Beitrag wurde zuletzt am aktualisiert

Bundespolizei Trojaner entfernen

Bundespolizei Virus / Trojaner entfernen

„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.

Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!

Schritt für Schritt Anleitung

Neue Varianten vom BKA-Virus (Bundestrojaner) im Umlauf! Alle Informationen + Videos zum Entfernen der Schadsoftware im GVU-Trojaner 2013 Beitrag, falls diese Tipps nicht zum Ziel – der vollständigen Wiederherstellung des Rechners – führen sollten

Die ersten Schritte bei Problemen dieser Art

Und auch wenn es verschiedene Varainten des sogenannten Bundespolizei Trojaners, gelten diese für alle Erpressungsversuche in der Cyberkriminalität!

  1. Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
  2. Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
  3. Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
  4. Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
  5. Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
  6. Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.

Anleitung zum Löschen des Bundespolizei Virus

Bundespolizei Virus - Bildschirm eines infizierten Windows PCs

Bundespolizei Virus – Bildschirm eines infizierten Windows PCs

  1. Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
  2. Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten

Windows im abgesicherten Modus starten

  1. Windows startet nun in einer Art Minimal-Konfiguration.
  2. Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
  3. Den Befehl regedit eingeben und [Enter] drücken
  4. Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
  5. Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
  6. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
  7. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
  8. [OK] klicken und das Registry-Fenster schließen [x].

Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.

Windows-Registry - Pfad zur jashla.exe

Windows-Registry – Pfad zur jashla.exe

Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.

Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).

Den Rechner jetzt ganz normal neu starten

Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.

Rechner auf Schadsoftware prüfen

Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus
, das hier gratis herunter geladen werden kann.

Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.


Was heißt, der Spuk ist „erst mal“ vorbei?

Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.

Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!

Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …

Sicherheitssoftware zum Schutz vor Angriffen dieser Art

Hier ein paar kostenpflichtige Software-Empfehlungen, die möglicherweise eine Attacke dieser Art verhindert hätten und vor zahlreichen anderen Bedrohungen aus dem Internet sowie Schädlingsverbreitungen durch E-Mails, Downloads, Datenaustausch usw. schützen:

Derzeit gibt es 10% Rabatt auf Avira Sicherheitslösungen. Informationen dazu hier im Blog im Beitrag Avira Gutscheincode 2014.

169 Kommentare zu "Bundespolizei Trojaner entfernen"

  1. Hey Leute,
    mit ein wenig Stolz kann ich sagen: Ich bin ihn los ^^

    Habe ein Win 7 64 Bit System.
    Die Lösung war verhältnisgemäß simpel.
    Ich habe auf meinem Laptop zwei Accounts. Über den Gast-Account und mit meinem Admin-Kennwort konnte ich den Task-Manager und sämltiche Systempartitionen zugreifen.
    Angewandt hab ich folgenden Lösungsweg:

    Über msconfig im Autorun-Menü den Haken bei allen seltsamen und nicht erforderlichen Sachen entfernt. Der Trojaner war leicht zu identifizieren – zumindest kam mir dieser russische Boot-Prozess doch seltsam vor.

    Dann den c\user\…\temp Ordner leeren.
    Er wird bei allen laufenden Prozessen eine Fehlermeldung ausgeben, dass es nicht gelöscht werden kann (wie zB der Mozilla Firefox Cache solang Mozilla läuft)

    Die störende Fehlermeldung mit dem gleichen Namen wie der im Autorun-Menü (wo ich den Haken entfernt hab) sagte, dass dieser Prozess im Editor gerade läuft.

    Der Rest war simpel: TaskManager starten, Editor-Prozesse finden, selbige beenden, erneut den Temp-Ordner leeren
    Nun war nicht nur der Haken sondern auch die Autorun exe verschwunden und ich konnte mein System wie gewohnt und ohne Probleme neu starten.

    Ich werd trotzdem nochmal nen kompletten System-Check vornehmen um zu schaun ob noch was störendes drauf is – aber bisher siehts nich so aus.

    Grüße
    Bene

    • @Bene: Bestens, wieder ein „Zahlungsverweigerer“ ;-)

      Bist sozusagen wie hier beschrieben verfahren.

    • Hallo,
      Ich habe auch so einen Virus auf meinem Laptop nur ohne BKA sondern ist bei mir jedes virusprogramm aufgelistet. Kann mir jemand einen Tipp geben wie ich das wegbekomme ? Habe ein Sony Vista mit Windows 7

      • @ Sarah

        Wie weit bist Du mittlerweile gekommen?
        Neuer Zwischenstand oder immernoch alles „im Eimer“?

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • Habs auch so gemacht mit dem gast account, dann aber einfach über system wiederherstellung und fertig:)

      • @ bernd

        Dies funktioneit nur leider nicht (mehr) bei allen Varianten. Und bei den ganz neuen Teilen werden diese Wiederherstellungspunkte entweder abgeschaltet oder direkt mit infiziert.^^

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

      • Hab heute morgen das gleiche Problem auf dem Kinderaccount unseres Computers entdeckt. Mein Administratoraccount ist o.k. in der Datei ist des shell.exe schon drin. wie geht es nochmal ihn loszuwerden?

      • @ yvi

        gehe doch bitte wie oben beschrieben mal auf meine Seite.
        Dort findest Du/finden Sie die Piunkte P14 und P14.1 die Dir/Ihnen sicherlich, bzw. hoffe ich, die Lösung bringen werden.

        Sollten dennoch Fragen bestehen, bin ich auch per Mail erreichbar.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • Michael Wessels | 17. Februar 2012 um 20:09 | Antworten

      Hallo,

      ich habe beim Vorgehen laut den 10 Schritten wahrscheinlich ein Fehler gemacht: Ich habe die Shell-Datei zu früh gelöscht bevor isch sie durch explorer.exe ersetzen konnte. Dadurch bin ich den Trojaner natürlich nicht losgeworden. Kann mir da jemand weiterhelfen?
      Lieben Gruß
      Michael

      • @ Michael Wessels

        Wurde der komplette Wert in der Registry gelöscht, oder nur der Inhalt?
        Wenn eines der beiden Dinge der Fall ist, könnte eventuell noch Punkt P09 meiner Seite weiterhelfen.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • Bin genau nach Anleitung gegangen. In der Registry unter
      shell stand Explorer.exe, konnte also nichts löschen und ändern.
      Hab dann im abgesicherten Modus ein vorhergehenden Systemwiederherstellungspunkt gesetzt und ausgeführt.
      Danach war der Spuk vorbei.

      • habe das gleiche problem, kannst du mir bitte erklären (bin Laie) was das heisst: ein vorhergehenden Systemwiederherstellungspunkt setzen?

      • @ sylvi

        Schaue Dir/schauen Sie sich dazu bitte mal Punkt P18 meiner Seite an.

        Ansonsten könnte man evtl. sowas auch per Mail regeln.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • Bei mir ging es noch einfacher. Ich habe den PC mit einem dead-lock runter gefahren und dann wieder hoch. Dann war das BuPo Bild weg.
      Dann habe ich malwarebytes als freeware aus dem Netz geladen und laufen lassen.

      http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html

      In weniger als 5 Minuten war der Trojaner in einer reg Gatei gefunden. Ich konnte ihn löschen und der Taskmanager funktionierte wieder

    • Bei mir ging es noch einfacher. Ich habe den PC mit einem dead-lock runter gefahren und dann wieder hoch. Dann war das BuPo Bild weg.
      Dann habe ich malwarebytes als freeware aus dem Netz geladen und laufen lassen.

      http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html

      In weniger als 5 Minuten war der Trojaner in einer reg Datei gefunden. Ich konnte ihn löschen und der Taskmanager funktionierte wieder

      • Kannst du mir erklären, wie du den PC mit einem dead-lock heruntergefahren hast? Ich dachte immer, bei einem Dead-Lock (deshalb auch „dead“) hängt sich alles auf, weil quasi irgendwas in einer „Endlosschleife“ hängt.

      • @ Gerd

        Da muss jetzt selbst ich mal nachhaken… Wie hast Du/haben Sie diesen Deadlock provoziert/initiiert?

        Ein Deadlock entsteht ja eigentlich immer dann, wenn ein Prozess versucht eine Ressource zu nutzen die ein anderens Programm auch hat/haben will und die beiden dieses „will aber ich haben“ Spielchen einfach unendlich lange machen würden.

        Weiterhin, kannst Du/könnden Sie mir bitte mal entweder die LOG-File oder zumindest den Dateinamen mit Trojanerdefinition per Mail zukommenlassen?

        Danke Dir/Ihnen.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  2. Bernd Gruczinski | 26. Januar 2012 um 22:51 | Antworten

    Leider bin ich maßlos von Kaspersky enttäuscht, bereits 3 Rechner wurden von dem Übel gekapert. Kaspersky hat auch anschließend nichts entfernt.
    Supersoftware zum Superpreis und nur MÜLL.
    Auch Computerbild hat nicht reagiert !
    Warscheinlich gibt es garkeine <viren und Trojaner, alles von solchen Firmen erfunden ??
    Spaß beiseite, bei einer gekauften neuen Virensoftware darf das einfach nicht passieren .
    Freundlichst
    Bernd

    • @ Bernd Gruczinski

      Das übel liegt aber, sofern es sich nur um das reine AntiVirus-Produkt von Kaspersky handelt, nicht mal an Kaspersky selbst.
      Zumindest nicht in den meisten der bekannten BKA-Ransomware Varianten.
      Mehr dazu siehe Punkte P19 – P21 auf meiner Seite.
      Und warum dies selbst bei einer neuen AntiViren-Software passieren kann, erklärt sich damit, hoffe ich, von selbst.

      Kurze Frage: Warum sollte die Computerbild „reagieren“ und worauf genau?
      Mal nebenbei bemerkt, sehe ich persönlich die ComputerBild immernoch nicht als wirklich ernstzunehmende Zeitschrift an.

      Das es solche Fälle gibt, wo ein ehemaliger Mitarbeiter einer Sicherheitsfirma tatsächlich so was programmiert, sind vorhanden. Es sind aber (zumindest soweit als bekannt) sehr sehr seltene Fälle.
      Bei dieser Art von Ransomware (neuere Varianten enthalten auch Trojaner und evtl. Viren!) ist zumindest der Ursprung aber wohl nicht dort zu suchen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Also ich hatte heute das selbe Problem mit dem BKA-Trojaner und mein Kaspersky hat ihn ophne probleme identifizeirt und gelöscht.

      • @ Klaus

        Wurde danach ein Offline-Virenscan und ein Scan mit Malwarebytes (den im Abgesicherten Modus als Admin vorzugweise) gemacht?

        Ich vermute nämlich mal das Du/Sie entweder die Kaspersky-Suite hast/haben und nicht nur den reinen Antivirus, oder das noch Teile der Ransomware auf dem System sind und nur die Schadkomponenten entfernt wurden (sofern alles gefunden wurde).

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • Wer benutzt im 21.Jahrhundert noch „Kaspersky“ und KAUFT diesen Sondermüll auch noch?? Dieses kasperleprogramm fürchtet sich ja vor sich selbst und und findet nicht mal einen Elefanten in einem leeren Zimmer!!! Meine Nachbarin, 54, gehbehinderte Justizangestellte,- steht mit Sicherheit nicht auf diese Childpornschei….. hat dieses Doofprogramm auf Ihrem Rechner. Vor 3 Tagen „leuchtete“ auf Ihrem Pc die russische Drecksmitteilung auf das Sie „Kinderpornoseiten“ aufgerufen hätte und nun 100€ blechen müsse, da sonst der Rechner gesperrt wird und sonstiges hirnloses Blabla. Nun denn,- hab´Ihr erstmal einen vernünftigen Virenkiller draufgeladen,zusätzlich malwarebytes durchlaufen lassen.- und weg war der Russendreck. Und die Moral von der Geschichte,- Finger weg von kaspersky, hat noch nie was getaugt, taugt nichts und wir auch in Zukunft immer irgendwelchen Hinterhofhackern hinterher hinken!!!!!!!!!!!! MFG

      • Unglaublich, welch unqualifizierten Müll manche Leute hier vom Stapel lassen.

