Beitrag wurde zuletzt am aktualisiert

Bundespolizei Trojaner entfernen

Bundespolizei Virus / Trojaner entfernen

„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.

Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!

Schritt für Schritt Anleitung


Neue Varianten vom BKA-Virus (Bundestrojaner) im Umlauf! Alle Informationen + Videos zum Entfernen der Schadsoftware im GVU-Trojaner 2013 Beitrag, falls diese Tipps nicht zum Ziel – der vollständigen Wiederherstellung des Rechners – führen sollten

Die ersten Schritte bei Problemen dieser Art

Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!

  1. Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
  2. Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
  3. Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
  4. Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
  5. Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
  6. Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.

Anleitung zum Löschen des Bundespolizei Virus

Bundespolizei Virus - Bildschirm eines infizierten Windows PCs

Bundespolizei Virus – Bildschirm eines infizierten Windows PCs

  1. Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
  2. Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten

Windows im abgesicherten Modus starten

  1. Windows startet nun in einer Art Minimal-Konfiguration.
  2. Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
  3. Den Befehl regedit eingeben und [Enter] drücken
  4. Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
  5. Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
  6. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
  7. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
  8. [OK] klicken und das Registry-Fenster schließen [x].

Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.

Windows-Registry - Pfad zur jashla.exe

Windows-Registry – Pfad zur jashla.exe

Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.

Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).

Den Rechner jetzt ganz normal neu starten

Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.

Rechner auf Schadsoftware prüfen

Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus
, das hier gratis herunter geladen werden kann.

Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.


Was heißt, der Spuk ist „erst mal“ vorbei?

Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.

Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!

Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …

134 Kommentare zu "Bundespolizei Trojaner entfernen"

  1. Thorsten Zellner | 26. Februar 2012 um 10:46 | Antworten

    @Simon:bin mit der REscue CD jetzt in der Regestry und im Shell-Pfad befindet sich ein explorer.exe Verzeichnis,allerdings kenn ich mich jetzt nicht wirklich aus,da es ja mehrere Möglichkeiten gibt und bin auch mit dem infizierten Laptop online!

    • @ Thorsten Zellner

      Dann melde Dich/melden Sie sich mal bei mir per Mail…dann bekommen wir das ganze bestimmt (schneller) hin.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Hab mir den BKA virus auch eingefangen, nur da steht schon explorer.exe drin. Was muss ich nun tun ?

  2. Der Virus heißt bei uns: saletoc.exe
    Unser Virensystem hat sofort angeschlagen und nach Rückfrage den Virus in die Quarantäne geschoben.
    Somit war er auf üblichem Wege nicht mehr sichtbar.
    Nach Rücksetzung im abgesicherten Modus wurde der Name des Virus und sein „Aufenthaltsort“ sichtbar.
    Nun konnte man ihn manuell löschen.
    Eregebnis nach Neustart mit Virenscaner und Bootsequenz auf Rootkits scannen: Rechner Virenfrei

    • @ Uwe Schlüter

      Danke für die Nachricht, ich habe es auf meiner Seite vermerkt.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  3. Hallo bei mir steht schon Explorer.Exe drin bei Shell was mach ich jetzt verstehe nicht sprecht was der Text unter dem Screenshot bedeutet bzw wie ich weiter vorg
    ehen muss bitte um schnelle Rückmeldung LG Kathrin

  4. hilfe virus der bundespolizei…hab alles probiert aber geht nicht,,wer hilft mir dabei???

  5. der virus heisst:atieclxx.exe aber wie krieg ich es weg

  6. bei mir steht auch schon Explorer.exe in der Shell,
    und es gibt weder jashla.exe, mahmut.exe, mahmud.exe, saletoc.exe, atieclxx.exe noch iuk4h195.exe auf der Festplatte;
    antivir behauptet, keine Viren gefunden zu haben. Wat nu?

    • @ Holger

      Sende mir bitte mal eine Mail, ich denke so kommen wir ermutlich am schnellstens ans Ziel.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Ist atieclxx.exe tatsächlich Virus? Es gibt Forenbeiträgen, die sagen dass es zum System gehört und kein Virus ist. Wie kann ich es unterscheiden?

  7. Habe mir den Virus/Trojaner eingefangen (Bundespolizei). Ich muss nach dem Start mein Passwort eingeben, außerdem erscheint, dass Windows fortgesetzt wird u. die Seite Bundespolizei erscheint. Was kann ich tun. Danke

  8. Fortsetzung.
    Es scheint sich um eine neue, heimtückischere Variante des BP-Trojaners zu handeln, der man jedenfalls mit den herkömmlichen Mitteln, d.h. ohne das System neu aufzuspielen, nicht so leicht beikommt.
    Offenbar wird der Angriff doppelt gestartet:
    1. hat sich der Virus gezielt dasjenige meiner Programme herausgesucht, das ich am seltensten – fast nie – benutze, nämlich den Ulead Smartsaver, eine Bildbearbeitungssoftware, die ich irgendwann mal aufgeladen hatte, weil ich sie auf einem früheren Computer ab und zu benutzte.
    Dort wurde die Datei ulead.exe ersetzt durch ssmainui.exe
    Zugleich wurde der gesamte Ulead-Ordner verschoben von Programme nach Windows.
    Nachdem ich ds mal raushatte und alles von Ulead komplett beseitigt hatte, war aber am System immer noch irgendwas vermurkst. Ich habe also im Sicherheitsmodus die Datei explorer.exe mit dem copy-command durch eine alte Datei explorer.exe ersetzt, aber auch das ist noch keine echte Lösung. Ich kann jetzt zwar wieder ins Internet, und auch sonst funktioniert theoretisch fast alles, aber wesentlich langsamer als früher. Außerdem spielt YouTube keine Videoclips mehr ab, und die Kiste fragt mich ständig, ob ich eine neue Version des Adobe Flashplayers installieren will – ich traue mich aber nicht, weil ich argwöhne, daß hinter dieser Anfrage wieder der BP-Trojaner steckt.
    Hat irgendjemand einen aktuellen Lösungsvorschlag?
    Norton Power Eraser habe ich laufen lassen, der wird mit dem Problem nicht fertig, und die Systemwiederherstellung ab letztem Speicherzeitpunkt will auch nicht – warum, ist mir unerklärlich, der 24.2.2012 ist fettgedruckt, müßte also wiederherstellbar sein, das System tut auch so als ob, aber beim Wiederhochfahren meldet es dann, daß es leider nicht geklappt hat und daß der Computer unverändert ist.

    • Hi, ihr alle! Hab das Problem recht simpl gelöst im geschützten Bereich eine Systemwiederherstellung initialisiert (Wiederherstellungszeitpunkt ca. 24 Stunden vorher)!!! Hat super geklappt – Trojaner weg und alles klappt ganz normal!

      • Hi Simon,

        habe gestern am 28.2.2012, nach dem Befall, im abgesicherten Zustand mit Eingabeaufforderung per rstrui.exe die Wiederherstellung des Computers zum früheren, funktionsfähigen Zustand (24.02.2012) erreicht.

        Scheint alles normal zu sein.
        F-Secure hatte den Befall nicht verhindert und findet auch jetzt nichts.

        Sollte ich dennoch den Auslieferungszustand wiederherstellen? Falls ja und ich jetzt Dateien sichere, übertragen sie dann evt. die Schadsoftware auf das neu aufgespielte Sytem?

        Vielen Dank für die Hilfen dieser Seiten!

