„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Habe nochmal gründlich geschaut. In der Registrierung ist keiner der hier genannten Namen zu finden. Lediglich unter c:\Windows\Prefetch und unter C:\Dokumente und Einstellungen\Name\Anwendungsdaten fand ich jeweils einmal die Datei Mahmud.exe
Ansonsten habe ich nichts gefunden. Ich habe vor 2 Wochen ein Backup mit Acronis gemacht. Dieses Backup liegt auf Partition G. Kann ich das zurück spielen und der Virus ist dann weg, oder muss ich befürchten, dass der Virus sich auch da festgesetzt haben kann?
Ich würde mich sehr freuen, wenn Sie mir die Fragen beantworten können, aber nun ist es erstmal Mega spät und mein Kopf brummt. ;)
Gruß
Sylvia
Ich hatte das gleiche Problem, dass meine Register alle gut aussahen, so dass ich den Fehler so nicht beheben konnte. Ich bin dann ueber den Safe Mode wieder in das System gekommen und haben einen System Restore gemacht. Das hat geholfen, der Trojaner war weg !
Fuer alle die nicht wissen wie ein System Restore gemacht wird:
In safe mode, auf alle Programme gehen
Accessories auswaehlen
System Tools auswaehlen
System Restore auswaehlen
Dann einen Zeitpunkt auswaehlen, der klar vor der Virusinfektion lag
Das System macht den Rest automatisch
Viel Glueck
Okay, das ist jetzt sogar soweit auch mal für englische USer/innen nützlich. :-)
(Nicht falsch verstehen – ich finde es gut das es auch mal für WindowsXP in engl. hier steht.^^)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Siehe dazu:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2523
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo zusammen,
da ich leider nicht so bewandert bin, von mir folgende Frage: Reicht es, die mahmud.exe Datei zu löschen? Ich habe sie (und alle verdächtigen Dateien aus dem AppData-Ordner) und dann noch Norton drüber laufen lassen. Jetzt funktioniert alles wieder prima. Bin ich dann jetzt „in Sicherheit“ oder kann es trotzdem sein, dass ich noch was auf der Festplatte habe, was sich nicht bemerkbar macht, aber Schaden verursacht?
Vielen Dank für Antworten!
Hallo Sylvia,
mir ist heute das Gleiche wie dir passiert, habe mein Backup von Acronis über den Rechner installiert und die Angelegenheit war in 20min erledigt. Leider waren meine Mails weg, aber das ist zu verschmerzen
Acronis ist Klasse!
Viel Glück!
Hans
@ Hans
Du hattest damit etwas, was leider hier viele User eben nicht haben.
Entweder weil sie nicht wissen was das ist bzw. wofür es gut sein soll.
Oder weil sie bislang „zu faul“ waren sich etwas solches einzurichten.
Wobei bei letzterem aus meiner Sicht dann ein „selbst Schuld – Pech gehabt“ nicht ganz unterdrückt bleiben kann. *schmunzel*
Dabei geht es spätestens seid Windows XP mit dem Onboard mitgelieferten Programm (NTBackup) sehr gut Daten zu sichern und seit Windows Vista Ultimate bzw. Windows 7 Professional sogar eine „Complete-PC-Sicherung“.
Man braucht sinnvollerweise nur noch eine externe Festplatte. Diese sind natürlich „jetzt“ leider erstmal etwas teurer als noch vor 2 Monaten.
Glücklicherweise lassen sich die meisten Varianten des BKA-„Nervlings“ noch per Systemwiederherstellung „bekämpfen“.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Sylvia,
der Tipp mit Mahmud war richtig gut. Alle anderen Vorschlaege haben nichts gebracht.
Herzlichen Dank
Markus
Hallo
ich habe auch seit gestern eine PC-Vollsperrung durch das Teil.
Abgesichert gestartet :
AV Antivir und malware-scanner finden nichts und auch die suche nach den „einschlägigen namen“ hat nichts gebracht.
Was tun ?
Ich habe als Wiederherstellungspunkt nur einen vor ÜBER ENE Woche. Dann ist bei Wierherstellung auch alle Daten die geändert wurden (Änderungen in WordDokumente etc) wieder vom Stand von Damals oder ?
Weiss jemand inzwischen wie der aktuell sich verbreitende Trojaner heisst oder wie ich den wo lösche ??
An Namen ist hier eine „kleine Auflistung“ zu finden:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2525
Die Daten der Systemwiederherstellung umfassen im Standard nur Teile der Partition C:\.
Daten diealso anderweitig z.B. auf D:\ abgelegt sind sollten theoretisch so bleiben wie sie sind.
Eine Möglichkeit die Daten per USB-Adapter (Festplatte dran ud an anderen PC angeschlossen) wäre auch noch eine Möglichkeit um der gesamten Angelegenheit versuchen können Herr zu werden.
Eine weitere Möglichkeit ist der hier angesprochene Offline-Virenscan:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2526
Hoffe geholfen zu haben.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Habe gerade ein interessantes Wochenende hinter mir mit diesem Ransom-Virus. Wenn mir die hier angegebene Beseitigung geholfen hätte, dann wäre das Thema bei mir auch nach 20 min. erledigt gewesen. Aber nein, Abgesicherter Modus hat in keiner Konstellation funktioniert. Windows XP CD konnte nicht geladen werden, um das Betriebssystem zu reparieren (System wurde angehalten, weil ein Fehler in der Hex-Adress-Zuordnung sei). Da ich jedoch ein Gegner des neu aufsetzen des Betriebssystems bin, habe ich andere Wege gesucht, um das Problem zu lösen. Bei mir hat tatsächlich auch die Suche nach dem vermeintlichen Namen des Viruses in der Registry nichts gebracht. Meine Virusbeseitigung dauerte glatte 24 Stunden. Folgendes hat mir geholfen: Die Kaspersky Rescue Disc 10 mit dem Windows Unlocker von der Kaspersky-Seite als .iso-datei runtergeladen und mit Nero gebrannt. Dann zum infizierten Rechner und Rechner von CD aus gestartet, die Kaspersky Rescue Oberfläche öffnete sich. Als nächsten Schritt, die Virendatenbank aktualisieren. Ist dieses geschehen, sollte eine komplette Überprüfung durch den Virenscanner erfolgen (sollten C und D bzw. weitere Laufwerke nicht angehakt sein, würde ich das unbedingt tun!). Nachdem das System vollständig überprüft wurde, empfehle ich alles, was der Scanner gefunden hat (üblicherweise Malware) unwiderruflich löschen. Danach sollte der KasperskyWindowsUnlocker gestartet werden, der die Registry testet und Einträge in der Shell ggf. ändert. Wenn das so in der Reihenfolge eingehalten wurde, kommt als nächster Schritt im Menü ‚Computer neu starten‘ auswählen. Dann fährt die RescueDisk herunter und wird ausgeworfen. Anschließend startet der Rechner (ggf. BIOS Einstellung wieder auf booten von Festplatte umstellen) das Betriebssystem wie gehabt und ändert nicht kurz nach Anzeigen des Desktops in den ‚Polizei-Hinweis, dass man sich freikaufen kann‘, sondern fährt ganz normal bis zum letzten Programm, das geladen werden muß hoch. Ich empfehle jetzt aber noch, den installierten Virus-Scanner (bei mir der kostenlose AVG 11) zu aktualisieren und das gesamte System dann nochmals überprüfen zu lassen. Dieser fand dann auch nichts mehr … Fazit: Bei mir hat sich der Virus in 39 verschiedenen Registry-Einträgen versteckt, die allesamt auf eine Java-Basis hindeuteten, diese Vervielfältigung der Einträge kam bestimmt durch das ständige Hoch- und Runterfahren des Systems, bei dem dieser Virus ja alles im Griff hatte. Ich möchte gar nicht wissen, wie viele Leute der Zahlungsaufforderung nachgekommen sind, weil sie sich nicht zu helfen wußten, eben mal zu Rossmann oder zur Tanke und sich für 100 € Guthaben-Codes gekauft und diese den Verbrechern in den Hals gestopft. Dennoch viel Glück beim Beseitigen, ich hoffe mein, zwar sehr intensiver und aufwendiger, Tip kann Helfen !
