„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Ich bin ihn ja vor ein paar Tagen nun losgeworden und der Rechner läuft wieder einwandfrei.
Was mich aber jetzt noch interessieren würde:
Ich hab den Pfad des Trojaners über einen Rechtsklick am oberen oder unteren BildschirmRAND (während des BKA-ildes) mit anschließendem Klick auf „Eigenschaften“ ermittelt.
Wenn das immer so ginge, dann wäre es kinderleicht die Datei zu identifizieren, weil ja sowohl Pfad als auch Name angegeben sind.
Kann das noch jemand bestätigen?
Diese Bestätigung könenn dir hier mittlerweile X-User/innen geben.
Allerdings kann nicht jeder interessanterweise diesen Klick ausführen.
Entweder verbietet es das System, oder der Virus/Trojaner selbst oder vielleicht muss man es auch innerhalb einer bestimmten „Reaktions“zeit machen.
Einfach wäre dies somit bestimmt, aber man weiß leider auch nie, ob es wirklich die einzige „Schad“datei war/ist, die dann auf dem System ist7war.
Das sollte man sich im Hinterkopf behalten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Also ich hab jetzt hier schon so ziemlich alle Dinge probiert so gut ich es kann, aber es half nix. Hast du da vielleicht noch eine Idee???
Echt nett dass du den Leute so hilfst!!!
Vielen Dank
Drago
also bei mir auf dem rechner gibt es kein jashla.exe, kann es möglicherweise anderst heissen?
also bei mir hieß die datei mahmut, aber der name is relativ. Die shell datei beinhaltet ya den namen und der kann eig alles heißen
Den Namen der schadhaften Datei (bei mir war es mahmud.exe) bekommt man auch raus, wenn man auf dem „Bundespolizei“-Screen einen vermeintlichen Bezahl-Code eingibt und „ok“ anklickt. In der folgenden Fehlermeldung taucht der verwendete Name auf. Dann kann man in der Registry direkt suchen (unter „Bearbeiten“) und löschen. Windows sollte jetzt wieder erscheinen und man kann die Datei auf der Festplatte suchen und endgültig löschen.
Vielen Dank an die Beiträge hier im Forum.
Darf ich in dem Ordner SYSTEM32 die Datei xpsp3res.dll einfach löschen oder brauch ich die für irgendwas???
Wäre echt dankbar für Hilfe!!!
Diese Datei liegt in der Originalversion normalerweise unter [Laufwerksbuchstabe]:\windows\system32.
Liegt bei Dir die Datei woanders, sprich es sehr dafür, das es nicht die Originaldatei ist.
Sollte sie also in system32-Ordner liegen, so ist sie entweder die Originaldatei und damit nicht zu löschen, oder sie ist infiziert und Du brauchst einen sauberen Ersatz.
Wäre allerdings das erste hier dokuemntierte mMal, das es eine *.dll-Datei betrifft. Bisher waren es *.exe und *.pdf soweit ich das Überblicken konnte/kann.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
kannst du mir eine Anleitung geben wie ich den virus also jashla.exe finden kann auf mein Laptop?
Ah noch ein Hinweis:
Hab auch schon meine G Data BootCD laufen lassen und vor dem eigentlichen Start eine Virensuche gemacht. Da kammen bei mir 16 infizierte Dateien, aber alle in dem Ordner System Volumen Information. Die Waren alle mit Troja gekennzeichnet.
Darf ich die einfach löschen???
Ich weiß ist schon spät, sitze aber schon seit heut früh um 9:00 am Rechner und versuche das Problem zu beheben.
LG Drago
Auch bei dem Betbook meiner Frau war in der Registry nicht der Pfad des Virus eingetragen sondern explorer.exe
Wir haben dern Rechner wie beschrieben gestartet und mit F8 auf den abgesicherten Modus mit Eingabeaufforderung hochgefahren.
Habe von meinem Netbook die Datei explorer.exe auf eine SD-Karte kopiert (USB-STick geht aus)
Bei uns ist das SD-lw Laufwerk I:
Nun für die von Euch, die DOS nicht (mehr) kennen …
Im Eingabeprompt: c:\PFAD\PFAD
geht ihr den Laufwerksbuchstaben der SD-Karte mit Doppelpunkt ein.
C:\I:
der Pfad wechselt auf I:\
nun gebt ihr ein:
I:\copy explorer.exe c:\windows\explorer.exe
und ihr erhaltet die Meldung
1 Datei(en) kopiert.
Nun den Rechner neu booten und der Spuk ist vorbei.
Den unbeschädigten explorer.exe könnt ihr Euch ja mal eine CD brennen oder auf dem Stick belassen.
Gruß Tom
Entschuldigt die Tippfehler, aber es ist schon spät und ich bin schon lange auf ;o)
Mein Problem ist ich hab kein anderen Computer wo ich das runter nehmen könnte, da mein anderer Computer nicht unter xp sondern W7 läuft. Und da ich den PC gebraucht gekauft habe gibts da auch keine System CD dazu!!!
Zu deinem Problem einer „neuen“ explorer.exe gibt es jetzt schon so viele Postings….
Daher verweise ich jetzt erstmal nur noch auf dieses: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1910
Eine Installations-DVD für deine Windows7 kannst Du dir übrigens legal auch bei Microsoft laden…die Links dafür findest Du im Netz auf durchaus legalen Seiten (einfach per Google suchen).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich habe genau das selbe problem damit, das beim wert von shell schon explorer.exe eingegeben war, jedoch weiß ich gar nicht wo ich anfangen soll die verdächtige exe-datei zu suchen deren namen ich gar nicht kenne. ich hab zwar schon all deine kommentare gelesen aber ich komm trotzdem nicht weiter
Entweder ist die explorer.exe selbst infiziert, dann könntest Du sie anhand der auf dieser Seite gemachten Tipps austauschen.
ODer die explorer.exe ist sauber, dafür aber befinden verdächtige Dateien im \Temp-Ordner oder in %APPDATA%.
Schau Dir dazu mal (unter anderem meine) letzten Postings von heute an.
Damit erspare ich mir, das gebe ich ja zu, ne Menge Tipparbeit, aber mache es auch nicht noch verwirrter als es eh schon ist.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der Wert dieses Schlüssels ist der Pfad zum Trojaner z.B. C:\verzeichnis\zur\jashla.exe. Dieses Pfad unbedingt notieren, hier muss später die Datei noch gelöscht werden.
>> wenn ich auf shell klicke steht bei mir als pfad explorer.exe mein bild sieht auch etwas anders aus als das hier von der seite und ich sollte mit paysafe zahlen…. bitte helft mir!
Hallo,
wir stehen vor demselben Problem wie Romina: an der beschriebenen stelle in der ODS-Ebene steht als Wert der Shell „explorer.exe“ also theoretisch der richtige wert oder? und wir sollten auch mit paysafe zahlen. ist das evtl eine abwandlung? im übrigen haben wir einen gdata drauf hat aber scheinbar (wir waren nicht selbst am rechner) nicht angeschlagen – oder wurde erlaubt..
danke
Es ist ziemlich egal mit was gezahlt werden soll. Der Virus/Trojaner verändert sich mit der Zeit und nimmt nicht nur andere Namen an, sondern ändert halt auch sein Aussehen.
