Beitrag wurde zuletzt am aktualisiert

Bundespolizei Trojaner entfernen

Bundespolizei Virus / Trojaner entfernen

„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.

Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!

Schritt für Schritt Anleitung


Neue Varianten vom BKA-Virus (Bundestrojaner) im Umlauf! Alle Informationen + Videos zum Entfernen der Schadsoftware im GVU-Trojaner 2013 Beitrag, falls diese Tipps nicht zum Ziel – der vollständigen Wiederherstellung des Rechners – führen sollten

Die ersten Schritte bei Problemen dieser Art

Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!

  1. Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
  2. Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
  3. Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
  4. Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
  5. Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
  6. Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.

Anleitung zum Löschen des Bundespolizei Virus

Bundespolizei Virus - Bildschirm eines infizierten Windows PCs

Bundespolizei Virus – Bildschirm eines infizierten Windows PCs

  1. Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
  2. Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten

Windows im abgesicherten Modus starten

  1. Windows startet nun in einer Art Minimal-Konfiguration.
  2. Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
  3. Den Befehl regedit eingeben und [Enter] drücken
  4. Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
  5. Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
  6. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
  7. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
  8. [OK] klicken und das Registry-Fenster schließen [x].

Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.

Windows-Registry - Pfad zur jashla.exe

Windows-Registry – Pfad zur jashla.exe

Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.

Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).

Den Rechner jetzt ganz normal neu starten

Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.

Rechner auf Schadsoftware prüfen

Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus
, das hier gratis herunter geladen werden kann.

Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.


Was heißt, der Spuk ist „erst mal“ vorbei?

Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.

Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!

Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …

129 Kommentare zu "Bundespolizei Trojaner entfernen"

  1. Hallo zusammen,

    eine gute Möglichkeit den Virus zu finden ist im Autostart (msconfig) über den abgesicherten Modus.

    bei mir: Border Becky Crude
    C:\Users\[Username]\AppData\Local\Temp.46….exe

    Über die Eingabebox kann man auch gleich die Datei löschen. In das Verzeichnis navigieren und über „del [Dateiname]“ kann die Datei gelöscht werden.

    @Simon:

    Super Seite von dir! TOPP! Vielen Dank.

    Was mich wundert, wieso taucht selbst nach dem Löschen und Neustart im Autostart (msconfig) immer noch die OPtion „Border Becky Crude“ auf? Muss ich noch etwas unternehmen? (Registry-Einträge, …)

    Abgesehen vom System gleich komplett neu aufsetzen, was kann man jetzt noch tun?

    (Kann man eigentlich noch seine Daten sichern, abgesehen von den Systemordnern, oder muss man befürchten die Daten mit auf das neue System zu verschleppen? z.B. Media-dateien, Office-Dokumente, Favoriten)

    Wo würde man eigentlich im Zweifel eine neue uninfizierte explorer.exe bekommen? Geht das von jedem x-beliebigen uninfizierten PC mit selbem Betriebssystem?

    • @ freeze5

      Ich habe mal die Programmbeschreibung und auch den Teil der *.exe-Datei auf meine Seite mit übernommen.

      Vielen Dank im übrigen für das Lob.
      Um es aber noch mal zu sagen (da ich nicht weiß welche Seite Du genau meinst), diese Seite hier – also das Blog – ist von Herrn Daniel Weihmann.
      Meine Seite ist wiederum ja nur einer Erweiterung zu diesem BLOG und sll weiteren Varianten abdecken.

      Wie ich es gerade eben jemandem (per Mail) schrieb…:
      Da es kein Virus ist, sondern nur Ransomware, ist die Wahrscheinlichkeit einer umfangreichen Infektion des Systems gering.
      Sprich Du kannst „eigentlich“ in aller Ruhe alles sichern und dann das System plattmachen und neu aufsetzen.

      Solange Du so etwas wie einen USB-Stick im Abgesicherten Modus nutzen kannst, kannst Du auch die Daten sichern.

      Zur explorer.exe:
      Die explorer.exe muss von einem Baugleichen Windows-System stammen. Also keine Kreuzungen unter versch. Windows-Versionen.
      Daher kann die explorer.exe von der Installations-CD/DVD stammen. Oder vom zweit-PC mit gleichem System, oder vom Freund, etc..

      Oder siehe dazu auf meiner Seite Punkt P01.

      Sind damit ale Fragen beantwortet?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Hallo Simon,

        danke für die schnelle Antwort. Leider habe ich gerade einen Tippfehler bei mir entdeckt, den du übernommen hast.

        Das Verzeichnis war:
        C:\Users\[Username]\AppData\Local\Temp\ (<- Backslash statt Punkt)

        der genaue Dateiname ist dann:
        0.467617002081684.exe (im Explorer)
        0.467617002081684.exe, SuppS (im Autostart bei msconfig)

        Sorry.

        Kannst du dir erklären, warum das Border Becky Crude noch immer im AUtostart zu finden ist (natürlich ohne den Haken davor)? Heißt das, dass die Ransomware noch nicht endgültig entfernt wurde?

        Soll ich die Datensicherung im abgesicherten Modus machen, oder kann ich einfach auch das normale Windows nehmen (Netzwerkkabel natürlich nicht angeschlossen)?

        Kennst du deine gute Seite die Browser und Systemeinstellungen empfiehlt um künftig solche und auch andere Infektionen zu vermeiden?

        Der Dank geht natürlich an euch beide, speziell aber an deinen Support.

    • @ freeze5

      DAs Teil steht noch im Autostart drin, weil es wohl bislang nciht als eintrag aus der REgistry entfernt wurde.

      Dazu gehe in den rEgistry-Editor und dann unter:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^[Benutzername]^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^[Programmname]
      und benenne erst mal den Schlüssel um. Sollte er nach einem Neustart dann auch im Autostart anders heißen, hast Du den richtigen erwischt und kannst ihn dann gewissentlich LÖSCHEN! :-)

      Die Datensicherung kannst Du jetzt theoretisch im ganz normalen Windows mit Netzwerkkabel machen.
      Dadurch das es wie geschrieben kein Virus ist, sollte, in der Theorie, nun nicht smher geschehen und auch keine weitere Datei infiziert sein.
      (Wie gesagt, so zumindest die Theorie. – Ich bin ja [leider] nicht der Autor dieser Ransomware).

      Aber den Satz hier…
      „Kennst du deine gute Seite die Browser und Systemeinstellungen empfiehlt um künftig solche und auch andere Infektionen zu vermeiden?“
      …musst Du mir nochmal genauer erklären.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  2. Hallo Simon,

    zuallererst möchte ich dir meine Achtung mitteilen, denn ich denke es ist doch wohl ziemlich anstrengend, immer wieder hier kommentare zu beantworten.
    also ich habe mir diesen spaßigen freund an heiligabend eingefangen, vielleicht als strafe, dass ich ausnahmsweise nicht in der kirche war? wie auch immer war ich ersteinmal eine woche lang verreist, deshalb konnte ich nicht allzu viel dagegen tun.
    ich habe alles mögliche versucht – im shellpfad stand bereits explorer.exe und auch in jedem anderen registryeintrag, den ich hier sah, fand ich nichts auffälliges. Nachdem sowohl der Avira DE-Cleaner, als auch der Norton Power Cleaner versagten, stand ich kurz vorm verzweifeln.
    dann habe ich mal den autostart untersucht, sprich dos und dann msconfig
    dort fand ich ein recht seltsam betiteltes programm namens Hauls April Pose Gangs Rufus Creep
    der angebliche hersteller dieses ominösen etwas‘ war Adobe.
    im autostart blockiert, woraufhin ich wenigstens wieder normal starten konnte. im anschluss daran mit Hijackthis gescannt und einen gewissen yuna messenger entfernen, der als schädlich markiert war. ob der wirklich was damit zu tun hatte, weiß ich nicht, jedoch hat direkt im anschluss daran avira wpbtl0.dll gefunden.
    zu guter letzt habe ich mit dem CCleaner noch den temp und alle defekten registryeinträge beseitigt. Nach einem umfassenden Scan danach wurde nichtmehr gefunden.

    • habs gerade nochmal nachgeschaut, der yuna kram gehört zum msn messenger, ist ja auch egal, auf jeden fall ist alles weg :)

    • @ Jannis

      Wenn es ja „nur“ die POostings wären.
      Im Schnitt beantworte ich aber (also nur den Erstkontakt gerechnet) bis zu 10 Anfragen auch ncoh per Mail.^^

      An einem SAmstag/Sonntag mag das noch recht simpel sein, weil ich da frei habe (in aller Regel). Aber unter der Woche mit noch anderne temrinen neben der Arbeit, ists dann schon stressig, so das ich manchmal dann halt keine Postings zum Beispiel beantworte.

      Noch dazu habe ich auf meiner Seite „nur“ einen Spendenbutton, sprich ich verdiene nicht real richtig viel Kohle damit. Zumal ja auch lang nicht jeder was spendet.
      Würde ich all das hier in Geld umsetzen können, wäre ich jetzt erstmal mindestens 2 Wochen in anderen Gefilden – sozusagen.

      Ich könnte ja jetzt sagen „Kleine Sünden straft der Herr sofort. – Aber das ist altertümlicher Quatsch und hat nichts mit der Realität zu tun.“ Hier wird es aber theologisch und das hat hier im BLOG, bei diesem Themengebiet, recht wenig verloren.

      Ich habe den Programmnamen und den Hersteller mal in meine Auflistung übernommen. Aber bist Du/sind Sie sich sicher das es „Adobe“ und nicht „AVM GmbH“ war?

      So ein Messenger wie der MSN’ner ist sowieso unnütz, von daher… :-p
      Die *.DLL-Datei wiederum ist ja bekannt.

      Das ich kein rechter Freund von Tools ala CCleaner und TuneUp, etc. bin schrieb ich auf der glaube verherigen Seite schon mal.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  3. hallo ihr,

    also als erstes muss ich auch sagen, dass diese seite mir auch sehr geholfen hat.
    ich war heil froh, als ich es – mit hilfe der infos dieser seite – geschafft hatte wieder zugriff auf meinem rechner zu kriegen.
    leider war bei mir einiges anders, als bei manchen beschreibungen. so haben ich in der registry leider noch keinen passenden eintrag gefunden.
    bei mir hieß das scheißteil (ähnlich wie bei freeze5) 0.49565886414758475.exe.

    es wird jedoch leider bei starten versucht daruf zuzugreifen, weshalb gleich eine fehlermeldung kommt, dass nicht auf die datei XXX zugegriffen werden kann.

    außerdem habe ich leider immernoch keinen zugriff auf meinem taskmanager.
    wießt ihr woran das liegen kann?

    hab schon div. viren- & malware-scanner laufen lassen
    die haben zwar auch was gefunden.
    aber bisher keine besserung.

