„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Meine Nichte hat sich diesen Trojaner eingefangen als sie nach einem Weihnachts-Wallpaper googelte und an eine verseuchte Webseite geriet.
‚Letzte als funktionierend bekannte Konfiguration‘ (osä, Tipp von der Nickles-Seite) half nicht, der Trojaner startete trotzdem. Also wechselte ich in den Abgesicherten Modus, damit war er lahm gelegt, und begann mit der Suche in der Registry.
Die Shell war es nicht, die war sauber. Ich suchte darin eine Weile herum in mehreren Zweigen – ohne Erfolg.
Dann kam mir der Gedanke einfach mal im Autostart nachzusehen.
Man geht dazu auf den Start-Knopf, gibt in das ‚Ausführen‘-Feld ‚msconfig‘ ein und bestätigt mit der ‚Enter‘-Taste.
In den Diensten fand ich nichts Auffälliges (alle MS-Dienste ausblenden)
Aber in der nächsten Abteilung’Systemstart‘ war ein Programm im Autostart verzeichnet das einen sehr seltsamen Namen hatte – ‚Onion Ladder Botch‘ – und eine Herstellerinfo dass es von Packard Bell sei; auf einem SAMSUNG-Laptop. Die Exe hatte einen unlesbaren Zahlenwust als Dateinamen. Sollte der Trojaner tatsächlich eine derart triviale Methode für seinen Erpressungsversuch gewählt haben?
Deaktiviert, Rechner neu im normalen Modus gestartet, und der Trojaner lief nicht mehr.
PS: Meine Nichte hatte eine veraltete Java-Version auf dem Rechner. „Da kommt immer so eine Aufforderung zum Update, die habe ich immer weg geklickt,“ erklärte sie mir. Tja, nicht alles was ein Update anbietet ist eine Werbung für kostenpflichtige Virenscanner…
Manchmal wünsche ich mir doch eine Computerfahrschule.
Gruß, Gabriele
@ Gabriele
So hat es zu laufen.
Freut zu hören/lesen das es geklappt hat. Den Spruch ihrer Nicht kenne ich nur zu gut. :-(
Diese Tipps wurden zum Glück hier auf dieser Seite und auch auf meiner Seite + einigen weiteren Tipps/Lösungen aufgelistet (Hilfestellung zur Entfernung des vermeintlichen BKA/GEMA-Schädlings.
Die Beschreibung des Trojaners als Namen werde ich wohl auch noch dieser Seite hinzufügen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Also erstmal vielen vielen dank für die´Arbeit, die auf dieser Seite steckt! Habe nach 5 Stunden Sucherei unter msconfig diesen zahlenkombi gehabt und deaktiviert :
0.6880572802653021.exe Der Pfad war auch unter users\1\Appdata\Roaming\Microsoft\Windows\StartMenue\programs zu finden.
Nun aber die Frage : Wie bekomme ich diesen Pfad gelöscht? Deaktivieren reicht ja nicht aus, oder?
Ich als Inkompetenz am Pc bin einfach froh, dass das BKA Bild nicht wieder auftaucht!
@ Jennifer
Zwar wundert mich in dem angegeben Pfad das „\1\“ aber an und für sich soll ja nciht der ganze Pfad gelöscht werden.
Es müsste – theoretisch – reichen wenn man die genannte Datei löscht und dann mit einem (am besten OFFLINE-)Virenscanner das System nochmal scannt.
Entsprechende nötige Hilfe bzw. Links zu weiterführenden Programmen/ISO-Images für CD/DVD’s gibt es hier (z.B. unter den Punkten P11,P12,P13,P14).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Super Tip!!
Bei mir hieß das Programm „Sheik Snail Visit Widow Beret“
Hersteller angeblich auch Packard Bell.
Hallo Gabriele, hallo Simon,
vielen Dank für den guten Tipp. Hat geklappt. Rechner läuft wieder.
Ich habe noch eine Frage:
Ich habe den Trojaner im Systemstart deaktiviert und das Java-Update abgerufen. Jetzt werde ich mein System noch mit Avira Antivir und den Windows-Defender vollständig überprüfen lassen. Muss ich noch etwas tun, z.B. die betroffene Datei löschen oder eine Systemwiederherstellung durchführen?
Gruß Jens
@ Jens
Zu deiner Frage, würde ich dir
Punkt 11, Punkt 13, Punkt 14
nahelegen. Ich denke dort werden eventuell noch Dinge aufgezeigt, die jetzt noch nicht unbedingt (ohne was unterstellen zu wollen!) bei Dir/bei Ihnen bedacht wurden.
Generell gilt – Virus/Trojaner/ Schädlingssoftware-Dateien allgemein…IMMER runter vom System, bzw. gegen das Original austauschen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@Gabriele:
suuuuper tipp mit „autostart“. habe dort eine exe mit einem zahlen-wirrwarr gefunden und gelöscht. wer hätte gedacht, dass es so trivial ist.
vielen dank nochmal und allen hier ein frohes weihnachtsfest!
Hallo,
Malewarebytes ist auch sehr gut und kostenlos. Habs damit wegbekommen – im abgesicherten Modus. Also, kurz nachdem ich mich von meinem „Fast-Herzinfarkt“ erholt hatte. Schade, das man diese Idioten so selten erwischt..
Programm heißt Hiv Tread Lmn ebenfalls von Packhard Bell
Danke für den Tip! Hat super geholfen!!
Wenn ich regedit eingebe sag mein PC das der Admin irgendwas gesperrt hat aber ich bin der Admin und ich habe nichts gesperr. Wenn jemand weiter weiß bitte bescheid sagen.
WElche Schritte wurden bislang unternommen?
Kommst du noch ohne Internet in eine saubere „Abgesicherter Modus“ Oberfäche?
