Beitrag wurde zuletzt am aktualisiert

Bundespolizei Trojaner entfernen

Bundespolizei Virus / Trojaner entfernen

„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.

Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!

Schritt für Schritt Anleitung


Neue Varianten vom BKA-Virus (Bundestrojaner) im Umlauf! Alle Informationen + Videos zum Entfernen der Schadsoftware im GVU-Trojaner 2013 Beitrag, falls diese Tipps nicht zum Ziel – der vollständigen Wiederherstellung des Rechners – führen sollten

Die ersten Schritte bei Problemen dieser Art

Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!

  1. Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
  2. Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
  3. Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
  4. Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
  5. Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
  6. Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.

Anleitung zum Löschen des Bundespolizei Virus

Bundespolizei Virus - Bildschirm eines infizierten Windows PCs

Bundespolizei Virus – Bildschirm eines infizierten Windows PCs

  1. Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
  2. Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten

Windows im abgesicherten Modus starten

  1. Windows startet nun in einer Art Minimal-Konfiguration.
  2. Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
  3. Den Befehl regedit eingeben und [Enter] drücken
  4. Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
  5. Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
  6. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
  7. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
  8. [OK] klicken und das Registry-Fenster schließen [x].

Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.

Windows-Registry - Pfad zur jashla.exe

Windows-Registry – Pfad zur jashla.exe

Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.

Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).

Den Rechner jetzt ganz normal neu starten

Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.

Rechner auf Schadsoftware prüfen

Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.

Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.


Was heißt, der Spuk ist „erst mal“ vorbei?

Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.

Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!

Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …

Ich konnte euch mit den Informationen rund um das Thema Bundespolizei Trojaner entfernen weiter helfen? Dann bewerte diesen Beitrag ganz kurz und/oder hinterlasse einen Kommentar.

Bewertung für Bundespolizei Trojaner entfernen:
Sehr schlecht, mir fehlen die WorteHat gar nicht geholfenHat bedingt geholfenSehr gut, hat soweit funktioniertSuper, hat alles geklappt
 4,79 von 5 1 bei bislang 34 abgegebenen Stimmen.

121 Kommentare zu "Bundespolizei Trojaner entfernen"

  1. Tino | 17. Dezember 2011 um 14:30 | Antworten

    hallo leute,
    tut gut zu wissen, man ist nich allein mit diesem dreck.
    dank eurer hilfe konnte auch ich jene dateien finden,welche auf meinem rechner nix zu suchen hatten.
    bei mir waren es in der systemkonfiguration (msconfig) / systemstart der eintrag Ahem Ridge Meld Canal Godly Fop wie bei allen Hersteller Packard Bell BV…
    und in der abteilung dokumente und einstellungen temp eine datei 0.589876403705081 auch mit 174 kb und exakt zu der zeit an der das fenster zum erstenmal kam. der hinweis packard bell hat mich auf die richtige spur gebracht.
    danke euch allen
    mfg tino

  2. Hagn Thomas | 17. Dezember 2011 um 15:00 | Antworten

    Hallo Leute ich habe jetzt auch leider den bka-trojaner „frohe Weihnachten haha“ . Da das mein Firmen PC ist, bin ich nicht gerade scharf darauf ihn platt zu machen. Deshalb habe ich im Internet nach Lösungen gesucht, und so bin ich zu euch gekommen sehr gute Beschreibung

    !!! ABER !!!
    der trojaner ist nicht in Registry zumindest nicht so aufgeführt ich habe das win 7 prov. Betriebssystem mein Pfat war :

    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

    dort sind 5 Objektdaten enthalten:

    (Standard)
    BuildNumber
    ExcludeProfileDirs
    FirstLogon
    ParseAutoexec

    könnt ihr mir vielleicht helfen den dreck weg zubekommen?

    Gruß Thom

    • Simon | 17. Dezember 2011 um 15:07 | Antworten

      @ Hagn Thomas

      Schaue du/Schauen Sie doch bitte eine Seite vorher nochmal oder direkt hier.
      Die Datei welche ausgeführt wird, steht nicht mehr unbedingt in der Registry drin. Dies liegt daran, das es minimum schon 9 verschiedene Varianten gibt (wen ich richig infpormiert bin). Wohl aber zu 99% im Autostart.

      Hoffe damit schon geholfen zu haben.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  3. Jennifer | 17. Dezember 2011 um 15:48 | Antworten

    @ simon
    hab ich denn dann auch den besch….eidenen trojaner auch wieder oder hab ich den vllt schon gelöscht? weil wenn ich den läppi im normalen modus starte, kommt nix mehr von dem dingen aber halt wenn er mit dem aufbau fertig ist diese meldung und denn geht nix mehr

    • Simon | 17. Dezember 2011 um 16:03 | Antworten

      @ Jennifer

      Wenn Du den Computer mit einer neuen Installation versiehst, also von der Installations-CD/DVD oder der Recovery-CD/DVD installierst, dann bist Du in der Regel alle deine Sorgen (was den Schädling angeht) los.

      Das Problem wären dann eher deine ganzen Altdaten, da diese dann auch weg sind.

      Interessant und noch nicht so ganz erklärbar finde ich da Verhalten deines Computers.
      Solltest Du die Datei gelöscht haben, er diese aber „nur noch“ suchen, dann kommt zwar eine Fehlermeldung aber er dürfte nicht stehen bleiben.

      Eine Sache kannst Du ncoh prüfen…
      BEVOR er fertig hochgefahren ist und diese Meldung kommt. Kommst Du eventuell noch in den Taskmanager (STRG + ALT + ENTF oder STRAG + Großschreibtaste + ESC oder Rechte Maustaste auf die Taskleiste)?
      Wenn ja, dan schau doch mal ob da ncoh ein Prozess mt komischem Namen/Zahlenkobination im Reiter „Prozesse“ läuft.
      Sollte dem so sein – kill ihn!

      Würde mich noch interessieren.

      Weiterhin (glaube ich schrieb es schonmal), auch für dich natürlich das Angebot einer (Vorort-)Problembehandlung. Vorausgesetzt Du Wohnst in der Umgebung von Frankfurt (am Main).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  4. Jennifer | 17. Dezember 2011 um 16:37 | Antworten

    ich habe es nun über den taskmanager versucht aber kurz nach dem öffnen unter „prozesse“ bricht der läppi wieder ab. ich habe da einies stehen und eine komische buchstabenkombination aber der manager wird so fix wieder geschlossen,das ich nix machen kann. bleibt mir jetzt nur noch die neu installation? und wenn ja,kann ich denn über den abgesicherten modus noch einige daten retten?

    • Simon | 17. Dezember 2011 um 16:50 | Antworten

      @ Jennifer

      WEnn Du in den abgesicherten Modus kommst und er dort nciht die gleiche Problematik hat mit dem „stehen bleiben“, dann kannst Du dein System nach genau dieser Datei durchsuchen.
      Oder suche nach neuen Dateien an dem Tag als es geschah.

      Sollte das nicht funktionieren, dann nehme dir einen Stick oder eine externe Festplatte und sichere Daten dorthin.
      Das Sicherungsmedium steckse aber erst dann wieder an deinen Computer, wenn dein System neuinstalliert ist und 100% geschützt (soweit als möglich halt).
      Dann alles gesicherte mit dem installierten Virenscanner scannen und erst dann die Daten zurückkopieren auf den Computer.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  5. Robert | 17. Dezember 2011 um 17:06 | Antworten

    Hi,

    auch ich habe mir anscheinend diesen Trojaner eingefangen. Ich wollte auch wie oben beschreiben vorgehen, jedoch stand bei Shell bereits der Wert explorer.exe
    Außerdem scheint das Problem auch nur auf eine Seite beschränkt zu sein. Was ist da los? Hat mein Antivirenprogramm brereits den Trojaner gelöscht oder versteckt der sich einfach nur sehr gerissen?

    • Simon | 17. Dezember 2011 um 17:33 | Antworten

      @ Robert

      Prinzipiell an beiden Orten…Registry und Startmenü.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Robert | 17. Dezember 2011 um 17:57 | Antworten

        Hi,

        also, ich habe jetzt alle Schritte befolgt und auch eventuelle Prozesse aus dem Autostart rausgenommen. Es startet jetzt keine Internetseite mit dem ganzen Bundespolizei-Zeug mehr und ich habe auch größtenteils die Kontrolle über den PC. Nur der Task-Manager ist nach wie vor deaktiviert. Woran kann das liegen? Ist der Virus noch auf dem Computer? oder habe ich einen Prozess übersehen?

    • Simon | 17. Dezember 2011 um 17:11 | Antworten

      @ Robert

      Entweder die Nummer 2 der Theorien, oder eine kombination aus 1 & 2.
      Schau mal/Schauen Sie mal im Austostart nach. Ich vermute das dort dennoch etwas drin stehen wird.
      Für Dateinamen und Verstecke, kann hier geschaut werden.

      In wie weit ist es „nur auf eine Seite“ beschränkt?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Robert | 17. Dezember 2011 um 17:17 | Antworten

        Wir haben auf unserem Computer 3 verschiedene Benutzerseiten (Win XP). Der Trojaner scheint aber nur auf meinem Benutzerkonto wirksam zu sein. Auf den anderen Benutzerseiten kann man keine Veränderung beobachten.

    • Simon | 17. Dezember 2011 um 17:21 | Antworten

      @ Robert

      Ah, also verschiedene Benutzerkonten.
      Ja das kann sein. Es gibt Varianten mit Infektion mehrer Nutzerkonten ud welche ohne dieses „Feature“.
      Tendenziell ist natürlich deine/Ihre Variante die „beste“, denn damit lässt sich da Teil recht simpel (im Regelfall) entfernen.

      Wie gesagt, Autostart und Fundorte (siehe meine Seite) durchsuchen.
      Danach sollte der Nervtöter vom angeblichen BKA eigentlich „weg“ sein.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Simon | 17. Dezember 2011 um 18:07 | Antworten

      @ Robert

      Es klingt ncoh irgendwi danach, als wäre da sehrwohl noch etwas gestartet das zum BKA’ler gehört und den Taskmanager blockiert.

