Beitrag wurde zuletzt am aktualisiert

Bundespolizei Trojaner entfernen

Bundespolizei Virus / Trojaner entfernen

„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.

Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!

Schritt für Schritt Anleitung


Neue Varianten vom BKA-Virus (Bundestrojaner) im Umlauf! Alle Informationen + Videos zum Entfernen der Schadsoftware im GVU-Trojaner 2013 Beitrag, falls diese Tipps nicht zum Ziel – der vollständigen Wiederherstellung des Rechners – führen sollten

Die ersten Schritte bei Problemen dieser Art

Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!

  1. Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
  2. Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
  3. Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
  4. Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
  5. Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
  6. Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.

Anleitung zum Löschen des Bundespolizei Virus

Bundespolizei Virus - Bildschirm eines infizierten Windows PCs

Bundespolizei Virus – Bildschirm eines infizierten Windows PCs

  1. Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
  2. Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten

Windows im abgesicherten Modus starten

  1. Windows startet nun in einer Art Minimal-Konfiguration.
  2. Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
  3. Den Befehl regedit eingeben und [Enter] drücken
  4. Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
  5. Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
  6. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
  7. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
  8. [OK] klicken und das Registry-Fenster schließen [x].

Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.

Windows-Registry - Pfad zur jashla.exe

Windows-Registry – Pfad zur jashla.exe

Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.

Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).

Den Rechner jetzt ganz normal neu starten

Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.

Rechner auf Schadsoftware prüfen

Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus
, das hier gratis herunter geladen werden kann.

Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.


Was heißt, der Spuk ist „erst mal“ vorbei?

Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.

Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!

Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …

116 Kommentare zu "Bundespolizei Trojaner entfernen"

  1. Simon,

    1. wozu würde ich im Zweifelsfalle Java brauchen?

    2. wenn ich Java deaktiviere, dann wird es vermutlich auch nicht mehr automatisch upgedatet. Wenn ich es dann irgendwann wieder aktiviere, habe ich ein altes Java und bin ungeschützt?

    Gruß, Peter

    • @ Peter

      Vielleicht versthe ich ja nur die Fage falsch, aber waren die Antworten https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-20#comment-3437 und https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-19#comment-3206 nicht ausreichend um die Frage zu „klären“?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Erweiterung:

      Auch ein deaktiviertes JAVA kann man ja updaten. (Man muss es danach nur wahrscheinlich wieder deaktivieren.^^)

      Siehe dazu Punkt P20.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  2. Hallo, ich hab es jetzt bis zu Schritt 4 geschafft, aber wenn ich „regedit“ eingebe un ENTER drücke kommt eine Meldung die mir sagt : Das Bearbeiten der Regstrierung wurde durch den Administrator deaktiviert.
    Was soll ich machen?

    lg

    • @ Tina

      Hast Du/Haben Sie es mal mit einer Systemwiederherstellung probiert, oder vorher noch im Autostart nach dortigen eventuell angesiedelten sonderbaren ausführernden Dateien geschaut?

      Eventuell hilfreich für die Systemwiederherstellung wenn Windows nciht mitmacht…Punkt P18.
      Und für die Autostart-Variante gäbe es hier noch Tipps.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  3. Hi zusammen,
    habe seit das gleiche Problem. Nur das mein Rechner garnicht mehr startet. Lüfter vom Prozessor geht nicht mehr an und bildschirm blinkt. Er bootet nicht mal mehr. Kann nicht F8 drücken oder sonst was? Hat jemand einen Ratschlag?

    • Das klingt jetzt aber schon sehr nach einem Hardware-Defekt.
      Hatte der PC vorher schon irgendwelche „Beschwerden“ (Abstürze, Dauerhafte Langsamkeit, Unerklärbare andere Phänomene, oder ist er schlicht z.B: 10 Jahre alt)?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  4. Hi, habe auch den Trojaner…habe alles gemacht wie es in der anleitung oben beschrieben ist…ABER…ich habe winlogon ausgewählt jedoch taucht danach im rechten fenster nicht der Schlüssel „shell“ auf…was soll ich jetzt machen :( kann mir jemand helfen?

  5. danke für den tipp aber ich versteh leider nicht richtig wie ich das jetzt machen soll, wie das in P09 beschrieben ist
    gruß

    • Nach Möglichkeit lade diese Datei runter (an einem anderen PC), tranferiere Sie per Stick zum „infizierten“ und doppelklicke darauf. damit müsste der Shell-Wert in der Registry eingetragen werden.
      Im Erfolgsfall bekommst Du/bekommen Sie eine ebensolche Erfolgsmeldung.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  6. Hallo
    Hab mir nun dieses „sch….. Ding auch noch vor Weihnachten eingefangen…..*würg

    Nur…
    komme zwar in den „Abgesicherten Modus“….aber!! wenn ich dort Windows hochfahre…..kommt auch gleich das Bundeskriminalamt-Geplänke?!

    Wie komme ich nun weiter??

    LG Role

    • 1. Internet ist abgezogen, WLan ist aus?
      2. Wie weiter oben beschrieben schon Autostart und Systemwiederherstellung probiert. Nur in diesem Falle am besten mit einem anderen (administrativen) User?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  7. okay, habe den tipp befolgt…habe die datei auf einen USB-Stick geladen und diesen am infizierten pc angeschlossen…wo finde ich nun die datei die ich doppelt anklicken soll? erscheint die automatisch oder muss ich die suchen?

    gruß

  8. habe herausgefunden wie ich den USB-Stick auswählen kann jedoch wenn ich den wechseldatenträger öffnen will um die datei anzuklicken wird mir angezeigt dass sich keine datei auf dem stick befindet obwohl ich die datei von einem anderen pc auf den stick gemacht habe

    • ISt vielleicht aus irgendeinem Grund die *.reg-Datei auf dem Stick als „Versteckte Datei“ markiert gewesen. Denn dann müsste dieses versteckt werden erstmal aufgehoben werden.