        Warum Kaspersky diese Schadsoftware nicht erkennt ist Kaspersky genauso wenig vorzuwerfen, wie die Tatsache, dass in Baumärkten Hammer und Säge gekauft werden kann, obwohl man damit doch Menschen umbringen kann.

        Vieleicht erst mal etwas informieren und dann meckern bzw. eben nicht mehr mackern.

      • @ Gerd

        Ich lasse mich darüber jetzt mal nicht weiter aus…dies tat ich schon oft genug und habe ich auch auf meiner Seite schon getan.

        Soviel sei aber gesagt: „Eine Unqualifizierte und wohl vor allem unüberdachte Aussage.“ – Meiner Meinung nach.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • Eine andere Frage… Wieso zum Geier sind 3 Rechner bei Dir infiziert? Nicht alles anklicken ;) Mit ein wenig Verstand kann man sogar ganz auf Antiviren Software verzichten… Bin seit Jahren Virenlos und das ohne Antivirenproggi… Natürlich check ich mein System regelmäßig mal durch, sonst könnt ich gar nicht wissen, das dem auch so ist. Nur mal um anderen Kommentaren vorzubeugen…

      • @ Markus

        Ein Wort dazu will ich aber auch loslassen:
        In der Theorie kann man vieles. Und nur weil es in der heutigen Zeit wohl tatsächlich eher dem Glück obliget nicht infiziert zu werden, it es aus meiner Sicht noch lange kein Grund gar keinen Virenscanner installiert zu haben.

        Meine Aussage zu Freunden/Bekannten/VErwandten und teilweise auch fragenden Kunden – Es ist und bleibt naiv sich ohen irgendeinen Schutz im Netz zu bewegen.
        Mann muss ja keinen Schutz kaufen, ein Schutz ala Microsoft Security Essentials als MINIMAL Schutz ist jedem/jeder User/Userin zu empfehlen.

        Ich höre mir auch gerne weitere Meinungen dazu an, solange man mir nicht kommt mit:
        „Alles Quatsch, hast ja keine Ahnung. Willst Dich ja nur als Allesbesserwisser darstellen.^^“

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  3. Hallo Bernd,vieleicht solltest du neben Windows,es mal mit einem Linux Einsteiger BS versuchen und dort drüber deine Onlinaktivitäten nachgehen ,das hilft mehr wie Kaspersky in mom glaub mir.

    Gruß

    • @ Rene

      Rein für Onlineaktivitäten sich aber ein zusätzliches Betriebssystem, von dem man schlimmstenfalls sogar gar keine Ahnung hat, zu installieren, ist zwar eine Idee aber wohl nicht die beste Lösung.
      Klar kann man sich jetzt lange darüber streiten was wieso warum besser ist.

      Aber für nur mal eben schnell was online nachschauen ein neues Betriebssystem (von mir aus als Zweitsystem) zu installieren finde ich persönlich „nicht praktikabel“.

      Entweder kompletter Umstieg – was aber zumeist wegen der eingesetzten Programme nicht ohne Probleme geht, oder sein System sauber und vor allem AKTUELL halten und Backups haben/machen.
      Dann kann theoretisch kommen was will, man sollte geschützt genug sein oder halt das Backup haben. :-)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Rene hat Recht, eben aus diesem Grund surfen meine Eltern nur noch über Ubuntu. Man soll niemals nie sagen, aber ich denke die Wahrscheinlichkeit, dass sie es schaffen, dort einen Virus/Trojaner zu installieren ist sehr gering.
        OpenOffice gibt es dort genauso und außerdem ein Mail Programm, mehr brauchen sie sicherlich nicht.
        Computeranfängern (z.B. auch bei meinem Opa) kann ich es nur empfehlen.

    • Bernd Gruczinski | 28. Januar 2012 um 21:11 | Antworten

      Ich möchte niemanden zu nahe treten, ich selbst habe mit PC’s Keypro mit CPM-System angefangen. Ich weiß seit über 25 Jahren über den PC Bescheid, wenn allerdings ein Flug zum Mars funktioniert, warum nicht einen Trojaner killen ?? Heute ist wohl jeder ein Computerfachmann, der Windows benutzt. Ich selbst bevorzuge OS2.
      Ein Rechner mit DOS ist seit 1996 bei mir in Benutzung
      und funktioniert einwandfrei !! Schneller als Windows.
      Computerbild antwortet nicht, weil dort kein Computerfachmann mit Erfahrung sitzt.

      Mit freundlichen Gedankenaustausch
      Bernd

      • @ Bernd Gruczinski

        Bin ich Ihnen etwa auf die Füße getreten?
        Oder richtet sich dies Posting an Rene ?

        Im übrigen ging es ja auch eigentlich nicht darum wer wann wo welches Syswem nutzt bzw. nutzte.

        Ich selbst kann nicht auf eine solange Zeit zurückblicken und bin immer wieder erstaunt was man doch damals so für Systeme hatte und wie „einfach bzw. eher schwierig“ diese sind/waren.

        Mein erstes System hatte MS-DOS und kurz danach Windows 3.11 for Workgroups.
        Darauf folgte Win95 (glaube B-Version), Win98, Win98 SE, WinXP, WinVista, Win7, Win8 Dev. Prev..
        Zusätzlich waren im Betrieb Suse Linux Enterprise sowie eine Virtuelle Maschine mit OS/2. Im Einsatz sind weiterhin diverse Debian Server (ohne GUI!), diverse virtuelle Microsoft Server (für Tests) und ein virtuelles System mit Mac OS X (ebenfalls für Tests).

        Es ging, zumindest mir, eigentlich eher um die Machbarkeit eines Dualbetriebs von Windows/Linux-Systemen für den „normal User“.

        Ich will mich eigentlich mit niemandem Streiten um „was ist besser“ oder „wer kennt sich besser aus“.
        Denn das ist immer eine Frage die nur dann zu klären wäre wenn bei den betreffenden Personen die selben Probleme auftreten und einer das Problem nicht oder später gelöst bekäme.

        Da wir dies hier aber schlecht abbilden können, muss man sich schlicht darauf verlassen das ein Posting entweder eine qualifizierte Lösungshilfe bietet, oder man tut es direkt als „Müll“ ab und ließt weiter und hofft auf besseres.

        Hoffe damit alles in ein etwas besseres Licht gerückt zu haben…

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • @ Tina

      Das Problem wird weniger sein so ein Linux zu installieren. Und das es dort OpenOffice oder das vermutlich bessere LibreOffice gibt, ist auch klar.

      Für viele NormalUser ist es aber eben doch keine echte Alternative, da man zwischen der Arbeit und dem Internet oftmals hinundher wechseln muss und eben nicht nur mit Office arbeitet. ;-)

      Und Spieler sind heutzutage leider auch großteils noch auf extra Software angewiesen, was auch nicht gerade günstig bzw. komfortabel ist.

      Man könnte natürlich das Linux virtuell laufen lassen, aber das erfordert zumindest auch dafür wieder eine gewisse Grundkenntnis davon.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  4. hi

    habe in der unter dem kompletten pfad (hkey_local_machine….) in dem auch die shell datei ist, nichts ungewöhnliches gefunden.
    Ebenfalls habe ich auch schon versucht über msconfig verschiedene (mir persönlich ungewöhnliche) programme beim autostart zu deaktivieren und es hat bisher nichts gebracht. Wo könnte noch so eine fehlerhafte Datei in der registry sein?
    Gibts zur zeit hinweise unter welchem namen diese gerade im umlauf ist und in welchem ordner sie dann auch zu finden ist?

  5. Bin im abgesicherten Modus unter win7 im Registrierungs-Editor gelandet, direkt bei Shell aber auch dem Wert explorer.exe Hin und her sollte dieser Simon weiterhelfen.Tut er auch, mein Problem ist zu simpel um verstanden zu werden, was sollte auf dem Stick sein der dort beschrieben wird um die explorer.exe zu überschreiben? gruß Kindskopf

    • @ Kindskopf

      der Stick wird gebraucht, um eine saubere explorer.exe (Achtung, muss vom baugleichen Betriebssystem stammen, also keine andere Windows-Version!) darauf zu packen.
      Von dort kann man dann über den ein oder anderen Weg die explorer.exe auf dem infizierten PC ersetzen.

      Hinweis dazu: Das Ersetzen der explorer.exe hilft nur in den ersten 3 oder 4 Varianten der BKA-Ransomware.
      Alles danach, legt Autostarteinträge an, oder dubiose EXE/DLL-Dateien oder gar beides.

      Was es dazu bislang alles zu sehen/finden gab (ohne gestrige/heutige Ergebnisse bislang, weil ich schlicht die Zeit aktuell dazu nicht habe/hatte!), ist auf meiner Seite unter den Punkten P14 und P14.1 zu finden.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  6. Hallo,

    mein Problem ist das sich der Computer (Windows xp) weder im abgesicherten Modus, noch mit einer Art Notfall-CD starten lässt. Kann mir da jemand helfen?

    • @ Jürgen

      Was kommt denn wenn versucht wird per F8-Tasten/hämmern) den Auswahlbildschirm für den Boot-Vorgang zu bekommen?

      Was für „eine Art“ Boot-CD wurde denn wie ausprobiert?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • @ Jürgen

      evt kannst du mit Windows-Taste +[R] zu ‚Ausführen‘ gelangen. Dann weiter mit ‚msconfig‘ oder ‚taskmgr‘.

      Peter

  7. @ Alle

    Sollte mir gestern jemand ab ca. 15:30 Uhr versucht haben eine Mail zu senden, so ist diese leider nicht angekommen.
    Ich war so „unklug“ und hatte den Postfachspeicher zu klein gewählt.
    Dies ist nun behoben!

    Ich bitte vielmals um Entschuldigung falls damit Mails nochmals gesendet werden müssen und Probleme länger dauern damit als evtl. nötig.

    Mit freundlichem Gruß,
    Simon

    (Fachinformatiker für Systemintegration)

  8. Hallo nochmal,

    erstmal Danke für die Antworten. Folgendes……
    in den Auswahlbildschirm gelang ich mit der Taste F8. Das gelingt ohne weiteres, allerdings kann ich weder im abgesicherten Modus noch mit Eingabeaufforderung starten. Er fährt nach der Auswahl immer wieder runter und macht dann einen Neustart. Die „NOtfall“ -CD hab ich von der Antivir-Seite runtergeladen. Allerdings ohne Erfolg. es geschieht das gleiche. Auswahlmenue, auswählen funktioniert. Danach wieder Neustart.
    Gruss Jürgen

    • Hallo Jürgen

      Du mu0t von der CD booten, nicht von Windows.
      Das kann man im BIOS einstellen oder beim Starten auswählen.
      – Steht normal auf dem Monitor – press xyz to boot.

      Tschau

      • komme grad von nem kumpel gleiches problem…bin über den abgesicherten modus in win7 reingekommen dann alle dienste ausser mircosoft deaktiviert in der msconfig unter dienste dann sah man einen eintrag der schon auf rusisscher sprache dort aufgetaucht ist haken raus unter systemkonfiguration das gleiche wenn dort noch was sitzt !
        mit ClamWinPortable gescannt hat einges gefunden und gleich beseitigt…..neugebootet und fedich mit Malwarebytes Anti-Malware 1.60.1.1000 die letzten registry reste entfernt…..

  9. Hallo,

    ich hatte vor ein paar Tagen auf meinem Laptop einen der BKA-Trojaner. Ich konnte aber in den abgesicherten Modus und habe dann einfach eine Systemwiederherstellung durchgeführt, danach kam da nix mehr. Das war so vor ner Woche.

    Jetzt hatte ich heute etwas ähnliches auf meinem PC gehabt. Ich war im Netz unterwegs und zwar über dieselbe Leitung wie mit dem Laptop auch. Diesmal behaupteten diese Ukash-Penner ich würde (was ich niemals täte…) eine illagele Raubkopie von Windows benutzen.

    Leider hab ich nicht dran gedacht das festzuhalten.

