Beitrag wurde zuletzt am aktualisiert

Bundespolizei Trojaner entfernen

Bundespolizei Virus / Trojaner entfernen

„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.

Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!

Schritt für Schritt Anleitung


Neue Varianten vom BKA-Virus (Bundestrojaner) im Umlauf! Alle Informationen + Videos zum Entfernen der Schadsoftware im GVU-Trojaner 2013 Beitrag, falls diese Tipps nicht zum Ziel – der vollständigen Wiederherstellung des Rechners – führen sollten

Die ersten Schritte bei Problemen dieser Art

Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!

  1. Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
  2. Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
  3. Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
  4. Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
  5. Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
  6. Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.

Anleitung zum Löschen des Bundespolizei Virus

Bundespolizei Virus - Bildschirm eines infizierten Windows PCs

Bundespolizei Virus – Bildschirm eines infizierten Windows PCs

  1. Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
  2. Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten

Windows im abgesicherten Modus starten

  1. Windows startet nun in einer Art Minimal-Konfiguration.
  2. Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
  3. Den Befehl regedit eingeben und [Enter] drücken
  4. Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
  5. Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
  6. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
  7. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
  8. [OK] klicken und das Registry-Fenster schließen [x].

Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.

Windows-Registry - Pfad zur jashla.exe

Windows-Registry – Pfad zur jashla.exe

Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.

Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).

Den Rechner jetzt ganz normal neu starten

Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.

Rechner auf Schadsoftware prüfen

Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.

Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.


Was heißt, der Spuk ist „erst mal“ vorbei?

Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.

Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!

Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …

Ich konnte euch mit den Informationen rund um das Thema Bundespolizei Trojaner entfernen weiter helfen? Dann bewerte diesen Beitrag ganz kurz und/oder hinterlasse einen Kommentar.

Bewertung für Bundespolizei Trojaner entfernen:
Sehr schlecht, mir fehlen die WorteHat gar nicht geholfenHat bedingt geholfenSehr gut, hat soweit funktioniertSuper, hat alles geklappt
 4,79 von 5 1 bei bislang 34 abgegebenen Stimmen.

105 Kommentare zu "Bundespolizei Trojaner entfernen"

  1. Lina | 6. Dezember 2011 um 20:05 | Antworten

    ich kann gar keinen befehl eingeben! also auch kein ‚regedit‘, was soll ich jetzt machen?
    brauche immer noch hilfe!

  2. Kristina | 6. Dezember 2011 um 20:25 | Antworten

    Hallo! Erst eimal vielen Dank, dass du dein Wissen so mit allen teilst. Ich habe mir diesen Virus heute eingefangen und deine Schritte eins zu eins befolgt. Wenn ich aber (nachdem ich meine shell datei umgeschrieben habe) explorer.exe eingebe öffnet sich wieder der Virus. Ich habe auch schon in der Regedit die Suchfunktion benutzt und eine andere Datei mit dem mahmud- namen gelöscht. Weißt du woran das liegen kann???
    Vielen Dank schon einmal!!
    Kristina

    • Kristina | 6. Dezember 2011 um 20:28 | Antworten

      Ich kann nicht einmal in den gesicherten Modus gehen, ohne dass sich der Virus öffnet, nur die Registry geht… schon unheimlich..

  3. Jörg | 6. Dezember 2011 um 20:31 | Antworten

    Einen habe ich noch!!!
    HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\ vasja und jashla vorhanden
    Die ganze 5603 löschen…
    Weiter keine Funde (vasja, jashla, mahmut, mahmud, wpbt0) in der Registry und der Systempartition.

    • Christian | 7. Dezember 2011 um 22:13 | Antworten

      HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\ vasja und jashla vorhanden
      Die ganze 5603 löschen…

      ich habe alles gelöscht, habe keine weiteren dateien gefunden,virenscanner drüber und der virus ist immer noch nicht da !

      hat jemand noch eine idee !?
      vielen dank im vorraus

  4. Alex | 6. Dezember 2011 um 21:12 | Antworten

    Also ich habe hier weder jashla noch vasja exe. irgendwo.

    ich finde es nicht im taskmanger und in der registry. Kann mir jemand noch helfen?

  5. Thomas | 6. Dezember 2011 um 21:29 | Antworten

    Hatte den Mist auch heute, dank euch gefunden, heiß bei mir aber anders und zwar 0.06…. exe ich weiß leider den namen nicht mehr genau. Habe es aber an Antivir geschickt.

    In jedem Fall vielen dank.
    P.S. Hatte gestern noch nen Scan gemacht und auch vier kleinere Viren gefunden…

  6. Lavida | 6. Dezember 2011 um 21:58 | Antworten

    wo finde ich den autostart verstehe hier leider nur bahnhof xD

  7. Lavida | 6. Dezember 2011 um 22:00 | Antworten

    und das was ihr hier geschrieben habt wo der überll sein kann mhh hab alles probiert aber ich finde den einfach nicht :(

  8. Janey | 6. Dezember 2011 um 22:43 | Antworten

    Bei mir war Folgendes:
    Ich konnte durch den Virus nicht mehr auf mein Benutzerkonto zugreifen; da wir aber mehrere Konten haben, konnte ich über ein anderes rein und der Virus wurde von Antivir entdeckt und ich habe ihn „in Quarantäne verschoben“. Den Pfad hab ich mir vorsichtshalber notiert. Wenn ich jetz auf mein Benutzerkonto zugreifen will, kommt aber am Anfang immer noch eine Fehlermeldung, dass der Computer versucht die Datei zu öffnen, diese aber nicht gefunden wird. Ich habe diese Seite erst danach entdeckt und versucht die Schritte auszuführen. Die Shell-Datei hat aber schon die Endung explorer.exe, da gibt es also nichts zu ändern und wenn ich den von mir notierten Pfad suche, finde ich nichts.
    Dass mein Computer den Virus aber beim Start noch auszuführen versucht, heißt ja, dass er noch irgendwo ist oder? Muss ich jetz alles neu formatieren? (Wäre auch nicht soo schlimm, wollte nur mal nachfragen).
    Danke schonmal, lg

    • zoidberg | 7. Dezember 2011 um 10:08 | Antworten

      Der Virus hat sich in den AUtostart geschrieben.

      Drücke auf den „Start“-Knopf und dann auf „ausführen“.
      Dort gibst du „msconfig“ ein. Jetzt kannst DU ansehen, was beim Systemstart passiert (entsprechenden Reiter auswählen). Ganz unten steht der Pfad des Virus, daher versucht er die Datei zu öffnen. Einfach den Haken in der Zeile entfernen und er wird nicht mehr versuchen die Datei auszuführen

      • Simon | 7. Dezember 2011 um 14:41 | Antworten

        Sollte Start > Ausführen nicht klappen, so kann man es auch mit der Tastenkombination [windowstaste]+[R] mal ausprobieren.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

      • Tom | 7. Dezember 2011 um 16:40 | Antworten

        In der MSCONFIG (Systemkonfigurationsprogramm) versteckt sich der Trojaner zum Beispiel (wenn man das Register „Sstemstart“) öffnet unter:

        Systemstartelement Befehl

        0 c:\Dokumente und Einstellungen\User\Lokale Dateien\Temp.xxxxx.exe

        (wobei xxxxx für beliebige Ziffern steht).