    1000 dank für eure bemühungen.
    allein schon all die kommentare hier fand ich sehr interessant und haben mir geholfen!

    beste grüße

    • @ tyler

      Das Problem mit dem Zugriff wird wohl kein großes sein…zumindest hat es schon bei vielen geklappt. Schau Dir/Schauen Sie sich dazu mal die Punkt P25-P27 an.

      Zitat: „es wird jedoch leider bei starten versucht daruf zuzugreifen, weshalb gleich eine fehlermeldung kommt, dass nicht auf die datei XXX zugegriffen werden kann.“
      Ich vermute mal, das es heirbei sich um den noch vorhandenen und vorallem aktivierten Eintrag im Autostart handelt.
      (Zumindest kann ich es nicht besser dem Satz entnehmen.)

      Einfach Start -> Alle Programme -> Autostart
      sowie

      Start -> Ausführen -> msconfig -> [OK] Button -> Reiter „Systemstart“

      und den Registry-Schlüssel
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^[Benutzername]^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^[Programmname]

      …prüfen.

      Bezüglich dem Antivirenscanner..bitte einfach mal die Punkte P20 & P20.1 anschauen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Hallo Tyler,

      ich kann dir mal meinen Weg zum Erfolg(?) schildern:

      starte dein System im abgesicherten Modus mit Eingabeaufforderung. In der Kommandobox landest du direkt im System32 Ordner, dort kannst du msconfig starten. Dort findest du die Systemstarteinträge. Verbreitere die Spalte „Befehl“ und suche nach Endung mit vielen Zahlen. Vorne das Häkchen entfernen.

      Jetzt weisst du wo du die Datei finden kannst und sie gleich im Eingabefesnter löschen. Dazu in das Verzeichnis navigieren und mit dem Befehl „del Dateiname“ löschen.

      mit regedit kannst du auch gleich noch in die registry gehen und unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^[Benutzername]^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^[Programmname]den Eintrag löschen.

      Ich habe zusätzlich noch mein System mit Kaspersky Rescue Disk durchlaufen lassen. Das ist ein Unix Betriebssystem was dir ermöglicht den Kasperskyvirenscanner ohne WIndows laufen zu lassen. (Gibts z.B. auch von AVIRA). Hat das hat bei mir auch nichts gefunden- ;-)

      Achso unter Windows/pss/ findest du noch ein Backup des Links im Startmenu, kannst du auch noch löschen.

      • @ freeze5

        Kommt mir alles so bekannt vor *nach oben schau*… *schmunzel*

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  4. Gerade noch entdeckt:

    unter C:\Windows\pss\ liegt noch ein Backup des Autostartlinks.

  5. hi..ich hatte auch das „glück“ mir solch ein teil anzulachen..nur sah die polizeiseite etwas anders aus,der sinn war aber der selbe..habe zunächst versucht mit avira premium was zu machen..der zeigte nur 170 versteckte objekte…dann bin ich mit win defender dabei gegangen…brachte auch nichts..bei beide also kein virus..(beide scanner laufen ständig jedoch bei mir im hintergrund mit…heute hab ich dann son „alten“ scanner von letztem jahr aus der pcwelt ausgegraben…den bitdefender on demand…ich konnte leider die signaturen nicht updaten,da ich mit einem lidl-mobil surf stick ins netz gehe,aber hab den trotzdem mal laufen lassen..und 2 trojaner in 4 objekten..diese wurden schnellstens zum desinfizieren geschick,zumal der scanner von der computerbild notfalldisk zuvor auch eine fund anzeigte,aber damit nichts anzufangen wußte…leider erscheint jetzt aber noch beim starten folgender text…: Sie versuchen eine Datei des Typs „Anwendungserweiterung“(.dll) zu öffnen.Diese Datei wird vom Betriebsystem und verschiedener Programme verwendet.Bearbeiten oder Verändern dieser Dateien kann möglicherweise das System beschädigen.Klicken Sie auf „öffnen mit“ um die Datei trotzdem zu öffnen.Klicken Sie andernfalls auf „abbrechen“… etwas seltsam finde ich..wie bekommt man das denn nun wieder weg?? übrigens der CCleaner zeigt ne ganze menge dateien bei registry,wo angeblich die .dll fehlt !! soll ich auf „fehler beheben“ gehen ?? gebe zu..diese methoden waren wohl etwas ungewöhnlich,aber zu der zeit,als ich im pc-service gearbeitet habe,gab es bis auf den wurm,kaum größeren virenbefall… mfg tom

    • @ tom a.w.

      Wieso Avira zumindest anfangs gar nichts finden kann, habe ich schon mehrmals erläutert und auch auf meiner Seite beschrieben. :-)

      Da ich hier den Leuten helfen will und es wohl auch teilweise erfolgreiche tue, kommt bei Dir aus meiner Sicht nur eine Lösung dabei heraus.

      Da es sich bei deiner Variante und den 2 gefundenen Trojanern und 4 anderen Objekten vermutlich um eine komplett andere Art handelt, kann ich leider nur eines empfehlen:
      + Daten sichern,
      + die gesicherten Daten nirgendwo anders nutzen,
      + Rechner mit allen Treiber + Updates + Antivirus/Antimalware neu aufsetzen,
      + Gesicherte Daten scannen und erst dann wieder nutzen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  6. Hallo,
    was mache ich wenn selbst der abgesicherte Modus nicht mehr starten will, nur noch der ’normale‘ welcher dann zum Bundenspolizei Trojaner führt?
    (Ich habe mir mal Ubuntu auf dem befallenen System installiert, weiß aber nicht wie ich damit eine windows registry bzw. die autostart bearbeite.)

    mfG, Andreas

  7. Hallo Simon, erstmal allerbesten Dank an Dich sowie den Autor dieses Lösungsweges, ihr seid echt die Besten. Ich hatte das selbe Problem, ließ avira, Eset Nod32, Dr. Web CureIt!, Spybot und Malwarebytes Anti-Malware durchlaufen, manche fanden auch was, aber das Problem wurde nicht behoben. Dann habe ich nach euren Schritten gehandelt, verschiedene Orte nach diesen dateien abgesucht und drei Stück gefunden. Im Autostart hieß es „Update“ bei mir. Ein anderes war im Prefetch unter Windows drin. Jetzt startet der PC wieder normal. Allerdings konnte ich bis jetzt bzw bis ich es „gelöst“ hatte, keine Wiederherstellung ausführen, da ich da immer einen Bluescreen bekam. Meinst Du, ich sollte das jetzt noch einmal versuchen? Oder einfach mal alles durchlaufen lassen, evtl. vor Systemstart mit CD usw.? oder lieber Daten sichern und platt machen? Also vom Virus merke ich eben nichts mehr.

    • ich bekam gerade einen Bluescreen mit der Meldung: „kernel_Data_Inpage_Error“, habe dann einen Neustart gemacht, dann kam ein schwarzer Bildschirm mit Schrift „Checking file system on C: …NTFS
      One of your disks needs to be checked for consistency.“ Dann hat er gearbeitet und es kamen einige Zeieln lang „Recovering orphaned file ERRORLOG (ne Menge Zahlen..) into directory file 272775“
      Am Ende dann „Windows has made corrections on the file system.“ und er startete wieder ganz normal…
      Sehr schlimm? =(

      • @ Ingo

        Kann schlimm sein – Tendenz leider zum schlimm.

        Auszug von Microsoft:

        KERNEL_DATA_INPAGE_ERROR

        This Stop message indicates that the requested page of kernel data from the paging file could not be read into memory. This Stop message is usually caused by a bad block (sector) in a paging file, a virus, a disk controller error, or failing RAM. In rare cases, it is caused when nonpaged pool resources run out. It is also caused by defective hardware.

        Quelle und weitere Anweisungen:
        http://technet.microsoft.com/en-us/library/cc957628.aspx

        Heißt also das dein Arbeitsspeicher (RAM) defekt sein könnte, deine Festplatte (HDD) Defekte haben könnte, andere Teile der Hardware des Computers Defekte haben könnten, und/oder das der BlueScreen von z.B. einem Virus verursacht wird/wurde.

        Alles in allem vermute ich, das es jetzt mittlerweile wohl eine böse Variante gibt. Denn es häufen sich vermehrt die Punkte, an denen es nicht mehr zu reichen scheint „nur“ ein paar Dateien zu entfernen um ein wieder lauffähiges System zu haben. :-|

        Wenn dem so ist, dann wird hier bald weder die Anleitung von Herrn Weihmann reichen, noch meine Seite. :-(

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • @ Ingo

      Wie ich es schon mehrfach beschrieben habe udn es auch auf meiner Seite schon schreibe: „Ein einmal befallenes System, dem kann man nciht mehr unbedingt trauen.“

      Das ist zwar die einfachste Aussage die ich treffen kann, aber leider auch immer die wahrheit.
      Denn irgendwie kam das TEil ja rein ud hängt vielleicht doch ncoh irgendwo ein Fetzen.
      Theoretisch wäre der Fetzen nie wieder schädlich, aber das kann man halt nciht wissen.

      Wer also auf Nummer sichern gehen will, macht es wie ich es SIL hier schrieb:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-24#comment-4898

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  8. So erst einmal danke für die super Hilfestellung, hat bei mir auch alles super funktioniert, und soweit habe ich alle Fade durchforstet in denen sich die bösen Dateien und Unterverzeichnisse befinden können (ich bin in Content.IE5 auf 4 Ordner gestossen, die ich entfernt habe.) nun kann ich mein Rechner zwar ganz normal ohne ein angeschlossenes Modem starten, und auch eine Verbindung herstellen sobald das System hochgefahren ist, allerdings bekomme ich trotzdem noch das leidige Bild, wenn mein Modem schon vor dem Rechner aktiv ist. Hab ich was übersehen?

    • @ Steven

      Na da scheint ja was noch nicht entgültig weg zu sein….

      Wurde denn schon an den altbekannten Orten und nach den Dateien/Dateiendungen vom Infizierungszeitpunkt gesucht?

      Tipps dazu gibt es auf meiner Seite und den Punkten P14 und Punkt P14.1.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  9. Moin ihr lieben Mitleidenden!

