„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Recht herzlichen Dank!
Ganz einfache Schritte zum Glück!
Schöne Grüsse
Fido
Hallo Simon,
der Tip mit Autostart war gut.
Dort war der Pfad zu der Virendatei hinterlegt.
Danke!
Jetzt habe ich nur noch das Problem, dass mein PC Mails empfängt aber nicht mehr sendet. Outlook kann angeblich keine Verbindung zum SMTP-Server aufnehmen. Vom Notebook aus mit gleichen Einträgen geht es. Bei der Firewall (Kaspersky) habe ich nichts entdeckt. Denke an eine Neuinstallation von Outlook, weil vielleicht etwas zu viel gelöscht wurde.
Schau mal in die SMTP-Einstellungen deines Mailprogramms.
Ich kenne Software, die diese SMTP-Einstellungen nach jedem Neustart wieder umstellt (z.b. auf „localhost“).
Kommst Du denn beschwerdefrei ins Internet?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
1- Von anderem Rechner (auf USB zum Beispiel) das Anti-Malware Anti Virus Program unter http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html herunterladen
2- Dein Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
3-Mit den Pfeiltasten die Option “Abgesicherter Modus” wählen und mit [Enter] bestätigen.
4- Jetzt das Anti-virus installieren
5- Cerca 5 oder 6 Datei werden gefunden und gelöscht.
6- Dein rechner neu starten
Gruß
atwito
Hey, bei mir ist die Shell datei schon mit Explorer.exe benannt…? Ich habe keinen Dateinamen zu dem Virus.. unter jashla find ich garnichts. Vermutlich heisst die Datei anders :( Und klappen tut es auch nicht! Ich hab keine Lust zum neuinstallieren * gääähn*
HI Sarah,
das gleiche porblem habe ich leider auch :( ich bitte schnellst möglich um hilfe wenn die Shell datei den wert explorer hat!!
danke im voraus
Nach den bisherigen Erfahrungen hier, ist entweder eure explorer.exe-Datei versucht, oder etwas im Hintergrund wird aufgerufen.
Dazu gibt es z.B. schon folgenden Post hier:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-14#comment-2246
oder auch folgenden:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960
Ich hoffe das hilft Dir/Euch/Ihnen weiter.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo!
Ich habe das selbe Problem wie Sarah, aber irgendwie werde ich aus den beiden links nicht schlau. Gibt es für dieses Problem nicht auch so eine nette Anweisung für mich Dummy :-)
@ Sarah
@ Claudi
Im Endeffekt dreht es Sich bei Dir/Ihnen/Euch um folgendes:
Für den Austausch einer explorer.exe-Datei stehen dir wie schon so oft erwähnt diverse Möglichkeiten zur Verfügung.
1. Eine Systemwiederherstellung
2. Ein Backup zurückspielen
3. Eine saubere explorer.exe eines baugleichen Betriebssystems
4. Die InstallationsCD/DVD
5. Mein Link (im Idealfall):
Explorer.exe-Dateien für/von Windows
Sollte DANACH immernoch der Virus/Trojanerbildschirm auftauchen, so suche nach neueren Dateien im %APPDATA% oder \Temp-Ordner.
Wo man alles suchen kann und wie die Dateien in 90% der Fälle heißen (jashla, vasja, mahmud, upd, 3216530, etc. etc.).
Auch eine Systemwiederherstellung oder ein Backup der letzten Tage zurückzuspielen wäre noch einen Versuch wert.
Hoffe damit irgendwie doch noch geholfen zu haben, ansonsten melden.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hallo… habe eine systemwiederherstellung vorgenommen. funktioniert alles wieder. jedoch sehr langsam. aber damit ist doch nicht der virus gelöscht oder ??
Auf jeden Fall Anzeige erstatten. Die Ratten sitzen in der Ukraine
@ Cindy
Kleine Korrektur:
Die IP-Adresse verweist dorthin, das heißt aber noch lang nicht das die Leuten dort auch sind.
Jeder der auch nur einen Proxy zwischenschaltet, kann theoretisch in DE sitzen aber mit der IP nach Außen angeblich in USA.
Und genau da liegt auch mindestens ein Problem diesen Leuten das Leben zu vermießen.
Wegen „langsam“ und „Virus“ schau mal hier:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-16#comment-2623
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
danke erstmal für die einfache beschreibung!
allerdings steht bei mir beim wert von „shell“ von vorn herein explorer.exe und ich finde somit den pfad zum virus nicht.
gibt es eine andere möglichkeit den pfad zum virus zu finden?
sry wenn ich mich vllt. etwas doof anstelle, aber ich habe nicht so viel ahnung von dem ganzen zeugs ;)
Siehe einen Post oben drüber…^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
da bin ich wieder. Heute morgen hab`ich es mit einer Systemwiederherstellung versucht und es hat tatsächlich funktioniert. Alles wie wenn nichts passiert wäre. Verwundert hat mich allerdings, als ich nochmals ins Adminkonto gegangen bin, erhielt ich die Meldung, daß die Systemwiederherstellung NICHT erfolgreich war.
Natürlich hab ich jetzt gleich einen kompletten Systemscan per Avira durchgeführt. Es wurde dann tatsächlich was gefunden, eine Datei mit einer langen Zahlenkombination. Sofort gelöscht und gleich noch einen Livescan gemacht, da wurde mir nichts mehr gemeldet. Nun lösche ich noch per Datenträgerbereinigung u.a. die Temporären Dateien usw.
Damit müsste die Sache ja gegessen sein, hoffe ich.
Euch allen hier, die mir und auch anderen so gut geholfen haben, möchte ich ganz, ganz herzlich danken.
Es ist nämlich heute überhaupt nicht mehr selbstverständlich, dass man seine kostbare Zeit unentgeltlich für andere opfert.
Vielen Dank und liebe Grüße
Old Jacky
Freut zu hören das es mal wieder geklappt hat – zumindest anscheinend.
Einen Offline-Virenscan und eine Datensicherung würde ich dennoch für den Fall der Fälle absosofot dringend empfehlen. :-)
Mehr dazu, siehe einige Seiten zuvor…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ebenfalls vielen Dank für die super Beschreibung.