Für den Austausch einer explorer.exe-Datei stehen dir wie schon so oft erwähnt diverse Möglichkeiten zur Verfügung.
1. Eine Systemwiederherstellung
2. Ein Backup zurückspielen
3. Eine saubere explorer.exe eines baugleichen Betriebssystems
4. Die InstallationsCD/DVD
5. Mein Link (im Idealfall):
Explorer.exe-Dateien für/von Windows
Sollte DANACH immernoch der Virus/Trojanerbildschirm auftauchen, so suche nach neueren Dateien im %APPDATA% oder \Temp-Ordner.
Wo man alles suchen kann und wie die Dateien in 90% der Fälle heißen (jashla, vasja, mahmud, upd, 3216530, etc. etc.), kann hier in den fast 1000 Posts nun schon oft genug nachgelesen werden.
Selbst die IP-Adresse von woher unser netter kleiner „Freund“ anscheinend ab und an her kommt, ist hier shcon bekannt gegeben worden.
Ich würde nur (und das richtet sich an JEDE/N hier) darum bitten – postet nicht die komplette IP! Macht doch z.B. 182.68.123.** das reicht vollkommen und keiner kommt dabei dann auf eventuell für seinen PC „schädliche“ Gedanken.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Selbes Problem wie Romina, desswegen kurz gehalten:
-bei mir öffnet sich nicht mal der Taskmanager
-auch bei mir steht in der ODS-Ebene steht als Wert der Shell “explorer.exe”
ich komm einfach nicht weiter, bin seid 2 Stunden am rumtesten, doch nirgendwo ein Lichtlein in sich…
Siehe genau einen Post obendrüber…^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
guten morgen zusammen.
auch mein rechner wurde vom besagten trojaner befallen. erneut um genau zu sein. mir wurde hier schon einmal sehr geholfen. danke an simon an dieser stelle für die wirklich freundliche hilfe. der trojaner ist nun wieder aufgetaucht, allerdings in anderer form.
hier mein erstes vorgehen vor 2 tagen:
bevor mein rechner den trojaner starten konnte habe ich über str+alt+entf den taskmanager aufgemacht. der rechner wurde dabei normal hochgefahren und nicht mit F8 im abgesicherten modus. dann habe ich schnellstmöglich explorer.exe ausgeschaultet, bzw. den task beendet. was nun zu sehen war ist ein leerer bildschirm mit desktophintergrund. nach ca. 30 sec wartezeit habe ich den explorer über anwendungen und neuen task öffnen in task manager neu gestartet. nun lief der rechner einwandfrei und ich konnte (offline) nach dem Virus suchen. gefunden habe ich dann (wie bei einigen anderen hier auch) folgendes
//c:\users\benutzername\AppData\Local\temp\upd.exe
diese datei habe ich dann gelöscht und den rechner neu gestartet. es lief alles wie vorher auch, einwandfrei. im anschluss habe ich noch einmal einen kompletten system-vierenscann mit antivir durchführenlassen. eine datei, die gefunden wurde habe ich dann löschen lassen.
nun ist das gleiche problem wieder aufgetaucht, jedoch scheine ich keine administratorrechte mehr zu besitzen und kann den taskmanager aufgrund dessen nicht öffnen, d.h. mein bisheriger weg scheint nicht mehr zu funktionieren. ich bin nun ein wenig ratlos und frage mich, welche „nachbehandlung“ nach dem entfernen von upd.exe richtiger oder besser gewesen wäre.
ich hoffe auf hilfe, da ich leider nicht mehr weiter weiss
ich habe übrigens windows XP professional
Danke erstmal für deine freundlichen Worte.
Nimm es mir nicht übel wenn ich vielleicht nicht ganz so freundlich klingen mag, aber wenn ich von heute Morgen bis heute Abend in mein Postfach schaue und docrt 30! Mails habe die von hier stammen und davon wiederum gut 10° nur „dämlich“ fragen: Da steht aber schon explorer.exe“ dann geht mir das langsam auf den Geist.
Man bekommt teilweise das Gefühl das manche Leute keinen Bock haben auch nur mal ein zwei drei Seiten Postings zu lesen.
Das soll jetzt nicht gegen Dich gemünzt sein, aber es muss einfach auch mal von meiner Seite her gesagt werden.
Das blöde ist nur – dieses Posting werden vermutlich eben solche Leute wieder nicht lesen – warum auch immer.
Zu deinem Problem würde ich Dir evtl. mal einen Teil des Postings: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960 empfehlen.
Eventuell hilft es weiter.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich kann mir schon denken, dass ich dich nerve aber ich habe mmir schon alles durchgelesen und weiß nicht wo ich ansetzen soll (tut mir wirklich leid!) also ich habe das altbekannte explorer.exe-steht-schon-da-problem
Hi, bei mir ist unter Shell bereits explorer.exe zu finden und nicht der Pfad zum Trojaner.
Mir ist aufgefallen, dass beim Windowsstart sofort versucht wird, eine Verbindung mit http//:184. irgendwas herzustellen. Vorher habe ich für ca. 30sec. den gewohnten Hintergrund.
Idee????
mfg Kay
Bitte folgendes Posting beachten, eventuell ist damit schon das Problem „gelöst“:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich habe genau das selbe Probleme wie die Nutzer über mir :( Wer kann mir bitte weiterhelefn :(
mfg
Dann gilt Dir/Ihnen auch die gleiche Antwort wie ihm. ;-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
bis gerade eben hatte ich das selbe Problem. Bei mir hat sich ebenfalls dieser Trojaner eingeschlichen. Ich habe genau wie ihr die Anleitung hier befolgt und hatte die gleichen Schwierigkeiten, da unter Shell ebenfalls nur explorer.exe angezeigt wurde.
Deshalb habe ich den PC nach unbekannten Dateinamen durchsucht und bin fündig geworden.
Dazu müsst ihr wie zuvor über die Eingabeaufforderung „regedit“ das Regestry-Fenster öffnen.
Anschließend folgt ihr folgendem Pfad:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Lest euch auf der rechten Seite die Links durch und schaut, ob ihr etwas Auffälliges oder einen fremden Namen entdeckt.
Bei mir lautete der Link:
C:/Users/(mein Name)/AppData/Roaming/mahmud.exe
Das Ganze hatte sich unter „avupdate“ eingeschlichen.
Der Name „mahmud“ kam mir verdächtig vor, weil ich keine Datei mit diesem Namen kenne.
Ich habe den Link als Test geöffnet und es öffnete sich der Trojaner der Bundespolizei. (Dann musste ich den PC erst noch einmal neu starten und erneut den Pfad durchlaufen)
Dann habe ich den Link komplett mithilfe der rechten Maustaste gelöscht.
Danach habe ich den Explorer mit der Suchfunktion nach „mahmud.exe“ durchsucht und erhielt einen Treffer.
Die Datei habe ich auch umgehend gelöscht, auch im Papierkorb!
