„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Ich habe den Trojaner entfernt, allerdings kommt nun beim Start die Meldung, dass eine DLL nicht gefunden werden kann. Wie kann ich die Meldung abschalten/reparieren ?
FEhler beim Laden von C:\\appdata\local\temp\wpdt0.dll
@ egalkarl
Schau mal im Autostart nach (auf meiner Seite Punkte P14 z.B. wird es erklärt), da wird bestimmt ein Programm oder die Datei selbst versucht zu starten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Yep, das war`s nun ist UKash Geschichte.
Danke !
Ich hab auf zwei Benutzerprofilen (alter Acer Aspire 1700 mit Win XP home SP3 – Antivir aktuell und Teatimer von Spybot als Schutz) heute früh das Ding drauf gehabt. Hat sich mein Neffe gestern Nacht draufgezogen, wahrscheinlich per email, anders kann ichs mir nicht vorstellen, denn bei jeder autostart und registryänderung will der Teatimer das authorisiert wissen.
Beim abgesicherten Start bricht er mit Systemfehler zusammen. Also über eine Ubuntu CD reingegangen und die Pfade durchwühlt. Im Windows Stammordner dann von gestern nacht eine 0.(noch 20 Zahlen).exe gefunden.
Diese gelöscht und in allen Profilen im Autostart die desktop.ini vorsorglich gegen eine ältere ausgetauscht.
Dann normal gestartet – msconfig den autostart Eintrag entfernt und im Registrierungseditor nachgesehen.
Dort war beim winlogon aber die explorer.exe eingetragen.
Die Zeichenkette fand sich nur in einem von Linux angelegten Trash.999 Ordner, den ich gelöscht habe als Verknüpfung sowie als Suchstring meiner vorherigen Explorersuche. Die Schlüssel hab ich rausgeschmissen.
Momentanes Fazit: Schädling nicht mehr im Windowsordner, ein Profil läuft ohne Probleme, beim zweiten ist es noch da. Sehr kurios. Ich lass grade das Virenprogramm durchlaufen.
@ Axel
Auch wenn schon viel getan wurde, und das schon an Stellen und mit Methoden wo es mich freut das Leute diese anscheinend auch beherrschen :-)…
Aber wurde im zweiten Profil auch mal im Autostart geschaut?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Über msconfig komme ich ja nicht in dem Profil rein, über Ubuntu hab ich bei beiden Profilen im Autostart (Startmenü in den lokalen Einstellungen) nachgeschaut. Dort waren nur die beiden modifizierten desktop.ini´s die ich ersetzt hab.
Die dubiose exe hab ich aber aus dem Windows Verzeichnis gelöscht (aus dem Linux heraus). Damit sollte der Autostart auch bei dem Profil ins Leere laufen, war ja bei dem anderen profil auch so.
Also muß es noch eine zweite Ursache geben.
Zumal das jetzt noch „defekte“ Profil nicht das war, aus welchem heraus das Ding eingefangen wurde.
Ich trau mir zwar ne Menge zu, aber hier stecke ich momentan in einer Sackgasse.
@ Axel
Prinzipiell sollte somit ja diese Datei schon mal nciht mehr ausgeführt werden können.
Die Frage ist jetzt noch, ob auch schon mal an den mittlerweile sonst noch bekanntgewordenen Orten geschaut wurde (siehe Punkt P14 und P14.)?
Weiterhin habe cih eine Möglichkeit aufgetan wie man die an sich ja noch speziell abgelegten Registry-Werte eines anderen Users editieren kann OHNE sich extra als solcher anmelden zu müssen. (Siehe dazu Punkt P29).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Danke Axel, dein Kommentar war der Schlüssel! habe auch eine 16stellige 0…exe gefunden.
Leider öffnet sich bei mir im abgesicherten Modus keine Eingabeaufforderung,die Registry seh ich auch nicht.Kein Dos-Modus ,nichts. Was mache ich nun?
@ Christoph
Welche Variante des Abgesicherten Modus wurde gewählt?
Was erscheint denn überhaupt, wenn schon keine Eingabeaufforderung kommt?
Könnte eine Systemwiederherstellung gemacht werden oder ein wenige Tage altes Backup zurückgespielt werden (falls vorhanden)?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
..ab Schritt 5. passiert bei mir auch nichts mehr.Diese Schweine!
@ Christoph
Immer mit der Ruhe….die Ransomware ist in den meisten hier bekannten Fällen zum Glück eben nur eine Ransomware und kein Virus/Trojaner(was nciht heißt, das es solche Varianten nicht auch gänbe!).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ewald,WLAN abschalten und das andere bringt Anna und mir auch nichts.Wir kommen ab Schritt 5. nicht weiter!
@ Christoph
Stimme einerseits zu, andererseits sollte jegliches Internet abgeschaltet sein. Damit ist Ewalds Aussage hinsichtlich der Abschaltung zumindest in diesem Bezug richtig.
Und für den Rest…ließ Du/lesen Sie bitte weiter oben bei den anderen gemachten Posts.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Moin moin, hab den Virus jetzt zum 2. Mal, daher ist der Shell-Eintrag immernoch auf „explorer.exe“ vorher hatte ich hier die „mahmud.exe“.
Allerdings sieht das U-cash Bild auch wieder ein wenig anderes aus. Quasie wie ein update :-).
@ Axel wo hast du die .exe gefunden?
Weiß jemand anderes einen aktuellen Ort?
Vielen Dank Gruß Hendrik
@ Hendrik
die Seite zuvor hätte schon die Lösung gegeben.
Dort wäre dann der Link zum Punkt P14 der richtige gewesen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich habe das problem, dass sich ab schritt 5 nichts mehr tut. das besagte fenster öffnet sich nicht und das nach mehrmaligem versuchen
und dann wäre noch die frage wie ich mein wlan abgeschaltet bekomme..
ich danke euch für die hilfe
lg anna
@ Anna
Dein WLan kannst Du, da Du wohl einen Laptop haben wirst (die Vermutung liegt zumindest nahe), einfach per Druck oder Schiebeschalter an deinem Laptop abschlaten. Alternativ FN + Taste mit WLan-Symbol drücken.
