„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Hallo!
Habe ihn mir gestern auch eingefangen und bin zuerst nach einer anderen Anleitung beim Löschen vorgegangen. Bei mir hiess der Dateityp Vasja, den habe zuerst ich gelöscht.
Erst hier hab ich dann gelesen, dass die Spur noch bei Shell ist, dort stand aber bereits explorer.exe, habe es nochmal explorer.exe genannt, denkt ihr das war alles oder kann der Trojaner noch irgendwo hängen?
Beste Grüße
Ich habe genau die gleichen Bedenken.
Bei mir stand auch bei dem Shell schon explorer.exe da.
Gibt es einen anderen Grund warum der Trojaner auftrat? und kann das nochmal passieren?
Siehe dazu:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-7#comment-1262
Und mal wieder eine Weisheit die leider meist etwas wehtut, aber ein einmal befallenes System ist ein System dem man nicht unbedingt mehr trauen sollte.
Zum genauen Vorgehen ohne allzugroße Verluste habe ich vor X-Tagen schon ein relativ langesPosting hier reingetippt.
Wen es interessiert, der Suche es sich einfach mal raus.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
danke habe ich so direkt nicht gewusst aber einfach fetplatte platgemacht auf den letzten stand ^^ zum 2mal ;(
habe nichts gezahlt und wusste das ich kein terrorist bin oder kinder… danke aber für diese anleitung
oh können wir mal sammeln auf welchen seiten wir so waren damit wir die meiden können
Wird nicht soo viel bringen. Siehe dazu:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-7#comment-1262
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo zusammen
Ich hab mir den Trojaner jetzt schon zum 2ten mal eingefangen, ich glaube die E-Mail Adresse hat sich geändert,
jetzt weiß ich nicht mehr wo ich das Geld hinschicken muß.
Kann das jemand bestätigen.
Viele Grüße Smolly
HALLO HALLO – das mit „weiß nicht wo Geld hinschicken“ war doch hoffentlich nur ein Scherz!
NIEMALS BEZAHLEN
Email-Adresse usw. alles ausdrucken und zur Kripo _ ANZEIGE ERSTATTEN!!!
…und wie man das Ding losbekommt ist ja hier wunderbar beschrieben!
@ Herr Müller
Ich glaube das weder Smolly noch die Leute die hier sonst so gepostet hatten auf die wirkliche Idee kamen „zu zahlen“.
So zumindest verstehe ich bislang die Postings hier und würde auch anhand des weiteren Gesprächs (siehe weiter unten) nicht davon ausgehen das hier jemand ernsthaft daran dachte Geld zahlen zu wollen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo zusammen,
hab mir den Trojaner grad eingefangen. Bin auch nach obiger Anleitung bis Punkt 8 vorgedrungen, da stand allerdings schon Explorer.exe. Habe Punkt 9 und 10 noch gemacht und dann versucht, die Datei jashla.exe zu finden. Leider ohne Erfolg. Und beim Neustart kommt jedes mal wieder „die Bundespolizei“ … schei..
Weiß jemand Rat?
Gruß
Gerold
hey,
bei mir stand auch bereits „explorer.exe“. Das bedeutet, dass sich der Trojaner bei dir wahrscheinlich auch woanders versteckt hat. Es gibt mittlerweile einige verschiedene Varianten davon! Starte nochmals den Eingabemodus wie zuvor und such sämtliche Dateien nach auffälligen Namen ab. Bei mir hieß der Trojaner bspw. „mahmud.exe“. Ließ dir am besten mal ältere Einträge hier mit verschiedenen Lösungsmöglichkeiten durch, vllt hilft dir das.
Gruß, Christina
Danke Christina,
hab bisher drei Verschiedene Vorgehensweisen ausprobiert, leider erfolglos.
Ich versuchs grad mit Kaspersky, lade mir die rescuedisk runter und starte dann damit den PC.
Weitere Info logt.
Gruß
Gerold
@ Gollum
Siehe dazu: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-14#comment-2244
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Wenn die Datei nicht gelöscht wird, kommt der immer wieder.
NICHT nach jashla oder sonstwas suchen, sondern nach *.exe – mit Datum vom Tag der Infizierung – wenn nichts kommt und wenn sicher ist, dass in der letzten Woche kein anderes Programm installiert wurde, dann als Zeitangabe „letzten 7 Tage“.
Aktuell haben die Dateien als NAmen willkürliche Zahlenfolgen wie z.B: 0.0043464378.exe
Weitere Tipps:
Während der gesamten Behandlung PC vom Netz trennen.
Temps löschen – vorallem die temporären Internetdateien mit >Zubehör>Systemprogramme>Datenträgerbereinigung – Haken bei temporären Internetdateien
Danach Netzverbindung wieder herstellen (auf Deutsch „KABEL WIEDER REIN) vor Browserstart
Virenscanner prüfen, ob aktuell ist (update) und danach nochmal ganzen PC scannen.
Die nächsten Tage erhöhte Aufmerksamkeit und vorallem vor jedem Internetbesuch kontrollieren, ob das Virenprogramm aktiv ist, denn bei einigen PC´s war der Virenscanner deaktiviert und es war nicht mehr nachvollziehbar, ob der jeweilige User das verbockt hatte oder ob es der Virus/Trojaner gewesen sein könnte.
Allgemeiner Tipp: Für den Besuch von nicht 100% sicheren Internetseiten neuen Benutzer anlegen, ohne ADMIN-Rechte – dann kann sich eigentlich so eine *exe gar nicht entfalten……….
@ Herr Müller
Kleine Korrektur…
Es muss keine *.exe-Datei sein. Wir hatten hier nun auch schon einige Fällen, in dem es auch *.dll Dateien waren die sich eingenistet hatten.
Das dabei auch eine *.exe noch eine Rolle spielt, dürfte klar sein, muss aber zumindest nicht der ausschlaggebende Grund sein.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
SMOLLY mach das auf keinem Fall!
Das ist bloss ein Virus, das sind i-welche Hacker, die schnell an Geld kommen wollen.
Formatiere dein PC am Besten oder entferne den Virus wie hier beschrieben.
Und jetzt zu mir:
Ich hatte den Virus auch schon. Wenn ich jetzt Avira Free Antivir oder andere Antivirenprogramme installiere, kann ich nicht mehr auf das Internet zugreifen.