Hallo zusammen,
dem Peter kann ich folgendes berichten. Ich habe auch eine Wiederherstellung gemacht, die 10 Tage alt war. Das Dateien-und Ordnersystem wird dabei weiter auf dem aktuellen Stand belassen. Nur evtl. neue Programminstallationen sind weg.
Jetzt habe ich noch eine kleine Nachfrage. Bei mir funktioniert wieder alles einwandfrei, nur kommt beim Hochfahren jedesmal eine Meldung „PROBLEM BEIM STARTEN VON c:/…/TEMP/ZAHLENKOLONNE.EXE DAS ANGEGEBENE MODUL WURDE NICHT GEFUNDEN.“ Ich kann damit leben, aber vielleicht kann man diese Meldung doch irgendwie wegbekommen.
Herzlicher Gruß
Old Jacky
Schau mal in „Start > Ausführen > msconfig“ rein, dort wird der Eintrag bestimmtnoch als aktiviert drin stehen. (Wäre zumindest meine erste Idee dazu.)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
und was ist z.b. mit ein Word-Dokument an dem ich inzischen weitergearbeitet habe und neu auf der Festplatte gespeicherten Bildern ?
Ist das alles wieder weg/Stand vor 10d wenn ich die Sys-Wiederherstellung mache ?
In der Regel sollte alles was in „Eigene Dateien“ ist/war, dann auch wieder dort vorhanden sein/bleiben (ich gehe davon aus, das genau dort das angesprochene Dokument liegen wird).
Dafür habe ich noch zwei Links:
1. von „Old Jacky“ https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-16#comment-2535
2. von Microsoft „Abschnitt Wiederherstellungsprozess“ bitte lesen: http://msdn.microsoft.com/de-de/library/ms997627.aspx
Wie gesagt, mir wäre nicht bekannt das durch einen Systemwiederherstellungspunkt (also keine Wiederherstellung von einer original Restore-CD/DVD des Pc-Herstellers!) die Eigenen Dateien mit einbezogen werden (zumindest nicht unter XP in der Standardkonfiguration).
Unter Windows Vista und Windows 7 sieht das schon etwas anders aus, denn da sind – glaube ich – diese Dateien von vorneherein Teil der Sicherung (sollte das nicht stimmen berichtigt mich bitte!).
Sofern irgendwie die Möglichkeit besteht, würde ich die Daten aber per USB am anderen Pc oder per Linux-Boot-CD und USB-Stick nochmal vorneweg sichern.
Dann bist Du 100% Safe (zumindest was die Datei/en anbelangt).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Peter,
durch eine Wiederherstellung bleiben alle Deine Dateien und Ordner genauso, wie Du sie zuletzt abgespeichert hast. Also die Dateien zwischen dem Wiederherstellungsdatum und jetzt bleiben alle erhalten, keine Sorge.
Das steht aber auch bei den Infos zu der Wiederherstellung so ähnlich drin.
Hallo
habe auch diesen Trojaner, aber wenn ich bei dem Shell den Pfad nachlese, steht schon „explorer.exe“ da…ich kann also nichts löschen..! Trotzdem erscheint bei mir auch das typische Schild „Bundespolizei, Ukash, etc“! Bin verzweifelt es funktioniert gar nichts mehr, kannst du mir irgendwie helfen?
@ Mirjam
meinst du jetzt mich oder Daniel oder jemand anders? *schmunzel*
Ich versuche es erstmal mit foilgendem Verweis:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2530
Im Idealfall ist Dir damit sogar schon geholfen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
habe das selbe Problem wie Arne.
Habe mich nach Anweisung durchgeklickt nur ist der wert bei Shell ebenfalls schon mit explorer.exe eingestellt.
Also finde ich somit auch ekinen Pfad, welchen ich später suchen oder mich durchklicken kann…
..Könnte mir hierzu jeamnd noch etwas sagen?
Schau mal oben bei Mirjam, der Post dort könnte Dir ebenfalls schon helfen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Servus Olaf,
Die „quick and dirty“ Methode den Virus in die Knie zu strecken lautet wie folgt:
*Im abgesicherten Modus zu deinen Appdata/Roaming Vereichnis navigieren und dort die Dateien nach Datum anzuordnen. Da solltest du eine .exe vom heutigen Tag finden ->löschen
*Im shell habe ich zusätzlich auf Explorer.exe umgestellt, ob der Wert case sensitive weiß ich allerdings nicht
*Unter msconfig noch schnell kontrollieren ob unbekannte Progs in der Liste auftauchen und schon kannst du dein System wieder normal hochfahren
Diese 3 wesentlichen Schritte haben mir weitergeholfen und ich kann mich nun an das Feintuning machen… wichtige Daten nochmals sichern und ein geignetes Backup einspielen.
Gruß und gutes gelingen
Hallo,
Ichn hab den temp Redner unter local, App Data gelöscht ( da waren auch datein drin mit dem Bild des Trojaner…jetzt ist Ales gut.
Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen.
wie macht man diesen schritt?
danke:)
Hallo Peter,
du musst dir hierfür eine Commandozeile öffnen
*Windows->Ausführen und „cmd“ eingeben.