Ganz zum Schlüß gäbe es noch die Variante wie Ewald sie schrieb, wobei sich dann aber bei einem Neustart das WLan wieder verbinden würde – Es wäre also nur eine temporäre und damit erstmal nicht ganz so hilfreiche Variante.
Dein Problem bei Schritt 5 wird nicht zufälligerweise mit einem „Fehler“ quittiert?
Wenn ja, dann schau mal auf meiner Seite unter Punkt P27. Das könnte, auch wenn es etwas Aufwand erfordert dann eine Lösung sein.
Alternativ, wurde shcon mal eine Systemwiederherstellung ausprobiert?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hey
danke für deine tips.. also heute hatte es sich auf einmal geöffnet nur ich bekomm das ganze nicht hin wen es um technik geht bin ich echt miserabel.. ich habe jetzt einem freund meinen laptop (ja es ist ein laptop :) ) gegeben vllt kann ermir helfen :S
Danke.Wenn ich mit „abgesicherter modus mit eingabeaufforderung“ weiter geh ist kein windows symbol und eingabefenster zu sehen. Windows kann ich nicht installieren.
Hallo Anna
Kannst Du Windows selbst installieren wenn es gelöscht währe…???
Würde mich echt interessieren…!!!
Viele Grüße
Ewald
@ Ewald
Blöde Frage, aber WARUM stellt man diese Frage als „erstes“?
Die Tatsache einer NEuinstallation kommt meist erst dann in frage, wenn man an die Daten wieder rankommt, oder jemand hat, der die Daten per USB-Adapter auf einen Sicheren Computer backuppen kann/konnte.
Eine Neuinstallation davor ist meist
1. unsinnig
2. vielen nicht ohne weiteres möglich
3. Wenn es wie bei Anna (so meine Vermutung!) ein Laptop ist, ist nur eine Recovery-DVD dabei und diese beinhaltet einmal das System im Auslieferungszustand – sprich keine Reparaturoptionen im eigentlichen Sinne.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hab im Autostart eine 0.8430(…).exe gefunden. Diese sowie die Temp gelöscht nun sieht es gut aus. Jetzt hab ich HijackThis durchgeführt, gefixed und mein antivir laufen lassen. Ich komm leider erst in einigen Monaten zum Neuaufsetzen, daher die Frage ob ich jetzt noch etwas machen muss? Irgendwelche Tipps?
@ Hendrik
Schaue Dir doch mal auf meiner Seite die Punkte P07, P11, P13 an.
Ich denke das könnte noch hilfreich sein.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Anna
W-Lan kannst Du so abschalten…!!!
Rechts unten in der Leiste hast Du Symbole,
ein Symbol hat 5 Balken auf das gehst Du drauf,
mit der der linken Maustaste anklicken,
dann kommt das Netzwerk mit dem Du verbunden bist,
vielleicht werden auch mehrere von deiner Nachbarn
angezeigt, dann gehst Du auf das wo verbunden steht,
mit der rechten Maustaste anklicken und auf trennen gehn,
schon ist es weg… :-)
Aber Bitte beantworte aber auch meine Frage die ich zuvor gestellt habe.
LC Ewald
@ Ewald
Diese Variante ist aber nur eine Temporäre Lösung ist nicht für mehrere Neustarts tauglich.
Dies ist hoffentlich Dir/Ihnen bewusst.^^
Weiterhin geht dies auch nur so „einfach“ wenn es sich um die Windows-Verbindung handelt. Managed das ein Programm von D-Link, Netgear, etc. sieht das alles schon wieder ein klein bisschen anders aus.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Christoph
Ich möchte nicht Unhöflich sein,
Anna hat gefragt wie Sie ihr W-Lan abschalten kann,
und ich habe ihr die Antwort gegeben.
Jetzt bin ich aber mal gespannt ob Anna auch meine Frage
beantworten wird ob Sie Windows installieren kann…???
LG Ewald
Hallo Christoph
Ich nochmal, ich mußte erst mal nach Schritt 5 suchen,
deswegen hats gedauert.
Regedit gibst Du so ein…!
Du gehst links Unten auf das Windows Symbol, mit der Maustaste anklicken, dann erscheint ein Eingabefenster ganz unten da kannst Du dann regedit eingeben…!!!
Ist doch nicht so schwer, oder …???
Kannst Du Windows installieren…???
LG Ewald
@ Ewald
Wieso immer erst mal die (entschuldige die Ausdrucksform!) Kackendämlich Frage nach „Kannste Windows Neuinstallieren?“
@ Christoph
Schau mal hier unter Punkt P15. Dort dreht es sich zwar um den Autostart, auf die selbe Art und weise läst sich aber auch die Registry öffnen.
Der passende Befehl ist dann halt „regedit“ und nciht „msconfig“.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hendrik, die 0.*****.exe war im Windows Stammordner also unter C:\windows\
Antivir hat nichts gefunden, lediglich eine versteckte Datei namens qqiipr.dll im system32 Ordner, die einen ebenfalls versteckten Registrierungseintrag beinhaltet.
Kommt weder die Rootkitsuche ran und Registrierungseditor noch Windowssuche (und auch google nicht) finden das Ding. Und ich kann seit dem Trojaner in den Ordneroptionen nicht mehr „alle dateien anzeigen“ einstellen. Er hakt es mir zwar an, verweigert es aber ohne Fehlermeldung (die anderen beiden Optionen zum Anzeigen der Systemdateien behält er) aber die Systemdateiene werden nicht angezeigt.
Damit komme ich mit adminrechten nicht in die relevanten ordner der benutzerprofile.
Es bleibt erstmal dabei, bei einem Windows startet ein Profil, das andere meldet sich sofort mit dem BGS Trojaner… sehr dubios das Ganze.
@ Axel
Zu den versteckten Dateien, habe ich auch auf meiner Seite unter Punkt P28 etwas verlinkt.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Christoph
Das nenne ich höflich, Du antwortest wenigstens,
kannst Du eine E- Mail Adresse einrichten die Du auch wieder los werden kannst…???