Ansonsten findest Du evtl. hier noch weitere Hilfe/Denkanstöße:
Hilfestellung zur Entfernung des vermeintlichen BKA/GEMA-Schädlings
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
bei mir funktioniert nichts von all den lösungen die ich hier gelesen hab. ich bin echt verzweifelt :-(
@ lisa
Könntest Du noch so nett sein und uns Ahnungslosen hier mal erzählen…
…was Du für ein Betriebssystem hast
…was Du schon „alles“ ausprobiert hast
…was schon „alles“ passiert ist.
Denn vorher kann jeder hier blind raten was überhaupt noch als Möglichkeit zur Hilfe Sinn machen könnte.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Der Tip mit dem Systemstart war sehr gut. Habe dort einen Eintrag entdeckt der sich auf eine temporäre Datei beruft, das kan mir sehr seltsam vor. Habe den Eintag deaktiviert den Trojaner in den temp Dateien entdeckt, nannte sich wpbtl0.dll. Danach nach dieser Datei in der Registrie gesucht und die ganze Gruppe gelöscht. Jetz ist wieder alles bestens!!!
Danke für den Dateinamen, ich habe ihn eben auf meiner Seite in meine Liste aufgenommen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegation)
Hallo Simon
Ich habe jetzt schon einiges durgelesen hab aber keine legale Seite gefunden wo ich mir den Virus holen kann, aber was ich gefunden habe ist ein Eintrag vom 9 Dezember von Herr Sauerwiesauer wie man ein System Installieren sollte, ich sag dir mal was, wenn Er kein Informatiker ist hat Er ne Menge gelesen und probiert oder einen ziemlich hohen IQ, was ich von dir gelesen habe das dein Chef möchte das ihr alles auf eine Partition schmeist hat mir weniger gefallen, ist deinem Chef eigetlich jemals der Gedanke gekommen wenn ein Kunde einen Arbeitstag oder mehr auf seinem Rechner speichert, den durch deinen Chef sein verhalten verliert, ( denn jede Xbeliebe Computerzeitschrift würde ja schon davon abraten ) das Er deinen Chef auf Ausfall verklagen könnte, vielleicht solltest Du ihm das mal sagen, also ich würde sowas machen. Denn schließlich möchte Er für seine geleistete Arbeit ja auch Geld sehen.
@ Ewald
Eine Sache wurde aber dabei nicht von Dir bedacht.
Wir liefern ja meist nicht nur die Rechner, sondern auch die Server/-Netzwerkinfrastruktur.
Im Zuge dessen gibt es an die Geschäftsleitung und die evtl. vorhandene IT-Abteilung eine direkte Anweisungen/einen Hinweis (schriftlich festgehalten!), das Dateien welche lokal abgelegt werden, statt im Netzwerk auf dem Server, NICHT gesichert werden.
Heißt also, wir haben uns dann Rückgesichert – man kann uns „nichts“ mehr.
Denn jetzt ist eben diese Firma dran, dies ihren Mitarbeitern „klar“ zu machen.
Weiterhin heißt eine solche verlorene Datei für uns mehr Arbeit = Geld. Ist also aus zumindest dieser Sicht, für uns, gut. (Im Geschäftsalltag muss man wohl leider auch etwas egoistisch denken, zumindest solange man nicht alleine mit seiner Geschäftsidee ist.)
Außerdem sieht das ja auch nur mein einer Chef von zweien so. (zum Glück^^)
Auerßdem hat dieser eine Chef selbst zuhause glaube ich mehrere Partitionen. *schmunzel*
ICh weiß nciht was Herr Sauerwiessauerbier gelernt hat bzw. beruflich macht. Aber er hat zumindest schon einige ERfahrungen gesammelt die sich hier manche durchaus mal zu Herzen nehmen könnten. Manchmal aber, und da nehme ich mich durchaus auch nicht aus, sind aber auch seine Tipps nicht ganz spruchreif.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Sehr fein, alles gut überstanden… Ich bedanke mich :)
Hallo,
ich habe die erste Datei, die shell Datei gelöscht, weil ich das nicht verstanden habe und jetzt, hab ich keine Ahnung was ich machen soll. Ich finde keinen mahmud und auch keinen jasha auf meinem PC und auch die Tipps haben mir nicht weitergeholfen.
Ich hoffe mir kann geholfen werden.
VG
Wenn Du in der Registry die Zeichenfolge Shell gelöscht hast, geht denn überhaupt noch was „sauber“ bei deinem PC?
Ansonsten sei erst mal gefragt ob ein Neustart gemacht wurde, wenn nicht, umso besser.
Denn dann zieht noch Punkt 9 von diese Seite:
Hilfestellung zur Entfernung des vermeintlichen BKA/GEMA-Schädlings
Bezüglich der Dateinamen auf dem System oder im Autostart, schau entweder hier mal die letzten 1-2 Seiten durch^^ oder schaue auf oben genannter Seite unter dem Punkt 14 „Wo sind die beliebtesten Fundorte? WElche sind die beliebtesten Dateinamen?“
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
PS: Da mein Webspaceanbieter aktuell gerade (hoffentlich nur temporär) down ist, muss wohl aktuell erstmal auf die Postings hier vor Ort zurückgegriffen werden. :-/
Hatte eben 0.2561508233844674.exe
Baths Phony Cliff Bale Plague Vatvon Packard Bell BV Version 6.4.0.0 als Fund
176 kb groß
Versteck: Benutzer-appdata-local-temp
Hallo nochmal,
„Welche „explorer.exe“ Dateien stehen aktuell zur Verfügung?“
Was soll man denn machen, wenn man Vista hat, aber explorer.exe nicht für dieses OS verfügbar ist?
LG
Schau mal auf www.bka-trojaner.de vorbei! Dort gibt es eine gute Übersicht über die Varianten incl. Anleitung!
Du könntest auch die weiteren Tipps hier auf der Seite und auf meiner Seite, z.B. die Systemwiederherstellung in Betracht ziehen.
Eine recht genaue Anleitung ist auf meiner Seite beschrieben.