      Falls nicht bekannt ist wie das geht, hier (Punkt P17) steht es.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  9. Hallo,

    hab mir auch den virus eingefangen. hab alles gemacht bis zu schritt 8. hab den schlüssel „Shell“ gefunden aber bei mir hat kein Wert drin gestanden also kein Pfad. Hab jetzt trotzdem Explorer.exe eingegeben. Bringt aber ja nix da ich den Pfad nicht zurück verfolgen kann oder? Kann mir bitte jemand helfen?

    gruß

    • Da ich es mir leider nicht anschauen kann, könnte es als erstes ja auch noch seinm das der Shell-Wert nicht ganz stimmt. Sollte das der Fall sein, dann bitte Punkt P09 beachten.

      Für den Rest des Problems, schaue Dir doch mal folgendes hier gemachtes Posting an, da müssten eigentlich für den Anfang genug Hinweise drin stehen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  10. ich habe im normalen abgesichertem modus unter systemsteuerung das system zurück gesetzt. es funktioniert jetzt alles wieder aba habe ich jetzt noch einen trojaner?

    • Da es sich nach den mir bislang bekannten Varianten noch nicht um einen Virus/Trojaner sondenr nur um Ransomware handelt, wäre die Frage mit nein zu beantworten

      Im Endeffekt würde ich noch als Minim der Nacharbeit einen OFFLINE-Systemscan machen.
      Wenn dieser auch nichts ans Tageslicht bringt, kann man „relativ“ sicher sein dass das System sauber ist.

      Ganz sicher geht halt immer nur per Datensicherung und Neuinstallation.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  11. Hallo Leute!
    Ich habe ein mehr oder weniger großes Problem! Ich hatte den Virus auch und hab ihn auch entfernen können, jedoch bin ich dabei viel zu vorschnell und unbedacht vorgegangen und habe den Registryeintrag „Shell“ gelöscht! Seitdem zieht mein Laptop mehrere komische Dinge ab… gibt es irgendwie ne Möglichkeit „Shell“ zu erneuern oder hilft hier nur noch eine Neuinstallation des Systems?

  12. Und mal wieder was aktuelles zur Ransomware…(Klick)

    Mit freundlichem Gruß,
    Simon

    (Fachinformatiker für Systemintegration)

  13. Kann mir jemand pls erklären wie das mit dem „Pfad“geht ich begreif das irgendwie nicht ^^.Bitte um Hilfe

  14. Die Tips waren schon sehr hilfreich. Bin tatsächlich bis zu Shell gekommen, da stand aber schon explorer.exe.
    Einen Stick oder eine CD, um das Ssytem nochmal zu laden habe ich leider nicht.
    Was kann ich denn da noch tun?

  15. Hallo,
    hab den Trojaner grad eben gekriegt und die Anzeige der BP sieht etwas anders aus. bin bis zum Wert Shell gekommen, denn da stand ganz brav Explorer.exe drin
    Auch Jashla.exe findet die regy nicht….
    was kann ich tun??

  16. So hab ja oben geschrieben das ich bis Schritt 8 gekommen bin. Und explorer.exe schon drin war.
    Da hier leider keiner geantwortet hat hab ich selbst probiert den wegzubekommen was mir gelungen ist.
    Einfach in den „Abgesicherten Modus mit Netzwerktreibern“ dort systemwiderherstellung(start/alle programme/zubehör/systemprogramme/systemwiderherstellung) machen auf einen Tag bevor man den virus hatte. Wenn er dann normal hochfährt antivir oder was man hat grad wieder aktualisieren und gut ist;) und aufpassen das man ihn nicht wieder bekommt. ich hoffe ich konnte manchen helfen. (ist für vista systeme)

    • @ Daniel

      Es tut mir ja leid wenn Dir/Euch nicht geholfen wird.
      Aber ich habe zwar nicht den Stress/die Hektik einer Ransomware auf meinem Computer, aber ich muss auch an diesen tage lange genug arbeiten und habe selbst danach genug zu tun.
      Ich kann hier leider weder Minuten noch Stunden für garantieren.
      Ich kann antworten – wenn ich die Zeit dafür finde.

      Der Tipp der Systemwiederherstellung hat in den ca. 2000 Beiträgen bisweilen schon sooo einen Bart und wird selbst auf dieser Seite von mir glaube Minimum 1 bis 2 mal erwähnt.

      Auch der Weg – Ohne Windows – wird zusätzlich auf meiner Seite erläutert.

      Nichts desto trotz freut es zu hören das Du/Sie es selbst wegbekommen haben.
      Ich vermute mal, das sich hiermit auch ein gewisser Lerneffekt ergeben haben wird. (Positiv gemeint!)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  17. Hallo,

    vielen Dank für die tolle Anleitung. Die ist wirklich leicht nachzuvollziehen. Trotzdem hat es bei mir leider nicht geklappt. Ich bin bis zum Schritt 8 gekommen und habe Shell gefunden, aber komischerweise ist der Pfad der richtige, bzw. „explorer.exe“ den ich eigentlich eingeben soll. Ich habe also keinen Pfad den ich löschen kann und der mich zum Übeltäter auf meiner Festplatte bringt. Wie kann denn das sein, bzw, wie komme ich jetzt weiter?

    Liebe Grüße,
    Lisa

  18. Die oben gegebenen Tips mögen ganz nützlich sein, abe „Malwarebytes Anti-Malware“ entfernt das Programm auch direkt und ohne irgendwelche Überreste

  19. Hallo.

    Der Pfad der Shell Datei ist bei mir explorer.exe.
    Deshalb habe ich, wie beschrieben in der regedit alle in P14 beschriebenen Fundorte gesucht aber nichts gefunden.

    Mfg.

  20. Hallo. ich habe das alles auch soweit hinbekommen, sogar bist shell. Nur das problme ist da , wenn ich nen doppelklick gemacht habe, ist beim Pfad schon explorer.exe angegeben… und nun!?