Dann könnstest Du mir diese hier posten ich würde dich anschreiben, mich würdest Du ganz leicht erkennen,
danach könntest Du die Adresse wieder löschen und wir würden uns mal Privat unterhalten.
LG Ewald
@ Ewald
Wenn ich so dreist fragen darf…
Was würdest Du/würden sie dann ihm versuchen per Mail zu kommunizieren, was
1. hier auf der letzten und vorletzten Seite nicht schon steht?!
2. hier im Blog in ca. 2000 Posts nicht schon steht?!
2.1. auf meiner Seite nicht ebenfalls schon steht?!
3. was andere hier nicht „erfahren“ sollen/dürfen?!
Ich mag mich fies und gemein anhören und so gar nicht freundlich, aber Produktiv und Hilfreich und Transparent für jeden der Hilfe braucht, sind die von Dir/Ihnen gemachten Vorschläge auf dieser Seite bislang nur mit Einschränkungen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Christoph
Ich hab es mal probiert, ..???
Also wenn ich F8 zu früh drücke dann bekomme ich nur
eine Auswahl von welchem Laufwerk ich boten möchte,
allerdings ist mein Rechner auch erst 2 Jahre alt und
war nicht gerade das billigste Modell.
Es kommt wahrscheinlich auf den Richtigen Zeitpunkt an
Du mußt warten bis die Festplatte angefangen hat sich zu bewegen..!!!
LG Ewald
@ Ewald
Jetzt muss ich aber doch mal fragen wie Du/Sie überhaupt helfen willst/wollen. (Ja das ist jetzt unfreundlich!)
Aber wenn man sich evtl. nur das Wissen über den Computer Bootvorgang und warum jetzt „nur diese Laufwerksauswahl“ kommt selbst angeeignet hat, dann mag Hilfe zwar gut gemeint sein, kommt aber falsch rüber.
Beim Booten eines Computers/Laptops/Netbook sind immer diverse Tasten vordefiniert vom Mainboardhersteller.
Diese Tasten lassen sich bestenfalls abschalten/einschalten, nicht aber ohne weiteres ändern.
Im Zuge dessen ist z.B. die Laufwerksauswahl bei vielen DELL-Geräten auf der Taste F11, bei den meisten Fujitsu-Geräten auf F12 und bei machen anderen halte mal auf F8 oder F10.
Heisst also, wenn jemand auf F8 drückt und diese Auswahl bekommt, ist es so vordefiniert.
Man muss nun das passende Bootlaufwerk (meist die erste und einzige Festplatte) wählen und dann gleich wieder auf F8 „hämmern“.
Erst dann bekommt der Benutzer/die Benutzerin auch das eigentlich gewollte Bootmenü des Windows-Rechners zu sehen.
Ich hoffe ich konnte damit etwas Licht in das Dunkel bringen und damit auch evtl. z.B. Christoph und Anna helfen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon
Das mit der Laufwerksauswahl und das die bei Rechnern auf den verschiedensten Tasten liegen kann weiß ich natürlich auch, aber wenn Christoph nun auch einen Rechner hat bei dem es genau so wie bei mir ist kommt Er natürlich nicht in die Komandozeile, da Er anscheinend überhaupt keine Ahnung davon hat wie ein Computer funktioniert würde ich ihm helfen wie man einen Computer richtig einrichtet, ob Er dazu bereit ist etwas dazu zu lernen, denke ich kann nur Er selbst entscheiden, warum ich daß hier nicht poste hat verschiedene Gründe, der Hauptgrund ist der es währe erstens viel zu lang und zweites findet man immer jemanden der es wahrscheinlich anders machen würde.
Und unfreundlich bist Du nicht, sagst nur was Du denkst..!
Freundliche Grüße
Ewald
@ Ewald
Manche Leute können es nicht abhaben wenn man sagt was man denkt, bzw. liest/hört was der andere denkt.^^
Daher schrieb ich das lieber dazu.
Dann sag ich mal außerdem gleich noch dazu…
Bitte nicht sooooo urlange Sätze mit tausend Kommas und eingeschobenen Sätzen. Dann lieber ein paar mehr Punkte und dafür strukturiert und schnell verständlich. *schmunzel*
Danke.
Ps.: Das meiste ist hier in ein paar Frage/Antworte-Posts gelöst.
Ich habe schon diverse Mails bekommen (an die auf meiner Seite angegebene Adresse bka-virus@kunden.pp4it.de) und auch diese liefen bis auf 2 davon in wenigen Tasks ab.
Geholfen hat zum Glück aber anscheinend wohl jede. *miraufdieSchulterklopfenmuss*
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Simon
Ich habe da mal eine Frage dazu.
Selber programmieren kannst Du ja nicht,
ich leider auch nicht, also können wir beide nicht erklären , was Er wirklich alles macht.
Was währe wenn Er eine andere Schadsoftware aus dem Netz nachläd nachdem Du ihn aus der Registerie geschmissen hast…???
Vielleicht siehst man ja auf Anhieb gar nicht was Er wirklich alles kann.
Freundliche Grüße
Ewald
@ Ewald
Ja und Nein.^^
Und kann Batchdateien schrieben und auch Registrykey-Dateien zum importieren und damit verändern bestimmter WErte.
Programme an sich kann ich eigenlich nicht wirklich ohne Hilfe. Deswegen bin ich auch „gerade“ dabei ein Programm zu schreiben das mir die vielen Exen, MSCs, etc. von windows unter einen Hut bringt und ich mir als Systemintegrator auf den vielen Kunden(servern/PCs) das Leben erleichtern kann.
Ob ich dieses Stück Software dann jemals veröffentlichen werde, oder nur an gute Freunde aus dem Business weitergeben kann/werde, das entscheide ich wenn die Software über die BETA-Phase hinausgekommen ist. :-)
Da sProblem bei der BKA-Ransomware ist, das es mittlerweile min. glaube 9. Varianten gibt.
Diese machen zwar Augenschaeinlich größtenteils nichts groß unterschiedlich, haben aber sicherlich bestimmte Mechanismen mehr oder weniger eingebaut.
