweifeln.
shell ist bei mir ebenfalls schon explorer.exe und der link der dazu angegeben wurde funktioniert irgendwie nicht bei mir. bzw habe versucht von zwei rechnern den link zu öffnen, aber irgendwie gibts da ein problem. und es gibt weder jashla, noch mahmud noch exolor (was ich im zusammenhang damit auch schon gelesen habe) was kann ich stattdessen tun?
wäre wirklich sehr dankbar wenn mir jemand helfen könnte.
vielen dank im voraus!
grüße aus bonn
ich noch mal!
habs hinbekommen :D. vorerst zumindest. ich bedanke mich sehr für diese anleitung und vor allem die kommentare meiner vorgänger, denn wenn man diese alle mal durchwuselt findet man auch seine eigenen „fehler“ :D.
grüße aus bonn
Endlich mal jemand der doch ncoh Postings von vorher liest/las. :-)
Manchmal dauert es halt ein bisschen bis man nach dem ersten Schock dazu kommt, kann ich insofern also verstehen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Im Allgemeinen war es eine sehr gute Anleitung.
Aber ich hab ein Problem:
Ich hab als erstes die gesamte Anleitung befolgt. Dann hab ich gemerkt, dass bei Shell im Wert auch explorer.exe drin steht. Also hab ich mir die Kommentare durchgelesen und daraufhin eine neue Explorer.exe besorgt die sauber ist. Im abgesichterten Modus hat sie auch funtkioniert. Aber als ich Windows neugestartet habe kam wieder der Virus zum Einsatz. Jetzt weiß ich auch nicht weiter, da es ja nicht an Shell liegt und an der Explorer.exe auch nicht.
Wäre bei Hilfe sehr dankbar.
Auch wenn ich mich wiederhole: Es gibt inzwischen einen Haufen Mutationen dieses Trojaners mit unterschiedlichen Dateinamen und Startoptionen. Manche schreiben sich in etliche Autostartschlüssel und lassen den shell-Eintrag unverändert.
Von daher nochmal die Empfehlung: Platte ausbauen und per USB an einen gesunden Rechner hängen und säubern. Alles andere ist Lotto und dauert meist deutlich länger.
Danke für deine freundliche Antwort. ;)
Aber der erste Kommentar von Daniel war bei weitem nützerlicher. Durch diese Hilfe bin ich den Virus jetzt los. Bei mir war es nämlich auch eine upd.exe.
Also noch einmal eine dankeschön an Simon und Daniel.
MfG Carl
Daniel war durchaus jetzt einige stunden schneller. :-)
Aber wenn die explorer.exe ausgetauscht ist, dann kann diese „fast“ nciht mehr das Problem sein.
Es ist dann also (logisch) eine andere Datei.
Wie ich aber lese, haben Sie/hast Du die Datei schon gefunden und verbannt. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich habe den Virus nun auch, kann aber NUR in den Gast Konto zugreifen, da ich noch nie mein Administrator PW für den sicheren Modus kannte.
Nun habe ich das problem, ich habe Shell usw gefunden, und es ist auch die Mahmud.exe oder so, jedoch kann ich Shell nicht bearbeiten, wenn ich es auf Explorer.exe machen möchte, kommt da immer“shell kann nicht bearbeitet werden: Fehler beim Schreiben des inhalts des Werts.“
Was tun???
WindowsXP Home?
Wenn ja, dann im abgesicherten Modus starten, dort sollte ein Administratorkonto OHNE Passswort (im Regelfall) zur Verfügung stehen.
Steht mal keine Kontoname da, kann man es mit 2x STRG+ALT+ENTF ausprobieren.
Dann öffnet sich i.d.R. ein neues fenster, in dem man nach belieben Benutzernamen und eventuelle Kennwörter eingeben kann/können sollte.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Guten Abend. Ich hatte doch den ganzen Tag mit anderen Dingen voll.
Nachfrage zu 13: >>cd c:\windows\winsxs\”zielordner”<<
Ich schreibe doch nicht wirklich "zielordner". Aber was dann – wie heißt mein Zielordner?
Vielen Dank!
Der Pfad wäre insgesamt (in etwa) sowas:
Verzeichnis von C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad36
4e35_6.1.7601.17514_none_afdaac81905bf900
Heißt, der Zielpfad ist dann (in etwa) dieser:
amd64_microsoft-windows-explorer_31bf3856ad36
4e35_6.1.7601.17514_none_afdaac81905bf900
In etwa, weil sich dieser string von System zu System natürlich teilweise stakr unterscheiden kann. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon, habe deine Anleitung befolgt bis besagter Pfad “Winlogon“. Wenn ich drauf klicke kommt auf der rechten Seite gar nichts (leer)…kein Shell – internetexplorer!? Wie soll ich jetzt weiter machen? Nutze Vista und komme in kein Benutzeraccount mehr rein. Desktop ist beiallen schwarz.Danke vorab!
lee
Sorry wenn ich kurz nachhaken muss, aber welche Anleitung von den mittlerweile sovielen genau? Und bis zu welchem Punkt kamst Du genau?