    • @ Lina

      siehe ein paar Posts obendrüber…Schau mal im Autostart. Eventuell ist aber auch deine explorer.exe infiziert.
      Näheres dazu auch auf meiner Seite.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Hast das problem gelöst? Hab glaub die lösung gefunden… gaaaanz billig bzw. einfach ^^ Keine sorge ich bin kein abzocker!

      • @ Michael

        Darf ich fragen wie diese Lösung aussieht?
        Wäre ja auch für mich interessant zu wissen.

        Mit freundlichen Grüßen,
        Simon

        (fachinformatiker für Systemintegration)

  21. Hallo zusammen,
    bis zu Punkt 10 habe ich es geschafft. Jedoch finde ich die jashla.exe nicht, da meine Suchfunktion nicht aktiv ist und somit kann ich den Trojaner nicht endgültig löschen. Wie komme ich sonst dahin?
    Außerdem war der Wert des Schlüssels „Shell“ bei mir bereits „Explorer.exe“ ..
    Danke schonmal.

    • auch dir kann ich evtl. helfen :) Sag falls du noch hilfe benötigst! Hab die jashla.exe auch nicht gefunden! Dafür aber eine andere datei die mir verdächtig erschien. Hab diese gelöscht seither ist mein rechner wieder clean….

    • @ Peepee

      Schau Dir/Schauen Sie sich mal die folgenden Punkte P14 und P14.1 diesbezüglich an.

      Dort wird vermutlich schon die passende Lösung stehen, wenn nicht – nochmal fragen.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  22. Guten Tag zusammen!
    Vielen Dank für die Anleitung, ich kenne mich überhaupt nicht mit Computern aus, bin aber bisher gut durchgekommen.

    Bei Punkt 8 habe ich nun jedoch ein Problem. Beim Wert der Shell-Datei steht bereits explorer.exe. In den vorherigen Kommentaren habe ich bereits etwas hierzu gelesen, dass dies passieren kann wenn man bereits eine Systemwiederherstellung durchgeführt hätte, habe ich nicht. Ich habe um ehrlich zu sein noch gar nichts mit meinem Rechner gemacht außer die Punkte dieser Anleitung.

    Kann mir vielleicht jemand weiterhelfen?
    Mein Betriebssystem ist im übrigen Windows Vista.

  23. Hallo,
    also ich benutze Panda Global Prodection und heute hat es mich durch Unvorsicht meinerseits erwischt. Hatte Panda deaktiviert und wieder vergessen zu aktivieren und mach eine Internetseite auf. Ich weiß nicht mehr wohin ich navigieren wollte als auf einmal lauter Pornoseiten aufgingen. Mit dem Schließen kam ich gar nicht mehr nach und zack – weißer Bildschirm „Bundespolizei….labalaba“ Ich hatte von dem Trojaner noch nichts gehört aber war ja offensichtlich, da da stand zahlen sie 100 Euro per PayPal. Wie blöd müsst man sein. Panda Safe Disk hatte ich gestartet als ich über das zweite Notebook diesen Beitrag las. Ich unterbrach Panda und wollte diesen Weg gehen, da war es schon bereinigt. Unter Shell stand Explorer.exe und die Jashla Datei gab es nicht auf dem Rechner. Windows 7 staret wieder normal und jetzt lass ich einen komplett Scan laufen.
    Bis heute ist an Panda Global Protection nichts vorbeigekommen – war ja auch mein Fehler!

    Trotzdem guter Tipp

    • Aus welchem Grund deaktiviert man seine Schutz-Software? Aber danke für den Tipp Panda Global Protection.

      • Das möchte ich nicht hier erleutern!
        Ich sag nur soviel, Panda passt genau auf, was man an einem PC tut und manchmal ist es nötig niemanden aufpassen zu lassen…

    • @ Monika C.

      Ob es nun so gemeint ist oder nicht, aber vom geschrieben her tippe ich auf einen „leicht schnippischen“ Tonfall.

      Ich denke aber das die Frage von Herrn weihmann nicht böse gemeint war, sondern einfach mal eine Frage „in den Raum“ war.

      Auch ich habe schon mehrmals meinen Virenscanner deaktiviert, nur das ich zum Glück ihn wieder eingeschaltet habe bzw. er es nach einigen Minuten selbst wieder tut.

      Und zum Panda. Man sollte sich nicht zu sicher fühlen.
      Sollte eine Antiviren/Antimalware/Antispyware/AntiRootkit/AntiScareware-Software tun was Sie soll, dann käme es nie zu einer Infektion.

      Da dies aber wohl dennoch geschehen war, muss man eben doch selbst auch achtgeben.^^
      Auch wenn dies auf die Deaktivierung geschoben wird/wurde.

      Es gab hier übrigens schon einige User die ebenfalls Panda im Einsatz haben/hatten, und auch diese hatten selbiges Problem.

      Kurzum – es gibt KEINEN 100%-tigen Schutz.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  24. Halllloooo ..schööön mich hat es nun auch erwischt VOR Weihnachten man hat ja sonst keine Probleme :-DD
    <>
    Finde gut das es sowas gibt und man nicht 100derte von euros noch für experten vor ort ausgeben muss..
    Wünsche ein Vieren freies Weihnachtsfest!!
    Vielen Danke
    Lieben Gruß

  25. Hallo!

    Als ich den Trojaner hatte, habe ich alles befolgt und bin auch zu dem gewüschten Ergebnis bekommen. Das Seltsame war nur, dass unter „Shell“ schon „explorer.exe“ stand, es also keinen Pfad gab, dem man dann später hätte folgen können um den Virus zu löschen.

    Als ich dann später jashla.exe oder mahmud.exe und wie sie alle heißen in der Suchfunktion von Windows suchte, ergab die Suche auch keine Ergebnisse. Bedeutet das, dass ich einen Virus mit einem anderen Namen habe? Der Computer funktionierte komischerweise wieder, auch wenn ich so gut wie nichts verändert hatte.