        Vor diesem Systemstartelement das Häkchen entfernen und die dahinter angegebene .EXE Datei im DOS-Fenster löschen.

      • Tom | 7. Dezember 2011 um 16:41 | Antworten

        In Ermangelung einer Edit Funktion ;-) und weil mein Mac die Hälfte der Info schluckt hat nochmals korrekt: Die Anzeige lautet:

        0 c:\Dokumente und Einstellungen\User\Lokale Dateien\Temp.xxxxx.exe

        Danke

      • Janey | 7. Dezember 2011 um 22:58 | Antworten

        Vielen Dank für die guten Tipps, aber weil ich mir sowieso einen Tag bevor der Virus zugeschlagen hat einen neuen Computer gekauft habe, habe ich mein Benutzerkonto auf dem alten einfach gelöscht. Auf diesem befinden sich jetzt nur noch die Benutzerkonten von meiner Familie, kann es sein, das der Virus da jetzt noch irgendwo drauf ist? Der Virus war ja nur auf meinem Konto zu finden.
        Lg

    • Sauerwiesauerbier | 8. Dezember 2011 um 19:38 | Antworten

      Guten Abend, Herr Janey!

      Das ist eine interessante Frage, die Sie da aufwerfen:
      Entfernt das Löschen Ihres Benutzerkontos den Trojaner auch für die anderen Benutzerkonten?

      War denn Ihr Benutzerkonto das Administratorenkonto auf dem betreffenden Rechner?
      Falls ja, bedeutet dies, daß jetzt eines der anderen, noch vorhandenen Konten Administratorenkonto ist?
      Da ich so etwas noch nie gemacht habe, weiß ich nicht, ob man überhaupt das Administratorenkonto löschen und ein oder mehrere andere Konten unangetastet lassen kann.
      Geht so etwas?
      Falls jemand dazu etwas sagen kann, das würde mich sehr interessieren, denn der Wechsel zu einem anderen Konto scheint ja grundsätzlich ein guter Weg zu sein, einem Trojaner beizukommen.

      Grüße
      Horststephan Sauerwiesauerbier

      • Simon | 8. Dezember 2011 um 22:03 | Antworten

        @ Sauerwiesauerbier
        @ All

        Diese Frage lässt sich leider (von mir aus bislang) nicht eindeutig beantworten.
        Ich hatte heute auf einem Kundenrechner eine ähnliche „Malware/Scareware“ drauf.
        Leider war er sehr penetrant, so das ich mich im Endeffekt zu einer Neuinstallation entschloss.

        Aber mal von Vorne…
        Erst kam der PC mit Benutzerkonto (als Beispiel“ „Benutzer“ ohne Passwort und nicht aktuellem JAVA.
        Nun entfernte ich per Hand und mit Hilfe meines ESET Nod32 Sticks alles was es zufinden gab.
        Eset fand dann auch Dateien im eigentlich geschützen Benutzerkonto „Administrator.Domainname“ und im Benutzerkonto „Administrator“.
        Was ich NICHT geprüft hatte, war ob ein neues Benutzerkonto direkt mit infiziert würde.
        Fest steht aber, alle bis dahin existierenden Konten (mit Ausßnahme All Users) hatten „Schadteile“ in sich gebunkert.

        Das Löschen der Dateien hat übrigens nur einige Stunden angehalten. Nach dem BKA-Schädling war dann auf einmal ein GEMA-Schädling am Start. Und das OHNE weiteres Surfen im Netz.

        Heißt somit
        1. Ich habe wohl nicht alles entfernen können
        2. Einmal weg = nicht immer weg (im blödesten Fall)
        3. Eine Neuinstallation war der einzig sinnvolle Weg, zumal Outlook auch nicht mehr so wollte wie es sollte.
        Meldete immer einen Fehler in der wsock32.dll im Zahlenwert 1108. Gibt man dies beides bei Google ein, so kommt sofort der Verweis auf Rootkits.

        Im Zuge dessen war dann die von mir spätestens bei Rootkits schon immer gepredigte geschützte Datensicherung + Neuinstallation der einzig korrekte Weg.

        Ich hoffe, dies beantwortet so einigermaße die Frage zum Thema Benutzerkonten(infizierung).

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

      • Sauerwiesauerbier | 9. Dezember 2011 um 20:30 | Antworten

        Guten Abend, Herr Simon!

        Danke für die Antwort zu den Benutzerkonten (hoffe, diese Antwort rückt an die richtige Stelle nach dem 08.12.11)!

        Nein, leider habe ich dieselbe nicht verstanden, aber das bereitet mir keinen Gram, denn es setzt sich trotzdem Mosaikstein für Mosaikstein ein Gesamtbild von der Wirkungsweise solcher Schadprogramme zusammen, und bei mir fehlen eben noch ein paar Teile desselben.

        Zum Thema Benutzerkonten:
        Da das Administratorenkonto die Macht über die C:\-Partition hat, ist man angeschmiert, wenn dasselbe betroffen ist.
        Leider hat Herr Janey nicht erwähnt, ob er ein privilegiertes oder unprivilegiertes Konto gelöscht hat.
        Der Schluß, den ich aus der Sache ziehe ist, daß es zwar sinnvoll weil etwas sicherer ist, nur mit einem unprivilegierten (eingeschränkten) Benutzerkonto ins Internetz zu gehen, daß man aber unter Umständen dennoch alle Konten, also das gesamte Betriebssystem, neu installieren muß, wenn man dem Schadprogramm zuvor nicht beigekommen ist.

        Grüße
        Horststephan Sauerwiesauerbier

        Wenn e nicht mc² ist, dann muß e etwas anderes sein, und „Star Trek“ ist möglich.

    • Simon | 9. Dezember 2011 um 21:25 | Antworten

      @ sauerwiesauerbier

      Kann man erfahren wo die „Erklärung“ fehlgeschlagen ist? Denn dann könnte ich es versuchen evtl. besser aufzuschlüsseln.
      Von mir aus auch gerne per Mail unter bka-virus[at]kunden.pp4it.de

      Das Problem an „unpriviligierten“ Konten ist halt, das selbst unter einem Windows 7 wo man nicht mal mehr als Admin der „richtige“ Adminisrator ist, selbst dort sich ein Schädling genau diese nötigen Rechte holen kann.
      Dies geht dann am einfachsten, wenn UAC
      (User Access Control in der Systemsteuerung unter Benutzerkonten)
      von Stufe 3 auf 2 oder gar auf Aus (1) gesetzt wurde.