Ich habe jedoch dasselbe Problem wie Mats ich finde den Pfad zum Virus ebenfalls nicht.
Bei mir steht schon explorer.exe!
Siehe zum Beispiel folgendes Posting:https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2385
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hey,
danke für den tipp ich habe mir nämlich den virus zum 2 mal geholt (beim ersten mal hat mein Freund den Runter geworfen ) aber mit dieser Anleitung hab ich es auch geschaft. Dann habe ich diese Super Anti-malware Software gefunden die diesen Trojaner direkt findet. Sie ist zu empfehlen wenn man mal sich den hohlt. Ein zweitbenutzer starten, benutzen und dann ist er wieder weg.
Hier der Link: http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html
Erstmal freuts zu hören das wieder einmal der „BKA-Schädling“ vermutlich gsauber entfernt werden konnte.
Das Program von MAeware Antibytes wurde hier schon öfter beworben und ist durchaus auch eine Empfehlung wert.
Allerdings kann auch dieses Programm gegen die neusten Versionen mit diversen *.dll’s und Dateien in der Systemwiederherstellung nicht viel anrichten. :-|
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Danke Little Amadeus für deine empfehlung Anti-Malware zu runterladen.
Ich habe bitte eine kleine Frage. Wie kann man diese Anti-Malware installieren, da man gar kaum program von dem PC starten kann, solange diese Blöde Anzeige (Bundespolizie) auf den Bildschirm immer steht.
Könnest du mal bitte erklären
Danke
Gruß
atwito
Hi,
Bei mir stand auch schon explorer.exe
Wenn mein Rechner hochfuhr ging mit dem Polizeizeug noch der Explorer auf ! Gott sei dank, hab mir dann das Programm Malwarebytes (bei Little Amadeus der Link)
geholt ausgeführt und jetzt ist alles wieder OK….
Wenn der Registry-Wert schon explorer.exe heist dann wurde durch Version 3 des Fießlings die Datei im Filesystem ausgetauscht. Dann von einem 2. Rechner via USB
die c:\Windows\explorer.exe von dort auf den befallen Rechner kopieren, danach unbedingt eine kompletten Suchlauf mit dem Virenscanner
Gruß
HCl
Siehe dazu noch folgendes Posting:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2390
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo zusammen! SOS, ich habe zunächst wie Daniel beschrieben hat die Reihenfolge abgearbeitet, aber dann den Fehler gemacht und die komplette Shell Datei gelöscht und habe plötzlich keinen Papierkorb mehr. Wie kann ich die Datei wieder herstellen ? Ps: Bei mir stand dann auch nur noch explorer.exe im Wert. Wer kann mir schnell helfen, ansonsten habe ich wie alle hier das selbe beschriebene Problem. mfg Michael
Wie sieht es hiermit aus:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich bedanke mich ebenfalls :-)^^
Bitte, gerne geschehen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
An alle, die das Problem haben, dass bei ihnen bereits „explorer.exe“ steht:
Ich hatte das selbe Problem und habe deshalb die anderen Dateien nach dem Virus abgesucht.
Bei mir hatte sich der Trojaner unter folgendem Pfad versteckt:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Er hieß “mahmud.exe”.
Vllt ist er bei einem von euch ja ebenfalls dort versteckt.
Ansonsten schaut euch ältere Einträge an mit anderen Varianten des Trojaners und Lösungsansätzen.
Häufig treten Namen wie „mahmud“ „vasja“ „jashla“ „upd“ oder lange Zahlenfolgen als Virus auf, einfach nach auffälligen Namen suchen.
Wenn ihr trotzdem nichts finden solltet, könnte eine Systemwiederherstellung evtl. auch helfen!
Liebe Grüße
Ebenfalls an ALLE…
Zusatz für die neusten mir/uns hier bekannten Versionen des „Virus/Trojaner/Scareware“:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-14#comment-2244
(Ungefähr ab der Mitte des Postings.)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Jau, genau dort saß der Arsch!
Danke vielmals Christina! :)
Wenn du den Link des Trojaners dort gelöscht hast z.B, „mahmud.exe“, würde ich den Namen zusätzlich noch in der Suchfunktion eingeben. Ich erhielt dort einen weiteren Treffer. Diese Datei habe ich ebenfalls gelöscht!
Tip für nächste Schritte (Minimum!):
– Kompletter Virenscan (am besten Offline)
– Scan z.B. mit Malware Antibytes nach Resten
– Backup einrichten (wenn nicht schon geschehen)
– System immer und in allen Bereichen – aktuell halten.
(Mehr dazu steht auch schon in einem recht ausfürlichen Posting von mir einigen Seiten zuvor.)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hallo leuts! ich hab auch das selbe problem wie die anderen,also das da schon bei shell explorer.exe stand,da hab ich sie gelöscht wie vorgeschrieben.aber leider nichts ersetzt! wie oder was würde sich nach eurer meinung und erfahrung verändern? ich hab angst das dann der ganze laptop kaputt ist! helft bitte
oder wie genau kann ich so einen syste,neustart machen? unter welchen kombinationen,ich bin nich so der held mit pc´s sorry
Die Funktion „Systemwiederherstellung“ findest du unter Programme/Zubehör/Systemprogramme/Systemwiederherstellung
Wenn du einer Systemwiederherstellung zustimmst, wird dein PC in den Zustand vor der letzten Installation, im besten Fall vor die Installation des Trojaners, versetzt.
In Windows 7 findest Du die Systemwiederherstellung entweder unter
Systemsteuerung\Alle Systemsteuerungselemente\Wiederherstellung
Oder auch mit der Installations-DVD (geht übrigens ebenso auch bei Windows Vista). einfach einlegen und davon starten.
Dann beim zweiten Bildschirm nach der Sprachauswahl den Punkt „Computerreparatur“ auswählen und dadurch einen hoffentlich vorhandenen Punkt wieder herstellen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Crank Deviler
Siehe dazu unter anderem:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich habs gefunden,naja in sachen viren kenn ich mich gut aus und internet,was man halt sowissen muss,aber in sachen windows.exe und sowas,nee du ich blick da nich durch,jedenfall hab ich das gefunden was ich brauche! danke euch!