    In den folgenden Tagen erkannte Avira allerdings immer einen Trojaner, der bei jeder Benutzung des Computers einige Male gemeldet wurde. Ich habe dann immer auf „löschen“ geklickt. Als ich dann gestern im Internet war, kam plötzlich wieder die Meldung von der Bundespolizei.

    Ich hab das ganze also nochmal gemacht und alles ging wieder. Ich wette allerdigs, dass der Virus wieder versuchen wird, auf meinen Computer zuzugreifen. Ich würde es echt zu schätzen wissen, wenn mir jemand sagen könnte, wie ich ihn daran hindern kann!

    Ansonsten erst einmal frohe Weihnachten und guten Rutsch.

    • @ dsb

      Das Problem wird sein, das sich die BKA-Ransomware-Datei(en) immernoch auf dem System befinden und durchaus somit bei jedem sTart auch geladen werden.
      Entsprechend wäre ein Schauen in die Registry und den Autostart von Vorteil. Dort wird – vermutlich – wiedermal der Übeltäter zu finden sein.

      Schaue Dir/Schauen Sie sich dazu mal die Punkte P14 und P14.1 auf meiner Seite an.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  26. *update

    jetzt, wo ich den Computer nochmal hochgefahren habe, stellte sich raus, dass der Virus NICHT weg ist und die Meldung immer noch den Zugriff versperrt. Hat also nicht geklappt wie beim letzten Mal… Anscheinend kommt die Meldung aber vom Internet Explorer, was man sehen konnte weil die Taskleiste kurze zu sehen war. Was hat das jetzt schon wieder zu bedeuten?

    • @ dsb

      Der Internet Explorer wird von der BKA-Ransomware benötigt um die Anzeige überhaupt bringen zu können.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  27. Ich weiß jetzt wie mein Virus heißt.
    Ich hab erstmal das System auf gestern zurückgesetzt, dann kam wieder die Meldung von Avira „AppData\Roaming\appconf32.exe ist das trojanische Pferd“. vielleicht hilft das ja anderen Leuten weiter.
    LG :)

    • @ dsb

      Vielen Dank für den Hinweis.
      Habe den Dateinamen nun auch auf meiner Seite gelistet.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Erweiterung:

      Ich will ja nicht entmutigen und es könnte auch lediglich der selbe Dateiname sein und dafür wesentlich harmloser, aber das hier hört sich gar NICHT gut an: http://forum.avira.de/wbb/index.php?page=Thread&threadID=131741

      Ich würde es zumindst prüfen…wenn dem so wäre, dann gelten einige weitere Punkte meiner Seite im Bezug auf Datensicherung und Neuinstallation.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  28. Hm, ich habe das Problem, dass ich, sowie ich den „abgesicherten Startmodus“ aktiviere, auch nicht mehr eingreifen kann und mein PC dann hochfährt wie sonst auch (null Eingabechance!) – danach baut sich mein freundliches Trojaberbild auf, Ende. Das geschieht in jedem Modus, egal, wie ich starte.
    Gibt es noch eine weitere Variante zur Lösung?

    • Dann wäre Punkt P12 zum Besispiel noch eine Option.
      Voraussetzung das ein Brenner oder ein Stick vorhanden ist.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Wenn sich das Bild noch aufbauen kann, so dürfte ncoh eine Internetverbindung bestehen (per Kabel oder WLan). Sollte dem so sein, dann diese bitte vorher unbedingt TRENNEN.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • die ist definitiv gekappt, aber es passiert das gleiche.Im net bin ich über einen stick und per laptop.

      • @ Simon,

        das Kappen bringt erstmal nichts. Kappen war meine erste Idee, da ich nicht wußte, wie das gehen könnte, bin ich mit dem Netbook ins nächste Dorf gefahren, also außerhalb meiner WLAN-Aktivität, und das Netbook normal gestartet. Danach folgende Meldung: „Eine Internetverbindung besteeht noch nicht, bitte warten Sie, bis die Verbindung hergestellt ist.“
        Den Trojaner beseitigt habe ich bei nicht unterbrochenem WLan.

        Peter

    • @ magical tommy

      Ich hatte das selbe Problem. Ich habs zigmal versucht; dh wenn der Willkomen-Bildschirm kam, dann Rechner ausgestellt, neu gestartet, mit F8 Abgesicherter Start mit Eingabeaufforderung gewählt – irgendwann blieb die da stehen, und dann weiter mit msconfig, regedit, explorer.exe usf.

      Peter

    • @ Peter Zeller

      Das ist durchaus interessant, denn noch kann ich mir nicht so recht erklären warum es ein Dorf weiter dann keine Internetverbindung mehr gab, wenn doch vorher schon alles „deaktiviert“ war?! *grübel*

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  29. Ist ja alles schön und gut, das es sowas gibt wie diese Seite hier. Aber hätte man das nicht nen bisschen verständlicher machen können, für die jenigen unter uns, die sich mit sowas so garnicht auskennen?

    • Die Freage ist jetzt eher, welche Seite gemeint ist?!

      Diese Seite hier mit der 10-Schritte Anleitung welche für die ersten paar Varianten der BKA-Ransomware ins Netz gestellt wurde, oder meine „Erweiterung“ der dieses Blogs hier mit aktuell verschiedenen Fragen & Antworten?!

      Diese Anleitung hier oben ist in diesem Fall schon, ohne mitgezählt zu haben, ten Menschen eine Hilfe gewesen die ebenfalls rein gar nichts sonst mit dem PC am Hut haben.

      Meine Seite ist einer Erweiterung und geht OHNE großartige Bilder näher ins Detail – umfasst dafür aber auch die neueren Varianten dieser Ransomware.

      Wenn also die Anleitung hier oben gemeint ist, dann nimm es mir/dann nehmen Sie es mir nicht übel, aber wenn das zu schwer ist würde ich einen IT-Dienstleister oder sonst jemand Fachkunden aufsuchen.