Eine „explorer.exe“ von Windows Vista (32-bit) wird vermutlich heute NAcht „verfügbar“ sein.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich habe mir diesen Gema-Trojaner oder BKA-Trojaner am 11.12.2011 um 18:19 Uhr eingefangen.
Nach dem, was ich jetzt gelesen habe, scheint der Trojaner immer wieder in Wellen aufzutreten, die letzte war wohl im Juni-August 2011.
Ich habe meine anscheinend erfolgreiche Beseitigung aud www.supportnet.de beschrieben. Zentrales Problem für mich als Computer-Dilettanten war, dass so ein Netbook kein CD-Lauferk hat. Ich hatte einen seitenfüllenden Bildschirm, aus dem ich nicht herauskam, der abgesicherte Modus klappte nicht, ich kam auch nicht in den abgesicherten Modus mit Kommandozeile. taskmanager ging nicht, regedit nicht, explorer.exe nicht.
Folgende Trojaner fand ich:BDS/Backdoor.Gen5;wpbt0.dll;TR/Winlock.DU;
TR/Sirefef.J.113;e476yexdjs.exe.
Die Beseitigung wurde dadurtch erschwert, dass mein IT-Berater in den Ordnereinstellungen von Windows angekreuzt hatte, dass Systemordener und versteckte Dateien und Systemdateien nicht angezeigt werden.Dadurch konnte die Pfade nicht finden, wo sich die Trojaner versteckt hatten.
Gruss, Peter
Das mit den verstekcten Dateien & Ordnern anzeigen zu lasen wurde zum Glück hier schon häufiger behandelt. :-)
Die *.exe habe ich auf meiner Seite nun auch notiert/hinzugefügt. Danke also fürs beisteuern.
Die *.dll wiederum ist schon „länger“ bekannt und ändert sich wie es scheint außnahmsweise bislang somit noch nicht (namentlich).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Auch die Mitteldeutsche Zeitung berichtete nun über den BKA-Trojaner. Das sollten alle Tageszeitungen machen, um zumindest zu verhindern, dass wirklich noch jemand Geld bezahlt.
Beitrag unter: http://www.mz-web.de/servlet/ContentServer?pagename=ksta/page&atype=ksArtikel&aid=1321007859858
Ich glaube die Wetterauer Zeitung hat vor Wochen oder gar Monaten auch schon darüber berichtet. Einen Link kann ich aber gerade leider nicht beisteuern.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich bin echt am verzweifeln :(
ich habe überhaupt keine Computerkentnisse,
und jetzt auch noch so einen Virus,
ich weiß überhaupt nicht wie ich das alles mache.
ich habe mir das schon Durchgelesen, aber ich verstehe einfach ’nichts‘ :(
eine frage, reicht es eigentlich auch wenn man ein neues System auf den Computer spielt.?
Das System platt machen und Windows neu installieren hilft mit Sicherheit. Aber bedenke, dass dann alle deine Daten (Bilder, Dokumente, Favoriten usw.) weg sind. Ist eigentlich hier nicht notwendig.
Hol dir jemanden mit an den Rechner und versucht es zu zweit. Falls die o.g. Anleitung nicht dem entspricht, was bei dir zu sehen ist, dann hat sicherlich Simon vielleicht schon eine passende Antwort parat. Probier’s @Alexandra! Mein Sohn (10) hat es eigentlich auch hin bekommen …
@ Alexandra
Hast Du denn schon was probiert von der Anleitung oben?
Oder sieht es bislang nur zu kompliziert aus?
Sollte der Aufruf des Autostarts möglich sein, so ist dies eventuell schon der erste Schritt in die richtige Richtung. Wenn nicht, so schau mal auf die Seite von mir (siehe Link in Herr Weihmanns Posting), dort findet sich bestimmt die ein oder andere Idee bzw. vielleicht auch die LÖsung für Dich.
Ansonsten keine scheu, einfach fragen.
Oder Punkt 24 auf meiner Seite in Betracht ziehen – dann kommts aber auf den Wohnort an.^^
Viel Erfolg!
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Meiner war auch im Autostart zu finden und hieß goals wool thick trudge und war die mahmud.exe in appdata/roaming zu finden. Danke für eure Hilfe
hey zusammen,
ich habe über msconfig die datei wpbt0.dll gefunden, dort deaktiviert und im darüber geordneten ordner gelöscht. Jetzt funktioniert mein System wieder und ich mache grade mit AntiVir nen Virencheck.
Reicht das aus um wieder ohne Sorgen schlafen zu können??
LG und danke!
@ Dave
Im Posting https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-19#comment-3174 steht denke ich alles notwendige drin. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
Die Attacke durch den BKA-Virus hat mich schon sehr verunsichert. Wieso hat mich Avira nicht geschützt? Das letzte Update mit vollständiger Systemprüfung war am 9.12.; passiert ist es dann am 11,12. abends. Warum hat der DE Cleaner von Avira nichts gebracht? Wozu soll der gut sein?
Die einzige funktionierende Hilfe war übrigens die Anleitung hier, ich möchte mich ausdrücklich noch einmal dafür bedanken.
Gruss, Peter
Hallo Peter,
meinst du die freie Version von Avira? In diesem Fall würde sagen, dass es sich bei dem BKA-Trojaner nicht wirklich um einen Virus handelt. Die Signaturen, die im Hintergrund überprüft werden, suchen nun mal nicht nach „etwas“, was die Systemeinstellungen verändert.
Nun ist dieser Trojaner allerdings schon eine ganze Zeit im Netz unterwegs und taucht immer wieder neu auf. Warum die Security-Software- bzw. Browser- oder Betriebssystem-Hersteller darauf noch nicht reagiert haben, ist für mich fraglich.
@Simon: Sollte wirklich JAVA und nicht JavaScript der Auslöser dieses Problems sein, dann würde ich sagen: JAVA updaten, standardmäßig deaktivieren und im Browser nur nach Rückfrage zulassen. Ich persönlich hätte für JAVA überhaupt keinen Anwendungsfall.