    Vorweg ein dickes Lob und großer Dank an Dich Simon, der Du hier mit einer unglaublichen Engelsgeduld unsere „Unfähigkeit“ aushälst und ihr entschlossen entgegen trittst ;-) Habe es wir freeze5 gemach und ich glaube, jetzt gehts wieder… Wollte nur der Vollständigkeit halber sagen: Bei mir hieß es unter msconfig in der Rubrik „Systemstart“ „Swim *irgendwas* Glaze“ und war von der AVM GmbH. Die .exe hieß 0.05289186994887851.exe Habe aber eh den Eindruck, dass es keine der Zahlen doppelt gibt…

    Also- Nerven behalten und viel Erfolg,

    beste GRüße

    Christoph

    • @ Christoph

      Erstmal vielen Dank für das Lob.
      Aber mal ehrlich, was hätte ich auch davon jedesmal hier auszurasten. *schmunzel*

      Ich kann lediglich bei der Posting & vorallem auch Mailflut (teilweise) nicht immer alles bzw. nicht immer alles schnell beantworten.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Zusatz:

      Außerdem gebe ich ja die Hoffnug nicht auf, das wenigstens ein paar Leute hier jetzt mehr auf ihr System achten, auf dessen Sicherheit und vorallem sich nun ein sauberes BACKUP einrichten. *hoff*

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  10. Ich habe den Virus seit dem 7.1. Ich habe eine Datei namens 0.300516526729134.exe gelöscht, und
    seitdem öffnet sich die BKA Seite nicht mehr bei Neustart. Danach habe ich
    Avira Antivir drüberlaufen lassen und plötzlich erschien die Fehlermeldung „Unable to find file“ und das Sicherheitscenter meldet mit, das mein Computer keinen Virenaschutz mehr hat.Wenn ich ein update runterladen will, oder auch eine andere Virensoftware, kommt die Fehlermeldung, dass sich Avira Antivir nicht löschen lässt, und ich es manuell löschen soll. Wenn ich das versuche, erscheint wiederum eine Fehlermeldung „Control Center not found“ oder so. Was ist da los? Hängt das auch mit dem Virus zusammen?
    Danke!

    • @ SIL

      Ich würde sagen, herzlichen Glückwunsch. Sie sind/Du bist seit dem 7.1. (etwa) stolzer Besitzer eines Virus und nciht nur der eigentlichen Ransomware.

      Mein Tipp ist leider nur noch folgender:
      + Daten schnellstmöglich sichern
      + System neuinstallieren
      + System absichern bis optimum
      + Alles Patchs/Updates drauf
      + Antiviren/Antimalware Programm drauf (ob kostenpflichtig oder kostenfrei bleibt Ihnen/Dir überlassen)
      + Gesicherte Daten scannen
      + Daten zurückspielen
      + Backup einrichten.

      Leider sehe ich auf die schnelle und Distanz keinen anderen schnellen und vor allem sauberen Weg.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • @Sil

      Ohne Dem Boss hier vorgreifen zu wollen – ich würde an diesem Punkt eine Systemwiederherstellung mit Wiederherstellungspunkt vor dem 7.1. versuchen.
      Begründung:
      Bei mir hat der Virus den Avira schrittweise demontiert. Durch die Systemwiederherstellung hatte ich Avira wieder im Zustand vor der Virusattacke. Danach konnte ich problemlos Avira wie üblich updaten, danach die übliche Systemprüfung.

      Peter

      • @ Peter Zeller

        Boss – falls ich damit gemeint bin – ist vielleicht doch ein bisschen zu hoch gegriffen. *schmunzel*

        Das mit der Systemwiederherstellung ist durchaus eine machbare Sache, ob es helfen wird kann ich aber nicht konkret sagen.
        Ich verlasse mich da jetzt auf deine Aussage. :-)

        PS.: Spende ist übrigens angekommen. Vielen Dank nochmal.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  11. auf einem geringfügig anderen Weg ist es mir heute gelungen, den Schaden zu reparieren. Zunächst hatte ich in der regedit im abgesicherten Modus den Taskmanager wieder eingeschaltet. Dann habe ich den Rechner normal hochgefahren, nach Erscheinen des Desktops ohne Unterlass etwa 60 mal Strg+Alt+Entf gedrückt. Es gelang mir so, die Malware außer Gefecht zu setzen. Dann habe ich mir mit Ausführen „msconfig“ den Systemstart genau angesehen. Dort war natürlich der Verursacher. Er führte zu einer wpbt0.dll in C:\Dokumente und Einstellungen\[user]\Lokale Einstellungen\Temp
    In der Liste der Verursacher von @Simon taucht eine wpbtl0.dll auf. Vermutlich ist diese falsch (ein l zuviel), oder es ist eine neue Variante. Der Vollständigkeitshalber also ergänzen!
    Rechner arbeitet wieder einwandfrei. Musste nur noch einmal per Regedit den Taskmanager wiedereinschalten.
    Aber toll, dass diese Seite so intensiv gepflegt wird! Vielen Dank!

    • @ fermat

      Da diese *.DLL-Datei schon öfter aufgetaucht ist, ist die Wahrscheinlichkeit einer neuen DLL höher.
      Entsprechend habe ich deine/Ihre Angabe ergänzt.

      Frage dazu:
      „Rechner arbeitet wieder einwandfrei. Musste nur noch einmal per Regedit den Taskmanager wiedereinschalten.“

      Ist dies immernoch nötig?
      Weil wenn ja, würde ich zumindest nicht von einem „sauberen“ System sprechen. ;-)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • @fermat

      wpbt0.dll wurde auf meinem Netbook nach der Viruattacke von Avira alsSchädling (neben 2 anderen) identifiziert.

      Peter

  12. Habe seit gestern auch das Problem mit dem Bundestrojaner und habe auch versucht mithilfe eurer 10 Schritte Anleitung das Problem zu lösen nur leider komme ich ab dem Punkt wo ich regedit eingeben soll nicht weiter weil da jedes mal steht dass das bearbeiten der Registrierung durch den Administrator deaktiviert wurde obwohl ich selber der Administrator bin. Bitte um schnelle Hilfe.
    Danke schon mal im voraus der Rasche.

    • @ Rasche

      schnelle Hilfe..
      Schaue Dir mal/Schauen Sie sich mal die Punkte P25-P27 auf meiner Seite an.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  13. Diese Seite hat mir sehr geholfen. Ich hatte vorgestern das Vergnügen mir diesen GEMA Trojaner einzuladen. Hatte bisher noch nie einen Virus.Dieser Weg über regedit und dann auf der sog. DOS-Ebene hat mir sehr gut gefallen, da ich ja noch aus dieser „Zeit“ stamme :-).

    Jetzt wollte ich Euch noch was Gutes tun, dachte gestern davon gelesen zu haben, daß man Euch monitär beglücken kann via PayPal o. ä. Hab ich mich da getäuscht? Ich finde das jetzt hier nicht mehr.

    Vielleicht eine kurze Mail mit Hinweis.

    Gruß Andreas

    • @ Andreas

      Freut zu hören das Du ihn losgeworden bist UND das es noch Leute gibt, welche die DOS-ebene noch kennen. :-)

      Ich vermute, das was Du meinst mit der Spende, ist hier auf meiner Erweiterung dieses Blogs, zu finden…

      Vielen Dank schon im voraus.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  14. Ich bins nochmal^^
    Nach dem Bluescreen lief alles wieder gut, ich hab nochmal all meine Malware-Programme usw durchlaufen lassen, nochmal nach solchen Dateien (oder Ähnlichen) gesucht – nichts. Dann habe ich zufällig eine Kaspersky-Vollversion in einer alten Computerbild-Zeitung gefunden von 2010. Installiert, durchlaufen lassen (hat echt lang gedauert, ca. 4 Stunden) und er fand 2 Viren und ein trojanisches Programm. Seidem läuft der PC einwandfrei. meinst Du, es ist weg? oder könnte dennoch ein RAM oder sonstwas beschädigt sein und ich merke es nicht? Wie könnte ich das herausfinden?
    Will einfach ganz sicher sein…habe auch einen Freund angerufen, der sich auch sehr gut auskennt(arbeitet als Mechaniker bei den Programmen für die Flugzeuge, Firma fällt mir grad nicht ein), der meinte es müsste weg sein.

    • @ Ingo

      Das eine Trojanische Programm gibt mir zu denken. Selbst wenn es jetzt „weg“ sein sollte, was hat es eventuell vorher gemacht?!
      Ich weiß das es BKA-Ransomware in Verbindung mit solchen Trojanern gibt und diese Dann wiederum meist eine Bezeichnung ala „TR/Spy….“ haben.
      Das würde dann darauf hindeuten, wie auch schon in Punkt P07 beschrieben, das es ein Trojaner war, welcher eventuell über die Ransomware hinaus ALLE Tastatureingaben mitgeloggt und ggf. versandt hat.

      Da ich nicht weiß wie die Bezeichnung des Trojaners bei Dir/bei Ihnen war, kann ich nur dazu raten die Kennwörter an einem sauberen Computer ALLE zu ändern und über eine Neuinstallation des Systems (leider) doch nachzudenken.
      Für weitere Fragen dazu, stehe ich gerne hier oder per Mail zur Verfügung.

      Ob etwas an der Hardware beschädigt ist, lässt sich meist relativ schwer nachvollziehen. Ist es das RAM oder die Festplatte, so stürzt der Computer meist recht einfach mal so (oft mit BlueScreen) ab.
      Bei Festplattenfehlern steht meist auch im Eventlog in der Kategorie System etwas von „DISK“-Fehlern drin.

      Rausfinden lässt sich ein Hardwarefehler wie gesagt so auf die schnelle nur recht schlecht (vor allem aus der Ferne).
      Auch dafür gäbe es zwar noch eine „Lösung“, mehr dazu dann aber per Mail(anfrage).

      „müsste weg sein“ ist leider das richtige Stichwort -> müsste.
      Bei einem Virus/Trojaner kann man sich da leider eigentlich nur dann sicher sein, wenn das System von Grund auf formatiert und installiert wurde.
      Alle anderen Versionen der Instandsetzung können – theoretisch – zumindest Reste auf dem System belassen.
      Meist dann zwar inaktiv, aber das kann keiner garantieren. Genau wie halt kein Virenscanner der Welt wirklich 100% Sicherheit bieten kann.

      PS.: hier ist ja gar nichts mehr los?! *verwundert bin*
      Sind alle die BKA-Ransomware los, oder kommt hier morgen wieder der große Posting/Mailing-Tag? *schmunzel*

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  15. Guten Morgen, Simon

    eines würde ich noch gerne loswerden: Das Allererste sollte sein, Datum und Uhrzeit des Auftretens des Virus zu notieren.

    Eine Teilnehmerin hier hatte die schlaue Idee, .exe über die Windowssuche zu suchen, dh alle Dateien, die .exe enthalten, sich auflisten zu lassen. Dann hat sie die Dateien, die zur entsprechendn Zeit auf ihren Computer kamen, gelöscht. Und wohl damit den Virus entfernt.

    Peter

    • @ Peter Zeller

      Das machen zum Glück schon relativ viele Leute, also zumindest sich das „merken des ungefähren Auftretens“.

      Die Suche nach diversen *.EXE und *.DLL und *.PF Dateien wird von mir, seid (mehr oder weniger) Anfang an, in Mails die mich erreichen als eine der ersten Dinge vorgeschlagen.