Könnt ihr mir helfen?
@ Ryder06
Ich musste erstmal schmunzeln als ich den ersten und dann den zweiten Abschnitt las.
Wieso handelst Du nicht nach deinem erst gegebenen Tip?
Ansonsten habe ich ich untern drunter in einigen Tipps durchaus denke ich eventuell schon weitere Ansätze für eine eventuelle Lösung aufgeschrieben.
Hoffe so trotzdem helfen zu können.
PS.: Muss mal eine Lanze für „Hacker“ brechen.
Hacker sind die „Guten“. Echte Hacker machen nciht wirklich kaputt und fordern zu keinen bösen taten auf. Hacker weisen eigentlich nur auf Misstände hin, zum Beispiel durch verändern einer Webseite, so das ein Misstand klar wird.
Sie klauen aber zum Beispiel eigentlich keine Daten (um diese dann anderweitig zu nutzen).
Das was eigentlich meist gemeint ist, sind die Cracker (nein, nicht die zum Essen). Diese machen kaputt, klauen Daten zu anderen Zwecken, etc..
Allerdings würde ich Viren/Trojaner/Malware/Scareware in den meisten Fällen nicht mal in die Kategorie der eigentlichen Cracker stecken.
Anders sieht das bei unseren Freunden der Rootkit/MBR-Coder aus.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
danke für die vielen Anleitungen. Ich konnte „vasja“ unter C:User\Andreas\AppData\Local\Temp\upd.exe identifizieren. Habe in der Registry den Eintrag vasja gelöscht und unter dem Pfad auch die upd.exe entfernt.
Der Virus tritt nun nicht mehr auf und das System funktioniert augenscheinlich.
Jedoch werden mir TaskManager und Systemkonfig nicht richtig angezeigt. Werden zwar geöffnet, aber es wird nichts vernünftig angezeigt, sondern so wie während des Virusbefalls.
Installieren kann ich auch nichts.
Also scheinbar habe ich die Einblendung erfolgreich bekämpft, aber irgendwo muss hier noch was schlummern.
Hat Jemand evtl noch nen Rat,Tipp was ich tun könnte oder wo ich noch suchen kann?
Shell = explorer.exe …die ganze Zeit über.
Danke und liebe Grüße
Andreas
hey,
hast du nur die exe-Datei gelöscht oder anschließend nochmal nach dem Namen „vasja“ gesucht?
Bei mir hieß der Virus „mahmud.exe“. Nachdem ich die exe-Datei gelöscht habe, hab ich zusätzlich nochmals nach „mahmud“ in der Suchoption gesucht und bekam noch einen Treffer. Hab die Datei dann auch noch gelöscht (auch im Papierkorb).
Danach ging bei mir alles wieder wie zuvor.
Mal Christinas (und auch oftmals schon einer meiner Tipps)…Wie wäre eine Rückspielung einer Systemwiederherstellung oder eines wenige Tage alten Backups?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Alter Verwalter. Hatte zuvor schon gesucht da kam gar nichts. Aber jetzt habe ich nochmals auf Christinas Tip nachgeschaut und unter Vasja gesucht. Da hab ich nun als Ergebnis:
mahmud, jashla, machmud, vasja, temp, %APPDATA%, shell und Wert nicht gesetzt (Name standard)…Nummerierung der einschlägigen Namen von 000-006
Alles kompletto löschen oder?
also die dateien mahmud, jashla, vasja, machmud würde ich definitiv löschen.
bei temp weiß ich nicht genau was das ist…
ich hatte es bei mir so gemacht, dass ich die datei „mahmud“ zum test angeklickt habe und dann öffnete sich der trojaner, sodass ich bescheid wusste.
Die Anleitung löst das Problem nicht. Hab den scheiß nun auch das 2. Mal eingefangen. Nun weiß ich nicht mehr weiter.Hiiiiiiilfe
Korrektur. Die Anleitung löst das Problem durchaus.
Es gibt aber ein paar Dinge die diese Anleitung nicht unbedingt abdecken kann:
1. Die Aktualität des jeweiligen Nutzersystems
2. Das Surfverhalten des Nutzers
3. Das Klickverhalten des Nutzers
4. Neue schärfere Varianten des „Schädlings“
Und zu guter Letzt…
Einem einmal befallen System ist nicht immer mehr zu trauen. Ein Sichern aller Daten auf ein externes Medium, eine Neuinstallation mit akruellstem Stand und dann ein gesichertes Rückspielen der Daten ist IMMER die eigentliche Ultimative Variante.
Das alles soll NICHT dazu dienen Dich oder andere zu beleidigen und als „Nichtskönner“ (DAUs) darzustellen, es soll nur ein paar Möglichkeiten für „Warum hab ich das Teil wieder?!“ aufzuzeigen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
In der Registry habe ich den Eintrag Vasja komplett gelöscht. Pfad notiert und die Exe hieß bei mir upd.exe
Kriege die Einblendung wie gesagt auch nicht mehr. Aber irgendetwas stimmt hier noch nicht.
Auf Suche in der Registry habe ich nichts mehr gefunden…weder vasja, jashla,mahmud.
hast du schonmal über eine systemwiederherstellung nachgedacht?
Hallo Rayder06
Danke für die Antwort
aber Du hast meine Frage nicht richtig verstanden…!
Ich habe gefragt ob jemand bemerkt hat das die wahrscheinlich die E-Mail Adresse verändert haben wo man das Geld hinschicken soll..!
Liebe Grüße Smolly
Die Frage sei erlaubt, aber warum interessiert dich die eventuell geänderte „Mail“-Adresse?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Naja, also wenn temp auch auf diesen Suchbegriff hin angezeigt wird muss man doch davon ausgehen dass die Datei den Trojaner enthält?
Mein Zonealarm zeigte gestern mehrmals einen fremden Zugriff an, selbst als der Trojaner alles blockiert hat, habe erstmal dumm geschaut bevor ich die Netzverbindung getrennt habe. Kann es sein dass ich den Trojaner gleich mehrfach abbekommen habe?
Hallo
Mich hattes gestern auch erwischt!
Habs mit viel fluchen so wieder weg bekommen:
Mein Betriebssystem Win XP SP2
Im Abgesicherten Modus gestartet (F8)!
Explorer.exe gestartet und man kann erst mal wieder fast alles machen!