@ Daniel
Das Problem kommt meines Wissens/Erachtens/meiner bisherigen Erfahrung nach über JAVA.
Da Java zwar gerne aufblinkt aber unbeachtet gelassen wird, ist es meist nicht auf dem aktuellen Stand.
Weiterhin haben bislang alle hier in der Firma kontrollierten/gereinigten/neuinstallierten PCs JAVA installiert gehabt, und auch entsprechende Schädlingsdateien in dem auf meiner Seite beschrieben Cache-Verzeichnis gehabt.
Ich selbst brauche zuhause auch bislang „fast“ kein JAVA. In der Firma aber zum Beispiel läuft unser Online-Einkaufssystem zum Teil mit Java.
und da es solche Anwendungen im Firmenbereich öfters gibt, braucht man doch bei der ein oder anderen Firma meist sämtliche PCs mit JAVA als installierter Software.
@ Daniel
@ Peter
Der Schädling selbst ist ja kein reiner Virus. Namentlich nennt sich solche Software ja „Ransomware“.
Prinzipiell richtet das Teil von sich ja auch erst mal keinen „Schaden“ an. Es blockiert ja „nur“.
Und genau das wird zusammen mit der Erkennungsgeschwindigkeit des jeweiligen Scanners das Problem darstellen.
Die Virenscanner prüfen auf „reine“ Viren nicht unbedingt aber auch auf, wie Du es ja schon sagtest, Ändeurngen an nicht Systemfiles.
Weiterhin muss auch keine Prüfung zu sehen sein, weil viele User ja als Lokale Administrative Benutzer angemeldet sind (besonders Heimrechner).
Entsprechend kann ein Browser & Betriebssystemhersteller machen was er will. Es nützt nichts wenn ein User/eine Userin als lokaler Admin dran sind, evtl. auch noch UAC (User Access Control) runter oder gar ausgeschaltet haben und dann noch JAVA für Browserspiele nutzen und dies dann nicht aktuell halten.
Die Verantwortung für solche Probleme liegen dann nämlich einzig und alleine beim User/bei der Userin.
@ Peter
Eine Antwort auf deine/Ihre Frage, auch wenn ich es mir einfach machte, findest Du/finden Sie unter diesen Postings:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-19#comment-3200
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Peter Zeller
Den DE-Cleaner kenne ich leider nicht gut genug um diese Frage beantworten zu können. Ich weiß aber, das ihn besonders noch vor einigen wochen diverse Leute hier ausprobiert haben und er rein gar nichts gebracht hatte. :-|
Zu dem Problem „Wieo geht das aber trotz Virenscanner“, da scha doch mal/schauen Sie doch mal auf Hilfestellung zur Entfernung der BKA/GEMA-Ransomware unter Punkt 20.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für systemintegration)
Hallo,
Mit Ausführen habe ich eben die msconfig gestartet, unter Systemstart finde ich zu meinem Entsetzen
e476yexdjs.exe Pfad:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Denselben Eintrag ein 2. Mal, und
Lqjqjb.exe Pfad:HKCU\SOFTWARE\Microsoft\CurrentVersion\Run
Was ist HKLM bzwHKCU ß
@ Peter
HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
Beides als Ober“ordner“ in der Registry (regedit) zu finden.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo ich bin genau nach obiger Anleitung vorgegangen.
Bei mir hieß der Virus Mahmud.exe und kam Von Packard Bell.
Danke für die Anleitung.
Eddy
Hallo
Wollte nur noch erwähnen ich habe mir den Virus eingefangen obwohl
F-Secure Internet Security 2011
und Spybot search & destroy
aktiv waren
MfG Eddy
Siehe dazu Punkt 20 und 20.1 auf meiner (Zusatz)webseite…Hilfestellung zur Entfernung der BKA/GEMA-Ransomware.
Ich denke/hoffe es dort einigermaßen verständlich erklärt zu haben.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Danke Simon.
Ich habe die Registry aufmerksam durchsucht, kann diese Einträge aber nicht finden.
Sie finden sich aber in der msconfig, nur dass jetzt HKLM bzw HKCU davor fehlt.
Peter
Die „schädlichen Dateien“ findet man i.d.R. im WindowsExplorer im Pfad, welcher im Autostart (also msconfig) hinterlegt war/ist.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich hab noch eine Frage: Wenn ich msconfig ausführe, dann zeigt er u.a. eine Liste der Prozesse an, die er startet. Davor sind Kästchen, wo man durch Häkchen setzen bzw entfernen den Prozeß aktivieren/deaktivieren kann, aber ich kann ihn nicht löschen.
Was tun?
Peter
Die Häckchen kann man setzen zum aktivieren und wegnehmen zu deaktivieren.
Gelöscht wird dabei dann weder der dort stehende „Pfad“ noch die Datei selbst.
Die Datei befindet sich irgenwo im Dateisystem.
(Siehe rein vermutlich, mal den Punkt P14 auf meiner Seite.)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
anscheinend sind Administratorrechte notwendig, wenn man die Samsung Recovery Solution nutzen will.
Wie mache ich mich zum Administrator?
Peter
Ich kenne die Samsung Recovery Solution leider keinesweg. Aber als Administrator sich anmelden oder unter
Start > Ausführen > „runas /user:“Administrativer Benutzername“ „Programmname.Dateiendung“
würde wohl den gewünschen Effekt bringen.
Das Programm hört sich aber zumindest nach einer kompletten Recovery des Systems an, und würde damit wohl ALLE Daten löschen – vermute Ich.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Die Uhr hier geht falsch. Es ist jetzt 14:55 Uhr.