      Auch hier wurde schon des öfteren (nicht nur von der einen Frau :-) ) die Suche vorgeschlagen.
      Prinzipiell ein sehr gutes Mittel um zumindest (je nach Variante) die Ursprungsdatei(en) zu finden.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  16. @ Simon
    Bezug: Meldung vom 9.1.
    Melde mich so spät noch mal, weil ich schauen wollte, wie sich das System verhält.
    Zunächst noch einmal die Klarstellung: Ich habe per regedit noch einmal direkt nach Entschärfen der Malware den Taskmanager einschalten müssen, weil ich beim Hochfahren mit dem oftmaligen Strg+Alt+Entf den Schädling vermutlich bei seinem Tun (rechtzeitig) unterbrochen habe; als erstes stellt er sicher den Taskmanager aus. Ich hoffe dies jedenfalls!!!
    Der Bestitzer des Rechners war natürlich sträflich dumm, weil er sein Antivirenprogramm länger nicht akualisiert hatte. Habe das nachgeholt und Kaspersky fand sofort den von mir umbenannten Schädling in Form der dll-Datei und einen weiteren unter „Temporary Internet Files“, der dazugehört und entfernte beide Dateien. Seitdem gibt es bis heute keine Unregelmäßigkeiten.
    Unter google fand ich übrigens genügend Hinweise, dass die dll-Datei seit Monaten ihr Unwesen treibt. Erstaunlich, dass ich nun der erste war, der diese hier mitteilen konnte. Aber evtl. ist das die harmloseste Variante des Schädlings.
    Gruß fermat

    • @ fermat

      Jetzt habe ich zumindest das mit dem Taskmanager verstanden. ;-)

      Jaja, leider kommt dies viel zu oft vor.
      Entweder wird so eine einfache Komponenten wie „JAVA“ nicht geupdatet, oder gar die Microsoft-Update sträflich vernachlässigt.
      Das ganze Systeme nicht aktuell sind (z.B. Windows XP immernoch nur mit Service Pack 2! statt 3!) sehe ich leider ebenfalls auch noch viel zu oft.
      Dabei wundern sich dann die Leute oftmals erst wenn ich darauf hinweise, warum Sie denn wohl schon seit MEHR als EINEM JAHR keine Update smehr erhalten haben.^^

      Die *.DLL-Datei(en) werden meines Erachtens immer beliebter. Allerdigs auch die Varianten mit Trojaner, was mittlerweile echt ein Problem wird.
      (Siehe zu aktuellen, mir bekannten Varianten Punkt P14.1.

      Die gesamte BKA-Ransomware (als welche sie ja begonnen hat), ist seit mehr als einem Jahr unterwegs. Damals aber als es anfing hat es „kaum jemand“ gekümmert.

      Worauf genau bezieht sich nochmal das hier?
      „Erstaunlich, dass ich nun der erste war, der diese hier mitteilen konnte. Aber evtl. ist das die harmloseste Variante des Schädlings.“

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  17. Hilfe,

    vor 45min hat dieses Teil meinen PC lahmgelegt =(
    ich habe die Schritte befolgt und komme nun nicht weiter: ich bin gerade bei Shell und der Wert ist Explorer.exe. Leider schnall ich nicht wie es weiter geht, da ich ein absoluter Anfänger bin. Ich darf den String ja nicht löschen, weiß jetzt aber nicht wie ich das austauschen soll.
    Kann mir jemand helfen?

    Grüße,
    Jasmin

    • Da ist doch aber in der Anleitung ein Link für den Fall, dass bei dir explorer.exe bereits in der Registry steht. Dem einfach mal folgen, da hat Simon bereits einiges dazu geschrieben.

      • Soweit bin ich auch schon und da komm ich nicht weiter. Ich schnall nicht wie ich das austauschen soll. Ich hab keinen Stick oder sonst was. Wie gesagt hab keine Ahnung von sowas.

    • @ Jasmin

      Wenn Du/Wenn Sie keinen USB-Stick, keine CD zum bebrennen, keine externe Festplatte und/oder keine Installations-CD/DVD hast/haben, wird es schwierig(er).

      Probieren wir aber doch erst mal ob an den Stellen unter Punkt P14 was zu finden ist.
      Was man dort oder anderswo im System finden kann/könnte, wäre dann widerum unter Punkt P14.1 zu sehen.

      Weiterhin ist eine Suche nach
      neuen *.EXE-Dateien,
      neuen *.DLL-Dateien und
      neuen *.PF-Dateien
      zum „ersten Auftretenszeitpunkt der Ransomware“ eine weitere Möglichkeit dem unliebsamen Teil auf die Spur zu kommen.

      Probiere all dies erst mal aus, wohlgemerkt OHNE jegliche Internetverbindung (kein WLan, kein Netzwerk, kein Bluetooth, kein UMTS).
      Sollte alles nciht helfen, ist eventuell Punkt P24 noch eine Möglichkeit.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  18. So richtig verstehe ich die Tipps nicht.

    Es gibt nicht den “ BKA – Trojaner “ !!

    Wenn das System keine Lücken hat, kommt einmal der Bildschirm mit GEMA/BKA usw. und das wars.

    Wenn der Bildschirm nach einen Neu-Start wieder kommt, hat man ein Problem.
    Das löschen von Dateien nützt nichts.
    Ein neues System, nach einer Datensicherung ist ratsam.

    Tschau

    • @ Oldi-40

      Korrektur:
      1. Ich habe schon mehrfach darauf hingeweisen das es KEIN Trojaner und KEIN Virus ist und auf meiner Erweiterungsseite steht dieser BEgriff auch nicht!
      2. Ich muss mich selbst mittlerweile Korrigieren, zumindest zum Teil, denn es gibt Varianten die einen Trojaner innerhaben oder nachladen!

      Wenn das Bild nach dem Systemstart wiederkommt, kann dies auch schlicht darauf hindeuten das man nicht ordenlich die Datei(en) gelöscht hat(te).^^

      Die Variante des Bereinigens „bringt nichts“ ist so nicht ganz korrekt.
      Eine Bereinigung + Datensichern + Neuinstallation ist die IMMER von mir schlußendlich empfohlenen Endlösung und steht so ebenfalls auch auf meiner Seite.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  19. Hallo!

    Erstmal vielen Dank an (v.a.) Simon, fermat und Daniel. Ohne euch hätte ich vermutlich letzte Nacht irgendwann mein Notebook aus dem Fenster geschmissen. Ich benutze mein Notebook zwar intensiv, komme auch mit allem eigentlich immer zurecht, aber dieses Teil gestern war das (erste und) absolut nervigste. ( Im Grunde habe ich keine Ahnung wie das alles hier funktioniert, hauptsache ES FUNKTIONIERT).Okay. Bei mir hieß die Datei 0.53…01123.exe, Lying Wyatt Jean, Orb Networks.Zum Glück benutze ich zwei Monitore und somit hab die Sch…seite auf den externen geschickt, und auf dem Notebook hatte ich immer ein kleines Zeitfenster ein oder zwei Anwendungen zu öffnen, bevor meine Startliste verschwunden war.(Heute morgen noch bevor ich die Dateien gelöscht hatte hat sich das Bild einmal nicht geöffnet, keine Ahnung wieso, dass hat die Sache aber erleichtert). Ich habe dann mehrmals die Registry gesäubert, Spyboot, Antivir und DE Cleaner drüberlaufenlassen, hatte aber nicht das Gefühl das die etwas (relevantes)gefunden haben. Im Endeffekt habe ich über die Suchfunktion die oben angegebene .exe Datei als Verknüpfung in Autostart gefunden (aufgrund des Datums) und als Anwendung in Temp. Beides gelöscht. Außerdem habe ich ein Systemstartelement ohne Name (nur Pfad) deaktiviert. Scheint zu funktionieren. Verdächtige DLL oder PF Dateien habe ich nicht gefunden. Ich hoffe das wars jetzt.Hat noch jemand Informationen zu angehängten Trojanern? Ich wollte eh demnächst die Festplatte formatieren, jetzt hab ich also einen Grund. Also nochmal vielen Dank.

    • @ Frank

      Sag bescheid wenn Du es doch noch rausfwirfst, ich nehme es gerne. :-)

      Ich habe mal die Bezeichnungen, soweit möglich, auf meine Seite übernommen.
      Gab es eventuell, als morgens sich das Fenster erst verspätet öffnete, noch keine Internetverbindung?

      Die meisten Vienscanner finden „auf Anhieb“ auch nichts oder nur wenig, das kann einerseits damit zusammenhängen das sie nicht aktuell gehalten sind, oder zweitens weil der BKA’ler nur Ransomware ist (bzw. in neuster Variante evtl. nicht mehr nur war).

      Sollte ein Trojaner dauf gewsen sein, oder noch drauf sein, so habe ich dazu schon hier was geschrieben gehabt: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-24#comment-4984

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  20. hey leute wenn ihr euch jemals den virus von der bundespolizei holt, dann macht folgendes:
    1. drückt alt und lasst es gedrückt während ihr auf die taste mit den beiden pfeilen über der hochstelltaste drückt. ihr solltet dann durch alle eure geöffneten fenster springen können, in dem ihr wiederholt auf die doppelpfeiltaste drückt.
    2. guckt ob euer ordner geöffnet ist (sollte er eigentlich automatisch machen, ka warum) und klickt dann auf ihn.
    3. geht auf euren desktop und öffnet das internet (firefox, internet explorer, chromel, etc.)
    4. löscht eure gesamte kürzlich erstellte chronik, denn ihr habt euch den virus wahrscheinlich auf irgendeiner seite eingefangen, auf der ihr kürzlich wart
    5. startet den pc/laptop neu und staunt über das ergebnis.
    hat bei mir jetzt schon zum 2ten mal geklappt ;D

    • @ Georgie Hooper

      Da ich leider diese Methode nicht nachvollziehen konnte (z.B. an einem PC vom Kunden), kann ich Sie nicht als „Geht oder Geht nicht“ abstempeln. :-/

      Ich vermute aber, das es so ist wie bei den meisten „Schädlingen“…Es gibt sicherlich auch hier Varianten bei denen diese Art & Weise funkioniert, andere (neuere) Varianten lassen dies eventuell ebenfalls nicht mehr zu.

      PS.: Wenn Du/wenn Sie sich das Teil schon zum zweiten Mal eingefangen hast/Haben, würde ich mir um das System mal ernsthaft Gedanken machen.
      Denn irgendwelche Komponeten sind wohl nicht aktuell (Microsoft statt Windowsupdates, Adobe Updates, JAVA Updates) und eventuell werden (das kann man ja nur raten/vermuten/nicht hoffen), Seiten angesurft auf denen sowas populär wäre zu verbreiten.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  21. Habe „hatte“ den Trojaner auch ich habe mein System zurückgesetzt jetzt geht alles wieder. Die Frage ist jetzt nur für mich, ist mein Pc von dem Trojaner befreit oder steckt der noch immer irgendwo. Die Datei jashla.exe finde ich nicht.

    Mit freundlichen Grüßen
    Andi

    • @ andi

      Wie man hier: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-24#comment-4929
      lesen kann, muss nach dem entfernen nicht mehr zwangsläufig alles weg sein.
      Dazu gibt es mittlerweile zuviele Varianten, als das es bei jeder „sofort“ weg wäre.