      Und damit nun, ohne Dich/Sie beleigt haben zu wollen, noch Frohe Weihnachten.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  30. Ich habe das gleiche Problem, jedoch erscheint bei mir unter dem angegebenen registrypfas nich shell, sondern nur Standard, Buildnumber, ExcludeprofileDirs, First logon und ParseAutoexec, was nun?
    Gibt es bei vista einen anderen pfas als bei xp und 7?
    Bitte um antowrt.
    Frohe weihnachten

    :)

    • @ Robert

      Der Pfad sollte eigentlich excakt der selbe sein.
      Wäre es Dir/Ihnen möglich irgendwie einen Screenshot/ein Foto bereitzustellen?

      Ansonsten kommt man evtl. auch durch folgenden Post zum Ziel.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • @simon
        vielen dank für deine antwort,
        wäre es denn möglich, wenn du mir deine emailadresse zukommen lässt, dann würde ich dir einen screenshot schicken, oder kann man den hier hochladen?
        also der pfad ist aber nicht der gleiche und die „datei“ shell ist nicht zu finde, zumindest nicht bei dem pfad, aber es müsste ja auch unter vista gehen, den manuell zu entfernen aus der reg oder?

    • @ Robert

      Schick einfach an bka-virus@kunden.pp4it.de

      Ich vermute schon den Fehler, aber das kann ich im Idealfall am Screenshot sehen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  31. ok haben jetzt den richtigen pfad gefunden, jedoch weiß ich nicht ,wie ich nun weiter verfahren soll, eig wurde ja gesagt, dass in der shell datei der pfad geändert werden soll, in explorer.exe, jedoch ist die shell datei als solches nciht da :/
    vielleicht stell ich mich auch einfach nur suboptimal an, aber ich finde sie nicht, habe schon unter explorer den shell ordner durchsucht.

    • Probieren wir es erst mal noch einfach und machen 2 Dinge:
      1. Besuch meiner Seite und Download/Eintragung des Registry-Keys (Punkt P15).
      2. Schauen im Autostart – sofern möglich – ob dort was steht was nicht sein sollte. (Punkte P14 & P14.1 auf meiner Seite)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  32. hey
    soo habe alle schritte befolgt und auch shell in der registry gefunden…da stand aber ganz normal explorer.exe
    habe dann trotzdem das system auf einen alten zeitpunkt wiederhergestellt und dann kommt die nachricht : wiederhergestellug ungültig und wenn ich auf ok drücke kommt wieder das bka bild und alle wieder „normal“
    hilfe
    mfg

    • Klingt so als wäre der Wiederherstellungpunkt nicht „sauber“ nutzbar.
      Dies ist natürlich schlecht, denn wenn kein weiterer vorhanden ist oder man nicht weiter zurück will, kann man jetzt nur Versuchen andere Methoden anzuwenden.

      Wurde schon versucht in den Autostart reinzukommen und dort mal zu schauen was Sache ist? (Siehe dazu Punkte P14 und P14.1 auf meiner Seite).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  33. Ich hatte dieses Ungeheuer auch auf einem geborgten Laptop,das entfernen kamm 30 €. Simon sagte das die Erklärung einfach ist,was bestimmt auch richtig ist. Aber
    alls 70 jähriger laie scheint es das aber nicht zu sein.Vieleicht wäre es mit Bildern zu den einzelnen Schritten vorteilhafter.Das kommische ist es sagt keiner wie und wo er den Trojaner bekommen hat, ich habe meinen beim suchen von Erotikseiten, wie Cam4 bekommen.Was tun eigentlich die Anbieter solcher Seiten gegen diese Attacken?
    Nur mut!
    mfg

    • @ reisender

      Zum Thema „Woher“ wurden ebenfals schon mehrere Beiträge, zum Teil sehr lange, verfasst.

      Auch habe ich dazu au meiner Seite etwas dazu geschrieben Punkt „Woher habe ich den Mist?!“.

      Dkie Webseitenbetreiber können dagegen erst dann was machen wenn Sie es wissen. Da die meisten Leute sich diese Ransomware „nebenbei“ einangen und mehrere Seiten offen haben, wissen Sie nicht woher sie es haben könnten und warum.

      Viele Browser haben die Möglichkeit für Addons/Plugins. Wer sich im Firefox z.B. AdBlock+ und evtl. noch NoScript installiert wäre davor zu 98% geschützt.
      Das Problem ist dann halt, das jede Seite erstmal fast nciht nutzbar ist, weil der Be tzer/die Benutzerin diese Seite im Addon (2 Klicks) freigeben muss.

      Und selbst das kann dann trotz Jahrelang vertrauenswürdiger Webseite schief gehen.

      Das Problem liegt in diesem Fall daran, das es im Endeffekt 2 Varianten gibt wie eine Webseite infiziert sein könnte.
      Das 1. wäre eine Infektion der Webseite selbst. Dies geschieht wenn der Webmaster nicht achtgibt und der Webserver z.B. gehackt worden ist oder die Seiten unsicher programmiert sind.
      Denn dann kann ein Externer Code in die Webseite einschleußen welcher bei jedem Aufruf dann ausgeführt wird.

      Die 2.te Variante sind Werbebanner. Wie gesagt, fast jeder Browser zeigt diese erstmal an. Da auf einer Webseite durchaus mehrere hundert/tausend Werbebanner in Rotation vorhanden sein können, ist es sehr schwierig rauszufinden welcher WErbebanner von dem Kooperationspartner da infiziert ist.
      Ich glaube Winfuture.de hatte auch mal das Problem. Es hat dort zum identifizieren des Banners ca. (glaube) 5 Stunden gebraucht. Danach aber noch viele weitere Stunden bis der Kooperationspartner diesen Banner aus seiner Rotation rausgenommen hat.
      Solange hätte jeder z.B. 1000ste Besucher im schlechsten Fall einen Schädling untergeschoben bekommen. Da Winfuture.de das nicht riskieren konnte/wollte, haben Sie für diese Zeit die Werbung halt komplett abgeschaltet und lieber auf die Einnahmen verzichtet.