Tschuldige wenn ich so fragen muss, aber ich komme auch nicht mehr jeder „Anleitung“ hinterher.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich hatte den selben Virus und ich hab ihn jetz nach nem halben Tag rumprobieren endlich weg :)
Ich hab meine alte festplatte an meinen Rechner angeschlossen und von dieser gebooted.
Den Virus hab ich dann letztendlich unter C:/Benutzer/AppData/Roaming gefunden unter den Namen mahmud.exe.
(danke an Leon5x)
Was die Registry angeht, unter Shell stand bei mir auch explorer.exe
Ich hatte schon vor die exporer.exe durch eine neue zu ersetzten, da sie angeblich infiziert ist und man desshallb auf den Desktop nicht zu greifen kann.
Jedoch als ich meinen pc dann wieder über meine normale Festplatte gebooted hab war alles wieder beim alten,ohne Virus und mit funktionierendem Desktop.
Gaubt ihr ich sollte trotzdem die explorer.exe im dos ersetzen ?
Siehe dazu folgendes Posting:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1827
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon
habe meinen rechner gott sei dank selber entsperren können, nach der vorgehensweise die du beschrieben hast, aber nun habe ich das problem, dass ich bei Shell, den alten und defekten pfad nicht notiert habe, weil es in einer anderen anleitung nicht so stand und habe direkt shell auf explorer gewechselt….wie bekomme ich denn nun den trojaner runter denn avira hat nichts entdeckt bei mir….sorry das ich wahrscheinlich die gleiche frage nochmal stelle, aber ich bin in dem gebiet total schlecht…..danke dir schon mal im voraus
Kurz eingeakt, welcher Anleitung (diese Seite hier oder einer anderen Webseite) bist Du gefolgt, bzw. welchem Posting?
Zitat: „dass ich bei Shell, den alten und defekten pfad nicht notiert habe“
Wäre natürlich hilfreich gewesen, ist aber nicht zu 100% notwendig.
Zitat: „habe direkt shell auf explorer gewechselt“
Du hast also den Wert dort direkt durch explorer.exe ersetzt, verstehe ich das richtig?
Zitat: „wie bekomme ich denn nun den trojaner runter denn avira hat nichts entdeckt bei mir“
Da sich der Virus/Trojaner teilweise „tarnen“ kann, ist dies durchaus möglich.
Zitat: „sorry das ich wahrscheinlich die gleiche frage nochmal stelle, aber ich bin in dem gebiet total schlecht“
Lieber nochmal gefragt als Mist gebaut. Ist also schon richtig so. :-)
Da ich leider ein paar Dinge nicht weiß, muss ich erstmal nachhaken.
1. Welches Betriebssystem hast Du?
2. Besteht zur Not die Möglichkeit die Festplatte an einen anderen PC/Laptop z.B. per USB-Adapter anschließen zu können?
3. Hast Du ein Backup?
4. Hast Du schon eine Systemwiederherstellung ausprobiert?
5. Hast Du bzw. kannst Du dir eine Boot-CD mit einem AntivirenSystem (Bitdefener, AVira Antivirus, etc.) brennen?
Du siehst, es gibt/gäbe vielfältige Möglichkeiten.^^
Und wiedermal schade das die meisten Leute wohl nicht um die Ecke wohnen – man könnte Ihnen teilweise so einfach und schnell helfen. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon
Habe durch deine Kommentare und die von den anderen Leidensgenossen unter anderem die Bezeichnungen für den Trojaner haben mir geholfen und ich habe den gestern Abend noch runter geschmissen von meinem Rechner. Jetzt werde ich mir noch mal ein neues Virusprogramm besorgen und noch ein paar kleinigkeiten, dann denke ich habe ich es überstanden. Danke wirklich….das ist hier richtig gut für Leihen für mich…..Mach bitte weiter so. Ganz liebe Grüße und eine tolle Restwoche
Ich versuche mein Bestes. :-)
Freut zu hören, wenn es geklappt hat und wenn man als (zumindest in diesem Gebiet) nicht „Noob“ dann auch noch für andere Leute verständlich erklären konnte, freut mich das persönlich auch wieder.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Achtung, die gesuchte Virusdatei heisst auf meinem xp mahmud.exe
Erstmal danke für den Hinweis.