Einen neuen Benutzer eingerichtet!
Rechner neu gebootet, wenn er automatisch ins Windows läuft warten bis das Bundespolizei Bild kommt!
Mit Strg.-Alt und entfernen den Benutzer abmelden und den neuen Benutzer anmelden!
Im neuen Profil sollte dann alles wieder normal möglich sein! (Bei mir zumindest)
Jetzt habe ich mein Anti-Maleware upgedatet, wers nicht hat „jetzt Runter laden“!!!
http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html
Den Scanner 1x übers System jagen, bei mir hatter was gefunden!
danach abmelden und den Rechner neu starten!
Unter dem alten Benutzernamen sollte nun auch wieder alles sauber sein!
Bei mir machts den Anschein!
Mir hat dieser Tread hier viel gebracht und ich möchte hiermit was zurückgeben!
Hoffe ich konnte etwas helfen!
Gruß
Hallo zusammen und vielen Dannk für die bisherige Hilfe. Bei mir besteht allerdings das Problem, das die shell-Datei schon explorer.exe heißt. Worin soll ich die denn dann umbennenen?
Viele Grüße
Robert
Wenn dort bereits „explorer.exe“ steht, brauchst du dort nichts zu ändern. Der Trojaner hat sich wahrscheinlich anderswo eingenistet. Suche alle Dateien auf auffällige Namen ab. Lies dir dazu am besten die älteren Kommentare mit den Tips durch, bspw. von „Simon“. Der scheint Ahnung zu haben ^^
@ Christina
Danke für das Kompliment, oder zumindest nehme ich es als ein solches an/auf. :-)
@ koehler
Der Tip von Christina ist an sich nciht verkehrt.
Suche mal nach ALLEN Dateien (auch verstekcte) die sich zum ungefähren Tatzeitpunkt geändert haben.
Sollte die explorer.exe NICHT selbst befallen sein, so wirst Du mit Sicherheit die ein opder andere mahmud/vasja/jashla/0540614926.exe (Zahlenfolge beliebig!) finden.
Sollte die explorer.exe aber selbst befallen sein, was bei diversen Variante des vermeintlichen BKA-Virus ebenfalls der Fall ist, so reicht dir eine saubere explorer.exe von einem baugleichen BEtriebssystem. Alternativ auch per Systemwiederherstellung, oder per Kopie vom Installationsmedium.
Ein Backup von vor ein paar Tagen wäre natürlich eine Ultimative Lösung (sozusagen).
ACHTUNG, für alleine neueren Varianten die sogar mit diversen *.dll-Files arbeiten, gilt defintiv nach allen Fehlversuchen es mit dem
DEAKTIVIEREN der Systemwiederherstellung, dem
DEAKTIVIEREN der Auslagerungsdatei und dem
DEAKTIVIEREN des RUHEZUSTANDS (falls aktiviert) und
DANN einem anschließenden (Offline)-Scan zu versuchen.
Die hier mittlerweile bekanntgewordenen neueren Versionen nisten sich auch in diesen Dateien UND im Ordner Recycled.bin ein.
Ohne deaktivieren dieser Funktionen, kommt selbst nach erfolgreichem Löschen der ganze Mist eben wieder.
Und noch als kleiner Anhang @ ALL
Ich sage es nicht zum ersten mal… :-/
Aber ein IMMER aktuelles System, mit IMMER aktuellen Windows/Microsoftupdates, IMMER aktuellem Java, IMMER aktuellem Adobe Flash, adobe Reader, Adobe Shokwave, etc. etc. (jenachdem was überhaupt auch installiert ist), ist essentiell!
Und die Sahnehaube für jeden PC mit auch nur ein paar wichtigen Dateien ist ein Backup auf einen Stick/eine externe Festplatte/ eine CD/ ein Netzlaufwerk (NAS), einen Server.
Seit Windows Vista Ultimate und Windows 7 Professional ist sogar eine Complete-PC Sicherung ein Kinderspiel (mal abgesehen vom eventuell benötigten Platz und der erstmaligen kompletten Sicherung).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo, ich nochmal.
Anscheinend haben der oder die Hacker was geändert. Ich habe inzwischen herausgefunden, dass mein PC beim Hochfahren versucht, über den Internet-Explorer aufzubauen und zwar zur IP 91.217.90.50
Wenn ich die IP vom Netbook aus anwähle, kommt die Seite der „Bundespolizei“.
Wo und wie muss ich was ändern, dass die Verbindung nicht automatisch aufgebaut wird?
Danke und Gruß
Gerold
Es gibt manche Trojaner, die sich nur bei bestehender Internetverbindung öffnen. Bei mir war das der Fall. Als das Internet aus war, hat er sich nicht geöffnet und ich hatte somit Zeit um das Ding zu suchen.
Vllt hast du ja auch Glück, wenn du das Internet vorübergehend ausmachst…
Bei dieser IP dürfte es sich um eine Adresse aus der Ukraine handeln und definitiv nicht um die des deutschen BKA. Finger weg!
Im Zweifel einfach mal die IP in den Google-Suchschlitz eingeben und sich von den Snippets der Suchergebnisseite überzeugen lassen.
@ gollum
Eine kleine Bitte an Dich und auch an Alle anderen Leute die hioer posten.
Es ist zwar einerseits gut und schön zu wissen woher der BKA’ler manchmal kommt, so verhängnisvoll kann es aber für manch einen eventuell auch sein/werden.
Bitte, wenn ihr IPs weitergeben wollt, dann in Formen wie 91.15.**.** oder ähnlich.
Die vollständige Adresse, zum Beispiel für eine kleine Analyse kann gerne an meine Adresse oder sicherlich auch an die von Daniel Weihmann (wenn nicht, bitte protestieren! ^^) gesandt werden.
Deine Angabe oben habe ich zum Beispiel nur in einer gesicherten virtuellen Maschine geöffnet.
Wenn dort mir was passiert, stelle ich den letzten Snapshot wieder her und damit war es das. Jemand anderes am Life-PC hat dann aber eventuell seine so Schwierigkeiten.
Bitte nehmt mir das nicht übel, es soll ja nur zum Schutz „aller“ sein.