      Unter WindowsXP waren die Restriktionen ja leider noch nicht so ausführlich einstellbar.
      Ein nicht oder nur schwach geschütztes (Administratoren/BEnutzer)konto, auch wenn es eigentlich nicht genutzt würde, ist bis heute ein beliebter – weiterer – Ablageort für Schädlinge.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  9. Franz Mueller | 7. Dezember 2011 um 08:21 | Antworten

    Hallo Ich habe mir auch den Virus eingefangen.
    Bei mir hat sich der Virus unter mit dem Namen mahmud.exe im Verzeichnis C:\users\Benutzername\AppData\Roaming\ versteckt gehabt.
    Ich habe im abgesicherten Modus (siehe oben) einfach das Programm mahmud.exe gelöscht.
    Danke für die Tipps im Forum

  10. Anka | 7. Dezember 2011 um 09:42 | Antworten

    Hallo! Bei mir klappt das mit der Anleitung leider nicht. Das Problem ist, dass bei Shell der Wert von Anfang an mit explorer.exe angegeben wird… Ich habe ihn aus Mangel einer besseren Idee dann trotzdem auf Explorer.exe (also einfach nur das e groß gemacht) abgeändert, aber das hat leider nicht geklappt. Hab bei Windows kein jashla gefunden und konnte ihn so auch nicht löschen. Kann der Virus noch irgendwo anders sitzen außer in dem oben beschriebenen Shell? Bin etwas planlos, bitte helfen! Danke schonmal!

    • Anka | 7. Dezember 2011 um 10:25 | Antworten

      Okay, ich relativiere. :-) hab gesehen, dass hier schon etliches zu meinem Problem geschrieben wurde, deshalb werd ich das alles jetzt mal ausprobieren. Ich hoffe, das klappt…

      Jetzt hab ich aber nochmal ne andere Frage: Ich hab einen Surfstick, der natürlich auch im PC steckte, als sich der Trojaner (oder Virus, weiß nicht genau, wie man das Ding jetzt nennt) eingeschlichen hat. Falls ich es hinkriegen sollte, das Teil zu töten, kann ich dann den Surfstick wieder benutzen oder ist der auch verseucht? Wär super, wenn ihr mir das schreiben könntet, damit ich sonst möglichst schnell einen neuen bestellen kann! Danke!

      • Simon | 7. Dezember 2011 um 14:13 | Antworten

        Bei wohl allen hier bislang bekannten Varianten, wurde soweit mir bekannt, nie ein anderen Laufwerk als das Systemlauferk (meist C:\) infiziert.

        Es gibt natürlich so pauschal gesagt keine Garantie das der Surfstick nichts abbekommen hat, die Wahrscheinlichkeit sehe ich aber gegen 0 gehen, da auf einem solchen Surfstick normalerweise nichtmal Speicherplatz vorhandens ein sollte wohin sich soetwas großartig schreiben könnte.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  11. Nicole | 7. Dezember 2011 um 12:26 | Antworten

    Bei mir lag die Datei 0.066229981779679.exe im Autostart.

    • Nicole | 7. Dezember 2011 um 12:31 | Antworten

      Die Datei selbst lag in meinem User
      \AppData\Local

      • Simon | 7. Dezember 2011 um 14:07 | Antworten

        Ich habe gerade vorhin einen solchen Virus wieder hier von einem Kunden vor der Nase gehabt (WindowsXP, TrendMicro, nicht aktuelles JAVA).

        Der Virusname war diesmal unter anderem: „hw45esi4ss“.

        Er hatte sich unter:
        %APPDATA%
        \Windows\TEMP
        \Username\Temponary Internet Files \
        \%Username%\Lokale Einstellungen\Java\Development\…
        \%Username%\Lokale Einstellungen\Temp
        abgelegt. Leider auch immer mit noch weiteren Namen z.B.: „y736945e.exe“ oder „privacy.exe“

        Richtig fies – Er lag ebenfalls in den Verzeichnissen des Lokalen Administrators UND des Users „NetworkService“!

        „Sauber“ entfernt habe ich diesen Fake-BKA-Alert nur mit (meinem zum Glück vorhanden) Eset NOD32 Antivirus Rescue USB-Bootstick.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  12. helene | 7. Dezember 2011 um 12:43 | Antworten

    Hallo,
    ich habe den Virus seit gestern, aber ich kann das alleine nicht lösen. Reicht es wenn ich das morgen mit Hilfe eines guten Freundes löse oder ist das zu spät??
    hoffe auf schnelle antwort.
    grüße,
    helene

    • Simon | 7. Dezember 2011 um 13:59 | Antworten

      @ Helene

      Solange du den PC/Laptop nicht mehr an das Internet anschließt (WLan zählzt natürlich auch dazu!), solange kann nichts schlimmeres „eigentlich“ passieren.
      Das schlimmste ist meist zum jetzigen Zeitpunkt dann schon geschehen.
      Wenn das Gerät nochmal ans internet angeschlossen würde und ins Windows hochfahren würde, könnten theoretisch noch weitere Schädlingsdateien nachgeladen werden.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  13. Cypress | 7. Dezember 2011 um 12:57 | Antworten

    Hallo ihr menschen mit computer kenntnissen die die meinigen weit übersteigen. ich habe folgendes problem:
    ich habe mir, wie ihr euch denken könnt, auch den bka trojaner eingefangen. nur leider finder ich in der regestry keine dateien wie mahmud oder so. der einzige eintrag der mir verdächtig erscheint ist unter HKEY_lokal_machine/software/windows/currentversion/run NvCplDeamon mit dem wert RUNDLL32.exe C:\windows\system32\NvCpl.dll,NvStartup ich kann diesen wert ja einfach löschen egal was es ist wenns nicht klappt muss ich den pc eh neu machen aber das problem ist wenn ich das mache steht er das nächste mal wieder da. ich schaffe es einfach nicht dass sich der virus nicht startet ich habe kein verzeichniss gefunden den explorer kann ich nicht öffnen sonst kommt der virus etc etc. ich bitte dringenst um hilfe.

    Vielen dank an euch alle die sich meinen post durchlesen werden und sich gedanken machen.

    • Simon | 7. Dezember 2011 um 13:57 | Antworten

      rundll32.exe ist in der Regel eine Systemwichtige Datei und in keinem der bislang hier aufgezählten Fälle infiziert gewesen.

      Im Zuge dessen, behaupte ich jetzt mal ohne das System und die BKA-Variante genauer zu kennen, das dies nciht dein Problem sein wird.

      Kurz gesagt: Diese Datei nciht löschen wenn kein sauberer Widerherstellungspunkt oder ein sauberes Backup besteht.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Cypress | 7. Dezember 2011 um 14:09 | Antworten

        wo kann sich dieses mistding denn verstecken ich verzweifele hier langsam. keine bisher gelesene dateien die den virus beinhalten sollen sind bei mir zu finden im systemstart ist nichts weiteres verdächtiges sopweit ich das beurteilen kann und es geht einfach gar nichts. aaah ich werde noch verrückt. damit ich den explorer starten kann muss ich i-wie den start des virus verhindern oder? wenn ja wie?

        helft mir bitte

      • Cypress | 7. Dezember 2011 um 14:34 | Antworten

        ok danke ich habs hinbekommen hoffe ich -.- ich hätte mal nicht so weinen sollen war aber mit meinem latein am ende die systemwiederherrstellung hat geklappt… ich dachte das wäre das gleiche wie son backup und sowas habe ich nicht deshalb dachte ich das kommt für mich nicht in frage. danke an alle die hier so fleißig mithelfen diesen drecks trojaner auszumerzen. die autoren dieses virus sollte man mal gehörig die fresse polieren!!

        danke

  14. Ein User | 7. Dezember 2011 um 14:03 | Antworten

    Danke für die ausführliche Erklärung. Das hat mnir die Woche gerttet. Zuerst am Montag ein Magen-Darm-GVrippe-Virus und am Diesntag ein BKA-Virus…. das war zu viel….Ich war schon drauf und dran, eine MS Dos CD zu erstellen, um den blöden „mahmud“ zu löschen… aber so wars doch viel einfacher…
    ich muss zwar jetzt nach dem start, den explorer über den Taskmanager manuell starten, aber das werd ich auch noch in griff bekommen denke ich.