Aber, dieser Dateiname ist nun seit Wochen/Monaten bekannt. ;-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
Ich hab mir diesen Virus auf meinem Netbook eingefangen, mein Betriebssystem ist Windows 7. Auch bei mir ist der Wert bei Shell bereits explorer.exe. Kann es also nach obiger Anleitung nicht machen.In einem anderem Kommentar verweist Du darauf eine saubere explorer.exe von einem anderen PC per USB-Stick zu verwenden. Was muss ich dazu genau tun? Habe kein Backup, kein CD/DVD Laufwerk und bin zudem noch Laie. Wäre sehr nett von Dir mir ein paar Möglichkeiten aufzuzeigen! Danke im Voraus!
Wenn die Zeichenfolge „Shell“ schon den WErt „explorer.exe“ trägt, so ist mit relativ großer Wahrscheinlichkeit diese Datei infiziert worden.
Eine saubere explorer.exe von einem anderen Windows 7 System kannst du Dir entweder einfach auf einen Stick kopieren, oder von der Original Installations-DVD bekommen (was ohne Laufwerk zugegeben ein bisschen schwieriger wird).
Alternativ könnte ich dir auch eine zur Verfügung stellen, dann aber müsste ich wissen welche Version (vorallem ob 32 oder 64-bit) Windows 7 du hast.
Eine Systemwiederherstellung durch den Start von der Windows7-DVD und dem Menüpunkt Computerreperatur wäre ebenfalls noch denkbar.
Und (zu guter letzt), kannst Du wie „guenni“ auf vorheriger Seite auch den vielleicht schwersten Weg gehen, nämlich https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-10#comment-1747.
Ich hoffe, das hilft schon weiter…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hi Simon,
Würde es jetzt erstmal mit der Lösung saubere explorer.exe per USB Stick probieren. Da ich nicht weiss wo ich eine herbekomme, wäre es sehr nett von Dir wenn Du mir eine zur Verfügung stellst. Der Virus ist auf meinem Netbook, ein Sony Vaio VPCM13M1E mit vorinstalliertem Windows 7 Starter. Wenn Du mir also was geeignetes schicken kannst wäre das klasse. Ferner möchte ich Dich noch darum bitten, mir noch mal eine genaue Anleitung für das „rüberziehen“ zu geben. Ich nehme an, ich fahre wieder im abgesicherten Modus mit Eingabeoptionen hoch und dann?
Vielen Dank für deine Hilfe!
Noch ein Nachtrag. Mir ist aufgefallen, das wenn ich im abgesicherten Modus mit Eingabeaufforderungen hochfahre und dann explorer eingebe sich nicht der BKA Trojaner öffnet sondern der normale Windows explorer in „veränderter“ Form. Spricht das nicht dagegen das die explorer.exe infiziert ist, da sich eigentlich der Virus öffnen müsste?
Viel Grüße Jan
Ja, das spricht gegen die explorer.exe-Infektion.
Lies mal dazu folgenden Post:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1871
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich stelle absofort benötigte Dateien (sofern ich diese habe/bekomme/programmieren kann) hier zur Verfügung:
Explorer.exe-Dateien für/von Windows
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Also ich kann nur sagen , herzlichen Dank. Einfach nach der Anleitung alles gemacht und selbst für einen Deppen wie mich ging das superschnell.
10 minuten und meine mahmut war weg :-)
Hallo zusammen,
vielleicht habe ich es irgendwo schon überlesen in den vielen Mails – dann entschuldigt, wenn ich dies nochmals frage. Wie auch einige andere hatte ich das Problem, dass die shell-datei bereits als Wert explorer.exe hatte. Ich habe mich an die Anleitungen gehalten und mit meinem Windows 7 PC eine Systemwiderherstellung vorgenommen. Soweit so gut…nur kann ich nicht so recht „glauben“, dass nun alles vorbei ist? Virenprogramm habe ich sofort geändert und auch durchlaufen lassen…! Nun zu meiner Frage: ist der Virus nun „einfach weg“? Ich habe weiter oben einen Eintrag gesehen indem die Befürchtung geäußert wurde, der Trojaner könnte möglicherweise Passwörter, Bankverbindungen etc. ausspionieren…! Wahrscheinlich habt ihr damit auch noch keine umfangreichen Erfahrungen…aber kann man das Risiko trotz allem abschätzen? Ist der Trojaner wirklich weg oder schlummert er nur und zerfrisst mir womöglich irgendwelche Dateien..oder oder oder…?
Ich würde mich über eine Antwort freuen.
fleurvela
Der virus/Trojaner saß damit wohl in der explorer.exe.
Heißt im endeffekt bist du/sind Sie ihn damit wohl erstmal los.
