„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
ahhh ich habe ihn auch zuhause. und ich hab zuhause kein internet und nischt in der nähe. ich hoffe ich bekomme das jetzt gleich hin mit deiner Anleitung ohne Netzzugang. Danke für Deine viele Hilfe hier!!!!!!!!!!!!!!!!
Also ich habe einfach den abgesicherten Modus gestartet und im Autostart ein w…dll gelöscht. Diese verwies auf die run.dll.
Nun geht alles wieder bestens. Eine datei „jashla.exe“ oder „mahmud.exe“ kann nicht gefunden werden auf meinem PC. Ich hoffe, damit ist die Sache erst mal gelöst.
Sorry, wenn ich die besagte w…dll nicht mehr genau bennenen kann. Hab sie aus Panik gleich komplett weggeschreddert !! ;(
Es gibt mehrere Trojaner-Varianten. Deine könnte dann etwa dies hier gewesen sein, oder:
https://www.redirect301.de/bka-trojaner-und-kein-ende.html/comment-page-1#comment-7225
….das kommt dem wohl sehr Nahe !
Könnte es noch versteckte Dateien geben, die aufzuspüren sind ?
LG
hallo simon,
ich bin auch bis zum shell eintrag gekommen und weiß nun nicht weiter. ich hab versucht über deine homepage dich zu kontaktieren, hat aber nicht geklappt. wie dann?
gruß
@ matze_44
per Mailadresse extra für diese Fälle angelegt…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo nochmal,
eine weitere Frage zu einer Antwort, die Du oben gegeben hast: Du schriebst, daß die Systemwiederherstellung Daten nicht löscht, sondern nur inaktiv macht. Ok – aber wie kann ich denn dann diese – den Virus enthaltenden – Dateien doch noch von der Platte kriegen?
@ Johnny
Lies dazu bitte das folgende Posting:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-27#comment-7262
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich habe es zuhause ohne internet nicht hinbekommen. bin auch bis zum ‚Shell‘ eintrag gekommen und da ist schon ‚explorer.exe‘ drin.
Gibt es noch ein anderen Pfad den ich rauslöschen kann/muß???
auch DE-Cleaner extern vom USB Stick hat nichts gefunden.
bitte um Hilfe!
@ ik
Schaue Dir bitte dazu auf meiner Seite die Punkte P14 und P14.1 an.
Dot gibt es mittlerweile dutzende von Pfadangaben und bisherigen Dateinamen.
In 95% aller Fälle ist die Lösung schon so oder öhnlich dort verzeichnet.
Sollten dann immernoch Fragen bestehen, stehe ich auch per Mail zur Verfügung.
(Ich antworte so schnell ich kann, was nicht immer Minuten sondern öfter eher Stunden bedeuten ann mittlerweile.)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
also,ich habe die „BUNDESPOLIZEI“ganz einfach durch
systemwiederherstellung weg bekommen
@ carl sand
Bitte beachte folgendes Posting: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-27#comment-7262
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hallo simon
als pc neuling habe ich es mit 75 jahren geschafft.
genau nach anweisung punkt 1-10
Wie kriege ich jetzt die Jashla.exe noch gelöscht?
@ georg
Ist diese Datei denn nachweislich auf dem System vorhanden?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Auch bei mir erschien vor einigen Tagen diese suspekte Meldung auf dem Monitor. „Sehr seltsam, wann habe ich denn das letzte mal terroristische E-mails verschickt?“, dachte ich mir. Schließlich mache ich das doch seit Jahren nicht mehr :) [nur ein kleiner Scherz] Ich konnte danach nichts mehr an meinem PC machen und keine Programme mehr öffnen. Irgendwie gelang es mir dann doch nach wiederholten Hochfahren des PCs mein Antivirenprogramm zu starten und die entsprechenden Virusdateien zu entfernen. Da hab ich nochmal glück gehabt.
Hallo,
Ich bin ebenfalls bis zum Eintrag Shell gekommen doch da stand schon Explorer.exe drin. Nach langen hin und her hab ich den Pc um 4 Tage zurückgesetzt. Dies geht aber nur wenn regelmäßig Updates gemacht werden. Auch für andere die nicht weiter gekommen sind. Pc starten F8 drücken und bei mir stand ganz oben im schwarzen Fenster. PC reparieren.
Sollte es nicht angezeigt werden den pc beim herunterfahren einfach ausschalten kurz warten und wieder einschalten ohne F8 dann müsste es als 1. Punkt kommen. Wenn ihr draufgegangen seit sucht der pc etwas und dann macht sich ein neues Fenster auf mit 4 Punkten einer davon ist pc/system zurücksetzen. (auf einen früheren Zeitpunkt)
Wenn Updates in den letzten Tagen gemacht worden sind werden diese in einem weiteren Fenster angezeigt. Dann einfach draufklicken und dann sollte es gehen. Aber zur Sicherheit würde ich jedem empfehlen der diese Variante wählt täglich ein Antivir Programm nach Viren suchen zu lassen und das mal 2 Wochen.