  15. Finte | 7. Dezember 2011 um 15:15 | Antworten

    Habe mir auf der Sidereel-Seite heute ebenfalls das „Bundespolizei-Virus“ zugezogen. Es war auf meinem Rechner unter wpbt.0 versteckt. In der Registry konnte ich es nicht finden. Habe es über Start -> ausführen -> msconfig -> Systemstart probiert. Dort die wpbt0.dll-Datei deaktiviert. Dann konnte ich den Rechner wieder hochfahren. Im Anschluss habe ich die Datei gelöscht, und jetzt läuft noch der Antivir-Scanner drüber (der allerdings vor dem Löschen der Datei bereits nichts gefunden hat). Euch ebenfalls viel Erfolg!

  16. Doreen | 7. Dezember 2011 um 15:38 | Antworten

    super anleitung! vielen danke! bei mir hieß das teil aber auch mahmud.exe und was auch eigenartig ist, mein laptop ist während der virus-entfernung nicht länger als 3 minuten angeblieben, als würde er überhitzen aber das ist nach 3 minuten nicht möglich…

    naja, jetzt läuft alles wieder ganz normal!
    lieben dank.

  17. Dominik | 7. Dezember 2011 um 16:15 | Antworten

    Hi, ‚leider‘ finde ich bei mir keinerlei Hinweise zu einem Dateipfad.

    • Siegfried Brandt | 7. Dezember 2011 um 17:29 | Antworten

      Hallo, ich hatte den Virus heute auch drauf, aber mein Programm “ThreatFire“ hat in sauber abgeblockt und entfernt..“hoffe ich jedenfalls, konnte nichts mehr finden“…vielleicht hilft das euch ja weiter

  18. Jenny | 7. Dezember 2011 um 20:45 | Antworten

    Hi,ich hab mirden Virus heute auch eingefangen und versuch schon seit Stunden den los zu werden mit der Anleitung von dieser Seite.Bis zum Punkt 7 klappte das auch ganz gut.Aber bei Punkt 8 fing das Problem an.Shell steht bei mir bei Name drin,aber bei Wert(bei mir Daten,ich hab Windows7) stand explorer.exe drin.Das hab ich auf Explorer.exe umgeändert.Nun hab ich somit aber keinen Pfad, über den ich die Datei die gelöscht werden soll finden kann.Ich hab auch schon die einzelnen Begriffe wie „jashla“ oder „vasja“ gesucht und nichts dazu gefunden.Kann mir jemand helfen?

    • Antonia | 7. Dezember 2011 um 21:21 | Antworten

      Hatte dasselbe Problem. Habe dann nach exe-Dateien gesucht und diese nach Datum sortiert. Die mit heutigem Datum habe ich gelöscht, darunter 0.7283005058543282.exe. Außerdem fand sich im Autostart-Menü eine Datei mit dem Namen Pms Kidney Tooth Alas Lode, hier habe ich den Autostart deaktiviert. Danach ließ sich der PC normal hochfahren, jetzt läuft gerade der Virenscan, hoffe jetzt ist alles gut.

      • Jenny | 7. Dezember 2011 um 22:10 | Antworten

        Ich hab jetzt dasselbe getan wie du,sprich alle heutigen Datein wo auch nur irgendwas mit exe stand gelöscht, und nach dem Hochfahren hat sich das Bild von der Bundespolizei nicht geöffnet.Mache jetzt auch eine Systemüberprüfung,ich hoffe jetzt ist alles wieder in Ordnung.Danke :)

      • S. P. | 8. Dezember 2011 um 11:01 | Antworten

        Alle .exe-Daten von dem Tag an zu suchen klingt gut, aber wie genau mach ich das eigentlich? Ich hab Windows7, gibt’s da irgendwo ’ne Suchfunktion, bei der alle Ordner gleichzeitig durchsucht werden?

      • Simon | 8. Dezember 2011 um 11:17 | Antworten

        @ S. P.

        Im Explorer kannst du links auf C:\ oder das zu scannende Laufwerk klicken und dann oben rechts einfach in das Suchfeld einen Begriff eingeben, bzw. die Suche noch weiter definieren.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

      • S. P. | 8. Dezember 2011 um 11:18 | Antworten

        Ok, es hat sich schon erledigt- hab unter msconfig nicht im

      • S. P. | 8. Dezember 2011 um 11:20 | Antworten

        Zu früh abgesendet, sry-

        auf jeden Fall hab ich nicht unter „Systemstart“ geguckt, (sondern „Dienste“) denn da war die Datei „vasja“ :D Ich freu mich so, er ist jetzt weg~ danke Simon und alle anderen hier!

  19. Malibu | 7. Dezember 2011 um 20:49 | Antworten

    Ich gab da eine frage, ich muss den Pfad ja durch Explorer.exe ersetzten, aber bei mir heißt er schon Explorer.exe ohne das ich das ändern muss.

    • Simon | 8. Dezember 2011 um 11:19 | Antworten

      Schau mal ein paar Seiten vorher, da steht schon einiges ddazu.
      Zu diesem Thema wurden bislang gefühlt schon 100te Beiträge verfasst.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  20. Bernd | 7. Dezember 2011 um 21:35 | Antworten

    Bei mir zeigte der Pfad zur Datei

    c:\Dokumente und Einstellungen\HP\Anwendungsdaten\mahmud.exe

    Allerdings fand ich mit der Suchfunktion zudem die Datei:

    c:\WINDOWS\Prefetch\MAHMUD.EXE-1F32DF16.pf
    mit einer Dateigröße von 50.850

    die ich ebenfalls mittels „wipefile.exe“ vernichtet habe.

    Die Suche nach Dateien mit dem Dateieninhalt *jash* ergab keine Treffer.

    Eine Suche innerhalb vom Fenster, das mit regedit geöffnet wird, ergab (bereits nach der Löschung der eigentlichen Datei) auch ein Fund im HKEY_USERS\….\Software\Microsoft\Windows\ShellNoRoam\MUICache:

    c:\Dokumente und Einstellungen\HP\Anwendungsdaten\mahmud.exe
    mit dem Wert:

    Ike Steak Dry

    Beim Versuch des Löschens werde ich gefragt, ob ich den Wert wirklich löschen soll.

    Ich bitte um Antwort der Experten!