Jetzt funktioniert es wieder einwandfrei.
Ich hoffe, dass ich euch helfen konnte!!!
:-)
Ich hatte genau das selbe Problem, dass ich in den genannten Registry einträgen keine Pfad zum Trojaner finden konnte.
Ich habe es dennoch zumindest wieder lauffähig bekommen.
Habe unter folgendem Pfad die Verknüpfung gelöscht.
C:\Users\dein name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Ich kann leider den Namen der Verknüpfung nicht mehr nennen, weil ich vergessen habe mir das aufzuschreiben. Das ist aber irgend so eine wirre Zahlenkombinaton.
Wenn ihr die Datei löscht, dann startet den Trojaner zumindest nicht mehr.
Die Verknüpfung zeigt auf rundll in system32. Ich habe allerdings keine Ahnung ob ich die datei so ohne weiteres löschen darf. vielleicht kann sich das nochmal jemand angucken der sich besser auskennt.
ich hoffe ich konnte helfen!
Hallo Jens.
Hier kommt jetzt eine typisch blöde Frauenfrage^^
Wie kommt man denn in dem Regestry-Fenster auf den Pfad C:\Users\dein name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup? Es stehen doch nur die HKEY-Ordner zur Auswahl?
Danke
[Laufwerksbuchstabe]:\Users\… bzw. [Laufwerksbuchstabe]:\Dokumente und Einstellungen\… findet man nur im Windows-Explorer, nicht aber so in der Registry,
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
So, mich hats letztenlich auch erwischt…
BEi mir ist wohl auch der Paysafe/ohne Taskmanager Virus.
Ich hab noch nicht herausgefunden, wo sich die Datei versteckt hat (auch im Shell-Schlüssel steh explorer.exe).
Allerdings kann ich meinen PC Problemfrei ohne Internet starten, und wenn ich dann eine Internetverbindung herstelle, funktioniert alles einwandfrei.
Falls jemand noch Ideen hat, wo ich den Trojaner suchen kann, dann wär ich schon mal dankbar dafür :)
LG.
Meine Idee (kurzgefasst):
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Servus,
bei mir ist es bisschen anders. Ich kann den abgesicherten Modus zwar öffnen aber spätestens wenn ich eine eingabe machen will fährt der Pc runter. Was tun?
Greez
Ich hätte da folgendes Posting für Dich:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1764
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
So, mein Problem hat sich erledigt. Mein Virus hat sich unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run versteckt, wie von Christina beschrieben und hatte den Namen vasja.
Der Schlüssel war C://User/NAme/AppData/Local/Temp/upd.exe
upd.exe gelöscht, jetzt läufts wieder ganz :D
System nochmal OFFLINe scannen (also von CD/DVD – Bitdefener, Avira, AVG, ESET, c’t WinPE mit AntiVirus).
Dann kann man zumindest wieder einigermaßen ruhig schlafen.
Leider weiß man nämlich NIE ob so ein kleines Mistding nicht doch noch was unbemerkt im System abgelegt hat das dort jetzt nur „schlummert“.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bei mir war es genau der gleiche Pfad. danke.
Nur meine Datei hies: 0.4584….exe
Hallo, also, ich hatte diesen BKA-Virus nun auch, habe ihn aber durch eine Systemwiederherstellung wegbekommen und habe anschließend sowohl ein antivir als auch ein malware programm durchlaufen lassen. soll ich trotzdem noch den verlauf löschen? oder ist der jetzt weg?
meine virenprogramme haben ihn nämlich nicht mehr gefunden, also ging ich davon aus, dass er weg ist.
und wie fängt man sich den eigentlich ein?
ich spiele nicht, ich schaue auch ganz sicher keine pornos, ich schaue höchstens hin und wieder mal meine serien oder ein filmchen im internet. habe ich ihn mir dort eingefangen?
wäre nett, wenn mir jemand antwortet und mich erleuchtet, ich bin auch für kritik offen, falls ich da jetzt einen murcks angestellt habe!
liebe grüße, und schon einmal danke im voraus!
Scarlett
Bzgl. dem WOHER…ich habe es zwar auch schon x-Mal aufgelistet, aber sauerwiesauerbier hats auch nochmal gestern getan:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1888
Hierbei ist ein nicht aktuelles System, speziell aber nicht aktuelles JAVA (www.java.com) meist der größte Verursacher für die offene Lücke (so meine bisherigen Erfahrungen).
Zum KÖNNTE NOCH WAS DA SEIN, gebe ich mein eben gemachtes Posting zum besten…:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1969
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
So hab den Scheiss jetzt auch erstmal weg. Folgender Pfad in der Registry liess mich auf muhamad.exe unter avupdate stossen. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Hab das dann komplett gelöscht. Was empfehlt Ihr jetzt im Nachgang noch zu tun? Lasse jetzt erstmal AntiVir durchlaufen. Riesiges Dankeschön nochmal an Simon und alle anderen die hier helfen, danke für eure Zeit und Mühe das ist nicht selbstverständlich!
Soll nciht böse sein oder klingen, aber mei eben gemachtes Posting erläutert evtl. schon alles übrige bzw. erklärt sich von selbst:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1969
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hi Scarlett, Hi alle.
Tut mir leid, dass Ihr so’n Stress habt.
Erlaubt mir einige Bemerkungen.
1. Ich kann und will hier keine Virenkunde-Vorlesung versanstalten.
2. Ihr scheint, nach Euren Beiträge zu urteilen (fast alle) so in etwa erstmals mit so’nem Problem konfrontiert zu sein.
3. Die oben von den Benutzern geposteten Erfahrungen gehen (zum Leidwesen aller) voll in Ordnung. Das Chaos mit den Speicherorten und Dateinamen gehört zum „Spielchen“ der Wirrköpfe, die solchen Schrott ins Netz stellen dazu. Lasst Euch nicht verrückt machen und geht Schritt für Schritt vor. Die Schritte sind oben schon genannt.
4. Ich bin seit 1982 dabei und hab schon hunderte solcher „Grippewellen“ mitgemacht und denke mal ganz vorsichtig, halbwegs „Bescheid zu wissen“, zumindest ein bisschen Erfahrung gesammelt zu haben.
5. Vielleicht hilft Euch dieser Text aber zumindest beim Eindämmen der nächsten Epidemie.
Zur Sache:
Einen akut befallenen Rechner, oder einen, den man meint, grad erst „gereinigt“ zu haben, mit nem AV Programm von der selben Maschine aus zu prüfen, ist in etwa so zwecklos, wie wenn Euch der Arzt Penicillin bei ner *Viren*erkrankung Eures Körpers verschreibt.
Beides nützt nichts. P-Cillin hilft in der Regel gegen Bakterien nicht gegen Viren.
Die Tatsache, dass ein AV Prog keinen „Virus“ (oder was auch immer) „sehen kann“, heisst noch lange nicht, ** dass auch keiner (mehr) daaa ist **.
Das ist voll blöd, aber ich kann’s auch nicht ändern.