@ Peter
Ist ja gut, das ist nur die Serverzeit.^^
Der Server geht einfach ne Stunde vor bzw. ist in einer anderne „Zeitsone“. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Habe dir Uhr gestellt! Mal sehen, ob neue Kommentare den Takt des Zeitservers entsprechen. War übrigens die System-Zeit in WordPress -> UTC+2
OK, Test bestanden! Jetzt stimmt auch der redirect-Wecker wieder. Danke für die Info.
@ Daniel
Okay, dann halt die WordPress-Zeit und nicht die Serverzeit. Aber hätte auch sein können. :-)
Gruß,
Simon
also mein bruder hatte den linken vogel auch aufn lap (acer laptop; bin grad dabei den zu entfernen) und bei mir hat auch der tip mit msconfig geklappt aber bei mir hatte die datei natürlich wieder einen anderen namen (im abgesicherten modus mit buchstaben also richtige wörter und im normalen modus wars auch ein zahlengewirr) nachdem ich die datei lahmgelegt hab bzw die dateien (bei ihm warens 2 mit verschiedenen zahlenkombinationen) hab ich im normalen modus also nachm neustart sofort avira gestartet und da hat der die datei auch sofort erkannt nur bei ihm wars auf nem anderen dateipfad
Guten Tag! Ich habe gerade die SHELL-Datei mit dem wert Explorer.exe gelöscht.War das ein riesengrosser Fehler?
wenn ja, kann mir jemand einen Tipp geben, dies ruckgängig
zu machen? Die Anleitung hatte mich ein wenig verwirrt,
zumal dort steht man solle den. Pfad löschen.Punkt 9 hat mir leider nicht geholfen.
Würde mich freuen wenn mir jemand weiterhelfen könnte!
@ Yvonne
Solange Du/Solange Sie den Rechner noch nicht neugestartet haben, ist es NOCH kein Problem.
Sollte eine Internetverbindung bestehen oder beser ein zweit-PC vorhanden sein, dann besuche/besuchen Sie bitte folgende Seite Hilfestellung zur Entfernung der BKA/GEMA-Ransomware und wählen dort Punkt P09.
Dort befolgen Sie was dort steht.
Alternativ gehen Sie in die Registry, an den selben Ort und legen per Rechtemaustaste eine „Zeichenfolge“ mit dem Namen Shell an.
Dann Doppelklickst Du/Doppelklicken Sie darauf und geben der Zeichenfolge den Wert „explorer.exe“ (natürlich ohne die „“).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich habe mal oben bei Punkt 9 hinzugefügt, dass nicht der Registry-Eintrag selbst gelöscht werden soll. Passierte ja bereits einigen in der Hektik.
Hallo, ich wollte heute diesen Schritten befolgen, da ich vor einigen Monaten schon diesen Schaden hatte, gleich nachdem ich firefox öffnete kam die BKA Meldung. Da ich aber mehrere Betriebssysteme auf meinem Rechner führte, habe ich das BS gewechselt und das Problem von da an ignoriert. Aber heute wollte ich das Problem beheben und als ich in Shell nach dem schädlichen Pfad zu suchte, war alles in Ordnung, WIE KANN DAS SEIN? Kann mir jemand eine Antwort geben, ist das schon jemandem widerfahren?
Wenn Du/Wenn Sie ein anderes Betriebssystem drauf haben und damit auf die (vermutlich ja) NTFS-formatierten Platten deines/ihres Windows-Betriebssystem zugreifen können, ist es ja „besonders einfach“.
Denn dann kann man ja recht simpel nach den mittlerweile hier genannten bzw. hier unter Punkt P18 aufgelistete Dateinamen und in die dort niedergeschriebenen Verzeichnisse schauen.
Der Nervtöter vom vermeintlichen BKA bzw. der GEMA geht ja nur wegen der utzung eines anderen Systems nciht von alleine wieder weg. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ja, natürlich war das keine Lösung, ich bediente mich meines Vorteils eines alternativen BS und verschob die Behebung des Problems, aber wie kommt es, dass ich nun problemlos auf Vista wieder normalen Zugriff habe und auch keine fremde bzw. schädliche Dateien gefunden habe, wie es oben beschrieben wurde? In Shell war wie im normalen Zustand ‚explorer.exe‘ als Wert drin. Kann es sein, dass die schädliche Datei woanders versteckt ist? Aber wenn, dann könnte ich den Rechner auch nicht normal hochfahren. (?)
Ah okay, dann habe ich das falsch verstanden gehabt.
Der BKA-Nervtöter ist also vermeintlicherweise nicht mehr aktiv. Auf dem System aber vielleicht schon noch. Zu seinen bisherigen Standorten kann man sich hier schlauer lesen.
Zumindest die berühmtesten dateinamen und Fundorte sind dort aufgelistet.
Der BKA’ler ist in der Regel sicherlich noch abgelegt. warum er jetzt nicht mehr aktiv zu sein scheint, kann ich leider hier genauso wenig beantworten, wie bei den Leuten die halt sofort den PC ausschalteten udn ihn danach auch „nicht mehr“ hatten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich habe diesen virus auch aber in abgewannter form , das heist da steht keine bundespolizei sonder ihrgendeine firma
names kanim oder kamon weiß ich jetzt auch nicht so genau aber kann mir hier jemande helfen ich komme hier nicht weiter
Kannst Du/Können Sie uns das Problem etwas genauer beschreiben?
Was ist an diesem Schädling anders als an der BKA/GEMA-Variante hier?
Was wurde bislang dagegen unternommen?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Juchu, diese Seite hat mir weitergeholfen, vielen Dank!
Ich hab die fragliche böse Datei unter:
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart gefunden. Name: 0.2859202659312702.exe
In msconfig war sie nicht zu finden und auch der Shell-Eintrag in der Registry hatte explorer.exe als Wert. Muss ich davon ausgehen, dass sich noch irgendwo Teile des Trojaners befinden?
Ungefähr die selbe Frage stellte gestern schon unter anderem auch Peter.