Der Tipp von Christina bzgl. Internet AUS/AB steht glaube ich zwar auch schon oben in der Anleitung, ist aber bei vermeintlichen Viren/Trojanern/etc. nie eine schlechte Idee.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Simon
Danke für den Hinweis bzgl. der Weitergabe bzw. Veröffentlichung von solchen IPs, werde künftig daran denken.
Gruß
Gerold
Hallo Simon
Ich hab mir hier schon etliche Ratschläge durchgelesen,
Ich denke Du bist der Einzige der mir meine Frage beantworten kann.
Wenn Du den Virus in einer Scala von 1 bis 10 einordnen müsstest wo würde ER stehen. 1 für schlecht Programmiert 10 für Sehr gut Programmiert.
Liebe Grüße Smolly
@ Smolly
Da ich leider kein Programmierer bin, kann cih es zumidnest aus dieser Sicht nciht beurteilen.
Wenn ich mir aber die mittlerweile wohl verfügbaren Varianten anschaue, so gibt es somit auch mehrere Stufen.
1. BKA-Meldung durch beenden der Internetverbindung = Stufe 1-2
2. BKA-Meldung mit Datei nur im Autostart (Shell) = Stufe 3-4
3. BKA-Meldung im Autostart (Shell) und vielleicht noch per anderer Datei = Stufe 5-6
4. BKA-Meldung per Autostart, im Hintergrund und mit anderen Dateien wie *.dlls = Stufe 7-8
5. BKA-Meldung per Autostart, im Hintergrund und mit anderen Dateien wie *.dlls und in Dateien wie der pagefiles.sys und hyperfile.sys sowie im Recyled.bin-Ordner = Stufe 9-10
So würde ich es persönlich einschätzen.
Weiterhin muss man aber auch bedenken, das die reine Meldung ncoh kein wirklcher Virus ist, sondern nur Malware. Erst durch Modifikationen wird daraus dann Scareware bzw. Viren/Trojaner oder gar noch schlimmeres (Rootkits, MBR-Schädlinge).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hi ich habe auch das bereits tausendmal angesprochene Problem ( Sorry ) das sie Shell Datei den fad Explorer.exe hat. Nun hast du ja die anderen 5 Möglichkeiten geschildert die man dann machen kann.. Aber wie mache ich eine systemwiederherstellung ohne das ich ins windows rein komme! Kann nur im abgesicherten Modus mit eingabeaufforderung starten. Aber was dann? Sorry hab mir heute den blöden trojaner eingefangen und hab ca 100 Beiträge hier gelesen aber nichts hat geholfen :(
Hoffe ich könnt mir weiter helfen
Lg gerson
Lieber Simon, was sagst du zu den Dateien bei mir?
mahmud, jashla, machmud, vasja, temp, %APPDATA%, shell und Wert nicht gesetzt (Name standard)…Nummerierung der einschlägigen Namen von 000-006
Bis auf „%APPDATA%, shell und Standard“ habe ich sie gelöscht, aber da diese auch beim Suchbegriff Vasja aufgetaucht sind enthalten sie doch auch den Trojaner?
mahmud/jashla/machmud/vasja/Zahlenfolgen.exe <- ALLES verdächtige, meist hier schädliche Dateien die nichts auf dem System zu suchen haben!
%APPDATA% und \TEMP sollten nur die Fundorte sein, Dateien mit diesem Namen sind mirt nicht bekannt.
Shell ist die Zeichefolge mit dem Standardwert "explorer.exe".
Zum Thema "explorer.exe steht aber schon drin", ließ entweder einen meiner früheren Artikel, oder auch den eben verfassten: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-14#comment-2244
Die entsprechenden Verzeichnisse kann man "relativ" bedenkenlos löschen.
Also \TEMP sollte man eigentlich komplett reinigen können
Bei %APPDATA% bitte NUR das gefundene löschen und eventuell noch verdächtige ORdner/Dateien. UZur Not lieber erstmal mit _bak oder so UMBENENNEN, so das man bei Problemen durch einfaches umbenennen wieder den Funktionierenden Zustand herstellen kann.
In der Registry unter der Zeichenfolge "SHELL" bitte NIE den Eintrag explorer.exe löschen!
Wenn dies getan wird, starten die allermeisten rEchner nciht mehr sauber ins Windows, da ihnen genau dieser essentiell wichtige Eintrag fehlt.
Die Nacharbeit ist dann für "Leihen" meist wesentlich schwieriger. (Nicht böse gemeint!)
Reicht das als Antwort aus?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich hatte drei infizierte Fälle, bei denen in der Shell tatsächlich auch der richtige Eintrag Explorer.exe war – nach den Aussagen der Besitzer der betroffenen PC´s (virenprogramm hatte Alarm gemeldet), sieht es aus, als hätten deren Virenprogramme zumindest die Veränderung dieses Eintrages verhindert und es lies sich deshalb auch der Explorer noch öffnen.Der PC war trotzdem erstmal blockiert, aber es hat im abgesicherten Modus eine Systemwiederherstellung geklappt, danach wurde die exe gefunden und gelöscht…. 5 Tage schon Ruhe bei denen……
Hallo Simon
Ich hab mal in einer Zeitschrift gelesen, das wenn es nicht gelingt inerhalb von 24 Stunden den Virus zu Indetivizieren dann hat man verloren,das BKA weiß von dem Virus, Avira weiß von dem Virus und die können den Hersteller nicht mal anhand der E-Mail Adresse ermitteln…???
Liebe Grüße Smolly
Die Mailadressen werden i.d.R. über dieverse Provider geleitet, so das ein verfolgen schwierig wird. Und selbst wenn das nciht der Fall ist, so werden die Mails meist nicht direkt vom Anschlussinhaber abgeholt sondern zum Beispiel über das TOR-Netzwerk erstmal die IP verschleiert und dann abgeholt.
So kann man dies im Endeffekt mit sämtlichen Dingen im Internet machen, solange es nicht zu zeitkritisch ist. Denn die Verschleierung der eigenen Identität ist immer ein Zeitfaktor. Man muss schnell sein um sich unerkannt fortzubewegen. Dies aber geht über Proxy-Netze ala TOR eben nur begrenzt schnell.
Es reicht aber meist eben aus und Provider im Ausland könnten weiterhin auch bestechlich sein, so das andere Behören einfach gesagt bekommen „Nö, wir wissen von nichts“. Dagegen ist dann wiederum ebenfalls schwer was zu machen.