    Dann hab ich genau wie bei dem bka-teil das system zurückgesetzt. Dann lief das system wieder. Dann bin ich ins Netz und habe nach Infos zuber den Scheiss gesucht und fand eine Anleitung ( https://www.redirect301.de/bundespoli…entfernen.html )

    Ich bin dann wie in der Anleitung vorgegangen aber unter den angegeben Verzeichnissen konnte ich nichts Verdächtiges finden. Hab dann die gesamte Registry noch nach jashla.exe durchsucht aber nichts gefunden.

    Da es aber eh die falsche anleitung war – eigentlich auch egal.

    Gerade lasse ich mit SuperAntiSpyware das System scannen…habe bereits einen reg-eintrag und 26 in dateien gefunden.

    Davor hatte ich auch dieses andere tool das hier empfohölen wurde (hiess irgendas mit Malware). Damit hatte ich auch 2 Funde weiß aber leuider nicht mehr was es war…

    So viel erstmal

    • @ Lowman

      Das erste Problem bei der ganzen Sache ist, wie schon oft hier beschrieben, das bei einer Systemwiederherstellung eben nicht alle Malware/Ransomware/etc. Dateien entfernt werden. Sie sind dann eigentlich lediglich außer Gefecht, da sie nicht mehr explizit angesteuert werden.
      Sollte jetzt der gleiche Computer wieder eine Infizierte Seite besuchen, so können die übrig gebliebenen Bestandteile – theoretisch – wieder reaktiviert werden.

      Entsprechender Scan mit einem Offline-Antivirenscanner und ein Scan als Admin im Abgesicherten Modus mit dem genannten Programm „Maleware Antibytes“ würde da deutlich mehr Sicherheit von vornherein schaffen.

      Leider wird nach einem Befall oftmals auch dann nicht lange viel wert darauf gelegt, das dass System nun fortwährend aktuell gehalten wird.
      Das soll jetzt keine Anschuldigung sein, aber zumindest ein Hinweis!

      Das die Anleitung hier oben nicht genau dafür passend ist/war, ist logisch. Denn diese BKA/GEMA-Ransomware ist was in „“ völlig anderes als das Teil mit der Raubkopie.

      Entfernen lassen sich davon aber gewisse Varianten ebenfalls per Autostart-Eintrags-Entfernung und Scan per „Malware Antibytes“.
      Bislang sind mir dazu aber erst 2 Rechner untergekommen. Ob es also davon schon mehr Varianten gibt, ist mir NOCH nicht bekannt.

      Sollte dies vermehrt nun hochkommen, werde ich meine Seite diesbezüglich anpassen, oder vielleicht eine neue erstellen. Eventuell klinkt sich diesbezüglich dann auch Herr Daniel Weihmann mit einer „neuen“ Anleitung ein.

      Hinweis: Egal wie man es dreht und wendet – Ein einmal infiziertes System hat/hatte eine Lücke. Ob man diese geschlossen hat kann man nicht zu 100% festlegen. entsprechend ist und bleibt eine komplette Neuinstallation immer der beste Weg zu einem sauberen System ohne „Fallen“.

      • Ich hab das jetzt auch mal etwas detaillierter beschrieben…Vielleicht hilft das schonmal weiter:

        http://forum.botfrei.de/showthread.php?690-Ukash-Windows-Trojaner

        Hab grad wenig Zeit…

    • @ Lowman

      Anhand der im Forum-Botfrei geposteten MBam-Logfile würde ich auf Anhieb ja auf zwei dort hevorgehobene Seiten tippen von denen dieses nette Teil eventuell mitgenommen wurde.

      Wenn dem so wäre, würde ich tippen das ausnahmsweise mal nicht JAVA dran schuld war, sondern ein nicht aktuelles Adobe Flash.

      Die OTL-Files kann ich mir leider nicht ohne weiteres anschauen, da ich keinen Login in diesem Forum besitze.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  10. Hallo, mich hat dieser Drecks-Trojaner am Samstag erwischt (bei mir sah es so aus: unter http://bka-trojaner.de/ der oben rechts 1.03, habe Windows 7). Ich konnte komischerweise trotz des Trojaners in den Taskmanager gehen, das war allerdings auch das Einzige was ich noch machen konnte.

    Bin dann vorgegangen wie hier in der obigen Anleitung beschrieben. Da bei mir in der Registry unter „Shell“ schon „Explorer.exe“ stand und ich (nachdem ich in der Registry gesucht habe) weder irgendwas von „jashla.exe“ noch von „mahmud.exe“ gefunden habe hab ich mir die Hilfestellungen von Simon angeguckt.

    Nachdem auch das Austauschen der „Explorer.exe“ Datei nichts gebracht hat habe ich dann einfach mal im abgesicherten Modus unter Systemstart geguckt und bin tatsächlich fündig geworden.

    Habe dort 3 verdächtige „Systemstartelemente“ gefunden, nachdem ich das Häckchen weggemacht habe und sie somit nicht mehr im Systemstart waren war das „BKA-Fenster“ nach dem nächsten Hochfahren weg und ich habe keinerlei Beeinträchtigungen mehr festgestellt:

    jdsfjsdijf.exe unter dem Befehl C:\jdsfjsdijf.exe\jdsfjsdijf.exe

    {86B3D24E-E701-5E3B-B8FC-8A90D9FF1F3C} unter C:\ … \AppData\Roaming\Ebqe\pyfo.exe

    (bei diesen Beiden vermute ich dass sie unschädlich waren)

    Оперaциoннaя cиcтeмa Microsoft Windows unter C:\Windows\System32\rundll32.exe und unter C:\ …
    \AppData\Local\Temp.24142178072781073.exe,F1122 (zum Glück gibts Wikipedia und „Kyrillisches Alphabet Ukrainisch“ :) ) dass diese nette Datei nicht von Microsoft Windows kommt war offensichtlich.

    Da sich nun nichts mehr tat betrachtete ich das Problem als erledigt und weil ich an dem Tag nicht
    viel Zeit hatte habe ich mich auch nicht weiter damit beschäftigt. Am Sonntag war ich mit dem PC dann
    auf einer LAN-Party (ich weiß, das war dumm).

    Am Montag habe ich mich dann doch noch mal damit beschäftigt und habe die zwei erstgenannten Dateien

    sicherheitshalber gelöscht (wie gesagt ich denke sie waren unschädlich). Dann ging es zum dritten
    Befehl, zweifelsfrei ist das der Virus:

    C:\Windows\System32\rundll32.exe wollte ich nicht löschen da ich denke dass es (da es eine Systemdatei ist) meinem PC nicht gut tun würde.

    Als ich bei C:\ … \AppData\Local\Temp.24142178072781073.exe,F1122 nun Rechtsklick gemacht und dann auf Eigenschaften geklickt habe hat direkt avast Alarm geschlagen dass es sich um einen Virus handelt und ihn in Quarantäne gesetzt oder so. Danach war er von dem Pfad verschwunden.

    Nun habe ich einige Fragen:

    1. Habe ich den Virus damit wirkungsvoll entfernt oder kann noch Schaden von ihm ausgehen? Wie gesagt, es gibt auf meinem PC keinerlei Beeinträchtigungen und diese Datei (C:\ … \AppData\Local\Temp.24142178072781073.exe,F1122) wurde von avast „entfernt“.

    2. Was sollte ich jetzt machen? Ist es notwendig den PC zu formatieren oder reicht das was ich bisher gemacht habe aus? Ich würde nämlich gerne darauf verzichten.

    3. Muss ich wirklich meine Passwörter ändern (email, facebook und so) wie ich schon an einigen Stellen gelesen habe? Und wenn ja, muss ich alle ändern oder nur die Passwörter von den Seiten die ich nach dem Trojaner-Befall besucht habe?

    4. Können die PCs mit denen ich durch LAN verbunden war auch befallen sein? Jedenfalls hat keiner von denen einen Bundespolizei-Trojaner der ihren PC „sperrt“.

    Danke schonmal im Voraus für alle Antworten!

    • Du hattest dir also diese Variante des BKA-Trojaners eingefangen …

      Meine Erfahrungen mit dem Teil zeigten bisher, dass es sich „lediglich“ um einen Erpressungsversuch handelte, also keine Daten (z.B. Passwörter usw.) irgendwo hin gesendet wurden. Nichts desto trotz schadet es nie ab und zu mal neue (sichere) Passwörter zu setzen. Vor allem unterschiedliche!

      Ich würde den Rechner per Sicherheitssoftware checken und davon ausgehen, dass alles weg ist – bis zum nächsten Mal.

      • Danke für die schnelle Antwort!

        Ja diese Beschreibung trifft es ziemlich genau, nur dass es halt so aussah http://bka-trojaner.de/ 1.03 .

        Da habe ich ja wohl nochmal Glück gehabt, hätte echt keine Lust gehabt auf den ganzen Aufwand, Daten sichern, formatieren, neu installieren.

        Aber was meinst du mit „…davon ausgehen, dass alles weg ist – bis zum nächsten Mal.“ ? Ich hoffe doch dass es kein nächstes Mal gibt und ich mir den Müll nicht nochmal einfange!

    • @Benjamin – So wie es aussieht, verbreitet sich der Trojaner über Webseiten, die selbst von dem ganzen Treiben nichts mitbekommen. Vielleicht ein Plugin bei WordPress (oder Joomla, Typo3 usw.). Vielleicht gelangen die Hacker aber auch über andere Zugänge auf den Webspace …

      Dabei kann man nicht sagen, ob Thema X oder Y häufiger betroffen ist. Ich denke das ist den Hackern auch völlig egal.

      Habe heute übrigens noch ein Tool von Kaspersky bei der Chip entdeckt, was diesen Trojaner aus der Registry entfernen soll. Schon jemand Erfahrungen damit?

      • @ Daniel Weihmann

        Dieses Tool/diese CD habe ich schon seit langer Zeit auf meiner Seite. ;-)

        Es haben auch shcon diverse Leute genutzt und es hat – zumeist – geholfen.
        Wie gut es ist, wird sich heute Nacht zeigen, denn in der Firma läuft gerade ein Scan genau mit dieser CD. (Sofern mein Kollege den Scan nach dem Update noch angestoßen hat *hoff*)

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • @ Benjamin

      Mache bitte, als Minimum der Sicherheit folgende 3 Dinge:
      1. Lade dir z.B. von CHIP.de das Tool „Maleware Antibytes“ runter, update es, scanne das System.
      2. Update ab jetzt deinen Rechner IMMER und in ALLEN Punkten der auf dem System installierten Programme.
      3. Fertige ein kontinuierliches Backup an. Dies geht seit WindowsXP auch mit Boardmitteln recht gut.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • @ Benjamin

      Noch eine Sache vergessen…

      4. Ändere, vorzugsweise an einem anderen System, ALLE deine Kennwörter.

      Warum schreibe ich dies? Nun, wie man auf meiner Seite unter Punkt P14.1 sehen kann, sind ein Teil diese von Dir genannten Dateien durchaus „schädlicher“ als es bei vielen anderen Versionen üblich war/ist.
      Sie heißen evtl. nicht gleich, haben aber das selbe „Muster“ an Dateinamen/Längen/Versteckorten.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • @ Benjamin

      Bei so einem langen Text, habe ich vorhin in der Eile doch glatt übersehen das die letzten 4 Punkte von Dir „Fragen“ waren…*sorry*

      Mal schauen ob ich da aushelfen kann:
      Zitat: 1. Habe ich den Virus damit wirkungsvoll entfernt oder kann noch Schaden von ihm ausgehen? Wie gesagt, es gibt auf meinem PC keinerlei Beeinträchtigungen und diese Datei (C:\ … \AppData\Local\Temp.24142178072781073.exe,F1122) wurde von avast “entfernt”.
      >>> Okay, das ist einfach, denn dazu schrieb ich ja schon was: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-25#comment-5865

      Zitat: 2. Was sollte ich jetzt machen? Ist es notwendig den PC zu formatieren oder reicht das was ich bisher gemacht habe aus? Ich würde nämlich gerne darauf verzichten.
      >>> Prinzipiell gilt das selbe wie bei deiner ersten Frage und mein Posting.
      Und mein Hinweis aus dem Posting …
      Hinweis: Egal wie man es dreht und wendet – Ein einmal infiziertes System hat/hatte eine Lücke. Ob man diese geschlossen hat kann man nicht zu 100% festlegen. entsprechend ist und bleibt eine komplette Neuinstallation immer der beste Weg zu einem sauberen System ohne “Fallen”.