Ich hoffe ich konnte etwas helfen.
Gruß
Willy
*** ZENSIERT ***
Dieser Kommentar entsprach nicht der Netiquette von redirect301.de. Schöne Grüße in den Raum Elsterwerda und bleib bitte mit deinen Äußerungen jenseits dieses Blogs.
Daniel
*** ZENSIERT ***
Dieser Kommentar entsprach nicht der Netiquette von redirect301.de. Schöne Grüße in den Raum Elsterwerda und bleib bitte mit deinen Äußerungen jenseits dieses Blogs.
Daniel
Schau mal an, da muß jemand – vermutlich ein „Bundespolizist“ – ziemlich sauer sein, daß hier so gute Tips verbreitet werden, wie man seinen Virus wieder los wird ;-)
Tja, wer weiß wer das war und warum vorallem… *grübel*
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo, ich habe ein recht interessantes Problem mit dem BKA Ding… Ich konnte ebenfalls nichts an meinem Laptop tun, habe dann aber einiges gelöscht was mir verdächtig vorkam. Inzwischen startet sich der BKA Trojaner zwar noch immer, ich kann jedoch das Fenster in der Taskleiste schließen und dann „normal“ (wenn auch sehr langsam) am Computer arbeiten. Kann mir jemand sagen wie „normal“ dass ist und ob ich noch mehr tun kann? Leider kenne ich niemanden der (wie ich) Vista nutzt, sodass ich den Pfad in „Shell“ nicht ohne weiteres löschen kann, da ich je eine Kopie von „explorer.exe“ von Vista bräuchte.
Wäre sehr dankbar für Tipps!
@ M.Pött
Bitte mal eine Mail mit dem Anliegen an mich senden.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Es scheint doch noch immer nicht ganz vorbei zu sein:
Wie berichtet, surfe ich normalerweise mit dem MozFF aus dem Sandkasten. Heute habe ich routinemäßig auch mal wieder den IE angeworfen. Wer beschreibt mein Erstaunen, als ich beim Versuch, mich in meine Mailbox einzuloggen, folgende Meldung erhalte:
„Es besteht ein Problem mit dem Sicherheitszertifikat der Webseite.
Die Sicherheitzertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.
Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Webseite wechseln.
Weitere Informationen…“ (blablabla)
Habe natürlich schleunigst den IE geschlossen und wieder auf den MozFF zurückgegriffen.
Dies zum einen als Warnung an alle, die glauben, bloß weil alles wieder läuft wie vorher könnte nichts mehr passieren, zum anderen um die Frage aufzuwerfen: Was tun?!?
@ Holger
Das muss nichts heißen.
Ich hatte bei 2 kunden in den letzten 3 Monaten genau das selbe, als sie sich in ihr web.de Konto einloggen wollten.
Bei dem einen war das Datum verstellt, so ds es aus der Zertifikatslaufzeit raus war, bei dem anderen musste ich einfach mal die Internet-Explorer Einstellungen komplett zurücksetzen.
Beides kein Problem und auch kein Zeichen ein Virus/Trojaners/etc..
Im Notfall wäre das Zertifikat von dem angesteuerten Dienst eventuell tatsächlich abgelaufen und es gäbe halt ein neues.
(Man kann es sich ja anzeigen lassen.)
Duie Warnungen des InternetExplorers sind teilweise viel zu ungenau um darauf Rückschlüsse mit einer 100%-Vermutung aufbauen zu können.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Kommt bei der Zertifikatsmeldung sicherlich darauf an, wo deine Mailbox betrieben wird. Das sollte bei größeren Anbietern vernünftig ablaufen, aber ich nutze sehr häufig selbst signierte Zertifikate, die dann natürlich die von dir beschriebene Meldung bringen.
Schau dir das Zertifikat mal an, vielleicht ist abgelaufen oder die URL die du eingegeben hast, stimmt nicht zu 100% mit der im Zertifikat überein.
Dass die Meldung bei im Firefox nicht erscheint kann damit zusammen hängen, dass du hier irgendwann einmal dem Zertifikat vertraut hast und somit die Meldung hier nicht erscheint.