      • Hallo,

        hatte „IHN“ mir auch eingefangen. Die von daniel geschilderte Variante, im geschützten Bereich eine Systemwiederherstellung zu machen, hat bei mir super gefunzt!! Kann ich nur empfehlen u. dem „daniel“ ein großes „DANKE SCHÖN!!!“

      • @ daniel

        Funktioneirt leider nicht mehr bei jeder Variante.
        Weitehrin würde ich dringend noch einen Scan im Abgesicherten Modus mit „MalwareBytes Anti-Malware“ anraten und sofern irgendwie machbar, ebenfalls noch einen Offline-Scan mit einer Antiviren Boot-CD/DVD.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

      • Habe mirauch den Virus eingehandelt. hatte auch in der Shell = Explorer.exe stehen. Habe dann im abgesicherten Modus ebenfalls die Systemwiederherstellung mit rstrui.exe durchgeführt. Das hat einwandfrei geklappt. Ich hoffe, das ist damit nun ausgestanden.
        VG

    • @ Gunia

      Führe bitte als MINIMUM im „Abgesicherten Modus“ mit dem Programm „MalwareBytes Anti-Malware“ einen Scan aus.
      Das Protokoll sende mir bitte danach dann per Mail zu.
      Danke.

      Weiterhin würde ich einen Offline-Scan mit einer Antiviren Boot-CD/DVD empfehlen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  9. Hallo, hatte heute auch den Virus drauf. Ich hatte so eine Panik. Das könnt ihr euch nicht vorstellen.

    Hab dann aber erstmal Ruhe bewahrt & den PC ausgemacht.

    Erst wusste ich nicht was ich machen sollte & dachte mir „Scheiße, jetzt kannst du danach nicht googlen, der PC geht ja nicht.“

    Naja in der ganzen Panik & Aufregung habe ich nicht daran gedacht einfach mein Handy zu nehmen :D

    Erstmal war ich beruhigt dass das nicht echt ist & ein Virus ist.

    Habe dann versucht mein Problem mit dieser Anleitung zu beseitigen, ging nicht. (Anleitung war aber klasse beschrieben!)

    Hab den Virus dann mit „Norton Power Eraser“ entfernt. Hat super geklappt!

    Meiner hieß „mserkc.exe“.

    Warscheinlich habe ich deswegen vorher nichts gefunden, weil ich nur nach diesem „jashla“ geguckt habe :)

    Ich hatte vorher auch nur AntiVir drauf & zwar ne Free-Version. Dachte immer das reicht, jetzt weiß ich aber es reicht definitiv nicht!

    Habe mir vorhin ein Programm von Norton gekauft, war nicht billig. Aber naja, mir war es das wert.

    So, ich musste auch einfach meinen Senf dazu abgeben ;)

    Danke nochmal für die Anleitung & diese Seite.

    LG :)

    • @ Sarah

      Danke für deine ausführliche Erläuterung.
      Den Dateinamen habe ich auf meiner Seite vermerkt.

      Zugegeben, Norton wäre nicht meine Wahl gewesen, aber jetzt hast Du ihn zumindest ja erst mal für ein Jahr.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  10. Also der Computer eines Freundes wurde auch von dem Virus/trojaner infiziert

    bin auch gerade dabei in zu deinfizieren
    und mir ist dabei aufgefallen das er die seite hier aufruft:

    (Sry wenn schon bekannt)
    könnte man jetzt rechtliche Schritte gegen den Betreiber einreichen?

    • @ Michael
      @ All

      Als erstes sei gesagt, bitte KEINE vollständigen IP-Adressen hier hinterlassen.
      Wen, dann sende bitte Herrn Daniel Weihmann (BLOG-Betreiber) oder mir eine Mail dazu.
      Vielen Dank.

      Man kann damit bestenfalls beim BKA oder dem BSI eine Anzeige erstatten. Eine normale Polizeidiorektion wird besonders mit der IP (so vermute ich) nicht wirklich etwas anfangen können.
      (Siehe dazu auch einen der letzten Punkte auf meiner Seite.)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  11. Also ich hab mal ne frage ist es möglich das mir jemand eine windwos-7 32bit “ explorer.exe “ irgendwie per e-mail schicken kann weil habe momentan keinen der mir die datei auf die schnelle auf einen stick ziehen kann .. würde mich freuen über schnelle antwort ..

    lg björn

  12. Wie komme ich in den abgesicherten Modus? Bei mir funktioniert das irgendwie nicht. Kann mir jemand helfen?

    • @ Christine

      Bitte beim Computerstart mehrfach hintereinander die Taste [F8] drücken.
      Dann sollte theoretisch die Auswahl kommen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  13. Abschlußbericht (hoffentlich ;-)
    Also… erstmal vorweg: Das Wiederherstellen wäre inzwischen keine Option mehr gewesen (selbst wenn es geklappt hätte), weil der letzte, vom System automatisch erzeugte Zeitpunkt nach dem Virenbefall lag.
    Aber ich habe jetzt herausbekommen, wieso der Norton Power Eraser bei mir versagt: Er löscht zwar eine Datei, die er als infiziert erkannt hat, aber der clevere Virus erzeugt offenbar immer gleich eine neue unter anderem Namen, und zwar als „versteckte“ Datei. Da habe ich nochmal den abgesicherten Modus eingeschaltet und bin dorthin gegangen, wo die infizierte Datei (die letzte hieß subjmcomrim.dat) lag, nämlich im Ordner „Anwendungsdateien“, und siehe da, es tauchte eine andere unbekannte Datei auf, nämlich mirmocmjbus.dat, und gleich daneben eine Datei mit Bandwurmnamen, nämlich F302EBE…(insgesamt 31-stellig!).exe
    Die habe ich dann beide einfach gelöscht (auch aus dem Papierkorb), und dann war der Spuk vorbei – ich hoffe dauerhaft, sonst muß ich Simon halt doch noch mit einer Mail belästigen.

    • @ Holger

      Mach bitte mal einen Scan mit Kasperskys „TDSS-Killer“ (Bei den Optionen den 4ten Haken aktivieren).
      Das ganze riecht mir verdammt nach einem Rootkit.^^

      Sollte was gefunden werden, schreibe mir den Fund ab, oder packe es in eine TextDatei/Log-File und sende es mir bitte zu. (Mail)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Hmmm… ich habe den tdsskiller heruntergeladen, schon beim entzippen hat avira gemeldet, daß da malware in der .exe-Datei sei. Ich hab’s trotzdem zuendeentzippt, aber nun schaltet sich avira wieder ein und meldet:
        „Der Zugriff auf diese Datei wurde verweigert…“
        Wat nu? Einerseits vertraue ich Avira nicht mehr, andererseits – warum soll ich ein Risiko eingehen? Die Kiste läuft ja jetzt wieder, und eigentlich besser als je zuvor!

        • @Holger: Ich kann mir durchaus vorstellen, dass ein AntiViren-Programm ein anderes AntiViren-Programm als vermeintlichen Schädling betrachten kann. Schließlich greifen diese Security-Tools sehr tief ins System ein …

          Wenn du Kaspersky TDSSKiller von einer vertrauenswürdigen Seite (am besten vom Hersteller) herunter geladen hast, dann kannst du Avira an dieser Steller mit sicher grünes Licht geben und der Kaspersky-Anwendung vertrauen.

      • Nachtrag: Was Avira im TDSSkiller.exe moniert heißt
        TR/Crypt.ULPM.Gen

        • Und nein, ich kann Antivir kein „grünes Licht“ geben, denn es fragt nicht, sondern weigert sich auch bei wiederholten Versuchen, die Ausführung des TDSSkillers zuzulassen.
          Die Zipdatei habe ich von mehreren Seiten nacheinander – u.a. einer, die ich für die von Kaspersky halte, aber die nennen sich ja alle so ähnlich – heruntergeladen, jedesmal mit dem gleichen Resultat.