      Wie man sieht, es ist definitiv nicht einfach bei alleine diesen beiden Methoden dieser „Last“ Herr zu werden.

      Ich hoffe dies erklärt das ganze recht anschaulich und nicht zu kompliziert.
      Bilder kann ich dazu jetzt leider keine Liefern (nicht falsch verstehend!). *schmunzel*

    • @ reisender

      Sicher wäre es einfacher noch mehr Bilder zu verwenden. Wiederum aber sollten – zumindest in der Theorie – die beschrieben Schritte gut genug dokumentiert sein.
      Herr Weihmann hat die Schritte vielleicht nicht alle per Screenshot aufgezeigt, aber diese dann immerhin „relativ anschaulich“ beschrieben.

      Leider kann man manches nicht unbedingt per Screenshot machen, bzw. für diverse Kleinigkeiten wäre es vielleicht sogar unnütz und würde eher verwirren.

      Ich überlege dennoch, eine solche vollbebilderte Anleitung mal zu machen.
      Das Blöde dabei ist und das liest man auf meiner Seite recht gut, es gibt mittlerweile glaube min. 9 Varianten der Ransomware. Soviele Anleitungen wollte ich dann eigentlich nicht bebildern, denn dann bin ich fertig wenn es die Ransomware nicht mehr gibt.

      PS.: Auch mein letzter Auftrag bei jemandem Vorort lag auch um den Dreh (inkl. Entfernung soweit als machbar, Beratungsleistung, diversen Hinweisen zum System selbst).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Also ich persönlich weiß nicht, wo diese Schadsoftware her kommt! Und könnte man pauschal sagen, das sie von Webseite X, Y und Z stammt, dann wäre es sicherlich unproblematisch. Wie schon ganz oft hier erwähnt helfen mit großer Sicherheit:

      1. das regelmäßige Aktualisieren des Betriebssystems
      2. das Aktualisieren der installierten Software und deren Plugins (Browser, Flash, Java usw.)
      3. wenn bei diesem Trojaner wirklich Werbebanner zur Verbreitung genutzt werden, dann würde vielleicht auch ein Werbeblocker weiter helfen

      Eine Entfernung für 30 € ist aber äußerst günstig. Wie lange hat der Techniker dafür gebraucht?

      • @ Daniel

        zu a) Hilft – ja :-)
        zu b) Hilft – ja :-)
        zu c) wurde von mir ein paar Posts weiter oben miunter beschrieben (ich sage nur AdBlock+ und NoScript)

        Wie schon geschrieben, ich nahm das letzte mal etwa das selbe. Dauer bis das Teil weg war, ca.15min (mit Neustarts etc.).
        Danach aber sogar noch System-Tipps, Update Hinweise, et.)

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  34. mein pc startet nicht im gesicherten modus !

    • Wie wurde versucht dorthin zu kommen? Was geschieht stattdessen? PC oder Laptop oder Netbook?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  35. Frohe Weihnachten an Alle!

    Guten Morgen, Simon!

    Weißt Du, ob es in der Registry einen Schlüssel gibt, der festlegt, wer (dh welches Konto) der Administrator ist?

    Grund: Mein Netbook ist jetzt ohne Virus normal und eigentlich müßte ich laut >Systemsteuerung > Benutzerkonten Admin sein, aber die Samsung Recovery Solution sagt, ich müsse erst Admin werden, damit ich sie nutzen kann.

    Peter

  36. Simon,

    Gerät: Samsung Netbook NC10
    BS: Windows XP Home Edition for Ultra Low Cost PCs SP3

    Peter

    • @ Peter

      Zu deiner Frage:
      Weißt Du, ob es in der Registry einen Schlüssel gibt, der festlegt, wer (dh welches Konto) der Administrator ist?

      Grund: Mein Netbook ist jetzt ohne Virus normal und eigentlich müßte ich laut >Systemsteuerung > Benutzerkonten Admin sein, aber die Samsung Recovery Solution sagt, ich müsse erst Admin werden, damit ich sie nutzen kann.

      Antwort:
      Wäre es jetzt ein Windows 7 oder wenigstens Vista, dann würde ich zumindest erst mal sagen können: Ja, der erste angelegte User ist Administrativ, aber nicht vollständiger Administrator.
      Das Konto dafür ist i.d.R. erst mal deaktiviert, ohne Kennwort und kann damit auch nicht genutzt werden.

      Gerade eben fällt mr aber ein was wohl Sache ist. Du bist im besitzt von XP Home. Wenn man unter XP Home eine Administrative-Aktion machen will welche die Rechte des Administrativen Users übersteigt, braucht man den echten Administrator. Den gibt es aber (so mein schon leicht angestaubtes Wissen dazu), nur im Abgesicherten Modus.
      Bzw. vielleicht auch in speziellen Modi einer Recovery-Comnsole.

      Das System XP Home hat als normalen Benutzer schlicht nur (anfangs) einen Benutzer. Nie aber ist der User der namentlich „Administrator“.
      Das ist auch der Grund, warum man unter XP Pro den ersten Benutzer „Benutzer = Administrator“ nennen kann, unter XP Home man sich damit aber jeglichen Zugang zum System versperrt (bis zur nochmaligen Neuinstallation^^).

      Ich hoffe das war/ist jetzt nicht viel zu kompliziert geschrieben. Wenn doch – nochmal fragen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  37. Schöne Feiertage noch Simon, und dank für die schnelle Antwort.
    So circa einen Tag er hat Ihn Mittags mit genommen und am nächsten nachmittag wieder zurück gegeben.Dan hab ich das Laptop auch wieder zurück gebracht. Aber nun hab ich doch etwas bammel auf meinen Rechner,ist gerade neue Instaliert!!, auch nach der Seite zuschauen.Aber mit Avast Antivirus müste es ja sicher sein. mfg

    • Wenn Avast mehr als die AntiVirus-Komponente, nämlich auch eine AntiMal/Scare/Ransomware-Komponente beherbergt dann „sollte es gehen“.