Erstmal deshalb, weil natürlich das System an und für sich immer aktuell gehalten werden sollte/muss. Also alle installierte Software, besonders aber so Dinge wie Adobe Flashplayer, Adobe Air, Adobe Shockwave, Java, Microsoft/windows-Updates, Antiviren-Softaware).
Selbstverständlich nur dann, wenn diese Programme auch installiert sind.^^
Nach einem Virus/Trojaner/Malware/Scareware/Rootkir/MBR-Befall, würde ich IMMER einen (Offline)-virenscan machen lassen.
Denn unter einem laufenden System kann sich ein Virus/etc. meistens mittlerweile sehr gut verstecken.
Die Gefahr das ein einmal infiziertes System weiterhin Gefahren beherbergt oder Daten sammelt besteht „immer“, auch dann wenn ein oder mehrere Virenscanner grünes Licht geben.
Daher ist eine Neuinstallation meist die blödeste und langwierigste, aber auch die sauberste Lösung.
Das soll jetzt nciht zum Angst machen sein, es soll aber die eventuellen Möglichkeiten aufzeigen.
Achso, ein Regelmäßiges Backup der wichtigen Dateien und oder gar des ganzen PCs ist ebenfalls natürlich IMMER ratsam.
Seit WindowsXP gibt es die einfache Möglichkeit dies durch Systemprogramme erledigen zu lassen.
Seit Windows Vista Ultimate oder Windows7 Professional sogar als „Complete-PC Backup“.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon
und vielen Dank für diese schnelle tolle Antwort. Ich werde mal schaun, wie es mir in den nächsten Tagen ergeht und bei Zweifeln doch einfach neu installieren.
ICh war nur sehr verwundert, dass es mit der sehr einfachen Lösung „Systemwiderherstellung“ so super geklappt hat…oder habe ich da jetzt was vergessen?
Ist es normal, dass der Computer plötzlich so langsam wird oder doch ein Anzeichen dafür, dass der Virus noch irgendwo rumspuckt?
Danke für deine Hilfe!
fleurvela
Also der Computer sollte nach einer Systemwiederherstellung eigentlich nicht langsamer werden.
Entweder kommt das System damit nciht klar – warum auch immer?! Oder es ist doch ncoh was auf dem System, das nicht so ist wie es sein sollte.
Sagt denn die Prozessorlast was aus? Oder die Festplatten und/oder Netzwerkaktivität?
(Alles theoretisch z.B. im Taskmanager mehr oder weniger ersichtlich.)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
danke für deine Hilfe.
die CPU Auslastung springt recht weit oben teilweise bei 80-90 rum…und es gibt immer wieder extreme Sprünge von sehr niedrig zu sehr hoch…im Reiter „Leistung“ ist zu sehen, dass der Laptop ganz schön arbeiten muss…komisch!
Ich lese in diesem Forum sehr oft, dass eine saubere explorer.exe kopiert werden sollte…das habe ich ja nun nicht gemacht, sondern schlicht eine systemwiderherstellung durchgeführt. Wenn ich im abgesicherten Modus mit Eingabeaufforderung den explorer aufrufe, so kommt dieser auch und nicht der Virus…vielleicht ist es nur ein temporäres Problem oder ich bin nun „über“empfindlich.
liebste grüße
Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen.
ich versteh nicht so ganz was mit dem kompletten pfad gemeint ist:((((((((((
es tut mir wirklich leid vllt komm ich wirklich blond rüber aber ich verstehs wirklich nicht:((((((
bei mir stand bei shell schon dieses explorer.exe also hab ichs einfach gelöööscht :lllll
Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen.
ich verstehe nicht was damit gemeint ist mit dem kompletten pfad der gelöscht werden soll:S:S
bei mir stand bei shell schon explorer usw ich hab das einfach gelöscht dann://
So, hab mich jetzt durch die meisten Kommentare hier gewühlt, trotzdem hab ich nicht wirklich Ahnung wie ich den Virus wegbekomme. Die Shell Datei hat bei mir im Pfad schon „Explorer.exe“ stehen. Ich finde auch durch die Suche keine
jashla/upd/mahmud.exe
Was kann ich jetzt noch machen?
Gruß Max
@ melissa
@ Max
Bitte schaut mal hier, das könnte/dürfte Euch weiterhelfen:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-10#comment-1617
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Kann ich die saubere Explorer.exe einfach so rüberkopieren? Kommt es da nicht zu komplikationen?
Solange die saubere explorer.exe von einem gleichwertigen System stammt (also KEIN WindowsXP mit Vista z.B. kreuzen!), soltle das alles sauber laufen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Habe gerade den betroffenen Computer im abgesicherten Modus gestartet. Er zeigt kein Startmenü mehr an. Außerdem kommt keine Meldung das die externe Festplatte angeschlossen wurde. Wie kann ich jetzt auf die zugreifen?