Meine Antwort war daraufhin dies hier.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
Verrsuche seit ein paarr stunden das loszuwerden klappt i-wie nicht mit dem ( F8 ) drücken kann mir bittteeee jemand helfen.? Danke schon mal im voraus
@ Anne
Was passiert oder passiert eben nicht wenn Du/wenn Sie per F8-Taste in den Abgesicherten Modus wollen?
In den Abgesicherten Modus per F8-Taste kommt man am einfachsten, wenn man ab dem Neustart des Computers/Laptops immer auf die F8-Taste „hämmert“ (nicht zu wörtlich nehmen!) bis eben die entsprechende Auswahl kommt.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Simon
Ja danke alles schoen und gut… aber er fährt sich werder hoch noch runter… wenn ich auf den on/off knopf drücke geht er aus und dann ebn wieder an.. ohne i-wie sich hochzufahren…
Also Du drückst auf aus und er geht aus, Du drückst an und er geht an.
Also der Schalter geht schonmal. *schmunzel*
Was passiert nach dem Einschalten? Gibt er Signale von sich? Sieht man was auf dem Bildschirm? Ist es ein PC oder ein Laptop/Netbook?
War es der BKA/GEMA-Nervtöter den Du (gesehen) hast, oder eine neuere Variante?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bitte um schnelle Antwort … :)
Danke
Anne.
Abwarten…^^
So schnell wie Du tippst, kann cih ein paar Zeilen mehr dann auch nicht tippen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bei mir war es ganz am Anfang so, dass sich das Netbook nicht mehr ausschalten ließ. Dann fand ich heraus, dass durch langes Drücken auf den I/O-Knopf das Netbook tatsächlich ausschaltete. Danach durch Einschalten und gleichzeitig „vibrierendes“ Drücken von F8 in die Eingabeaufforderung, danach weiter wie beschrieben.
Peter
@ simon..
ich verstehe die einzelnen schritte im allgemeinen nicht,
und meinen pc kann ich auch nicht platt machen..
ich weiß nicht wieso. welche gründe das hat..
oder sowas in der art. ich kann auch keine systemwiederherstellung zu einem früheren zeitpunkt machen, dort zeigt er mir leider genau das selbe an..
ich weiß nicht mehr weiter.
bis schritt 4 verstehe ich, aber danach nix mehr >_<
Puh, jetzt darf ich hier nicht mit Alexandra und Anna durcheinanderkommen. :-))
Also ohne jetzt dich ärgern zu wollen, aber ein bisschen hinterfragen muss ich halt.
DU kannst deinen PC nicht platt machen und warum nicht, das weißt Du nicht? Oder habe ich das missverstanden?
Was ist denn der ungefähre Wortlaut was er Dir jetzt schon anzeigt, was er dann auch bei der Systemwiederherstellung anzeigt?
Ich bin mir nämlich leider immernoch nciht ganz sicher wo genau Du dich jetzt befindest.
Schritt 4 wäre ja (nach obiger Anleitung) der Abgesicherte Modus mit Eingabeaufforderung.
Wenn Du also wirklich dies hast, dann wäre der nächste Schritt regedit einzugeben.
Und dann den oben beschrieben Pfad zu suchen und mal zu schauen was dort steht.
Ansonsten kann ich dir (und Anna) auch noch Punkt P24 von meiner Seite anbieten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Simon.
wenn ich mein Betiebssystem mit der entsprechenen cd installieren möchte. Läuft er ja erstmal so einen ‚Update‘ oder was das auch ist durch. und dann sagt er mir das es probleme gab, und vielleicht mein festplattenspeicher voll ist.. usw. aber das kann nicht sein, weil ich fast alles von meiner c-platte & d-platte geschmissen habe. >__<
hättest du einen vorschlag oder tipp wie ich meine festplatte komplett platt machen kann um das betriebssystem (xp) neu aufzuspielen? (Danach wäre der Virus doch eigentlich beseitigt oder)
Auch wenn Punkt P06 meine rSeite eigentlich für was anderes gedacht ist, so ist dies durchaus auch einer der Wege wie man deine Platte formatieren könnte.
Oder man lädt sich eine CD wie die „Ultimate Boot CD“ und nimmt eines der dort verfügbaren Tools zum formatieren.
ABER bedenke, alles was dann noch eventuell wichtiges auf der Platte ist, ist danach dann WEG. Alle Favoriten, alle eigenen Dateien, etc. etc.
Da Du aber Laufwerk D:\ hast, müsstest Du zumindest dies theoretisch nicht unbedingt formatieren.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
und das mit denn schritten habe ich erst ganicht durchgeführt.. aus der angst was falsch zu machen.
der virus ist bei mir auch gaanz anders..!
er hat mir nur einmal das fenster geöffnet, und ich hab das i.wie beendet (Keine ahnung wie) seid dem zeigt er mir das auch beim start des Computers nicht mehr an, ich kann ohne prob. alles machen, internet.. spielen usw. Antivir läuft durch, zeigt mir aber keine funde an. also 100% kein virus (sagt der anti vir) das einzige was ich halt habe ist :
Wenn ich mein taskmanager öffnen möchte ( [STRG] + [ALT] + [ENTF] )
sagt er mir:
Der taskmanager wurde durch den Admistrator deaktiviert. >_< ..
Was hat das zu bedeuten
s: ich bitte um Hilfe :(
Na das ist doch mal genial. :-)
Aber mal ehrlich – das ist jetzt doch eine Info die ich gerne früher gehört hätte.
Schon mal probier START > Ausführen > msconfig und dort unter Prozesse mal geschaut was eventuell an Programmen von Packard Bell oder an wilden Zahlenkombinationen (siehe meine Seite Punkt P14) gestartet wird?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ups, Denkfehler.
Nicht Prozesse sondern [Reiter] Systemstart meinte ich natürlich.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich bin zu doof dafür, ich weiß nicht wo das mit dem Packart bell steht..
Systemstartelement..
Befehl ..