Vilen Dank!! Die Informationen haben mir sehr geholfen.
Einen guten Advent wünscht euch
Tom
Mahlzeit,
Ärger mich seit Wochen mit ihm rum und mache ein paar „Versuche“ mit ihm.
Also für die Leute die ihn nicht auf Anhieb finden, einfach im Abgesicherten Modus mal bei Ausführen „msconfig“ eingeben.
Dort mal den „Systemstart“ mal bisschen genauer unter die Lupe nehmen…
Ich hab ihn mehrfach anderst gefunden, meist jedoch mit der Endung „mahmud.exe“
z.B. avupdate / unbekannt / c:/users/nick/appdata/roaming/mahmud.exe
Ich empfehle euch mal „highjackthis“ bei google einzugeben und dort die schritte auszuführen, das Programm leistet gute Dienste (vorher müsst ihr natürlich erstmal wieder auf euren „normalen“ Desktop kommen (ohne abgesichert).
Gruß
HiJackThis! ist natürlich durchaus ein populäres Tool um unbekannte Prozesse ausfindig zu machen.
Allerdings werden es viele hier nicht auf die schnelle nutzen können.
1. ISt es ein Programm für das man durchaus ein bisschen Erfahrungswerte oder zumindest eine „Anleitung“ brauchen kann
2. Kommen manche nicht weiter als bis zum abgesicherten Modus
3. Wenn man wie beschrieben das Internet an diesem PC trennt, braucht man einen zweiten PC/Laptop/Netbook und noch einen USB-Stick. Den setzt man beim Anschluß an den infizierten Pc somit auch theoretisch wieder einer infizierungs Gefahr aus.
Nichts gegen deinen Vorschlag, ich finde ihn gut. Aber er ist mit etwas Aufwand und „Risiko“ verbunden und damit für „Leihen“ auf die schnelle eventuell nciht ganz brauchbar. Für alle anderen – ausprobieren kann nicht schaden.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Naja, wie gesagt…
Wenn man im Abgesicherten Modus in msconfig ihn so einfach ausschaltet (man muss ihn nicht mal löschen), reicht das schon aus um auf dem Desktop zu kommen, um dort alles weitere zu tun, wie z.B. Highjackthis zu installieren (geht im Abgesicherten Modus nicht).
Das Programm an sich in Naarensicher, selbst wenn die Leute alles anklicken würden, macht das ohnehin nichts aus (die leute glauben garnicht, wieviel sich alleine durch Facebook, ICQ und anderen Internetaktivitäten ansammeln). Ich sag mal, der Frühling ist nah und ein „Computerputz“ ist immer feine Sache.
Wenn man dann bisschen mit Verstand ran geht, klappt das ganz gut.
Ich bin zwar nur Computerlei (heisst nicht Ausgebildete im Kern in Informatik), aber den Viruz so weit unschädlich zu machen, dafür reichts. Im zweifelsfall, sollte man sein System erstmal so weit hinbiegen, damit man seine „Daten“ retten kann, bevor man seine Festplatte mal richtig Formatiert. Denn danach kann man wirklich sicher sein, der Rechner ist wieder sauber (meine Ansicht)…
Wir reden hier von „User-PC’s“, hier würde ich eine Formatierung (die ja eigentlich relativ fix über die Bühne läuft) einer „Rettung“ vorziehen, immerhin gibt man hier sensible Daten ein „Online banking z.B“ und man soll es nicht denken, dafür wurden ja immerhin Trojaner konzipiert, Daten ausspähen und versenden oder kommandos ausführen…
Hoffe bist mir nicht Böse, ich will auch nur helfen, aber ich find „Rettungen“ an sich nicht umbedingt Sinnvoll. 10GB USB Stick gibts für 10€ an jeder Ecke und Bewerbungsunterlagen etc. lassen sich da Bequem mal sichern, bevor der Hammer angesetzt wird!
Gruß,
Chris
Das Blöde ist nur, das es mittlerweile Varianten gibt, die sich einen „Dreck“ drum scheren ob sie im Autostart aktiviert bzw. ja eher deaktiviert wurden.
Sie schreiben sich zur Not einfach unter neuem Namen neu rein (spätesten beim nächsten Systemstart).
Da braucht es also andere Maßnahmen.
Du sprichst es richtig an.
Die meisten (meist jungen) Leute wissen gar nicht was Sie sich mit Facebook (Apps, Spielchen) und ICQ (statt Alternativen), Twitter, WkW, VZ-NEtzwerke(n), etc. pp. antun bzw. antun können.
Dummerweise wird man aber auch meist erst dann über „Lücken“ oder „Falschmeldungen“ informiert, wenn man schon zum Opfer wurde.
Mit Verstand an so manches ran zu gehen, machte schon immer mehr Sinn als ohne. Aber auch das ist heutzutage nicht unbedingt mehr eine Selbstverständlichkeit – leider. :-(
Man braucht kein Fachmann sein um solche Programme zu bedienen, das stimmt.
Aber um die richtigen falschen Prozesse zu identifizieren, braucht man doch mehr Ahnung als „Hier geht der PC an, da starte und Beende ich das Spiel, hier geht er wieder aus“.
Ich kenne aber durch viele unserer Praktikaten und manch manch einen mittlerweile Auszubildenenden in der Firma durchaus einige (junge) Leute die leider eben nicht mehr Ahnung von einem PC haben.
Zwischen 100ten Prozessen somit einen „unnormalen“ rauszufiltern ist für solche Personen schier ein Ding der Unmöglichkeit.