Abhilfe schafft nach bewährter Praxis nur, den Rechner von einem garantiert virenfreien Medium zu starten und von dort aus auch ein AV Prog zu starten, dem man die Dateien des „befallenen“ Rechners zum Fraß vor wirft.
Die einschlägigen Zeitschriften bieten hierzu hinreichend Anleitungen und Hilfsmittel.
Um so ein garantiert virenfreies Medium installieren, brauchts einen garantiert virenfreien Rechner. Wer diese Garantie gibt, steht natürlich in den Sternen.
Dann brauchts natürlich möglichst eine Original-Lizenz des Betriebssystems. Wer die nicht hat, „weil sie beim Gebrauchtrechner nicht mitgeliefert wurde“ (siehe Posting weiter oben), der / die (sorry für die rüden Worte) ist selbst schuld. Der PC-Handel schafft gern Abhilfe.
Mit der Anleitung und der System CD lässt sich eine CD / DVD brennen, mit der man den Viren und anderem Unrat relativ leicht zu Leibe rücken kann.
Die oben beschriebenen Arbeitsschritte kann man damit im Regelfall ausführen.
Als Beispiel weise ich hier auf den frei verfügbaren „PE Builder“ hin, der neulich erst in der Zeitschrift ct vorgestellt wurde.
Da es dazu viele Seiten Bedienungsanleitung zum Basteln und Texte zum Einsatz der CD/DVD gibt, kann ich hier einfach drauf verweisen.
Wer allerdings meint, so was mal eben zwischen Tür und Angel selbst stricken zu können, der/die hat sich geschnitten. Da sollte man schon reichlich Zeit einplanen.
Die Frage von Scarlett, wo man sich denn „so was“ einfängt steht noch unbeantwortet.
Die Antwort ist einfach. Überall. :-(
Schon mal an e-Mail gedacht ?
Schon mal nen aktiven Mailanhang geöffnet ? (Bildchen, Filmchen, Flash, was es alles so gibt)
Schon mal eine von den hübschen (na, ja hübsch ?) Reklamebotschaften angeklickt, die auftauchen, wenn man eine der kostenlosen Seiten aufruft ?
Schon mal … es ist eine endlose Geschichte.
Überall sind aktive Inhalte unterwegs, ob gewollt oder ungewollt. Das ist doch grad die Crux. Und das meistgenutzte Betriebs-System … ach lassen wir das.
Stecker ganz raus und Computer aus ist vielleicht der effektivste Schutz.
Aber das macht ja auch keinen Spaß.
Nen Gummi über den Netzwerkstecker ziehen, bringts auch nicht so richtig.
Bewusster im Netz unterwegs sein ist recht einfach.
Regelmäßig den Virenscanner vom externen Medium zu starten, ist ein probates Mittel. Nicht erst aktiv werden, wenn das Kind im Brunnen liegt.
Den Online-Schutz vom AV Programm einschalten ist auch ne gute Idee, aber da gehen so manche alten Schätzchen (PC) mächtig in die Knie was die Leistung betrifft.
Dann gibt es noch selbständige Hilfsprogramme, die online-Schrott abzufangen versuchen. „Threat-Fire“ ist einer von vielen Vertretern dieser Kategorie.
Na ja, und was der allererste Beitrag zu diesem Thema sagt, darf nicht vergessen werden.
Ein AV-Programm zu kaufen (und nicht zu „leihen“) ist auch ne gute Sache.
Viel Erfolg für künftige AV Kampagnen und
viel Glück für den aktuellen Kampf gegen die „Krabbeltierchen“
grtz
Mike
Mir ist so, als hätte ich sämtliche dieser „Ideen/Anweisungen/Tipps & Hilfestellungen“ schon x-fach selbst hier beschrieben. :-)
Leider hat man aber das Gefühl, das diese gutgemeinten Tipps nur selten auch für Wahr genommen werden.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich habe den falschen Bundespolizei Virus bereits mit hilfe deine Anleitung erfolgreich gelöscht.
Dafür Danke!
Jetzt sieht es so aus als ob es eine neuere Version gibt,
[img]http://www.imgbox.de/users/FreddyFreddy/IMG_5369.JPG[/img]
mit der ich mit deiner Anleitung leider nicht weiterkomme, ich versuche noch die Lösungsmöglichkeiten von den anderen Usern und melde mich dann nochmal hier.
mfg Freddy
1. Leider nicht mehr „neu“. ;-)
2. Vielleiht hilft dir dieses Posting weiter: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo!
Kann mir jemand sagen, wie ich diese Seite von der „Bundespolizei“ wieder herbekommen kann, um sie zu fotographieren. Ich hatte nämlich einfach meinen Computer ausgeschalten, da ich, als ich das mit der Überweisung gesehen hatte, schon dachte, dass das eh Betrüger sind. Naja, ich wollte es eben fotographieren um einen Beweis vorlegen zu können, jetzt kann man ja nur den Windwows-Explorer öffnen.
Schon mal danke für die Info!
Gruß Bixen
1. Wer will sich den Mist bitte nochmal herbaeiholen nur um ihn fotografieren zu können?
Mit dem Foto an die örtliche Polizeidienstelle oder das BKA herantreten zu wollen macht leider keinen Sinn – falls dies damit Bezweckt sein sollte.
Desweiteren findest Du einigen Seiten vorher die IP-Adresse unter der Du diesen „Mist“ wiederfinden würdest.
Empfehlen würde ich es aber nicht!
2. Was genau siehst Du/sehen Sie jetzt?
Weil „nur die explorer.exe“ macht für mich jetzt nicht so recht viel Sinn.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo ihr alle, ich bins wieder ^^
An Scarlett: Ich habe mir diesen Mist auch eingefangen als ich eine Serie im Netz angeschaut habe, wir müssen also in Zukunft vorsichtiger sein!
An Kim: Ich habe den Virus bei mir unter diesem Pfad gefunden: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Du musst im Regestry-Fenster erst bei HKEY_CURRENT_USER das + anklicken und dann einfach die nächsten Wörter des Pfades suchen und jeweils das + anklicken.
Bei „Run“ dann mit Doppelklick öffnen und nach Auffälligkeiten auf der rechten Seite suchen.
Bei mir hieß der Virus „mahmud.exe“
An Jim: Hast du das Internet ausgeschaltet? Du musst um den Virus zu entfernen die Verbindung zum Internet trennen! Ansonsten hab ich auch keine Idee was man bei dir machen kann…
Ich hoffe einem von euch konnte ich helfen :-)
Siehe dazu das Kommentar von sauerwiesauerbier von gestern:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1888
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ach ja, noch etwas…
An Bixen: Ich habe den Bildschirm abfotografiert, um einen Beweis zu haben und habe vorhin bei der Bundespolizei angerufen.
Dort wurde ich mit den Worten „Ich bin Polizist und kein Informatiker und habe keine Ahnung davon“ abgewürgt.
Es bringt nichts, wenn man es meldet, bzw scheint es nicht groß zu interessieren, leider…
Das stimmt nicht, die Bundespolizei klärt mitlerweile auf:
Allerdings betreiben Sie nur für die ältere Variante aufklärung.