      Zitat: 3. Muss ich wirklich meine Passwörter ändern (email, facebook und so) wie ich schon an einigen Stellen gelesen habe? Und wenn ja, muss ich alle ändern oder nur die Passwörter von den Seiten die ich nach dem Trojaner-Befall besucht habe?
      >>> Auf alle Fälle alle diese Passwörter dann, welche Du eingegeben hast, seit die Ransomware/der Trojaner drauf war, bzw. ggf. zu Teilen noch ist.

      Zitat: 4. Können die PCs mit denen ich durch LAN verbunden war auch befallen sein? Jedenfalls hat keiner von denen einen Bundespolizei-Trojaner der ihren PC “sperrt”.
      >>> Rein von der Theorie her – ja.
      Bislang hat sich dies bei meinen Problemfällen aber ebenfalls noch nie gezeigt.
      Daraus würde ich zumindest schließen, das es in den Fällen wo es sich um die reine Ransomware handelt defintiv nicht zu einer Streuung kommt. Wenn es aber eine Variante mit Trojaner und ggf. mehr noch ist, könnte es durchaus passieren.
      Ist mir aber wie gesagt bislang noch nicht untergekommen.

      Bei weiteren Fragen kann man mir auch einfach eine Mail schreiben.
      Ich versuche dann o schnell wie möglich darauf zu antworten und ggf. zu helfen. :-)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Danke für deine ausführlichen Antworten!

        Danke auch für das Angebot dir ne Mail zu schreiben, aber wenn ich hier im Forum frage und du im Forum antwortest wird vll. auch Anderen die sich die selbe Version des Trojaners eingefangen haben geholfen denk ich mal.

        Zuerst mal wollte ich sagen dass es sich bei dem Dateinamen den ich oben angegeben habe um einen Tippfehler handelt. Der Pfad war nicht C:\ … \AppData\Local\Temp.24142178072781073.exe,F1122 sondern C:\ … \AppData\Local\Temp.24142178072781073.exe,F1122 also hieß die Datei 0.24142178072781073.exe,F1122 (ich weiß dass der Name eig keine Rolle spielt, aber weil ich gesehen habe dass du den auf deiner Seite aufgenommen hast wollte ich das korrigieren).

        Also, ich hab mir nach deinem Rat von Chip ein Programm runtergeladen und zwar Spyware Terminator 2012. Hab das System gescannt und es wurden 19 (!) Infektionen festgestellt. Und zwar:

        17 Affiliate tracking cookies

        1 Vcatch (Beschreibung: „antivirus“ Software die selber Spyware und Adware bündelt) –> HKCR\Interface\{A9752CF2-0791-11D7-B37B-0010DC1D796E}

        1 Adware.AdSpy.Gen –> C:\ … \AppData\Local\Temp\CmdLineExt01.dll

        Habe alle entfernt (zumindest laut Spyware Terminator 2012). Aber das macht mir trotzdem Sorgen.

        Wie kann ich denn meine Daten sichern ohne die Gefahr einzugehen dass sich der Virus, Trojaner oder was auch immer weiter verbreitet? Ich hab meine Daten eig immer auf ner externen Festplatte gesichert, zum letzten Mal vor nem Monat oder so. Wenn ich die jetzt meine externe Festplatte anschließe und darauf sichere laufe ich doch Gefahr dass die Festplatte auch „infiziert“ wird oder?

      • Miese schon wieder falsch.

        C:\ … \AppData\Local\Temp.24142178072781073.exe,F1122

        so ist es richtig, das kommt davon wenn man nur nach dem Guttenberg-System vorgeht und einfach kopiert :)

      • Komisch hab den Pfad korrigiert aber es wird trotzdem wieder der Alte angezeigt

        C:\ … \AppData\Local\Temp.24142178072781073.exe,F1122

        so. sorry für die 2 unnötigen Posts

      • Verstehe das wer will ich verstehs nicht. Warum hier obwohl ich das MANUELL geändert hab trotzdem das Gleiche kommt wie vorher, und zwar schon zum zweiten Mal. Naja auf jedenfall im Ordner Temp der Dateiname wie in meinem Post um 13:09

  11. Hey,
    Mir wird auch gemeldet, dass es sich um eine Windowsfälschung handle dabei habe ich die Originalversion..

    folgendes Problem: ich drücke F8 und gehe wie oben vorgegeben auf abgesicherter Modus mit eingabeaufforderung, allerdings fährt er daraufhin einfach weiter hoch und ich gelange an den Punkt wo ich mein passwort eingeben soll (allerdings sieht alles viel größer aus als sonst…) was kann ich tun ?? :(

    • @ ABC

      Drücke beim Systemstart nicht nur einmal F8, sondern „hämmer“ ein bisscchen auf der F8-Taste rum.
      Bei manchen Systemen kommt dann erst noch der Bootloader, dort muss dann logischerweise die Festplatte ausgewählt werden.
      Danach dann wieder weiter auf F8 „hämmern“, denn dann kommt i.d.R. die Auswahl in welchem Modus man starten will.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  12. hi,
    hatte auch die meldung wegen der nicht orginalen software…
    hatte aber nur im netz gesurft nichts angeklickt und peng…

    naja war leicht das ding zu löschen, solltet mal die dateien etwas genauer betrachten bevor ihr immer gleich löscht…
    dann ersparen sich die ewigen doppelposts…
    meiner war von orb networks version 1.1
    werde noch die log dateien prüfen und ip rückverfolgen vielleicht bringts was…

    so denn weiter so…

    • @ xyz

      Doppelte Postings könnte man durch sovieles vermeiden.^^

      Sogesehen war an deiner Herstellerbeschreibung auch nur eine Sache neu, nämlich das es v1.1 war/ist.

      Die „Fehler“beschreibung wiederrum ist zwar mittlerweile auch nichts neues mehr, trifft aber nich genau auf die hier ehemals behandelten BKA/GEMA-Ransomware zu, sondern ist eine völlig neue „Ransomware“ welche auch teilweise definitiv Schadcode mit einschleußt.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  13. Hallo,

    ich vermute, dass ich mir eine neue Variante von dem ukash Virus eingefangen habe. Denn statt der Bundestrojaner/GEMA-Masche wird mir angezeigt, dass meine Windowslizenz nicht legal ist und dass Windows gesperrt bleibt, wenn ich nicht zahle.
    Habe nun versucht, wie oben beschrieben, den Pfad unter Shell in der Eingabeaufforderung zu finden. Dort steht aber explorer.exe.
    Weil mir das ganze nun zu komplex ist, wollte ich mal nachfragen, ob möglich ist, Windows im abgesicherten Modus zu starten und danach eine Systemwiederherstellung zu machen. Diese „Lösung“ habe ich auf anderen Websites gelesen. Was haltet ihr davon?
    Danach müsste ich dann noch die .exe mit einem Virenscanner finden und löschen, richtig?

    Danke für eure Antworten :)

    • @ martin

      Ja, es handelt sich hierbei um eine „ganz andere“ Variante.

      Ich kann sazu leider noch nicht viel sagen, da ich persönlich mit genau dieser Version noch kaum eRfahrungen sammeln konnte.
      Leider, weil ich diesbezüglich nur Tipps geben kann, aber eventuell keine echte Hilfestellung.

      Siehe Posting: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-25#comment-5845

      Eine Systemwiederherstellung ist durchaus eine Möglichkeit,. welche oftmals auch funktioniert.
      Zu beachten sind danach aber meine immer wieder angesprochenen Punkte:
      + Mit dem Programm „Maleware Antibytes“ von z.B. CHIP.de nochmal einen SCAN des Systems machen lassen.1. + System immer mit ALLEN Komponenten aktuell halten.
      + Ein Backup einrichten
      + Sicherheitsbewussten ALLE Passwörter (auch für OnlineBanking, etc.) an vorzugsweise einem anderen PC ändern.

      Eine Datensicherung, ein neues Aufsetzen des Computers, Updaten bis Ultimo und dann die Daten scannen und zurückspielen ist natürlich durchaus die „Beste“ Variante.
      Ist halt leider wie schon bekannt auch die schwierigste/langwierigste.
      Leider kann man aber auch eigentlich nur dann tatsächlich sicher sein, das der Computer wieder sauber ist.

      Ich hoffe dies beantwortet Deine/Ihre Frage(n).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Hast du mal einen Screenshot gemacht? Falls ja, würdest diesen für eine Veröffentlichung bereit stellen?
      Systemwiederherstellung ist auf jeden Fall ein Versuch wert – kann durchaus funktionieren …

  14. Ich bin jetzt bisschen verwirrt wegen diesem „Ukash-Virus“
    Deshalb wollte ich mal fragen gibt es „Ukask“ wirklich und kann man damit wirklich online-bezalhen ?
    Wäre über eine antwort echt dankbar.

    • Ja, gibt es – www.ukash.com! Aber auf keinen Fall für diesen Trojaner verwenden, da das am Problem nichts ändern wird.

      • Ok ich wollte nur mal nachfragen weil das ner Freundin von mir passiert ist mit dem Virus aber die hat den zum glück weg bekomme.
        Sie hat aber trotzdem den Code da eingegeben ist das Geld jetzt weg ?
        Kann die den Zettel jetzt wegschmeißen oder was soll die jetzt tun ?

    • @Jamila: Mit großer Sicherheit ist das Geld weg! Ich würde trotzdem eine Anzeige bei der Polizei machen. Wer weiß, ob sich da nicht doch noch etwas machen lässt.

    • @ Jamila

      Wie Dnaiel schon schrieb, gibt es das Produkt Ukash genau wie auch Paysafe tatsächlich. Sicherlich gibt es dafür auch legitime legale Anwendungsbereiche. Die BKA-Ransomware (teilweise leider nicht mehr allein Ransomware sondern auch mit Trojanern behaftet) ist zumindest KEIN solch legitimer legaler Grund.^^

      Den Code den deine Freundin eingegeben hat, hat damit jetzt den Machern der Ransomware durchaus somit die 50 oder 100 €uro gebracht.
      Das Geld wird – rein vermutlich – auch nie wieder auffindbar sein udn ist somit für immer weg.
      Den Zettel kann man somit, zumindest theoretisch, spätestens nach einer Anzeige bei der Polizei besser beim BSI, in die Tonne werfen.

      Ohne es böse zu meinen, aber wer dafür Geld bezahlt, hat damit Lehrgeld bezahlt.

      Die Frage nach dem „Was jetzt tun“ kann man zum Beispiel auf meienr Seite nachlesen (Punkte P7 & P13) oder auch ein paar Dinge in diesem Posting:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-25#comment-5926

      Das Problem ist jetzt eher, das wir hier nciht wissen WIE deine Freundin das Teil wieder „losgeworden“ ist?!

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • @ Jamila

      Im Endeffekt „Anzeige gegen Unbekannt“. Aber das wissen die meist schon selbst.

      Siehe dazu vielleicht auch die Punkte P22 und P23 meiner Seite.

      Eine Registrierung auf dieser Seite wird, so meine Vermutung, keinen Sinn haben.
      Der Code wird, so ebenfalls meine Vermutung, maschinell geprüft und innerhalb Sekunden/Minuten entwertet werden (auf Betrügerseite).
      Damit ist das Geld schneller weg als einem der „Fehler“ auffällt.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  15. hallo leute,
    bei mir hat folgendes funktioniert:
    beim neustart mit F8 in den sicherheitsmodus mit netzwerkzugriff, dann konnte ich online gehen und das Malware Antibytes herunteraden, welches bei „hilfestellungen von sinon“ unter punkt 13. Programmtipp 3 zum download angeboten wird. installieren, durchlaufen lassen und gleich 4 viren/trojaner gefunden! neustart und voila! es geht wieder… kaspersky (gekauft!!!) und CC cleaner haben nicht funktioniert! riesen scheiße das ganze!!!
    viel erfolg!