  21. Christian | 7. Dezember 2011 um 22:23 | Antworten

    HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\ vasja und jashla vorhanden
    Die ganze 5603 löschen…

    ich habe alles gelöscht, habe keine weiteren dateien gefunden,virenscanner drüber und der virus ist immer noch nicht da !

    hat jemand noch eine idee !?
    vielen dank im vorraus

    • Jenny | 7. Dezember 2011 um 23:14 | Antworten

      Ich kann dir nur raten alle Dateien und Ordner, ab dem Tag wo du dir den Virus eingefangen hast, zu löschen.

      • Simon | 8. Dezember 2011 um 11:22 | Antworten

        @ Jenny

        Alle Dateien ist etwas pauschal gesagt, denn es könnten ja auch selbsterstelle bzw. selbstruntergeladene Dateien dabei sein, welche man haben will.
        Der Schädling kommt aber meist im hintergrund und hat Namen die man nicht „sauber“ identifizieren kann.
        Und das ist dann das was gelöscht werden muss.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

      • Christian | 8. Dezember 2011 um 21:11 | Antworten

        habe unter HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603\ vasja und jashla vorhanden
        Die ganze 5603 löschen habe die ganze 5603 gelöscht und unter 5604 noch die mahmut exe gelöscht und dabei sie berechtigungs exe von windows gelöscht, also bitte macht nicht denselben fehler wie ich .lol bitte nur die mahmut exe und jahla exe löschen usw.

  22. Mohamed | 7. Dezember 2011 um 23:25 | Antworten

    Virus vorerst entfernt aber explorer.exe funktioniert nicht mehr…. ;(

  23. Claudia | 8. Dezember 2011 um 00:11 | Antworten

    Ich habe alle Hinweise von dieser Seite ausprobiert und nichts hat funktioniert. Dann habe ich ein Video gefunden, in dem eine Systemwiederherstellung emfpohlen wird (Start->Zubehör->Systemprogramme->Systemwiederherstellung). Das war am Ende die Lösung.

  24. Darya | 8. Dezember 2011 um 01:27 | Antworten

    Vielen herzlichen Dank! Bei mir hat sich vasja unter
    …\AppData\Local… verschteckt

  25. Stefanie | 8. Dezember 2011 um 12:05 | Antworten

    Hallo ! Ich habe mir den Virus am Sonntag eingefangen. Bin leider kein PC Profi. Die Anleitung ist gut erklärt, komme aber nur bis:
    Ich fahre den Pc hoch und drücke F8 dann wähle ich Abgesicherter Modus mit Eingabeaufforderung aus, der Bildschirm wird schwarz, in allen vier Ecken steht abgesicherter Modus, danach kommt ein Bild wo ich Administrator auswähle. Dann sieht es so aus als ob er das Feld für die Eingabeaufforderung aufmacht, jedoch wird der Bildschirm gleich wieder schwarz (in den vier Ecken steht wieder Abgesicherter Modus) und bleibt dann so.
    Kann mir jemand weiterhelfen?
    Gruß Stefanie

  26. Valentin91 | 8. Dezember 2011 um 17:27 | Antworten

    habe die shell dateil doppelgeklickt (Schritt 9) aber da steht bei Wert bereits explorer.exe

    was nun?` ich bracuh hilfe ich habe soo wichtige daten auf dem pc..

    liebe grüße Valentin

  27. D´Artagnant | 8. Dezember 2011 um 18:09 | Antworten

    Achtung! Es sind zwei verschiedene Biester. Bei dem Älteren muß man die Sache mit „Explorer.exe“ durchführen. Bei dem vom Wochenende bin ich auch noch nicht weitergekommen, weil ich nur über „F8“ in den abges. Modus mit Eingabeaufforderung komme. Alles andere geht nicht und den einen oder anderen erwähnten Pfad kann ich dort nicht eingeben. Bin also noch am suchen. Oder hat einer von euch ´nen Tipp!

  28. Melanie | 8. Dezember 2011 um 18:13 | Antworten

    Hallo,
    Wir haben das gleiche Problem wie Stephanie.
    nach dem ich Abgesicherter Modus mit Eingabehilfe drücke, kommt der schwarze Bildschirm, in allen vier Ecken abgesicherter Modus, dann kann ich zwischen Administrator und meinem Benutzerkonto wählen, beim Administrator kommt dann wieder der schwarze Bildschirm und bleibt, man kann dann nichts mehr machen.
    Help please

    • D´Artagnant | 8. Dezember 2011 um 18:21 | Antworten

      Ich komm´ ja bis zur Eingabeaufforderung, nur ist da schon ´was vorgegeben. Bei dem alten Biest konnt´ ich dann „regedit“ dahinterschreiben und weitermachen, das Ding war dann weg. Aber jetzt, mit dem Biest vom Wochenende, klappt´s nicht mit den diversen schon genannten Wegen. Muß dazu sagen, daß ich ein reiner „User“ bin. Eventuell hab´ ich die Tipps deshalb auch irgendwie nicht verstanden. Bräuchte eine einfach verständlich Anleitung. Wie die ganz oben.

    • D´Artagnant | 8. Dezember 2011 um 18:35 | Antworten

      Hab´ noch nicht erwähnt, dass ich noch „Windows NT“ habe und ´nen Kasten mit geballten 1536MB Arbeitsspeicher…sind die o.g. Tipps denn alle für „Windows 7“????

      • Sauerwiesauerbier | 8. Dezember 2011 um 20:17 | Antworten

        Guten Abend, Herr D’Artagnan!

        Obgleich es etwas schwierig ist, Ihren verteilten Ausführungen zu folgen,

        (an alle: Antworten sollte man mit der „Antworten“-Funktion an die richtige Stelle setzen, statt gleich einen neuen Kommentar einzustellen. Eigene Ergänzungen kann man als Antwort an den eigenen Kommentar hängen.)

        ist mir doch etwas eingefallen, das vielleicht passen könnte:

        Kann es sein, daß Sie mit
        „Ich komm´ ja bis zur Eingabeaufforderung, nur ist da schon ´was vorgegeben.“
        meinen, daß in der Eingabeaufforderung, die wie MS-DOS aussieht, schon ein Pfad steht?

        Falls ja, geben Sie cd\ oder mehrfach cd.. ein, bis Sie auf C:\ sind und dann regedit.exe

        Falls es das nicht war, fallen mir nur
        a) der Tip mit der sauberen Explorer.exe von der System-CD oder einem USB-Stick (auf dem man die Datei vorher kopiert hat) – bitte suchen Sie in den „älteren Kommentaren“ die detaillierten Hinweise dazu.
        und
        b) das hilfreiche Schadprogrammsuchprogramm von Malwarebytes, das bereits in diversen Kommentaren erwähnt worden ist,
        ein:
        http://www.chip.de/Downloads-Download-Charts-Top-100-der-Woche_32368489.html?xbl_category=39009
        Führen Sie dasselbe bitte im Abgesicherten Modus aus.