      Es könnte aber auch nur ein umgestellter Registry-Schlüssel sein.
      Schau mal in der Registry in folgendem Schlüssel:
      HKEY_CLASSES_ROOT\exefile\shell\open\command
      die Zeichenfolge (Standard) sollte auf
      „%1“ %*
      stehen.
      Alternativ kann man auch hier das entsprechende Script laden das diesen WErt wieder herstellen sollte:
      http://www.wintotal.de/server/tipps/exefile_command_standard.zip

      Quelle des Registry-Tipps: http://www.wintotal.de/tipparchiv/?id=1086

      Ich werde den Tipp aber auch noch in meine Sammlung aufnehmen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Simon | 17. Dezember 2011 um 18:10 | Antworten

        Ups, das war nur der 1.te Schritt…
        Den Taskmanager aktiviert man dann wieder folgendermaßen:

        Registry öffnen und folgenden Schlüssel suchen
        HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

        Im rechten Fenster einen neuen DWORD-Wert erstellen mit dem Namen DisableTaskMgr.

        Der Wert 1 sperrt den Taskmanager.
        Der Wert 0 oder ein Löschen des Eintrags DisableTaskMgr gibt den Taskmanager wieder frei.

        Quelle: http://www.wintotal.de/tipparchiv/?TID=1026

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  6. Britta | 17. Dezember 2011 um 19:26 | Antworten

    Hallo zusammen,

    wir haben dasselbe Problem. Allerdings reagiert der Bildschirm unseres Lap’s überhaupt nicht mehr, null Bild, nicht mal die Maus zeigt er an. So kann ich gar nichts machen. Möglicherweise hat er auch den Geist aufgegeben oder kann es doch an dem Virus/Trojaner liegen?

    LG, Britta

    • Simon | 17. Dezember 2011 um 19:37 | Antworten

      @ Britta

      Es ist zumindest sehr ungewöhnlich. Dies Phänomen hatten aber schon diverse Leute hier.
      Kann man den PC denn (per Knopfdruck, ca. 2-15 Sekunden gedrückt halten) ausschalten?

      Was passiert danach?
      Hatte der Computer vorher schon Probleme, oder wie kommst Du/kommen Sie darauf, das es ein Computer (Hardware) Problem sein könnte?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  7. Fanny | 17. Dezember 2011 um 18:28 | Antworten

    ich habe mir den spass wohl auch eingefangen und erstmal einen riesen schreck bekommen…

    dan habe ich im abgesicherten modus ein antivir durchlaufen lassen und auch 3 fehler gefunden und gelöscht…bisher funktioniert es wieder…
    Allerdings hab ich es gestern auch geschafft durch das reseten meines routers den rechner wieder zum laufen zu bekommen und erst heute morgen beim erneuten starten kamm wieder diese meldung der angeblichen bka…
    ich habe jetzt auch hier mal deine liste abgearbeitet und unter shell steht bei mir schon explorer.exe
    Kann es also sein das ich diese gerümpel los bin oder passiert mir morgen früh das gleiche wie heute schon… immoment läuft alles reibungslos…

    mfg

    • Simon | 17. Dezember 2011 um 18:34 | Antworten

      @ Fanny

      Dem Frieden würde ich nicht trauen…
      Schau mal hier. Dort findest Du/finden Sie sicherlich noch die ein oder andere Anregung/einen Hinweis wo noch geschaut werden sollte.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  8. yaml | 17. Dezember 2011 um 18:43 | Antworten

    Hallo, ich wollte nochmal fragen, warum bei mir der Fehler einfach weg sein kann? Ich kann problemlos wie normal in dem ursprünglich geschädigtem Betriebssystem arbeiten, aber denke, dass der Fehler noch nicht behoben ist.

  9. Britta | 17. Dezember 2011 um 19:48 | Antworten

    @ Simon

    Danke für die rasche Antwort :-)

    Also ausschalten per Knopfdruck funktioniert (5 Sek.). Das Lap ist asbach, also schon 5 Jahre alt und war in den letzten Wochen online recht langsam. Die Anwendungsprogramme wie Word oder Excel funktionierten normal. Leider bin ich ne absolute „Software-Deppin“ und hab sonst keine Ahnung von Computern.

    LG, Britta

    • Simon | 17. Dezember 2011 um 19:53 | Antworten

      @ Britta

      Okay 5 Sekunden Ausschaltzeit sind normal. :-)

      Naja, ich habe hier ein NB das 4 und eines das ca. 5,5 Jahre alt ist und die laufen sehr gut.
      Okay, zumindest letzteres ist auch erst recht frisch installiert worden, läuft aber wie eine 1.

      Solange die Festplatte keine Macke(n) hat, sollte man sich mal überlegen da Gerät neu aufzusetzen un. Danach bessert sich zwar die Hardware nicht weiter (verständlicher weise), aber es sollte zumindest wieder nutzbar sein.

      Jetzt aber zum BKA’ler…wie ergeht es ihm aktuell?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  10. aTOM | 17. Dezember 2011 um 18:49 | Antworten

    Hallo alle leidensgenossen.
    Ich hatte auch das zweifelhafte vergnügen von den virus besucht zu werden. bei mir gab es nur eine besonnerderheit meine firewall hat alarn geschlagen und hatt mir ein paar dateien zum löschen vor geschlagen. Danach kamm dieser lustige hitergrund -_- dazu. wie blöde habe ich auf säubern gedrück was mir COMODO angebotten hat und dan ging nichts mehr. nach den schock habe ich neu gestart und alles lief wieder.als nächtes habe ich die anleitung von euch durch gelesen(wirklisch toll gemacht ;) ) habe alle schritte befolgt bis ich zum shell schlüssel kamm.bei den werten stand kein Pfand sondern immer noch Explorer.exe hatt das was zu bedeuten hatt comodo alles abgefangen oder gelöscht???

    wäre nett wen ihr euer wissen oder vermutungen mit mir teillen würdet. lg

    tut mir leid wegen den ausdruck und der rechtschreibung ist das erste mal das ich was in ein forum schreibe.

    • Simon | 17. Dezember 2011 um 18:59 | Antworten

      Bitte ein bzw. drei Beiträge höher mal schauen. Denn es ist – vom Prinip her – das selbe Problem.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  11. Britta | 17. Dezember 2011 um 20:08 | Antworten

    @ Simon

    Nun ja, habe wie gesagt nur einen schwarzen Bildschirm :-( ergo kann ich gar nichts machen. Keine Programme aufrufen, es geht nichts mehr. Finde es nur komisch, dass er sich beim hoch fahren genau so anhört wie sonst. Habe halt kein Bild.

    LG, Britta

  12. Britta | 17. Dezember 2011 um 20:32 | Antworten

    @ Simon

    Erstmal vielen Dank :-)

    Mal sehen, ob ein Kumpel meines Sohnes (er kennt sich damit sehr gut aus) weiter helfen kann. Wenn nicht, bitte ich meinen Kollegen um Hilfe, bevor ich das Lap in die Tonne schicke. Alles aus- und zusammen bauen kann ich ohne Probleme, aber das Knowhow fehlt mir was PC’s betrifft. Als PC-Laie vermute ich, dass der Monitor hin ist, da nicht mal die Maus angezeigt wird.

    Nochmal vielen Dank für Deine Hilfe, halte Dich auf dem laufenden.

    LG, Britta

    • Simon | 17. Dezember 2011 um 20:39 | Antworten

      @ Britta

      Es mutet ja schon etwas komisch an, aber ich sende trotzdem noch einen Link zu P24 als Angebot falls der Bekannte des Sohns nicht bzw. der Kollege nicht könnte…(Klick). :-)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  13. Alexandra | 17. Dezember 2011 um 19:44 | Antworten

    @ Simon,
    Mein bester freund hat jetzt die schritte oben alle durchgeführt, aber er findet bei mir keine Jaschla.exe & die Shell war auch schon auf explorer.exe.
    So habe ich ja überhaupt keine Prob. ausser das ich meinen Task-manager nicht öffnen kann , mein internet fast 10 min. braucht um eine Seite zu wechseln, & ich meinen Computer pattu nicht Platt bekomme. sprich er lässt mich das betriebssystem nicht neu draufspielen. Denn bei dem Setup zum Anfang zeigt er mir eine Problemmeldung.
    ‚ Wenn du diese Meldung zum ersten mal bekommst starte deinen Computer erneut & versuche es nochmal..
    Wenn diese Meldung erneut kommt, koennte der Festplattenspeicher voll sein & i.was mit BIOS-Setups und sowas >___<'
    Aber davon haben wir beide keine Ahnung .___.
    & meine festplatten sind fast leer <.<

    • Simon | 17. Dezember 2011 um 19:50 | Antworten

      @ Alexandra

      Wie meinem Link entnehmbar ist, ist jashla nicht die einzige Datei welche mittlerweile ihr Unwesen treibt.^^
      Lass dienen Freund nochmal nach Dateien suchen wie im Link beschrieben.
      Alleine schon das eingrenzen der Suche auf den tag der Infektion dürfte schon das gewünschte Ergebnis bringen.

      Bzgl. der Neuinstallation würde ich ja am liebsten sagen: „Macht Fotos und sendet mir diese an bka-virus@kunden.pp44it.de zu“.
      Klingt irgendiwe als würde der Computer nicht von der CD/DVD starten, sondern einen Bluescreen zeigen. Aber dann kämt ihr nicht ins normale Windows rein.
      Also irgendwas stimmt da nicht.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  14. Britta | 17. Dezember 2011 um 20:47 | Antworten

    @ Simon

    Geht klar :-)

    LG, Britta

  15. Gunter | 17. Dezember 2011 um 20:19 | Antworten

    Hallo, habe das gleiche Problem, aber in der Regisery steht unter Shell bereits explorer.exe. Habe ich neu eingegeben, dann neu gestartet, aber das Problem bleibt… Irgend ´ne Idee???

  16. Ewald | 17. Dezember 2011 um 21:05 | Antworten

    Hallo Simon

    Weist Du ob der Virus nur ein Deutsches oder ein Internationales Problem ist, das würde mich echt Interessieren, gibt es den in verschiedenen Sprachen oder gibt es den nur in Deutschland, das währe doch Interresant zu erfahren oder nicht…???