Hallo ich hat gardae letzt woche das problem ebenfalls shell mit dem explorer.exe pfad….. ich und mein kollege habe echt alles probiert Antivirus der teuerset und neuste keiner konnt den trojaner finden…..
doch dann haben wir eine Wiederherstellung des Laptops auf Donnerstag zurückgesetzt dh es ist der laptop genau so bevor er sich den virus eingefangen hat…. in 50% der fälle klapps…. bei diesem hat es auch funktioniert!!!!! ggg
@ Elisabeth
@ All
Ich sage es zum vermutlich 1000sten Mal, aber nach einer Systemwiederherstellung ist es unabdingbar als MINIMUM noch einen Scan mit dem Programm „MalwareBytes Anti-Malware“ (zum Beispiel von CHIP.de) durchzuführen.
Sollte man dabei etwas finden, kann man die LOG-Datei gerne an mich senden (Mail).
Ich versuche diese dann so weit als möglich zu Analysieren und kann dann ggf. außerdem meine Seite noch erweitern.
Weiterhin würde es nicht schaden/nicht unsinnig sein einen Offline-Systemscan mit einer Boot-CD/DVD durchführen zu lassen!
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Na, dann bin ich ja erstmal beruhigt. Wie gesagt, ich habe nur wenig Erfahrung mit dem IE und war erstmal geschockt. Umso besser, wenn ich „nur“ falsche Schlüsse gezogen habe.
Ob es wohl Sinn macht, auf IE9 upzudaten? (Habe das immer wieder hinausgeschoben.) Oder hätte das auf sowas keinen Einfluß?
Na wenn schon Internet Explorer, dann solltest du dich hierbei auch für den aktuellsten entscheiden. Ich wüsste nicht, was gegen die Version 9 spricht (außer du nutzt XP).
Ich arbeite mit Windos XP! Also – nicht updaten?!?
Meines Wissens kann XP nur bis IE8. Erst Windows 7/8 können mit dem IE9 arbeiten.
Ich lsse mich aber gern berichtigen, wenn ich hierbei falsch liegen sollte.
@ Holger
@ Daniel Weihmann
Unter WindowsXP gibt es nur den Internet Explorer bis Version 8.
Ab Windows Vista gibt es auch den Internet Explorer 9.
Ob Windows Vista und Widnows 7 auch mit dem Itnernet Explorer 10 später ausgestatt werden, steht glaube ich noch nicht fest.
Das Updaten auf die neuste Verfügbare Version ist aber auch aus einem anderen Grund sinnvoll.
Nicht nur weil damit endlich immer weiter HTML/CSS vorschriftsmäßig eingeführt werden, sondern auch weil Zertifikatsanbieter aktuallisiert /eingebaut/ausgetragen werde/wurden.
Damit sind dann diverse Zertifikate z.B. als gültig definiert und andere eben nicht (mehr).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ ALL
@ Daniel Weihmann
Interessant für alle die eben nicht wissen woher Sie den Mist unter anderem bekommen haben könn(t)en:
30.000 WordPress-Blogs mit Fake-Antivirus infiziert
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Den Artikel habe ich nicht ganz verstanden: Muß ich jetzt schon Angst haben, wenn ich gewisse Blogs besuche, oder darf ich bloß keine Pseudo-Antivirus-Software herunterladen (täte ich sowieso nicht im Traum!), wenn ich plötzlich gefragt werden, oder ist es schon zu spät, wenn die Frage kommt?!?
Hier ist wohl die „Pseude-Antivirus-Software“ gemeint. Dass darauf wirklich Leute rein fallen …
@ Holger
Du bzw. alle Leute müssen achtgeben EGAL welches Blog, welche Seite sie aufrufen.
Denn es sind hunderte/tausende Seiten infiziert.
Und WordPress-Blogs sind da halt aktuell Vorreiter.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
habe die Datei(facebook update)im autostart gefunden kann sie aber nur deaktivieren.was soll ich machen?
danke jetztschon
niko
@ Niko
Melde Dich mal per Mail bei mir.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo simon habe auch den selben trojaner wie beschrieben auf mein pc. Bin leider kein pc-freak, habe aber deine anleitung schritt für schritt durchgeführt, nur ich glaube das ich bei shell auf die rechte maustaste gedrückt habe und dann löschen. War das richtig? Im wert stand nur explorer.exe, anderes konnte ich auch nich finden. Ist der trojaner weg? Pc funktioniert wieder.
Danke für deine hilfe im voraus
S. Leonardo
habe die Datei(facebook update)im autostart gefunden kann sie aber nur deaktivieren.was soll ich machen?
danke jetztschon
niko
Hallo Leute,
ich habe gerade geschafft diesen Virus aus meinem Rechner zu entfernen.