    • @ ps667

      Hast Du eventuell noch die Logfile? (mbam-….)
      Wenn ja, könntest Du mir diese zusenden (zur Analyse und Erweiterung meiner Seite)?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  16. hallo,
    1. abgesicherter modus
    2. systemsteuerung => ordneroptionen => alle dateien anzeigen
    3. c:\user\dein pc name\appdata\lokal\temp\virusname.exe löschen und die 2 dateien die dazu gehören
    eigentlich kannst darin alles löschen…
    4. den autostart eintrag löschen im hkey_cu\run
    5. dann wieder zu punkt 2 und wieder den punkt ändern..
    6. neustart…..

    • @ xyz

      So leicht funktioniert es aber leider halt nicht in jeder Variante der BKA-Ransomware. Zumal es mittlerweile auch Abkömmlinge gibt, welche sich „ganz anders“ zeigen als das was hier oder auf botfrei.de beschrieben wird.

      Außerdem ist mit deiner Beschreibung nur ein Teil der Arbeit getan.
      Es werden weiter Einträge z.B. in der Registry (mit großer Wahrscheinlichkeit drin stehen, evtl. gibt auch weitere Dateien an anderen Orten, etc.).

      Recht hast Du aber damit, das danach zumindest wohl erstmal die Ransomware nicht mehr starten wird.

      Sollte sich dein Post auf das von ps667 bezogen haben, so hat sich bei ihm, wenn ich das richig lese, das Problem ja „gelöst“ gehabt.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  17. danke für diese seite und die info die hier zu diesem mistding zu finden ist…

    mit der hilfe von Simon habe ich meinen rechner schnell wieder flott bekommen…

    DANKE nochmals ihr habt meinen tag gerettet!!

    Christine

  18. Bei mir wird bei der Shell Datei gar kein Pfad angezeigt den ich mir notieren könnte. Was nun?

    • @ Nathalie

      Gar kein Pfad, oder nur explorer.exe?
      Bist Du/sind sie sich ganz sicher im richtigen Registry-Schlüsel zu sein. Vielleicht sind Sie/bist Du ja nur „falsch abgebogen“.

      Ansonsten mal auf meiner Seite z.B. bei den Punkten P14 und P14.1 schauen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  19. Hallo habe mir auch so ein Trojaner eingefangen aber die behaupten da ich hei auf nicht öffentliche seiten gegriffen die Pornografische sachen enthalten würden ! konnte den fehler gestern Nacht beheben , jedoch ist er immer noch da!! Wie entferne ich den komplett !!???????

    • @ Jessica

      Das behauptet die BKA-Ransomware immer. Im Endeffekt soll nur Lösegeld erpresst werden (deshalb Ransom).
      Leider geht selbst nach dem bezahlen das Fenster unter Garantie nicht weg.

      Du konntest/Sie konnten den Fehler letzte Nacht beheben. Wenn ja wie? und was ist seither geschehen?
      Denn das er jetzt wieder da ist, heißt eher das es nicht wirklich „weg“ war – so meine erste Vermutung.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  20. Hallo allerseits,
    mich hats heute mit diesem virus erwischt, habe schon in mehreren foren nach lösungen gesucht und einiges probiert jedoch hat nichts geklappt bzw wenn ich es wie es viele beschrieben haben im abgesicherten modus starten will öffnet sich trotzdem das fenster des viruses.
    Meine frage is daher ob es einen weg gibt das irgendwie zu umgehn das ich die schritte vollziehen kann oder nicht?
    vielen dank schonmal

    • @ Gengar

      Die wichtigste aller Fragen dabei – Ist das Internet auf jedwege Art & Weise (WLan, Netzwerk, Bluetooth, UMTS, etc.) deaktiviert?

      Zweite Frage: Kommt es auch mit einem anderen Benutzeraccount (falls vorhanden)?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Internet hatte ich sofort gekappt und das ganze prozedere hab ich auch bei allen anderen benutzern.
        nach langem probieren hab ichs irgendwie geschafft das ich in der registery schaun kann usw hab jedoch nicht eine einzige verdächtige datei gefunden die auf das virus hindeuten könnte. :/
        Ich bin hier schon seit knapp 5h am stück am fummeln aber außer kopfzerbrechen hab ich herzlich wenig erreicht.

    • @ Gengar

      Ist der aktuelle Stand immernoch so? Wenn ja, hast Du Zugriff auf den Taskmanager (Prozesse welche gerade laufen mal anschauen) und/oder auf den Autostart unter Verwendung des Befehls „msconfig“?

      Ansosnten ist vielleicht das das hier noch was für Dich (zumindest versuchen kann man es ja mal, auch wenn ich es noch nie selbst probiert habe): https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-25#comment-6113

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Hallo,
        zugriff hab ich auf alles weil ich angst habe den pc auszuschalten und wieder anzumachen ich hatte nen riesen aufwand um dahin zu kommen wo ich grad bin obwohl ich schon beim autostart sämtliche programme rausgenommen hab.
        ich konnte jetzt jedoch nach stundenlangem suchen doch immerhin eine ich sag mal „virusdatei“ finden und löschen aber das ist glaub ich noch nichteinmal ansatzweise das was noch da is.
        ich werde mir das mal schnell auf dem link da angucken und gegebenenfalls ausprobieren vielen dank schonmal für die hilfe. :)

      • ich seh grad das es die anleitung von oben ist^^
        probiert habe ich das bereits mein problem ist das bei shell schon explorer.exe steht.
        daraufhin hab ich mir dann nochmal die hilfestellung durchgelesen jedoch habe ich momentan keinen zugriff auf eine „saubere“ shell datei ^^
        und in dem pfad im register konnte ich bisauf dieser einen datei nichts finden und auch die war unter einem ganz anderen pfad versteckt.
        was mir da grad noch einfällt das das virus ja noch im register irgendwelche sachen reinballern soll von wegen nodesktop und notaskmanager?
        ich hab nur eine gefunden disablerepair könnte das vielleicht auch eine datei sein die nicht korrekt ist? weil ich schon 2 mal eine systemwiederherstellung gestartet habe aber die zu keinem ergebniss geführt hatte?
        mfg Gengar

    • @ Gengar

      Mehr als schwierig das so zu sagen…*mmh*
      BEvor ich jetzt nochmal alles durchlese…hast Du aktuell Internet an diesem Computer?
      Wenn ja, schreib mich mal eben an.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  21. Hallo zusammen,
    Ich habe mir eine alternative des ukash trojaners eingefangen wie es scheint. Denn ich komme zwar in den abgesicherten Modus mit eingabeaufforderung aber ich kann so schnell gar nicht regedit tippen wie das blockierfenster auftaucht. Da ich die www Verbindung getrennt habe kann ich jetzt auch nicht mehr genau sagen was im blockierfenster stand. Fakt ist, boot über KASp rescue cd hat nicht geklappt bzw. Ist nicht gestartet.
    Ist das eine neue Variante auf meinem XP Rechner? denn viele haben anscheinend ueber den abgesicherten Modus was ausrichten können. Ich kann das leider nicht.
    Systemherstellung einer vorversion bringt auch nichts weil da anscheinend keine vorhanden ist.
    Taskmanager im geblockten Windows kann ich nur aufrufen aber über alles legt sich sofort das Trojaner Fenster, kann also nur im blindflug agieren bzw gar nicht. Nur die taskleiste kann ich mit Windows Taste sehen und über Start gehen…
    Warum mir das recht geschieht: einen Tag zuvor kaspersky antivir gelöscht weil ich Platz schaffen wollte um dem Sony vaio ein neues antivirenprogramm zu gönnen. Das lässt sich jetzt aber nicht installieren weil ich ja nicht mal JA bei „wollen sie installieren“ klicken kann :-(
    Toller Zufall, geht nicht besser!
    Kennt sich jmd mit diesem Trojaner aus?
    Danke für Eure Hilfe!
    Frage: kann ich über das F8 Menü was ausrichten oder gibt es evt ein Tool für nen USB Stick dass automatisch abläuft beim einstecken? Ohne Windows autostart Abfrage…

    Bin echt verzweifelt, da muss es doch

    • @ Simonicus

      Probiere mla 2 Dinge:
      1. (Bekam ich von einem User geschrieben – Danke A.S.!)
      Zitat:
      „Und zwar: habe ich Windows normal hochgefahren und nachdem der WindowsXP-Screen erschienen war immer und immer wieder STRG+Alt+Entf gedrückt.
      Zudem habe ich auch versucht, sobald der Desktop sichtbar wurde über Start → Ausführen → regedit aufzurufen (es dauert ja manchmal ein paar Sekunden bis der Sperr-Screen des Trojaners kommt).
      Wenn man also so vorgeht, wird zwar durch „STRG+Alt+Entf“ nicht der Taskmanager geöffnet ( es kommt stattdessen zigfach die Fehlermeldung, dass der Taskmanager vom Admin deaktiviert wurde), ABER irgendwie „verschluckt“ sich dann der Trojaner (oder so) und man kann halbwegs normal durch die Ordner navigieren.“

      Danach müsste man eigentlich relativ ungestört das System durchsuchen können.

      2. Wurde schon mal ein Start mit einer Boot-CD/DVD ala Knoppix, etc. probiert und dann das System manuell an den bekannten Orten durchsucht?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  22. Dieses Viren Ding macht mich irre habe es mir gestern eingefangen, mittlerweile komme ich zwar wieder auf dem Rechner, sonst wäre ich ja nicht hier, aber ich finde das im XP einfach nicht – Unter dem überall angegeben Pfad ist bei mir kein shell Eintrag. Ich habe weitgehend alles aus dem Autostart draußen, aber das kann ja keine Entgültige Lösung sein. Solang das Vieh auf meinem Rechner ist. Ich bin auch nicht so die hellste Was das angeht, muss ich zugeben. Habe zwar eine Antimalware Software auf dem PC aber bin mir nicht sicher das die den nun wirklich gefunden hat. Wie kann ich das checken? Wäre für Hilfe echt Dankbar

    • @ Morti

      Melde dich doch mal per Mail bei mir.
      Eventuell kann man da noch was genauer untersuchen bzw. dem Ganzen auf andere Art und Weise zu Leibe rücken.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  23. Vielen Dank, tolle Anleitung, besonders die Hilfeseiten von Simon!!!

    Bei mir war allerdings in Winlogon gar kein Eintrag „Shell“ mehr da, weswegen es vielleicht gut wäre, wenn es eine kleine Anleitung für das Erstellen des Eintrags gäbe. So ähnlich wie beim Taskmanager, der auf den Wert „0“ gesetzt werden muss (was ich auch nicht wusste).

    Für die Sammlung hier mein Wurm:
    0.07967146436162498.exe.lnkStartup
    Er hatte sich in das Verzeichnis C:\WINDOWS\pss geschrieben und wurde deshalb nach dem Starten mit abgesichertem Modus von CCleaner als Starteintrag in C:\WINDOWS\system32\rundll32.exe entdeckt. Der Zeitpunkt des Eintrags war mit dem Zusammenklappen meines Systems identisch.

    Also: Nochmals vielen Dank!

    • @ micha

      Vielen Dank für das Lob. :-)

      Freut mich zu hören das Du das Teil wohl loswurdest und es hoffentlich nicht noch anderswo rumeiert.^^

      Ich habe deine Datei mit auf meine Seite aufgenommen.

      Zum Registryschlüssel, gibt es seit nunmehr allerdings schon Monaten den Punkt P09 auf meiner Seite.
      Dort ist auch eine Datei hinterlegt, mit der man sich diesen Wert wieder vollautomatisch eintragen lassen kann.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  24. Hallo,was kann ich tun wenn ich diesen Shell string versehentlich doch gelöscht habe?
    Mfg Markus

    • @ Markus

      Bitte mal Punkt P09 auf meiner Seite anschauen.
      Denke das sollte zumindest dieses Problem lösen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  25. Die Virenscanner haben gut nachgerüstet. Mittlerweile finden fast alle Virenprogramme den BKA-Virus.