    Viele Grüße Ewald

    • Simon | 17. Dezember 2011 um 21:43 | Antworten

      @ Ewald

      Da wird es sich wohl ähnlich mit Verhalten wie in dieem Fall…

      320.000 Scareware-Opfer erhalten ihr Geld zurück
      Eine Firma aus der Ukraine, die zahlreichen unvorsichtigen Internet-Nutzern mit gefälschter Sicherheitssoftware das Geld aus der Tasche gezogen hat, muss den Betroffenen in den USA nun ihr Geld zurückgeben. Dies gab die US-Handelskommission FTC bekannt. …weiter

      Es wird denke ich auch teilweise zumindest Europäisch, vielleicht auch International sein.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  17. Patrick | 17. Dezember 2011 um 21:11 | Antworten

    Hallo habe noxe gewesen ich immer ein Problem ich habe alles befolgt aber es funktioniert immer noch nicht weil auch kein wert eingefügt ist es ist schon von anfang an explorer.exe ich kann auch keinen taskmanager aufrufen habe schon des mit start ausführen und so ausprobiert bitte hilf mir sehr wichtig.Danke

    • Simon | 17. Dezember 2011 um 21:50 | Antworten

      @ Patrick

      Leicht ist deine Satzkonstruktion nicht zu verstehen…aber ich hoffe helfen zu können.

      + Der Shellwert ist schon explorer.exe, dann Punkt P08
      + Der Taskmanager ist gesperrt, dann Punkte P25 & P26
      + Im Autostart könnte das Teil auch stecken, dann Punkt P14

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • ono | 17. Dezember 2011 um 22:10 | Antworten

      @patrick,

      hatte das gleiche problem und habs mit ‚malwarebytes‘ behoben.

      nach dem download/installation (link is unten) einen flash scan ausführen. was in den ergebnissen steht NICHT löschen – es sind valide registry einträge, NUR die werte wurden verändert. notiere dir die pfade zu den dateien. geh jetzt in die registry (via start->ausführen->regedit) und navigiere zu der datei.
      so, bezüglich des taskmanagers sah das bei mir so aus:
      \HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
      nach doppelklicken auf die datei ‚DisableTaskMgr‘ setze den Wert von ‚1‘ auf ‚0‘. der effekt sollte instant sein.

      zusätzlich kann man sich für den m_firefox das ’noscript‘ addon installieren und folgende ip adresse permanent blocken >>46.161.31.175<http://whatismyipaddress.com/ip/46.161.31.175

      http://www.malwarebytes.org/ ->die kostenlose version reicht für den trick ^ ^

      • Simon | 17. Dezember 2011 um 22:48 | Antworten

        @ ono

        Kann ja sein das ich es falsch verstanden hatte, aber genau das Thema des Taskmanagers wurde heute auf genau dieser (oder der vorherigen) Seite behandelt.

        Das auch mal ein par Posts vor/zurück gelesen werden, davon gehe ich schon mal aus.^^

        Und so gut das mit der IP gemeint ist, aber dann sollte man auch bitte dazuschreiben, das solche IPs nicht auf dem Computer aufgerufen werden sollten.
        In einer Virtuellen Maschine oder Sandbox kein Ding, aber es dürfte genug Leute geben die einfach drauflosklicken.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  18. Csilla | 17. Dezember 2011 um 22:15 | Antworten

    Hallo Simon, Hallo an Alle,

    ich habe auch das „Weihnachtsglück“ mit dem Trojaner.Die Wahrheit ist,dass ich Laier bin, was Computer betrifft. Trotzdem bin ich soweit gekommen,wie Hagn Thomas paar Beiträge vor mir. Ich habe „Schell“ auf der rechten Seite nicht finden können.Ich denke,dass ich Hilfe vorort gut gebrauchen könnte.Wäre es möglich?
    Viele Grüße!
    Csilla

    • Simon | 17. Dezember 2011 um 22:23 | Antworten

      @ CSilla

      Wenn Punkt P24 zusagt, dann schreib mich per Mail an bka-virus@kunden.pp4it.de an. Ansonsten müssten wir es hier weiter per Text probieren oder Du/Sie müssten sich jemanden Vorort suchen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  19. David | 17. Dezember 2011 um 22:47 | Antworten

    Bei mir hat diese „Shell“-Datei schon den Wert „Explorer.exe“. Also führe ich dann in der Eingabeaufforderung den Befehl „explorer.exe“ aus und wie oben beschrieben, sieht mein Windows nun fast wieder normal aus. Doch ich finde nirgendwo das Besagte „jashla.exe“. Auch mit dem „Neuen Task“ komm ich irgendwie nicht weiter. Wenn ich dann Windows wieder normal starte, kommt die BKA-Meldung erneut. Kann mir da irgendwie jemand weiterhelfen, wäre echt klasse.
    Danke im Voraus

    David

    • Simon | 17. Dezember 2011 um 22:50 | Antworten

      @ David

      Alles normalerweise nötige habe ich hier in dem Post schon verfasst gehabt:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-20#comment-3365

      Hoffe meine Zusammenstellung kann helfen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  20. Burak | 18. Dezember 2011 um 00:26 | Antworten

    Ich kam mit der Erklärung gut zu recht und habe alles genau gemacht wie es erklärt wurde! Jedoch kann ich keine Datei mit dem Namen „jashla.exe“ finden… Habe über die Windows(-7)-Suche, übern Taskmanage und übers DOS probiert… Nichts… als ich den PC neugestartet hab, kam diese Meldung erneut. Ich würde gerne wissen, was ich machen muss/soll. Bitte per E-Mail!!!

    Zu meiner Sache:
    1) Die Seite (aus dem Internet) öffnete sich plötzlich und behauptete, dass ich pornografisches heruntergeladen habe! Das ist Blödsinn!
    2) Ich muss gestehen, ich bin darauf reingefallen und bin direkt zur Tanke gerannt um mir diese UKASH-Karte für 100€ zu kaufen! Code und alles eingegeben… doch der Mist erscheint immer noch! Spätestens da war mir klar, da stimmt was nicht! Hab dann direkt gegoogelt und diese Fake-Sache herausbekommen -.- Mensch!!! Ich wurde noch nie sowass von verarscht! Aber was soll man denken mit 17€… sprechen ja schon einige Fakten darauf, dass es ein Fake ist… (1. E-Mails funktionierten nicht 2. Keine Absender etc. 3. Beschuldigungen nicht wahr)….
    3) Ich brauch Hilfe! Ich will es loswerden! x

    • Simon | 18. Dezember 2011 um 00:39 | Antworten

      Schau mal/schauen Sie mal auf meiner Seite unter Punkt P14. Jashla gibt es zwar noch, aber immer seltener.

      Der Hinweis das man da nicht zahlen sollte und was die Folge ist, wie unter Punkt P20 kommt jetzt wohl zu spät.

      Eine Entschädigung für das gezahlte Geld wird es wohl dennoch leider nicht geben. Auch wenn man Anzeige erstattet, sollte ds so schnell nicht das Geld wiederbringen.

      Mit 17€ – ich vermute es waren 17 Jahre gemeint?!
      Oder ich verstehe den Kontext nicht richtig.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Daniel Weihmann | 18. Dezember 2011 um 09:47 | Antworten

      Ach Burak! Ich habe gesehen, dass du 2 mal über eine rote Ampel gefahren bist. Ich kann’s der Polizei melden, dann gibt’s Punkte in Flensburg, Fahrverbot und bestimmt 200 € Bußgeld. Überweise mir einfach 50 e und wir vergessen das. ;-)

      Würdest du nun mir das Geld überweisen? Ich denke nicht! Wieso also bei der BKA-Geschichte … Naja, das Geld ist weg! Hast du wenigstens eine Anzeige bei der Polizei erstattet?

      Schau mal beim Simon auf der Seite bzw. hier bei Botfrei.

  21. Max | 18. Dezember 2011 um 12:28 | Antworten

    Hallo Simon,
    nun ja , denke ich habe mir den Virus in den vergangenen zwei Tagen eingefangen.Betriebssystem Windows XP.
    Starte ich den Rechner ohne Netzzugang habe ich keine Probleme. Mit Netzzugang kommt nach einer gewissen Zeit der Bildschirm mit der Auforderung zu bezahlen.
    In der registry steht die explorer.exe drinnen.
    Habe also im explorer nach allen exe-Files gesucht.
    Diese habe ich nach allen bereits bekannnten File namen unter P14 überprueft . Keine gefunden. Die explorer.exe Datei ist vom 14.04.2008. Damit vermute ich das diese nicht infiziert ist. Habe dann die exe-Files nach Datum sortiert. Dabei ist mir aufgefallen das die Datei MRT.exe im system32 Verzeichnis sich am 16.12.2011 geaendert hat. Die Groesse ist 51.747kb. Laut file.net sollte die Datei aber nur um die 13MB gross sein. Weiterhin sollte MRT.exe vom Betriebssystem Windows nicht benötigt werden. Daher wuerde ich das File erst mal verschieben und umbenammen wollen. Bei den Anwendungsdaten ist mir nur ein Verzeichnis aufgefallen welches am 16.12.2011 geaendert worden ist PRICEGONG, sind jedoch nur xml Dateien drinnen vom 27.10.2011. Moechte dieses Verzeichnis ebenfalls loeschen, sollte kein Auswirkung haben. Bitte um kurzes Feedback zu meinem Vorgehen.
    Moechte versuchen ohne Neuinstallation den Virus zu entfernen.

    Vielen Dank,
    Max

  22. Zeller | 18. Dezember 2011 um 12:33 | Antworten

    Verzeihung.

    Es sollte heißen: Aber vorher den dort angezeigten Pfad notieren, damit man anshliueßend dort die Datei löschen kann – der wesentliche Schritt in der Virenbeseitigung.