Eigentlich gab es bei mir keine jashla.exe zu entfernen sondern 0,7526325888860662.exe / Ort: rundll32 (c:\windows\system32
nachdem ich die 0,7526325888860662.exe gelöscht hatte, ging mein Computer wieder normal.
versuch mal bei euch! vll. wird es auch klappen!
servus
hatte diesen virus schon auf beiden pc´s.
die beste lösung ist:
computer neustarten
während dem neustart f8 gedrückt halten um auf den abgesicherten modus zu kommen.
anschließen geht ihr im abgesicherten modus in die systemsteuerung und öffnet dort die wiederherstellung.
dort könnt ihr dann wählen, auf welchen zeitpunkt ihr euern pc wiederherstellen wollt. am besten paar tage vor dem eintritt des virus.
danach sollte alles wieder funktionieren
mfg
Hey leider ist bei mir von einem Kumpel shell gelöscht worden und ich selbst habe absolut keine peilung von PCs… Ich weiß nicht was ich jetzt machen soll… kannst du mir da vill. weiterhelfen? wenn das schon i.wo im netz steht dann hab ich es leider nicht gefunden und das tut mir dann leid dich damit zu belästigen danke! lg lina
Hallo, hab mir den Virus leider auch eingefangen. Wollte ihn im Abgesicherten Modus bekämpfen. Leider kommt immer eine Fehlermeldung wenn ich in den Abgesicherten Modus gehen will. Das es nicht möglich wäre weil ich Änderungen am System vorgenommen habe.
Was kann ich da den jetzt machen??
Windows XP. Fehlermeldung:
-Windows konnte leider nicht erfolgreich gestartet werden. Die kann durch eine vor kurzem erfolgte Hardware- oder Softwareänderung verursacht worden sein.-
Danke für die Tipps,
aber den Hinweis zu der tollen teuren Sicherheitssoftware:
Hab originales Avira Premium 2012 drauf und den Trojaner trotzdem bekommen.
MfG
@ Ben
Das soll nicht böse gemeint sein, aber bevor eine solche Aussage trifft sollte man erst mal wissen warum dies eigentlich so ist.^^
Siehe dazu meinen Punkt P20.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@Ben – Gut zu wissen, dass ich mich mit Avira Pro also auch nicht so sicher fühlen kann wie eigentlich erwartet. Bisher blieb ich persönlich allerdings verschont, hatte allerdings die Tage einen Rechner mit einem Kaspersky Rundumschutz und dem BKA-Plagegeist.
Naja, der BKA-Trojaner ist eben kein Virus. Trotzdem gehe ich davon aus, dass mich eine Software wie Avira, Kaspersky, Bitdefender & Co. vor vielen anderen Schädlingen bewahrt. Warum augenscheinlich die Ransomware mit dem Bundespolizei-Logo noch immer praktisch ungehindert „arbeiten“ kann, ist für mich sehr fraglich …
Ja, vergiß Antivir2012; ich habe mich nun allen Unkenrufen zum Trotz auch entschieden, Malwarebytes AM zu kaufen; das kostet nur lächerliche 3.- Euro mehr als Antivir2012, dafür weiß ich wenigstens, daß ich sicher bin. Wenn jeder nur die kostenlose Testvariante für 14 Tage aufspielt – wovon sollen die Programmierer dann leben, und wer bewahrt uns künftig vor derart hartnäckigen Trojanern, an denen alle anderen Schutzprogramme scheitern? Wenn ich denke, was für ein Zeitaufwand es wäre, das System ganz neu zu installieren, ist es mir das allemal wert. Und zur Ausrede/Erklärung: ohne Javascript geht es nun mal nicht!
@ Holger
Ích habe nicht gesagt oder damit nicht ausdrücken wollen, das man die Enwickler nicht unterstützen sollte.
Lediglich ist es unsinnig bzw. evtl. sogar kontraproduktiv sich eine solche Software zu kaufen, wenn man evtl. eine Antiviren/Antimalware Rundumlösung schon im Einsatz hat, diese aber evtl. z.B. einfach nicht oder falsch konfiguriert ist.
@ Holger
@ Daniel Weihmann
@ All
Ich habe mittlerweile auch genug System gehabt auf denen MalwareBytes Anti-Malware installiert gewesen war. Es hat keinen Meter geholfen, sondern wurde selbst infiziert (wie sich im Nachhinein raustellte).
Es gibt einfach keinen Rundumschutz der 100% kann, egal ob Suite oder Einzelprodukte.
Allen Systemen gemein war bislang, das sie im ein oder anderen Produkt nicht den erforderlichen Updatestand hatten.
UND DAS ist was das wirkliche Problem wirklich ist.
Denn ist das System aktuell und hat man einen guten Schutz (wie und in welcher Art auch immer), geht es eben nicht mehr so leicht ein System zu übernehmen.
@ Holger
@ All
Java und JavaScript sind übrigens zwei Paar Schuhe. JavaScript geht auch vollkommen ohne jegliche Installation von JAVA.