        Grüße
        Horststephan Sauerwiesauerbier

    • Claudia | 8. Dezember 2011 um 19:54 | Antworten

      es gibt ja verschiedene Optionen für den abgesicherten Modus….versuch einfach einen anderen, z.B. den ohne Eingabeaufforderung

  29. Mike Mogens | 8. Dezember 2011 um 19:08 | Antworten

    Habe mir heute den Polizeitrojaner eingefangen. Antivir funktionierte nicht bzw. nicht mehr. Zum Glück hatte ich noch Zugriff auf meine Programme, bevor der Trojaner zuschlug. So konnte ich Malwarebytes starten und eine kompletten Suchlauf ohne Verbindung mit dem Internet starten. Die infizierten Dateien wuden gefunden und gelöscht. Nach Neustart war das System sauber und funktionierte einwandfrei!
    Malwarebytes gibt es zum kostenlosen Download:
    www.malwarebytes.org/mbam-download

  30. jasmina | 8. Dezember 2011 um 19:57 | Antworten

    hallo
    ich habe auch diesen bunespolizei virus!!! das regt mich total auf!! ich habe es versucht mit F8 aber es klappt nicht,da kommt nur irgend etwas mit retungs-system und dan wirs alles schwarz und ich kann nichts mehr machen!!!
    ich habe die hoffnung aufgegeben das es klappt!! :-)
    Naja ich hoffe ihr könnt mir hlefen
    vielen dank im vorraus

    • Simon | 8. Dezember 2011 um 22:10 | Antworten

      @ jasmina

      Schon eine Systemwiederherstellung ausprobiert?
      Oder ein Backup der letzten Tage zurückgespielt?
      Oder mal eine Software wie „Malware Antibytes oder McAfee Stinger“ geladen und drübergejagt?
      Oder mal die Explorer.exe ausgetauscht in der Hoffnung das es nur die einfache BKA-Schädlingsvariante ist?
      (Bzgl. letzter Punkte kann z.B. hier geschaut werden:
      Windows explorer.exe

      Letzte Variante vor der Neuinstallation…wenn jemand in der Umgebung um Frankfurt (am Main) wohnt, könnte man einen Termin vereinbaren.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  31. cmussko | 8. Dezember 2011 um 20:01 | Antworten

    hallo!! ich brauche drigend hilfe :-)
    ich habe das mit F8 versucht aber es kommt irgend etwas mit retungs-system wo ich etwas eintippen soll?? aber ich weiß nicht was!!!! es ist alles schwarz !!! :-D
    ich habe lange gewartet aber, es ändert sich nichts mein ganze bildschirm ist schwarz!!!!!!!!!!!!!!!
    was soll ich tun????????????
    HILFE HILFE :-D
    vielen dank im vorraus

  32. Steffen | 8. Dezember 2011 um 21:15 | Antworten

    bei mir hat alles geklappt aber ich finde die datei nicht egal wie sie bei euch hieß bei mir gibts die nich… hat jmd nen tipp?

  33. Wheels | 8. Dezember 2011 um 21:21 | Antworten

    Hallo zusammen,
    wir haben mehrere PCs im Haus und zuerst ist der meines Bruder vom BKA-Trojaner gesperrt worden. Ich hab das Ganze per Systemwiederherstellung (hoffentlich) behoben. Heute morgen (etwa gegen 2Uhr) ging es dann wieder los, allerings auf meinem eigenen Laptop. Hab’s wieder mit Systemwiederherstellung probiert, das Datum lag aber nur einen Tag zurück (6.12), und ich war mir schon nicht sicher, ob das wirklich klappen würde. Der Virus war jedenfalls erstmal weg, jedenfalls bis vorhin…
    Also zweite Wiederherstellung an einem Tag, sodass ich wenigstens online komme, um mir Hilfe zu holen. Ich finde keine jashla, vasja oder sonstige Dateien, Explorer.exe heißt bereits so und sonst weiß ich nicht, wonach ich suchen soll. Brauch den PC bis zum Wochenende wieder koplett einsatzbereit! Hilfe bitte?!
    LG Wheels

  34. benne | 8. Dezember 2011 um 23:19 | Antworten

    hey,
    kann es auch sein das die datei unter:
    C:\Dokumente und Einstellungen\admin\Anwendungsdaten\*
    auch nur „mahmud“ heißt
    nicht wie in den 10 schritten *mahmud.exe ?

    danke für die schritte!
    war eine gute hilfe

    • Daniel Weihmann | 9. Dezember 2011 um 07:28 | Antworten

      Ich denke, dass bei dir einfach die Anzeige der Dateitypen-Endung (z.B. .exe für eine ausführbare Datei oder .jpg für ein Bild) abgeschalten ist.

    • Simon | 9. Dezember 2011 um 21:15 | Antworten

      Vermute ebenfalls das die Anzeige von „Bekannten Endungen von Dateierweiterungen“ nicht aktiviert sind.

      Windows-Explorer > Extras > Ordneroptionen

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  35. Inga | 8. Dezember 2011 um 23:50 | Antworten

    Hey,
    ich hatte den Virus auch…die Datei versteckte sich ebenfalls bei appdata/lacal/temp
    ich hab diesen dann gelöscht. meine frage nun, ist der virus, indem ich ihn in den papierkorb verschoben und dann gelöscht habe nun wirkluch komplett weg?
    und kann ich meinen pc nun wieder gefahrenlos benutzen ohne das ich meine externe festplatte auch verseuche?
    vielen dank für die super hilfe hier!
    Lg Inga

  36. sam | 9. Dezember 2011 um 00:31 | Antworten

    Folks,

    wenn ihr euch Mahmud / BKA / Jasla eingefangen habt und euer account nun mit dem startbild „blockiert“ ist, hilft folgendes:

    1: mit +L den rechner sperren
    2: als admin (als der ihr hoffentlich nicht im netz surft) anmelden
    3: antivir und malware progs runterladen und den rechner scannen
    4: spybot und malwarebytes finden mahmud auch in den unterschiedlichen varianten
    5: scans und immunisierung durchführen (dabei wird mahmud dann auch gelöscht)
    6: runterfahren
    7: mit dem ursprüngl. account anmelden, sollte jetzt alles wieder laufen wie vorher

  37. luggi | 9. Dezember 2011 um 03:34 | Antworten

    der schuft hat sich etwas geändert. aber der tipp mit den .exen des heutigen tages suchen war gut.genaugenommen hätte bei mir (dieses Mal) ein blick in den Autostart genügt ;-)
    er hieß 03346842157.exe nix mahmud oder jashla o.ä. Ich hatte ihn jetzt das 3te Mal in 6 Monaten immer hieß er anders und immer war seine Beseitigung etwas anders. Werde jetzt wohl mal das system neu aufsetzen incl. vorheriger MBR überschreibung. weil weg ist hier nicht immer wirklich weg. Danke an alle für die Teilnahme…da wünscht man sich ja fast schon das echte BKA auf seinem Rechner….da kann man wenigstens weiterarbeiten ;-D

  38. julian | 9. Dezember 2011 um 10:47 | Antworten

    Hallo! Ich habe alles so gemacht,wie es beschrieben wurde.. Jedoch finde ich die jashla.exe nicht und mein rechner zeigt nurnoch den blanken hintergrund an, ohne dass ich was machen kann. Oder muss ich bei vista etwas anders machen?