    Gruß, Peter

  23. Max | 18. Dezember 2011 um 12:52 | Antworten

    Hallo Simon,
    so, habe mir nochmals Deine Hilfestellung P14 abgearbeitetund bin im TEMP-Verzeichnis des Users fuendig geworden. Vom 17.12.2011 0.5745581348248461 Anwendung also vermutlich eine exe Datei. 16 stellig nach dem Punkt, genau wie alle anderen zahlenkolonnen Dateien.
    Werde diese Datei nun loeschen.
    Zwei Fragen bleiben jedoch:
    – Habe ich damit den Virus komplett entfernt ?
    Und die Verstaendisfrage:
    Wie ist bezw. wer hat und von wo ist diese Anwendug aufgerufen worden ?
    Ein Feedack waere schoen, da ich im Moment noch weiterhin ein ungutes Gefuehl habe und ueberhaupt nicht einschaetzen kann ob der Virus noch weiterhin sein Unwesen auf meinem Rechner treibt.

    Gruss,
    Max

    • Simon | 18. Dezember 2011 um 19:31 | Antworten

      @ Max

      Die Ransomware sollte damit entfernt sein – ja.
      Zur Sicherheit gilt aber nach wie vor ein OFFLINE-Systemscan mit einer Boot-CD/DVD (siehe meine Seite Punkt P12) ist das Minimum was ich dann ncoh ausführen würde.

      Auch deine Frage lässt sich „relativ“ gut beantworten mit dem Punkt P19.

      Sollten danach noch Fragen sein welche meine Seite nicht abdeckt, dann weiterhin hier fragen oder per Mail an mich.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Max | 18. Dezember 2011 um 21:35 | Antworten

        Hallo Simon

        Die Ransomware ist leider noch nicht entfernt.
        Bin schon seit gestern dran,nahe am cerzweifeln.
        Ja, einen OFFLINE-Systemscan mit einer Boot-CD (Antivir Rescue) habe ich durchgfuehrt. Kein -virus lediglich Warnungen. Java hab ich offline auf den neuesten Stand gebracht. Mit CCleaner alle temporeren Dateien geloescht
        und dann wieder Online gegangen. 13 min spaeter wurde der Bildschirm wieder gesperrt.
        Mittlerweile habe ich im Windows\prefetch verzeichnis
        jede Menge upgedatete Dateien, vermutlich wurden diese auch vom CCleaner geloescht.
        Dann dachte ich mit der datei etilqs_8x8p9nsnLfALNzT.exe im Locale Einstellungen\temp Verzeichnis haette ich die Ransomware wieder gefunden,
        denke mittlerweile aber das es sich um eine firefox datei handelt.
        Hatte waehrnd ich online war nochmals in die systemstartelemente geschaut (msconfig). Dabei ist mir jedoch kein Eintrag aufgefallen. Und just in dem Moment in dem ich den ersteneintrag DrvLsnr angeklickt habe war der rechner wieder gesperrt. der taskmanager war die ganze zeit an, nur konnte ich auf denn ja dann nicht mehr zugreifen. Habe mir dann im abgesicherten Modus – in dem ich mich immer noch befinde – die DrvLsnr.exe angesehen , ist vom 28.05.2002 , also vermutlich nicht infiziert.
        Komme mit meiner suche einfach nicht weiter. Wollte aber auch nicht unnoetig oft die Ransomware aktivieren.
        (bisher drei viermal).
        Werde jetzt als naechstes mir das Programm Malwarebytes mal anschauen muessen , da andere damit ja vermutlich erfolg hatten.
        Verdammt das Gestochere im Dunkeln macht mich noch verrueckt.

        Max.

    • Simon | 18. Dezember 2011 um 21:53 | Antworten

      @ Max

      Es gibt noch mehrere Möglichkeiten…
      Eine davon ist definitv das Programm „Malware Antibytes (Free)“.

      Eine andere ist die Coot-CD/DVD von Kaspersky. Dies auf meiner Seite verlinkte Version ist eine, welche speziell für diese Ukash/PaySafe/GEMA/BKA-Varianten gemacht ist und damit mehr Erfolg haben dürfte als „normale“ Boot-CD/DVDs.

      Weiterhin könnte sich das Teil, wenn es eine der neueren Varianten somit ist, auch in den Dateien des Ruhezustands, der Systemwiederherstellung und der Auslagerungsdatei festklammern. Auch eine Ablage im Ordner Recyled.bin und System Volume Information ist denkbar.

      Das alles hatten wir allerdings – zum Glück – erst einmal hier.

      Im Endeffekt hilft dabei dann nur deaktivieren und manuelles löschen (von einer Boot-CD/DVD mit einem Betriebssystem mit z.B. Linux drauf).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Max | 19. Dezember 2011 um 00:35 | Antworten

        Hallo Simon,

        Also Programm “Malware Antibytes (Free)” installiert,
        kurz online gegangen und datenbank upgedated.
        3 Treffer:

        Infizierte Speicherprozesse: 1
        Infizierte Speichermodule: 0
        Infizierte Registrierungsschlüssel: 0
        Infizierte Registrierungswerte: 1
        Infizierte Dateiobjekte der Registrierung: 0
        Infizierte Verzeichnisse: 0
        Infizierte Dateien: 1

        Infizierte Speicherprozesse:
        c:\dokumente und einstellungen\MM\anwendungsdaten\Mozilla\Firefox\firefox.exe (Trojan.Dropper) -> 1700 -> Unloaded process successfully.

        Infizierte Speichermodule:
        (Keine bösartigen Objekte gefunden)

        Infizierte Registrierungsschlüssel:
        (Keine bösartigen Objekte gefunden)

        Infizierte Registrierungswerte:
        HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\firefox.exe (Trojan.Dropper) -> Value: firefox.exe -> Quarantined and deleted successfully.

        Infizierte Dateiobjekte der Registrierung:
        (Keine bösartigen Objekte gefunden)

        Infizierte Verzeichnisse:
        (Keine bösartigen Objekte gefunden)

        Infizierte Dateien:
        c:\dokumente und einstellungen\MM\anwendungsdaten\Mozilla\Firefox\firefox.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

        Heisst das nun das ich auch vorsorglich den firefox deinstallieren sollte ?

        Boot-Stick erstellt von-kaspersky. Leider bootet er nicht vom Stick obwohl ich USB-Device ausgewaehlt habe.
        Eventuell haengt das damit zusammen das ich eine bootmanager (grub) fuer ubuntu und windows xp drauf habe.

        Darf ich eventuell die Boot-CD auf dem infizierten Rechner brennen da ich nur dort eine Brennmoeglichkeit habe?

        Mittlerweile betreibe ich den Rechner im Normal mode ohne Internetverbindung und bisher keine Probleme.
        Erst wenn ich mit dem infizierten Firefox ins Internet gegangn bin,hat der Trojaner mir den PC gesperrt.
        Daher kann ich die Punkte mit den Ruhezustand Dateien und Auslagerungsdatei erst mal ignorieren, oder?

        Also den offline check mit Kaspersky wuerde ich gerne
        noch anstossen wenn das mit dem Brennen auf dem infizierten Rechner in Ordung geht.

        Gruss, Max.

  24. Armin | 18. Dezember 2011 um 13:06 | Antworten

    Hallo Leute,

    leider hat auch ein Bekannter von mir plötzlich nichts mehr am Rechner machen können und es erschien das Bekannte Bild wie oben gezeigt.
    Als ich mir seinen Laptop angeschaut habe und mit meinem Rechner dann recherchiert habe bin ich dann hier gelandet.
    Habe dann die Anweisungen wie beschrieben durchgeführt, Abgesicherter Modus, aber leider nicht die Datei „jashla.exe“ gefunden.
    Aber ich habe mir mal den Ordner Autostart im Startmenü angeschaut und folgende Autostartdatei gefunden “ 0.5918488186663565.exe.SuppS “ .
    Nun habe ich unter der Suchfunktion diese datei gesucht und gleich in zwei Verzeichnissen gefunden. Habe beide Dateien nun gelöscht und auch den Papierkorp geleert. Nun habe ich den Laptop neu gestartet und der Laptop läuft wieder.
    LG
    Armin Korus

  25. Pascal | 18. Dezember 2011 um 13:25 | Antworten

    Hallo, ich habe auch dieses Trojanerproblem…..

    Ich habe die obige Anleitung auch vefolgt, aber der Virus sitzt nicht bei „Shell“, da steht schon dieses „Explorer.exe“!!! Was mach ich jetzt???

    Pascal

    • Simon | 18. Dezember 2011 um 19:24 | Antworten

      Schau mal/Schauen Sie mal hier:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-20#comment-3442

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  26. Emely | 18. Dezember 2011 um 14:27 | Antworten

    erstmal danke für die Anleitung. Ich habe auch versucht diese durchzuführen allerdings stand bei mir bei Schritt 9 in diesem ShellFenster bei Wert bereits explorer.exe desswegen bin ich auf diese andere Seite von Simon gegangen aber welches ‚P‘ davon muss ich denn jetzt machen?
    Ich kenne mich mit sowas leider überhaubt nicht aus und bin auch reichlich ungeschickt…
    was ist autostart und wo finde ich das?

    • Simon | 18. Dezember 2011 um 19:23 | Antworten

      @ Emely

      Davon ausgehend das Deine/Ihre explorer.exe nicht infiziert ist, würde Punkt P14 als erste Anlaufstelle dienen.

      Das Problem „Autostart“ ist in Punkt P15 beschrieben.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  27. Peter Zeller | 18. Dezember 2011 um 16:48 | Antworten

    Hallo,

    was genau ist Malwarebytes?

    Peter

    • Simon | 18. Dezember 2011 um 19:20 | Antworten

      @ Peter

      Ich mache es mir jetzt mal einfach und sage – ein sehr gutes (Freeware) AntiMalware Programm. :-)

      Näheres dazu findest Du hier

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  28. Peter Zeller | 18. Dezember 2011 um 17:16 | Antworten

    Hallo, Simon

    nachdem hier mehrfach vermutet wurde, dass Java die Eintrittspforte ist, würde ich versuchsweise Java mal deaktivieren.

    Firefox>Extras>Addons>Erweiterungen: Java Quick Starter 1.0
    ->>>Erscheinungsbild:Standard 8.0.1
    >>>Plugins:Java Development Toolkit 6.0.290.11
    :Java(TM) Platform SE 6 U29

    Frage: Lauern da irgenwelche Fallen?