JAVA = Entwicklungsumgebung/Programme
JavaScript = Webseiten z.B. Menüs oder sonstiger ausführbarer Code der eingebettet wurde.
Hinweis:
Sollte jemand bessere oder genauere Infos haben, gerne her damit.
Aber labidar mit „des stimmt net“ lasse ich mich nicht abspeisen.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon
natürlich habe ich bessere Infos ;-)
Das habe ich doch schon mehrfach geschrieben.
Deine Infos sind doch OK, die Malware entwickelt sich halt weiter.
– Hase und Igel ;-)
Tschau
Hm… man lernt doch nie aus.
Aber nun mal Butter bei die Fische: Kann ich Java wirklich gefahrlos aus dem System entfernen? Bei mir gibt es 3 Ordner mit Java: Der 1. gehört zu Windows und ist leer, also offenbar nur prophylaktisch angelegt – aber brächte es dann überhaupt etwas, den zu löschen? Der 2. gehört zu Quicktime, auf das ich nur ungern verzichten möchte, denn es ist nun mal ein sehr gutes Programm. (Wenn es sein müßte, könnte ich es zur Not trotzdem entbehren; die neue Version des VLC-Players spielt die QT-Dateien ja auch gut ab.) Aber der 3. gehört zu OpenOffice, und ich bezweifle, daß ich es da schadlos einfach rausnehmen kann. Und wenn nicht – hat es dann überhaupt Sinn, die beiden anderen zu entfernen?!?
Aloha,
ich komme auch ohne den ganzen vormüll zu meinem desktopfenster, der virus ist nämlich nur auf ein benutzerkonto fixiert (bei mir zumindest), bzw kann man auch im aktiven, befallenen konto auf ‚abmelden‘ drücken und dann den vorgang abbrechen – dann hat man einen leeren dektop, und dann einfach über den cmd den explorer neu anstarten – den killts nämlich meistens gleich mit.
wie dem auch sei, mein rechner kennt nicht jashla noch mahmud, beziehungsweise bleibt die suche bei dem letzten % stehen – nunmehr seit 3 stunden – ich habe selbstverständlich die suchoptionen so geändert, dass der auch alle versteckten dateien und archive durchsieht – aber seltsamerweise macht er das nicht .__.
ich bitte um konkretere hilfe, (teamviewer ist existent)
@ TheGuitarist
Bitte mal bei mir per Mail melden.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo erst mal alle zusammen (:
Ich bin euch wirklich dankbar das ihr hier soetwas macht ! Aber Ich habe schon seit langen diesem TRojaner und habe alles gemacht was in der anleitung steht. Doch ich komme nicht mehr weiter!DEr trojaner steckt immer noch fest. Ich habe es bist zum 8 geschafft und dann versucht es weiter durchzusetzen (ich bin ne niete wenn es um Computer und so geht -.-* ) ich bitte euch um Hilfee..!! ICh komme einfach nicht mehr weite rund weiss nciht was ich danach mehr machen soll.. Ach so neuerdings gibt da es soetwas ich habe heute den Pc ganz normal gestarten und es ging auch an doch danach wurde das fenster schwarz und da steht achtunge! in rot und darunter ihr pc wurde aus sicherheitsgründen blockiert und darunter steht bezahlen und ncoh etwas Runterlkaden?) da konnte man drauf klicken. ich komme nciht mehr weiter..!! bitte hilf Mir !!! )‘:
@ BliBlaBlub
Na das hört ishc ja so an, als hätte man erst eine „leichte“ Version drauf gehabt und diese hätte sich jetzt „geupdatet“ auf eine neuere Variante (so hört es sich zumindest für mich an).
Melde Dich/Melden Sie sich mal per Mail bei mir.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ja es könnte so stimmen.. Mal ne frage.. Soll ich jetzt auf mail drücken doer so?! Weil ich bin jetzt nur noch mit abgesichtern modus ‚online‘ bei dem anderne hab ch ja kein zugriff… ich weiss wirklich nciht mehr weiter.. ich bin soweit rausgekommen bis wo ich die ‚reise‘ gemahct habe zu schell ich hab das unbenannt wie sie es sagten zu ‚Explorer.exe‘ ich hab es dann fertig hingekriegt und ok gedrückt weiter weiss ich auch nciht weil ich das i.wie nicht versteht habe..
aso und ja beim 9 schritt steht ja wenn das dos eingabe dingst a noch geöffnet ist sollte ich explore.exe eingeben.. Stimts?! Ich habe das auch getan, doch die datei konnte nicht gefunden werden.. O: Ist da ein fehler untergelaufen?!
sie hatten ja im neunten schritt geschrieben das man den kompletten pfad zum virus löschen sollte.. meinten sie jetzt damit das ich winlog löschen sollte und dann surrent version und das zeug?!