Deswegen weiße ich auch minimum auf meiner Seite darauf hin, das nach einer solchen Infektion von einem SAUBEREN System aus ALLE Kennwörter geändert werden soll(t)en und man alle Daten retten und das System dann NEUinstallieren soll(t)e..
Ob dies auch jemand dann macht, kann ich nicht kontrollieren, ich kann es nur anraten.
Hilfe(stellungen) dazu gebe ich unter anderen ebenfalls auch dazu auf meiner Seite/ per Mail/ oder Vorort.
ICh habe schon diverse Videos gesehen, in denen andere Leute die selbe Idee hatten nachzuforschen was los ist. Es gibt vom BKA’ler durchaus ein paar Versionen die hintendran unter anderem folgendes machen:
1. Verbindung zu einem Heimatserver wird aufgebaut
2. Verbindung (evtl. zur Tarnung) zu einem anderen Webdienst wird aufgebaut
3. Ein Keylogger wird aktiviert um MINDESTENS den U-KAsh/Paysafe-Key mitzuschneiden und direkt zu übersenden
4. Diverse Registry-Schlüssel werden abgeändert
5. Mindestens ein Autostart-Eintrag wird geändert
6. Mehrere Dateien werden mit gleichem oder verschiedenen Namen im System plaziert
7. Bislang noch NICHT gesehen, ist das nachladen von tatsächlichen Viren/Trojanern. Bislang sieht es aus als bliebe es VORERST bei einer nervigen Ransomware.
Für Erweiterungen meines Wissensstandes oder Korrekturen bin ich immer offen. Solange diese (zur Not) nachweisbar sind…ich glaube ja schließlich auch nicht immer jedem alles Blind.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hilfe!
Ich habe mir heute diesen BKA-Virus (mahmud.exe) eingefangen.
Wenn man mit der rechten Maustaste auf das Programm klickt und im Menü „Eigenschaften“ anklickt, wird angezeigt in welchen Verzeichnis sich der Virus befindet.
Der Virus befindet sich bei mir im User-Verzeichnis:
Anwendungsdaten (verstecktes Systemverzeichnis)
C:\Dokumente und Einstellungen\\Anwendungsdaten.
Nun habe ich die Datei mahmud.exe gelöscht bzw. verschoben und den Computer neu gestartet.
Leider erscheint nach dem Start nur mehr das Hintergrundbild und der Computer steht.
In der Reg.db. unter Winlogon, Shell=Explorer.exe
Ich kann mahmud.exe in der Registrierungsdb nicht finden.
Leider kann ich mein Windows XP auch nicht im abgesicherten Modus starten, weil es immer wieder neu startet.
Ich besitze lediglich eine bootfähig Bart-PE CD, mit der ich auf Windows und Daten zugreifen kann.
Wie kann ich herausfinden was noch alles beim Hochfahren gestartet wird?
Grüße
@ Peter
Das hört sich fast nach einer der ersten Varianten an, als noch nur die explorer.exe infiziert war.
Siehe dazu Punkte P01 – P06 auf meiner Seite.
Ansonsten kann Ich Dir erst mal nur ein paar Punkte meiner Seite empfehlen…mit etwas Glück findest Du das passende dabei.
P10, P13, P14, P14.1, evtl. auch P29.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
also ich hab das soweit wie in der esten anleitung hinter mir. windows fährt wieder hoch, nur startet der explorer nicht(es erscheinen keine desktop symbole mehr).
muss über den taskmanager und dann über cmd den explorer starten.
was kann ich tun?
@ Pitjes83
Ich würde auf das selbe Problem tippen wie bei Peter obendrüber, also Punkte P01-P06 als Stichwort:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-22#comment-4223
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hey Jungs,
danke schonmal für die Hilfe…
Hab nur ein Problem…ich finde die jashla.exe nicht…
Weder durch Suche noch durch den Taskmanager…
Vorschläge?:P
@ David
Bitte mal diesen Post anschauen…klick.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hey, ich hab diesen Trojaner jetzt zum 2.Mal. Letztes Mal hab ich ihn ihne Probleme mit Norton wegbekommen. Aber dieses Mal klappts nicht. Also wenn ich in Shell bin steht da explorer.exe und nix mit jashla etc. Ich komm nicht weiter. Hilfeeeeee
@ Juliana
Schau Dir doch bitte mal die Antwort an David eins oben drüber an.
Danke.
Ansonsten kann ich wie üblich auch noch Punkt P24 anbieten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hattest du nach dem ersten BKA-Trojaner-Befall etwas gegen die Bedrohungen aus dem WWW unternommen? Irgend eine Internet-Security-Software o.ä.? Wäre interessant zu wissen welche.
Oder ein so oft schon gescrhiebenes Systemupdate inkl. JAVA und Adobe Flash, etc.?!
Wenn ich das mal so ergänzen darf.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich weiß nicht, ob die Security-Produkte von Bitdefender gegen den BKA-Trojaner geholfen hätten, habe hier aber noch einen 30% Gutscheincode falls dafür jemand Verwendung haben sollte. Ist aber nur noch bis zum 31.12.2011 gültig.
Bei einer Bestellung einfach aff30%xmas angeben, der Betrag wird sofort von der Rechnung abgezogen.
@ Daniel
Solange das BitDefender-pProdukt neben einem AntiVirus auch Programmteile ala
„AntiMalware, AntiScareware, AntiRansomware, Rootkits, MBR-Schädlinge“
enthält, wäre es sicher eine Hilfe beim „nicht so schnell infizieren“.
Da ich aber nicht alle BitDefender-Produkte aktuell kenne, kann ich weder eine Suite empfehlen noch sagen ob diese was taugen würde (auch in Sachen Systemressourcenverbrauch!).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich kenne eben auch nur den Namen „Bitdefender“. Hatte aber bisher mit deren Software noch keinen Kontakt.