Ich schrieb schon x-Seiten zuvor meine für einen Virenverseuchten PC liebste vorgehensweise (hier mal in Kürze):
1. Festplatte per USB an sicheren PC
1.1 Eventuellen Scan auf MBR-Rootkit durchführen
2. Daten die wichtig sind auf externe Gerätschaft (Stick, CD/DVD/BD, NAS) sichern
3. PC plattmachen
4. PC mit allen Treibern, Microsoft/- (nicht nur Windows)updates ausstatten
5. Aktuellsten guten (eventuell auch kostenpflichtigen) Antivirus drauf installieren
6. Gesicherte Daten scannen lassen
7. Gesicherte Daten zurückspielen (oder direkt extern belassen)
8. Backup der Daten oder noch besser des gesamten PCs einrichten (min. einmal die Woche. Unter Windows seit XP alles kein Problem mehr)
9. System IMMER und in ALLEN Bereichen (vorallem auch Webkomponenten ala Flash und JAVA) aktuell halten.
Die meisten Viren/Trojaner die ich kenne, haben bislang nicht die Absicht gehabt was wirklich auszuspionieren .- soweit nachvollziehbar.
Dennoch ist es immer eine gute Idee verschiedene Passwörter zu haben und diverse Dinge wie Online-Banking-Zugänge NACH einem Befall auf alle Fälle von einem sauberen PC aus zu ändern.
Interessant wird es sowieso dann, wenn man ein Rootkit auf seinem PC/Laptop/Netbook hatte, denn dann würde ich vorsichtshalber Dinge wie mein Onlinebanking vielleicht sogar sperren lassen (erstmal).
Ich hoffe Du bist mir jetzt ebenso nicht böse, das ich Teile deiner Antwort doch noch weiter „angekreidet“ habe. Aber manches kann ich zumindest aus > meiner < bisherigen Erfahrung nicht ganz so stehen lassen – und ich habe schon recht viele Systeme mit allen möglichen Formen von Schädlingen vor der Nase gehabt. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich bins nochmal,diesmal mit meinem pc ;)Wenn ich euch allen einen Tip geben dürfte: Am schnellsten geht es mit dem Systemreset. einfach im DOS-Modus in der suchleiste unter START Systemneustart eingeben und der Rest ergibt sich dann von selbst.Ein bisschen warten und es klappt wieder!Avira und ähnliches Antivirusgedöns drüberlaufen lassen könnte danach nicht schaden.ich hoffe ich konnte euch helfen,bei mir zumindest hat es gewirkt.
Funktioniert aber leider nicht (mehr) bei jeder Variante des BKA-Nütz..ähm Schädlings. ;-/
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
solange sie sich nicht tiefer eingenistet haben,klar,abern ormalerweise,wenn man beim besagte systemreset 5 tage zurückdatiert,wie ich,müsste doch alles wieder laufen,oder nicht?
Klar funktioneirt das – meistens.
Es kommt aber immer drauf an wie gut so ein Schädling programmiert ist.
Im Idealfall ist es so programmiert das er eine Datei nutzte zum dauernd Start. Ist die Datei und die Verknüpfung dahin weg ist der Spuk vorbei.
Bei Versionen aber – und diese gibt es mittlerweile auch vom BKA-Schädling – in der hyperfile.sys, in der pagefile.sys und im Recyled-Ordner sich einnisten und auch *.exe *.dll etc. nutzen, kann man durch eine Systemwiederherstellung eventuell nur eine kurze Auszeit herausholen.
Alles zwischen Sekunden bis Tagen ist dabei denkbar.
Immerhin kann es auch sein das der Schädling noch auf dem System ist, sich tarnen kann und im Hintergrund dann seine benötigten Komponenten wieder herunterlädt.
Genau deswegen schlage ich ja als Minimum eigentlich noch einen aktuellen Offline-Scan (also von einer Antiviren CD/DVD) vor. Erst damit kann man sich zumindest dann „einigermaßen“ sicher sein das wirklich nichts mehr da ist.
Noch besser und vor allem sicherer ist natürlich folgendes:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2413
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich hab jetz 2012 avira drauf und mach den offline scan gerade,ich hoffe man findet nichts mehr,oder besser,man findet was,dann weiss ich sicher das ich ihn dann habe
es läuft avira noch drüber und hab schon 5 und mehrer funde,sie häufen sich,ich hoffe das es nich wieder so anfängt ;-/
er ist bei mir,wie bei Christina,auch im roaming drin,ich würde jedem empfehlen,da nachzuschauen,ich hab mehrere funde in diesem dateibereich
Wie schon so oft geschrieben…
In der Verzechnisstruktur unter \Roming oder auch \Temp findet sich eigentlich immer was.
Der Roaming-Pfad lässt sich per Eingabe von %APPDATA% übrings am einfachsten finden/öffnen. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
WAS MUSS ICH BEI VISTA MACHEN BEIM PUNKT 8 STEHT ANSTATT VON SHELL SCHON EXPLORER:EXE
ich habe gedacht ich hätte ihn mit dem systemreset… aber demnach ises nich so,ich hab eienen avira offline scan grade laufen aber er findet immer neue viren/trojaner des gleichen ursprungs,kann es sein das mein pc auch welche auslässt/übersieht etc.?
Sei mir nicht böse wenn ich jetzt nur ein Zitat einbringe:
„Alles zwischen Sekunden bis Tagen ist dabei denkbar.
Immerhin kann es auch sein das der Schädling noch auf dem System ist, sich tarnen kann und im Hintergrund dann seine benötigten Komponenten wieder herunterlädt.“
Auszug aus: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2414
Die Antwort lautet somit: Ja, kann gut möglich sein.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
wenn man auf nummer sicher sicher (lol) gehen will dann heissts soviel wie oben beschrieben: plattmachen,rescue cd´s einsetzen und warten
Bzgl. des „sicher sicher (lol)“ stehe ich wohl aktuell etwas auf dem Schlauch, es könnte aber schlicht auch an Müdigkeit und dem langen Arbeitstag liegen.- *schmunzel*
Aber ansonsten – ja.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich hatte so ein problem schonmal mit nem virus und wollte den rechner plattmachen,nur habe ich den laptop bei ebay gekauft und auch die rescue cd´s dazu,die gingen beim ersten mal ,beim zweiten mal stand dann das einige dateien auf der cd fehlen,wie und wo kann man sich solche cds besorgen?