  39. Anna | 9. Dezember 2011 um 16:04 | Antworten

    Ich verstehe Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen nicht so wirklich. was soll ich denn da genau machen??

    Bitte helf mir =/

  40. Chris | 9. Dezember 2011 um 16:07 | Antworten

    Danke Leute bin durch diese Anleitung das Mistvieh recht schnell losgeworden. Falls jemand, wie es bei mir der Fall war, den Taskmanager danach nicht mehr benutzen kann:

    http://windows.microsoft.com/de-DE/windows-vista/Troubleshoot-Task-Manager-problems

    lg Chris

  41. Fellx | 9. Dezember 2011 um 17:08 | Antworten

    Hallo,

    zu 8. : „8.Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der Wert dieses Schlüssels ist der Pfad zum Trojaner z.B. C:\verzeichnis\zur\jashla.exe. Dieses Pfad unbedingt notieren, hier muss später die Datei noch gelöscht werden.“

    Der Wert dieses Schlüssels ist bei mir explorer.exe, ist das nicht seltsam ? ? Und ich finde die Datei jashla nicht, da u.a. mein Taskmanager durch den Administrator gesperrt wurde (Ich denke der Administrator is der Trojaner oder die Person die ihn bedient. ) Beim abgesicherten Modus kann ich dann auswählen zwischen „Administrator oder eben meinem Benutzerkonta, für was soll ich mich dann entscheiden ?
    PS : Ich bin ein echter Leihe ;)

  42. Sauerwiesauerbier | 9. Dezember 2011 um 19:53 | Antworten

    ’nabendzusammen!

    Einige allgemeingültige Ratschläge zum Thema Datenverwaltung an alle:

    1. Legen Sie keine wichtigen Daten auf der Partition C:\ (Systempartition) ab.
    Wenn Sie, um z. B. einen Trojaner loszuwerden, das Betriebssystem neu installieren müssen, sind alle Daten auf C:\ verloren, nicht aber die Daten auf anderen Partitionen.
    Sie müssen dann alle Programme neu installieren, aber die Daten können Sie weiter verwenden.

    Legen Sie daher bei der Betriebssysteminstallation mehrere Partitionen an; das geht auch nachträglich mit einem Partitionierungsprogramm (Suchbegriffe „Festplattenwerkzeuge“ oder „Systemwerkzeuge“ verwenden oder einfach in der Herunterladehitliste nachschauen):

    http://www.chip.de/Downloads_13649224.html?tid1=38994&tid2=0

    2. Legen Sie keine Daten auf dem Desktop ab, denn dieselben stehen dann auf der C:\-Partition und sind bei einer Betriebssystemneuinstallation futsch.

    Es beruhigt die Nerven ungemein, wenn man weiß, daß man jederzeit das Betriebssystem neu installieren kann, ohne dabei wichtige Daten zu verlieren. Daher sind auch externe Datenkopien, auf externen Festplatten, SSDs und USB-Sticks (im Prinzip ein Mini-SSD), wichtig.

    3. Ein gut konfiguriertes System sieht meines Erachtens so aus:

    Der Rechner enthält zwei Festplatten oder, wenn er schnell ist, ein SSD und zusätzlich zwei Festplatten.

    Festplatte 1:
    C:\ enthält das Betriebssystem, die Auslagerungsdatei, temporäre Dateien (welche übrigens ganz schön groß sein können, daher sollten auf C:\ nach derzeitigem Technikstand je nach Ansprüchen 10 bis 30 Gigabyte stets frei sein, plus 4 Gigabyte für die Auslagerungsdatei, bei einem 32-Bit-Betriebssystem) und diejenigen Programme, die relativ häufig durch aktualisierte Versionen ersetzt werden und die keine wichtigen Daten ablegen, wie z. B. Mozilla Feuerfuchs, das Antivirenprogramm oder den VLC-Medienspieler.

    D:\ enthält die Daten.

    Festplatte 2:
    E:\ enthält diejenigen Programme, die längere Zeit installiert bleiben sollen und die eventuell wichtige Daten ablegen.

    F:\ enthält Kopien der Daten, als Spiegelung der D:\-Partition.

    Zwei Festplatten erhöhen außerdem die Systemgeschwindigkeit, da zwei Controller für den gleichzeitigen Zugriff auf Daten zur Verfügung stehen und sich das Betriebssystem mit der Auslagerungsdatei auf der einen und die Programme auf der anderen Festplatte befinden.

    Ein SSD, auf das man die C:\-Partition legt, kann die Geschwindigkeit zusätzlich erhöhen, aber nur, wenn es entsprechend schnell ist, also vor allem dann, wenn es intern mit zwei Controllern arbeitet.

    Komplettsystemhersteller sparen sich gerne die zweite Festplatte, diese Schwabenschotten!
    Man sollte ein System vor dem Kauf individuell zusammenstellen, was bei vielen Händlern möglich ist, sofern man auf ein Billigheimerangebot verzichtet.

    Klapprechner haben ebenfalls meist nur eine Festplatte. Gut wäre es, wenn sie stattdessen mit zwei SSDs ausgestattet wären, die sind dann nicht nur schneller und ermöglichen wie die zwei Festplatten die Datenspiegelung, sie sind obendrein auch lautlos.

    Grüße
    Horststephan Sauerwiesauerbier

    Wenn e nicht mc² ist, dann muß e etwas anderes sein, und „Star Trek“ ist möglich.

    • Simon | 9. Dezember 2011 um 21:01 | Antworten

      @ Sauerwiesauerbier

      Ich darf mich dabei hoffentlich mal einmischen…^^

      Eine Festplattenpartionierung wird bei den meisten PCs und Laptops die fertig verkauft werden meiner Erfahrung nach angelegt oder beim ersten Starten vorgeschlagen.

      Ich persönlich habe immer 2 Partitionen. Nämlich [C] und [D].
      C:\ für das System und die wichtigsten Programme.
      D:\ für Daten und restliche Programme, sowie die Auslagerungsdatei.

      Das ganze läuft so sehr zügig und bei nicht Laptopplatten (mit meist ja nur 5400 U/min) auch ohne wirklich spürbare Wartezeiten.

      Eine zweite Platte kommt demnächst noch rein, damit ich mit dem RAID-Controller ein Raid1 machen kann.
      Im Zuge dessen wird mein [C] dann wohl auch auf eine 120GB oder 240GB SSD (preislich mal schauen) seinen Platz wechseln.

      Eine Systempartition von WindowsXP hat bei mir mittlerweile niemals mehr eine Grundgröße unter 40GB, eine Windows Vista / Windows7 Partition nicht mehr unter 60GB. Egal ob Privatrechner oder Firmenrechner.
      Leider möchte mein einer Chef nur neuinstallierte PCs immer mit einer Partition haben, auch alle Überredungsversuche schlagen da trotz des Wissensstandes leider fehl.

      Eine Partition, selbst die des Systems selbst, zu verkleinern oder vergrößern ist seit Windows Vista / Server 2008 auch komplett ohne Zusatzprogramme ganz simpel in der Datenträgerverwaltung möglich.