    Gruß
    Peter

    • Simon | 18. Dezember 2011 um 19:14 | Antworten

      @ Peter Zeller

      Klar kann man das machen und wenn man es defintiv nicht braucht, könnte man es sogar einfach deinstallieren (Start > Systemsteuerung > Software bzw. Programme & Funktionen).

      Leider aber laufen zumindest in Firmen relativ viele Anwendungen egal ob lokal oder im Internet dann doch mit Java. Dort hilft also nur „immer die neuste Version“ drauf haben.
      Zuhause brauchen es die wenigstens Personen wohl wirklich. Meist werden damit nur Browserspiele realisiert und keine ernsthaften Anwendungen (zumindest fällt mir für zuhause gerade keine ein).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  29. Luigi | 18. Dezember 2011 um 18:35 | Antworten

    Hallo,
    ich konnte den Virus namens wpbt0.dll mit Malwarebytes aufspüren und eigentlich entfernen. Dennoch wird unter Autostart immer noch diese Datei aufgeführt, obwohl die dort angezeigten Pfade keine Datei mit diesem Namen mehr beinhalten.
    Sitzt die Datei dann immernoch irgendwo im System?

  30. Markus | 18. Dezember 2011 um 21:07 | Antworten

    Hallo!
    Habe weiter oben etwas über die Reaktivierung meines TaskManagers gelesen. Aber leider finde ich folgenden Pfad nicht:

    „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System“

    und auch mit der Suchfunktion ist der Pfad nicht zu finden.
    Ich hoffe auf eure Hilfe bei der Reaktivierung meines Task Managers
    Danke und viele Grüße
    Markus

    • Simon | 18. Dezember 2011 um 21:12 | Antworten

      @ Markus

      Die Frage sei erlaubt: Suchst Du den Pfad im Windows-Explorer? Wenn ja, dann suchst Du am falschen Ort.
      Es muss in der Registry (regedit) gesucht werden.

      Mehr Infos dazu…hier (P25 & P26).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Markus | 18. Dezember 2011 um 23:20 | Antworten

        Hallo Simon!
        Vielen Dank für die schnelle Antwort. Ich finde diesen Entrag nicht, da es in der Regestry keine „policies“ gibt oder der gleichen. :(
        Freue mich auf deine weitere Hilfe!
        Vielen Dank und viele
        Grüße
        Markus

  31. Frank Behle | 18. Dezember 2011 um 21:29 | Antworten

    Hallo Simon,

    zuerst einmal vielen Dank für die vielen hilfreichen Tipps. Nichts war besser als diese Seite!

    Da ich in diesen Sachen eine absolute Niete bin, habe ich mir glaube ich alles mind. dreimal durchgelesen.

    Mein Rechner läuft unter Windows 7.

    Nachdem mit den BUPO Virus gar nichts mehr ging, habe ich es erst mit der ursprünglichen Anleitung versucht. Ging leider nicht, da ich augenscheinlich nichts dergleichen in den HKEY Ordnern gefunden habe

    Habe den Rechner erneut im abgesicherten Modus gestartet. Mit „msconfig“ habe ich das Systemstartelement „0.5665795674647988.exe“ (versteckt in …System32…) deaktiviert. Danach konnte ich den Rechner normal starten und arbeiten. Daraufhin habe ich einen Scan mit Avira Antivir durchgeführt (schon immer auf dem Rechner gehabt – 2 Treffer), im Anschluss noch Spyboot (schon immer auf dem Rechner – 0 Treffer) laufen lassen.
    Leider verschwand der Eintrag in der Autostart Datei immer noch nicht.

    Habe erneut in den diversen HKEY Ordnern aus dem o.g. Thread gesucht = Negativ.
    Dann den letzten Tipp bezgl. der Löschung versucht. Kein Eintrag in der „startupreg“ und Startupfolder“ gefunden.
    Dann die Malewarebytes Software runtergeladen. Da ich bereits Antivir benutze, dachte ich das dies sinnlos wäre. Dennoch 5 Treffer! Und davon auch der 0.56… Eintrag.
    Aber in der Autostart steht es immer noch.
    Ich gebe auf. Wer kann helfen? Kann ich den Rechner noch beruhigt nutzen? Ich weiß, ich sollte alles formatieren. Aber ich habe so viele Fotos von meinem Sohn, Dateien, etc. welche ich mich jetzt nicht traue zu sichern. (wegen der Ansteckungsgefahr).
    Ich dachte ich wäre mit Antivir sicher.
    Vielleicht kann mich einer beruhigen.
    Grüße
    Frank

    • Simon | 19. Dezember 2011 um 04:41 | Antworten

      Boah, kaum schläft man mal ein paar Stunden, schon stehen hier lange Texte. :-p

      Nee aber mal im Ernst.
      Es ist wohl das erste hier vermerkte Mal, das der Firefox selbst infiziert wurde. Im Zuge dessen den Firefox zu deinstallieren ist durchausrichtig, man sollte selbst oder per Antimalware Malwarebytes danach aber schauen, das die firefox.exe auch wirklich gelöscht/entfernt wurde.

      Die *.ISO sollte man auch direkt an diesem PC brennen können. Ich kann den Schädling leider nicht auseinandernehmen um zu wissen wie intelligent er ist.
      Ich traue ihm ja mittlerweile vieles zu, das infizieren von *.ISO-Dateien aber NOCH nicht.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  32. Cisco | 18. Dezember 2011 um 22:18 | Antworten

    Hallo Simon,

    ich meine den Trojaner entfernt zu haben.
    Eine 17 tellige Datei irgendwo in System32/pps oder psso.ä.
    Ist es Normal, dass der Trojaner 1kb groß ist????

    • Simon | 18. Dezember 2011 um 22:25 | Antworten

      @ Cisco

      Also vom Dateinamen und der Länge her dürfte es das richtige gewesen sein.
      Sicherheitshalber ist ein Offline-Scan aber dennoch ratsam. (Weiter oben schon vor kurzem beschrieben.)

      Die Dateien können durchaus natürlich unterschiedliche größen haben.
      Bislang waren glaube ich immer Größen bis ca. 174kb dabei.
      Eine 1kb Datei wäre aber – bislang – neu (glaube ich zumindest).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Cisco | 18. Dezember 2011 um 22:45 | Antworten

        Aha,
        danke für die schnelle Atwort!
        Den Taskmanager wurde gesperrt, dank der ausführlichen Beschreibung auf deiner Seite, konnte ich diesen jedoch entsperren (Wert von 0 auf 1 umgesetzt)
        Eine offline durchsuchung mit Avira brachte nicht wirklich zum Erfolg….
        Habe mir rasch den Malwerebytes Scanner geladen.
        Ergebnis: 2 Zwei Meldungen:

        zwei mal Trojan.Zbot.CBCGen
        im Temp Ordner(0.851…exe) und in c:/Dokumente und Einstellungen/MEIN NAME/anwendungsdaten/Sun/JAVA/deployment/cache/6.0/8/499df4c8-2040327e

        Ist das typisch????

    • Simon | 18. Dezember 2011 um 23:02 | Antworten

      @ Cisco

      Langer Zahlenname = Typisch
      Java Cache (siehe meine Seite Punkt P14 ziemlich weit unten) = durchaus möglich. Wenn es auch der erste hier so genau dort liegende Fall ist der hier gemeldet wurde.
      (Die Erfahrung ließ es mich aber schon in P14 schreiben. :-) )

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  33. Markus | 19. Dezember 2011 um 08:18 | Antworten

    Guten Morgen zusammen,
    guten Morgen Simon!

    Nachdem ich mal im Autostart die Datei „wpbt0.dll“ einfach rausgelöscht hatte, war auch sofort die Taskleiste wieder einwandfrei (zuvor wurde mir lediglich rechts unten die Uhrzeit und das Symbol zum sicheren Entfernen von Hardware angezeigt). Heute früh habe ich den Rechner mal in Ruhe hochfahren lassen und melde keine weiteren Probleme (ich hatte aber auch zuvor „TuneUp Utilities“ -Download auf CHIP.de- durchlaufen lassen. Dieses hatte wohl auch schon einiges an schädlichen Pfaden eleminiert).

    Leider habe ich immer noch keinen Task Manager. Der Pfad “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System” hilft mir leider nicht, denn in der Registry finde ich an dieser Stelle keine “policies” oder der gleichen. Hoffentlich habe ich da nicht doch noch ein größeres Problemchen (bzw. Herausforderung)?!

    Freue mich auf deine / eure hilfreiche Antwort(en)

    Vielen Dank und

    viele Grüße

    Markus

    • Simon | 19. Dezember 2011 um 08:53 | Antworten

      @ Markus

      Na wenn uns diese *.DLL nicht mal bekannt vorkommt. :-|
      (Siehe P14^^)

      Das TuneUp was schädliches gelöscht hat, kann cih mir eher schlecht vorstellen, aber seis drum.
      Ich halte von solchen Tools ala CCleaner und TuneUp Utilities etc. nicht viel.
      Die meisten funktionen hat Windows von sich aus shcon inne und wenn man nicht nach belieben allen „Müll“ installiert, bleibt auch das System erstmal soweit in Ordnung.

      Evtl. hat auch eines dieser Tools den Pfad gelöscht..was ich aber leicht bezweifle, es aber nicht für komplett unmöglich halte.

      Ich persönlich habe diesen Eintrag auch nciht auf meinem Windows 7 x64 – System. Man kann ihn aber, i.d.R. ohne Probleme, einfach nachtragen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Markus | 19. Dezember 2011 um 10:07 | Antworten

        Hallo Simon!

        Ok, dann habe ich nicht mit einem TuneUp weggemacht. Werde weiterhin auf der Suche sein. ACHTUNG der Laie ist unterwegs im System. *grins*

        Wie kann ich denn den erforderlichen EIntrag selber vornehmen? Ich habe aber Windows Vista x32 und kein Windows 7.