Siehe hier:
http://www.imgbox.de/users/FreddyFreddy/IMG_5369.JPG
http://www.imgbox.de/users/FreddyFreddy/Bundespolizei_klaert_auf_1.PNG
http://www.imgbox.de/users/FreddyFreddy/Bundespolizei_klaert_auf_2.PNG
Ich kann aus dem Artikel nur das hier unterstreichen,
Bei weiteren Fragen hilft Ihnen das Service-Center des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das unter 01805 274100 oder mail@bsi-fuer-buerger.de erreichbar ist.
wenn wir die Bundespolizei ausrechend nerven bewegt sich vielleicht auch noch mehr.
mfg Kenja
Wie so üblich…gewarnt wurde schon vor Monaten.
„Gute“ Hilfen gibt es aber nur wieder von Usern für User.
Und ja, wenn ALLE hier sich dort melden würden, zumal wir hier MINDESTENS eine IP-Adresse haben woher da Ding kommt, spätestens damit könnte man zumindest den Server erstmal temporär abschalten lassen.
ABER wie so oft…das wird so schnell nicht passieren. :-(
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Dazu müsste man sich an die Spezialabteilung für Internetverbrechen wenden. Dort sitzen immehrin dann Leute die sich „besser“ mit Computern auskennen.
Dort würde man wohl kaum so schnell abgewimmelt, aber ich glaube auch kaum das man an diese Personen so einfach „rankommt“.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich habe das problem auch ich habe mal ganz einfach shell gelöscht und dan neugestartet und dachte es währe weg als ich dann den taskmanager geöffnet hatte hatte ich mehrere prozesse oder tasks mit so ner ip ich weiß nur das es 181.82.101.64 war das erste kann falsch sein aber der rest stimmt pls ich brauche hilfe
Siehe dazu: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Servus,
ich habe ja schon oben geschrieben, dass mein Pc im Abgesicherten Modi nach ca 10sek von alleine abstürzt und neu hochfährt. Internet war aus.
Ich komme in den „Gast-Account“, da sehe ich zwar nicht das Bild des Virus jedoch auch nichts außer meinem Bildschirmschoner. Jedoch kann ich den Task-Manager öffnen, gibt es einen Prozess den ich einfach beenden kann um wieder „klare“ sicht zu haben und den Virus zu löschen?
Greez
Siehe dazu: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1764
Hoffe es hilft.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
bei mir passiert eigendlich garnichts alles schwarz bei abgesicherten modi wieso auch immer
Abgesicherter Modi MIT Eingabehilfe?
Klingt entweder nach „mit Eingabeaufforderung“ oder nach „Shell-Zeichenfolge mit Wert explorer.exe in Registry gelöscht“.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bzw ich kann ja einen Task erstellen und dann den Ordner öffnen, kann ihn leider nicht suchen, sollte gehn oder?
Sorry, aber jetzt bitte nochmal so, das man es auch verstehen kann…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich kann rein also wenn internet explorer AUF geht schließe ich es einfach und ich kann mein pc begrenzt nutzen also steam antivirus usw kann ich nicht benutzen
deswegen formatiere ich vllt am wochenende oder wenn ich herausgefunden habe wie ich es heraus bekomme kann ich meine progamme behalten
Klingt als wäre der Virus noch im Autostart drin (siehe msconfig oder den oben beschrieben Registry-Schlüssel!).
Und das Sie dann ncihts mehr sehen, liegt vermutlich daran, das entweder die explorer.exe infiziert ist, oder was ich fast eher vermute, das der Dienst „Computerbrowser“ nicht gestartet wird/wurde/werden kann.
Siehe dazu: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1904
Sorry, aber jetzt bitte nochmal so, das man es auch verstehen kann…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bei mir war der Trojaner mit Hilfe von msconfig unter Systemstart zu finden, hier gab es einen Eintrag mit dem Namen Banji der auf eine Datei namens 0.48915622289903116.exe im User Temp Verzeichnis verwies. Deaktivieren dieses Eintrages und löschen des gesamten Inhaltes des Temp Ordners sowie anschließender kompletter Scan haben bei mir geholfen.
Neuer Dateiname ….aber sonst nach altbewährtem Msuter. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
bei mir is das ne explorer.exe
Siehe eines meiner X-Postings von heute…oder auch die meisten der letzten paar Tage.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich habe einfach einen wiederherstellungspunkit gewählt und seitdem geht es wieder bis auf die tatsache das firefox nicht mehr funktioniert und mir eine absturzmeldung immer öffnet lade ich firefox neu runter bekomme ich ein fenster auf engelisch das ich keine benutzerrechte habe um downloads zu öffnen oder sachen zu installieren …habe gelesen das man mit einem DE-Cleaner vllt drüber gehen kann , aber ich glaube dann gehen meine ganzen Dateien wie Fotos etc verloren oder ?
MFG Tina
Ich kenne die Funktionsweise des DE-Clenaer nciht gut genug um dir darauf explizit antworten zu können.
Ich weiß aber, das schon ein paar Leute hier ihn genutzt habe und dieser Cleaner „ncihts“ fand und somit auch „nichts“ entfernen konnte/wollte.
Wenn Du deinen PC scannen willst und das solltest Du, dann versuche es doch wie hier beschrieben mit einer dieser Varianten:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1969
Ich würde aber sogar eher zu dieser Version greifen:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1905
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
nabend zusammen,
hatte auch die schöne überraschung heut abend – pc „gesperrt“. da mein virus sich anscheinend etwas anders verhalten hat, hier ein kurzer erfahrungsbericht, ggf. hilfts anderen:
habe windows 7
abgesicherter modus: suche in der registry hat keine ergebnisse gebracht, überhaupt nichts auffälliges entdeckt.
suche nach *.exe dateien in c:\users\username\appdata allerdings schon, da wurde eine erst heute abend geänderte exe gefunden; der name wilde zahlenkombinationen (0.2017876682.exe so nach dem muster, ist nicht der exakte name)
die datei sofort gelöscht und normal gestartet.
daraufhin eine rundll fehlermeldung bekommen, dass eben jene datei nicht gestartet werden konnte (ja, zum glück!)
in der eingabeaufforderung „msconfig“ eingegeben und dort mal in die start einträge geschaut und siehe da: ein eintrag für eben jene verdächtige exe.
als kurzfassung:
*.exe suche in c:\users\username\appdata – änderungsdatum beachten und verdächtiges löschen
„msconfig“ in der eingabeaufforderung und da den namen der datei unter „startup“ suchen und davor den haken im kästchen löschen.
das wars für mich, alles wieder gut
Muss Dich/Sie leider enttäuschen, richtig „neu“ ist das nicht.
Aber es ist zumindest soweit neu, das es einen neuen Namen hat.
Wobei eine zufällige Zahlenkombination immer „neu“ ist. :-)
In [Laufwerksbuchstabe]:\Users\[Benutzername]\Anwendungsdaten\Roaming oder für ältere Systeme [Laufwerksbuchstabe]:\Dokumente und Einstellungen\[Benutzername]\Anwendungsdaten\Roaming
kommt man sehr einfach rein, indem man im
Windows-Explorer
oder über START -> Ausführen
oder über [WindowsTaste]+[R]
einfach %APPDATA% eingibt.