      Mein Backup läuft auf zwei Arten:
      1. Bislang auf externe Platte als Complete-PC (1TB) + inkrementell. Alles mit der Windows 7 Sicherungssoftware.
      2. Gewisse Daten per IPSec-VPN-Verbindung auf einen außer Haus stehenden Server.

      Zu den SSDs, auch in „Klapprechnern“ muss man aber ehrlicherweise noch dazusagen, das SSD’s trotz heutigem TRIM-Befehl lange nicht so lange halten wie normalerweise 2,5″ oder gar 3,5″-Festplatten.
      Dafür sind sie halt je nach Marken und Geldausgabe „sau“schnell und „unhörbar“.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Simon | 9. Dezember 2011 um 21:30 | Antworten

      Nachtrag:

      1. Mein Antivirensystem Eset NOD32 Antivirus liegt auf [D] und ist zusätzlich per Passwort geschützt.

      Und noch was persönliches…mein Vorname ist Simon, entsprechend ist „Herr Simon“ nicht ganz korrekt. :-)
      *schmunzelnmuss*

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  43. alex | 10. Dezember 2011 um 00:09 | Antworten

    hallo ich habe ganz oben die schritte befolgt nur wenn ich auf dem schlüßel shell bin ist da kein pfad wie finde ich den ? oder wenn da keiner ist heißt das das der da nicht drinne ist?

    gruß alex

  44. Arthur | 10. Dezember 2011 um 00:50 | Antworten

    Hallo leute ich wusste das deutschland ein gerechts land ist weil so einfach ne starfe da stand das was ich nei gemacht habe also leute wenn ihr das nicht versteht dann guck mal dieses video http://www.youtube.com/watch?v=rZuzB7dYWVM&feature=related hat mir sehr geholfen^^ viel glück

    • Simon | 10. Dezember 2011 um 01:07 | Antworten

      Mal abgesehen davon dass das Video recht schnell durchläuft und die Schrift kaum erkennbar ist *schmunzel*, gilt diese Variante zum entfernen des „Schädlings“ leider nur für ein paar von vielen mittlerweile vorhandenen Versionen.

      Viele Leute hier haben nicht mal mehr die Möglichkeit den Taskmanager zu starten, da dies vom „System“ untersagt wird.

      Die Anleitung als Video ist also fast nichts anderes als das hier oben und damit entweder
      + genauso nützlich
      oder
      + gut für Ansatzzwecke, für die eigentliche Entfernung aber nicht mehr komplett brauchbar.

      Aber es freut zu hören/lesen, das mal wieder jemand das Teil beseitigt hat.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  45. Rodrigo | 10. Dezember 2011 um 03:02 | Antworten

    Ich habe aus Versehen den Shell Schlüssel gelöscht. Aber bei dem Schlüssel Shell stand als Pfad : Explorer.exe und nicht der dateipfad von dem Virus ! Bitte um Hilfe…

  46. Tanja | 10. Dezember 2011 um 10:37 | Antworten

    Ich bin ihn los geworden! Gott sei dank! Ich bin auf Autostart gegangen da stand eine komische nummer bsp.23445.35445.55462.exe die habe ich gelöscht! Dan Systemwiederherstellung so ca 2 wochen und ein malwarebytes anti virus programm 2 mal durchlaufen lassen!
    Nun ist alles supi!

  47. Richard S. | 10. Dezember 2011 um 10:39 | Antworten

    Hallo ;)
    Mein Problem ich habe Win 7 Ultimate und ich bin bei schritt 9 Wo ich ihn löschen soll aber wie? wie? wie? da steht nur
    Name:
    Shell
    Wert:
    explorer.exe

    Unten kan ich nur OK oder Abrechen drücken. Aber Sie sagen ja komplett löschen das geht nur wenn ich mit der rechten Maustaste Klicke.
    Ich ich auf löschen drücke kommt en weiteren Fenster wo steht wenn ich ihn lösche könnte es Komstabilitätsprobleme entwickeln odr so ähnlich und ich weis nun nict was ich tun soll.
    Bitte schnell Helfen.
    Danke
    PS: Danke für die Info seite.

    MfG Richard S.

    • Simon | 10. Dezember 2011 um 11:35 | Antworten

      Ich mache es mir jetzt mal etwas einfach(er) und verweise erstmal nur auf folgenden Link:
      Hilfestellung zur Entfernung des vermeintlichen BKA/GEMA-Schädlings

      Hoffe das hilft schon weiter. :-)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Simon | 10. Dezember 2011 um 12:10 | Antworten

      Schauen Sie/schaue Du mal auf der Seite unter dem Punkt:
      In der Registry steht bei der „Zeichenfolge“ schon der „wert“ explorer.exe. Was nun?

      Dort steht die Antwort zum löschen des Wertes in der Registry wo Sie/wo Du dich gerade befindest.

      Weitere Schritte sind dort, wie auch hier schon mehrfach erläutert. Thema: Systemwiederherstellung oder Boot-CD/DVDs.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  48. daniel | 10. Dezember 2011 um 11:36 | Antworten

    Hallo habe alles gemacht was ihn der anleitung stand doch das verzeichnis jashla.exe gibt es bei mir nicht und der wert bei shell ist Explorer.exe ……
    mein betriebsystem ist Vista bitte schreibt mir was ich tuhen kann…
    Daniel.jackson01@gmx.de

  49. Richard S. | 10. Dezember 2011 um 11:42 | Antworten

    Hey danke für den Link aber können sie mir nicht einfach sagen ob ich alles lassen soll oder in mit der rechtenmaustaste löschen..
    Weil dort bin ich auch nicht grade fundig gewesen… :( ja sie denken wahrscheinlich ich wäre bekloppt aber ich wurde mich über ene weitere Antwort sehr freuen.
    MfG

    • Simon | 10. Dezember 2011 um 12:14 | Antworten

      Nicht falsch verstehen, das soll nciht böse gemeint sein, aber
      1. Ich habe diese eben genannte Seite selbst geschrieben anhand der Fehler und Lösungen welche hier bislang geholfen haben.
      Die Seite wird woweit als möglich mit neuen Erkentnissen gefüllt – sobald als dann möglich & nötig.
      2. Ich halte Sie garantiert nicht für bekloppt.
      3. Zu ihrem Post, schauen Sie/schaue doch bitte ma hier:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-17#comment-2900

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Richard S. | 10. Dezember 2011 um 12:15 | Antworten

      Danke Danke Danke Danke Danke
      Ich hab alles geschafft *-*.
      Sie snd cool xD.

      Mit Glücklichen Grüssen
      Richard S. :)

  50. Steve | 10. Dezember 2011 um 12:18 | Antworten

    Hallo!

    Habe seit ein paar Tage auch den Virus und habe auch die Anleitung befolgt.
    Wie beschrieben habe ich unter der Shell Datei den Pfad zur mahmud.exe datei durch Explorer.exe ersetzt.
    Nachdem ich aber das Fenster schließe und explorer.exe eingebe, erscheint immer noch das bild. andere datei namen wie jashla oder vasja findet er nicht.
    Nebenbei benutze ich noch windows xp

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.