      (*Alle Angaben ohne Gewähr!)

      Als Alternative bietet sich natürlich immer eine Virtuelle Maschine oder zumindest eine Sandbox an.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  38. Vielen Dank, mir hat die Anleitung direkt geholfen und ich konnte das System meiner Tochter (sie hat sich übrigens auf Seiten von NDSroms-downloads rumgetrieben) damit wieder in die Gänge bekommen. Derzeit lasse ich Antivir drüber laufen, ob ich den Rechner neu installiere, überlege ich mir noch. Um um überhaupt auf Daten zugreifen zu können eine prima Hilfe!!!

    • Freut zu hören das es wieder geht.^^

      Ab heute wird der Tochter und dem Computersystem mehr auf die Finger bzw. Bits&Bytes geschaut. *schmunzel*

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  39. Ich habe nun Folgendes Problem:
    Ich bin im richtigen Verzeichnis und sehe die „Shell“ Datei, kann aber keine Pfad wie „C:/irgendwas/…“ erkennen sondern sehe dort explorer.exe
    ich hoffe ihr könnt mir wenigstens annähernd helfen.
    Danke schonmal im Voraus

    • Schau mal weiter oben auf der Seite. Sobald Du bei Links zu den Punkten „P14″ und P14.1“ ankommst, bist Du richtig und hast im Idealfall schon deine Problemlösung.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  40. hallo simon,

    eine frage … hättest du auch ein paar tipps bezüglich packed.autoit?? mein AVG hat zwar gerade 8 infektionen gefunden, aber die entfernung/quaratäne funktioniert nicht!!

    lg sabine

    • Hallo Sabine,

      Tipps zu packet.autoit….mmh – schwierig.

      Das erste was ich dazu las, war bzw. ist, das oben benanntes „Problem“ schon mindestens 4 Jahre alt ist.

      Falls es also keine brandaktuellen neuen Versionen gäbe, würde ich mich fragen wie das Teil heute noch ein (aktuell gehaltenes und natürlich geschütztes^^) System befallen kann? *grübel*

      Macht AVG schlicht nichts, oder meldet AVG Fehler beim der Aktion?
      Wenn Fehler gemeldet werden, läuft vermutlich mindestens 1 Prozess, der die Tätigkeit des AVG verhindert. Eventuell kann man diesen Prozess/diese Prozesse mit dem TaskManager oder dem ProcessMonitor von Microsoft sehen.

      Sollte natürlich eine Systemdateio infiziert sein, dann wird man den Prozess so einfach nciht finden, da er keinen ungewöhnlichen Namen haben wird.

      Hoffe das bringt zumindest schon mal ein ganz klein Wenig Licht ins Dunkel.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  41. Hallo Simon,

    vielen Dank für die umfassende Antwort. Merkwürdig ist: Wenn ich in der Systemsteuerung zu Benutzerkonten gehe. dann gibt es da 2 Konten: Peter zeller Computeradministrator und Gast nicht aktiviert). Wenn ich dann mein Konto ändern will, sagt er, ich müsse erst die Administratorrechte auf ein anderes Konto übertragen. Das suggeriert zumindest, dass ich doch Administratorrechte haben müßte.

    Was anderes: ich habe mit den Javaeinstellungen bei Firefox-Addons herumprobiert und festgestellt, daß bei Deaktivierung manche Dinge nicht mehr gehen, auf die meine Frau Wert legt. Deshalb die Addons wieder aktiviert und – upgedatet, weil ich dachte, daß mir das wenigstens etwas mehr Sicherheit gibt. Resultat: Beim Aufruf eurer Seite legt er einen tranparenten schwarzen ca. 10cm breiten Balken über den Anfang der Seite und sagt, ich solle zu >Einstellungen>Safari gehen und dieses aktivieren. Ganz unten am Ende der Seite steht: Mobiles Theme. Daneben ist ein Knopf; ein Doppelklick soll zur zur früheren Ansicht führen, das klappt aber nicht; es kommt nur eine Fehlermeldung.

    Was tun?
    Peter

    • @ Peter Zeller

      DAs liegt daran, das man unte rWindows XP Home als Administrator eingestugt wird, aber nicht die gleichen Rechte bekommt wie der eigentliche Administrator. Dieser wird auch nicht angezeihgt und ist nur unter dem abgesicherten Modus sichtbar um ihn dort zu nutzen.

      Vom Prinzip her fast schon ähnlich wie bei Win Vista oder Win7, nur das dort die Administratoren auch in den Home Editions zu sehen und theoretisch auch utzbar ist/wäre.

      Wie ich es schon mehrfach schrieb, JAVA wird (leider) an vielen Stellen eingesetzt.
      Zumeist zwar bei Brwoserspielen, aber durchaus auch bei sinnvollen Anwendungen. Sei es lokal oder im Web.

      Zitat: „Resultat: Beim Aufruf eurer Seite legt er einen tranparenten schwarzen ca. 10cm breiten Balken über den Anfang der Seite und sagt, ich solle zu >Einstellungen>Safari gehen und dieses aktivieren.“
      Was soll man dort aktivieren? Für mich klingt das eher wie ein Werbefenster?!
      Herr Weihmann was sagen Sie dazu?
      Bzgl. Mobile Theme…gab es da demletzt evtl. neue Einstellungen/Anpassungen im Blog?

      Ich bin leider kein Safari-Experte, da ich diesen (ehemals nur Apple-)Browser nicht nutze.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  42. Danke für die vielen Info´s. Dadurch habe ich die PC´s von meinem Sohn und meinem Mann retten können, die beide kurz vor Weihnachten nicht mehr funktionierten. Bei dem einen PC war in der shell schon explorer.exe. Durch eine Systemwiederherstellung ist er wieder o.k.
    Ich wünsche allen ein guten Rutsch in´s neue Jahr

  43. KACKE!!!
    Ich habe einen Freund beauftragt es zu versuchen diesen Virus bei mir zu entfernen, er hat es aber nicht auf die Reie bekommen. Also wollte ich es nochmal versuchen, habe jetzt aber festgestellt, dass er (wie bei Punkt 9. beschrieben) das Shell ding gelöscht hat. UND JETZT??