Gruß, Max
Konnte jetzt die Explorer.exe auf der externen Festplatte kopieren. Habe einfach über den Tastmanager den explorer geöffnet. Allerdings weiß ich jetzt nicht wie ich die saubere Explorer.exe mit der verseuchten austauschen kann. Denn ohne den Explorer komm ich nicht in die ordner rein, wenn er aber offen ist kann ich ihn nicht austauschen ^^
das ist bisschen verwirrend :<
So, habs geschafft die Explorer.exe auszutauschen.
hab danach den pc neugestartet, Virus ist aber anscheinend
immer noch da. :(
Dann schau mal hier in den Postings nach den Alternativen „Muhamad.exe“ „upd.exe“ etc..
Diese Wirst Du in %APPDATA% oder C:\Dokumente und
Einstellungen\[Benutzername]\Temp etc. zum Beispiel finden.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Darf ich nach den bisherigen Schritten die gemacht wurden fragen?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo – möchte mich nur bedanken für die wunderbare Anleitung – habe den bundespolizei-Trojaner Dank Ihrer Hilfe heute Nacht aufstöbern und beseitigen können. Hat jemand gehört, wie der Stein runtergefallen ist…? Fußpilz für die Hacker-Idioten – aber mit unerträglichem Juckreiz bis zur Kopfhaut!
Stehe gerade auf dem Schlauch…Wie ist das hier zu verstehen?
„Hat jemand gehört, wie der Stein runtergefallen ist…? Fußpilz für die Hacker-Idioten – aber mit unerträglichem Juckreiz bis zur Kopfhaut!“
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Sehr geehrter Herr Simon, danke für Ihre diversen hilfreichen Informationen! Nun möchte ich die Gelegenheit nutzen, um im Gegenzug einem eher technisch orientierten Menschen wie Ihnen einen kleinen sprachlichen Fingerzeig zu geben. Herr Jockel, meint den Stein, der von seinem Herzen gefallen ist und wünscht den bösen Hackern Fußpilz mit Ausstrahlung bis unter die Kopfhaut.
@ Sauerwiesauerbier
Naja, Simon ist zwar mein Vorname, aber das macht ja nichts. :-)
Das mit dem stein vorm Herzen hatte ich mir schon fast gedacht. Aber das mit dem Fußpilz – auf die Idee wäre ich nicht gekommen. Daher danke für die Erläuterung.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich habe die Anleitung befolgt und auch bei mir stand bereits explorer.exe bei Shell drin.
Nun wollte ich schauen ob eine Systemwiederherstellung funktioniert, aber ich kam nicht mal bis auf den Bildschirm. Kaum war der Bildschirm offen, hat der Trojaner schon zugeschlagen.
Wie genau säubere ich den mit einen USB-Stick o.Ä? Ich kenn mich nicht wirklich mit so einem Kram aus, und habe auch in meinem Umfeld nicht wirklich jemanden, den ich danach fragen könnte.
Mfg.
Siehe Posting: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1872
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Besteht die Möglichkeit von einem anderen gleichwertigen System eine explorer.exe herzubekommen 8per Stick z.B.)?
Sonstige weiterführende Tipps, kann ich ohne weitere Kentnisse zum Betriebssystemn aber relativ schlecht geben.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Danke für die Hilfe. Computer läuft wieder! Juhu!
Ich bedanke mich hiermit bei Simon :)
Habe es endlich geschafft den Virus loszuwerden.
Ich möchte auch noch sagen das ich es super finde wie du den Leuten hier hilfst. Ohne deine Hilfe hätten es denke ich viele nicht hinbekommen :)
Wenn ich jetzt noch der Initiator dieses „Blogs“ hier wäre, wäre ich noch glücklicher darüber. :-)
Und mit einem Teil meines Seins denke ich natürlich auch (aus kaufmännischer Sicht) an das herausgeblasene Geld weil sich die Leute hier selbst helfen können. *schmunzel*
Aber wie ich ja schon mal schrieb – ich helfe gerne wo bzw. wenn ich kann.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
so wie du dich hier engagierst (obwohl wir uns gar nicht kennen) solltest du unbedingt darüber nachdenken (wenn nicht schon gesehen oder umgesetzt), ein Forum o.ä. zu dieser Thematik bzw. diesem Themenumfeld online zu stellen. Wenn ich dich hierbei irgendwie unterstützen kann, dann mache ich das gern.
Ich hatte schon mal in irgend einen der vielen Kommentare hier erwähnt, dass sicherlich ein Blog alles andere als die richtige Plattform für die Frage-Antwort-Posts bei Problemen dieser Art ist. Keiner kann die nun fast 900 Kommentare lesen oder überblicken. Es gibt keine Suchmöglichkeit.