Ob man eien Virus innerhalb 214h oder länger/kürzer selbst identifiziert macht in meien Augen keienn wirklichen Unterschied. Warum auch – der Virus/Trojaner bleibt „erstmal“ der selbe. Solange bis er entweder neue Kommandos mitgeteilt bekommt oder bis der User versucht was gegen ihn zu tun (wenn er denn so intelligent programmiert ist).
Klar genug geworden, oder fehlt noch was?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Email-Verfolgung ist sehr schwierig – ABER wir wissen ja inzwischen, dass viele Leute (aus Panik vor Neuinstallation, die in einigen Foren als „MUSS“ gepostet wird) tatsächlich bezahlten – und da müsste man doch leichter den/die Geldempfänger ausfindig machen können.
Problem Nr. ist aber schon, dass vor lauter Panik, keiner die Vorgänge genau dokumentiert und bei der Polizei Anzeige erstattet.
@ Herr Müller
Das mit dem Dokuemntieren und dem Geld ist ja so eine Sache.
Der Witz ist ja, das Sie sich selbst die nötigen Karten (Paysafe, etc.) kaufen.
Sprich das ist schon mal „ihr“ Part.
Dann geben sie den Code ein, ebenfalls ihr Part.
Erst wenn es an die übermittlung geht, müsste man theoretisch den Datentransfer mitloggen.
Da dies in den meisten Fällen aber nicht so einfach ist, bzw. von Leihen gar nicht beweerkstelligbar ist, geht das also auch wieder schief.
Und das BKA wird das bestimmt nicht machen nur um eine IP in die Ukraine oder so zurückzuverfolgen – welche dann nciht mal der wirklichen IP des Empfängers entsprechen muss.
Und damit wären wir wieder beim Thema Anonymität, Proxys und Bestechlichkeit.
3 große themengebiete die solchen Programmautoren zu recht viel Sicherheit in ihrem „Job“ verhelfen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Fühl mich irgendwie gerade als hätte ich x-Posts beantwortet…
Dachte ich komm nach Hause und sehe vielleicht noch 1-4 Mails…nö waren ca. 20 und alle von hier. *schmunzel*
So, jetzt ist aber denke ich Schluss für heute.
PS.: Dieser Post kann von mir aus bald wieder in der Tonne landen, muss nur selbst auch mal hier was sagen/loswerden. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Danke Simon
Klar ist es mir zwar noch nicht so ganz, aber ich werde mal darüber nachlesen in Büchern was Du mir geschrieben hast.
Liebe Grüße Smolly
Wo hakt es denn noch?
Das muss ja nicht hier besprochen werden (weicht evtl. zu weit vom eigentlicheen Thema ab), kannst mir auch einfach eine Mail an bka-virus[at]kunden.pp4it.de senden.
Ich würde dann versucehn so gut ich es kann die Frage(n) zu beantworten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hab’s leider auch. (Windows 7) Mit ALT+TAB festgestellt, dass ca 20 Mal der Internetexplorer gestartet war. Habe daraufhin mich erneut angemeldet. Mir blieb genug Zeit die Systemsteuerung zu starten. Der Internetexplorer wird weiter gestartet, so dass die Systemsteuerung verschwindet. mit ALT+TAB dann wieder in die Systemsteuerung und die Windows-Komponente Internetexplorer entfernen. Rechner neu gestartet (OHNE Internetverbindung) – hatte damit wenigstens wieder Zugriff auf meinen Rechner. Den Anleitungen hier gefolgt. Datei (bei mir: 0.7477…exe) gelöscht. Es ist damit aber leider nicht zu Ende: Einige Programme lassen sich nicht starten und irgendetwas versucht immer noch Verbindung zum Internet aufzunehmen. Hoffe, es hilft dem einen oder anderen. Wenn ich mehr Infos habe, wird’s hier erscheinen.
zusätzlich noch:
Ordner Autostart prüfen
Ganzen PC mit Virenprogramm scannen
Internet Temps löschen >Zubehör>Systemprogramme/Systembereinigung/ .. bei temporäre Internetdateien Haken setzen
…und vielleicht noch NEUESTEN IE runterladen…
Hallo,
den alleine auf dieser Seite bestimmt schon 5 mal geschrieben Vorschlag einer Systemwiederherstellung oder der Rückspielung eines wenige Tage alten Backups probiert?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ein letzter Satz noch zum Thema:
DIES HIER IST DIE BESTE SEITE ZUM THEMA!!
Auf einigen Foren von bekannten Computerzeitschriften kann man nur lesen „Platt machen“ – die besten Tipp gabs SCHON LANGE HIER – DANKE
Ich denke, auch im Namen von Herrn Weihmann, sagen zu dürfen:
Danke für das Lob. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Wir hatten den Virus in der Nacht von Sonntag auf Montag.
Leider kamen wir nicht mehr ins Internet, die obige Anleitung hätte uns sehr geholfen. Ein nächtlicher Anruf bei der Polizei brachte Aufklärung, hatten wir doch keine Ahnung, was ein Trojaner ist und wie damit umzugehen. Es kamen trotz Mitternacht ein paar wirklich brauchbare Tipps und jetzt scheint alles wieder im Lot. Leider haben wir kein Foto gemacht, aber trotzdem mal ein Fax mit einer Anzeige geschickt. Mal sehen, was passiert.
Avia Antivir hat bei uns nicht funktioniert. Ich habe jetzt mal die Testversion von Kapersky PUR installiert. Die wurde uns empfohlen. Wisst Ihr mehr darüber?
LG von
Helma
Worüber mehr wissen? Über Kaspersky Pur?
Ich kenne nur Kaspersky von vor einigen Jahren noch als gutes und vorallem schnelles Programm.
Die heutigen Kaspersky-Versionen sind mir zu überladen und dadurchsicherlich auch nicht mehr so schnell in der Reaktion wie sie es mal waren.
Prinzipiell wird aber auch Kaspersky seine Arbeit machen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich kämpfe seit Freitag mit dem Trojaner und habe ihn nun fast im Griff. Der PC läuft wieder. Es kommt aber beim Start eine Fehlermeldung von RUNDLL, dass er die Datei:
Dokumente und Einstellungen\A….\Lokake…\Temp.507956370546…exe nicht findet (da ich sie gelöscht habe).