Bitte Hilf Mir )‘:
@ BliBlaBlub
Wenn du ein Mailprogramm zur Verfügung hast, schreibe mir darüpber unter oben angegebener Mailadresse eine Mail.
Ansonsten logge Dich in deinen Webmailer (GMX, WEB, Hotmail, etc.) ein und schreibe mir von dort aus an die oben angegebene Mailadresse.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Klappt nicht. -.-* Ich finde deine E-mail. nciht.. i.wie bin cih heute total durch und durch drauf… bitte halte mich jetzt nicht für dumm.. -.-* Ich bin ja auf einem Gymnasium (bin 14 ^^‘ ) aber derzeit als ich das alels hier sehe bin cih voll unter schock zustand ! Ach ja Simon… wie es aussieht gibt es jetzt i.wie eine weitere version von bka die anders aussieht .. !!!!! Ich habe den pc ganz normal hochgefahren und dann als der desktop auftaucht kam sofort dieses sperr bidl in einer anderen form &‘ bild quasi!!!!! Man aht auch kein zugriff auf dem pc und im internet mehr! Deshalb bin ich im abgesichtern modus mit netz drinne weil es sonst anders nciht mehr geht.! Ich hab mcih mal bei den anderen seiten umgeschaut und auch ne andere lösung gefunden denoch mit nciht erfolg… sie wissen bestimtm dich was mit dem notepod.exe?! Oder?! Auf einer anderen seite steht das man den deaktivieren muss..! Naja ich hab es auch verssucht doch im taskmagr findet diese DAtei Programm was auch immer nicht! Ich bin total ratlos.!
@ BliBlaBlub
Was die andere(n) Seite(n) da mit der notepad.exe meinen, ist das gleiche was meine Seite unter Punkt P14 und P14.1 meint…
Nämlich das die Datei einen „normalen“ Namen haben könnte und sich damit getarnt verstecken könnte.
Wer käme schon auf die Idee das er eine gefälschte notepad.exe irgendwo auf seinem System hat.^^
Zur Mailadresse wie oben… bka-virus @ kunden.pp4it.de.
@ Daniel Weihmann -> Bitte entferne diese Mailadresse oder wandle Sie in eine richtige um.
ABER erst morgen um diese Zeit!
Ich denke/hoffe BliBlaBlub wird es in dieser Zeit geschafft haben mich zu kontaktieren.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Also Hallo erstmal,
prima, das sich jemand die Mühe macht, jedem sein Problem mit einer Engelsgeduld zu erklären. Danke an Simon und alle Anderen.
Zur Situation: In den letzten 10 Tagen wurde ich genau 6x wg des Bundespolizei-Kidnappers gerufen, Entfernung immer erfolgreich. Frage: Das Mistvieh ist schon etwas älter, warum explodiert das Ding hier in der Region jetzt erst, und dann noch so konzentriert?
Statistisch Feststellung noch zum Schluss: Ausnahmslos alle entzündeten OS waren (Trommelwirbel bitte!) Win7, kein XP und auch kein Vista, egal ob mit oder ohne Virenschutz (Von gar keines über Free-Prg bis teure Vollversionen). Eines hatten alle gemeinsam: im Verlauf waren als letzte aufgeruf.Seiten div Pornoseiten mit russ/bulg/kyrill Impressum. Aber schimpfen hilft im Nachhinein auch nicht mehr, die AntiTripperImpfung muss wehtun.
Schönen Sonntach noch
Det
Sollte das ein kompliment sein?! o.0
Natürlich, habe ich mich etwa missverständlich ausgedrückt? Hoffentlich nicht, es war ein ernstgemeintes Kompliment.
Det
Kann ja sein.. bloss das ist alles so kompliziert und waar eii… Ich habe i.wie mega shciss das ich diesen trojaner oder mehrere leute den ahben .. und nachts bilde ich mir ein das der vor dem pc sitz von seinen und dabei meine ‚dokumente‘ durchsucht und mcih sieht. .warum muss die technik immer soo sein?! ich m,eien ich brauche ja pc und anderes für die Schule um zu lernen! Mehr auch nciht und schwupps da kommt dieser trojaner! Wie ärgerlich ist das denn bitte?! &‘ bei einem anderen mädchen ist das auch schon passiert und genau in dieser lage versetz die sich gerade und stress pur!!!
Grus
Linh.
@ Detonator66
Kommt drauf an welche „Region“ gemeint ist?!
Denn meine Statistik beläuft sich zu 90% auf den Norden und den Süden Deutschlands. Alles was irgendwie „mittig“ einzuordenen ist, war bzw. ist bislang wohl einigermaßen „verschont“ geblieben.