*Im neuen Fenster „regedit“ und Enter
* Dann navigierst du zu HKEY_LOCAL_MACHINE
->Software
->Microsoft
->Windows NT
->Current Version
->Winlogon
Da findest du dann die Shell
bei mir gibt es keine datei die shell heißt nur:
ParseAutoexec, FirstLogon, ExludeProfileDirs und BuildNumber
Kann mir mal jemand helfen
Habs mir heut mittag eingefangen
und ich bin kurz davor mein pc an zu zünden
hab leider nich so ne ahnung wie ihr deswegen
würde ich mich sehr freun wenns mir jemand erkährst …so das es auch eure oma verstehen würde
danke schon mal ..
Also wenn die Anleitung dir schon zu kompliziert ist, dann solltest du es mit dem anzünden probieren. Wird, bei genügend Hitze, u.a. auch den Trojaner vom Rechner entfernen.
Andere Möglichkeit: Suche dir einen PC-Service in deiner Nähe. Stelle denen deinen Rechner auf den Tisch und du wirst einen sauberen PC zurück bekommen. Ist auf jeden Fall die bessere Alternative …
@ Daniel
Leider wurden die Ironie-Tags vergessen, so könnte man womöglich noch einen Rechtsfall draus drehen wenn was passiert.^^
@ ams
Daher als Anmerkung:
Das Anzünden bitte nur im freien auf abgesperrtem steinigem Gelände an erlaubten Plätzen versuchen. :-p
Und nun mal im Ernst:
Die Anleitung da oben ist einfach beschrieben auch für Nichtinformatiker, diese Anleitung würde ich sogar meiner Mutter zutrauen und das soll was heißen. :-)
Wenn Sie dir trotz Bildern noch zu schwer ist dann suche Dir echt einen PC-Service der das für Dich macht.
Vielleicht aber wurde ja auch schon was probiert und es funktioniert nur nicht so wie oben beschrieben?!
Wenn dem so ist, dann Teile uns doch einfach mit was genau bislang versucht wurde.
Danke.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Jungs,
wer die „jashla-exe“ nicht findet, der findet ganz sicher eine „mahmud.exe“ oder „mahmut.exe“ Ganz oben ist ziemlich gut beschrieben wo der Schlüssel in der Registry ist. Einer von diesen drei Dateinamen ist es. Ich hatte die „mahmud.exe“.
Wer schnell genug ist und bei dem der abgesicherte Modus nichts bringt, kann auch beim Hochfahren mit STRG-Alt-ENTF den Taskmanager Registerkarte Prozesse öffnen. Ziemlich weit oben steht dann einer dieser drei Dateinamen. Ganz schnell draufklicken, „ENTF“ und „Enter“ drücken. Dann ist der Virus zwar noch da, aber nicht aktiv und Ihr könnt ganz normal wie oben beschrieben alles wieder geraderücken.
Und – so leicht wie für die Oma ist es eben nicht und man sollte sich schon ein wenig mit der MAterie beschäftigen – ist leider so.
Und nun viel Glück an alle.
Leider funktioniert der Trick mit dem [STRG]+[ENTF] nicht mehr immer (Variantenabhängig) und manch ein User/eine Userin ist leider nicht ganz so schnell.
Prinzipiell aber ist es eine hier schon oft angeprochene machbare Variante.^^
Es ist natürlich nciht so einfach das die meisten Omas es machen könnten.
Ich habe aber zumindest hier mittlerweile etwas gesehen, das ich aus der realen Welt so leider noch nicht wirklich kannte/kenne.
Nämlich sehr viele (vermutlich relativ junge) weibliche Personen die es ebenfalls sofort oder nach kurzer Zeit und vielleicht noch ein klein Wenig Hilfe selbstständig hinbekommen haben.
Da ich dies wie gesagt so kaum im realen Leben um mich herum kenne – Respekt (und die Anleitung kann somit echt nicht soo schwer zu verstehen sein)!
Wie gesagt, egal ob männlich oder weiblich, ich bite meine Hilfe auch persönlich an, dazu ist aber ein Wohnort in der Umgebung von Frankfurt (am Main) nötig. Denn bis Hamburg etc. fahre ich bestimmt nicht für eine vermeintliche „15Minuten Aktion“. :-/
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
HALoo ich komme nicht mehr weiter :((
ab da wo des schwarze FENSTER auftaucht wann gebe ich regedit ein dann enter dann kommt des : Das bearbeiten der Registrierung wurde durch den Administrator deaktviert
WAS SOLL ICH NUN MACHEN??
BITTE HIER ODER AM BESTEN UNTER MEINEN EMAIL ANTWORTDEN
WÄRE SEHR DANKEBAR FÜR JEDE HILFE
MGF MARCO :
Hi,
starte den Rechner neu im Abgesichertenmodus und dann suche per Suchfunktion nach mahmud.exe, mahmut.exe oder jashla.exe
Hast du sie gefunden kopiere den Datenpfad der Datei aber las bitte die exe raus! Hier ein Beispiel „C:\Users\WereFox\AppData\Roaming\“ hier war Es bei meinem Bruder drin und überprüfe die Autostart Einträge ob da was sich aufhält.
Hoffe es Hilft dir bei der suche, viel Glück =|
Auch wenn bei dir vermutlich nicht die explorer.exe selbst betroffen sein wird (so meine Vermutung), so würde ich Dir doch auf alle Fälle folgenden Post mal an die Hand geben:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2530
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
die Abzocker haben wohl aufgerüste!
Über „Strg“, „Alt“ u. „Entf“ komme ich zwar zum Button für den „Task-Manager“, beim drücken kommt aber in etwa folgende Anzeige „Zugriff durch Administrator deaktiviert“.
Ähnliches passiert, wenn ich über den abgesicherten Modus mit Eingabeaufforderung gehe. Nach dem Eingeben des Befehls „regedit“ und Enter kommt „Das Bearbeiten der Registrierung wurde durch den Admistrator deaktiviert“
Was nun????
P.S. Es handelt sich um den GEMA Trojana!
Aufgerüstet ist – sogesehen – falsch, denn die Version exisitiert hier im Blog schon seit Wochen.
Es gibt sogar mittlerweile defintiv „schlimmere/nervigere“ Varianten.
Ansonsten schau Dir/schauen Sie sich mal den Post obendrüber an.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
gestern habe ich diesen Trojaner auch bekommen. Ich hatte Neustart etwa eine Minute Zeit den Tank Manager zu öffnen und den Prozess mahmud.exe zu beenden. Diese Anwendaung fand ich hier: C:\Users\XXX\AppData\Roaming\mahmud.exe .