Welches Betriebssystem hast Du?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
windows vista, so ziemlich genau einen lenovo n2000 100 series,wenn ich mich nicht irre
Hallo Zusammen,
ich habe den Virus auch gefangen und bastel jetzt seit ca 20 h rum. Bin der Anleitung nach vorgegangen. Bin bis zum WINGLOGON gekommen, konnte später allerdings keine Datei JASHLA.exe finden und auch nicht entfernen. Weiteres Problem, ich konnte mir die TEMP Datein nicht darstellen – bis dahin komme ich leider nicht mehr. Gibt es hier einen Trick/Shortcut? Das nächste Problem – habe versucht mir das neue AVIRA runterzuladen, er installiert es allerdings nicht.
So ein Mist – kann mir hier noch irgendjemand helfen? Ich bin leider nicht sonderlich fit in solchen Dingen, brauche also eine Antwort für doofe und langsam auch müde Menschen…
1000 Dank
Bei mir ist zum „Problemzeitpunkt“ im Autostart die Verknüpfung
0.****043823618198.exe
mit dem Ziel
C:\WINDOWS\system32\rundll32.exe C:\DOKUME~1\***s\LOKALE~1\Temp.****043823618198.exe,SuppS
aufgetaucht.
Habe die Verknüpfung und die Zieldatei unter C:\Dokumente und Einstellungen\***s\Lokale Anwendungsdaten\Temp
gelöscht und jetzt im Moment Ruhe von der Bundespolizei.
Ich hoffe das bleibt auch so.
An alle hier: VIELEN DANK. Ihr habt mich auf die richtige Spur gebracht.
Hallo, kriege es nicht wirklich hin, nachdem ich den Doppelklick auf Shell drücke kommt Automatisch „explorer. exe. Und dann geht nix mehr. Was nun?????
Hi Isabella,
das hatte ich auch – dazu gibt es auch weiter oben auf der Seite weitere Hilfe. Du darfst auf jeden Fall das „explorer.exe“ nicht löschen.
Ich habe auch sonst alles nach Vorschrift durchgeführt, auch eine Systemwiederherstellung gemacht – bei mir half das alles nichts. Habe dann, wie oben beschrieben:
„Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit einer aktuellen Version von Avia AntiVir (kostenlos).“ –> Avia Antivir runtergeladen, ist 30 Tage kostenfrei und habe das Programm ohne Internetverbindung über meinen Laptop laufen lassen. Dies hat jetzt fast 1 Stunde gedauert. Habe dann meine Internetverbindung wieder hergestellt und auch das gleiche Programm (wirst Du sehen) über das Internet und Mailprogramm laufen lassen.
Ich habe jetzt Ruhe vor der Bundespolizeit – nach ziemlich genau 5 Stunden…
Ich wünsche Dir viel Glück, aber ich bin mir sicher, dass das klappt :o)
@ Jeanette,
ich gehe davon aus, das sich damit dein Posting weiter oben erledigt hat?!
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Guten Morgen,
bei mir tritt auch das Problem der explorer.exe Datei auf. Der Wert ist also schon vorhanden. Leider finde ich auch keine andere Datei mit verdächtigem Wert.
Systemwiederherstellung funktioniert nicht.
Was kann ich noch tun?
Bitte mindestens mal diese Postings anschauen:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2385
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Simon
> Ich gehe mal von ihrem Nickname aus und vermute das Sie schon mehr Lebenserfahrung haben (um es mal so auszudrücken).^^
Jo ;-)
> 2. Was bringt Sie zu der grundlegenden Aussage das die Systemwiederherstellung in jedem Falle “nichts taugt”?
Die Systemwiederherstellung in den Kaufzustand ist ok.
Beim Zurücksetzen auf 2 Tage vor der Infektion, bleibt der Trojaner/Virus wie die anderen eigenen Dateien unangetastet.
> Noch eine Anmerkung:
Die komplette Neuinstalation eines Systems ist übrigens mindestens von mir auch schon immer wieder vorgeschlagen worden.
Dazu ein vernüftiges Backupkonzept und die Sache stimmt.
– Windows 7 ist da schon nicht schlecht.
Tschau
PS.
das Sie macht sich nicht gut.
Hi Simon , mich hats eben auch erwischt . Hab mein rechner dann in den abgesicherten modus gebracht , dann auch die regedit geöffnet , wie oben beschrieben und nach den besagten dateien gesucht . Aber unter den Pfaden leider nix gefunden . Habs auch mit *.exe und *.dll probiert aber keine merkwürdigen dateien gefunden . Was kann ich noch machen . das geht einem tierisch auf die nerven . Bin leider auch net so der experte . Wäre über deine fachliche Hilfe sehr erfreut .
danke schonma im vorraus
MfG Blade
@ Blade
Das löschen der explorer.exe stand aber (so hoffe ich doch) in KEINER der hier geposteten Hilfestellungen.
Denn diese Datei zwar in der Zeichenfolge „Shell“ zu belassen ist richtig, aber sie im System komplett zu löschen ist falsch.
Du brauchst jetzt also eine explorer.exe von einem anderen System (Betriebssystem muss gleich sein), oder von der Installations-CD/DVD, oder von einem Freund/Bekannten mit einem sauberen PC.
Oder: windows und infizierte Explorer.exe
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo, möchte mich ganz herzlich bedanken für die Hilfe, es hat alles geklappt, dank Anleitung.
Bei mir hieß die Datei nicht jashla.exe sondern mahmud.exe.
Liebe Grüße
hi simon,
danke für diesen thread. leider kommt bei mir im bios nicht mal die eingabeaufforderung…eine idee? der trojaner ist grad frisch drauf, sieht ganz ähnlich aus, ist aber nicht ganz derselbe.
lieben dank. ach so: ich hab keine ahnung und bin echt aufgeschmissen..
@ Charlotte
Beim Systemstart die Taste F8 gedrückt halten oder mehrmals hintereinander drücken.
Hast Du/Haben Sie dies schon ausprobiert – wenn ja, was kommt für eine Meldung?
Welche sonstigen Schritte wurden eventuell bislang unternommen?
Ansonsten biete ich mal wieder auch meine Hilfe persönlich an. Sinnvoll wäre allerdings dann ein Wohnort in der Umgebung von Frankfurt (am Main).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
da mein pc jetzt läuft und ich zurzeit ruhe habe,weil ich andauernd avira drüberjage,wollt ich noch fragen,ob man die oben beschriebene anleitung auch im normalzustand des pc´s machen kann,danke im vorraus
Du kannste alle oben beschriebenen Dinge auch im Live-System machen. (Also sofern Du die Anleitung oben auf der Seite meinst.)