        • @ Holger

          Genau das selbe Phänomen hate ich gestern auch.
          Das Problem liegt daran, das ein Rootkit auf dem System im MBR der Festplatte installiert ist.
          Jedes Programm oder zumindest jedes Schutzprogramm wird automatisch infiziert ud ist damit mit eingeschaltetem Virenscanner nicht mehr ausführbar.

          Weiterhin kann man davon ausegehen das Avira mittlerweile „umprogrammiert“ ist und Sachen als falsch erkennt die eigentlich gut sind.

          Mit freundlichem Gruß,
          Simon

          (Fachinformatiker für Systemintegration)

  14. Hallo Simon
    hab leider auch diesen Virus/trojaner
    bei mir ist es der Österreichische (sofern das einen Unterschied macht)
    hab alles nach deinen angaben gemacht nur bei Shell steht explorer.exe ( nicht die o.a.exe )
    kann den Computer nurmehr im abgesicherten modus starten

    • @ Michael

      Nein, es macht nach meinen bsiherigen Erfahrungen keinen Unterschied ob die Angezeigte Variante die Deutsche ist oder nicht.

      Wurde schon im Abgesicherten Modus ein Scan mit „MalwareBytes Anti-Malware“ gemacht?
      Wenn ja, könnte ich die LOG-File bekommen (Mail)?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Hallo Simon ,

        danke das programm MalwareBytes Anti-Malware hat bestens funktioniert ! leider hab ich die Log Datei nicht mehr !
        da es nur eine testversion ist muss ich mir sorgen machen ??
        Danke für deine Hilfe !!!!!

    • @ Michael

      Suche mal nach Dateien mbam-*.txt.
      Damit solltest du eigentlich die von MalwareBytes selbst angelegten Log-Files ausfindig machen können.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Hello Simon ,
        Sorry konnte auf dem Computer die log datein nicht finden ( auch nicht als versteckte )
        Ist es trotztem ratsam den Computer neu aufzusetzen ?
        grüße

  15. Thorsten Zellner | 29. Februar 2012 um 17:11 | Antworten

    Ich hab meinen jetzt endlich los bekommen und zwar hab ich die FP vom Laptop ausgebaut an ein anderes über USB drangehängt und Malwarebytes drüber laufen lassen,dann war er weg,kann allerdings nicht mehr sagen wie die Datei geheißen hat,es waren allerdings 3 idente Dateien.

    • @ Thorsten Tellner

      Könntest Du mir bitte die LOG-Datei mal zukommen lassen (Mail)?
      Danke.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Thorsten Zellner | 29. Februar 2012 um 17:34 | Antworten

        @Simon:
        kann ich gerne machen,allerdings befindet die sich auf dem Laptop meines Kollegen und den sehe ich erst morgen wieder!

  16. Mein Avira findet nix auf mein verseuchten Laptop…
    Ich habe mein laptop 20 mal zurück gestellt nichts passiert.
    schick mir bitte eine E-Mail
    neo.elite@live.de

  17. Hallo Leute,
    Folgendermaßen konnte ich mich von dem Befall befreien!
    Abgesichert hoch fahren, in ausführen eingeben : msconfig
    hier mal in Systemstart gucken, ich hatte dort eine z.B. 0.34353543545435……bla, bla .exe Datei eingetragen, die Datei natürlich austragen und im WindowsExplorer nach eben dieser Datei suchen und sie “ ich hatte sie drei Mal!“ alle löschen, Neustart und System wieder da, allerdings konnte ich den TaskMannager nicht mehr aufrufen, danach mal googeln , gibt im Netz schon einige Anleitungen!

    Avira@Free und Spybot haben bei mir nichts gefunden oder verhindert! ;-)

    viel Erfolg und Gruß
    unixV Member der Blauwurst!

    • @ unixV

      Die beiden angesprochenen Programme können die Ransomware auch nicht so ohne weiteres entdecken.
      Weiterhin würde ich dringend einen Scan mit MalwareBytes Anti-Malware im Abgesicherten Modus UND einen Offlin-SCan mit einer Antiviren-BootCD/DVD empfehlen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Hallo Simon,

        Hast recht, ich habe mir von Avira das Rescue System runtergeladen „ als *.iso und gebrannt!“ und bin am scannen.
        Bisher hat Avira, 32 Warnungen und 3 Funde gemeldet, ist aber auch erst 30 Min. dabei.

        Vielen Dank für deine Hilfe!

        Gruß unixV

    • gleich dreimal? Ich hatte sie „nur“ zweimal, und die 2. fiel mir auf, weil beim Wiederhochfahren zunächst eine (ansonsten undschädliche, da leicht wegklickbare und nicht weiter störende) Meldung erschien, daß die Bandwurmdatei F302EBE…exe nicht geladen werden könne. Da dachte ich mir schon, daß es wohl auch noch einen „Restvirus“ im Windows Prefetch geben müsse, und so war es denn auch, dort ließ er sich aber ganz einfach finden (gleicher Name!) und löschen, war weder „versteckt“ noch „schreibgeschützt“ noch hat er sich nach dem Löschen unter neuem Namen recreated oder sonstwas.

      Fazit: All die schönen Anti-Virus-Programme haben nicht nur versagt, sondern sie sind auch völlig überflüssig; mit ein bißchen Nachdenken und An-der-richtigen-Stelle-suchen bekommt man den Virus auch so weg, ohne irgendetwas auszubauen, wiederherzustellen (mit notwendigem Datenverlust) oder zeitraubendem Neueinrichten des Betriebssystems!

      Bleibt nur die Frage, wie ich mir das Ding trotz aller Vorsicht beim Surfen eingefangen habe. Das wäre doch mal eine Diskussion wert, um künftigen Trouble zu verhindern!?!

      • @ Holger

        Da muss ich jetzt schon vehement etwas dagegen sagen.
        Du hast jetzt evtl. einfach eine „leichte“ Variante gehabt.
        die Varianten welche ich aber in letzter Zeit hier versorge, sind mit Rootkits im Gepäck etc..
        Stell Dir mal vor jemand hat gar keinen Schutz drauf….dann wäre es ein leichtes für einen Virus egal wie „leicht“ oder „schwer“ seine Tätigkeiten sind, sich auf dem System einzunisten.

        Wichtig ist eigentlich erst mal vorrangig eines, und das ist nicht nur das besonnene Surfen im Netz (wobei das recht hezlich wenig bringen kann teilweise), sondern vielmehr ein IMMER komplatt aktuelles System.
        Und das schließt vorallem Microsoft/Windows, JAVA und Adobe Flash Updates mit ein.

        Wer also einen von mir aus einfachen Antiviren & AntiMalwareschutz drauf hat und sein System aktuell hält, DER/DIE sollte (relativ) sicher sein.

        Wieso man sich sowas einfangen kann und warum ein normales Antivirenprogramm dagegen meist recht herzlich wenig tun kann, steht im übrigen auch in mindestens 2 Absätzen auf meiner Seite.^^

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  18. Bei mir klappte alles bis Schritt 10 eigentlich gut, da bei meinem Wert schon explorer.exe stand habe ich ihn einfach in „E“xplorer.exe umbenannt. Dann steht in deiner Beschreibung das der BKA-Trojaner schonmal verhindert ist, dies trifft bei mir leider nicht zu und die genannten exen wie z.B jashla, mahmud findet es bei mir nicht.

    Bitte um Hilfe

    • @ Marcel

      Da leigt vermutlich ein Verständnisfehler vor. Das reine „umbenennen“ der explorer.exe ändert bei den meisten Varianten rein gar ncihts mehr an deren Ausführung.