Heute habe ich wieder diesen Trojaner bekommen. Und habe ihn erneut gelöscht.
Meine Frage: Von wo bekomme ich den eigentlich immer? Krige ich ihn auch für immer weg?
Zwei Dinge dazu:
1. https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-11#comment-1902
2. https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-7#comment-1262
Hoffe dies hilft Dir schon weiter, ansonsten melden!
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
wenn man den geforderten Betrag (bei mir 50 €) einfach bezahlt, ist dann alles wieder wie es war.
Ich soll wohl z.B. bei einer Tankstelle einen Code erwerben, der dann meinen PC wieder flott macht.
Da kann ich nicht warten bis ich mal was dazu schreibe.
Nimm es mir nicht übel es ja nicht gegen Dich gehen, wohl aber DAS dies die dümmste Aussage die ich bzgl. solcher „Nervtöter“ egal ob GEMA, BKA, etc. bislang gelesen habe.
Siehe dazu folgenden Post:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-13#comment-2219
Kurzum an ALLE!
NICHT ZAHLEN!
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hi, bei mir kommt nach dem start im abgesicherten modus immernoch der virus. Was tun?
Was wurde denn bis jetzt alles unternommen?
Und welches Betriebssystem hast Du/haben Sie?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo, wenn ich versuche im abgesicherten Modus zu starten bekomme ich jedes mal die Meldung „Ein unbekanntes Problem wurde festgestellt und Windows heruntergefahren damit der Computer nicht beschädigt wird. Wenn Sie diese Meldung zum ersten mal … “ auf blauem Bildschirm. Gibt es noch irgendeine andere Möglichkeit? Oder wie ich doch noch in den abgesicherten Modus komme? ,.. :(
Wenn keine der hier genannten Möglichkeiten mehr hilft,
(https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2530)
Dann bleibt nur noch die Festplatte an einen anderen PC zu hängen, Daten sichern und Neuinstallation.
Wie man dies am besten hinbekommt ohne allzugroßen Datenverlust habe ich erst vor ein paar Tagen heir ausführlich in einem Post beschrieben.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Der Wert des Schlüssels Shell ist schon Explorer.exe. Was kann man jetzt machen?
Siehe:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2530
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
wenn ich – habe windows xp – im abgesicherten modus starte fährt der pc runter und dann wieder hoch.dort muss ich dann eingeben welches betriebssystem ich habe – bzw ist das vorgegeben eine andere wahl habe ich nicht – und dann bin ich wieder in dem modus , wo der trojaner keine weitere eingabe zulässt.
was kann ich tun, dass der abgesicherte modus nicht „abstürzt“ ?
Bei mir sieht die ganze Sache noch etwas komplizierter aus. Wenn ich im abgesicherten Modus starte habe ich nicht mal die Möglichkeit irgendwelche Eingaben zu machen da sofort das tolle Bild der Bundespolizei erscheint. Ich glaub das wars.
@ Robert
Internetverbindung getrennt?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ein Systemwiederherstellungspunkt, ein wenige Tage altes Backup oder zur Not ein USB-Festplattenadapter vorhanden?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Internetverbindung ist getrennt. Systemwiederherstellungspunkt – keine Ahnung. Backup wurde vor einigen Monaten (übliche Schlamperei) auf externer Festplatte erstellt. USB-Festplattenadapter nicht vorhanden. Wenn erforderlich bzw. notwendig, werd ich mir so ein Teil besorgen.
Hi,bis zum schwarzen fenster wo ich regedit eingeben soll,komm ich.aber machdem ich versucht habe enter zu drücken,kommt die Warnung:Das Bearbeiten der Registrierung. wurde durch den Administratot deaktiviert.Hab kein plan was nun zutun ist.Hoffe du kannst mir helfen.lg klaus
Eventuel ist die explorer.exe betroffen – muss aber nicht.
In jedem Fall aber stehen hier für beide Fälle denke ich zumindest erstmal gute Ansatzpunkte:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2530
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Du kannst die Registry nur als User mit administrativen Rechten bearbeiten.
@ Daniel
Das stimt zwar durchaus, ich glaube aber dass das Problem hier eher daran liegt das sich hierbei widermal eine der Varianten mit „Registry & Taskmanager-Aufruf-Sperre“ eingefangen wurde.
Da hilft leider auch der normale abgesicherte Modus so erst mal nicht mehr viel.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich hoffe, mir kann einer helfen.
Ich hatte das Problem letzte Woche schon einmal, da konnte ich es aber noch über den abgesicherten Modus lösen. Jetzt komme ich zwar auch in diesen Modus, kann dort aber nichts mehr eingeben.
Mein 2. Versuch war dann über STRG, Alt, Entfernen in den Taskmanager zu kommen, das bekomm ich nicht hin. Ich bin wahrscheinlich immer etwas zu langsam oder zu schnell.
Dann lande ich im BIOS. Jetzt meine Frage, kann ich da auch irgendetwas machen. Kenne mich im Bios gar nicht aus.
Wär nett, wenn mir jemand Tipps geben könnte. Danke.
Freundliche Grüße
Ingrid
@ Ingrid
Sei mir/Seien Sie mir nicht böse, aber ich glaube kaum das Sie, so wie es beschrieben wird, im BIOS landen.
Ich bin mir zwar ehrlich gesagt auch gerade nicht ganz sicher was gemeint ist, aber ich kann zumindest auf folgenden Post verweisen:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-15#comment-2530
Darin wird zwar der Austausch der explorer.exe beschrieben (was auch kein Beinbruch wäre das vorsichtshalber zu machen), aber es werden auch andere Möglichkeiten aufgezeigt die eventuell dein/Ihr Problem lösen könnten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo, habe das Drecksding mit Malwarebytes entfernt. Allerdings poppt jetzt von Malwarebytes immer eine Warnung auf, das der Zugriff einer potentiel gefährlichen Seite beglockt wurde. In der Reg ist kein Eintrag mehr zu finden. Was kann ich tun?
Temponary Internet Files und Cookies schon gelöscht?
Mal geschaut ob noch was im Autostart (Start > Ausführen > msconfig / Alternativ: [WindowsTaste]+[R] > msconfig)
und mal geschaut ob was im Autostart steht das evtl. eine URL aufrufen will/könnte?
Gibts genauere Details was Malware Antibytes sagt?
Einen kompletten (Offline)-Virenscan gemacht?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hi There,
I had two versions of this trojan.
First mahmud.exe as a change of winlogon in registry. This is explaned here.
FOr the second version, the winlogon key is still Explorer.exe but this trojan writes itself in autostart in windows and is a executable file called 0,40438209875466957.exe
This one locks the task manager when you attempt to kill the task.