Pfad..
wo finde ich das da?? ..
ich hab da viele mit Zahlengeschwür <.<
hier eines zum bespiel
RTHCDPL (systemstartelement)
RTHCDPL.exe (befehl)
und den pfad kann ich nich lesen..
und sowas hab ich glaub 3 mal oder soo.. s:
nur etwas anders
@Alexandra
Schau mal hier.
@ All
Ich habe dies Bild auch auf meiner Seite verlinkt.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hallo,wir haben uns des ding eingefangen und auch per anleitung gelöscht, aber der trojaner ist nicht weg und der läppi schmiert immer ab. ich habe mir auch schon im abgesichertem modus malewarebytes runtergeladen und versucht es durchlaufen zu lassen aber sobald es die dateien im system erreicht,geht der läppi wieder aus,kann mir wer bitte helfen???
@ Jennifer
Interessantes Phänomen – soviel sei schonmal vorweg gesagt.
Immerhin seid „ihr“ schon mal mindestens zu zweit, so das einer dem anderen Tipps geben kann. :-)
Da Problem so vermute ich, kommt wohl daher, das der bisher meist nur als Nervtöter in Erscheinung getretene BKA’ler nun in einer Variante drauf ist, welche sich „geschickter“ anstellt.
Sprich er es wird erkannt wenn eine seiner Dateien gelesen/gelöscht wird/werden soll und dies nicht von ihm geschieht.
Dies ist zwar nur eine These, viel mehr sinngemäßes kann ich mir aber nicht vorstellen – aktuell.
Wurde schon mal eine Systemwiederherstellung in Betracht gezogen?
Möglichst natürlich, wenn vorhanden, einen Tag vor dem BKA-Befall.
ODer auch ein Backup zurückzuspielen?
Auch gibt es natürlich neben Malware Antibytes durchaus noch andere Möglichkeiten:
1. Siehe P12 für Boot-CD/DVD/Sticks
2. Siehe P13 für Diverse Programmtipps
3. Siehe P06 wg. USB-Adapter
Hoffe geholfen zu haben. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ simon
ich habe leider icht so viel ahnung von systemwiederherstellung und ich weiss leider auch nicht wann eine sicherungskopie erstellt wurde,geschweige denn wie man die macht.ich habe gerade mal den läppi im normalen modus hochgefahren um zu schauen was er heute macht und nun kommt net mahr des bka-gedöns,sondern er fährt normal hoch,baut den desk auf und zwieschendurch ist alles kurz verschwunden für ein paar sekunden,dies geschieht ein oder zweimal. wenn ich nun irgendwas machen will wird ein fenster geöffnet wo drin steht:
Fehler beim Laden von
C:/Users/AppData/Local/Temp/0.4464616337736478.exe
was kann denn das sein?
Und was mach ich wenn ich „SHell“ komplett gelöscht hab? Hatte das falsch verstanden. Mein Laptop funktioniert aber scheinbar noch. War das sehr wichtig, muss ich da jetzt irgendwas machen?
Siehe dazu folgendes Posting.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Muss da denn nur „explorer.exe“ drin stehen?
Wofür ist „Shell“ denn überhaupt gut“?
Ja, da muss/darf/sollte, bei einer Standardkonfiguration, nur explorer.exe drin stehen.
Die explorer.exe braucht Windows um Dir überhaupt so Sachen wie deine Taskleiste, deinen Desktop, etc. sauber und richtig darstellen zu können.
Nicht als Erklärung aber als Hinweis…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ok gut, Danke :)
Erstmal bedanke ich mich bei allen, die so zahlreich kommentiert und mir dabei indirekt geholfen haben, den Trojaner auszuschalten.
Ich hatte mich dazu entschlossen, mein kostenpflichtiges Norton gegen ein gratis ANTIVIRen Programm zu tauschen, wie sich herausstellen sollte, ist das ein Fehler gewesen…sonst wäre ich ja nicht hier ;-)
Mein ‚Shell‘ war auch in Ordnung, habe dann im ‚Abgesicherten Modus mit Eingabeaufforderung‘ den Befehl ‚msconfig‘ eingegeben, mit ‚Enter‘ bestätigt und im Reiter ‚Systemstart‘ nach komischen Namen und ‚Packard Bell‘ ausschau gehalten. Bei mir hiess er
‚Darts Bough Wasp Deal Nylon‘
Hersteller (man ahnt es) Packard Bell.
Ich habe das [x] geklickt und neu gestartet, sodass der Befehl beim Hochfahren nicht mehr ausgeführt werden kann – es hat auch geklappt – bloss nun finde ich, obwohl ich mir den Pfad notiert habe, die Datei nicht, die ich löschen muss, um den Trojaner zu entfernen. Kann es also sein, dass es sich heirbei um eine unsichtbare Datei handelt? Wie kann ich sie dann sichtbar machen, so dass ich sie löschen kann?
Lieben Gruß an alle fleissigen ‚Virenbuster‘ :-)
Mathias
Kleine Anmerkung zum Tausch des Antiviren-Programms.
Der Tausch von kostepflichtig zu nichtkostenpflichtig hat den BKA’ler denke ich keine Bohne interessiert.
Dazu empfehle ich noch die Punkte P20 und P20.1 auf der schon von dir genannten Seite.
Der Text von 20.1 ist vielleicht etwas hart geschrieben, aber entspricht, leider, zumindest meist der Tatsache.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Kleine Korrektur meiner eigenen Verlinkungen:
Dazu empfehle ich noch die Punkte P20 und P20.1 auf der schon von dir genannten Seite.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
„Kann es also sein, dass es sich heirbei um eine unsichtbare Datei handelt? Wie kann ich sie dann sichtbar machen, so dass ich sie löschen kann?“
Hat sich schon erledigt. Habe auf http://kunden.pp4it.de/bka-entfernung.php P17 nachgelesen.
Grosses Dankeschön nochmal!
Hatte den Trojaner auch gerade.
Und es hat bei gute 2 Stunden gekostet die Datei zu finden.