      Gemeint war der Komplettaustausch der explorer.exe gegen eine Baugleiche neue, oder das Suchen an anderen Stellen (siehe meine Punkte P14 & P14.1).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  19. Hallo, ich habe mich heute wascheinlich mit dem Virus infiziert. Ich hatte früher schon mal den Virus. Jedoch war es nach einem Hardware-Reset Verschwunden, weshalbich auch nicht nach lösungen gegoogelt habe und somit auch nicht die oben genannten schritte gemacht (dummer fehler von mir). Jedenfalls war ich heute wieder surfen und wollte eine Seite öffnen. Es war schon ein teil geladen, auf dem stand, dass ich warten solle, da meine verbindung miserabel ist dachte ich mir nichts dabei. Jedoch wurde mein Bildschirm plötzlich weiß und mittig stand drauf „einem moment bitte die seite wird geladen“ oder so ähnlich (Deshalb bin ich mir nicht sicher ob es das Virus ist). Dies fand ich seltsam und wollte deshalb per Task Manager Firefox Schließen. Jedoch tauchte die Meldung auf, dass der Taskmanager vom Administratoraccount gesperrt wurde, obwohl ICH der Administratoraccount bin und es sonst auch keine accounts gab. So habe ich beim Computer beim computer die Interneverbindung gekappt und den Computer geresettet, was auch nicht half (direkt nach anmelden tauchte es wieder auf). Also habe ich die o. g. schritte befolgt und nach dem ich das zu startende Betriebssystem gewählt habe tauchte nach einer weile der Accountauswahlbildschirm mit ZWEI Accounts auf (das neue heißt Administrator). Nun wählte ich ein Account aus und es erschien das eingabefenster. Jedoch tauchte auch nach ca. 2 sek. de. Virus wider auf. Wenn ich nun dem Task Manager öffnen will und die Auftauchende Fehlermeldung weg klicke, kann ich im eingabefenster ein befehl eintippen, jedoch wurde regedit auch von administrator gesperrt. Dies war bei beiden accounts so. Mein betriebssystem ist windows XP 32bit. Ich brauche dringend hilfe, da ich noch einige monatsberichte ausdrucken muss. Danke schon mal im vorraus. (Hoffe mein pc lässt sich retten)

  20. Hallo,
    Habe eine systemwiederherstellung bis zum letzten Punkt erfolgreich gemacht… Win Vista fährt normal hoch..finde allerdings Shel noch. Wie soll ich weiter vorgehen ? Soll ich einfach alles Verdächtige im gesicherten Modus löschen?
    Lg Ursel

  21. Aber Kaspersky empfiehlt doch selber, die ZIP-Datei des TDSSkillers auf den infizierten Rechner zu laden und dort zu entpacken! Sonst würde ich mir die Datei ja auf einen USB-Stick laden und woanders entpacken, damit sie nicht infiziert wird. Und was sollte ich sonst tun, wenn Avira auch selber infiziert oder jedenfalls nutzlos ist? Abschalten? Deinstallieren?
    Und was drohen mir denn jetzt noch für Gefahren, wenn ich es einfach laufen lasse wie es ist? Wie gesagt, es funktioniert alles wieder normal, es gibt auch nichts auszuspionieren (ich mache von diesem Rechner kein Online-banking o.ä.)!

  22. steffi luebben | 1. März 2012 um 15:11 | Antworten

    sehr geehrte damen und herren,

    ich habe hier gerade ein problem. wir haben ein laptop und ein netbook. unser netbook ist mit dem virus des trojaners 1.03 befallen. mit hilfe ihres programmes. redirect301.de/bundespolizei-trojaner-entfernen.html habe ich alle 10 schritte danach habe ich den netbook neugestartet und jetzt zeigt es seit einer halben stunde ein schwarzen bildschirm an mit einem kleinen fenster was arbeitet und ein button mit prozess beenden steht.

    ist das richtig und wie lange dauert das noch? wenn nicht was muss ich tun?

    danke im vorraus
    mfg

    steffi luebben

  23. moin moin an alle . ich habe gestern auch diesen trojaner bekommen … mein problem ist das ich den pc gar nicht mehr starten kann,weder normal noch im abgesichertem modus… kann man da noch was retten? danke schonmal im voraus

  24. Hallo Freunde,

    habe mir ebenfalls diesen Trojaner eingefangen.
    Mit GData war nichts zu machen.Ich habe die ANTI-BOT-CD
    von Computerbild und Avira Heft 14/2011 verwendet,
    3 Trojaner gefunden und gelöscht, System XP wieder ok.
    Gruß Wolfgang

  25. Okay, ich hab ihn mir auch eingefangen!

    Bei mir war im Autostart dann ein EIntrag mit dem namen
    „NODS STEAL THEN BULGE LESS SLOTS“

    (also ziemlich wirre woerter generiert)
    Die Datei war zu finden in:
    %user%\AppData\Local\skype\skype.exe

    Weder malware bytes, noch sonst so tools, haben ihn erkannt.

    Wollte das nur eben sharen, denn bei mir geht wieder alles! :>

  26. Das Ding ist ganz einfach loszuwerden (XP), wenn man frühere Wiederherstellungsfiles hat.

    1. Windows Live (ERD Commander)- auf verschiedenen Plattformen möglich- herunterladen
    2. Das Ding auf CD brennen
    3. Den Rechner von dieser CD booten
    4. Das wiederherzustellende OS (Windows XP) wählen
    5. Nach etwas Geduld ist die Benutzeroberfläche da und du kannst (das musst du mit etwas Kenntnis englischer Sprache selbst finden- ich bin müde!!!) einen früheren Systemzeitpunkt auswählen und wiederherstellen.
    6. PC neu starten (natürlich ohne CD) und alles ist schick!

    Viel Spaß und liebe Grüße

    • Na klar, Schlaumeier – darauf wären wir alle noch selber gekommen.
      Aber was, wenn der Wiederherstellungspunkt de facto auch verschwunden ist, wie bei mir (obwohl er auf dem Bildschirm noch angezeigt wurde!)?
      Irgendwie scheint dieser Virus sehr variabel zu arbeiten; wie gesagt, bei mir hatte er sich in ein so gut wie nie benutztes Bildbearbeitungsprogramm eingeschlichen!
      Und als ich schon dachte, ich wäre ihn los, weil alles wieder lief und kein anderes Programm mehr etwas gefunden hat, hat Malwarebytes AM noch sage und schreibe 16 (!) infizierte Dateien gefunden. Kann ich nur in den höchsten Tönen loben und weiterempfehlen; ich erwäge ernsthaft, nach Ablauf der 14-tägigen kostenlosen Probezeit das Geld für eine Dauervollversion zu investieren – ist sicher besser angelegt als in all den anderen Mist, dem ich bis dahin vertraut hatte.
      Unter dessen Schutz habe ich jetzt noch viele andere schöne Programme heruntergeladen, was ich mich vorher nie getraut hatte (bin eigentlich ein vorsichtiger Surfer, und begreife garnicht, wie ich mir den Trojaner einfangen konnte!), und verdanke dem jetzt ein System, das so gut gerüstet ist und so schnell läuft wie wie nie zuvor!
      So, ich hoffe das war jetzt genug der Lobeshymnen, und es verdächtigt mich niemand der Schleichwerbung ;-)

      • @ Holger

        Als Schleichwerbung sehe ich zumindest das nicht an. Das Programm empfehln hier ja viele, unteranderem ich selbst.

        Ich perönlich bin zwar ein großer Fan des Programms, aber ob ich es mir kaufen würde…ich würde es nach der Desinfektion eher wieder runterschmeißen.

        Hat auch einen bestimmten Grund – Jedes Schutzprogramm das drauf ist, ist natürlich einerseits gut.
        Andererseits können sich Schutzprogramme gegenseitig behindern/blockieren und außerdem könnte ein eben solches Programm durch einen „Feind von Außen“ auch modifiziert werden.