    • @ Norbert

      Fragt sich immer nur ob VOr oder erst nach der Infektion und bei welchem Softwarestand des jeweilgen System.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  26. erstmal vielen dank für die super beschreibung und die hilfe! bei mir hat soweit auch alles funktioniert, bis zu dem punkt, bei dem ich „im nachhinein“ die virusdatei löschen wollte. ich hab mir den shell pfad notiert, jedoch ist dieser nicht vorhanden, bzw der letzte ordner im pfad nicht. ich hab auch schon die hidden und super hidden sachen auf „1“ gestellt, sodass alle ordner angezeigt werden sollten.

    irgendwelche tipps dazu?

    • @ elena

      Wie heißt denn bei Dir aktuell der komplette „Shell-Pfad“?

      Und, nur als Nachfrage falls was missverstanden wurde, was sollte dort deiner Erwartung nach stehen (müssen). <- Das soll nicht böse oder gar beleidigend gemeint sein!

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • hey. der pfad lautet(e – hab ihn ja zu explorer.exe geändert):

        D:\Dokumente und Einstellungen\Administrator.HOME-PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8RGZUP83\info[1].exe

        bis einschlißlich zum content.ie5 ordner bin ich gekommen. von dem „8RGZUP83“ Ordner geschweige denn der .exe datei aber keine Spur,obwohl ich die hidden und superhidden und show super hidden auf „1“ gestellt habe.

        ich hatte halt erartet, dass es da die info[1].exe datei gibt, die ich dann hätte löschen wollen.

        mach ich da irgendwas falsch?

    • @ elena

      Nun ja, Du hast es etwas anders gemacht als es eigentlich gedacht war.
      Aber nun, es scheint zumindest bis dahin ja funktioniert zu haben.

      Im Endeffekt hast Du vermutlich den Virus/Trojner bzw. die Ransomware selbst umbenannt.
      Dadurch konnte diese nicht mehr gestartet werden und war „machtlos“.
      Leider weiß man jetzt aber trotzdem noch nicht, ob sich da nicht Teile noch woanders versteckt haben.

      Führe dazu bitte einen Offline-Scan mit einer Boot-CD/DVD aus, sowie einen Scan im Abgesicherten Modus mit „MalwareBytes Anti-Maleware) z.B. von CHIP.de.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  27. Hallo!
    Hab alle schritte befolgt, aber nach dem Neustart taucht der Virus weiter auf… :( komme nicht weiter!

    • @ Anja

      Bitte schaue Dir/Schauen Sie sich dieses Posting an:
      https://www.redirect301.de/bka-trojaner-clone.html/comment-page-1#comment-6327

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  28. Hallo wenn ich die Aufforderung f8 drücke erscheint ein anderer Bildschirm.
    Beim Normalstart:Erst ist mein Bildschirm schwarz dann blinkt die Aufforderung F8 dannach F11 dann erscheint das Windowszeichen.
    Wenn ich jetzt lt. der Anweisung F8 drücke habe ich einblaues Rechteck in der Mitte mit mehreren Aufforderungen.wenn ich dann enter drücke startet der Pc normal.Drücke ich F11 erscheint zwar der schwarze Monitor aber nur in Englisch.Da habe ich dann mal so wie bei dir den 3.Eintrag angeklickt und schon liefen eine Reihe Treiber(namen)daten links den Bildschirm runter stoppten nach 1Minute um dann mir zu sagen das irgendwas nicht stimmt und ich eine bestimmte cd einlegen soll.Wie komme ich also in den deutschen abgesicherten Modus?
    Ps mein Virenscanner kaspersky hat irgendwas gefunden und es in Quarantäne gepackt
    von dem Pfad habe ich einen Screenshot:
    c:\Users\mein Name\AppData\Loca\Temp.9831997642849065.exe

    MfG Jens

    • @ Jens

      zugegeben ich habs jetzt nur überflogen…Aber bitte noch als Minimum einen Scan mit MalwareBytes Anti-Malware von z.B. CHIP.de machen und am besten ebenfalls noch einen Offline-SCAN mit einer Boot-CD/DVD.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  29. Ich komme auch ins Internet obwohl sich auch diese Seite aufgetan hat.Ist da denn normal?Bin jetzt auch im Netz da ich nicht weiterkomme, obwohl ich das Biest noch nicht gekillt hab.Gefährlich trotz Kaspersky??
    MfG Jens

    • @ Jens

      Einfach weg wird es nicht sein…von daher, solange man es nicht genauer weiß, – ja gefährlich -.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  30. Ich habe seit längerem Zeitraum das Problem, dass wenn ich meinen Laptop hochfahre, er zwar funktioniert, aber er nach ein paar 10 Minuten den Bildschirm ausschaltet und ein blauer Kasten mit weißer Schrift erscheint, indem steht ; Betriebssystemsicherheitsbla Windows wird zum Eigenschutz heruntergefahren. AVAST fand 36 Fehler keinen Virus oder Trojaner konnte diese aber auch nicht beheben. Ebenfalls in der Startzeitüberprüfung tauchten diese Fehler auf und ließen sich zwar löschen, tauchen aber bei Zeiten immer wieder auf. Doch ein Virus oder ähnliches?

    • @ Christopher

      Sofern das Problem ncoh besteht, könntet Du/könnten Sie mir einen screenshot (respektive ein Foto) davon per Mail zu senden?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  31. hallo simon, ich muss dich einiges fragen und würde bitten du antwortest mir dann persönlich per mail.
    alsoich hatte diesen virus und mein freund hat den dann wie folgt entfernt : – über abgesicherten muodus rein
    – systemwiederherstellung
    – dann hat alles soweit funktioniert

    jetzt mache ich mir jedoch große sorgen das- das alles vielleicht doch zu einfach war. ich traue mich gar nicht ebay per paypal zu bezahlen wegen bankdaten usw. und irgendwie bleibt das mulmische gefühl das doch noch ein rest trojaner drauf ist. wie können wir sicherstellen das er komplett weg ist bzw wie können wir ihn komplett entfernen? die meisten rieten uns den rechner zu formatieren, aber demzufolge ist auch alles an datein weg.. gibt es eine andere lösung?
    und worauf genau haben die es bei dem trojaner abgesehen? auf unsere daten? auf blöde die das geld überweisen? weisst du da genaueres drüber?

    vielen dank im vorraus für deine antwort, wir erwarten sie sehnsüchtig :))

    • @ vivian

      Sende mir doch bitte deine Mailadresse oder gleich nochmal den kompletten Text an meine Mailadresse.

      Deine Mailadresse hast Du leider nicht hier hinterlassen, so das mir eine Mailantwort unmöglich ist/wäre.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  32. Hallo, ich habe dummerweise den Schlüssel „Shell“ komplett gelöscht, ohne vorher den Pfad zu notieren. Nun fährt der PC hoch und zeigt die „leere“ Seite der „Bundespolizei“. Was kann ich machen? Danke!

  33. Hallo, ich habe dummerweise den ganzen Schlüssel „Shell“ gelöscht. Einen Pfad habe ich nicht gesehen. Nun fährt der PC hoch und zeigt die „leere“ Seite der „Bundespolizei“. Was kann ich machen? Danke für die Antworten

  34. Hallo, ich nochmal. Die leere Seite ist natürlich Quatsch, ich hatte ja die Netzverbindung – wie in der Anleitung vorgegeben – gekappt. Also, wenn ich hochfahre kommt die Seite der Bundespolizei, der Schlüssel ist nicht mehr da, einen neuen kann ich nicht anlegen. Shit, was nun?

    • @ Dirk

      Geht wenigstens irgendeiner der „Abgesicherten Modus“ Arten wenn man beim Computerstart auf der [F8-Taste rumhämmert?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • @ Dirk

      Dann gibt es jetzt mindestens 2 Möglichkeiten:
      1. Arbeite mal die Punkte P14 und P14.1 meiner Seite durch.
      2. Und/oder Schreibe mir mal eine Mail für „direkte“ Hilfe.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • @ Dirk

      Nachtrag: DenRegistryschlüssel kannst Du Dir in P09 anschauen bzw. wenn „Abgesicherter Modus mit Netzwerktreibern“ direkt laden und importieren, bzw. lade in auf einen Stick und führe ihn dann auf dem betroffenen Computer aus.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Hallo Simon, Du hast mir über Redirect301 angeboten, Dir eine Mail zu schreiben,m was ich gerne annehme. Erst mal vielen Dank für Deine Mühen und Hilfe!
        Ich bin schon etwas weiter gekommen. Nachdem ich im abgesicherten Modus gestartet habe, habe ich Antivir suchen lassen. 2 Funde sind in Quarantäne verschoben worden, der Trojaner blieb aber drauf. Dann wollte ich Systemwiederherstellung machen, konnte aber keinen Wiederherstellungspunkt eingeben. Zum Schluss habe ich in Autostart nachgeschaut und da fand ich eine Datei, die da nicht hingehört; beim anklicken ging die „Bundespolizeiseite“ auf – das war also das Teil. Name ist: 0.32007038300779367f76.exe. Den Pfad habe ich mir notiert und anschließend die Verknüpfung aus Autostart gelöscht. Nun fährt der PC wieder normal hoch. Als ich dann im Explorer den Pfad gesucht habe, bin ich aber nicht bis zum Ende gekommen, sondern nur bis C:\\WINDOWS\system32\rundll32.exe (der Pfad ging eigentlich noch weiter). Nun weiß ich nicht, ob ich die rundll32.exe einfach löschen kann (die sieht auch ganz komisch aus als Bild, gar nicht wie die anderen Systemdateien. So der Stand. Vielen Dank für Deine Antwort.

        Grüße
        Dirk

    • @ Dirk

      Na das hört sich doch gut soweit an.
      Wenn das Teil im Autostart steckte, dann ist es zumindest aller Wahrscheinlichkeit nach noch eine der frühen Varianten gewesen.
      Damit ist zumindest das entfernen noch simpel.

      Die rundll32-Datei bitte auf KEINEN Fall löschen.
      Diese Datei wird für Systemwichtige Prozesse benötigt und darf nciht gelöscht werden!

      Die Datei welche Du suchst, wird sich höchstwahrscheinlich unter %APPDATA% im Windows-Explorer finden lassen.
      Genaueres dazu entnimm bitte meinen Punkt P14.

      Danach lasse im Abgesicherten Modus bitte als MINIMUM noch einen Scan mit „MalwareBytes Antimalware“ durchlaufen.

      Sollte sich dort noch etwas finden, sende mit bitte per Mail die LOG-File per Mail zu.
      Deine deine Antivir-Logfile würde mich interessieren.
      Danke.

      PS.: Eine Mail war das jetzt aber von Dir nicht wirklich. *klugscheissenmuss*

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Wollte Dir ’ne Mail über Deine homepage schicken, ging aber irgendwie nicht…
        So, den Pfad habe ich doch gefunden und die Anwendung löschen können. Jetzt ist wohl soweit alles bereinigt.
        Eine letzte Frage: Ich hatte ja die „Shell“ in der Registry gelöscht, ist das jetzt schlimm? Zumindest läuft mein PC völlig normal.

        Danke und Grüße
        Dirk

        PS. Die AntiVir-Datei schicke ich Dir per Mail.

    • @ Dirk

      Mmmh komisch, sollte eigentlich gehen.
      Dann schicke es mir halt an die eigentlich gemeinte Mail-Adresse.

      Das dein Windows noch normal startet, muss ich zugeben wundert ich etwas.
      Ich würde dennoch lieber die *.reg-Datei aus meinem Punkt P09 meiner Seite ausführen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  35. Die Anleitung zum Entfernen des Trojaners hat mir leider nicht geholfen. Bei dem Schlüssel „shell“ war bei mir als Wert leider explorer.exe eingegeben. Der Trojaner muss sich also woanders „eingenistet“ haben. Schade, die Hoffnung war groß. Vielleicht kann mir ja jemand von Euch einen Tipp zu meinem Problem geben !?