Solltest du eine von meinen „Anleitungen“ meinen, dann müsste ich erst mal den Bezug dazu wieder wissen…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hi Simon ich habe folgendes Problem ich habe es so gemacht wie du es Beschrieben hast nur habe ich jetzt kein Desktop mehr … Wenn ich im Task Manager neuer Task Explorer.exe eintippe,öffnet sich nur das Eigene Dateien fenster :S Meine Shell hatte am ende Mahmud.exe dies habe ich in Explorer.exe unbenannt.Habe die auch auf der Festplatte gelöscht aber wie halt oben beschrieben habe ich kein Desktop mehr nur das Hintergrund Bild :S.Hoffe du kannst mir helfen
Lg Florian
Jetzt muss ich nochmal nachhaken…
Hast Du die explorer.exe im Dateisystem gelöscht, oder nicht?
Den Wert „explorer.exe“ in der Zeichenfolge „Shell“ in der Registry einzutragen war zumindest durchaus richtig.
Die Datei Mahmud.exe (und eventuelle andere noch sich auf dem System befindente Schädlingsteile müssen natürlich entfernt sein/werden – sogut als möglich.
Dann wäre jetzt noch eine Systemwiederherstellung oder ein Backup der letzten Tage (vor dem Befall versteht sich) eine eventuelle Lösung.
Vielleicht würde sogar schon eine explorer.exe (vom gleichen Betriebssystem nur halt z.B. von einem sauberen PC) eine Möglichkeit.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Meine heist
0.45928748235222827
Danke für die Tipps
Einer von vielen Namen…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Habe sie wie beschrieben bearbeitet. Habe es im abgesicherten Modus durchgeführt. Jetzt ist alles wieder normal. Hoffe ich!!
ist „jusched.exe“ ein komischer name? ich glaub das ist der tojaner
Die Jusched.exe ist von JAVA selbst und liegt in der Regel in folgendem Verzeichnis:
„C:\Program Files (x86)\Common Files\Java\Java Update“
Liegt sie dort (bzw. je nach Windowsversion kann der Pfad auch leicht anders lauten), ist sie zumindest mit hoher Wahrscheinlichkeit NICHT der eigentliche Virus.
Sie könnte aber natürlich, wie so ziemlich jede Datei des Systems, befallen sein.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hallo erstmal
hi Simon ich habe bisher fast alles gemacht was oben schon stand.Mein problem ist ich finde die jashla.exe nicht oder ich weiß nicht wie du das meinst mit dem pfad
C:\verzeichnis\zur\jashla.exe. Dieses Pfad unbedingt notieren, hier muss später die Datei noch gelöscht werden.
DAS IST PUNKT 8 aber ich weiß einfach nicht wie ich darauf komme
Kommst du denn in den abgesicherten Modus überhaupt rein?
Und wenn ja, wie sind deine Interaktionsmöglichkeiten?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
es muss nicht unbedingt jashla.exe sein es könnte auch mahmud.exe,vasja.exe oder beliebige lange zahlenkombinationen sein (weiter oben beschrieben)
Hallo zusammen,
ich bin auch betroffen. Die Shell-Datei hat bei mir den Wert explorer.exe. Ich finde auch keine verdächtige exe-Date. Mache gerade eine Systemprüfung mit AVIRA. Was kann ich noch tun?
Danke schonmal im voraus!
Siehe dazu z.B. folgendes Posting:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-12#comment-1960
Weiterhin schau mal, sofern möglich in den Autostart rein, da steht oftmals schon der Übeltäter oder zumindest ein Teil dessen drin.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hey ich komme nicht mehr weiter :(
ab da wo des Schwarze Fenster kommt gebe ich regedit ein dann enter danach kommt des : Das bearbeiten der Registrierung wurde durch den Adminstrator deaktiviert
würde mich auf jede hilfe freuen
Versuche doch mal eine Systemwiederherstellung oder das zurückspielen eines wenige Tage alten Backups.
Mehr dazu steht schon weiter oben auf der Seite und in diversen anderen älteren Postings.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hallo zusammen,
ich bin da auch grad noch an einem problem dran. ich habe mir auch das “ bka “ ins haus geholt. jetzt wollt ichs via anleitung versuchen aber habe folgendes problem.
ich kann mein rechner nicht im abgesicherten modus starten . er läuft zwar nur bleibt mein bildschirm dunkel. naja, nicht ganz. er sagt mit die frequenz wäre zu hoch eingestellt. er kann die nicht darstellen.
wenn ich mein rechner im vga-modus starte reicht mir die zeit nicht aus um es in den systemsteuerunen zu ändern. das bka ist schneller als ich.
weiss jemand rat ??????
danke schonmal
Eigentlich sollte der abgesicherte Modus mit einer Bildschirmfrequenz hochlaufen (im Abgesicherten Modus), welche jedem heutigen Monitor gerecht wird (meist 800×600 oder 1024×768).
Hast Du/haben Sie die Möglichkeit einen anderen Monitor mal anzuhängen (auch wenn das etwas Aufwand bedeutet)?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Danke für die Seite und die Hilfe, die hier geleistet wird.
Nach mehr als einer Stunde auf der Suche nach einer Verursacher-Datei, konnte ich das Problem mit einer simplen Systemwiederherstellung beheben.
Vielen Dank nochmal!
Trotzdem nochmal besser einen (Offline-)Virenscan und Malware-Scan laufen lassen.
Und ab sofort Backups anfertigen (sofern nicht schon eingerichtet). ;-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich benutze bei meinem Vista pc immer safari, sind die Schritte dann gleich, wahrscheinlich nicht oder?
Der Browser hat erst mal an und für sich nichts damit zu tun.
Entsprechend sind die Schritte „immer2 gleich.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Die Anleitung ist sehr verständlich, nur komischerweise ist der Wert bei SHell schon explorer.exe, der Trojaner ist aber immer noch da? Was kann ich tun? Danke für eure Hilfe!