If you can be quick to ctrl-alt-del before it runs, and reach the autostartup and delete it, then it is solved.
This second trojan is easier to manage as it is getting activated after windows started.
I do not understand why AVIRA free sleeps while those trojans edit the registry.
I made an update of Mozilla Firefox to 8 something and I hope this is fixed now. It actually disabled some java addons. I cleared all JAVA cash from the computer as Avira picked trojans there.
Win XP and Mozilla Firefox
Good luck
Bin nicht böse, bin ja auch kein Fachmann. Versuche nur alles, um den Virus wieder loszuwerden. Habe alle Möglichkeiten schon ausprobiert. Doch wenn ich nicht auf den Taskmanager komme, dann kann ich dort ja auch nichts machen. Und wie schon gesagt, auf dem abgesicherten Modus kann ich nichts mehr eingegeben. Also komme ich da auch nicht weiter.
Habe es auch schon mit Ubunto versucht, doch auch hier geht nichts. Ich komme dort zwar bis zur Sprachauswahl, dann auch noch bis zum nächsten Punkt, aber wenn ich dann auch Ubunto nur testen gehe, dann zeigt er mir Fehler an und geht nicht weiter.
Dort müsste ich wahrscheinlich dann wieder irgendeinen Dos-Befehl eingeben, aber dafür kenne ich mich nicht gut genug aus. Und mit Ubunto schon gar nicht.
Was kann ich noch tun?
Wie gesagt, ich komme nur ins Bios und dort kenne ich mich nicht aus.
Gruß
Ingrid
Hallo,
bin nicht böse, bin ja auch kein Fachmann. Versuche nur alles, um den Virus wieder loszuwerden. Habe alle Möglichkeiten schon ausprobiert. Doch wenn ich nicht auf den Taskmanager komme, dann kann ich dort ja auch nichts machen. Und wie schon gesagt, auf dem abgesicherten Modus kann ich nichts mehr eingegeben. Also komme ich da auch nicht weiter.
Habe es auch schon mit Ubunto versucht, doch auch hier geht nichts. Ich komme dort zwar bis zur Sprachauswahl, dann auch noch bis zum nächsten Punkt, aber wenn ich dann auch Ubunto nur testen gehe, dann zeigt er mir Fehler an und geht nicht weiter.
Dort müsste ich wahrscheinlich dann wieder irgendeinen Dos-Befehl eingeben, aber dafür kenne ich mich nicht gut genug aus. Und mit Ubunto schon gar nicht.
Was kann ich noch tun?
Wie gesagt, ich komme nur ins Bios und dort kenne ich mich nicht aus.
Gruß
Ingrid
Eine Systemwiederherstellung (sofern diese überhaupt aktiviert war) wurde ebenfalls schon ausprobiert?
Unter Windows Vista und Windows 7 geht dies z.B. sehr komfortabel mit der Installations-DVD und einem Bootvorgang von eben dieser.
Bei WindowsXP ist das leider noch nicht so einfach.
Du könntest Dir auch von Avira, Bitdefender, AVG, etc. eine Boot-CD runterladen (als ISO) und diese Datei dann als Bootbare CD (z.B. mit Nero) an einem anderen PC/Laptop brennen.
Dann den infizierten PC davon starten und ihn werkeln lassen.
Oder auch die c’t Zeitschrift hat meist zu Ende des Jahres wieder eine frische CD/DVD mit z.B. auch Bootbaren Antiviren-Medien im Angebot.
Ansonsten kannst geht anstatt Ubuntu natürlich auch z.B. eine Knoppix-CD/DVD.
Oder, als „letzte“ Alternative kann man die FEstplatte auch ausbauen und per USB-Adapter an einen sauberen PC anstecken (Vorrausetzung der USB-HDD Adapter ist vorhanden^^).
Sollte als das nicht klappen, kann ich noch vorschlagen das man einen Termin ausmacht und das gute Stück begutachtet. Voraussetzung aber wäre das Du/Sie in der Umgebung von Frankfurt (am Main) wohnst/wohnen.
Soweit erstmal meine aktuellen Ideen dazu.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@Simon, ja alles schon gemacht. Sieht so aus, als würde von außen versucht auf meinen Rechner zuzugreifen.
Sagt Dir Malware-Antibytes ob es ein Zugriff VON Außen oder ein Zugriff NACH Außen ist?
Wenn der Zugriff von Außen kommt würde ich schleunigst ALLE Daten sichern, mein System vorher vom Netz nehmen und alles neu aufsetzten.
Wie dies ohne allzugroße Verluste von statten gehen kann, habe ich einige Seiten zuvor schon relativ ausführlich beschrieben.
Ich vermute mal da Du nicht in der Umgebung von Frankfurt (am Main) wohnst, denn sonst könnte man da evtl. noch was machen bevor man den ganz großen Aufriss macht.
PS.: Das hier eben mal angesprochene Malware-Antibytes einsetzten wäre zwar auch noch eine Idee, schützt aber nicht bei Angriffen von Außen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Malwarebytes findet beim Scan nichts, und sagt: Type: incoming. Was tun?
Okay, dann gilt alles aus meinem Posting ab „Wenn der Zugriff von AUßEN kommt…“
PS.: Und auf einem anderen PC/Laptop das garantiert sauber ist, sämtliche Kennwörter (Online-Mailkonten, Messenger, Online-Banking, etc.) dringend ändern!
Wenn einer dauern versucht deinen PC von Außen zu erreichen müsste er somit eine Möglichkeit haben immer Dich zu erreichen (sobald der PC an ist).
Eventuell hast Du einen Virus/Trojaner/Rootkit im MBR (Master-Boot-Record) deiner Festplatte abgelegt bekommen.
Das wäre der „GAU“ schlechthin.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich hatte das selbe problem. habe meinen rechner auf den 29.11 zurück gesetzt. mein rechner läuft wieder. denke aber nicht das damit der virus weg ist. der rechner läuft sehr langsam. in der registry ist nichts zu finden
(Offline)-Virenscan gemacht?
(Offline in sofern, das eine Boot-CD/DVD von z.B. Avira/AVG/Bitdefender runtergeladen, gebrannt und beim Systemstart davon gebootet wurde.
Ein installierter Antivirus könnte nämlich immernoch infiziert sein und „absichtlich“ weitere eventuellen Schädlinge eben nicht erkennen.^^)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hi Leute,
1 markiert mal ein wort in dem Text und klickt darauf mit der rechten Maustaste.. dann im Netz suchen auswählen drücken..
2 So kommen wir schon mal normal ins Internet rein
3 Als nächstes macht Ihr ein Paar Seiten auf so 5 Stück
4 dann den Restart Knopf drücken am Rechner und wenn die Meldung kommt, ganz schnell auf Abrechen klicken!!!