      Ganz sicher sein kann man sich also nur, wenn man die Festplatte formatiert und alles neu aufsetzt…
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-24#comment-5043

      Ansonsten schau mal/schauen Sie mal unter P14 und Punkt P14.1 ob eventuell z.B. noch so eine der *.DLLs sich auf dem system befindet.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Unter 91.228.4.*** erscheint die „Bundespolizeiseite“.
        Bei der Fehlerbehebung tat sich einmal eine Box mit
        dieser url auf.

    • @ wgphi

      So dankbar ich dir auch bin, so sehr muss ich doch auch wieder darauf hinweisen bitte solche IPs entweder an mcih oder Daniel direkt weiterzuleiten oder zumindest leicht „verschlüsselt“ hier abzulegen.
      Also z.B. 91.123.***.**

      Das Risiko das jemand unvorsichtig und mit einem nicht ausreichend geschützen System auf diese Seite geht und sich dadurch im schlimmsten Fall erst so ein Teil einfängt, ist leider – meines Erachtens – zu hoch.

      Ich selbst öffne solche IPs nur in einer seperaten virtuellen Maschine, wo mir bzw. meinem Rechner nichts passieren kann.
      Und wenn doch, dann gibt es ja einen Snapshot on „davor“. ;-)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  22. Hallo,

    ich hab das selbe Problem wie Andreas:

    Hallo,
    was mache ich wenn selbst der abgesicherte Modus nicht mehr starten will, nur noch der ‘normale’ welcher dann zum Bundenspolizei Trojaner führt?

    mfG, Andreas

    Was kann ich machen?

    • @ Samuel

      Gibt es einen weiteren Benutzer am Computer?!
      Erst mal egal ob mit Adminrechten oder ohne…

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  23. Hi, auch ich hatte den Virus auf dem Rechner. Ich habe im abgesicherten Modus MSCONFIG ausgeführt und die Wiederherstellfunktion um 3 Monate zurück gesetzt. Eine Warnung erschien, dass E-Mails, Dokumente und sonstige Dinge gelöscht werden. Danach dauerte es einige Zeit und der Rechner startete wieder ganz normal und war wieder nutzbar. War’s das, oder muss ich nochwas beachten und händig löschen?

    Gruß

    Karl-Heinz

    • @ Karl-Heinz

      Wie schon 1 oder 2 Seiten zuvor steht, ist die eventuelle „Infektionsdatei“ durch eine Systemwiederherstellung in aller Regel NICHT gelöscht, sondern nur abgeschaltet.
      (Bis zu einer eventuellen Reaktivierung durch eine neue „Infektion“.

      Es gilt also weiterhin, das es diese Datei/Dateien zu suchen gilt (siehe z.B. Punkt P14.1 und P14)

      Ein Offline-Systemscan wäre auch noch ratsam, da immer mehr dieser eigentlich ehemals nur Ransomware-Varianten noch mit diversen kleinen Helfern kommen. Entweder Trojanern die eigentlich Malware nachladen sollen, oder gar Keyloggern (wie wohl ein paar Beiträge weiter unten) geschehen.

      Die sicherste und sauberste Methode ist und bleibt leider nur:
      + Daten sichern
      + System neuinstallieren
      + System bis Optimum mit Treibern, Patches, Updates und Antivirus/Antimalware Software ausstatten
      + Gesicherte Daten scannen
      + Daten erst jetzt wieder zurückspielen

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  24. Bei mir klappt des irgendwie nicht. ich kann keine Datei finden die auch nur annähernd jashla heißt

    • Die Art, wie der Trojaner „arbeitet“ hat sich im Laufe der vergangenen Wochen/ Monate oft verändert. Schau mal hier – möglicherweise passen die Antworten besser zu deiner Variante.

    • @ isabell

      Siehe dazu im besonderne die Punkte P14 und P14.1 auf meiner Seite.
      Dort sind die meisten Fundorte und bisherigen Dateinamen (als Beispiele) aufgeführt.

      Weiterhin bringt oftmal auch für den Anfang, eine Suche nach
      *.EXE Dateien
      *.DLL Dateien
      *.PF Dateien
      mit Änderungsdatum zum Infektionszeitpunkt die Schädlingsdateien zu Tage.

      Oftmals half auch im normalen Abgesicherten Modus oder mit einem anderen Administrativen Benutzer (im normalen Windows) ein Quick-Scan mit dem Programm „Malware Antibytes“ welches es z.B. bei CHIP.de zum Download gibt.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  25. hallo simon,

    ich denke, ich gehöre zu den besonders begriffsstutzigen.. im dezember hatte ich mir den o.g. trojaner eingefangen. dank deiner hilfe habe ich ihn mehr oder weniger entfernt. zumindest glaubte ich das bisher. anfänglich hatte ich immer noch eine fehlermeldung, dass auf eine bestimmte datei nicht zugegriffen werden kann. dies habe ich jetzt auch in den griff bekommen, nachdem ich die kommentare hier durchgearbeitet habe. ich denke, dieser pfad gehörte noch mit zum trojaner.
    nun aber das eigentliche problem: bei mir funktionieren trotz richtiger daten mehrere logins nicht mehr. angefangen hat´s mit ebay-kleinanzeigen, gefolgt von sms.de und nun auch noch meine bank. nachfrage bei der bank ergab folgende antwort: ein account wurde am 13.01. gesperrt, nachdem die sicherheitssoftware erkannt hat, dass ich von einem mit einem trojanischen pferd infizierten rechner aus arbeite. kann dies noch mit dem alten trojaner zusammenhängen? mein virenprogramm zeigt keine vorhandenen viren etc. an.
    wäre super, wenn du auch für meine mail zeit findest. wie gesagt, ich hab eigentlich echt keine ahnung und wäre für eine einfache antwort mit genauem pfad sehr dankbar!

    bis dahin wünsche ich ein gutes nächtle :)! mein trojaner schläft wahrscheinlich nie.. ich dafür demnächst :)

    lg
    die ines

    • @ ines

      Wie sich das liest, wohl leider eher weniger als mehr entfernt.^^
      Anscheinend war es wohl eine Variante derer, die einen Keylogger mitliefern.
      Dies schrieb ich auch schon auf meiner Seite, allerdings war dabei nicht ganz klar ob er nur Daten der Ransomware „scannt & versendet“ oder alles was man so im System eingibt.

      Die Fehlermeldung das da ncoh was „gestartet werden wolle“, kommt oder kam wohl aus dem Autostart.
      (START -> Alle Programme -> Autostart
      und/oder
      START -> Ausführen -> msconfig -> [OK] Button -> [Reiter] Systemstart
      oder
      [Windowstaste] + [R] -> msconfig -> [OK] Button -> [Reiter] Systemstart)

      Die Daten sind bestimmt nciht mehr „die Richtigen“.
      Über kurz oder lang wurden deine Anmeldedaten mitgeloggt, versendet und geändert. Im schlimmsten Fall würde man jetzt diese Konten anderweitig für „böse“ Zwecke zu nutzen.

      Was Dir im Falle von eBay-Kleinanzeigen, sms.de übrig bleibt, ist eine Sperrung/Löschung des Accounts zu beantragen – Begründung „Übernahme durch Passwortdiebstahl“ oder so ähnlich.

      Die Bank hat schon reagiert gehabt und den Zugang eingefroren.
      Diesen muss man sich in der Regel wieder manuell entsperren lassen.
      Dies würde ich aber in diesem Fall erst dann machen, wenn der PC komplett neu installiert wurde…
      (Die sicherste und sauberste Methode ist und bleibt leider nur:
      + Daten sichern
      + System neuinstallieren
      + System bis Optimum mit Treibern, Patches, Updates und Antivirus/Antimalware Software ausstatten
      + Gesicherte Daten scannen
      + Daten erst jetzt wieder zurückspielen)

      Das installierte Antivirenprogramm kann/wird/könnte selbst manipuliert worden sein. So das es keine Schädlinge dieser Art mehr erkennen kann.
      Dies würde „eventuell“ mit einer Boot-CD/DVD sich beheben lassen – aber nur eventuell!

      Ich hoffe die Zeit für das Posting hier war ausreichend um es in einigermaßen verständlichen Worten hier zu notieren, was ich davon halte/was ich mir dazu denke.

      Naja, der Trojaner schläft, sobald der PC richtig aus ist.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  26. Super, vielen Dank – ja, es ist verständlich :). Das selbe hat die Beratung bei der Bank auch ergeben. Da wirft sich mir natürlich ein neues Problem auf. Wie installiere ich denn das System neu? ich hab irgendwo eine DVD gleich am Anfang erstellt – wurde bei der Installation des PCs so vorgeschlagen. Reicht es, wenn ich diese einlege?
    Eine Boot-CD hab ich schon eingelegt. Diese hat aber auch keinen Fehler erkannt.

    • Hallo, Ines

      die Boot-CD dient nur zum Starten, falls Windows aus irgendwelchen Gründen nicht mehr hochfährt. Sie sucht nicht! Das müßtest Du anschließend selber tun.

      Peter

      • ach so, vielen Dank für den Hinweis. Irgendwas hat die CD gesucht. Aber ich denke & hoffe, dass das Problem und der lästige Wurm nun behoben sind!

    • @ Ines

      Ich kann leider nur vermuten, das es eine Recovery-DVD war, welche angelegt wurde. (So ist es z.B. bei den meisten neuen Rechnern von HP.)

      Das würde bedeuten, das eine solche DVD nur eingelegt werden müsste und man davon das System im Auslieferungszustand zurückgespielt bekommen würde.
      Dauer: Zwischen 30min und 3 Stunden.

      Aber Achtung: ALLE dann nicht gesicherten Daten sind danach „vollständig“ weg.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Vielen Dank für die Hilfe. Ich hoffe, der Fall ist jetzt erledigt. Oh man, meine Nerven.. :)! Respekt mit vieviel Geduld und Mühe Sie sich hier alle´Fragen widmen.

        P.S.: Warum befindet sich der Spendenbutton eigentlich nicht auch auf dieser Seite (z.B. beim Kommentarfeld)? So findet man diesen ja nur durch Zufall…

        • @ines: Simon ist hier der Experte!
          Er kann die vielen Fragen beantworten, bei denen ich mich eigentlich nicht wirklich auskenne. Ich betreibe zwar die Seite redirect301.de und habe auch die Artikel zum BKA-Trojaner hier vor einiger Zeit verfasst, aber bei den vielen Spezial-Fragen, die Simon geduldig beantwortet, müsste ich in der Regel passen. Gut, ich „durfte“ bisher ein paar Mal den Trojaner auf Rechnern von Freunden und Bekannten entfernen, aber mehr auch nicht.