        Sorry, falls ich hier so viel Frage, aber mich möchte am Rechner nichts verkehrt machen (was ich mit Sicherheit tun würde), wenn ich ohne fachliche Anleitung oder Hinweise am System „rumspiele“. Daher danke ich dir, für dein Hilfe und freue mich auf deine nächste Antwort.

        Danke und viele Grüße

        Markus

    • Simon | 19. Dezember 2011 um 10:13 | Antworten

      @ Markus

      Da der Registryeintrag für Windows Vista genauso gilt, kannst Du an oben genannter Stelle in der Registry den „Ordner/Schlüssel“ anlegen.
      Dann noch die Einträge wie ebenfalls beschrieben.

      Die Anleitung von WinTotal ist zum Glück bebildert und in bunt, so kannst Du theoretisch die Einträge auch farblich „abgleichen“ – zumindest einigermaßen.

      Sollte ich heute Nachmittag/Abend die Zeit dazu finden, werde ich selbe Einträge bei mir prüfen und exportieren.
      Dann müsste dieser Registrykey nur „importiert“ werden.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Markus | 20. Dezember 2011 um 22:16 | Antworten

        Guten Abend Simon!

        Vielen Dank für deine Hilfe. Nach viel suchen und genaueren Lesen, habe ich es doch tatsächlich hinbekommen. Fakt OHNE deine / eure Hilfe, wäre ich kläglich gescheitert. Nochmals vielen Dank (ich hoffe du liest meine ANtwort hier noch)!!!

        Habe meinen TaskManager wieder aktivieren können und bin froh, dass ich den Spuk endlich ein Ende bereiten konnte, denn es war ausgerechnet der Rechner von meinem Vater und mit 65 Jahren ist man mit so einem Zeug wohl schnell überfordert.

        Noch mal: Vielen Dank!

        Weiterhin viel Erfolg und Spende wird kommen. :)

        Viele dankbare Grüße

        Markus

    • Simon | 20. Dezember 2011 um 22:32 | Antworten

      @ Markus

      freut ich mich lesen das Du es geschafft hast.
      Die gebe ja zu das meine „Hilfe“ auf meiner Seite vielleicht nicht für Kinder geschrieben ist, aber wenn man sich damit (gezwungenermaßen) befasst, dann ist das ganze doch nicht so schwer wie es erst ausschaut.
      Das hast Du mit deiner Antwort zumindest mal für alle Leser/innen hier deutlich gemacht. (Das soll alles positiv gemeint sein, also nicht falsch verstehen!)

      Weiterhin freut es mich das dein Vater nun wieder recht beruhigt an seinem Computer sein kann. Ich hoffe aber, das nun mehr auf die Sicherheit des ganzen System geachtet werden wird und soetwas wie ein Backup eingerichtet wird/wurde.^^

      Und noch was freut mich antürlich, nämlich der Satz „Spende wird kommen“. :-)

      Ich glaube dies beantwortet die Hoffnung „ob ich dies noch gelesen habe“.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  34. uwe | 19. Dezember 2011 um 11:42 | Antworten

    Trojaner hin oder her, die jenigen die sowas schreiben Sammstags vormittag auf den Markplatz stellen und öffentlich aufhängen. Das aber auf der ganzen Wellt.
    Nach 1000 Toten Trottel hört das sicher auf.

    • Simon | 19. Dezember 2011 um 23:47 | Antworten

      @ Uwe

      Leider hilft das auch nicht…schau Dir mal die Welt an…Albert Einstein hatte schon nicht ganz Unrecht mit seinem Spruch:

      „Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher.“

      Das soll jetzt nicht gegen Dich oder spezielle Personen gemeint sein. Aber es soll einfach verdeutlichen das man eigentlich den größten Teil der Menschheit ausrotten müsste damit wieder „Ordnung“ herrscht. Und selbst das ist jetzt nur eine „Theorie/Vermutung“ (von mir).^^

      Mit fruendlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  35. Mimi | 19. Dezember 2011 um 12:42 | Antworten

    vielen Dank für die tolle Anleitung. Hab leider ausversehen die Shell-Datei gelöscht. Kann man da noch irgendwas machen?

  36. Raphael | 19. Dezember 2011 um 14:18 | Antworten

    Hi,
    also ich habe es nun irgendwie geschafft unter MSconfig im Systemstart 2-3 Sachen zu deaktivieren und somit meinen PC wieder nutzen zu können. Unter Shell stand bei mir auch schon explorer.exe und jashla.exe habe ich immer noch nicht gefunden. ich bin absolut kein profi und weiß nun auch nicht so recht wie ich den Müll wieder von meinem Laptop bekomme. Wo muss ich suchen mit welchen Befehlen ? Ich habe mich da oben schon durchgelesen, aber da ich ein Laie bin habe ich nicht wirklich viel verstanden. vielen dank

  37. Burak | 19. Dezember 2011 um 18:37 | Antworten

    @ Daniel Weihmann

    Entschuldige mal, aber kann ich wissen, dass es ein Fake ist? Ich hocke nicht 24 Stunden am PC oder am TV und bekomm solche Meldungen VORAB mit! Na klar, liest man da zu spät! Echt hart, wie hier argumentiert wird.

    Mein Problem ist jedenfalls behoben, dank meinem Antivirus! Ja, ich bin 17.

    • Daniel Weihmann | 19. Dezember 2011 um 19:43 | Antworten

      War nicht so gemeint. Aber sofort los rennen und irgend jemanden Geld zu überweisen …

      Mit welchem Programm konntest du den Schädling entfernen?

    • Simon | 19. Dezember 2011 um 23:30 | Antworten

      Ich würde vermuten das Daniel seine Antwort „damals“ eigentlich „ironisch“ meinte.
      Es war vielleicht etwas ungeschickt ausgedrückt bzw. nicht so einfach sichtbar.

      Also nicht zu ernst das ganze nehmen.
      Mich würde aber jetzt auch interessieren wie die Ransomware nun genau entfernt wurde.
      Bei jemandem dem ich kürzlich per Mail half, schaffte es Avira – aber nur weil Avira sich einige Tage später in einem sonst unbenutzten Benutzerkonto aktuallisieren konnte und damit die Anti-Viren/Ransomware Routinen wohl enthielt.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  38. Ewald | 19. Dezember 2011 um 19:20 | Antworten

    Hallo Burak

    Na hoffentlich liest Du das noch…!!!

    Also ich bin bedeutent älter wie Du und habe nicht bezahlt, aber ich habe es am Anfang auch fast geglaubt, in einer Zeitung wo im Internet abgedruckt ist habe ich gelesen, daß sich ca. 40000 den Trojaner eingefangen haben, also ich möchte erst gar nicht wissen wie viele davon bezahlt haben, mach dir keine Vorwürfe ich bin auch schon reingelegt worden.

    Viele Grüße an dich
    und viele Grüße an Simon

    • Simon | 19. Dezember 2011 um 23:36 | Antworten

      Manchmal wäre ich ja schon gerne mal einer dieser PRogrammierer.
      Leider aber ist mir das Leben danach dann doch „zu gefährlich“ und dauern „verfolgt“ zu sein/werden ist auch nicht so mein Lieblingsgefühl.
      Bzw. in einer Situation schon…aber diese werde ich hier nicht weiter ausführen. :-p

      Ansonsten ist der „Job – Ransomware Programmierer“ bestimmt recht lukrativ.
      Sagen wir mal von gerade aufgeführten 40000 würden auch nur 1000 bezahlen.
      1000 Personen x 100€uro = 100.000 €uro
      Netter Lohn für wohl einige Stunden Arbeit die dann mehr oder weniger erstmal ein Selbstläufer sein werden.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Simon | 20. Dezember 2011 um 06:56 | Antworten

      @ Daniel

      Was der Staat nicht wüsste…Schweizer Bankkonto oder so…das würde man dann auch hinbekommen zu umschiffen. ;-)
      Glaubst doch nicht das jemand der solche illegalen Tätigkeiten macht, das dann ehrlich am Fiskus vorbeiführen würde, oder? *schmunzel*

      Grüße,
      Simon

  39. Ewald | 19. Dezember 2011 um 19:54 | Antworten

    Hallo Daniel

    Da Du mich Dut`zt darf ich das hoffentlich auch.
    Wenn ich deine Seite richtig gelesen habe bin ich sogar älter als Du :-)
    Seit ihr eigentlich je auf die Idee gekommen das da ne ganze Menge mit lesen, vielleicht sogar die Falschen, wenn ich jetzt meine Tricks verrate, was sind Sie dann noch wert, ich bin hier um zu lernen nicht um zu unterrichten, mein Hauptschullehrer hat den einzig richtigen Satz gesagt, Wissen heist wissen wo es steht alles kann man sich nicht merken.

    Viele Grüße Ewald

    • Simon | 19. Dezember 2011 um 23:41 | Antworten

      @ Ewald

      Sagen wir es mal so…Es ist und bleibt immer das berühmte Katz & Mausspiel.
      Was von Menschenhand gemacht, wird von Menschenhand verändert/zerstört/missbraucht.

      Und wenn man „nichts“ tut, wird die Situation auch nicht besser.
      Zumindest nicht für die Einzelperson. Die Täter werden sich dann entweder Dumm & Dümmer verdienen und/oder die IT-Dienstleister (wie ich es eigentlich bin).
      Ich habe ja nichts dagegen das ich immer fortwährend dann Arbeit in diesem Bereich hätte und damit Geld verdienen würde, aber andererseits denke ich dennoch auch an einen Teil meiner Mitmenschen, denn einen Baum mit nachwachsendem Geld haben die wenigsten ich Garten.
      Ich leider auch nicht – vielleicht sollte ich mir erstmal überhaupt einen Garten anschaffen. *grübel*

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  40. Daniel Weihmann | 19. Dezember 2011 um 21:48 | Antworten

    Es gibt sicherlich Bereiche wo ich die Sie-Form bevorzuge, mein Blog „redirect301.de“ und die Kommunikation hier, gehört nicht dazu.