Arne
Siehe dazu:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2479
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hey ich komme nicht mehr weiter :(
ab da wo des Schwarze Fenster kommt gebe ich regedit ein dann enter danach kommt des : Das bearbeiten der Registrierung wurde durch den Adminstrator deaktiviert
würde mich auf jede hilfe freuen
Mal hier geschaut?
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2515
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hat alles prima funktioniert. nach 2 stunden war die welt wieder in ordnung. vielen herzlichen dank. viele gruesse bernhard
Hey ich komme nicht mehr weiter :(
ab da wo des Schwarze Fenster kommt gebe ich regedit ein dann enter danach kommt des : Das bearbeiten der Registrierung wurde durch den Adminstrator deaktiviert
würde mich auf jede hilfe freuen .. -= bitte
Also bei mir funktioniert das auch nach mehrmaligem versuch nicht…
Kann man die bisherige Vorgehensweise und die daraus resultierenden Ergebnisse etwas genauer beschreiben?
Danke.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Schrecklich das Problem.
Ich komm nicht weiter. Beim ersten Versuch nahm ich den „Abgesicherten Modus mit Eingabeaufforderung“. Das ging er fuhr hoch, ich konnte Passwort eingeben und dannwar da ein schwarzer Bildschirm mit 4 mal „Abgesicherter Modus“ in jeder Ecke und das cmd.exe Fenster mit den Inhalt C.\Dokumente und Einstellungen… regedit fand er erstmal nicht. Mein Freund meinte dann, dass sei das falsche Fenster um das einzugeben, aber mehr als das hatte ich nicht. Nicht auf dem Desktop oder START. Da mein Computer eh leistungssschwach war, stürzte er dann auch ab (nichts ausergewöhnliches, tut er sehr oft). Beim 2. Versuch also, nahm ich wieder „Abgesicherter Modus mit Eingabeaufforderung“. Er blieb aber stecken bei einem schwarzen Bildschirm mit einem blinkenden Strich im linken Eck oben und dabei blieb es, bis er wieder abstürzte. Der 3. Versuch zeigte nichts anderes. Also was machen, wenn ich nicht mal so weit komme um regedit einzugeben?
Danke für alle Antworten.
Ein häufig abstürzender PC ist nicht normal und sollte von Anfang an „untersucht“ werden.
Nun ist es zumindest „erst mal“ zu spät.
Wenn der PC nun gar nicht mehr hochfährt hat es eventuell deine Festplatte ode zumindest die „Partitionstabelle“ zerbröselt.
Ersteres ist eventuell ein Totalverlust der Daten, bei zweitem kann man die Daten retten oder auch einfach versuchen die Partitionstabelle wieder zu rekonstruieren.
Solange der PC aber nicht mehr hochfährt, kann man so erst mal von hier aus nichts weiter machen.
Solltest Du/Sollten Sie in der Nähe von Frankfurt (am Main) wohnen, so ließe sich das Problem eventuell recht schnell identifizieren (Terminabsprache).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mhm hört sich doof an.
Also er ist nun hochgefahren, aber es kommt ausschließlich ein schwarzer bildschirm mit 4mal abgesicherter modus in jedem eck. Und kein cmd.exe Fenster mehr. Die Maus seh ich aber mehr net…
Ich wohne eine Stunde östlich von Stuttgart entfernt, also nicht gerade um die Ecke.
Der Pc ist eh überfällig, aber die ein oder andere Datei hätt ich schon gerne wieder… Ich hör mich hier einfach mal um, wer mir dabei helfen könnte, wenns auch nur festplatte ausbauen ist und die restlichen Daten versuchen zu retten.
Trotzdem danke
Naja, immerhin noch in den Abgesicherten Modus zu kommen ist schon mal was wert.
Wie viel jetzt allerdings eine Reperatur noch an Sinn macht, kann man so pauschal natürlich nicht sagen (evtl. ja Festplattendefekt).
Zum Daten sichern und Neuinstallieren (gilt auch für neuen PC später, zumindest in Teilschritten), habe ich mal hier was gepostet gehabt:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2413
Das dein abgesicherter Modus ncihts anzeigt, kann mehrere Ursachen haben. Die naheliegenste wäre für mich das die explorer.exe nicht mehr „die Originaldatei ist“, oder das der Schädling versucht (erfolgreich) sich Dir eigentlich aufzudrängen und dabei alles andere ausblendet.
Sofern eine Systemwiederherstellung oder eine Reperaturinstallation (Achtung bei WindowsXP noch schwieriger als nachfolgendes Windows-Systemen) keine Abhilfe bringt, und man erst mal nur von der explorer.exe ausgeht, könnte auch noch folgendes helfen:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2530
PS.: Joar, stuttgart ist nicht so ganz im „Einzugsbereich“ meiner Wenigkeit. ;-)
Man kann zwar auch Festplatten durh die Gegend schicken, aber das ist so eine Sache (alleine schon wegen der entsprechenden Verpackung, der Daten, etc.)
Hoffe hiermit noch ein paar Optionen aufgezeigt zu haben und wünsche gutes Gelingen.
Und nicht den 2.ten Advent/die Vorweihnachtszeit damit verderben lassen.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon
Wie ist es eigentlich, wenn man mehrere Partitionen auf der Festplatte hat? Sind die dann auch infiziert oder wird nur C und die Registy infiziert? Es wäre eine mittlere Katastrophe, wenn ich all meine Daten auf den Partitionen löschen müßte.
Gruß
Sylvia
Prinzipiell kann man sich bei Viren/Trojanern/etc. nie sicher sein ob nicht eine andere Partition oder auch dort liegende Dateien infiziert wurden.
Die meisten Schädlinge aber und darunter fällt zumindest bislang (nach meiner bisherigen Erfahrung) auch der BKA-Nervtöter, setzen sich lediglich auf der Betriebssystem-Partition ab. Also meist C:\[Diverse Unterverzeichnisse]
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Liebe Leute, grundsätzlich rate ich von „kostenlosen“ Sicherheitssoftware-Programmen ab. Ich habe jetzt schon zum 3. mal eine Kunden-PC hier, welcher mit AntiVir den BP-Trojaner sich eingefangen hat. Der erste PC hatte die Avast Internet Security drauf, selber Virus.