          Thematisch passt die Trojaner-Entfernung eigentlich auch gar nicht auf redirect301.de. Als ich aber im Sommer 2011 den Virus das erste Mal unter die Lupe genommen hatte, gab es aber nichts brauchbares im WWW und ich dachte mir, dass ich mit diesem Artikel ein paar Geschädigten weiter helfen könnte.

          Der Spendenbutton von Simon ist eine klasse Idee und gehört auch auf seine Seite. Simon und ich (Daniel) kennen uns nur durch ein paar Mails und durch die Kommentare hier.

    • @ ines

      Zitat:
      „Vielen Dank für die Hilfe. Ich hoffe, der Fall ist jetzt erledigt. Oh man, meine Nerven.. :)! Respekt mit vieviel Geduld und Mühe Sie sich hier alle´Fragen widmen.“
      -> Ich versuche halt mal wieder das Unmögliche…den Leuten helfen ihre Systeme wieder zu bekommen und danach hoffentlich daraus gelernt zu haben und alles versuchen soweit als Möglich abzusichern und zu sichern (Backup).

      Zitat:
      „P.S.: Warum befindet sich der Spendenbutton eigentlich nicht auch auf dieser Seite (z.B. beim Kommentarfeld)? So findet man diesen ja nur durch Zufall…“
      Auf dieser Seite befindet sich zumindest mein Spendenbutton nicht, da dies das BLOG von Herrn Daniel Weihmann ist und meine Seite ja nur eine (wenn auch selbstständige) Erweiterung ist.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  27. Hallo, Simon

    gestern habe ich auf meinem Netbook, eigentlich nur aus Langeweile, Avira aktualisiert und danach das Systemprüfen lassen. (Ich schreibe diesen Kommentar von einem anderen Computer.)

    Gefunden hat er PHISH/Stealing.B, an 11 Positionen. Ob PHISH ein Vorsatz von Avira ist, weiß ich noch nicht.

    Eigenartig ist, daß ich gar nicht im Internet unterwegs war, ich hatte lediglich Firefox geöffnet, um die Einstellungen zu überprüfen.

    Peter

    • @ Peter Zeller

      Also zum Thema „war nicht im Netz unterwegs“ würde dann nur passen, das noch (irgendwie/irgendwann) noch was nachgeladen wurde. So sehe ich das zumindest aktuell.

      Zu „PHISH/Stealing.B“ habe ich noch nicht wirklich was gefunden, außer das Avira es in seine Liste mitaufgenommen hat.
      Leider aber sind diese selbst noch eine Erklärung „was es ist“ schuldig geblieben.

      Phish würde meines Erachtens für Phishing stehen…also abfischen der Daten/Eingaben.
      Stealing geht somit in die selbe Richtung…stehlen von Daten.

      Im Zuge dessen gilt somit am ehsten wohl leider ein Teil dessen:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-24#comment-5226

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  28. hey leute,ich hab da ein problem und zwar bin ich nicht so der pc profi und habe mir jetzt diesen trojaner eingefangen und habe wie oben beim hochfahren f8 gedrückt,da kommt aber anstatt des oben beschrieben bildschirms ein blauer bildschirm,wo steht boot device und jetzt habe ich echt keine ahnung wie ich weiter machen muss!bitte helft mir.mfg katha

    • @ katha

      Tut mir leid das ich erst so spät zum antworten komme. Bin aber erst vor einigen Minuten nach Hause gekommen und brauchte erst mal was zu Essen.^^

      Das was Du jetzt siehst, ist erst mal nur die Auswahl wovoin der Computer eigentlich „Booten/Starten“ soll. Dabei handelt es sich somit dann in der Auswahl um die Festplatte von der gestartet werden soll (in diesem Fall).
      In der Regel sind die ersten beiden sTarteinträge die Festplatte (HDD) und das CD/DVD-Laufwerk.

      Um es einfach zu sagen:
      Im 1.ten Schritt starten von der Festplatte (HDD)
      Im 2.ten Schritt drücke sofort dann wieder mehrfach F8, denn dann kommt der gewünschte Bildschirm mit der Auswahl des „Abgesicherten Modus“.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  29. Guten abend
    ich habe ne menge dinge über den trojaner gelesen und habe auf dieser seite mit abstand die besten tipps gefunden. allerdings möchte ich mal etwas anmerken was mir zum glück mein alter herr vor jahren schon empfohlen hat und das hat mir in dem fall das leben gerettet.
    ich habe für jeden mist auf dem pc ne partition und so auch für das system die is nur 10 gb groß (ich nutze noch xp) und mein vater hat mir acronis home edition gegebn
    ich hab mir dadurch ne menge arbeit erspart in dem ich einfach ein system backup zurückgezogen habe denn so wie ich das verstanden habe nistet sich der trojaner nur in systemdatein ein? (verbessert mich wenn ich falsch liege)

    dauerte ganze 10 min
    also wenn sich wer arbeit ersparen will kann ich das nur empfehlen^^

    greez
    daniel

    • @ daniel j

      Du bist nicht der erste der dies empfiehlt.
      Ich schrieb schon vor Monaten in meinem allerersten Post und auch auf meiner Erweiterungsseite steht es durchaus drin:
      Es geht nichts über eine Datensicherung.^^

      Jede Person die mich z.B. anschriebt, oder der hier geholfen wurde, wird von mir im endeffekt auch eine Datensicherung empfohlen.

      Der Clou dabei ist ja, es braucht nicht mal unbedingt ein Acronis-Programm gekauft werden.

      Sollte eine reine Datensicherung reichen, dann tut es bis Windows Vista Professional nämlich auch die Standard-Sicherung des Betriebssystems selbst. Man muss diese nur Konfigurieren.^^

      Ab Vista Ultimate oder Windows 7 Professional ist auch eine „Complete-PC Sicherung“ möglich.
      Es wird damit ein VHD-Image erstellt, welches sich theoretisch nicht nur auf dem selben PC 1zu1 wieder herstellen ließe, sondern auch als Virtueller Computer nutzbar ist und auch (so die Theorie zumindest) auf komplett anderer Hardware wieder nutzbar wäre.

      Ich weiß – nur die „Complete-PC Sicherung“ ersetzt das Acronis-Image in Sachen 1zu1 Backup.

      Für alle denen aber nur eine einfache Datensicherung reicht, reichen die Windows internen Programme (auch in WindowsXP) vollkommen aus. :-)

      Die BKA-Ransomware greifte in den ersten Varianten nur die explorer.exe an und infizierte diese.
      Neue explorer.exe besorgt, ausgetauscht, Spuk vorbei.
      Neuere Varianten setzen neue Dateien ins System. Bislang aber wurde noch keine weitere > Systemdatei < außer der explorer.exe hier durch die Ransomware "infiziert".
      Zu den bisherigen Dateien siehe Punkt P14.1.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  30. Also, ich hab zwar kaum ne Ahnung von solcherlei Dingen, aber ich habe nach Anzeige dieses „Bundespolizei“-Banners meinen Rechner funktionsfähig gehalten, in dem ich den Herunterfahren-Knopf gedrückt habe und anschließend auf abbrechen geklickt habe. Der Rechner funktionierte dann wieder wie normal. Suche mit Antivir und Avira DE-Cleaner hat nichts gebracht. Jedoch hat Malware-Bytes vier infizierte Dateien gefunden. Die habe ich gelöscht, das System neugestartet und jetzt läuft alles… nach dem Daten sichern ist es wohl trotzdem besser das System neu aufzuspielen…

  31. Hey
    Seit 2 Tagen ist der Virus drauf, hab schon versucht ihn zu entfernen. Allerdings steht bei Shell, wo eigentlich C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe) stehen sollte steht bereits explorer.exe
    Was kann ich tun…?

    • @Anabel: Schau mal oben im Beitrag. Dort steht, dass wenn dort bereits explorer.exe steht, zu tun ist. Am besten klickst einfach mal hier!

    • @ Anabel

      Wie Daniel schon schrieb. Schau Dir speziell mal die Punkte P14 und P14.1 an.

      Bei den meisten mittlerweile auftretenden Varianten kann Dir damit geholfen werden.

      Sollte dies nicht gehen, o ist eventuell auch Punkt P24 eine Möglichkeit.

      Weiterhin stehe ich auch per Mail (soweit als möglich) zur Verfügung.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  32. Hallo,

    erst mal riesen Dank für die tolle Unterstützung! Leider habe ich das Problem, dass ich mit der Anleitung oben nicht weiterkomme. Ich nutzte Windows7 64Bit in der regedeit komme ich bis zu …\CurrentVersion\ dann habe ich dort leider keinen Ordner Winlogon! Muss ich bei Win7 an einer anderen Stelle suchen???

    Viele Grüße
    Martin

  33. sorry – hab WindowsNT übersehen.

  34. Ich habe das selbe Problem seit gestern Nacht.
    Und mein Laptop wurde erst vorgestern geholt :-)
    Das heisst ich habe nix wichtiges drauf und kann formatieren und neu installieren.

    Aber ich versuche es trotztdem noch mit den diversen hier erklärten Methoden es zu löschen.

    THX

  35. Hallo @ Alle
    Das ist kein kleines Problem.

    Es dürfte sich um diesen Kameraden handeln. -> http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Blacole

    Die ganze Löscherei beseitig nur die Kopien und Symtome der Malware. – Je nach Variante –

    Nehmt den Rat von Simon ernst,
    – Daten sichern mit einer Live-CD usw.

    Tschau

    • @ Oldi-40

      Habe für die eine bekannte DLL-Datei auf meiner Seite schon einen passenden Link unter P14.1 gehabt.
      Nun habe ich für die andere DLL-Datei noch deinen Link hinzugefügt.
      Danke für den Hinweis!

      @ ALL
      Tatsächlich kommt es immeröfter vor, das bei der Variante mit „.DLL-Datei auch ein Syp-Trojaner dabei ist.
      Heißt, das alle Tastatureingaben ausgelesen wurden oder sogar noch werden.
      Daher wie ich hier schon schrieb (und es auch auf meiner Seite steht):
      „Weiterhin wird DRINGEND empfohlen sämtliche Passwörter zu ändern, denn die vermeintliche BKA-Software enthält in vielen Fällen auch eine Keylogger-Funktion. Da ich nicht genau weiß ob alle Tasteneingaben oder nur die im Zusammenhang mit der BKA-Software mitgeloggt und versendet werden, empfehle ich ALLE Passwörter an einem anderen Computer zu ändern (Anmeldung am System, Mailkonten falls Webmail wie GMX etc. genutzt werden, Onlinebanking, etc.).“
      >>> Siehe dazu Punkt P07 auf meiner Seite.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Hallo Simon

        1. es gibt verschiedene Varianten.
        2. die neuen Varianten sind gepackt und obfuscate, -> http://de.wikipedia.org/wiki/Obfuscator

        Die entpackten Dateien sind kleiner als der Download.
        – Was wird noch entpackt.?
        – und wohin, das ist die Frage.