Hey Simon,
thx…leider krieg ich nur ein großes Fragezeichen wenn ich den Link von Daniel anklicke… War gestern kurz vorm ausrasten und hab dann die Segel gestrichen (Akku vom Lappi war eh leer). Heute gehts nochmals ran…Hab jetzt das Problem, dass Shell schon explorer.exe vermerkt ist…P2 hab ich schon probiert…klappt aber nicht…bzw. hab ich da C: (Lokaler Datenträger) genommen weil ich nicht wusste was ich nehmen soll…sorry für die dummen Fragen, hab aber wirklich gar keinen Plan von Computern!
Hey Simon,
ich habe seit gestern auch den BuPo Virus auf meinem Laptop und wollte deine 10 Schritte durchgehen… allerdings gibt es bei mir unter Punkt 8 keinen Wert bei Shell, der iwas mit jashla.exe heißt. Bei mir heißt der Wert bei Shell explorer.exe. Das sollte ich doch laut dir erst dort eingeben müssen, oder?
Na, jedenfalls bin ich nun etwas überfragt…
Danke im Voraus.
Oh, ich hab gesehen, du verweist darauf schon… egal, ich lass mir heute abend von einem PC-begabten Freund helfen… bevor ich alles auf meinem Laptop lösche…
Hallo Simon,
hatte vor einigen Monaten besagten Trojaner auf dem Bildschirm.
Habe dann sofort den Rechner „brachial“ ausgeschaltet.
Seitdem war das für mich vergessen. Mein Vista Medion Laptop läuft ganz normal.
Heute hat aber mein AntiVir angeschlagen und „TR/Gendal.KD.329184“ identifiziert.
Habe das dann in Quarantäne gepackt, wie vom AV Programm vorgeschlagen.
Da habe ich gleich mal einen Schreck bekommen und mit im Internet schlau gemacht.
Auf dem Trojaner Board wird das entfernen dann relativ komplex erklärt. Ich bin lediglich
ein USER. Aber so kam ich überhaupt zu der Bezeichnung „jashla.exe“
So stieß ich dann auf Deine Anleitung.
Alles gut und einfach erklärt.
Habe die Schritte alle befolgt. Bis zu Schritt 8 wo ich den Wert bei Shell abändern muss.
Aber hier war schon alles in Ordnung. Musste also nicht explorer.exe neu eingeben.
Stand ja schon drin.
Wie gesagt, mein Rechner läuft ja im Prinzip ganz normal.
Habe die jashla.exe anschließend noch via Suchvorgang finden und löschen wollen,
aber der Suchvorgang blieb ohne Treffer.
Ist damit alles in Ordnung auf meinem Rechner?
Muss ich noch irgendwas tun?
Freue mich auf Antwort.
Bei mir hat alles wunderbar funktioniert. An dieser Stelle vielen Dank an alle, die eine solche Lösung möglich machen.Ich hatte mir den Trojaner über eine Webseite geholt.Ich war über Google auf der Suche nach freeware zur Videobearbeitung und schwupss ging nichts mehr.
Vielen Dank nochmal !
Hallo,
nur so zur Information. Avira Antivir (kostenlose Version, s.u.) war deswegen für mich so nützlich, weil man, wenn man Avira installiert hat, durch Rechtsklick auf eine beliebige Datei diese auf Viren untersuchen lassen kann. Das dauert bei einer Datei nur den Bruchteil einer Minute. War für mich deshalb wichtig, weil es in Windows nur so wimmelt von komischen Dateinamen. Einfach nur löschen geht da nicht.
In der letzten C’T-Nummer des vergehenden Jahres (Nr.26) war ein Test der Virenwächter. Die c’t-Autoren meinten, dass die kostenpflichtigen Versionen keine Vorteile bieten.
Gruß und Allen hier alles Gute zum neuen Jahr
Peter
Ich habe mahmud.exe im Ordner C:\User\Klaus\AppData\Roaming mit CCleaner gefunden und gelöscht. Der PC startete dann einwandfrei.
Wichtig meiner Meinung nach ist, dass man Windows so einstellt, dass alle versteckten Dateien und Dateieindungen angezeigt werden, was standardmäßig immer deaktiviert ist. Der PC meines Nachbarn läuft jetzt wieder. Aktueller Virenscanner (Avira) ist installiert und eine Menge Schrott deinstalliert.
Guter Hinweis @uniman mit dem Anzeigen der versteckten Dateien sowie den Datei-Endungen. Bei letzterem kann so schnell mal ersichtlich werden, ob es sich um ein böses.bmp oder böses.bmp.exe handelt.
Hallo,
ich habe mir das Teil über eine Internetseite eingefangen, als ich die Frage meiner Mutter „Wofür steht das ‚i‘ in ipad, iphone usw.?“ beantworten wollte und google mich auf die Seite „www.ifragen.de“ schickte. Den Dateinamen „mahmud.exe“ des Schädlings bekam ich dann auch noch selber raus und die google-Suche danach war dann auch erfolgreich und mit der hier gefundenen Lösung habe ich dann auch die registry gereinigt. Allerdings hatte ich leider nicht daran gedacht, dass Firefox nach einer abgeschmierten Sitzung versucht, diese beim nächsten Start wieder herzustellen und so kam dann „www.ifragen.de“ direkt wieder hoch, allerdings ohne Mahmud nochmals zu installieren (Dank rechtzeitigem Abbruch und der Idee, das seit ein paar Tagen immer vor mir hergeschobene Update durch eine komplette Neuinstallation zu ersetzen).
Danke danke danke, ich hatte diesen Virus nun zum wiederholten male, beim ersten mal konnte ich ihn leicht selbst löschen, diesmal konnte ich den pc, nicht mal, im normalen abgesicherten modus starten. Ich war drauf und dran, den kompletten PC neu zu machen, ich danke dir :)
Hallo
Ich bin bei Punkt 9. Komme leider nicht weiter(keine PC Kenntnisse)Bitte helft mir! Ich brauch den PC für meine Arbeit. Würde gerne Feierabend machen, heut ist doch… :-(
P9 Doppelklick auf Sell.
Es öffnet sich ein Fenster mit
Name:Shell und Wert:Explorer.exe
Wo und wie lösche ich jetzt den Pfad wie in Punkt 9 beschreiben.