Warum – das kann ich wohl niemandem wirklich erklären.
Ich kann da leider gegenteiliges Berichten:
Alle Systeme von Windows 200, über Windows XP, über Windows Vista bis Windows 7 waren bislang betroffen bzw. sind es noch immer. (Siehe alleine meinen heutigen Posteingang…^^).
Zustimmen kann ich in Sachen Virenscanner. Von Keinem bis sauteuer – alles dabei.
Aber dazu habe ich erst kürzlich hier einiges getextet und auf meiner Seite stehen.^^
Ebenfalls kann ich zumindest eine Tendenz zum Besuch illegaler Seiten und Pornoseiten ferststellen, die Zahl ist aber nicht viel höher im Vergleich zu den sonstigen Infektionsseiten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hoi Simon…
Welche Region? Tiefster Süwesten, direkt an der CH-Grenze.
Heute haben sich wieder zwei Fälle gemeldet, da brauchte ich gar nicht groß fragen. Das Schöne im Gegensatz zu „normalen“ Ungeziefer ist doch a. das er nicht zu übersehen ist un b. relativ stressfrei entfernbar ist. Aus Geschäftskreisen ist bis jetzt auch nichts bekannt, alles nur Privat-PCs und darunter nur eine Frau. Ob man ihr eine Freude an PornSites unterstellen kann…?? Glaube nicht…
@ Detonator66
Leider sind nicht alle Versionen
1. so leicht wie oben beschrieben zu entdecken und auch ebenso nicht alle so leicht zu entfernen.
2. Weiterhin holen sich immer mehr Leute leider solche Teile, welche Trojaner und Rootkits nach sich ziehen.
Erst gestern SpyExe und Zeus…^^
Und ich konnte schon mehrern Leuten zur Hilfe eilen, egal ob auf Arbeit oder hier in meiner „Freizeit“, welche das Teil auf Firmenrechnern hatten.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Die Statistik trügt – ich habe mir das Ding wie gesagt mit Windows XP eingefangen, und ich sitze weder im Norden noch im Süden, sondern im Westen.
Ich bezweifle auch, daß die Missetäter in Rußland oder Bulgarien sitzen; dem Vernehmen nach sitzen sie vielmehr in der Ukraine. (Läßt sich übrigens leicht feststellen: die schreiben das „i“ wie wir, nicht wie die Russen und Bulgaren.)
Aber ich kann mich natürlich täuschen; zugegeben, ich surfe öfters auf russischen Musikseiten – ob zuletzt, bevor ich mir den BK-Trojaner eingefangen habe, kann ich nicht genau sagen, da ich Multitasking mache, d.h. es sind immer mehrere verschiedene Seiten gleichzeitig geladen -, dort gibt es Musik + Texte, die es anderswo nicht gibt, da GEMA & Co bzw. deren Suchprogramme offenbar Probleme mit Kyrillisch haben. Das ist übrigens nicht per se illegal, solange man sie sich nur anhört bzw. ansieht; nur wenn man sie herunterlädt und damit einen schwunghaften Tauschhandel aufzieht macht man sich ggf. strafbar. Ich glaube auch nicht, daß die Betreiber dieser Seiten den Trojaner einschleusen – wahrscheinlich sind sie selber Opfer von Hackern geworden; aber ich werde mich jetzt erstmal von dort fernhalten, bis ich weitere Informationen bekomme, und würde das auch allen anderen empfehlen.
Hallo Holger
Hm… man lernt doch nie aus.
Aber nun mal Butter bei die Fische: Kann ich Java wirklich gefahrlos aus dem System entfernen?
Ja, wenn Du kein OpenOffice benutzt. Da wird J6U22 installiert.
Du kannst natürlich J7U3 benutzen. Das ist zur Zeit sicher.
OpenOffice läuft natürlich mit JRE 7U3, man muß den alten Krempel halt löschen.
Für die Statistik wäre es schon wichtig, wo die Lücken sind.
Tschau
Danke für die Tipps – waren für nen Bekannten von mir wichtig, denn der rief ganz aufgeregt an: „Muss ich jetzt meinen ganzen Rechner neu aufsetzen? Heul…“
Hallo Simon
Du musst mir helfen-.- bitteeeeeeeee…ich hab den Virus gerade bekommen:(und hab jetzt 1-10 durchgeführt..bin bis Shell gekommen aber da stand schon Explorer.exe…jashla findet er nicht!!was nun??danke
@ Miriam
Sende mir bitte mal eine Mail mit dem Anliegen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Miriam?! Sie nciht soo unter stress (ach aj bin ich auch :D ) Aber es wird schon wieder (:
DEr simon hilft so gut allen :D (;
Linh.
jo scheiße hatte des auch, habe aber win7… wusste net ob zahlen oder net, denn ich lade keine musik mehr, wurde schonmal beim spiele laden erwischt, des reicht.
also hatte den, nichts unternommen, jetzt habe ich die anleitung hier gefunden und wollte es testen obs dann wieder geht, aber jetzt lässt er sich nimma hochfahren, kann es sein das er mir die festplatte zerstört hat?