    • @ Philipp

      Schau Dir/SChauen Sie sich doch bitte mal die Punkte P14 & P14.1 meiner Seite an.
      Ich denke dort wird sich die Lösung finden.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  36. Frage zum weitere/n Vorgehen/ Schritte:

    Meine Tochter hat sich auch so einen Erpresser-Trojaner auf ihrem Desktop-PC mit Win XP eingefangen. Nun haben wir nach Empfehlung der botfrei Seiten mit einer Knoppix CD (weil der Rechner selber nicht mehr bootet – s.u.) erfolgreich ihre persönlichen Daten sichern können.

    Unser Problem:
    Der PC bootet nicht mehr – auch in keinem der abgesicherten Modi(Endlosschleife). Daher kommen wir nicht in die Kommandozeile, um die hier angegebenen Schritte zur Entfernung der schädlichen Registry-Einträge vornehmen zu können.

    Ich dachte schon, wir setzen „einfach“ neu auf. ABER, nächstes Problem:
    wir haben keine Recovery CD zu ihrem acer EL1600. Die Recovery Dateien befinden sich dort direkt auf der Festplatte. Daher haben wir diese Dateien ebenfalls auf der externen Festplatte gesichert und versucht, davon nun von diesem/meinem PC eine DVD zu brennen.
    Beim Öffnen der eRecoveryUI.exe gibt’s aber leider immer wieder eine Fehlermeldung „Acer eRecovery Management UI funktioniert nicht mehr“.

    Vermutlich geht das nur von ihrer Festplatte aus – aber die lässt sich wiederum nur mit der Knoppix CD aktivieren, womit der DVD Brenner belegt ist. Bin ratlos, wie wir weiter vorgehen sollen.

    Kann jemand helfen?

    • @ Harald

      Der Rechner bootet also auch nicht mal mehr in das ganz normale Windows rein – korrekt?
      Wenn ja, gibt es eine Fehlermeldung?
      Wenn nein, was passiert ansonsten?

      Mit Knoppix könnte man auch die lästige BKA-Ransomware zumindest soweit entfernen das Windows wieder startbar wäre. Dies bringt natürlich nur was, wenn Windows auch jetzt schon (wohl mit der Ransomware) starten würde.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  37. Hallo
    Also wir haben uns in der firma denn BKA virus eingefangen Das einzige problem was ich habe ist das ich im abgesichertem Modus immer nur nen blue screen bekomme egal in welcher variante ob mit netzwerk treiber oder eingeabe aufforderung ! Ideen !?
    gruss der benny

    • @ Benjamin S

      ICh könnte ja jetzt erst mal fragen was für ein Antiviren/ANtimalware-Programm denn eingesetzt wird? Warum eure IT-Abteilung/der IT-Dienstleister anscheinend/vermutlich nicht in der Lage ist Microsoft/JAVA/Flash Updates zu installieren (und wenn es über die Gruppenrichtlinien auf dem Server gesteuert würde)…aber naja das wäre alles ein anderes Thema.^^

      Im Endeffekt bestehen jetzt erstmal zwei Möglichkeiten (Was mir auf Anhieb einfällt)…
      Entweder habt ihr bzw. besorgt ihr Euch eine Boot-CD/DVD mit der ihr den Rechner ohne Windows starten zu müssen scannen könnt.
      Oder eventuell funktioniert der Login mit einem anderen Benutzer ja, ohne dass das vermeintliche BKA-Teil auftaucht.

      Doch noch eine Idee…Euere IT-Abteilung oder euer Dienstleister ist MSDN-Kunde und hat damit Zugriff auf eine ERD 5.0 oder DART 6.0/6.5 CD von Microsoft.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  38. Hey, ganz ganz kurze Frage:
    Es ist ja beschrieben, dass man als erstes offline gehen soll, WLAN ausschalten etc.
    Dazu wollt ich schnell wissen: Ist es absolut nötig, vom Internet getrennt zu sein oder funktioniert das Entfernen auch wenn man nebenher eine Internetverbindung aufrecht hat?

    Puh, ich muss jetzt erst mal auf den Bau und kann mich erst heut Abend um den Trojaner kümmern =(

    Gruß

    • Nein, es ist nicht unbedingt notwendig! Da ich mir aber nicht sicher wäre, was der Trojaner im Hintergrund noch so treibt – z.B. irgend welche Daten vom Rechner ausspionieren – würde ich diese Verbindung bei jeglichem Verdacht auf eine Schadsoftware auf dem Rechner sofort trennen.

    • @ Dave

      Das Internet sollte aus mehreren Gründen erst mal aus sein (wie es Daniel ganz oben schon beschrieb).
      1. Keine weiteren unkontrollierten Tätigkeiten der (eventuelle nur) Ransomware.
      2. Das Bild will eh keiner sehen.^^
      3. Manche Varianten starten erst wenn eine Internetverbindung besteht, man hat also ohne eine Netzverbindung erst mal die besseren Chancen.

      Reicht das als Grundangaben?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  39. oh, und dann noch eine Frage:
    Es wurde ja beschrieben, warum man NICHT bezahlen sollte und dass bezahlen eh nichts bringt weil dadurch wahrscheinlich eher noch mehr malware runtergeladen würde usw.
    Trotzdem wollt ich wissen:
    Gibt es noch keine „Code-Sammlung“ oder so?
    Irgendwie muss man ja einen Code erwerben, das heißt es müsste doch theoretisch verschiedene Codes geben, die man eingeben kann – nur eben jeden nur einmal.

    • Es ist völlig egal was du in diesem Feld eingibst. Der Trojaner ist nicht dafür vorgesehen sich dann „selbst zu zerstören“. Du könntest, wenn das unbedingt probieren möchtest, einfach mal nur eine 10 € Überweisung durchführen. Die 10 € sind dann genauso weg, wie die 100 €.
      Es gibt also keinen Freischalt-Code o.ä.!

    • @ Dave

      Es gibt insofern keine Codesammlung, weil diese Codes ja bei der Tanke um die Ecke gekauft werden.
      Es gibt aber Generatoren oder auch Seiten im Netz wo gezeigt wird was für Nummern man so eingeben kann/könnte und mit welchen es eben nicht geht, weil ein bestimmtes „Format“ erwartet wird.

      Das ganze mit dem Bezahlen hat leider halt einfach deswegen keinen Sinn, weil die Ransomware auch nach dem eigentlich bezahlen darauf aus ist noch mehr Geld zu erpressen und einfach nicht verschwindet.
      Weiterhin gibt es seit Monaten mittlerweile modifizierte Versionen die nicht nur weiteren „Nützlinge“ im Hintergrund runterladen, sondern fast noch schlimmer, alles mitloggen was man eintippt und dies dann versenden.
      Also alle Passwörter und sonstigen eventuell nicht für die Programmierer gedachten Dinge.

      @ Daniel Weihmann

      Der Code für eienr 1er-Karte ich hat ein anderes „Muster“ als der einer 100er-KArte oder halt dem was gefordert ist.
      Daher wird es (meines bisherigen Wissens nach) fehlschlagen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  40. Hallo Simon,

    seit meinem Virus habe ich mich intensiver mit Windows XP befaßt.

    So unter anderem mit Autoruns von SysInternals. Das zeigt eine Vielzahl von Dateien an, die, wenn ich das richtig verstanden habe, beim Systemstart ausgeführt werden. Ich habe das zunächst an einem anderen Comp ausprobiert, ohne daß Probleme aufgetreten sind.

    An meinem Haupt-Internet -Comp gibt es drei Konten: 2 sind eingeschränkt, eines ist ein Admin-Konto. In diesem Admin-Konto habe ich autoruns laufen lassen, bei ca. 20 Einträgen sagte er file not found und gibt den Pfad der Datei an, die er nicht finden kann. Von der Logik ausgehend, daß nicht gefundene Dateien keinen Nutzen haben und ergo keinen Schaden anrichten können, habe ich einen Teil dieser Einträge gelöscht, bei den übrigen das Häkchen entfernt.

    Seit dem Neustart geschieht folgendes: Erstartet normal, zeigt meine 3 Konten. Wenn ich auf eines klicke, sagt er kurz: Benutzer einstell.. und gleich darauf Benutzer abmelden. Das pasiert bei allen drei Konten.

    Was tun

    Gruß
    Peter

    • @ Peter Zeller

      Na ich hoffe es gibt einen Systemwiederherstellungspunkt oder besser noch ein Backup.^^
      Denn jetzt wurden Einträge aus der Registry entfernt die drin sein müssen für einen sauberen Login. Zum Beispiel dürften jetzt Pfade zur C:\windows\system32\userinit.exe fehlen bzw. fehlerhaft sein.

      Im Endeffekt bleiben jetzt außer einer Systemwiederherstellung, einer Backuprückspielung nur noch 2 Punkte (meines Wissens nach):
      1. Zurückspielen einer neueren Registry-Datei bzw. der ursprungsregistry direkt nach der Systeminstallation.
      2. Die Neuinstallation des Systems.

      Zu 1. gibt es von Microsoft eine Hilfeseite, welche aber nur die Standard-Registry wieder herstellt. Dabei gehen dann aber auch ALLE Installierten Programme über den Jordan (sprich sind bis zur Reinstallation nicht mehr Startbar! Weiterhin werden alle Treiber über Board geworfen und müssen per Rechte Maustaste > Treiber aktuallisieren [in der Verwaltung – Gerätemanager] wieder reaktiviert werden – Da sind diese ja schließlich immernoch.^^)

      Die Vorgehenseise dafür wäre dann in der Eingabeaufforderung:

      cd c:
      md tmp
      copy c:\windows\system32\config\default c:\tmp\default.bak
      copy c:\windows\system32\config\sam c:\tmp\sam.bak
      copy c:\windows\system32\config\security c:\tmp\security.bak
      copy c:\windows\system32\config\software c:\tmp\software.bak
      copy c:\windows\system32\config\system c:\tmp\system.bak

      Im Verzeichnis c:\windows\repair befinden sich Registry-Dateien vom Zeitpunkt der ursprünglichen Installation des Systems. Diese sollten funktionstüchtig sein und können zumindest das Booten des Systems wieder ermöglichen. Aus diesem Grund kopieren wir die Dateien des Ordners an die Stelle, wo Windows die Registry erwartet:

      copy c:\windows\repair\default c:\windows\system32\config\default
      copy c:\windows\repair\sam c:\windows\system32\config\sam
      copy c:\windows\repair\security c:\windows\system32\config\security
      copy c:\windows\repair\software c:\windows\system32\config\software
      copy c:\windows\repair\system c:\windows\system32\config\system

      Zu 2. brauche ich wohl nicht mehr viele Worte verlieren. :-|

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  41. Hallo, ich komme bei Windows 7 einfach nicht in den abgesicherten Modus, egal was ich mach, ob F8 oder sonst was vor dem Start. Egal in welchem Modus ich Windows öffne, es passiert immer das gleiche: Es versucht nur diese Seite mit der GEMA zu öffnen, die aber nicht angezeigt werden kann, da ich ja nicht mit dem Internet verbunden bin.
    Gibt es irgendeinen Trick, um trotzdem in den gesicherten Modus zu kommen?

    • @ mr dave

      Das klingt nicht gut…^^ (Aber das dürfte schon klar sein.)

      Das hört sich schwer nach der Variante an, welche ich demletzt mir viel Mühe bei einer Kundin entfernt habe.
      Das sich deren Laptop allerdings auch bestens dagegen wehrte von Linux-BootCD/DVDs zu laden, war es gleich doppelt schwer.

      Im Endeffekt konnte ich nur mit einer ERD 5.0 CD (aus dem Microsoft MSDN Paket welches wir in der Firma haben – für Windows XP) den passenden Entrag aus dem Autostart rauswerfen und erstmal grob die Datei(en) entfernen.

      Wenn es wirklich genau DAS GEMA-Teil ist, dann steckt dies an den blödesten Orten fest.
      Ich bin dabei mir zu überlegen wie ich dazu eine passende neue Seite eröffnen könnte.
      Bitte sende mir/senden Sie mir doch eine Mail, wenn sich das Problem nicht mit einer Boot-CD/DVD wie z.B. Knoppix einfach so beheben lässt.
      Dann versuchen wir das ganze erstmal solange so, bis ich was neues Kreiert habe.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Na, verdammt…!