Sorry
Evtl. findest Du unter dem Verzeichnis „RUN“ die entsprechende Virus-Datei; oftmals ist es auch eine .dll,die sich im Pfad C:\Users\username\AppData\Roaming eingenistet hat.
Ausprobieren.
Eddie the Eagle
Ich hab sie gefunden.Sie war auf C:\users\username….
Nach Mahmud.exe gesucht und schon hat es geklappt.
PC startet wieder richtig.
Leider finde ich über die Windows Suche die Jashla.exe nicht. ?????????????????
Brauch also noch mal eure Hilfe.
Gleichzeitig werde ich mich hier noch mal alles durchlesen.
Danke euch.
@ Thomas
Wenn in der Registry schon „explorer.exe“ steht, ist es eigentlich bislang zu 98% eine Datei im Autostart gewesen.
Siehe dazu auch die Punkte P14 und P14.1 auf meiner Seite.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Wenn Du Mahmud gefunden hast, brauchst Du i.d.R. nicht noch nach Jashla suchen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Steht evtl. unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN
Nach verdächtigen .exe oder.dll suchen.
Siehe dazu Punkt P14
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich muss jetzt leider auch noch mal ne Frage stellen, da ich leider keinen Eintrag finde, der meinem Problem entspricht! Bin auch nicht die PC-Kanone, sorry, versuche das Problem so klar wie möglich zu formulieren.
Ich habe mir vor 2 Tagen diesen Bundespolizei Virus eingefangen auf meinem Laptop, habe keinen 2. PC Griffbereit zum anschliessen und keine Bootcd.
War auf einer Internethilfeseite, ähnlich wie hier, da wurde mir empfohlen über Task Manager im abgesicherten Modus mit Netzwerkbetreiber rein, eine Verbindung zum Netzwerk herstellen, das hat nicht geklappt, keine Internetverbindung möglich bzw kein Netzwerk gefunden! Hab versucht über Task Manager in Dateien/Prozesse diese Shell/mahmut/joshla.exe zu finden, nichts! Habe eine ShellHWdetection gefunden! Ist das die Datei?
So dann stand ich da, fragt mich nicht warum, aber mein Laptop hat dann irgendwann von alleine nach ewigen hoch und runterfahren gesagt, daß diverse Dateien geschädigt wären, ich konnte auch kein „Bild“ mehr herstellen, mir blieb nur noch die Möglichkeit C komplett zu löschen! Wurde mir vom System empfohlen, habe ich dann gemacht. Jetzt komme ich wieder auf meinen Laptop, aber sobald ich den STecker für die Breitbandverbindung einstecke und die Verbindung herstelle, hängt sich der Laptop wieder komplett auf. Lt. Anbieter Alice steht meine Internetverbindung aber, kann ich auch sehen – Weltkugel erscheint unten rechts, aber ich kann überhaupt nichts mehr machen, Bild ist komplett fest und fährt sich irgendwann von alleine wieder runter. Komischerweise kann ich mich aber über meinen Surfstick ohne PRobleme ins Internet einwählen. Habe neues Norton installiert, Maleware ebenfalls, nichts gefunden! App-data/Roaming untersucht, keine Datei ala shell/mahmut/joshla gefunden, schon über Suchfunktion probiert, auch keine Ergebnis, aber irgendwo muss doch noch der Virus sein, oder? Sonst würde ich doch nicht diesen Fehler haben??
Ich wäre Euch furchtbar dankbar für einen Rat, ich brauche den Laptop ganz dringend, über den stick kann ich nicht arbeiten auf dauer, zu wenig GB!
lg Sandra und einen Guten Rutsch Euch allen!
Ich scheitere schon bei Punkt 4. Komme nicht in den DOS-Modus. Nach Abges. M. m. Eing. kommt bei mir: Wählen Sie das Betriebssystem mit nur einer Auswahl, nämlich Windows XP. Danach Normalstart. Kann jemand helfen?
Probiere es mal mit einem beständigen auf „F8“ hämmern.
Manchmal reagiert ein System nicht schnell genug auf die Eingabe und mit dem „hämmern“ geht es oftmals.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Guten Tag,
Und zwar habe ich eine Frage,ich scheitere leider schon bei punkt 8 weil ich nicht ganz genau weiß wie das gemeint ist. Ich hab einfach mit Punkt neun weitergemacht : Ich hab dann halt auf Shell geklickt und dann hab ich bei bei Wert hingeschrieben : Explorer.exe jedoch stand das da ja auch vorher :/ Ich weiß echt nicht mehr weiter. Ich weiß auch nicht so genau was und wo ich bei dieser Datei machen muss . Ich hoffe du kannst mir das genauer erklären ich will endlich wieder an meinen Laptop :( .
Mfg, Samuel
Schau doch bitte mal hier: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-22#comment-4330
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ußerdem enen die Kommentare mit Sivester – heut ist chon d 2.Januar – es kann ddoch kaum sein, daß im neuen Jahr noch nichts gechrieben wurde.
Um zur normalen Darstellung zu kommen, muß ich jedesmal einen Kommentar shreiben und danach auf ‚Publish‘ klicken.
????
Peter
Also das mit der Einstellungen „Mobile-Theme“ habe ich auch shcon gesehen…sobald ich aber den Antwortlink in einer Mail öffen geht alles regulär.
Hier im Blog gibt es tatsächlich kaum was neues seid gestern. Aber dafür haben mich schon 3 oder 4 „private“ Mails erreicht über diese Seite hier.^^
(Diese sollte ich nun dich mnal beantworten…. *tipptippp*)
Ansonsten auch von mir Allen da raußen einen guten Start in das neue Jahr und möge es Viren/Trojaner/Ransomware, etc. frei bleiben.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich denke die Website wurde um endsprechenden Code erweitert.
– NoScript ….
Wer böses wollte hätte auf den BKA verlinkt.
Tschat
Habe ich etwas verpasst? Welche Webseite um welchen Code erweitert?