    Ewald, du hast wahrhaftig e6 Kommas in deinem Kommentar untergebracht. Ich lese das noch 2-3 mal von vorn ;-)
    Du meinst hier könnten Leute mitlesen, die an dem BKA-Trojaner arbeiten / entwickeln? Klar, davon gehe ich aus! Die Jungs (Mädels) sind doch nicht blöd. Würde ich bei denen Team-Mitglied sein, dann würde ich selbstverständlich jegliche Veröffentlichung im Web verfolgen.

    Wäre toll, wenn sich eine(r) von den Entwicklern (ich habe nicht Verbrechern gesagt) hier zu Wort melden würde. Wie man eine IP verschlüsselt, dürfte hierbei sicher nicht das Problem sein.

  41. Ewald | 20. Dezember 2011 um 04:53 | Antworten

    Hallo Simon

    Wenigstens Einer der meine Aussagen liest…!
    Und ich mag deine Komentare dazu wirklich sehr…!
    Ich denke mal das Du ein sehr gutes Herz hast, aber es ist leider so wie Du es geschrieben hast, es wird alles nur noch Missbraucht.
    Ich für meinen Teil habe erlebt wie das Internet geboren wurde, erschaffen wurde es, ( wenn ich richtig informiert bin ) von Ärzten die sich Weltweit austauschen wollten um den Meschen zu helfen über Funk, jetzt sieh dir an was daraus geworden ist.
    Wem möchtest Du denn jetzt eigentlich helfen….???

    Demjenigen, der den Trojaner ständig durch deine Hilfe verbessert…???

    oder vielleicht Demjenigen, der seine Festplatte mit mp3 Dateien zumüllt die ER niemals alle hören wird.

    oder vielleicht Demjenigen, der zur nächsten Internetseite geht um sich ein Programm wiederrechtlich mit einen Crackcode aneignet und sich damit der Gefahr aussetzt einen Virus zu bekommen den Er gar nicht bemerkt.

    In der Zeit, in der ihr an diesem einen Trojaner herumbastellt, sind mindestens 20 andere in Arbeit, die einen neuen, besseren Virus entwickeln werden.

    Es wird aller höchste Zeit das die Menschen ein wenig umdenken und sich zu alten Werten entscheiden, wie Höflichkeit, Ehrlichkeit, und das was Du hier machst Hilfsbereitschaft.

    Jetzt ist doch bald Weihnachten, ich hab dazu mal einen ernstgemeinten Vorschlag.

    Am 24 Dezember, ziehen wir für einen Tag mal den Stecker und wiedmen uns dem was wirklich Wichtig ist, der Familie, kein Internet, kein Fernseher, ein wenig Radio und ein paar Brett oder Kartenspiele.
    Ein Tag an dem man sich überlegen kann, brauch ich das den wirklich alles, was ich gerne möchte.

    Ich denke es wird höchste Zeit umzudenken.

    Freundliche Grüße an Alle
    vor allem aber an Simon und Daniel.

    Ewald

    • Simon | 20. Dezember 2011 um 07:17 | Antworten

      @ Ewald

      Mmmh, ich denke/hoffe doch das auch andere deine Texte lesen und zumindest manchmal ein bisschen ins Grübeln kommen.

      Ich muss ja zugeben, das ich erst, zumindest sogesehen, in der herangewachsenen Zeit des Internets (wenn man es da schon so nennen wollte in DE) geboren worden bin.

      Kleine Korrektur…es wird sicherlich nicht alles Missbraucht. Es wird aber immer mehr das missbraucht/ausgenutzt wird.
      Außerdem könnte man jetzt noch in ethnische und theologische Fragen verfallen, denn sogesehen ist der Mensch sowieso von Grund auf „Böse“. Damit wäre all das was geschieht und sich für Dich und Mich (und andere) als Böse darstellt – zum Beispiel diese Ransomware – eine „Erklärung“.

      Wem ich eigentlich helfen will?
      Nun das ist recht simpel zusammengefasst – Leuten die Hilfe brauchen (in dem Fall zu dieser Ransomware).
      Und selbst ich bin dann und wann auch mal „böse“ und schriebe keine oder schnippische Kommentare, Ich kann zum Beispiel diese ganzen Facebook/Messenger-Kiddies nicht ab, welche meinen IMMER alles klein und ohne irgendeine InterPunktion schreiben zu müssen!
      Zu meiner Messenger-Nutzungs(blüte)zeit wurde wenigstens dort noch einigermaßen sauber Deutsch geschrieben.
      Aber das istdann doch wieder ein weiteres Thema.

      Im Endeffekt ist es mir egal ob sich derjenige die Platte zugemüllt hat, oder ob er sich eingebaute Viren/Trojaner durch ein illegal gezogenes z.B. Windows 7 direkt eingebaut hat.
      Oder ob es schlicht einfach ein User/eine Userin ist, welche eben nach ihren Mails sieht und ein bisschen was in Word tippert.
      Denn DAS soll nicht mein Problem sein. Solange ich nicht davorsitze und genau DESWEGEN Probleme habe das System zu bereinigen.
      Und selbst dann hat wieder die eigentliche Person das Problem, denn umso länger ich woran arbeite – umso teuerer wirds.^^

      Das Menschen dauerhaft umdenken müssten und sollten, wird seit Jahrzehnten von allen möglichen Seite gepredigt – im warsten Sinne des Wortes.^^
      Ich selbst sehe es ja auch mit Schrecken wie unglaublich egal den meisten Menschen z.B. ihre Mitmenschen sind.
      Als Beispiel dafür reicht mir schon das eigentlich banale Autofahren aus.
      Leider aber leben wir in einer Welt, in der es diese Art von „Freundlichkeit, Höflichkeit, Liebe, etc.“ NIE geben wird. Zumindest nicht immer und überall und dauerhaft.

      Und ganz ehrlich, das muss ich ja zugeben, ich glaube kaum das ich am 24.ten den stecker iehen werde.
      Ich werde aber viel Zeit mit meiner Familie/Verwandschaft & Freunden verbringen.
      Eine eigene Freundin etc. hab ich nicht, in dem Zuge brauche ich mich auch „darum“ um es mal so einfach auszudrücken, auch nicht kümern. :-/
      Außerdem kommt mein „Radio“ auch nur über das Internet, also muss min. der Laptop + Internet an bleiben/sein.

      Ich hoffe alle von Dir angesprochnen Punkte irgendwie verarbeitet/beantwortet/weitergedacht zu haben. :-)

      Grüße,
      Simon

  42. Daniel Weihmann | 20. Dezember 2011 um 13:23 | Antworten

    Exploit-Kits nutzen Zero-Day-Lücke in Java

    Schaut mal. Kann solch ein Baukasten auch für unseren „besten Freund“ genutzt wurden sein? http://www.zdnet.de/news/41558892/exploit-kits-nutzen-zero-day-luecke-in-java.htm

    • Simon | 20. Dezember 2011 um 13:40 | Antworten

      @ Daniel

      Das ist das, wovon ich sprach als ich sagte, das es üebr Java kommt und das meistens solche Teile selbst von Scriptkiddies genutzt wird/werden kann.

      Und wie man sieht, ich hatte wohl recht.
      Denn noch hat sich hier keiner gemeldet, welcher wohl mit aktuellem JAVA sich das Teil eingefangen hat.

      Für mich ist damit der Beiweis (bis zum Gegenbeiweis) zumindest erbracht. :-)

      Also, immer schön JAVA aktuell halten und zumindest DAS hier passiert einem nicht so schnell – auf diesem Wege.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  43. Simon | 20. Dezember 2011 um 14:16 | Antworten

    Wenn cih jetzt auch mal noch etwas „leicht Off-Topic“ hier einstellen darf….

    +++
    Sicherheitsloch erlaubt Ausführung von Schadcode

    In Windows 7 ist ein Sicherheitsloch bekannt geworden, das auch zur Ausführung beliebigen Programmcodes missbraucht werden kann. Zur Ausnutzung der Sicherheitslücke ist Apples Safari-Browser erforderlich. weiter…

    Mit freundlichem Gruß,
    Simon

    (Fachinformatiker für Systemintegration)

  44. Michael | 20. Dezember 2011 um 16:00 | Antworten

    Wenn ich auf „SHELL“ klicke heist der Wert bereits Explorer.exe und nicht jashla oder Mahmud.exe. Versuch ich diese zu finden kommt kein Ergebnisse!
    Bitte um weitere Ratschläge um dieses Problem
    Zu lösen…
    Mit dank Michael

    • Simon | 20. Dezember 2011 um 21:20 | Antworten

      @ Michael

      Alleine auf dieser Seite oder der vorherigen wurde diese Frage schon 3 mal gestellt. :-)
      Und immer lautet meine Antwort, zumindest fürs erste, die Punkte P08 und <a href="http://kunden.pp4it.de/bka-entfernung.php#fundorte"<P14 anschauen.

      Damit hat sich in den meisten Fällen das Problem schon beinahe gelöst.
      Da es unterschiedliche Varianten gibt, kann/muss aber nicht die Lösung dabei sein – es ist aber relativ wahrscheinlich.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  45. Nadie | 20. Dezember 2011 um 17:58 | Antworten

    ich hatte diesen virus auf einem anderen rechner mit xp und dank der hervorragenden anleitung habe ich alles gelöscht bekommen- system lief wieder.
    jetzt sitze ich an einem rechner mit windows 7 und da steht unter dem angegebenen pfad ganz normal explorer.exe
    kein mahmut wie damals, oder einer seiner kollegen–

    also bin ich den link gefolgt der irgendwo hier angegeben war, mit den punkten 001 – 037327362892

    bei 014 oder 015 stannd dann sinngemäß
    der trojaner kann dort sein.. oder hier, oder da auch..allerdings kann er auch da sein, wenn er nicht da ist, könnte er dort sein..
    ehm… ok… super
    ich brauch was blondenfreundliches wie hier für xp angegeben. step by step… leicht verständlich

    in einemfilm hab ich gesehen, einfach das system wieder zurück setzen..öhm… aber 1. was passiert dann? 2. sind dann meine daten weg? und 3. der virus ist doch dann nicht weg??

    bitte, wen mir jemand eine blondenfreundliche anleitung via mail schicken könnte.. fürwindos 7.. ich wäre echt dankbar

    Nadie

    • Simon | 20. Dezember 2011 um 21:14 | Antworten

      @ Nadie

      Ich will ja eigentlich nicht so sein, aber auf meiner Seite unter P14 steht halt „sinngemäß“ all das was wir hier bislang rausgefunden haben.