        Tschau

    • @ Oldi-40

      Leider verstehe ich mit Außnahme des P1 nicht, was Du mir/Sie mir damit sagen willst/wollen.

      Zu P1 ist klar, denn es sind aktuell gezählt (von mir, Rechenfehler inbegriffen.^^) 9 oder 10 Varianten.

      „Zitat:
      2. die neuen Varianten sind gepackt und obfuscate, -> http://de.wikipedia.org/wiki/Obfuscator

      Die entpackten Dateien sind kleiner als der Download.
      – Was wird noch entpackt.?
      – und wohin, das ist die Frage.“

      Kann man mir das nochmal genauer „erläutern“?
      Ich verstehe gerade nicht was „neu“ ist?!

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  36. also ich habe den virus mit der „kaspersky Rescue Disk“ wieder hinbekommen… aber nach 60 tagen hatte ich es wieder, aber in neuer form drauf!!! wie kann ich mich kostenlos davor schützen um nicht ständig stunden bei der reparatur zu verbringen?

  37. also ich habe den virus mit der „kaspersky Rescue Disk“ wieder hinbekommen… aber nach 60 tagen hatte ich es wieder, aber in neuer form drauf!!! wie kann ich mich kostenlos davor schützen um nicht ständig stunden bei der reparatur zu verbringen? wäre über jeden tip dankbar…

    • @ shiwago

      Auch für Dich/Sie mal das was ich schon x-fach schrieb und jedem eigentlich am Schluß auch per Mail zusende (wenn man mich kontaktiert hatte):

      + Datensicherung einrichten (z.B. auf eine externe Festplatte)!
      Ob dabei mit der Windows internen Software gearbeitet wird, oder mit Zusatzsoftware bleibt Dir/Ihnen überlassen.

      + Das System mit Updates/Patches immer aktuell halten.
      Also z.B. Microsoft-Updates und nicht nur Windows-Updates, Adobe Updates, JAVA Updates, Firefox Updates, etc. – Halt zu allem was installiert ist, immer aktuell bleiben (sofern keine Software installiert ist, welche unbedingt z.B. einen alten Firefox als Arbeitsgrundlage voraussetzt!).

      + Eine Antiviren-Lösung nutzen und ggf. erst mal installieren.
      Meine persönliche Empfehlung ist dabei „Eset NOD32 Antivirus 5“ oder für einen Rundumschutz auch gegen Malware/Ransomware/Scareware/Rootskits/Pornware/Spyware die komplette Suite „Eset NOD32 Smart Security 5“.
      Hinweis: Egal was genommen wird…KEINE Lösung ist 100% sicher! Was von Menschenhand gemacht, wird auch von Menschenhand wieder geknackt.
      Hinweis 2: Es kann auch eine kostenfreie Lösung sein, z.B. Avira AntiVir, AVG Antivir, etc., dort aber kann es z.B. passieren das man mal eben ein Update nicht so schnell bekommt und/oder man hat halt auch meist keinen Support vom Hersteller.

      + Und für alle ganz Sicherheitsbewussten:
      ALLE Passwörter des Systems/Onlinebanking/etc. an einem anderen Computer ändern.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  38. Hey!
    Mein Problem liegt darin, dass sich der neue Wert „Explorer.exe nicht speichern lässt!
    Und der alte Wert als Pfad lässt sich nicht finden!
    Kann mir jemand helfen?

    Gruß Paul

    • @ Schwarzp

      Schauen Sie/schaue Du doch mal hier in das Posting:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-24#comment-5404

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  39. Hallo,

    möchte nur mitteilen das ich gerade dabei bin den Laptoop meiner Tochter zu säubern. Jetzt kommst es sind sage und schreibe 149 dubiose *.exe-xxxxxxx.pf datein. im ..\windows\Prefetch ordner.
    Ich bin IT Professional habe bei meinen Kindern Sophos enterprise drauf ,Ohne Admin Rechte( leider kennen die Kinder das Adminkennwort…zwecks Java Update)war ne Vertrauenssache…und unfehlbAR IST NIEMAND;-)

    bin noch am Säubern.. Achso im Autostart des Users stand die 0.0000……..exe

    • @ Hofi

      Na das hat sich aber ein schönes Ei ins Nest gelegt.^^
      Bei 149 *.PF-Dateien und mindestens einer *.EXE-Zahlenkolonne würde ich aber das System nicht einfach so nochmal scannen.
      Aber das sollte ein IT-Professional wissen. :-)
      (Und das war jetzt nicht böse gemeint, also nicht falsch verstehen!)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • hmmm…ich weiß, habe auch im abges. Modus da nur nachgeschaut,sicherer noch die Fotos von der Fotografin und dann neuinstall.
        das Teil hat sich am 30.12.11 eingenistet,die Kleine muss das Adminkennwort eingegeben haben,(sagt es aber nicht ;-) ..)B.Kontensteuerung war auf höchster Stufe.Tja und trotzdem..passiert.Übrigens selbst nach (testsystemwiederherstellung) schreibt das Teil weiter schöne xxxx.exe-xxxxx.pf—-Lan aus. Ja und nochwas,das Teil legt den Dienst vom Sophos Antivir lahm und quitiert den Start mit zugriffsfehler…

        ich hoffe ich trage zu deinen Informationen etwas bei ;-)

  40. hey vielen dank für diese tolle seite, bin echt kein pro darin, aber dank der seite hab ich das wieder hinbekommen ;)
    hab systemwiederherstellung gemacht und dabei hat er mir denn angezeigt das im system32 eine dll.datei umbenannt wurde und diese war auch diese dumme trojana :D

    also vielen dank ;)

  41. Hey Leute,
    ich habe leider auch den Bundespolizei Trojaner und ihn versucht nach eurer Anleitung zu entfernen. Nur leider komme ich noch nicht einmal in den Abgesicherten Modus mit Eingabeforderung. Der Bildschirm wird nur schwarz und nach kurzer Zeit bin ich wieder in dieser Auswahlliste und kann Windows nur normal starten. Ich kenne mich leider nicht so gut mit PCs aus und hoffe ihr könnt mir helfen :)

    • @ TraderJoe

      Geht gar keiner der drei „Abgesicherten Modus“-Varianten?
      Alternativ (1) – steht eventuell ein Benutzer/administrativer Zugang unter dem normalen Windows zur Verfügung der NICHT angegriffen ist?

      Alternativ (2) – Ein Brenner für eine Antiviren-BootCD/DVD vorhanden?
      (Siehe dazu Punkt P12 auf meiner Seite.)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  42. Das Unglück erwischte mich zweimal in genau zwei Wochen.
    Ich hatte, wie viele andere, den BKA-Troja…
    Ich konnte ihn Erforlgreich von meinen Bildschirm entfernen (Kurz vor dem Abmelden auf „Abrechen“ gedrückt), trotzdem kam er immer nach dem Neustarten wieder. Nach 4-5 Tagen verabschiedete er mich freundlich mit einen „Goodby-Fenster“ (Kein Spaß)… Und seid dem hatte ich auch nichts mehr von ihm gehört.
    Leider wusste ich nicht, dass der Virus nicht ganz verschwunden ist, sodass ich schon seit 6 Tagen einen Virus (Angeblich Gefällschte-Windows-Kopie) im abgesicherten Modus habe, sodass es schwerer ist ihn zu entfernen.
    Ich habe mich auf die Suche gemacht, was zu finden, um ihn endgültig zu entfernen. Da bin ich auf das hier gestoßen. Nun meine Frage: Ich bin bis zum Task-Manager gekommen nur weiß ich nicht was ich jetzt mit der „Shell“ – Datei (o. was das auch immer ist) anstellen soll.

    MfG.

    • @ Paolô

      Okay, also das „Goodbye Fenster“ ist mal was ganz neues.
      Ob das jetzt eine komplett neue Version ist oder was da jetzt „nicht stimmt“, kann ich allerdings nicht sagen (bislang).

      „Shell“ ist keine Datei, sondern ein Registrywert um es mal so auszudrücken.
      Die Registry wird z.B. über „START -> Ausführen -> regedit -> [OK] Button“ aufgerufen.
      Mehr dazu steht aber auch oben in der Anleitung, oder auf meiner Seite.

      Weiterhin schaue Dir/schauen Sie sich mal folgendes Posting an:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-24#comment-5534

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  43. Hallo ich hoffe ihr koennt mir helfen ich habe eine meldung bekommen wegen Bundespolizei das mein computer gesperrt ist.
    und dann habe ich nach der anleitung das gemacht wie es dort gestanden ist aber mit das hier habe ich so probleme :

    9. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe
    ersetzen.

    Dieser punkt kann ich leider nicht machen weil es ist schon Explorer,exe da musste ich leider nichts aenderen
    habe dann mein Laptop normal gestartet und hat wieder funktioniert ist der immer noch drauf das ist meine frage und wenn ja wie kann ich denn loschen ich habe Windows 7 habe dann auch noch Avira Antivirus gleich gestartet aber es hat nichts gefunden

    • @ schmidtm

      WEnn er nach einem Neustart einfach „weg“ war, ist er mit sicherheit nur „inaktiv“.
      Zur eigenen sicherheit würde ich – mindestens – einen Offline-System mit einer Antiven-BootCD/DVD UND einen Systemscan mit Maleware Antibytes (im Abgesicherten Modus) empfehlen.

      Sollten sich dabei Dateien finden, werden es mit Sicherheit welche sein die sich unter P14 verstecken und in etwa P14.1 heißen.

      Sind es andere, bitte nochmals zurückmelden, denn dann handelt es sich evtl. um eine neuere (unbekannte) Variante.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • @simon

        Hallo und Danke fuer die Antwort wie Macht mann das hier ich versteh nur Bahnhof
        Offline-System mit einer Antiven-BootCD/DVD UND einen Systemscan mit Maleware Antibytes (im Abgesicherten Modus) empfehlen
        Woher bekomme ich das hier und werde mal deine Antwort nachgehen Vielen dank

      • Hallo Ich bin es nochmal
        Ich habe 4 und a halb stunden auf die suche gemacht aber ohne erfolg es sind keine datien wie in P14 oder 1 gefunden geworden.
        Aber jetzt ist es anderest, jetzt ist es so an anfang ist es so das es wie Normal startet,Aber dann nach ein paar Sekunden Spaeter verschwienden meine Ordner und meine Info Leiste unten von Meinem Desktop so dass man Nur das Windows loggo Dort ist Sondern Nichs mehr weil alles Verschwunden ist also er ist Noch Drauf HHHmmmmmmmmmmm Jetzt bin ich Ueberfragt was ich noch machen muss wahrscheinlich mein einzieger ausweg ist Die festplatte ganz Loeschen.
        Aber da ist das zweite Problem damit Kenn ich mich auch Nicht so gut aus

    • @ schmidtm

      Habe zu schnell geklickt ohne zu schauen…siehe hier:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-24#comment-5612

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  44. @ Alle
    Das geht nicht mit Löschen, leider.