?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Vielleicht hat der BKA-Trojaner ja einen 2012-Bug oder die Lizenz ist abgelaufen …
An dieser Stelle noch: Ein Viren-, Trojaner-, Ransomware- und Spam-Freies 2012 euch allen da draußen.
Hallo und zwar hab ich jetztalles ausprobiert was hier steht hatt aber alles nix genutz egal wo ich die datei suche ich finde sie einfach nicht und hab den virus jetzt immer noch auf dem rechner. Kann mir bitte jemand helfen oder erklären wie ich windows xp home neu instalieren kan troz dem virus.
Danke im voraus.
@ Dustin
Auch wenn es jetzt blöde klingt, aber schon mal im Autostart (msconfig) oder im Windows-Exlorer (Adressleiste -> %APPDATA%) geschaut?
Alles dazu steht auch mit Angaben und Hilfen unter Punkt P14 und P14.1 auf meiner Seite.
Eine pure Neuinstallation geht in der Regel (mit Dateiverlust ALLER Daten der Windows-Partition) mit der Installations/Recovery-DVD.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Danke für die hilfe aber ich bin kein pc kenner und brauche ihn aber für die arbeit. wenn esgeht könntest du mir erklären wie ich das program neu instaliere da ich eh alle daten auf einer externen fesplatte habe
@ Dustin
Ist prinzipiell ganz einfach.
Am besten erstmal alle notwenigen Treiber aus dem Internet laden (sofern keine Treiber-CD vorhanden ist).
Dann die Installations-CD von MS WindowsXP Home nehmen, einlegen und davon Booten. Danach erklärt das Setup wie es weitergeht.
Sollte es ein Laptop sein oder sonst ein „Fertig-Rechner“, könnte durchaus auch eine Recovery-CD existieren. Damit wäre es noch einfacher, denn auf diesem Medium ist alles drauf inkl. Treibern.
Manche Rechner haben auf eine Recovery-Partition, diese lässt sich beim Systemstart dann mit „Spezialtasten“ wie z.B. F11 (je nach Hersteller unterschiedlich) starten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Es soll keine Schadenfreude sein. Aber für solche Fälle muß man leider heutzutage vosorgen, in dem man ein ordendliches Backupsystem benutzt. Empfehlung für alle Betriebssysteme Acronis Backup und Recovery.
Ansonsten bleibt wirklich nur die Neuionstallation des Betriebssystemes.
@ hotte
Ein Backup ist und das schrieb ich hier schon x-Fach, das A&O für jemanden der nicht nur belangslose Dinge am PC macht.
Zum Beispiel unter Windows 7 (ab Professional) und unter Windows Vista (ultimate) ist eine „Complete-PC-Sicherung“ schon eingebaut.
Man kann also ohne Probleme seinen kompletten PC 1zu1 sichern.
Versionen darunter lassen, leider, nur das sichern von ausgesuchten Dateien & Ordnern zu, aber selbst das wäre besser als nichts zu haben.
WindowsXP hat in beiden Versionen wie auch Windows 2000 immerhin das relativ simple „NT-Backup oder auch Windowssicherung“ an Bord.
Auch damit lässt sich wunderbar zumindest alles an Ordnern & Dateien sichern.
Zwar kein 1zu1 Image des PCs, aber das ist ja auch nicht immer notwendig.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo hab gerade bei mir mahmud.exe in der Registry unter folgendem Eintrag gefunden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avupdate
Dort steht unter command der Wert C:\Users\..\AppData\Roaming\mahmud.exe
Kann ich den ganzen Eintrag avupdate löschen oder muss ich den wert bei Command verändern?
Außerdem ist die Frage, ob avupdate etwas mit der Updatefunktion von AVIRA zu tun hat. Das hört sich für mich so an.
Danke für jeden Hinweis
MfG
Norbert
@ Norbert
Prinzipiell ist das was im oben genannten Registry-Key somit drin steht ebenfalls auch im Autostart (msconfig) zu sehen.
Wenn man dort nachschaut, sollte dort auch der entsprechende Hersteller stehen.
Da es auf die mahmud.exe verzweigt, wird dort sicherlich nicht Avira stehen sondern eher „Packard Bell BV“.
(Siehe dazu die oft hier genannten Punkte P14 und P14.1 meiner Seite.)
Die mahmud.exe auf alle Fälle löschen und in der Registry nochmal suchen lassen ob dort noch mehr davon evtl. drin steht.
Den Eintrag „avupdate“ kann man erst mal im Autostart deaktivieren oder auch in der Registry „umbenennen“.
Hat den Vorteil, sollte es was „Wichtiges“ betreffen, könnte man es sich leicht wieder zurückholen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@Norbert
Bei mir läuft Avira auf 2 Rechnern; Windows XP Home bzw XP Prof.
Bei beiden enthält die Registry nur
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg, aber avupdate findet sich in der ganzen Registry nicht, weder als Eintrag noch als Schlüsselwert.
Peter
Hallo,
@Norbert
->msconfig->systemstart
Systemstartelement: avgnt
Befehl: „C:\Programme\Avira\Antivir Desktop\avgnt.exe“/min
Pfad: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Peter
@ Peter Zeller
Das heißt zwar das es zu AntiVir (vermeintlicher weise) gehört. Es heißt dann aber in diesem Fall vermutlich auch, das diese Komponente des AntiVirus-Programms infiziert worden ist.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
was ist das deutsche Äquivalent zu Roaming, zB in
C:\Users\..\AppData\Roaming\%irgendwas%.exe
Gruß
Peter
@ Peter Zeller
da selbst das deutsche Betriebssystem eigentlich „englisch“ hinterdran ist, gibt es auch Roaming im Deutschen (Betriebssystem).
%APPDATA% leitet einen dorthin…in allen Sprachen (korrigiert mich wenn ich doch falsch liegen sollte – aber so kenne ich es bislang).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
appdata heißt bei mir Anwendungsdaten; einen Unterordner ‚Roaming‘ findet die Suche nicht.