        Anschließend hätte man ein installiertes, bezahltes MalwareBytes- Anti-Malware und es wäre im schlimmsten Fall doch wieder „zwecklos“.
        Ich weiß das dies jetzt leider gegen die Programmier spricht und vorallem gegen der Geldbeutel, aber so ist zumindest meine Meinung darüber.

        Es macht eventuell dann Sinn, wenn es sonst keinerlei Schtzmaßnahmen gegen Malöware auf einem Computer gibt.
        Sollte aber das Antivirenprogramm auch gegen Malware Funktionen integriert haben, würde ich es nicht dauerhaft kaufen.

        Übrigens, die beiden Funde
        stor.cfg (Malware.Trace) -> aus Punkt P14.1 meiner Seite:
        stor.cfg (Malware.Trace | Systemneuinstallation dringend empfohlen!)

        und

        wpbt0.dll (Exploit.Drop) -> aus Punkt P14.1 meiner Seite:
        wpbt0.dll [> Virus mit selbem Dateinamen | Systemneuinstallation empfohlen!]
        sind somit keine guten Zeichen…

        Generell sieht es so aus, als wäre der Computer durch diverse Dinge infiziert gewesen. eventuell teilweise auch durch frührere Infektionen oder solche, die sich (noch) nicht gezeigt hatten.

        Ob man sich hierbei auf eine 100%-tige Entfernung verlassen kann, sei mal in Frage gestellt.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

        • Hm… wenn ich laienhaft das Scan-Ergebnis von Malwarebytes AM betrachte, dann fällt mir auf, daß die meisten Viren im Ordner … Lokale Einstellungen/Temp. saßen; und da frage ich mich: kann ich die nicht eigentlich allesamt löschen, oder drohen mir da irgendwelche Gefahren? Wenn ich bloß die Datenträgerbereinigung drüberlaufen lasse, bleiben sie stehen, und der Ordner ist ja eigentlich auch versteckt – wozu eigentlich?

          Außerdem fiel mir noch auf, daß plötzlich neben dem Administrator und meiner Wenigkeit (und All Users und Default User) noch ein weiterer User neu an Bord ist, nämlich „Administrator.MeinName-6F7E0CF73A“ – und zwar ist der just am 27.02.2012 hinzugekommen, dem Tag, als ich mir den BP-Virus eingefangen habe. Er hat 411 Dateien in 107 Ordnern, u.a. 2 (versteckte) Dateien mit Namen NTUSER.DAT – kann das alles mit rechten Dingen zugehen?

    • warum so kompliziert Wolf? unter XP kannst du auch mit Bordmitteln ganz einfach den Wiederherstellungspunkt laden.
      (Geht nicht bei jeder viren version,aber bei den meißten halt)

      • @ Tim

        Stimmt, es geht bei den neueren Varianten nicht mehr, denn die infizieren die Wiederherstellungsaten gleich mit, oder löschen die entsprechenden Wiederherstellungspunkte.

        Ansonsten müsste es – theoretisch – in jeder Windows-Version zumindest verfügbar sein. Vorausgesetzt man hatte die Systemwiederherstellung aktiviert.

        Achtgeben muss man aber auch NACH einer erfolgreichen Systemwiederherstellung.
        Der Virus/Trojaner/die Ransomware ist dann nämlich zu 99% nur Inaktiv und meist noch NICHT beseitig!

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  27. Hi,

    bin sehr verzweifelt…Hab den Virus, alle Schritte hier im Forum getestet; aber selbst wenn ich den abgesicherten Modus wähle, ( egal welchen ) komm ich wie imemr auf den Desktop und nach 1 Sek. ist sofort die B.Polizei Mittelung da und ich kann nichts machen. Drücken der Windowstaste zeigt immer nur für Millisekunden den echten Desktop…Keine Chance irgend etwas anzuwählen…

    Habt Ihr einen Tipp, wäre super?!!

    Liebe Grüße

    • @ Achim

      1. Kommt das echt auch im „Abgesicherten Modus mit Eingabeaufforderung“? *leicht verwundert wäre wenn ja*
      2. Ist das Internet denn noch aktiv?
      Wenn ja, JEDE Verbindungsmöglichkeit trennen (kein UMTS, kein WLan, kein Netzwerkkabel)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Bin zwar kein Fachmann, aber das kann m.E. nicht sein. Abgesichert mit Eingabe ist doch so eine Art MS-DOS seligen Andenkens, d.h. es gibt gar keinen Windows-Desktop – wie und wo soll da die BP-Seite erscheinen?!?

      • Nein, das siehst du falsch.

        Die EIngabeaufforderung ist eben die EIngabeaufforderung. (cmd) ;-)

        EInen Desktop hast du im abgesicherten Modus IMMER!

        /Du verwechselst da schlichtweg etwas

        Gruß

        • Du hast im abges. Mod. m. EA. eine Art MS-DOS-Bildschirm, aber keinen Windows-Desktop! Wenn doch, dann stimmt irgendetwas nicht – vielleicht stellt der Virus noch vor dem Hochfahren im AM irgendwie automatisch eine Internetverbindung her? (Schwer vorstellbar, aber theoretisch ist ja alles möglich.) Einfach mal offline bleiben und das ganze nochmal versuchen!

        • nein Holger. Wenn du im abgesicherten modus bist, dann hast du trotzdem den desktop. (Es ist so, probier es doch mal aus….!!!!!)

          Was du meinst ist die Reperaturkonsole….

          Gruß

          Tim

        • ok ok, du hast recht. Man ist zwar auf dem Desktop, aber die explorer.exe wird nicht geladen. Okay… :P

  28. Hallo Simon, habe im Internet gelesen, dass einige Nutzer auch diesen berüchtigten Bundespolizei Trojaner haben, wie ich nun auch.

    Habe versucht ihn nach deiner Anleitung in 10 Schritten zu entfernen, was jedoch nicht klappt.

    Bei mir ist die Shell Datei als explorer.exe verzeichnet.
    Zudem ist die jashla.exe über die Suchfunktion nicht zu finden.

    Über deine Hilfe würde ich mich sehr freuen.

    Mit freundlichen Grüßen

    Max

    • Habe mit Malwarebytes Anti-Malware im abgesichertem Modus durchlaufen lassen und zwei Dateien gelöscht. Nun funkt alles soweit ganz gut=)

  29. Ich habe den Virus auch, meine methode ist anders und hat nichts mit registry zu tuen und wollte checken ob das aussreichend waere.

    -Abgesicherter Modus
    -Avira Anti-Vir Scan optionen so einstellen das der scan alles macht und auch mit hoechster prioritaet.
    -Kompletter scan
    -??
    -Profit :D

    Ist das nicht aussreichend? Bitte melden :D

    (Sorry for bad german, I am english)

    • @ William

      Solange der Avira schon installiert war, als das System infiziert wurde, wird es keinen großen Sinn haben nachträglich damit etwas zu scannen.
      Avira könnte manipuliert worden sein und daher die Schadhaften Daten nicht finden.

      Lade Dir bitte mal das Programm „MalwareBytes Anti-Malware“ z.B. von CHIP.de runter.
      Installiere es im Abgesicherten Modus (mit Netzwerktreibern), Update es, Scanne dein System.

      Anschließend könnte man auch noch einen Scan mit einer Antiviren/Antimalware Boot-CD/DVD drüberlaufen lassen.

      Was aber ist eigentlich mit deinem letzten Punkt „Profit“ gemeint?