Nur schließen möchte ich die Kommentarfunktion bei diesem Beitrag auch nicht, da sich noch immer gegenseitig Tipps gegeben werden und somit noch immer Leuten geholfen wird.
Also Simon: Danke für deine Mithilfe auch von meiner Seite!
Hallo alle zusammen, ich habe nun auch folgendes Problem mit diesem Virus.
Bei mir entstand das selbe Problem, wozu du, Simon, bereits einige Male versucht hast zu antworten. Unter Shell steht bereits „Explorer.exe“ eingetragen. Ich habe nun eine Systemwiederherstellung versucht, die aber kläglich scheitert, weil die Meldung kommt, dass keine Änderung vorgenommen werden konnte (bei keinem auszuwählenden Datum)… Nun möchte ich versuchen eine, wie du es sagst, saubere Explorer.exe von meinem Computer (ebenfalls Windows XP) zu kopieren. Doch: Wie zum Teufel stelle ich das an?
Vielen Dank schon einmal im Voraus für deine Hilfe!
Lg Nathalie.
Sofern Du, oder ein Freund/Bekannter/Verwandter irgendwo noch ein WindowsXP haben, kannst Du Dir die „explorer.exe“ von Dort auf Stick oder CD geben lassen und in dein System kopieren (Achtung, geht nicht unter normal laufendem Windows ohne weiteres.)
Alternativ gibt es selbige Datei auch auf der InstallationsCD von WindowsXP, dafür brauchst Du dann aber diverse DOS-Kommandos (Google hilft dort weiter).
Oder der wohl schwierigste Weg (siehe Guenni’s Posts):
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-10#comment-1757
Für alle die eine explorer.exe brauchen aber gerade keine parat haben…(das Angebot werde ich noch versuchen zu erweitern):
Explorer.exe-Dateien für/von Windows
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Vielen Dank, hat sehr gut geklappt..puh
„Hoppla, Sie schon wieder? Sie mieser Trojaner, Sie!“
Zum zweiten Mal habe ich den Ukash-Bundespolizeibundesstaatstrojaner auf meinem Rechner begrüßen dürfen. Die Freude hat sich dabei in Grenzen gehalten.
Dank der 10-Schritte-Anleitung (vielen Dank, Herr Weihmann!) bin ich Jashmud.exe (oder so ähnlich) wieder losgeworden.
Zum Thema Java: Der Trojaner scheint ein Javaskript zu nutzen, aber mit solchen Dingen kenne ich mich nicht aus. Was kann man daraus schließen? Wenn der böse Bundespolizeibildschirm erscheint, sieht man unten rechts ein Javasymbol blinken, aber nur am Rande, denn man ist gerade dabei, das Modem auszuschalten.
Nach der Machjashmud.exe-Entfernung sind im Benutzer-Temp-Verzeichnis noch Java-Einträge zu finden, die auf eine versuchte oder durchgeführte Java-Installation (?) hindeuten und die passende Uhrzeit, also die der Trojaner-Attacke, zeigen.
Diese Einträge habe ich gelöscht, wie auch alle anderen Einträge im Tempverzeichnis.
Zum Einlaß des Trojaners:
Mittlerweile gibt es wohl diverse Möglichkeiten, bis hin zu E-Mail-Anhängen und PDF-Dateien, aber beim Internetzzugangsprogramm ist mir folgendes aufgefallen:
Der Trojaner hängt sich an ein Werbebanner, ein Werbefenster oder eine automatische Weiterleitung. Automatische Weiterleitungen können in Form von Tabs oder Fenstern auftauchen. Eine Daumenregel ist, daß jeder Tab, den man nicht selbst geöffnet hat und jeder Eintrag, der unten in der Wechselleiste rechts vom Herunterladefenster auftaucht, grundsätzlich verdächtig ist. Solche Einträge sollte man sofort mit der rechten Maustaste anklicken und nicht in das entsprechende Fenster hineinklicken, denn ein einfacher Klick löst den Trojanerangriff aus.
Grüße an alle Mitbetroffenen und alle Leute, die hier versuchen, zu helfen
Sauerwiesauerbier
Puh, immerhin sind somit hier keine neuen Verbreitungswege aufgedeckt worden.
Das JAVA der Dreh & Angelpunkt ist, sage ich ja schon seit langer Zeit.^^
Im Endeffekt ist ein immer aktuelles JAVA (www.java.com) und natürlich auch ein restliches aktuelles System das beste was man machen kann gegen eine Infizierung.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Sehr geehrter Herr Simon,
nun ich auf Ihren und Herrn Weihmanns Rat hin mein System im Hinblick auf internetzrelevante Programme aktualisiert habe, bin ich vorerst nicht weiters von Trojanervarianten heimgesucht worden.