Versteckte Dateien sollte man sich aber am besten auch noch zusätzlich anzeigen lassen. Sicher ist sicher.
Einen Offline-Systemscan wie unteranderem hier beschrieben, würde ich dennoch empfehlen:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1969
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hab es mit abgesichertem Modus (F8) s.o. und von dort aus
mit Systemwiederherstellung wegbekommen …
Rechner vom Netz – DSL – nehmen und ganz normal starten.
Im Autostart die automatisch angelegte Datei mit .exe Ende löschen.
Danach wieder mit DSL verbinden und schon war der alte Zustand wieder hergestellt.
An und für sich richtig.
Funktioniert leider nur nicht bei jeder Variante der Virus/Trojaners. :-(
Aber versuchen kann man es natürlich durchaus.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
als erstes ein ganz herzliches Dankeschön für die tolle Anleitung!
Zu finden war der Kamerad (bei mir Windows XP) noch nicht einmal in der unter Shell genannten Datei, sondern nur mit der Endung (bei mir mahmud.exe) über die Suchfunktion an anderer Stelle. Und der Rechner war unendlich langsam, vielleicht da in der Anleitung darauf hinweisen, damit keiner noch nervöser wird ;-))
Im Moment läuft ein professioneller Virenscanner drüber. Mal schauen, was der noch findet.
Freundliche Grüße
Helmut
Kann mich hier mit meinem Dank für die Anleitung und die vielfältigen hilfreichen Kommentare nur anschließen!
Nach 3 Stunden, zahllosen gelesenen Kommentaren und 200 g nervös zerkauten Haselnüssen konnte ich den bösen BKA-Virus scheinbar entfernen.
In der Registry konnte ich nichts auffällig verdächtiges finden. Der Explorer lief im abgesicherten Modus normal, war also vermutlich nicht infiziert.
Habe im abgesicherten Modus dann einfach den Explorer geöffnet und nach den zuletzt geänderten *.exe-Dateien gesucht. Die verdächtige hieß „upd.exe“ und wurde gelöscht, gemeinsam mit zwei weiteren Dateien, die zwar keine Anwendungen waren, aber auch „upd“ im Namen hatten und etwa zur gleichen Zeit geändert worden waren.
Die Prozedur hätte übrigens stark abgekürzt werden können, wenn ich gleich zu Beginn gemerkt hätte, dass Win XP Systemdateien standardmäßig nicht in die Explorer-Suche mit einbezieht -.-
Nun läuft Win XP wieder normal, und der Gratis-Virenscanner avast! hat weiter nichts entdeckt. Hoffe mal, dass das so bleibt.
In diesem Sinne
Gute Nacht und viel Erfolg euch anderen Verzweifelten
Das stimmt, wurde aber zumidnest was das Anzeigen selbst angeht auch schon öfter gesagt/geschrieben.^^
Um Systemdateien zu sehen, muss man natürlich im Windows-Explorer in den Ordneroptionen Systemdateien mit einem Radiobutton und einem Haken sichtbar machen. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
dank der vielen Einträge hier konnte ich nach den Übeltäter finden.
Bei mir war in der Shell alles o.k., es gab keine mahmut/upd/new/jashla.exe und auch der Austausch der Explorer.exe brachte nichts.
Ich konnte dann aber im C:\Windows\Prefetch und C:\Windows\System32 die 0.7220747983066452.exe finden mit entsprechdem Datumsstempel als der Spuk los ging.
Vielen Dank nochmal für diese Seite. Hat mir sehr geholfen.
Gruß
Holstein
moinsen!
ich habe seit dienstag abend den bka virus/trojaner auf meinem pc. jetzt durchforste ich schon seit einiger zeit diese homepage und probiere alles mögliche aus, nur hat noch nichts zu einer lösung geführt.
1. da bei mir auch die ursprüngliche anleitung an dem punkt explorer.exe gescheitert ist, bin ich das forum durchgegangen.
2. ich habe im registrierungseditor nach der datei mahmud gesucht, mir wurde aber nach abgeschlossener suche nichts angezeigt.
3. den von hollow beschriebenen vorgang über den taskmanager habe ich auch versucht, jedoch lässt mich der virus nicht mal den taskmanager öffnen. einmal ist er für kurze zeit erschienen, nur stand da auch nichts drin, was ich beenden könnte..
4. auch die version von snake3590 über msconfig, systemstart und die suche nach mahmud hat mich nicht weitergeführt. da war kein pfad mit der endung mahmud.exe. das einzige, was sich für mich strange anhört ist die endung jusched.exe bei dem pfad von java(tm)..
könnte das dann in meinem fall die infizierte datei sein?
danke euch für die hilfe.. lg
jusched.exe ist i.d.R. eine Datei die zu installiertem JAVA (www.java.com) dazugehört.
Diese Dateis teht im Autostart ebenfalls drin, weil darüber eigentlich geprüft wird ob eine neuere Version verfügbar ist.
Theoretisch kann natürlich auch diese Datei infiziert sein, wäre aber bislang der wohl erste Fall in all diesen Postings hier.
Suche mal nicht nur nach Mahmud, sondern auch nach jashla, vasja, upd (außerhalb [Laufwerksbuchstabe]:\windows\system32) oder sonstigen kryptischen Bezeichnungen (siehe ein Posting weiter unten).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Auch ich habe mir dieses Mistding eingefangen.
Vielen Dank an alle die hier Kommentare abgegeben haben.
Betriebssystem: Windows Vista
Meine Vorgehensweise:
1. Im abgesicherten Modus die zuletzt geänderte *.exe Datei gesucht.Bei mir hat sich die Datei im Startmenue unter: C:\Benutzer\XXXX\AppData\Roaming\Microsoft\Windows\Startmenue\Programme.25002185068463134.exe
festgesetzt.
2. Datei: 0.25002185068463134.exe gelöscht
3. Neustart
4. Rechner mit Antivirussoftware gescannt.
Vielen Dank und herzliche Grüße
Danke an Christina!
Habs hinbekommen.
Ich fass noch mal zusammen:
Die Datei die den Pfad zum Virus angibt kann sich an zwei verschiedenen Orten verstecken (Nachdem man den PC im Abgesicherten Modus mit Eingabeaufforderung gestartet hat und dort „regedit“ eingegeben hat):
1.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (Hier heißt der Virus „mahmud“ bei mir war es diese Variante, habe übrigens Windows 7)
2.HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon (Hier heißt der Virus „Jashla“ und im Ordner „Shell“ steht der Weg zum Virus.
Und nachher noch den Pfad entfernen, also den Wert von „Shell“ und „explorer.exe“ eingeben)
Nachher die Virus-Datei einfach löschen und den PC wieder normal starten. Am besten direkt einen Virusscan durchführen, ob irgentwo noch irgentetwas lauert ;-)
Ich hoffe das ich helfen konnte
Hallo,
hatte mir gestern Abend auch den (Freund) auf den Pc geholt. Dachte, hee was ist das!! Sofort mit meinem Notbook danach gesucht und mit Graus gelesen was da schon alles stand.