      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)

  30. Hallo,

    ich hab mir den virus gestern auch eingefangen.. malwarebytes hat im abgesicherten eine einzige datei gefunden, irgendwas in der registry, war aber anscheinend nicht der virus, denn als ich meinen rechner normal gestartet habekam diese meldung wieder.. die rescue cd von kaspersky funktioniert bei mir garnicht, haengt bei „starting acpid“ (keine ahnung wat dat sein soll) immer fest.. hab jetzt mal die von avg probiert, dir scheint zu gehen, ich hoffe der findet dann jetzt auch was.. ansonsten weiß ich auch nicht mehr weiter..

    liebe grüße,
    kevin

  31. Hallo,
    hatte mir das Teil heute auch eingefangen (Win7) :-(
    Jedoch scheint es sich um eine abgewandelte Version gehandelt zu haben. Es sollten „nur“ 25€ gezahlt werden.
    Der Trojaner nannte sich bei mir RAVCpl32.exe und verbarg sich im system32 Ordner. In der Registry wurde die Shell= geändert, welches sich mittels Kapersky Windowsunlocker beheben ließ. Jedoch standen noch Einträge unter

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

    drinne. Entfernt, die exe aus dem system32 Ordner gelöscht und alles war wieder gut.

    Seltsamerweise infizierte sich mein Rechner bei einer Deinstallation der Software Aurora 3D Maker 11.x Trial. Welche ich über meinen Revo Uninstaller deinstallieren wollte. Die Deinstallation lief reibungslos, doch dann öffnete sich eine Webseite (ich konnte nicht so schnell sehen welche), der Bildschirm wurde dunkel, Rechner startete neu…und da war sie … die BP :-)

    Seltsamerweise, hat die Kapersky Rescue Disk 10 die RAVCpl32.exe nicht erkannt, trotz aktuallisierter Datenbank. Habe Sie demnach in der Registry gefunden, entfernt und jetzt ist wieder Ruhe.

    MfG Patrick

    • @ Patrick

      Das soll jetzt nicht böse gemeint sein, aber warum deinstalliert man etwas mit einem anderen Programm?
      Windows bietet so schön seine Systemsteuerung -> Programme und Funktionen -> Deinstallieren an.

      Außerdem haben die meisten Programme einen eigenen Deinstall-Button im Startmenü oder im Programmverzeichnis.

      Das ist schon das zweite Deinstallations-Tool das sich nach der Installation so bescheuert verhält, einfach weil es nichtmal diese Arbeit sauber machen kann/will.

      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)

  32. Nachtrag: System scheint nach diversen Scans wieder sauber zu sein, jedoch funktioniert die rechte Maustaste nicht mehr. Es erscheint kein kontextmenu mehr… hat jemand ne schnelle Lösung ?
    Auf der Taskleiste funktioniert die Rechte Maustaste jedoch nicht auf Desktop.
    Danke Patrick

    • @ Patrick

      Selbe Frage wie bei (glaube ich) Claudi: Welches Betriebssystem ist installiert?

      Und weiterhin, welche Arten von Scans und unter welchen Betriebsarten von Windows wurden ausgeführt?

      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)

  33. Also malwarebytes hat mir den registry eintrag gezeigt.
    es ist ein anderer als hier beschrieben.
    und zwar:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\
    schlüssel : Load
    Wert: C:\Users\MEINUSERNAME\LOCALS~1\Temp\msuzig.exe
    vielleicht hilfts wem
    Aber im abgesicherten Modus kann ich den registry wert nicht ändern.. grrr arbeite drann ;-)
    Luc

    • Habe einen zweiten registry eintrag gefunden
      also nicht nur:
      HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
      sondern auch in:
      HKEY_USERS\S-1-5-21-4216202534-1145397438-3333390783-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows
      ebenfals Load und der pfad zur exe.
      Luc

    • So! habe jetzt einträge entfernt (Musste berechtigungen ändern)

  34. hey hab mich an die anleitung gehalten
    aber bei shell steht bei mir bereits explorer.exe
    die anderen links haben mir auch nicht wirklich weitergeholfen :(
    wo muss ich den pfad ändern bzw löschen wenn es nicht an der beschriebenen stelle ist ?
    über hilfe würde ich mich sehr freuen

  35. Hallo, hab mir den Virus leider auch eingefangen. Wollte ihn im Abgesicherten Modus bekämpfen. Leider kommt immer eine Fehlermeldung wenn ich in den Abgesicherten Modus gehen will. Das es nicht möglich wäre weil ich Änderungen am System vorgenommen habe.
    Was kann ich da den jetzt machen??

    • @ Nero

      Welches Bestriebssystem ist installiert und wie lautet die Fehlermeldung genau?
      Zur Not mache mal einen Screenshot/ein Foto davon und sende es mir per Mail zu.

      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)

      • Windows XP. Fehlermeldung:
        -Windows konnte leider nicht erfolgreich gestartet werden. Die kann durch eine vor kurzem erfolgte Hardware- oder Softwareänderung verursacht worden sein.-

  36. Hallöchen,

    ich hatte den Virus auch, bei mir war es RAVCpl32.exe.

    Nun habe ich dasselbe Problem wie Patrick, bei mir funktioniert die rechte Maustaste nicht mehr. Es erscheint kein Kontextmenu mehr, wobei sie auf der Taskleiste funktioniert, jedoch nicht auf dem Desktop.
    Bei mir desweiteren alle Dateien, die ich auf dem Desktop hatte alle umbenannt mit den Endungen crypt.

    Kann mir jemand helfen, wie ich meine Dateien zurück wandeln kann. :-)

    • @ Claudi

      Ändere die Endung .crypt in das was es mal war um, also z.B. .doc .ppt .xls .jpg .mp3 etc..

      Wegen der „Rechten Maustaste“, welches Windows ist denn installiert?
      Und gab es solche Probleme auch mal bevor das System infiziert war?

      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)

      • Hallöchen Simon,

        also ich habe WinXP Prof Version 2002 Serv.Pack 3

        Nein es gab bisher noch nie Probs mit der rechten Maustaste.

        Die Endungen umbenennen geht nicht, habe ich schon probiert, dann habe ich in den Dateien nur noch Hyroglyphen.

        Ich habe keine Idee wie ich das hinbekomme.

        Help me :-)

  37. hallo!
    ich hab mir den virus leider auch gefangen …
    ich hab aber jetzt folgendes problem … ich drücke beim start auf den abgesicherten Modus mit der eingabehilfe udn dann komtm dann nur ein komplett schwarzer bildschirm wo oben links dann so ein blinkender unterstrich ist aber wenn ich was eintippen will passiert nichts :/
    es klappt acuh cnith mit den anderen abgesicherten modusen
    bitte um hilfe
    patrick

    • Wenn das wirklich so ist, d.h. wenn du selbst im abges. M. m.EA. nicht mehr ins regedit kommst (schwer vorstellbar, aber wenn du das sagst… dem Virus traue ich inzwischen alles zu), dann ist aller Tage Abend, d.h. jetzt kannst du nur noch alles platt machen und das System neu installieren. Klar, ist die blödeste Lösung, Zeitaufwand, Datenverlust pp., aber wohl nicht zu ändern.

      • @ Holger

        Kleine korrektur, es gäbe noch die Möglichkeit eines Starts mit Antivirus/Antimalware BootCD/DVDs, sowie mit diversen Linux-LiveCDs (z.B. Knoppix).

        Weiterhin ist auch der Ausbau der Festplatte und das anhängen der USB-Adapter an ein anderes System eine „einfache“ Lösung um zumindest noch an die Daten ranzukommen oder das System auf diese Art & Weise ggf. zu bereinigen.

        Mit freundlichem Gruß,
        Simon
        (Fachinformatiker für Systemintegration)

  38. Hallo,
    Ich habe auch den Bundespolizei Virus. Das Cd Laufwerk reagiert nicht und der abgesicherte Modus lässt sich nicht starten. Bin ratlos, was kann ich tun????

    • @ Bianca Pelzer

      Was passiert denn wenn vom Computerstart an mehrfach die Taste [F8] gedrückt wird?