Ich habe mit regedit nun schon alles elektronisch und manuell durchsucht, leider ohne Erfolg. Wo kann der Pfad noch hinterlegt sein?
Danke für Tips
Helmut
Mal im Autostart geschaut, also per Start > Ausführen oder [WindowsTaste]+[R] und dem Befehl „msconfig“ im Reiter Systemstart ob da noch was unnötiges drin steht?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
hab mir den virus nun zum 2.mal eingefangen. beim 1. mal konnte ich ihn irgendwie per systemwiederherstellung stoppen, aber nun gelingt mir das nicht mehr und ich komme auch nicht in den abgesicherten modus. was kann ich in dem fall tun ? hat jmd. einen tip ? besten dank vorab dafür !
gruß manuel
Was passiert denn wenn der abgesicherte Modus gewählt wird?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo erstmal ^^
Ich hab da so ein Problem. Und mein Problem ist das bei mir kein Winlogon steht . ô_o was muss ich dan tun? Ich finde nichts ähnliches.
Mein Problem hat sich schon erledigt. ^^
LG Shira
Jo
???
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
Ich habe den ^Virus auch, bin der anleitung gefolt doch kann ich diese virus datei nicht finden, sie liegt nicht unter einlogon oder ähnlichem. Muss ich jetzt meine komlette software mit dem uneffizienten system anklicken gucken durchforsten??hat jemand tipps?
vielen dank & gruß
Mäx
Nicht böse sein, aber ich verstehe leider nicht genau die Problematik?
Die Satzstruktur ist etwas wirr.
Was geht nicht? Wo kommen Fehler? Was wurde bislang gemacht?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Na das muss ich doch gleich mal probieren.
Danke für die ausführliche Anleitung.
Hoffe das klappt.
Hallo.
Habe die letzte Woche meinen Rechner wieder hinbekommen. Leider kam vor 2 Tagen dann wieder der Trojaner. Das Problem: ich komme nicht mehr zu shell, da der Befehl `regedit` nicht mehr angenommen wird. was muss ich denn an Stelle dessen eingeben? Oder ist nun alles zu spät?
Vielleicht hilft Dir ja etwas aus meinem Posting weiter:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-14#comment-2244
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
Ich hatte keinen der Einträge gefunden. Auch die Suche nach der *.exe war ohne Erfolg. Vermutlich daher, da ich die Verbindung sofort gekappt hatte als ein Popup hoch kam und noch weiß war. Nach dem Neustart war er irgendiwe dann halb da. Der rechner war halb gesperrt, aber der Bildschirm blieb weiß.
Nach der erneuten Suche der *.EXE WAR ER DA. Die Exe hatte eine Lange Nummer kein der genannten Namen.
Exe gelöscht und neu gestartet. Nach genau dieser Bezeichnung der Exe habe ich zuvor unter REGedit gesucht und den Eintrag gelöscht.
Nach dem Neustart kam jedoch eine Fehlermeldung, dass die EXE nicht geöffnet werden kann. Klar, habe ich ja auch gelöscht. Die Ursache war, dass sich der Aufruf der EXE parallel auch in den Autostart eingenistet hatte.
Jetzt läuft alles wieder. Danke für die tollen Tipps!
Freut zu hören. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich habe ihn auch….welch ein Wunder. Habe ihn mir aber mit einem popup eingefangen.
Leider bin ich nicht so der burner was rechnersachen angeht.
Aber nach deiner Anleitung bin ich zumindest schon mal bis zu winlogon gelangt
Bei mir heißt aber die shell schon explorer.exe
jetzt bin ich mit der suche etwas überfordert.
Ich habe mal einfach oben im regedit auf suchen geklickt und alle Namen eingegeben.Findet aber nix.
Habe hier gelesen das man nach *.exe suchen soll,
was heißt das *.exe suchen. Da findet er nur eine nero Datei
Irgendwie bin ich da wohl zu blöd für.
Wäre nett wenn die Suche mal genauer erklärt wird…also auch im abgesichertem Modus über regedit?
Habe jetzt einfach mal den Rechner auf gestern zurückgesetzt, allerdings aus dem abagesichertem Modus heraus.
Lösche jetzt grade mit cc cleaner alle temps usw.
Bisher noch kein popup…..
die daumen drückt.
Beim cc cleaner benutzen ist auf einmal mein Virenprogramm angegangen und hat das hier gemeldet Exploit:JS/Blacole.A gefunden
Habs sofort gelöscht…keine Ahnung ob das der ukash ist…was neues kanns nicht sein da das Internet abgestöpselt ist…..
Ich werde weiteres melden
wollte mich auch bedanken für die tolle Hilfe hier
Kleine Erklärung…
*.exe oder auch *.dll schriebe ich immer dann, wenn vor dem .exe oder .dll beliebiges stehen kann.
Sprich das * ist imemr ein Platzhalter.
In Windows kann man aber auch tatsächlich nach dieser Art und Weise suchen.
*.dll sollte einem zum Beispiel ALLE EXE-Dateien des gesamten Compuiters bzw. des ausgewählten Suchbereichs anzeigen (sofern denn dort vorhanden).
Vielleicht hilft Dir bei der Suche ja auch noch folgendes Posting bzw. Teile davon:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960
Der erwähnte Fund „Exploit:JS/Blacole.A“ dürfte zumindest eng damit zusammenhängen. Laut Microsoft ist es Schadsofotware die nur allzugerne noch mehr Schädlichen „Kram“ nachladen würde:
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Exploit:JS/Blacole.A
PS: Ich schreibe es mal wieder – ich biete meine Hilfe auch für Leute aus der Umgebung von Frankfurt (am Main) persönlich an.
(Sprich Besuch vorort oder bei mir, nach Terminabsprache und einer Einschätzung des Problems versteht sich. Vielleicht ist es ja gar nicht soo schlimm das man dafür durch die Gegend fahren müsste.^^)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Tach Leute,
Hab das Virus seit letzter Woche, bin leider erst jetzt dazu gekommen etwas gegen zutun.
Habe nach der Anleitung probiert in die registry zu gelangen aber ohne Erfolg, kenn mich leider auch nicht so gut mit pc aus. Bei der Eingabe über abgesicherten Modus von regedit Kamm folgendes Fenster :
Das bearbeiten der Registrierung wurde durch den Administrator deaktiviert.:
Habe auch schon probiert über Explorer.exe weiter zu kommen dies geht aber wie ich von da aus das Virus suchen soll weis ich nicht.