So kommen wir mal wieder in den Desktop :) :) :)
Mal ganz doof gefragt, aber was soll das bewirken?
„5 Seiten öffnen und dann einen Restart des Computers“.
Das heißt im Endeffekt lade ich ein paar Seiten mit Inhalten (Text, Bildern, Video, Scripts) und lege die dadurch entstandenen Dateien in den Brwoser-Cache auf der Festplatte ab.
Danach mache ich dann den Restart und schmeiße damit erstmal alles was eben offen war über den Haufen.
kommt nun der BKA’ler wieder, hat sich sogesehen gar nichts geändert, denn er wird gestartet ohne das ein Browser erstmal dafür „extra“ geöffnet wird.
Will ja nur mal bescheiden nachhaken was es bringen soll, denn mir erklärt sich das nichts.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hi, :P
Ja so kommt man ja wieder zurück in den Desktop hehe ;)
Nun weil man n paar Seiten Aufmacht, fährt der PC langsamer herunter so dass Man ja noch den „Abrechen“ Knopf klicken kann..
Ja dann sind wir wieder im Desktop jedoch der Virus ist ja immer noch da :( leider… :D :D :D
Aha, das funktioniert aber so nur wirklich einigermaßen an Rechnern mit Windows Vista oder Windows 7.
Unter WindowsXP gibt es noch nicht dieses Abfragefenster das es unter den neueren Versionen gibt.^^
Weiterhin ist somit der Start > Neustarten [Button] gemeint und nicht wie oben angedeutet der Restart/Reset-Button am PC selbst.
Weiterhin bin ich mir nicht sicher, in wie weit sich davon der BKA’ler in seinen verschiedenen Varianten wirklich beeinflussen lässt.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hey..
hatte gerade eben das selbe problem! konnte es zum glück mit der anleitung lösen.
dann ging ich mit meinem laptop ins internet und es ging keine 5 min dann kam ein popup „aus sicherheitsgründen wurde ihr system blockiert…“.
kann man dies mit der selben anleitung löschen??
WO kam diese Meldung jetzt wieder?
Auf dem ehemals infizierten System oder auf dem Laptop?
Gestaltet sich das ganze genauso wie der BKA-Nervling?
Und was wurde bislang an weiteren Maßnahmen „nach“ dem Befall und der Entfernung getan damit das System weniger Anfällig ist/wird und eventuelle noch vorhanden Schadteile ebenfalls evtl. entfernt werden?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Den Pfad zu löschen hat auch bei mir nicht geklappt.
Die Systemwiederherstellung war dann die Lösung.
Bis jetzt.
Vielen Dank.
Also ich hab den Trojaner vor 2 tagen bekommen. Ich hab hier alle Kommentare gelesen, aber nichts hat geholfen. Ich hab Windows 7 und hab keinen der hier aufgelisteten Namen gefunden und auch wenn ich explorer.exe eingegeben habe kam der Trojaner nicht, er hat sich also auch nicht „explorer.exe“ genannt….
Kurz vorm Verzweifeln hab ich einfach eine Systemwiederherstellung gemacht und seitdem hab ich meine Ruhe.
Das kommt mir aber irgendwie viel zu leicht vor, oderist es möglich, dass ich das Teil jetzt wirklich los bin? Ich lass gerade meinen Anti-Virus (McAfee, hat den Trojaner nicht gefunden) durchlaufen und lade mir morgen vom gesunden PC ein neues Anti-Virus-Programm runter, das ich dann noch über den infizierten laufen lasse, aber bis jetzt siehts gut aus.
Kann mir jemand sagen, ob das ich jetzt wirklich meine Ruhe habe oder schwebt das Teil doch noch rum? ich hab nämlich keine hnung, was ich in dem Fall noch machen könnte…
@
Ich könnte ja jetzt fies sein und sagen: „Wenn Du wirklich alle (1444) Posts hier gelesen hättest, dann würdest Du die Antwort kennen.^^
Aber so bin ich ja nicht. Ich habe ein paar Posts für Dich, welche Dir die Antwort geben sollten/könnten:
1. https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-7#comment-1254
2. https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-14#comment-2403
Kurzum, einmal infiziert = tendenziell ein System dem man nicht unbedingt bei allem trauen sollte/kann.
Es kann gut gehen – es muss aber nicht.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Guten Abend, ich habe alles nach Plan gemacht, aber beim Schritt zu jashla.exe navigieren geht plötzlich nichts mehr, d.h. er kann die Datei nicht finden. Ich hoffe ihr könnt mir helfen..
Lg
Ich finde keine “jashla.exe “
..bei mir im Shell-Pfad stand bereits dieses explorer.exe…. Trotzdem habe ich den Trojaner immer noch..vor allem was soll ich mir dann notieren, wenn diese Datei nicht finde?? Bitte schnelle Hilfe…
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-16#comment-2647
Vielleicht kann das helfen, wenn alles andere, das hier geschrieben wurde nichts gebracht hat.
Viel Glück
Hallo, die Datei hieß bei mir auch anders.
Hast du ccleaner installiert und kannst nachvollziehen welche Programme im Autostart stehen? An sonsten geh ins Startmenu und gib bei „Ausführen“ msconfig ein und bestätige mit Enter.
In der Rubrik Systemstart werden alle Programme die im Autostart stehen aufgezeigt. Bei mir hieß das Programm „Wichtiges Update“
Vielleicht heißt es bei dir auch anders. Vielleicht kannst du mittels Ausschlussverfahren feststellen welches es ist.
Einfach rausnehmen, Datei zurückverfolgen und löschen.
Oder schau auch mal bei der Systemwiederherstellung unter Start >> Zubehör >> Systemprogramme nach ob sich in letzter Zeit ein Programm installiert hat was du ganz sicher nicht selbst installiert hast, so kannst es auch zurückverfolgen und schon weißt wie die Datei heißt =)
Viel Glück
Hi , Vielen Dank für diese wunderbare Anelitun ..
ich hatte heute diesen Trojaner auf meinem Rechner und zwar nicht durch komische Internetseiten odr öffnen von Links in ner Enail .. nein ich war ganz normal auf Seiten unterwegs über Aquarien .. war dabei auf eienr Englischen Seite als plötzlich Avira motze ich hätte den TR/ROOTKIT/gen2.. und das 2x .. dann habe ich diese Datei gesucht und bin auf Dateien gestossen von heute und genau der Uhrzeit wo Avira anschlug .. habe dann auf einen Pfad geklickt und plötzlich ging dieses Bundespolizei Fenster auf und nicbt mehr zu .. ich befürchte echt ich habe den Trojaner selber aktiviert .. könnt mir so in Ar… beissen deswegen .. ist das wirklich möglich das ich den aktiviert habe sozusagen ?