      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)

      • Der Rechner hängt sich auf, ich habe nur einen schwarzen Bildschirm, wo oben links in der Ecke ein Balken blinkt

        • Ja, aber das ist doch genau das, was Du brauchst!
          Jetzt einfach „regedit“ eintippen, Eingabetaste drücken und weiter wie oben beschrieben!
          Oder geht das auch nicht mehr?
          Übrigens, die „Stottereingabe“ mit der F8-Taste ist Glückssache, d.h. wenn man Pech hat, lädt sich der PB-Bildschirm gerade zwischendurch.
          Einfacher Trick: beim Hochfahren durchgehend den Daumen draufhalten, dann lädt F8 den abgesicherten Modus bzw. die Seite mit den Optionen garantiert.

      • Der Pc funzt wieder, aber das Laufwerk will nicht mehr. Es lässt sich nicht mehr automatisch öffnen und er spielt keine Cds oder DVds ab.

  39. von einem Laien und Betroffenen die Frage, ob der Bundespolizei-Virus (ausser der Sperrung im Windows) auch Excel-Dateien, die auf der Festplatte gespeichert sind Lesen und „absaugen“ kann?

    • @ Dieter

      Da die Urspungsvariante nur eine Ransomware ist (Lösegelderpressung) und selbst die modifizierten Varianten (die ich bislang kenne) das nicht machen, glaube ich nicht das es aktuell solche Varianten gibt.

      Die neusten Versionen bringen aber Rootkits mit, welche durchaus sämtliche Tastatureingaben mitverfolgen.
      Besonders interessant sind dabei dann natürlich Passwörter7zugangsdaten für Mailkonten und OnlineBanking, etc..

      Und ein rootkit zu entfernen ist in 99’% der Fälle nciht gerade trivial. Die beste Lösung bei einem Rootkit ist und bleibt leider nach wie vor nur die komplette Formatierung und Neuinstallation des Betriebssystems.

      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)

      • Vielen Dank für die Info Simon,
        woran erkenne ich, ob es sich beim Bundespolizei-Virus im Hinblick auf das Risiiko Paswörter/PINs, die in einer Excel-Datei unter c: aufgelistet sind, um einen Rootkit oder um eine Ransomware handelt.
        nach den o.g. 10 Schritten stand: Explorer.exe

  40. Guten Morgen zusammen,
    haben mir den Trojaner letzte Nacht auch eingefangen.
    Habe mich dann gleich an die 10 Schritte gemacht aber im Shell Schlüssel steht bei mir schon die explorer.exe.
    Wo fange ich jetzt am besten an?
    Liebe Grüsse,
    Jan

  41. Habe selbst einen Mac und bin daher in diesem Fall nicht betroffen. In meinem Umfeld kassiert aber gerade praktisch jeder dieses BKA-Teil. Meine Frage: WIE erfolgt eigentlich die Infektion? Dann könnte man eine erneute Infektion vermeiden (manche haben das Ding schon zum zweiten Mal).

    Vielen Dank

    ninjaturkey

    • Man infiziert sich u.a. durch den Besuch einer gehackten Webseite. Mir sind hierbei schon Fotoblogs, Restaurants und kleine Vereinsseiten begegnet. Also nicht unbedingt etwas aus der Schmuddelecke …

      Irgendwann stand auch mal Java als mögliche Sicherheitslücke im Raum.
      Mein Tipp: Browser, Browserplugins, Java, Flash usw. aktuelle halten. Der Internet-Explorer wäre nicht unbedingt meine erste Wahl, wenn es um Browser geht.
      Antivirus + Firewall vernünftig konfigurieren und ebenfalls ständig auf dem aktuellsten Stand halten.

      Wer selbst eine Webseite / einen Blog betreibt muss natürlich darauf achten, dass der Webauftritt „sauber“ bleibt. Hier gilt: Kryptische Passwörter (FTP, Login), korrekte Verzeichnis- und Dateirechte, System aktuell halten.

      • Nix hilft – ich habe zwar einen IEx an Bord, benutze ihn aber fast nie, sondern surfe für gewöhnlich mit dem MozFF, und dazu noch aus der Sandbox und mit eingeschaltetem Tarnkappenbomber, Firewall + Avira-Regenschirm. Was soll man denn noch tun?
        Wenn ich das richtig zurückverfolgt habe, dann habe ich mir den Virus auf einer Seite mit englischen Songtexten eingefangen, die ich früher öfters besucht habe, ohne daß irgendetwas passiert wäre.

      • @ Daniel Weihmann

        Ich glaube ich muss meine Seite umgestalten.
        Anscheinend lesen die Personen hier nicht zwangsläufig wenigstens mal die Fragen (die ja meine Überschriften/Titel darstellen) durch.
        Schade.^^

        Denn solch simple Dinge wie das man seinen Computer so und so schützten kann/könnte/sollte oder wieso ein Avira meist keinen Meter dagegen hilft, steht (so sehe ich das zumindest) alles auf meiner Seite in den einzelnen Punkten.

        Ich habe nur keine Ahnung wie ich es noch „einfacher“ von der Struktur her umbauen könnte. :-(

        Und zur Not gäbe es ja auch noch die Mail mit der man solche Fragen DANACH dann immernoch, unter anderem, an mich stellen könnte. …

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

        • Nein, das war doch bloß eine rhetorische Frage ;-)

          Mir ist jetzt klar, daß es keine absolut sichere Verteidigung gibt, weil jede Webseite, die man heute besucht, gestern abend gehackt und mit einem Virus versehen worden sein kann, ohne daß selbst der Betreiber etwas davon bemerkt hat.

          Und ich habe jetzt auch brav alle Updates gemacht wie empfohlen, und überhaupt von jeder Software, die ich auf der Kiste hatte – bloß FLV 3.0 habe ich wieder runtergeworfen, weil sich das mit RC 1.9 beißt.
          Aber nochmal ganz konkret nachgefragt – ist wohl oben untergegangen: kann/soll/muß ich das zusätzliche Benutzerkonto – ADMINISTRATOR.MEINNAME-Buchstaben- u. zahlensalat – löschen, das just an dem Tag, als ich mir den BP-Virus eingefangen habe, zusätzlich erschien? Und kann/soll/muß ich den – sehr umfangreichen – Ordner Temp. in „Lokale Einstellungen“ löschen, der stehenbleibt, wenn ich die Datenträgerbereinigung drüberlaufen lasse?

      • Vielen Dank für die Antwort. Hm – dann werde ich meiner Tochter und ihrem PC mal ein Security-Update und einen kleinen Workshop verpassen (und meinem Nachbarn und meinem Kumpel…).

  42. Mich hat es auch ewischt,trotz Antivirus. Erwurde nicht erkannt. Nach Rücksprache mit Antivir gibt es zur Zeit etwa 400 Version davon. Ich konnte ihn nich beseitigen. Hanbe dan eine Systemwiederherstellung von einem früheren Zeitpunkt durchgeführt und habe hoffentlich Ruhe.

    • Ich beneide all die Glückspilze, die hier berichten, daß sie sich „nur“ eine Variante eingefangen haben, bei der die Wiederherstellung noch funktioniert hat ;-)

      • @ Holger

        Kannst ja mal nachfragen wo man sich so leichte Varianten einfängt….

        (War nicht ernst gemeint!!!1!)

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • @ Hans

      Also ich selbst komme auf ca. 15 verschiedene Varianten.
      Dies hängt aber sicherlich alleine schon daran, das ich nicht global weltweit alle Zählen kann und zweitens, das ich nicht weiß was Antivir da noch alles mit reinzählt.

      Ehrlich gesagt reichen mir auch die ca. 15 Varianten vollkommen aus…aber es werden ja eher mehr als weniger.