    BITTE UM HILFE!

    • @ Marie

      Immer mit der Ruhe..wenn der PC noch nicht neugestartet wurde gilt Punkt P09 von meiner Seite…

      Und was hat der Freund bislang sonst noch so „probiert“?

      Sollte nichts helfen, vielleicht mal die Punkte P14, P14.1 und P24 anschauen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  44. Hallo, bisher hat alles geklappt, nun finde ich ‚jashla.exe‘ leider nicht. Kann mir jemand helfen?

    • @ LEne

      Schau doch bitte mal weiter oben auf der Seite. Dort habe ich schon mehrfavh auf die Punkte P14 und P14.1 hingeweisen.

      Dort wirst Du wohl deine Lösung finden. Ansonsten bitte melden.

      Mit freundlichen Grüße,
      Simon

      (Fachinformatiker für Systemintegration)

  45. Wenn man beim trojaner ganz oben rechts in der ecke rechtsklickt,kann man die eigenschaften öffnen!dort sieht man wo sich der Trojaner versteckt hält.

    Mfg
    Lars

  46. kauft euch das nächste mal einen Apple, dann kriegt ihr die Probleme gar nicht erst!

    • @ Uli

      Korrektur, ein Apple mit Mac OS X Lion ist von der Anfangskonfiguration her keinen Deut sicherer als ein Windows-System.
      Außerdem werden hier Äpfel mit Birnen verglichen, denn der normale WindowsUser kann mit Apples System so nichts anfangen.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  47. Hallo Simon, Hallo Daniel

    Herzlichen Glückwunsch, ihr seit von Platz 6 wieder auf Platz 2 bei Googel im BKA Trojaner entfernen wieder vor gerückt, das ist ja schon fast wie bei den Viva Charts, und da ich schon beim Kommentare abgeben bin dann möchte ich doch mal Uli kommentieren, 80% haben eine Windows Kiste, kannste in Fachzeitschriften nachlesen, wenn sich Morgen jeder einen Apple kauft dann gibts den Trojaner übermorgen auch für das System ;-)

    Freundliche Grüße
    Ewald

    • @ Ewald

      Nur Herr Weihmann und meine Wenigkeit sind besser als dieser besch****ne Sender. :-p
      (*leicht hochmütig bin*)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Jetzt wird auch schon das Ranking für Suchbegriffe bei Google verfolgt… Verrückter Kerl @Ewald ;-)

      „BKA Trojaner“ hatte ich dabei gar nicht so sehr auf dem Radar, auch wenn zu diesem Keyword natürlich Besucher kommen. Es ist wahrhaftig „bundespolizei virus“ bzw. „virus bundespolizei“ was am häufigsten in den Suchschlitz eingegeben wird. Die Suche nach „bundespolizei trojaner“ bringt hingegen die meisten Besucher auf diese Seite.

      Suchanfragen zu „avira internet security 2012 key“ lassen vermuten, dass es Leute gibt, die sich das Programm nicht legal beschafft haben. Keine Ahnung, ob sich dann auch wirklich ALLE Schädlinge abfangen lassen oder ob „man“ sich hier eine Hintertür ins Programm eingebaut hat.

      Ach ja @Uli: Mit ’nem Apple bist du natürlich zu 100% sicher! Man kann schließlich mit Nike-Schuhen auch nicht umknicken und mit ’nem Audi keinen Unfall bauen.
      Bin gespannt wann die große Welle der Angriffe auf iPhones & Co. beginnt. Hier gibt es für die bösen Buben ein unglaubliches Potential an Daten, Geld und Macht. Vermutlich kann man dann direkt im iStore das Mobilgerät wieder frei schalten lassen.

      Im Augenblick, da muss ich Uli recht geben, sind Linux- und Apple-Nutzer nicht das große Angriffsziel.

      • @ ALLE Apple-Fanboys/girls und sonstige Interessierte^^

        Ratgeber Mac OS X
        Wie der Mac sicher wird

        12.11.2011
        von Thomas Bär (freier IT-Journalist) und Frank-Michael Schlede (freier IT-Fachjournalist in Pfaffenhofen an der Ilm)

        Das unsicherste Betriebssystem ist nicht Windows, sondern Mac OS. Mit unseren Tipps sichern Sie die aktuelle X Lion-Variante ab.

        Kein Benutzer möchte sich um Unzulänglichkeiten von Programmfehlern kümmern oder sich mit den Auswirkungen maligner Software herumschlagen.

        Windows-Benutzer können davon ein Lied singen:
        Keine Antivirensoftware installiert, automatische Updates ausgeschaltet oder wohlmöglich die Firewall deaktiviert und schon lässt Windows seinen Anwender nicht mehr in Ruhe und peinigt sie mit ständigen Pop-ups. …weiter

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  48. Hallo
    ich konnte voher mit regedit was sehen
    jetzt wenn ich regedit eingebe, dann kommt so ein Meldung
    „Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert“
    obwohl ich nix geändert habe !!
    ich hatte vorhet Anti-Malware gehabt

    wie kann man von DOS diese Anti-Malware durchführen ?

    Danke

    • @ atwito

      Schau mal/Schauen Sie mal unter Punkt P27 das könnte das Registry-Problem schon lösen.

      Danach sollte der Rest „ein Kinderpsiel“ sein.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  49. die neue version heißt yxowa.der Pfad lautet C:\Benutzer\(dein Name)\AppData\Afehah\yxowa

    Ich hoffe ich konnte helfen.

  50. Vielen Dank für die Anleitung.Hat sogar bei mir geklappt mit dem entfernen.Und ich bin ein „PC-Idiot“. ;)

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.