Meine Rescue Cd von Avira half nicht , diese fand zwar die Trojaner aber es önderte sich nichts – bei meinem Freund hatte sie noch geklappt – allerdings ist das schon ein paar Monate her und ich hatte keien aktuelle Version.Naja jedenfalls hab ich mahmud.exe in exploere.exe gändert ..das Porblem da sich habe ist aber das ich nirgends mehr mahmud.exe finde auch die 3 komischen Ordner die mir vorhin auffielen bevor das Drama losging waren nun plötzlich weg .. wie kann das sein ?
Ich finde wirklich nirgends mehr eine mahmud exe.. was kann ich noch tun ? Der Trojaner kann sich doch nicht einfach in Luft aufgelöst haben oder ?
Hallo Kollegen,
mir hat die Anleitung nur bedingt geholfen. Eine Datei die jashla.exe heißt konnte ich nicht finden.
Daher hier mein Tipp
Start >> Ausführen >> msconfig und dann in der Rubrik Systemstart gucken welche Programme gestartet werden.
Ich weiß ganz genau welche es sein müssen!!! Und komischerweise startete ein Programm Namens „Wichtiges Update“… Sicher damit ich es nicht lösche.
Habe es aus dem Autostart genommen und die Datei vom PC entfernt und schon geht wieder alles =)
Einfacher geht es übrigens mit ccleaner in der Rubrik Autostart. Ist natürlich nur sinnvoll wenn man weiß welche Programme man installiert hat und welche nicht.
Und noch ein Hinweis: Über Start >> Alle Programme >> Zubehör >> Systemprogramme >> Systemwiederherstellung wurde mir angezeigt wann sich das Programm einnistete. Lies sich also auch darüber zurückverfolgen =)
msconfig eingeben und bei systemstart sieht man auch schon den übeltäter, da steht auch der link zur datei…
häkchen raus, link öffnen, datei löschen fertig^^
Das haut bei mir nich hin, ich hab alles versucht.
Hallo zusammen,
da ich leider nicht so bewandert bin, von mir folgende Frage: Reicht es, die mahmud.exe Datei zu löschen? Ich habe sie (und alle verdächtigen Dateien aus dem AppData-Ordner)gelöscht und dann noch Norton drüber laufen lassen. Jetzt funktioniert alles wieder prima. Bin ich dann jetzt “in Sicherheit” oder kann es trotzdem sein, dass ich noch was auf der Festplatte habe, was sich nicht bemerkbar macht, aber Schaden verursacht?
Vielen Dank für Antworten!
Leider kann man sich selbst mit einer guten Antiviren-/ Internetsecurity-Software nicht zu 100% sicher sein. Aber soll man nun völlig paranoid jedes Datenpakt analysieren, was zwischen dem eigenen Rechner und dem WWW hin und her geschickt wird. Ich denke nicht!
Haltet Betriebssystem, Sicherheitssoftware und Browser (einschließlich Plugins) auf dem neusten Stand. Installiert nicht jede beliebige Toolbar. Klickt nicht auf jeden und alles was sich im Netz oder in einer E-Mail bewegt …
@ Daniel
Ich bin echt am überlegen, ob ich nicht sinnvollerweise mal eine kleine Seite zusammenstelle, auf der die wichtigsten Lösungstipps (abgesehen von deinem da oben) aufgelistet werden.
Dann noch die gebräuchlichsten Tools, Lösungstipps für weitere Nachfolgeprobleme, durchgängige Probleme ala „explorer.exe“ behandeln, etc.
Einerseits ist das zwar eine Mammutaufgabe, andererseits kann man es auch „recht kurz“ halten.
Klar kann man damit nicht alles abdecken, aber es ließe sich recht simpel erweitern.
Und man könnte im Idealfall pro Problem auf diesen einen „Anker“ verweisen. Also keine „lästigen“ wiederholungen des immer selben Textes, sondern nur noch immer ein Link zu einem Themengebiet.
Wenn Du daran Interesse hättest, könnte man sich über ein Konstrukt und die eventuelle Zusammenarbeit ja mal Gedanken machen.
Solangsam geht es nämlich auch mir manchmal auf den Nerv wenn ich immer ein und daws selbe schreiben könnte. :-(
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
habe/hatte gleiches problem mit dem Trojaner, nur konnte ich keine der dateien, die hier aufgeführt wurden bei mir finden.
Im abgesicherten Modus ging gar nichts.Sofort war des Dumme ding wieder am Bildschirm.
Der entscheidende Hinweis hier war die explorer.exe datei welche eine andere Dateigrösse hat(original 1mb).Die falsche hat 100kb.Diese
Habe ich mit einer knoppix live cd gefunden.
Von meinem Notebook habe ich die explorer.exe auf einen USB stick rübergezogen und dann auf den infizierten rechner kopiert. Vorher natürlich die falsche explorer.exe gelöscht.
Danach habe ich mich auf die suche nach dem trojaner gemacht.
Habe im gesamten laufwerk c nach *.exe dateien suchen lassen und die dateien mit dem neuesten datum genauer angeschaut.
War nur eine verdächtige datei dabei : 0.6760810226946533.exe . Die datei war im Ordner Dokumente und Einstellungen/User/Lokale Einstellungen/Temp und hatte 99.8KB.Hab sie gelöscht. Wohlgemerkt alles unter linux.
Habe einen Screenshot dazu, wenn gewünscht kann ich den schicken.
Danach habe ich im abgesicherten modus windows gestartet
und einen Virensuchlauf gestartet.Hat nichts gefunden.Wahrscheinlich war der fehler nur in der Datei die ich bereits gelöscht hatte.
Ich benutze die avira premium 2012 und das programm hat mich nicht vor diesem Ding geschützt.
und irgendeinen verbotenen download habe ich auch nicht gestartet….
Kann jedem empfehlen sich eine Knoppix cd zuzulegen.
Kostet nichts und ist effektiv.
Bei mir versteckte die Datei sich im AppData Ordner des Admins und tarnte sich als Datei von „Packard Bell BV“ namens 0.9225183437560469.exe
Hallo zusammen
Am Sonntag hatte ich diesen schönen Bundespolizei Trojaner auf meinem Rechner. Trotz Firewall und aktuellen Antivirus(avira antivir Personal.
Zuerst einmal bist du geschockt. Aber wenn man sich diese Seite genau durchliest, dann kann man mit normalen Menschenverstand denken das, wenn man wirklich so etwas gemacht haben sollte, dann meldet sich die Polizei nicht per E-Mail. Sondern macht einen netten Hausbesuch. Und so was kostet in der Regel auch keine 100 Euro.