      Bitte noch als MINIMUM eienn Scan mit „MalwareBytes Anti-Malware“ im Abgesicherten modus machen.
      Eine Systemwiederherstellung überschreibt nur Daten, löscht aber keine.
      Heißt also das der ganze Quark noch da sein dürfte – nur inaktiv.

      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)

      • Dr Schlegel Jens | 5. März 2012 um 15:42 | Antworten

        rstrui.exe in „MS-DOS“ abgesichert hat geholfen. Dicken Kuss an alle. Noch ist allerdings die Wiederherstellung im normalen Windows Modus blockiert (ging auch im abgesicherten ohne Eingabe nicht) :-(
        Auch der Media Player geht nicht- unabhängig?
        Trau mich nicht ins Netz- trotzdem neue Software runterladen? oder kaufen und was hilft mir die Sau wegzukriegen- irgendwo steckt sie noch aber ich finde sie nicht

      • Gilt „überschreibt bloß, aber löscht nicht“ auch für eine Systemwiederherstellung mit ACRONIS?
        Ist nur so eine Frage zur Selbstberuhigung, weil ich ja doch zu faul bin, jeden Tag ein Backup zu machen.

  43. Danke, Simon, für deine hervorragende Hilfestellungen!

    Trotz Avira, Firewall und aktueller Software habe auch ich mir gestern diese Seuche eingefangen. Da ich mich als Laie zunächst nicht an die registry herangetraut habe, brannte ich mir eine „Kaspersky Rescue Disk 10“. Die änderte aber nichts und so durchsuchte ich – wenn auch ebenfalls ohne Ergebnis – die „registry“.

    Doch P14 führte prompt zum Erfolg. In der Autostart-Gruppe fand ich die Datei 0.7953118693246444g8j8.exe. Die habe ich gelöscht und seit dem ist der Spuk vorbei. Verursacher war wohl IP 195.189.227.174 aus Mykolayiv in der Ukraine.

    • @ Diet

      Wurde zusätzlich im Abgesicherten Modus noch ein SCAN mit „MalwareBytes Anti-Malware“ gemacht?
      Wenn nicht, bitte dringend nachholen.

      Sollte noch etwas gefunden werden, bitte die LOG-Datei speichern und mir per Mail zusenden.

      Den bisherigen Fund habe ich auf meine Seite aufgenommen.
      Bitte @ALL sendet Herrn Daniel WEihmann oder Mir die IP-Adressen zu. Wenn ihr diese hier postet, dann bitte immer am schluss unkenntlich gemacht!
      Also z.B. 123.123.**.***

      Die Gefahr ist leider zu groß, das jemand unvorsichtigerweise diese Seite besucht und sich damit dann erst infiziert – Ich kann dies machen, da ich es in einer geischerten virtuellen Umgebung mache und zur Not einfach einen Restore auf die 5 Minuten davor mache, aber am Realen PC wollte ich das nicht machen.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  44. Vielen Dank.
    Ich hab alle Anweisungen befolgt und war in 20 min fertig.Der Trojaner ist weg!

  45. Vielen Dank Simon, für die schnelle Antwort.
    Ich habe noch einen Scan mit “MalwareBytes Anti-Malware” im Abgesicherten modus gemacht. Gefunden hat er zwar eine Datei, ob die Datei der Verursacher war kann ich nicht sagen. Er nannte sich Trojan.Droper.

    • @ Hans

      Nicht so gut…wie man auf meiner Seite unter Punkt P14.1 nachlesen kann, steht bei „Trojan.Drop.?“ Dateien immer folgendes dabei (Beispiel):
      (Exploit.Drop.4 | Systemneuinstallation empfohlen!)

      Dies ist zumindest immer mein bisheriges Ergebnis gewesen wenn ich Recherchen zu diesen Dropper-Teilen getätigt habe/hatte.

      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)

  46. Hallo Simon, danke für den tollen Einsatz!
    Habe mir heute auch den Virus gefangen. Mein System läuft nun meines Erachtens wie vorher, jedoch hat man in Zeiten von Online-Banking u.ä. ein mulmiges Gefühl. Hier nochmal meine Vorgehensweise:

    Habe im abgesicherten Modus mein XP 32 Prof gestartet und mit malwarebytes einen Scan durchführt. Es wurden 3 Infektionen beseitigt und danach konnte normal gebootet werden. Habe nach einer Aktualisierung von malwarebytes nochmal meine Windowspartition gescannt und keine Einträge gefunden. Achso: Meinen Taskmanager musste ich „per Hand“ wieder freischalten. Mir ist klar, dass Aussagen wie „Dein System ist nun sicher“ schwer sind, aber wie sicher kann ich denn ohne eine Formatierung und Neuaufsetzen sein. Habe nun Malwarebytes, AVG und Adaware paralle laufen und bis jetzt kommt keine Störung.

    PS: Habe auch nochmal die Shell gelesen. Dort steht explorer.exe (ist das nun die „echte“?)

    Vielen Dank

    • @ Dan

      Bitte, gern doch.
      Auch wenn ich zugeben muss, das es mittlerweile Ausmaße teilweise annimmt, die eine ganze Firma bewältigen könnte, ich aber manchmal nur schwerlich bzw. mit ordentlicher Verzögerung.^^

      Hast Du die LOG-Datei von MalwareBytes Anti-Malware noch? (Wenn es noch installiert ist, suche mal nach mbam-*.txt

      Sende mir diese entweder per Mail zu, oder vergleiche die Funde (speziell die Bezeichnungen) mal mit den Funden/Bezeichnungen auf meiner Seite unter Punkt P14.1.
      Sollten es Bekannte sein, gilt es zu beachten was ich eventuell dahintergeschrieben habe.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Melde mich nochmals zurück. Habe trotz mehrer Scans keinen Virus mehr gefunden. Dennoch habe ich mein System heute neu aufgesetzt, sicher ist sicher, ich würde mich einfach schwarz ärgern, wenn doch noch was übrig wäre…

        Nochmal großes Lob! Der Blog ist sehr nützlich und toll geführt!

  47. Hallo,
    zunächst einmal vielen Dank für die vielen nützlichen Hinweise hier: Ohne Eure Hilfe hätte ich mich wahrscheinlich schon an einem USB-Kabel aufgeknüpft, weil mich das Ding seit Stunden irre macht…
    Nun eine Frage: Lasse gerade eine Rescue-Disc scannen, überlege aber, doch lieber Win 7 neu aufzuspielen.
    Wie schätzt Ihr die Gefahr ein, daß sich das Ding auch meinen anderen Partitionen (mit Musik und Fotos) eingenistet hat? Ich würde Windows ja auf C: draufsetzen; wäre es das damit oder könnte dann immer noch die Bedrohung z.B. auf meiner Fotopartition lauern?
    Danke für die Antwort.

  48. Hallo, Simon,

    herzlichen Dank für Deine wertvollen Tipps, ich werde heute abend nach der Arbeit versuchen, dieses Mistvieh zu entfernen, war bis gestern völlig ratlos, aber Du machst einem wirklich Mut….hatte noch nie einen Virus/Trojaner bin nur ein einfacher User, der ein bisschen surft und ansonsten nicht wirklich Ahnung von Systemen etc. hat…hoffentlich klappt das…

  49. Dr Schlegel Jens | 6. März 2012 um 10:32 | Antworten

    hallo und grossen Dank an die Experten.
    Kann der trojaner den media player lahmlegen und wie blockiert er die eingabe fuer wiederherstellung auf der windows oberfläche?
    Danke im voraus.
    Was soll ich mir besorgen? ist maladware im handel oder internet erhältlich?

  50. Hallo Simon. In meiner Shell Datei steht bereits explorer.exe. Bitte um Hilfe. :-(

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.