Zum JAVA:
1. Das JAVA-RUNTIME-ENVIRONMENT habe ich deinstalliert, weil es mir nämlich verdächtig vorgekommen ist, und ich werde es erst in einer selbstverständlich aktualisierten Version neu installieren, wenn ich es tatsächlich brauchen werde.
2. Die Jawas sind mir schon immer suspekt gewesen, weil sie nämlich Droiden kaufen und versklaven.
Gruß
Horststephan Sauerwiesauerbier
Leute, ich bin so nah am Ziel (und doch so fern, da ich nicht weiss wie es weitergeht )nachdem ich LUSRMGR.MSC eingegeben habe, kam,wie schon erwähnt [Lokale Benutzer und Gruppen (lokal)\Benutzer]. Wie ist denn jetzt der letzte Schritt?…ich komme überhaupt nicht weiter..
dazu muss noch gesagt werden,dass bei mir keinen jashla.exe gab,sondern dort schon explorer.exe stand
Mit dieser LUSRMGR.MSC ruft man die Nutzerverwaltung auf. Dort kannst Du/können Sie sehen welche User es auf diesem System gibt. Zur Not können Kennwörter dort auch per Rechtsklick auf den jeweiligen User gesetzt oder geändert werden.
Eine Behebung ist aber nur durch den Aufruf dieser Userverwaltung natürlich nicht möglich.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Vielen lieben dank, für die anleitung mein „mahmud“ gehört der geschichte.mein virenprogramm hat es auch danach gefunden. hatte schon vor paar wochen von einer bekannten von dem trojaner gehört. sie hat es mit einem virenprogramm wegbekommen. gebe ihr aber vorsichtshalber mal ihre 10 schritt anleitung. vielen Dank
Hy,
V I E L E N D A N K für diese Anleitung!
Habe ich an Snake gehalten ….. SUUUUUUUPI
Den Haken habe ich entfernt – Neustart – habe aber keine mahmud.exe mehr gefunden!Konnte nix mehr löschen.
Gruss Tina
Hallo Simon,
Also zu deiner Frage welche Anleitung gemeint ist. Die 1. Anleitung vor allen Kommentaren.
Ich kam bis Schritt 8 also Schell gefunden aber kein Pfad!? Wenn ich auf shell doppel klicke popt ein Fenster auf mit Wert: Explorer.exe.
Dann Bestätige mit ok. Danach gehe ich zur dosbox und gebe msconfig.exe ein.
Dann popt das Fenster Systemkonfiguration auf wo ich auf Systemstart gehe aber dort gibt es weder mahmut.exe noch avupdate.exe noch jashla.exe noch vpd.exe.
Dann habe ich folgende Vorgehensweise mit mäßigem Erfolg angewand:
Imsicherren Modus Neustart ausgeführt, unter Eingabe “explorer.exe“ eingegeben.
Dann auf Festplatte-C Avira danach Malwarebytes laufen lassen.
Avira hat 5 Troyaner gekillt und Malwarebytes 10 inkls. diesem Shell!
Neustart im normalen Modus.
Danach war der Desktop wieder da also sichtbar aber im Gegensatz zu den beiden anderen Accounts ohne jegliche Funktion !
Der Ukashtroyaner ist gelöscht? Aber der Pfad ist nicht auffindbar. Ich hab sogar versucht mit Autoruns (www.sysinternal.com) den Pfad zu filtern aber Fehlanzeige!
Systemwiederherstellung geht auch nur nach Infizierungsdatum 21.11, davor kommt Fehlermeldung!
Weiß nicht mehr weiter!!!!
Explorer ist nicht infiziert weil wenn ich den aufrufe erscheint nicht die Gemaseite.
Danke für jede Hilfe!
PS: Systemwiederherstellung hat 3x rückwirkend (vor der infizierung) nicht geklappt an verschiedenen Tagen.Fehlermeldung: “unbekannter Fehler bei Systemwiederherstellung“ Warum?
Puh, jetzt wirds schwierig(er).
Also das beste wäre jetzt natürlich ein Backup das erst ein paar Tage alt ist und welches man jetzt zurückspielen könnte.
Ansosnten würde ich persönlich ansonsten jetzt 2 Dinge machen…
1. Rein interessehalber, läuft unter START-AUSFÜHREN (oder auch [Windowstaste] + [R]) per SERVICES.MSC der Dienst „Computerbrowser“ sichtbar und gestartet ist.