Mein Tip dazu: Merkt euch Datum und Zeit wann der Bundespolizei Bildschirm das erste mal aufgetreten ist.
Das hat mir geholfen die verdächtige Datei einzugrenzen.
Danke für die Informationen und Hilfestellungen auf dieser Seite.
Abschließend noch ein paar Informationen die ich der Schad-Datei entnommen habe.
Dateiname:
0.1811899016702101.exe
Dateipfad:
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp
Dateibeschreibung:
Bugle Sequin Bad Raped
Firma:
Packard Bell BV
Größe:
174 KB (178.176 Bytes)
Gruß
Stefan
Freut zu hören das wieder jemand das Teil losgeworden ist.
Danke für die Infos, ich habe diese in meine Seite soeben integriert.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Guten Morgen Simon
Ich hab schon wieder versucht über deine Hompage mit dir Kontakt aufzunehmen, mein Text muß länger als 10 Zeichen sein, mein Text war länger als 1o Zeichen, was mach ich falsch…???
Viele Grüße Ewald
Hallo Ewald,
bis ich da geregelt habe…schreib mir einfach unter bka-virus@kundenn.pp4it.de. ;-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker fürSystemintegration)
kunden natürlich nur mit einem n.^^
kann mir mal bitte jemand helfen??
weiter als Schritt 8 komme ich nicht =(
danke
@ Karina
Was steht denn dort jetzt drin?
Vielleicht schon explorer.exe?
Wenn ja, dann schau doch mal ob im Autostart (msconfig) was drins teht, oder eine Systemwiederherstellung eine Option wäre?
Weitere Hinweise/Hilfestellungen & Ideen dazu gibt es hier.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo nochmal..
ich komm immer noch nicht weiter -.-‚
Ehm .. könnte mir vielleicht jemand sagen wie ich einen Backup mache, wenn das helfen könnte?
&’was dieses genau ist S:
@ Alexandra
Hast Du nun was im Autostart gefunden und rausgenommen?
Oder was wurde bislang von deiner Seite noch unternommen?
Jetzt ein Backup zu machen hat keinen Sinn mehr, ein Backup macht man am besten täglich oder zumindest wöchentlich von seinen wichtigtsten Daten oder dem ganzen System.
So das man für den Fall der Fälle gerüstet ist.
Mit fruendlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
also bei Shell ist explorer.exe angegeben…
jetzt habe ich es noch einmal versucht und eine Datei namens 0.3222414293416097.exe gefunden und gelöscht.
Seitdem läuft mein laptop gar nicht mehr hoch, es erscheint nur ein schwarzer bildschirm
@ Karina
Hst Du diese Datei (die 0.3222414293416097.exe) direkt gelöscht gehabt?
Schaffst Du es noch in den Abgesicherten Modus? Wenn ja, dann müsstest DU in den Autostart kommen können (Start > Ausführen > msconfig) um dort den Haken bei eben jener Datei entfernen zu können.
Danach sollte der Spuk, so ich alles von Dir richtig verstanden & gelesen habe, vorbei sein.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Simon
Naja Danke trotzdem :(
zu dem Bild das du verlinkt hattest..
es sieht bei dir ganz anders aus, bei mir steht nichts mit Hersteller S: .. es wäre alles soviel leichter wenn ich den Task- manager öffnen könnte. :(((
@ Alexandra
Der Taskamanger wird halt blockiert. Da kann man ohne diverse andere Maßnahmen so auch nichts dran ändern.
Wenn bei Dir das Fenster ganz anders aussieht, dann heißt es vermutlich auch nicht „Systemkonfiguration“ und hat keinen Reiter der (ungefähr) Systemsart heißt.
(Ich weiß leider aktuell auf die Schnelle ausm Kopf nicht mehr ob es unter Windowsversionen UNTER 7 genauso betitelt war.)
Solltest Du also nicht in genau diesen Autostart kommen (Start > Ausführen > msconfig > [OK]
dann bleibt nicht mehr soo viel übrig.
Bzw. es bleibt noch einiges, aber nichts was Du wohl ohne weiteres hinbekommen wirst.
Im Zuge dessen unterbreite ich gerne nochmal auch Dir, das Angebot einer (Vorort-)Problembehandlung. Vorrausgesetzt Du Wohnst in der Umgebung von Frankfurt (am Main).
Ansonsten suche einen anderen IT-Dienstleister auf oder formatiere die Festplatte (und verliere dabei vorraussichtlich ALLE Daten).
Das soll alles nicht böse gemeint sein, aber so wiederspenstig war bislang hier noch keiner der vermeintlichen BKA-Schädlinge.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hab ich etwas falsches gelöscht??
o: Habe noch eine weitere frage.
ich habe unter Dienste etwas gefunden das heißt
FsUsbExService & der Hersteller ist Teruten..
kann mir jmd. sagen wer oder was das ist >____<
@ Alexandra
Solange die dazugehörige Datei unter folgendem Pfad zu finden ist, sollte die Wahrscheinlichkeit eines Virus (an dieser Stelle) sehr gering sein:
C:\WINDOWS\system32\FsUsbExService.Exe
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bei mir hieß die Datei „Sled Hairdo Pumps Noah“ ebenfalls von Packard Bell!
MfG
weiss einer was das zu bedeuten hat:
Fehler beim Laden von
C:/Users/AppData/Local/Temp/0.4464616337736478.exe
ich habe weiter oben das schonmal gefragt,bloss nu muss ich den läppi so langsam fertig bekommen ;)
@Jennifer
Wenn Du in den Autostart reinkommst (Start > Ausführen > msconfig > [OK]) wird dort vermutlich genaue diese Datei dir im Reiter „Systemstart“ irgendwo entgegenleuchten.
Nimm die Datei dort raus und starte den PC mal neu.
Danach sollte diese Meldung nun nicht wieder erscheinen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
…aber vorher en Pfad notieren!
Peter