Nach vielem selbst ausprobieren diesen Trojaner herunter zu bekommen. Habe ich meinen Bruder gefragt was man da machen kann. Er meinte der Trojaner verstecke sich im Autostart und den müsse man entfernen. Dann ist alles wieder O.K.
Nachdem wir ihn dann im Autostart entfernt haben ließen wir einen neuen Antivirus drüber scannen und siehe da er hatte sich noch zusätzlich im Sun\java Unterverzeichnis eingenisstet. Dort haben wir ihn dann auch noch entfernt. Jetzt läuft alles wieder normal.
Nach Recherchen sind wir zu dem Schluss gekommen das wir durch Aktuallisierung des Mozilla Firefox Update diesen netten Trojaner auf unseren Rechner bekommen haben. Weil das das einzige war und dann noch zu diesem Zeitpunkt, da man das nachvollziehen kann wenn man nicht viel oder gar nichts herunterlädt, man zu diesem Entschluss kommen kann.
Gruss Z.
Kleine Korrektur, JAVA ist das Problem nicht der Firefox.
^^
Firefox hat vermutlich bei der neusten Version sogar Java eigentlich deaktviert, aber man hat es vermutlich nachträglich selbst aktiviert.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo bei mir steht, Abgesicherter Modus mit aufgabeaufforderung, nicht. Was kann ich dann machen?
Der wert bei mir in der shell datei iat bereits explorer.exe was kann man da nun machen ?
Hallo,
vor ein paar Tagen hatte eine Freundin von mir auch diesen Virus und nach ein einigen Stunden hatte wir ihn dann endlich gelöscht. Nun habe ich mir den Virus aber auch eingefangen und irgendwie krieg ichs diesmal nicht hin ihn zu löschen..
Es steht nicht mehr „Bundespolizei“ oben drüber aber ich denke mal, dass es der selbe Virus ist.
Ich habe den PC im abgesicherten Modus neu gestartet und dann in der Registry unter „Shell“ den Pfad „C:\Dokumente und Einstellungen\Fio\Anwendungsdaten\mahmud.exe“ gelöscht und durch „explorer.exe“ ersetzt.
Dann habe ich die Registry geschlossen und in dem Eingabefenster „explorer.exe“ eingegeben, weil ich das so aus der Anleitung verstanden hatte. Daraufhin hat sich aber wieder der Virus geöffnet.
Dann habe ich es mit „shutdown -r -t 00“ versucht und nach dem Hochfahren hat sich der Virus wieder geöffnet.
Irgendwo hatte ich auch gelesen, dass in diesem cmd-Fenster vor dem Befehl, den man eintippt irgendwas mit „System 32“ stehen soll aber bei mir steht da „dokumente und einstellungen\mein Benutzername\“ … ist das egal, was da steht oder nicht?
Weiß jemand, wo mein Fehler liegt?
hallo, ich habe den virus auch auf einem laptop und versuche ihn gerade weg zu bekommen, kann mir jemand helfen?
nachdem ich auf abgesicherten modus klicke, soll ich beantworten welche version es ist, und danach?
ich brauche dringend hilfe, und kenne mich nicht sehr gut aus!
liebe grüße!
also, nachdem ich regedit eingebe ist der bildschrirm schwarz und an allen ecken steht: abgesicherter mous und oben in der mitte auch etwas, wie soll ich weiter machen?
die maus funktioniert aber egal wohin ich klicke, es funktioniert nicht! :(
Sehr geehrte Frau Lina,
das Klicken alleine reicht leider nicht.
Um Herrn Weihmanns Zehnpunktelösung durchführen zu können, brauchen Sie zumindest einige PC-Kentnisse, müssen mit Texteingaben und mit dem Registrierungseditor klarkommen (obgleich alles in der bebilderten Lösung sehr anschaulich beschrieben ist.
Bitte lesen Sie sich etliche der hier veröffentlichten Kommentare durch (auch solche, die unter „ältere Kommentare“ zu finden sind), und falls dies nicht ausreichen sollte, verwenden Sie lieber das Schadprogrammentfernungsprogramm von Malwarebytes, das bereits in diversen Kommentaren erwähnt worden ist, herunterzuladen unter
http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html#sp=malwarebytes&N=0&pos=1
Bitte führen Sie dasselbe, falls Sie es verwenden wollen, im Abgesicherten Modus aus.
Gruß
Horststephan Sauerwiesauerbier
Hi Leute,
das üble Teil scheint inzwischen in etlichen Varianten vorzuliegen. Habe auch noch etwas gefunden, was demzufolge auch keinen Anspuch auf allgemeine Gültigkeit erhebt:
Bei mir war es „vasja“ in der Registry unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
vasja wies auf wpbt0.dll, welche im Autostart (Startmenü) ein unerklärliches Dasein fristete. Diese beiden Einträge und zwei Zahlenkolonnen im Autostart gelöscht – System läuft wieder.
@ all: Hat noch jemand Hinweise über evtl. vorhandene weitere Registry-Einträge, über welche der Müll bei Internet-Zugang erneut gezogen wird? Meine größte Bange, da 10 versuchte Wiederherstellungspunkte nicht funktionierten und somit die saubere Systemwiederherstellung nicht möglich ist.
@ viele: Hat man im Internet endlich ein Forum mit guten Lösungsansätzen für ein Problem gefunden, finde ich persönlich es schade, wenn diese konstruktiven Beiträge zwischen endlosen Auslassungen über die Unfähigkeit der DAUs, die Schlechtigkeit der Welt und intensiven Werbefeldzügen für Produkte, die jemand persönlich favorisiert, fast verschwinden.
Grüße
Jörg
Schönen guten Abend an alle Trojanerbetroffenen!
Einer der besten Ratschläge, die ich dieser Kommentarliste habe entnehmen können, ist, daß man in der Systemsteuerung einen zweiten Benutzer anlegen soll, der nicht über Administratorrechte verfügt (eingeschränktes Benutzerkonto).
Vor der Aktivierung des Internetzzuganges (es ist nicht zu empfehlen, denselben dauerhaft aktiviert zu lassen, sondern man sollte ihn nur nutzen, wenn man ihn auch tatsächlich nutzen will) wechselt man zu diesem unprivilegierten Benutzer.
Vielen Dank an alle, die diese Vorgehensweise – teils mehrfach und hartnäckig, so daß es auch bis zu mir durchgedrungen ist – empfohlen haben, namentlich natürlich an Herrn Weihmann und Herrn Simon!
Grüße und schönenabendnoch (sofern nicht trojanergestört)
Horststephan Sauerwiesauerbier