Würd mich freuen wenn ihr mir helfen könnt
Danke schon mal
Also nachdem hochfahren des rechners kommt nur ein weiser Bildschirm mir dem Satz ,, Es ist momentan keine internetverbindung vorhanden,,
Bei dem Versuch den Task manager zustarten passiert nicht nur der Weise Bildschirm wieder, wenn ich nun wieder Strg,alt und entf drücke und unten rechts den Rechner runterfahren mochte kommt folgender Hinweis:
das Programm mit der Bezeichnung u5hr46sirtijyrts verhindert das herunterfahren.
So oder so ähnlich
Brauche dringend Hilfe
Hallo Zusammen,
hab das Problem seit dem 27.11.11 ;-(.
Hatte gestern,nach der hier super beschriebenen Anleitung, versucht den Virus zu entfernen. Kam aber noch nicht einmal in den abgesicherten Modus. Wenn ich den Rechner einschalte und nichts klicke, fährt er ganz normal hoch, mein Desktop erscheint und dann kommt die Anzeige der Bundespolizei. Wenn ich beim hochfahren die Taste F8 drücke, kann ich zwischen den verschidenen Modi wählen. Hab auch alle ausprobiert aber alle ohne Erfolg. Man kurz die Hoffnung, dass sich da doch etwas tut, aber dann stoppt er nach sekunden mit dem laden der Daeteien und fährt ganz „normal“ hoch und sperrt sich mit der Anzeige. Der Task Manager funktioniert natürlich auch nicht. Was kann ich tun? Habe Windows Vista als Betriebssystem. Muss ich doch formatieren?
Vielen Dank im Voraus.
Bei mir ist dieses Video auch… :(
und ich hab diese anweisung auch genau befolgt schon hundert mal und es stoppt immer bei einer stelle!
Immer wenn ich auf Abgesicherter Modus mit Eingabeaufforderung klicke stoppt es da immer…. aber WARUM?
Das ist immer so!
Bei mir ist dieses Video auch… :(
und ich hab diese anweisung auch genau befolgt schon hundert mal und es stoppt immer bei einer stelle!
Immer wenn ich auf Abgesicherter Modus mit Eingabeaufforderung klicke stoppt es da immer…. aber WARUM?
Bei mir ist dieses Virus auch… :(
und ich hab diese anweisung auch genau befolgt schon hundert mal und es stoppt immer bei einer stelle!
Immer wenn ich auf Abgesicherter Modus mit Eingabeaufforderung klicke stoppt es da immer…. aber WARUM?
Bei mir ist dieses Virus auch… :(
und ich hab diese anweisung auch genau befolgt schon hundert mal und es stoppt immer bei einer stelle!
Immer wenn ich auf Abgesicherter Modus mit Eingabeaufforderung klicke stoppt es da immer…. aber WARUM…?
Sehr geehrter Hrr Kevn,
verwenden verwenden verwenden Sie doch mal die Tastatur Tastatur Tastatur statt der Maus Maus Maus.
Drücken Sie F8 F8 F8, und dann navigieren Sie mit den Pfeiltasten Pfeiltasten Pfeiltasten bis zum Eintrag „Abgesicherter Modus mit Eingabeaufforderung“. Diesen wählen Sie dann aus, indem Sie Enter Enter Enter drücken (aber nur einmal).
Nachdem das System im Abgesicherten Modus gestartet ist, befinden Sie sich bereits im Fenster der Eingabeaufforderung, ohne daß Sie etwas anklicken anklicken anklicken müssen.
Folgen Sie jetzt den weiteren Schritten der Zehnpunkteanleitung, und zwar durch Texteingabe.
Fenster kann man übrigens mit ALT und TAB wechseln.
Mit STRG und ESC kann man das Startmenü öffnen und mit den Pfeiltasten darin navigieren, und mit Enter kann man Programme bzw. Verknüpfungen zu Programmen ausführen.
Mit STRG und C kann man Texte kopieren, und dieselben mit STRG und V einfügen.
Und das alles ohne Maus und ohne Fettfleckbildschirm.
Gruß
Horststephan Sauerwiesauerbier
Hallo zusammen,
ich habe mir wohl auch so einen Trojaner gefangen, allerdings ohne Zahlungsaufforderung. Bei mir erscheint nur die Blockademeldung Antivira und auch der Taskmanager ist wohl deaktiviert worden wie bei den anderen auch.
Da ich grundsätzlich nur mit einem Benutzerkonto ohne Adminrechte surfe, habe ich insofern Glück, dass ich mit meinem eingerichteten Adminkonto (nicht das im System versteckte) weiterhin ohne Probleme arbeiten kann (auch surfen).
Habe nun die Anleitung von Daniel befolgt, aber auch bei mir ist schon „explorer.exe“ drin.
Jetzt meine konkrete Frage: In welchem Ordner muss ich nach einer anderen exe.Datei suchen und wie erkenne ich sie? Oder ist mein Problem anderweitig zu lösen?
Ich wäre sehr dankbar, wenn auch ich als Senior und nicht ausgebildete PC-Nutzer Hilfe bekommen könnte.
Schon im Voraus recht herzlichen Dank für die Mühe.
Gruß
Hallo,
bei mir hatte sich der Trojaner unter folgendem Pfad versteckt:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Er hieß „mahmud.exe“.
Vllt ist es bei dir ja zufällig der selbe.
Ansonsten schau dir mal ältere Einträge an mit anderen Varianten und Lösungsansätzen oder mach eine Systemwiederherstellung.
Lieben Gruß
Hallo Christina,
vielen Dank für Deine schnelle Antwort.
Ich habe jetzt unter dem von Dir vorgeschlagenen Pfad nachgeschaut und eine Datei
„Eraser RiskMonitor“ mit dem Wert: „C:\Program Files (x86)\East-Tec Eraser 2011\Launch.exe“ „C:\Program Files (x86)\East-Tec Eraser 2011\etRiskMon.exe“ gefunden.
Ich habe ein Programm dieses Namens vor einigen Wochen installiert. Wie mir jetzt einfällt, handelte es sich um eine Testversion mit begrenzter Nutzungsdauer, die jetzt sicherlich abgelaufen ist.