      Nämlich das sich der BKA’ler an diesem oder jenem Ort „verstecken“ kann.
      Er muss nicht da sein, er muss nicht dort sein, er kann aber da sein.
      So ist das halt mit Viren/Trojanern/Malware/Scareware/Ransomware/etc..

      Am einfachsten haben sich bislang 3 Dinge eigentlich erwiesen:
      1. Schaue im Autostart nach einer oder mehreren Zahlenkollenendateien evtl. von der Firma „Packard Bell“.
      2. Nehme dir eine Boot-CD und lasse dein System ohne Windows gestartet zu haben, scannen.
      3. Das Program Malware Antibytes (Free) von gleichnahmiger Webseite einsetzen udn dies suchen lassen.

      Alles das findest Du auch „relativ“ simpel beschrieben auf meiner Seite oder x-fach hier auf fast jeder Seite der beinahe 2000 Beiträge.

      Ohne Dich jetzt beleidigen oder niedermachen zu wollen. Aber sollte alles hier und dort nichts bringen, dann nehme Dir jemanden an die Hand der sich mit Computern auskennt (zur Not ein echter IT-Dienstleister) und lasse es den/diejenigen regeln.
      Es wird dann aber evtl. was kosten.^^

      Ich biete diesen Dienst ebenfalls an, aber dazu muss man in bzw. in der Umgebung von Frankfurt (am Main) wohnen. (Siehe P24 auf meiner Seite)

      Mit freundlichem Gruß und in der Hoffnung nicht zu grob gewesen zu sein,
      Simon

      (Fachinformatiker für Systemintegration)

      • Nadie | 20. Dezember 2011 um 23:35 | Antworten

        Du warst nicht zu grob, sondern ehrlich. Das ist gut.
        Und, ich kann auch einstecken :-)

      • Nadie | 20. Dezember 2011 um 23:34 | Antworten

        grüß dich simon,
        es war in keiner weise bös gemeint. mein problem ist, das ich – da hast du recht – keine ahnung von computern habe. ich war irre stolz, als ich beim ersten mal die kiste wieder zum laufen brachte, ohne bei meinem mann, auch informatiker, um hilfe zu rufen – der war nämlich auf dienstreise. (murphys law)

        diese anleitung hier ist für leute wie mich, sogenannte DAU`s, absolut genial. und ich war sehr dankbar dafür.

        heute hatte ich einen fachmann an der seite, aber gefunden hab ich das „mistding“ am ende selber, indem ich einfach den komplette computer mit *.exe nach exe dateien durchsucht habe. und dann habe ich diese nach datum sortiert, nur eine gefunden, die auch von der uhrzeit passend war (vom namen sowiso), und dort nach dem pfad geguckt. im autostart.

        die datei selber lautete:
        0.8137417025581771.exe
        und fand sich in zwei pfaden:

        c:\users\username\AppData\Roaming\Microsoft\Windows\StarMenu\Programs\Startup

        c:\user\username\Appdata\local\temp

        in der Regestry habe ich diese datei nicht gefunden. weder bei der suche nach dem ganzen namen, noch bei der fragment suche (z.b. *.1771.exe und andere varianten)

        der rechner läuft wieder, und mein mann, der wieder nicht da war, freut ist grad wie hulle, weil seine frau das ding allein gelöst hat und er nicht danach suchen mußte.

        Wenn ich Dir, Simon, zu nahe getreten bin, bzw. Du nunmal meinen Frust abbekommst, bleibt mir nur, mich zu entschuldigen. Es tut mir leid. Ich hoffe, Du nimmst die Entschuldigung an und siehst mir das nach..
        Deine Beschreibung war für mich, wie eine Mathe arbeit mit xxxxx zahlen… (Ich bin auch eine Mathe Niete)..
        Und dann macht mein Kopf zu und sagt „nee, will ich nich“.

        Ich danke Dir trotzdem, auch wenn ich damit nicht klar kam – was an mir liegt – und allen anderen, die hier mit Rat und Tat zur Seiten stehen. Ohne Euch wäre ich aufgeschmissen, und viele Andere sicher auch.

        Liebe Grüße, Euch allen eine frohe und gesegnete Weihnacht und kommt gut, und trojanerfrei, ins neue Jahr.

        Nadie

    • Simon | 21. Dezember 2011 um 05:29 | Antworten

      @ Nadie

      Wie das Leben so spielt. Soetwas passiert immer wenn der Informatiker nciht im Hause ist. *grins*
      Kann bei mir nicht passieren (leider), denn wenn ich nicht im Haus bin, ist niemand da. *mmpf*

      Ich hatte mir auch überlegt meine Anleitung zu bebildern. Dies habe ich aber dann aus 2 Gründen nicht getan:
      1. Die meisten Punkte wäre gleich oder sehr ähnlich gewesen. Egal welches Windows Betriebssystem.
      2. Ich habe mit meiner Seite dann doch mehr und mehr Punkte erfasst, welche als Erweiterung des hiesigen Angebots zu sehen sind. Im Zuge dessen braucht es auch (fast keine) weiteren Bilder mehr.
      Speziell aber für den Autostart habe ich einen modifizierten Screenshot hinterlegt.^^

      Das Was Du fandest und Wo Du es fandest, ist im Grunde nichts anderes als bei mir auf der Seite unter Punkt P14 steht.
      Ich habe deine Zahlenkollonnen-Datei übrigens mittlerweile auf meiner Seite mit aufgenommen.

      Kleiner Tip/Hinweis
      Zitat: noch bei der fragment suche (z.b. *.1771.exe und andere varianten)
      Solltest Du so gesucht haben, dann ist dir ein kleiner Fehler unterlaufen weshalb nichts deratiges gefunden werden konnte.
      Du hättest nach *1771.exe suchen müssen.
      Der Punkt vor 1771.exe ließ ihn nach Dateien suchen ala irgendetwas.1771.exe

      Das mit deinem Mann und der Freude kann ich nachvollziehen. Ich kann mich zwar auch über Personen freuen die es schaffen, aber nicht wie auch z.B. bei mir ein Bekannter, welcher sich für seine frau ebenso „wie Hulle“ freut wenn Sie was am PC geschafft hat. *grins*
      Das Phänomen ist also recht weit verbreitet. :-)

      Ich war Dir nicht böse, noch war ich sauer auf Dich. Ich weiß das diese Anleitungstexte nciht für „ich brauchs aber bebildert“ Leute zu 100% geeignet sind.
      Ich versuche aber immerhin das fachchinesich soweit als möglich rauszuhalten bzw. es dann weiter zu erläutern.
      Deswegen war ich leicht „genervt“ als da so eine Mail kam mit „ich versteh das nicht ohne Bilder“.
      Wenn dien Entshuldigung auch dafür gelten sollte, was sie aber nicht müsste, dann würde cih diese natürlich dennoch annehmen. ;-)

      In Mathe bin ich genauso eine Niete. Gibt mir eine Matheaufgabe die (schon deutlich über normalem + – x : liegt und mein Kopf sagt da auch – ciao ohne mich).

      Eine letzte Frage an Dich:
      Meinst Du das mit den Segnungswünschen so, oder war das nur eine „um diese Jahreszeit“ übliche Floskel?
      Wenn Du dies hier nicht beantworten willst, so schreibe mir einfach an bka-virus@kunden.pp4it.de.
      Vielen Dank.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  46. Batte | 21. Dezember 2011 um 00:58 | Antworten

    Die Jungs haben nachgelegt. Bei mir (XP) lässt sich der abgesicherte Modus nicht starten. Win teilt mir freundlich mit das der abgesicherte Modus nicht geht, weil eine hard- bzw. Software Änderung stattgefunden hat. Und nu?

    • Simon | 21. Dezember 2011 um 05:11 | Antworten

      @ Batte

      Diese Art von „Abgesichertem Modus“ Problem kenn eih leider bislang nocht nichtmal aus der Praxis. Zumindest kann ich mich nicht daran erinnern.

      Auf die schnelle fand ich das passende Problem leider auch nicht im Netz. :-(

      Ich würde nun wohl als nächstes erst mal zu einer der vorgeschlagenen Boot-CDs (unter P12 zu lesen) greifen. Die von Kaspersky ist zumindest extra gegen Ransomware wie der BKA’ler welche ist.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Peter Zeller | 21. Dezember 2011 um 11:18 | Antworten

      Hallo,

      ich hatte auch das Problem, nicht mehr in den abgesicherten Modus zu kommen. Letztlich war ich erfolgreich mit: Rechner aus, neu starten, „vibrierend“ F8 drücken. Erfolg nach dem 10. oder 15. Versuch.

      Peter

      • Batte | 21. Dezember 2011 um 23:31 | Antworten

        Hallo,

        hat leider nichts geholfen. Der abgesicherte Modus ließ sich nicht starten. Auch mit booten mittels XP-CD brachte keinen Erfolg. Die Boot CD mit Antivir konnte ich nicht einsetzen, da das Laufwerk keinen Zugriff zuließ. Was letztendlich ging war, Gehäuse auf, IDE Kabel ab, USB/IDE Adapter dran und mit einem anderen Rechner die Festplatte durchsucht. Unter system32/ die Datei 0.62714717106124832.exe gelöscht. Dann alles wieder rein und gestartet – läuft. Nun noch intensiv Viren scannen, sieht bis jetzt gut aus.
        Aber nerven tut das unheimlich.

        Frohes Fest und Danke

        Batte

4 Trackbacks & Pingbacks

  1. Mitteldeutsche Zeitung über den BKA-Trojaner
  2. Verbreitung des BKA-Trojaners anhand Zugriffszahlen auf redirect301.de
  3. Weiterer Clone des BKA-Trojaners sperrt Windowssystem
  4. Bundespolizei-Virus: Fragen und Antworten zur Trojaner-Entfernung

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.