Gruß, Peter
@ Peter Zeller
Beim Aufruf von %APPDATA% bekomme ich folgendes:
Windows XP Pro =
C:\Dokumente und Einstellungen\“Benutzername“\Anwendungsdaten
Windows 7 Ultimate =
C:\Users\“Benutzername“\AppData\Roaming
Meines Erachtens nach sollten diese Verzeichnisse z.B. dann identisch sein:
Windows XP Pro =
C:\Dokumente und Einstellungen\“Benutzername“\Anwendungsdaten\Microsoft
Windows 7 Ultimate =
C:\Users\“Benutzername“\AppData\Local\Microsoft
Einen direkten Vergleich zum %APPDATA% scheint es nicht zu geben, da die Struktur seit Windows Vista geändert wurde. Und zwar nciht mehr zur Sprachabhängigkeit, sondern zur Internationeln Variante (deswegen ist in windows Vist/7 auch alles in Wirklichkeit an Ordnern hintendran in englisch.^^)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo simon, danke für deine ausführliche beschreibung. Ich habe auch eines dieser schrecklichen trojaner auf dem Kompi bekommen: ich habe aber immer noch ein problem: und zwar finde ich die datei jashla.exe oder was das auch ist nicht und weiß wirklich nicht wo ich danach suchen soll. deshalb komme ich nicht weiter und kann den trojaner nicht von der festplatte löschen. ich danke im voraus für deine antwort und hoffe bald von dir zu hören.
Liebe Grüße
Lili =D
Hallo Lili,
da es mittlerweile diverse Varianten der BKA’ler Ransomware gibt, muss es nicht mehr jashla.exe sein.
Eine Auflistung was es noch so an Dateien sein könnte, findest Du unter Punkt P14.1.
Wo sich das kleine Biest unter anderem noch versteckt halten kann, findest Du weiterhin unter Punkt P14.
Allgemein gibt es diverse weitere Infos und Hilfestellungen – auch für „danach“ – auf meiner Seite… (klick).
Ich wünsche viel Erfolg.
Sollte es nicht klappen, so frage hier nach, schreibe mir eine Mail oder mache evtl. von Punkt P24 gebrauch. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich habe seit dem heutigem Abend auch den Bundespolizei Trojaner. Ich habe nach deiner anleitung gearbeitet, aber Finde wie der User vor mir auch keine Datei jashla.exe? Was tun? Im Wert von Shell steht explorer.exe, kein mahmud.exe und kein Jashala .exe?
Hallo !
Habe folgendes Problem.
Habe die Schritte in sofern verfolgt, dass ich die Shell exe. in explorer.exe geändert habe. Nun habe ich mir aber nicht das Verzeichnis von der Jashla.exe notiert. Ich habe noch im Kopf dass es unter C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\jashla.exe zu finden ist. Doch der Ordner Anwendungsdaten existiert nicht und unter der Suchfunktion finde ich auch keine jashla.exe. Tja wenn ich den PC neustarte, kommt sofort der Screen -> Bundespolizei ! Ich kann auch nicht den Taskmanager aktivieren, weil dann die Meldung kommt: “ Der Taskmanager ist durch den Administrator deaktiviert „. Irgendwelche Vorschläge ?
lg, philipp
@Pjilipp und @Tom – Schaut mal hier – die Hacker sind leider nicht so nett und nennen die Schadsoftware immer gleich.
Hallo,
ich habe mit gerade auch diesen Virus eingefangen. Leider funktioniert bei mir die Anleitung nicht. ich komme zwar bis zum Bildschirm mit der Auswahl Abgesicherter Modus mit Eingabeaufforderung, aber danach flackert über dem Bildschirm irgendeine Info und dann startet der PC neu. Ich komme an dieser Stelle nicht weiter.
Vielleicht haben Sie ja noch eine Idee für mich.
Mit freundlichen Grüßen Peter
@ Peter
Weiße Info auf blauem Hintergrund (Bluescreen)?
Steht ein Backup der letzten Tage oder eine Systemwiederherstellung der letzten paar Tage zur Verfügung?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hey,
ich habe soweit alles befolgt, nur stehe noch vor einem Rätsel.Wie auch manch anderer, war der Wert bei „shell“ bereits „explorer.exe“..nachdem ich dann,wie von dir, simon geraten, noch mal p14-p15 durchgelesen habe, fiel mir nichts außergewöhnliches auf (sofern ich den Anweisungen folgen konnte)..ich habe niergendwo i.etwas bzgl jashala, mahmud oder in deiner liste aufgeführten namen/zahlen gefunden…AUßER! : bei start> alle programme> autostart ist ein „untergruppierung“ vorhanden namens „0.9282698289720586.exe“ (mit erstellungsdatum von heute-wie die probleme..).nur ist diese zahlenkombination nicht aufgelistet…du machst eine gute arbeit simon, würd mich über eine baldtige antwort freuen!
@ Niklas
die von Dir gefundene Bezeichnung „0.9282698289720586.exe“ wird es zu 99,99% sein.
Kaum eine vernünftige andere Software wird wohl solch eine Bezeichnung haben.
+ Entferne den Haken im Autostart (msconfig)
+ Benenne den Registry-Key um (löschen kann man ihn anschließend immer noch)
+ Suche genau nach dieser Datei und lösche sie an allen Fundorten ebenfalls.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
zu punkt eins: und wenn sie so nirgendswo steht?
zu punkt zwei: wie benenne ich das um?
entschuldige meine computerspezf. relat. inkompetenz..
danke aber trotzdem
niklas
ist die .exe-datei auffällig genug^^, dass ich sie löschen kann?
Mit freundlichen Grüßen
Niklas
Wirf sie doch mal aus dem Autostart. START – AUSFÜHREN und msconfig eingeben. Unter Autostart mal nach dieser Datei suchen und deaktivieren. Rechner dann neu starten.
Da schon einige mit solch einer Zahlenkombination hier geschrieben haben, wird das wohl der Schädling sein.
Startet dein Rechner normal? Dann diese Datei suchen und löschen. Im Anschluss mal mit einer Antiviren-Software deiner Wahl einen vollständigen Scan machen.
@ Niklas
siehe mein Statement oben drüber.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)