        Nun ja, ich lass mal jemanden dran, der sich etwas besser auskennt. Ich meld mich nochmal, wies lief :|

        Btw: Bei mir wärs nicht SO dramatisch, wenn ich formatieren müsste.
        Es gibt doch die Option „Sichere Zerstörung der Daten“ – wär das die finale und auch sichere Lösung?

    • @ Dave

      Wo gibt es diese Option?
      Muss ja zugegeben das ich aktuell nicht weiß wo diese Option bei einem regulären Windows stehen sollte.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • simon:

        Uff…. da fragst mich jetzt was.
        In allem was VOR dem tatsächlichen Start von Windows passiert, kenn ich mich nicht so aus. Also alles was im BIOS usw. ist.
        Folgendes:
        Ich hab diesmal nicht F8 gedrückt, sondern esc, so dass ich in dieses Setup komme wo man dann in den BIOS gehen kann oder Systeminformationen oder den Loacres-Reader (oder wie der noch hieß :D ) benutzen kann.
        Da bin ich dann auf die Systemwiederherstellung gegangen. Dann öffnet sich ein schwarzes Fenster wo man Eingaben machen kann. Das müsste so ähnlich aussehen wie die Eingabeaufforderung im abgesicherten Modus. Bin mir aber nicht sicher… Auf jeden Fall: Bevor man allerdings irgendwas eingeben kann, öffnet sich eine Art Guide zur Systemwiederherstellung aber der sagt wenn man dann auf „Weiter“ klickt „führt das zum Verlust sämtlicher Daten“ oder so.

        Alles sehr verwirrend für einen Laien :)

        ABER mir wurde gesagt, dass mein Laptop von einem IT-Experten gerichtet wurde mit Erfolg. -> Systemwiederherstellung etc.

        Deswegen brauchst dich jetzt nicht arg weiter damit beschäftigen ;) :) Aber danke!
        Das wurde mir jetzt auch nur gesagt, vll stimmts ja gar nich und ich komm in ein paar Stunden wieder angekrochen :]

    • @ mr dave

      Na scheint ja geklappt zu haben…^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  42. Diese behinderte virus geht mir langsam auf die nerven.4 tage meines lebens !!!Ich habe in Computer bei „Suchen“ „exe“ eingegeben einfach alle dateien nach datum ansehen. Da stand wpbt1.dll datum 16.02.2012 22uhr28min genau der punkt wann es passserte.Habe das sofort gelöscht, es hat nichts gebracht.Dann noch zwei tage:Norton,KasperskyWindowsUnlocker(gleich nach dem ausfuren startet PC mindestens 1 mal),wiederherstellungpunkte 20 mal geladen(also diese letzte variante macht auch punkte kaput) nichts gebracht.
    Und dann die Sonne !! Ein licht !! Ein mann !! Ein Gott !! Ein held !! Und der heist Simon !
    Nach dem ich punkt 14 ind 14.1 gelesen habe habe ich unter „Alle programme “ “ Autostart “ nachgeschaut .Was sehe ich dort ? wpbt1.dll – virus start datei .Also habe gelöscht jetzt startet Windows gans normal.Ohne tip von Simon hatte ich nie das gefunden.
    Wenn das alte ,eifache variante ist warum hat er wiederherstellung kaput gemacht ??

    • @ Tom

      ich sag mal recht herzlichen Dank für die ganzen Komplimente.
      Ich bin ja gerne mal ein Held, das ich männlich bin kann ich auch bestätigen, das auch mir mal ein Licht aufgeht – stimmt auch…Aber bei Sonne und ein Gott, muss ich doch strikt verneinen.^^ ;-)

      Immer wieder schön zu lesen, wenn jemand es vermutlich geschafft hat sein System wieder „sauber“ zu bekommen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Nachtrag:

      Unter Punkt P14.1 habe ich deine Datei mit eingetragen und ein wenig recherchiert.
      Im Endeffekt ist es ein Nachfolger von wpbt0.dll und damit git leider ebenso das dort stehende:
      wpbt1.dll (Trojan.FakeMS) [> Virus mit selbem Dateinamen | Systemneuinstallation empfohlen!]

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  43. ES GEHT SIMPLER!

    im web hängt ein alter leerer Rechner.
    der hat NIE kONTAKT zum restlichen System.
    der Rest ist logisch…. out

  44. Hallo!

    Ich habe hier bezüglich des Bundespolizei Trojaners für Windows 7 Nutzer einen Lösungsansatz gefunden.

    Ich bin zwar Laie aber hab das Ding trotzdem ziemlich einfach weg bekommen.

    Der Trojaner hat unter C:\ProgramData eine Textdatei namens „REGSVR32.EXE-x.txt“ angelegt. Darin folgender Text:

    13.12.2011 18:00:04 | Start File: C:\Users\Philipp\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup.5733043331895665.exe.lnk
    13.12.2011 18:00:04 | RUNDLL32 Start Complite

    Diese Verknüpfung im Autostart verwies einerseits auf die run32.dll (oder so ähnlich, in system 32) und andererseits auf die richtige 0.5733043331895665.exe Datei im temp Ordner!

    Die habe ich gelöscht und jetzt funktionierts. In der Registry hab ich nichts gefunden…

    • @ HotTottie

      Woher die Textdatei kommt und ob diese wirklich von der Ransomware/vom Trojaner/vom Virus selbst stamt, kann man leider nicht mehr sauber nachvollziehen…würde ich sagen.

      Aber ich würde auch Dir/Ihnen nochmal folgendes Posting empfehlen: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-25#comment-6600

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  45. Ich habe einfach mit hilfe des Gast-Kontos den betroffenen Benutzer gelöscht und einene neuen erstellt.
    ich konnte meine daten sogar noch sichern.
    Meine Frage ist ob der Virus immer noch auf dem Leptop ist?
    (habe es erst nach der Anleitung versucht, kamm allerdingd bei Punkt 8 nicht weiter da bei mir scho explorer.exe drin stand und die Hilfestellung für mich als Blutiger anfänger es nich verstehe)
    Sollte ich den leptob lieber ganz Plat machen?
    mfg
    Jannik

    • @ Jannik

      Führe bitte im Abgesicherten Modus einen Scan mit „MalwareBytes AntiMalware“ von z.B. CHIP.de aus.
      Danach am besten noch einen Scan mit einer Antiviren-BootCD/DVD.

      Wenn Du willst, sende mir danach die LOG-Datei(en) per Mail zu.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  46. ich bin es nochmal habe folgenes gefunden unter das hier
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run da habe ich folgene datein gefunden heissen
    jusched.exe
    skytel.exe
    ravcpl64.exe
    jaanotif.exe und apoint.exe
    und unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    habe ich gefunden
    photojoy.exe
    googleupdate.exe
    und sind diese exes die trojaner dateien oder muss ich weiter rein und suchen
    ich habe diesen trojaner wieder bekommen und habe das folgene programm runtergeladen paintshoppro x4 ich glaube von da kommt diesen trojaner her sobald ich das programm halb weg installiert habe ist wieder das fenster hoch gekommen

    • @ schmidtm

      Für mich hört sich keine dieser Dateien auf Anhieb „schlimm“ an, sondern teilweise eher bekannt als Programme die halt Vorinstalliert auf z.B. Laptops mitkommen.

      Sicherheit bekäme man da zumindest einigermaßen, mit einem Check mit „MalwareBytes Anti-Malware“ von z.B. CHIP.de
      Einfach mal im Abgesicherten Modus ausführen und bei ggf. vorliegenden Funden mir mal die LOG-Datei zusenden. (Mail)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  47. Hilfe ich Hänge bei Punkt acht total fest,Simons
    Hilfe hilft mir nicht, weil ich nix checke :/
    Kann vllt jemand telefonisch helfen?vG

  48. Hi ist es egal wie diese Seite aussieht?
    Ist es immer ein Virus
    Ich war gerade auf Kin****.to und plötzlich kommt diese Seite
    Was soll ich tun ?
    Die 100 Euro zahlen ? oder Nicht?

    • Natürlich nicht zahlen @Robin!

    • @ Robin

      Um deine/Ihre Fragen zu beantwort:
      1. Ja es kann teilweise ganz anders aussehen.
      2. Nein es war in den ersten Versionen nur „Ransomware“ (sprich Lösegelderpressung)
      3. Was Du machen sollst – siehe oben bzw. meine Seite.
      4. Bezahlen bringt nur 3 Dinge
      + Loch im eigenen Portmonaie
      + Geld an die Erpresser
      + Keine Veränderung am gesperrten Computer

      Und noch ein kleiner Hinweis:
      Die von Dir/Ihnen besuchte Seite ist illegal.
      Die Vorgängerseite wurde nicht umsonst geschlossen und nicht umsonst werden auch dort jetzt – eventuell – bald User ein Schreiben vom Anwalt bekommen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  49. Hallo ihr Lieben,

    meine Freundin und ich haben mal eine Frage;
    und zwar haben wir die Punkte oben alle befolgt, allderdings steht bei dieser „Shell“ Datei bereits „explorer.exe“ …
    Jetzt kommen wir nicht mehr weiter.
    Wir haben bereits Die Punkte von „Simons Hilfestellung“ durchgelesen, aber das ist für zwei Mädchen einfach zu kompliziert.
    Hat irgendjemand von euch vielleicht dass selbe Problem und kann uns weiter helfen?
    Schon jetzt lieben Dank!

    • @ Mechel (alias die zwei Mädchen :-) )

      Meldet euch bitte einfach mal bei mir per Mail.
      Vielleicht kann ich dann besser deine/Eure Frage/n klären, bzw. euch direkt helfen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  50. Thorsten Zellner | 25. Februar 2012 um 21:08 | Antworten

    Hallo Leute,ich hab mir den Trojaner heute auch eingefangen und wollte ihn mit der obigen Anleitung wieder los werden,allerdings geht mein Laptop nach Schritt 4 einfach aus,als ob der Akku leer wäre,is aber egal ob es am Netz hängt oder über Akku läuft,ich komme also gar nicht erst in die Nähe der registry!
    Was kann ich da tun,hab übrigends XP Home Edition!

    • @ Thomas Zellner

      Funktioniert denn einer der beiden Abgesichterten Modusarten OHNE das der Laptop einfach ausgeht?

      Wenn ja, dann bitte bei mir per Mail melden.

      Alternativ schon mal mit einer Boot-CD/DVD ausprobiert?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Thorsten Zellner | 26. Februar 2012 um 05:32 | Antworten

        Hallo Simon,
        es funktionieren keine abgesicherten Modis und auch der der BOOt-Stick von Kapersky geht nicht!
        Was funktioniert ist das Ubuntu-System mittels USB-Stick,aber da bekomme ich keine Verbindung ins Internet mittels dem WebCube!

    • @ Thorsten Zellner

      Muss ja offen gestehen das ich langsam aber sicher ncihts mehr von der Boot-Stick Variante halte.
      So viele Leute hier haben damit schon Probleme gehabt und nur weniger Erfolg.
      Wiederum habe ich persönlich zumindest noch fast keinen Kommentar gelesen, in dem die Boot-CD-Variante nicht funktioniert hat (von Kaspersky).

      Wenn ein Ubuntu nicht ins Netz kommt, dann evtl. ein Knoppix?!

      Egal welches von beidem, theoretisch kann man auch dort wunderbar zumindest nach der Schaddatei selbst schauen und diese entfernen.
      Auch dort sind die Orte im Endeffekt dann die, welche bei mir in Punkt P14 aufgelistet sind (mal abgeshendavon, das sich das ganze unter einem Linux dann nicht C:\ sondern z.B. Platte/Mountpunkt „sda“ nennen sollte.

      Sollte z.B. eine Onlineverbindung mit Knoppix möglich sein, so wäre damit auch eine direkte Hilfe meinerseits möglich.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Thorsten Zellner | 26. Februar 2012 um 10:03 | Antworten

        @Simon:
        ich bin echt so langsam am verzweifeln,habe jetzt die Kaspersky Rescue CD gebrannt und laufen lassen,zuerst sah es auch recht gut aus,doch dann ist das Laptop plötzlich wieder ausgegangen!?

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*