Dank euren vielen Einträgen hab ich alles probiert und den Übeltäter gefunden.
Im abges.Modus Gefunden als 0.6910882705805.exe im Systemstart. Kannte diesen Eintrag dort nicht und suchte danach. Fand ihn dann
unter Startmenue C:\Benutzer\XXXX\Lokale Einstellungen\Temp
und unter C:\Benutzer\XXXX\Lokale Einstellungen\Starmenue\Programme\Auotstart.
Datei gelöscht, Papierkorb geleert, Häcken raus im Systemstart, Neustart des Pc und siehe er geht wieder und das Untier ist weg (hoffe er hat keinen Nachwuschs hinterlassen). Vierenprogramm läuft gerade.
Wünsche allen ein gutes Gelingen und einen schönen Tag und Danke für die Tipps.
Und All denen die so einen Mist in die Welt setzten sollen die Finger ganz langsam abfaulen.
Gruß Reinhard
Brauche Hilfe ,das eine wo man den wert von Shell entfernen muss und durch Explorer.exe ersetzen soll ,bei mir stand da schon explorer.exe was denn jetzt.
Bitte helfen!!!!
DANKE IM VORAUS
Hey,
bei mir war der Virus auch an einer anderen Stelle versteckt. Anscheinend gibt es mehrere Möglichkeiten wo er sein kann. Ließ dir einfach die anderen Kommentare hier durch, vllt findet sich da die Lösung.
Wie schon so oft beschrieben, könnte der Virus/Trojaner die explorer.exe infiziert haben.
Dann braucht man entweder eine Systemwiederherstellung, oder ein Backup von vor ein paar Tagen oder eine Installations-CD/DVD oder ein baugleiches Betriebssystem eines anderen Computers mit sauberer explorer.exe-Datei, oder jemand der eine solche Datei einem geben kann.
Allerdings kann, wie es auch schon x-fach angesprochen wurde, der Virus/Trojaner in einer Datei mit ungefähren Namen wie:
Mahmud.exe, upd.exe, jashla.exe, vasja.exe, 12138165413564.exe, etc. versteckt sein.
Einfach mal das System und den Autostart und die Registry nach so komplett auffälligen Dateien untersuchen.
! ACHTUNG – die upd.exe gibt es auch Original unter [Laufwerksbuchstabe]:\Windows\System32.
Diese Datei ist i.d.R. eine Systemdatei und somit „eigentlich“ nicht zu löschen!
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Tja.
Bei mir ist leider auch der Bundespolizei-Trojaner. Jedoch ist er bei mir so gemein, dass ich noch nicht einmal den abgesicherten Modus mit Eingabeaufforderung starten kann.
Somit habe ich nun ein Riesenproblem….
Hallo,
hast du die Verbindung zum Internet getrennt, bevor du den PC gestartet hast? Um in den abgesicherten Modus mit Eingabeaufforderung zu gelangen musst du beim Hochladen des PCs F8 drücken und den Modus dann entsprechend auswählen. Wie gesagt, das Internet muss beim Entfernen des Trojaners aus sein, da er sich sonst automatisch wieder öffnet.
Ansonsten weiß ich leider nicht, woran es bei dir liegen könnte…
Mein Computer fängt dann an den abgesicherten Modus zu laden und bricht bei „Loaded: \Windows\system32\drivers\crcdisk.sys“ weitere Tätigkeiten ab.
Ich weiß echt nicht mehr weiter. Habe auch schon versucht mit der OriginalCD das System zu reparieren. Aber bringt auch nix….
Normalerweise kenne ich ein hängenbleiben bei der crcdisk.sys nur, wenn das Windows beschädigt, oder die Festplatte am Rande eines Chrashs ist.
Eine Reperaturinstallation klappt ja wie beschrieben nicht.
Wäre noch die Möglichkeit einer Systemwiederherstellung eventuell per CD/DVD gegeben?
Oder ein Backup von vor ein paar Tagen?
Ansonsten ist auch ein USB-Adapter woran man die Festplatte anschließen könnte (an einen anderen PC) auch eine Möglichkeit dem System eventuell wieder auf die Sprünge zu helfen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Okay, vielen Dank.
Versuche ich es mal so irgendwie…
Ansonsten installiere ich komplett neu das Betriebssystem.
Vielen Dank für die guten Anleitungen. Habs nun auch geschafft das Ding zu entfernen.
Bei mir wars auch ne Verknüpfung im Autostart und ne 0.9***.exe im temp Ordner…
Wollte nun zur Sicherheit auch nochmal die explorer.exe austauschen aber er lässt mich nicht, hab keine Änderungsrechte. Also will ich diese geben doch das geht auch nicht: Fehler beim Anwenden von Sicherheitsinformationen auf c:\windows
Zugriff verweigert
Habs auch im abgesicherten Modus versucht doch hier kommt ein Fehler das Trusted Installer das irgendwie verhindert.
Meine Frage ist nun ob das auch noch mit dem Virus zusammenhängt?Bei mir ging z.B. auch die Systemwiederherstellung nicht mehr als der Virus noch aktiv war. Jetzt funktioniert sie aber wieder.
Der offline Virenscan geht doch bestimmt auch über usb-stick (habe kein cd laufwerk)? Könnte jemand mal nen Link zu einer Anleitung schicken?
Vielen Dank mfG
Falk
http://blogpirat.de/bundespolizei-oder-bundeskriminalamt-trojanervirus-wie-bekomm-ich-den-virus-wieder-weg/#BootCD
Hallo,
hat nach der Beschreibung wunderbar geklappt. Bei mir hieß er nur „mahmud.exe“
Bestens Dank für den Eintrag.
MfG
Detlef
Habe mit Regedit nach upd.exe gesucht und er hat Rtlupd.exe und *upd.exe gefunden. Einträge entfernt und dann in c:\WINDOWS\Rtlupd.exe gelölscht.
Problem gelöst (Frage wie lange …)
Einmal booten alles ok; dann neu gebootet, Windows hat ein Update gefahren und nun ist er wieder da.
Fragt sich ob das ein legitimes Windows-Update war?
Was für Aktionen hast Du/haben Sie bis jetzt wieder unternommen?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich hab das selbe Problem. Selbst der abgesicherte Modus bringt nix. Lass nun gerade mit einer Norton Boot CD das System scannen. Wenn das auch nichts hilft, dann hab ich keine Idee mehr. Platt machen ist nicht. Meine Diplomarbeit liegt noch auf der Festplatte….
Langsam bekomm ich nen gaaanz dicken Hals.
Hey,
vllt bringt bei dir eine Systemwiederherstellung was?!
Ich komme weder aufs Startmenü noch in den abgesicherten Modus, egal was, der Rechner bootet und dann kommt das tolle Bundespolizeibild.
@ Marco
SOll jetzt nicht böse gemeint sein und hilft jetzt auch gerade wenig weiter, aber ein Backup auf diversen Medien ist bei einer Dipl.-Arbeit schlicht Pflicht.