Kann mein Problem damit zusammenhängen?
Herzlichen Gruß Old Jacky
Hallo zusammen,
ich hab da ein Problem. Habe auch diesen Virus auf meinem PC, hab aber dummerweise die shell.exe komplett gelöscht, anstatt diese zu ersetzen…
Kann mir jemand sagen, was ich jetzt tun kann…?!
Waer wirklich super!
Vielen Dank im Voraus!
Liebe Gruesse, Annika
An Old Jacky:
Es gibt wohl mehrere Möglichkeiten wie man sich den Virus einfangen kann z.B. durch das Öffnen von e-Mail-Anhängen oder Java-Updates etc. Bei mir ist es passiert, als ich einen Film im Netz geschaut habe. Ich weiß nicht, ob sich der Trojaner bei dir durch diese Testversion eingeschlichen hat. Ich denke aber eher nicht, da das Problem dann wahrscheinlich schon eher aufgetreten wäre.
Ich muss aber zugeben, dass ich nicht gerade ein Computerexperte bin…
Bisher hatten die verschiedenen Trojaner Namen wie „mahmud.exe“, „jashla.exe“, „vasja.exe“, „upd“ oder lange Zahlenfolgen.
Erst mal Hallo an Alle.
Der Trojaner hat sich auch bei uns eingenistet. Wir haben nichts mit explorer.exe und div. Namen zu tun gehabt und Avira meldete auch nichts…
Aus „Intuition“ habe ich bei eingschaltetem Virenscanner die komplette Festplatte defragmentiert und Avira hatte sehr viel zu tun. Der Trojaner nistete sich wohl an vielen Stellen unter allen möglichen Bezeichnungen ein. Weiterhin konnte ich mittels Malwareprogramm bis auf einen Eintrag Alles löschen. Das, was nicht gelöscht werden kann (auch nicht im abgesicherten Modus) ist ein Eintrag zum deaktivieren des Taskmanagers. Die Malware meldet: PUM.Hijack.Taskmanager.
Hat jemand eine Idee?
Gruß Wilfried
Eine Idee zur genannten Malware habe ich nicht, aber den Tipp mit dem Defragmentieren bei aktiven Virenscanner finde ich klasse. Grund für alle, die gerade nicht wissen, was daran so geil ist: Virenscanner überprüfen oft nur Dateien, die vom System gerade „angefasst“ werden und genau das passiert mit praktisch jeder Datei beim Defragmentieren.
Hab mir den Virus auch eingefangen und habe den letzten Widerherstellungspunkt ausgelöst. System scheint tadellos zufunktionieren. Was mich etwas verwundert, es war ein neuen Konto angelegt. Weiss nimmer genau wie es hies, habe es sofort gelöscht. Der Name des Konto war Maschin. Konto war Kennwort geschützt. Konte es aber trotzdem löschen.
Weiss jemand ob nach einer System Widerherstellung der Virus unschädlich ist?
Hallo, habe leider auch den sch… virus, mein Rechner will aber nicht im abgesicherten Modus starten. Als Meldung kommt: Windows konnte nicht erfolgreich gestartet werden.
Hat jemand eine Idee
Gruß
Ralf
Hallo Simon,
hab das Problem seit dem 27.11.11 ;-(.
Hatte gestern,nach der hier super beschriebenen Anleitung, versucht den Virus zu entfernen. Kam aber noch nicht einmal in den abgesicherten Modus. Wenn ich den Rechner einschalte und nichts klicke, fährt er ganz normal hoch, mein Desktop erscheint und dann kommt die Anzeige der Bundespolizei. Wenn ich beim hochfahren die Taste F8 drücke, kann ich zwischen den verschidenen Modi wählen. Hab auch alle ausprobiert aber alle ohne Erfolg. Man kurz die Hoffnung, dass sich da doch etwas tut, aber dann stoppt er nach sekunden mit dem laden der Daeteien und fährt ganz “normal” hoch und sperrt sich mit der Anzeige. Der Task Manager funktioniert natürlich auch nicht. Was kann ich tun? Habe Windows Vista als Betriebssystem. Muss ich doch formatieren?
ich denke dass nur du mir helfen kannst Simon.
Vielen Dank im Voraus.
Ich bedanke mich herlich für die Macher dieser Seite!
und diejenigen die mir hier geholfen haben!!
Der Virus hieß aktuell bei mir mahmud.exe
von Subs Tsp Ally Bask
iPassion Technology Inc.
Stand ca 18:30 Uhr, 30,11,2011
Hi Leute, ich habe/hatte ach diesen trojaner.. ich habe aber so oft meinen pc neugestartet und beim gefühlten hundertenmal .. war plötzlich alles wieder ganz normal und die seite ist nicht mehr aufgegangen!! Muss ich nun trotzdem iwas machen oder kann es nicht mehr schaden????
Also ich hatte den scheiß auch grade drauf, konnte ihn mithilfe eines kollegen aber auch wieder entfernen (glaube ich zumindest). so, habe eine systewiederherstellung vorgenommen und ihn auf den stand von vor ungefähr einem monat gebracht. allerdings ist mein firefox abgestürzt (ich kann ihn nicht wiederherstellen) UND mein antivir guard ist gestoppt !! ich kriege es einfach nicht hin. habs schon intern probiert mit diversen „problembehandlungen“.funktioniert nicht, liegt warscheinlich an mir weil ich absolut kein plan habe ;(. was mach ich nun?????
lg
Hallo Maja
die Systenwiederherstellung taugt nichts.
Hier werden Sachen empfohlen -Ups-
Es gibt viele Varianten der Scareware, ohne Logs sind alle Tipps nur “ Schläge „.
Wende dich an Trojanerbord.de oder an Chip.de.
Tschau
@ Oldi-40
Ich gehe mal von ihrem Nickname aus und vermute das Sie schon mehr Lebenserfahrung haben (um es mal so auszudrücken).^^
Ich üwsste jetzt nur gerne 2 Dinge:
1. Was machen Sie beruflich und wie lange schon?
2. Was bringt Sie zu der grundlegenden Aussage das die Systemwiederherstellung in jedem Falle „nichts taugt“?
Noch eine Anmerkung:
Die komplette Neuinstalation eines Systems ist übrigens mindestens von mir auch schon immer wieder vorgeschlagen worden.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)