Sogar ein Kunde mit Kaspersky Antivirus hat sich den eingefangen…soviel zum Thema Testsieger. Im Grunde kann jeder machen, was er/sie will, aber ich verwende und verkaufe seit 2002 Panda Platinum – heißt jetzt Internet Security und keiner meiner Kunden und Bekannten hat je irgendwelche Probleme gehabt.
Komischerweise hab ich viele Beschwerden und Probleme zu Kaspersky Internet Security bekommen.
Also Finger weg von kostenloser Sicherheit, die paar Euro sollte doch jeder übrig haben. Und wenn ich jetzt die Besserwisser wieder höre, Panda wäre schlecht etc….das ist Stammtisch-Geschwätz, mehr nicht.
Ich mache seit 2004 meine eigenen Tests, wieviel Schädlinge werden gefunden und wie schnell, etc. etc. Ich weiß, wovon ich rede.
Hier bei dem PC heißt die Datei übrigens mahmut.exe
@ Alle User/innen
Bekannt sind bislang (sofern ich nichts überlesen habe):
Mahmut/mahmud/vasja/jashla/“diverse Zahlenkolonnen“.exe
Weiterhin diverse „Diverse Namen“.dll
Sowie „diverse Namen“.pdf
Und Varianten die sich auch in der Systemwiederherstellung und diversen anderen Dateien/Ordner festsetzen um sich selbst bei einer Wiederherstellung wieder zu rekonstruieren.
Quellen sind dafür bislang diverse Websites.
Speziell wohl welche mit Filminhalten bzw.Weiterleitungen auf solche Seiten.
Enthalten ist der Code aber auch in diversen Werbebannern die einem prinzipiell auf JEDER Webseite begegnen könnten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Lenny
Leider kann cih Deine/Ihre Aussage so nciht ganz teilen.
Ich habe zu beginn meiner Posts mal folgendes verfasst:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1059
Dort schrieb ich unter anderem und das schrieb ich mittlerweile schon oft hier, das es relativ egal ist welchen Antiviren-Schutz man besitzt.
Das Problem ist nämlich nicht, das die Personen hier keinen oder nur alte oder nur kostenfreie Virenscanner haben, sondern das die meisten Leute ein nicht aktuelles System haben.
Und die wichtigste Komponente für diesen BKA-„Schädling“ ist und bleibt anscheinend bis heute ein nicht aktuelles JAVA.
Im übrigen kenne ich persönlich Kaspersky nur als kostenpflichtige Version und nicht kostenfrei wie es der Text, zumindest meiner Ansicht nac, rüberbringt.
Es kann aber auch sein, das ich schlicht mal ein Produkt bislang nciht gesehen haben.
Sie nutzen seit Jahren erfolgreich Panda Security und fahren damit gut. Ich nutze seit Jahren Eset NOD32 Antivirus und fahre damit ebenfalls sehr gut.
Ein Freund von mir fährt mit Avira Antivir Free seit Jahren ohne Probleme.
In vielen Firmen unserer Kunden wir eine (meist sehr teuere) Verison von TrendMicro eingesetzt…und auch diese läuft einwandfrei.
An allen Virenscannern vorbei, kommt der BKA-„Schädling“ aber dennoch, sobald das System eben nicht IMMER aktuell ist UND der Virenscanner nicht zugleich auch noch eine Komponente gegen (mindestens) Malware/Scareware besitzt und diese in Sekundenbruchteilen zum Einsatz bringen kann.
Kurzum, das Sie/Du ihn noch nicht hatten und Ich ihn ebensowenig, liegt vermutlich eher daran das Dein/Ihr und mein System immer aktuell ist und keine solchen bekannten „Sicherheitslücken“ aufweist.
Ich bin gerne bereit mich eines besseren Belehren zu lassen, aber die pauschale Aussage von „kostenfreien Virenscannern“ abzuraten ist sogesehen etwas übertrieben.
PS.: Kaspersky Internet Security ist seit mindestens 2-3 Jahren auch aus meiner Erfarung her mittlerweile so überfrachtet, das es auf Schädlinge egal welcher Art nicht mehr zügig reagieren kann.
Von daher kenne ich auch von dort die von Ihnen geschilderten Probleme.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich nochmal :)
Ich verstehe da etwas nicht. Ich hatte diese Warnung gestern auch auf dem PC. Hab dann sofort den PC durch langes drücken auf dem Power Schalter ausgemacht, ihn neu gestartet und er startete ganz normal. Hab den den CCleaner gestartet un alles gelöscht, was der fand, hab danach noch einige restliche Daten aus dem tmp Ordner gelöscht und die Meldung ist bis jetzt nicht erschienen.
Antivir findet nichts, in der Registry steht Explorer.exe und auch sonst so habe ich nichts finden können. Der PC läuft rund. Kann das sein, dass der Virus sich, durch das schnelle Ausschalten des PCs, nicht installieren konnte? Bin jetzt echt unsicher, ob der Virus bei mir auf dem PC ist, oder nicht.
Gruß
Sylvia
Das ist in der Tat eine interessante Abfolge.
Dies Phänomen hate hier glaube ich schon mal eine oder sogar 2 Personen.
Allerdings kam der BKA-„Schädling“ dann auch in mindestens einem Fall später wieder.
Ob das durch Dateien auf dem System war, oder ob der User/die Userin nur wieder genau diese Webseite wo der Schädling herkam besucht hat, das weiß natürlich niemand.
Ich würde auf alle Fälle einen Offline scan machen (also Boot-CD von z.B. Bitdefender, Avira, ESET, AVG, Zeitschrift c’t) einwerfen und damit das System gündlich durchsuchen lassen.
Sollte dann nichts gefunden werden, darf man sich recht sicher sein das nichts mehr da ist.
Eine 100%-tige Lösung ist aber immer nur im Endeffekt eine Neuinstallation des Systems (wie man dies am besten ohne Datenverlust anstellt, habe ich hier schon diverse Male ausführlich beschrieben).
Ich hoffe dies beantwortet die Frage(n) einigermaßen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)