    Es gibt verschiedene Varianten der Malware und Verbreitungs-Wege.

    Ein PC-Spezi mit seinen 3 Scannern ist auch nicht die Lösung, kostet nur 80 €.

    Tschau

    • @ Oldi-40

      Darf ich erst mal den Kontext erfahren?
      Was geht wann wo wie nicht?

      Im übrigen Kostet ein IT-Dienstleister zwischen 65-120€uro die Stunde.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • @ Simon

        >Darf ich erst mal den Kontext erfahren?
        >Was geht wann wo wie nicht?
        Ja ;-)
        Hier wird das Löschen empfohlen.

        Es gibt verschiedene Varianten der ScareWare.
        ———————————————————–
        Besitzer von 64-Bit Windows sehen den Screen einmal, ebenso Linux-User. – das wars –
        – Was sollen denn die Leute löschen ?
        ———————————————————–
        Andere Varianten sind verschleiert und gepackt.
        Die ScareWare kopiert sich in verschiede Ordner, die dann erkannt werden.
        – Hier werden nur die Kopien gelöscht.

        Tschau

  45. „…bekommt auch der Laie hin..“

    Die Leihe – Der Vertrag über etwas das verliehen wird.

    Der Laie – Jemand der zum Volk gehört. Bis heute im kirchlichen Sinne jeder der nicht von Beruf her Geistlicher ist. Eben kein Fachmann. :)

    Gruss

    ST

  46. Hallo.
    Ich scheine leider ein Leihe unter den Leihen zu sein und hänge bei Punkt 8. Bei mir heißt die Shell Datei schon Explorer.exe und ich verstehe leider die Hilfestellung von Simon dazu nicht. Was genau muss ich jetzt tun?
    Wäre Super wenn mir jemand weiterhelfen könnte.
    Beste Grüße

    • @ Malte

      Siehe hier:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-24#comment-5612

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  47. Hallo erstmal
    Ich komm hier nicht mehr weiter, also ich hab diesen bundespolizei virus auf meinem Laptop und ich hab hier dieses Schritt verfolgt alles lief gut, aber nun bin ich bei 8. hängen geblieben und zwar steht bei

    8. ..Sollte hier bereits “explorer.exe” stehen, dann zuerst die Hilfestellungen von Simon beachten (Punkt 8 sowie Punkte 1 bis 6).

    und bei mir standt schon explorer.exe dann hab ich versucht die Punkte 1 bis 6 zu machen, aber ich verstehe nich genau was ich tun muss
    Ich verstehe nicht genau wo ich zb. diesen Befehl eingeben soll…

    Kann mir vllt jmd kurz bzw etwas genauer beschreiben was ich nun machen muss?
    Wäre seeeehr lieeb :)

    • @ schmidtm

      Um es eventuel etwas abzukürzen…
      Gibt es die Möglichkeiten…
      1. Sich als Benutzer (vorzugsweise Administrativ) im normalen „Abgesicherten Modus“ oder im „Normalen Windows“ anzumelden?
      2. Mit mir per Mail in Kontakt zu treten?

      Frage: Ist in den bsiherigen Versuchen jedwege Möglichkeit des Internetzugangs bislang blockiert (Netzwerk, WLan, Bluetooth, UMTS)?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • es gibt eine email von mir das sie mit mir in kontakt zur treten

        Und ja ich habe noch zugang Ueber die Abgespeicherten Modus da habe ich 4 Und a halb stunden Verbracht um es zu suchen aber wie geschrieben Ohne erfolg

        Zur die Frage mit wlan ich habe es jetzt aussgeschaltet so das es Blockiert wird wenn ich denn Laptop einschalte

        Und mit dem Konntakt, ihre Simon link funktioniert schon aber ich kann nicht senden die nachricht

    • @ Alisha

      Trotz das es für „schmidtm“ bestimmt war, im Grunde gelten selbe Fragstellungen auch für Dich/Sie.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  48. Hi,
    also bei mir hakt es beim löschen der Datei und zwar kann ich den Pfad der in der Shell datei hinterlegt war (C:Dokumente und Einstellungen/user/Anwendungsdaten/5u4…exe) nicht finden.Versteckte Ordner Anzeigen hab ich aktiviert.Speziell den Ordner Anwendungsdaten kann ich nicht finden auch mit Suche nicht.

    Mit freundlichem Gruß
    Gabriel

    • @Gabriel,

      möglicherweise hat sich der Virus zur Systemdatei erklärt und könnte so infolge der Ordnereinstellungen geschützt sein.

      Also: explorer > extras > Ordneroptionen > Reiter Ansicht: das hier möglicherweise gesetzte Häkchen vor „Geschützte Systemdateien ausblenden (empfohlen)“ entfernen.

      Peter

    • @Gabriel

      … an der gleichen Stelle (Ordneroptionen) muß vor „Inhalte von Systemordnern anzeigen“ das Häkchen gesetzt sein.

      Peter

  49. Hallo erstmal
    also ich hab es irgendwie geschafft das sich dieser virus nicht mehr öffnet. Ich hatte erst das Problem das bei mir in shell „explorer.exe“ stand, deshalb hatte ich das „explorer.exe“ einfach entfernt, so das in dem Wert nichts mehr stand aber so konnte ich mich anmelden und statt diesen weißen bildschirm es erschien nur noch ein schwarzer bildschrim, dafür konnte ich aber den TaskManager öffnen und hab ein anti-virus system laufen lassn und alle schädlinge entfernt und heute habe ich wieder im sicherheitsmodus bei shell „Explorer.exe“ eingetragen und konnte nun mich nun mit erfolg anmelden ohne das dieser bundespolizei virus erschien.

    Nun meine Frage ich weiß das der virus nicht sicher weg ist denke ich mal, was kann ich jetzt tun um sicher zu gehen das er komplett weg ist? Muss ich dafür meine ganze Festplatte löschen und mein Laptop neustarten ?

    Wäre sehr dankbar für eine Antwort :)
    Und sry falls ich zu viele Fehler hab in dem Text oben, musste mich beeilen :)

    • Alisha,

      prinzipiell gibt es folgende Möglichkeiten:

      a) eigene Daten sichern, System plattmachen, neues system aufspielen, die eigenen Daten erst dann wieder aufspielen, naqchdem sie mit einem Virenscanner, zB Avira, gescannt wurden. Das dürfte die schnellste und u.U. sauberste Lösung sein.

      b) eine Systemwiederherstellung mit Datum Tage vor Auftreten des Virus versuchen. Danach Virenscan.

      c) Mit Windowstaste + [R] kommst du zu Ausführen. Hier msconfig eingeben, zu Reiter Systemstart gehen. Die Einträge hier sind: Systemstartelement, Befehl, Pfad. In der Spalte ‚Befehl‘ schauen, ob hier verdächtige Dateien geladen werden; auf Simons Hilfeseite sind viele dieser Dateien, soweit sie bekannt wurden, aufgelistet. Falls du einen oder mehrere solcher Einträge findest, brauchst du erstmal nur das Häkchen vor dem Eintrag entfernen. Unbedingt aber Befehl und Pfad immer notieren, weil du anschließend die Dateien suchen und löschen mußt, ebenso dann die Registry bearbeiten. Wie das geht, steht irgendwo bei Simon, falls nötig, kann ich dir das morgen schreiben.

      Peter
      P.S. Simon, ich hoffe, du bist mir jetzt nicht böse.

      • @ Peter

        Böser böser Peter…nein Quatsch warum sollte ich böse darauf sein.

        Es freut doch zu sehen, wenn es Leute gibt die sich damit beschäftigen, das hier alles immer mal wieder mitverfolgen und am besten dann selbst darauf so viel lernen können dass Sie selbst Rat geben können.

        Und da ich auch bislang nicht falsches in deinem Text lesen kann (glaube ich zumindest. :-) ), ist sowieso alles in Ordnung.

        Zu deinem Punkt C) meintest Du denke ich wohl folgenden Registry-Pfad:
        KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^[Benutzername]^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^[Programmname]

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  50. Hallo Simon, die letzten Stunden habe ich damit verbracht, mir deine und „befreundete“ Seiten anzusehen und die Bloggerkommentare durchzulesen: ich wollte nämlich diesen verfluchten Trojaner/Virus, der mich beschuldigt, ein pädophiler Terrorist zu sein, gern selbst löschen…. nun…weiblich, blond und völlig pc-unerfahren: Ich habe nun versucht was auf deiner Seite angegeben war, bin aber bereits daran gescheitert, dass die SHELL-Datei bereits explorer.exe hieß. Wie das mit dem Ersetzen ging, habe ich auch nicht ganz verstanden; abgesehen davon, dass ich nicht wusste, ob ich Windows 7 32 oder 64 hab…:( Nun, ich habe ein wenig rumgesucht und folgende Dateien gelöscht: perfc007, perfc008 perfc009 und perfstringbackup (alles Dateien die zur dubiosen Zeit auf meinen Rechner geladen wurden.)
    Nun meine eigentliche Frage: Ist damit jetzt Ruhe? Ich weiß, dass Ferndiagnosen schwer sind und bin dir schon jetzt unglaublich dankbar, dass du überhaupt bis hier hin gelesen hast..
    Auf jeden Fall kam seit dem Löschen nicht mehr der Bildschirm des vermeintlichen BKA. UNd Antivir läuft auch gerade durch.Tausend Dank!!!!!!!!!!!! Dir einen schönen Abend, über eine Antwort würde ich mich natürlich sehr freuen. Herzliche Grüße, Lisa.

    • @ Lisa

      *Sorry* das ich erst jetzt zum Antworten komme. Aber die Woche war einfach zu voll um neben der regulären Arbeit und diversen Hilfestellungen per Mail, auch noch hier vernünftig was tippen zu können.

      Ich vermute mal das deiner erster Satz eigentlich meinte „Ich habe mir Daniel Weihmanns Seite (BLOG) und befreundete Seiten (Simons Seite, also meine) angeschaut. :-)

      Bzgl. der explorer.exe und wie man rausfindet ob 32/64-bit und wie man das ersetzt bekommt, hätte eine Mail an mich gereicht.^^

      Die „perfc***“ Dateien kenne ich bislang persönlich nicht als schädliche Dateien. Soll aber nicht heißen, das diese nicht auch Opfer einer Infektion geworden sein können.

      Kommt drauf an was Du mit „Ist jetzt Ruhe?“ meinst?!
      Denn Nacharbeit gäbe es theoretisch durchaus.
      Dazu gibt es unter anderem zum Beispiel den Punkt P07 auf meiner Seite.

      Ich lese mir durchaus jeden Post komplett durch. Nur manchmal fehlt mir die Zeit zum Antworten. Oder aber es werden Fragen gestellt die entweder schon (gefühlt) tausendfach beantwortet wurde.

      Ich hoffe Du liest diese Antwort jetzt trotzdem auch noch.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.