2. Die Installations-CD/DVD einlegen und eine Reperatur-Installation durchführen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hey,
also ich habe alles so gemacht wie es in der Anleitung stand. Hatte den Virus mahmud.exe. Doch als ich den PC wieder starten wollte, komme ich zwar auf meine Benutzerseite, aber es ist nur der Hintergrundbildschirm zu sehen. Kein Start, keine Programme, also kein normaler Desktop. Ich kann nichts machen, außer wenn ich strg+alt+entf drücke öffnet sich der Task-Manager. Darüber konnte ich das Virenprogramm (Avira) öffnen und habe so es nochmal drüberlaufen lassen. Es hat auch die Datei TR/Offend.KD.406480 gefunden, aber nicht gelöscht, nur in die Quarantäne verschoben. Wenn der PC dann auf standby ist komm ich wieder in die Maske, auf der ich den Benutzer auswähle, und fahre ihn dann so herunter.. aber wenn ich ihn wieder starte komme ich wieder nicht weiter.
HELFT MIR!
LG
Ich habe mich jetzt zwar nicht wirklich informiert was der TR/Offend.KD.406480 alles anstellt oder angestellt haben könnte, deiner Fehlerbeschreiobung nach bleibt aber alleine aus Sicherheitsgründen nicht mehr viel aus meiner sicht übrig.
Man könnte jetzt viel machen und damit das System versuchen zu retten. Entsprechend gebe ich als erstes jetzt ein paar Tipps in diese Richtung:
1. Systemwiederherstellung nutzen
2. Backup wiederherstellen
3. Reperaturfunktion von Installations-CD/DVD nutzen
Und jetzt die Tipps die ich lieber machen würde:
1. Daten sichern auf eine externe Festplatte oder einen Netzwerkspeicher (NAS) oder auf einen Stick oder auf eine CD/DVD/BluRay.
2. Das System formatieren und komplett neuinstallieren (zumindest das Betriebssystemlauferk – also meist C:\)
3. Das Sytem mit allen Treibern versorgen
4. Das System mit einem guten (evtl. kostenpflichtigen) und aktuellem Antivirenschutz versehen
5. erst JETZT wieder die gesicherten Daten anschließen und durchsuchen lassen (nach eventuellen Schädlingen).
6. Jetzt die Daten wieder zurückkopieren und ab jetzt das System immer aktuell halten und immer genau(er) schauen was man macht. :-)
7. Ein Backup einrichten das am besten mindestens einmal die Woche läuft.
Schwerster Weg aller Wege wahrscheinlich, aber besser als mit einem eventuellen weiteren Virenbefall zu leben.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Danke Simon, wieder einen Menschen mehr geholfen.
Gruß Jens
Sehr geehrte Damen und Herren,
vielen Dank für die sehr gute Anleitung zur Erstbekämpfung des sog. „BP“ bzw. „BKA“-Virus.
Nach einem Kasp_virenscann funktioniert mein PC wieder ganz gut.
Beste Grüße
Marian Lubierski
Lieber Simon,
ich weiß du hast jetzt schon echt viel getan und es ist auch schon spät, aber könntest du mir vielleicht auch helfen?!
Also bei ebenfalls BKA Trojaner, jedoch sieht bei mir die Seite anders aus als die ganz oben gezeigte, aber inhaltlich gleich.
Ich hab jetzt schon 3x deine Anleitung probiert, aber ich komm nicht weiter. Bei mir stand explorer.exe auch schon drin. Hab mir über rechte Maustaste die URL der Seite aufgeschrieben: res://C:/Windows/system32/xpsp3res.dll/dnserror.htm#http//184.82.101.65/
Kannst du damit etwas anfangen und wenn ja bitte einmal für ganz blöde erklären???
Hab Computer bereits im abgesichertem Modus an!
Vielen Dank und LG
Drago
Woah, da haben wir ja sogar mal eine Adresse wo der Spass herkommt!
Erstmal an ALLE User: NICHT diese Adresse **) aufrufen – eine Gefahr ist nicht auszuschließen.
Wenn explorer.exe scho drin steht, ist diese Datei, zumindest vermutlich, infiziert.
Welche Anleitung meiner Anleitugen hast Du mittlerweile probiert?
Oder meinst Du eigentlich die Anleitung (bebildert) hier oben auf der Seite? Diese stammt dann nämlich von Herrn Weihmann.^^
Eine passende explorer.exe bekommst Du evtl. auch von hier:
Explorer.exe-Dateien für/von Windows
Sollte die explorer.exe nicht der Problemherd sein, so suche nach den mittlerweile bekannten Dateien ala Mahmud/Jashla/UPD.exe. Leider könnte es natürlich auch so gut wie jede andere Datei betreffen, aber dies sind die bekanntesten neben explorer.exe selbst.
Hoffe noch geholfen zu haben.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@Simon: Kannst du mir mal die vollständige IP (per E-Mail) schicken. Würde ich doch gern mal einen Blick drauf werfen.
@Daniel
IP ist an Dich raus…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)