USB-Stick, CD/DVD, Webserver oder FTP (verschlüsselt oder zumindest Passwort gechützt), etc..
@ ALLE User/innen
Ein Backup aller wichtigen Dateien und/oder gar des gesamten PCs ist nicht nur gut, sondern Pflicht!
So, das musste mal wieder gesagt werden. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
An RM:
Versuche den PC normal ohne abgesicherten Modus zu starten und mache dann eine Systemwiederherstellung.
Dazu musst du auf „Startmenü“ klicken, dann „alle Programme“ öffnen.
Unter „Zubehör“ findest du den Ordner „Systemprogramme“.
Diesen öffnen und dann auf Systemwiederherstellung gehen.
Dort musst du dann bestätigen, dass dein PC in den Zustand vor der letzten Installation (quasi vor dem Trojaner) versetzt wird und warten.
Danach den PC neu starten, Internetverbindung herstellen und sehn was passiert.
Wenn das klappen sollte, anschließend am besten noch einen Virenscan vornehmen.
Christina:
Das wär schön wenn ich den PC normal starten könnte… Das ist es aber leider gerade was dieser Trojaner bewirkt; der PC läßt sich nicht normal starten :)
An Marco:
Du musst dein Internet ausschalten, bevor du den PC startest! Dann dürfte sich der Trojaner nicht öffnen und du kannst nach dem Mistding suchen.
Ich widerspreche ja nur ungerne, aber der Virus/Trojaner startet sich durchaus auch ohne Internet.
Ohne Internet undje nach Variante meist nur mehr oder weniger „verzögert“.
Es mag auch Versionen geben die sich dann tatsächlich nicht starten, aber die scheint Marco nicht zu haben.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Das fiel mir auch auf, trenne ich die netzverbidung kommt eben statt des Bildes nur die Meldung das die Site nicht geöffnet werden kann aber der Effekt ist derselbe…
Marco hatte seiner Aussage nach zu urteilen bisher das Internet an. Vllt hat er ja doch Glück und er öffnet sich dann nicht so wie es bei mir der Fall war.
Lesefehler…sorry.
Kam erstmal (bei all den Mails die reinflatterten) anders an.^^
Die Antwort stimmt übrigens dennoch für den ein oder anderen BKA-Virus/Trojaner.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@Christina : werde ich versuchen, da ich keinen Schalter fürs WLAN habe muss ich wohl den Stecker ziehen, wenn es was bringt geb ich Dir nen virtuellen knutscher ;-) Jetzt lass ich aber erst mal die Boot CD laufen…. das kann dauern.
Mein nächster Rechner heist Apple MacBook… Ich hab diese Windowssch… sowas von satt.
Hallo Marco,
dann sei dir aber mehrer Dinge bewusst:
1. Das Arbeiten wird „anders“
2. Es gibt zwar Programme auch für MACs aber Windowssoftware laufen eventuell nur mit einem Emulator
3. Ein Mac ist teuer^^
4. Auch ein Mac ist angreifbar (was mit der Verbeitung natürlich zunimmt)
Ansonsten viel ERfolg beim entfernen des Virus auf Windowsbasis.
PS.: Ich mag Windows/Linux/Mac/Unix-Systeme mehr oder weniger gleichermaßen. Aber spätestens seid Windows 7 sehe ich keinen echten Grund auf einen Mac umzusteigen,. solange ich nicht hauptsächlich Grafikbearbeitung oder Videoschnitt machen will.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
Selbes Problem wie bei allen hier.
Kurze Beschreibung bei mir. Ich habe 5 verschiedene Profile und komme auf alle Profile problemlos drauf nur eben nicht auf das Hauptprofil. Starte ich im abgesicherten Modus kann ich allerdings auch da alles machen und es startet kein Bundespolizeibild. Die Anleitungen zum durchsuchen der registry hab ich durchprobiert. bei localmaschine und shell stand nur explorer.exe. und unter dem zweiten Pfad hab ich zwar einige exe dateien gefunden und gelöscht aber ohne erfolg…. was mir auffiel, wenn ich es schaffe beim laden meines profil während dem start der website über den taskmanager den prozess zu stoppen, dann komme ich auch auf dieses profil …
bin ein wenig überfordert… grins
Wie heißt denn der Prozess den Du/den Sie dann abschiesst/abschiessen?
Das ist dann vermutlich der Prozeß, welche auch im Autostart (msconig) drinsteht.
Einen Austausch der explorer.exe durch eine Original-CD/DVD, eine Systemwiederherstellung oder ein Backup zurückzuspielen wäre natürlich auch eine Idee – zumindest fürs erste.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
gerne das Du.
Wie die Anwendung (ken Prozess) genau hiess weiss ich nicht mehr. Klappe auch nur einmal.Auf jeden Fall war es eine website die geladen wurde.
Ist es denn normal das ich die anderen Profile uneingeschränkt nutzen kann?
Hallo Frank,
ich vermute das „das“ sollte „darfst“ heißen?!
Auch wenn cih nicht ganz verstehe wozu es dann passt, aber das soll mal Nebensache sein. :-)
Ich vermute mal das es wieder mal eine gewisse Webseite mit einer IP wie „184.82.***.*65“ war.
Probiere den Rechner mal ohne Internet zu starten. Eventuell kommst Du dann schon weiter.
Normal ist schwierig zu sagen. Da sich der Virus/Trojnaer immerwieder verändert und ich nicht alle seine Funktionen kenne/kennen kann/kennen will, kann dies durchaus möglich sein.
Ist dein einer User den Du nicht nutzenkannst der Administrator?
Wenn ja, dann könntest Du mit der Befehlszeile
„runas /user:[Computername]\[Benutzername] msconfig“
und der darauf folgenden Passworteingabe zumindest schon mal in den Autostart reinschauen und ggf. als Administrator dort etwas ändern.
Selber Befehl funktioniert mit soziemlich allen Programmen, also auch der registry.
(Anleitung auch hier: http://www.ecodes.de/hrtlinks/CMDBef-155.html)
Hoffe eventuell geholfen zu haben.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Wie heißt denn der Prozess den Du/den Sie dann abschiesst/abschiessen?
Auf diese Aussage von dir bezog sich das “ Gerne das Du “ Smile..
Ich weiss nicht welche Website, aber es war wohl eine denn meine Tochter war total verdattert als ich heimkam und meinte ich müsse 100 Euro Strafe zahlen.
Ja der betroffene Nutzer ist der Administrator, aber ich habe einfach einem anderen die Rechte gegeben und mit meinem PW bestätigt.
Start ohne Internet bringt nur den Effekt das dann versucht wird eine Site zu laden aber eben ohne Erfolg und ich sehe anstellt der Bundespolizei eben den Hinweis das die Seite nicht geladen werden kann. Aber weiter bringt mich das auch nicht.
Okay, wie sieht es in der msconfig und Registry in Sachen „dubioser“ Dateien aus (einige Namen stehen einige Posts weiter oben aufgelistet)?
Wie war doch gleich der Stand in Sachen Systemwiederherstellung/Backup-Rückspielung?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)