Es hat prinzipiell nichts damit zu tun, auf welchen Seiten du dich herum treibst, auch wenn die Gefahr in einigen Ecken des Internets höher ist …
Also eine Software (Virus, Trojaner, Malware usw.) wird eher nicht die Hardware zerstören können. Das nicht mehr hochfahren können des Rechners kann an tausend Gründen liegen, am BKA-Trojaner aus meiner Sicht eher nicht. Wo klemmt’s denn? Wie weit bootet denn dein PC?
bis zur festplatte
@ Thomas
Das schlimmste was mir bislang untergekommen ist und leider jeden Abend aufs neue tut, sind Rootkits.
Sprich Schädlinge die sich in den MBR (Master Boot Record) der Festplatte hängen und von da so einfach auch nicht wieder wegzubekommen sind.
Ein Rootkit zerstört normalerweise keine Festplatte, zumindest ist es physisch nicht möglich.
Es kann aber den Boot des Systems blockieren.
Dies würde es aber nicht machen, weil es dann seine eigentliche Funktion, die Spionage der Tastatureingeben etc., nicht mehr ausführen kann.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Wie sieht es denn mit einem Start von der Windows 7 Installation-DVD aus und der Option „Computerreparatur“?
Oder mit AntiViren/AntiMalware Boot-CDs/DVDs?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,wollte ihn im Abgesicherten Modus bekämpfen. Leider kommt immer eine Fehlermeldung wenn ich in den Abgesicherten Modus gehen will. Das es nicht möglich wäre weil ich Änderungen am System vorgenommen habe.
Was kann ich da den jetzt machen??
Windows XP. Fehlermeldung:
-Windows konnte leider nicht erfolgreich gestartet werden. Die kann durch eine vor kurzem erfolgte Hardware- oder Softwareänderung verursacht worden sein.-
@ Nero
Streikt jede Art von Abgesicherter Modus?
Und wenn ja, was sagt der Ounkt „Letzte als funktionierende bekannt Version“?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ja es geht bei allen 3 nicht. Wenn ich den Punkt “Letzte als funktionierende bekannt Version” nehme, ist alles gut aber nach ein paar Minuten kommt der Virus wieder. Habe keine Chance was zu machen…
@ Nero
ein paar Minuten als Zeitfenster reichen für das gröbste aus.
Wenn dies immer der Fall ist, dann bitte mal hier oder direkt per Mail melden.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
mir geht es wie all den Anderen hier. Ich habe den oben beschriebenen Weg befolgt. Nur finde ich unter „Winlogan“ keinen „Shell“. Was nun?
Grüße Lars
Die in diesem Artikel beschriebene Vorgehensweise stammt von ende August 2011. Der BKA-Trojaner wird aber ständig weiter entwickelt und angepasst.
Aus meiner Sicht traten zuletzt gehäuft die hier bzw. hier beschriebenen Varianten auf.
@ Lars J.
Bitte mal den Punkt P09 anschauen und ggf. ausführen (im Abgesicherten Modus wenn irgendwie möglich).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Auch ich habe den Virus seit gestern !!! Er scheint sich derzeit rasant in Deutschland zu verbreiten !!!
Leider komme ich bei meinem Toshiba-Notebook nicht mit F8 in den abgesicherten Modus…
Stattdessen kommt direkt die meldung „Die Website kann nicht angezeigt werden“/Diagnose non Verbindungsproblemen. Logisch, denn die Internetverbindung habe ich zuvor getrennt.Problem: Task Manager funktioniert ja wegen des Virus auch nicht so dass ich nur herunterfahren kann.
Gibt es da noch einen anderen Weg ?
Das ist dann wohl diese BKA-Virus Variante. Kann es sein, dass beim Notebook die F-Tasten nur per Zweitbelegung erreichbar sind? Also dass z.B. zusätzlich noch eine Funktionstaste gedrückt werden muss …
Danke, Daniel das dachte ich mir. Ich versuche also nun als, erstes wieder die Talk Manager Funktion zu erreichen. Hier Steht „Ausführen von gpedit.msc“. „Ausführen“ kann ich nicht weil die Startleiste nicht erscheint. Wenn ich ganz schnell in eine beliebige Datei auf dem Desktop klicke bevor der Virus das Desktop blockiert, komme ich auch auf die Festplatte. Dann kann ich „Suchen“ eingeben, aber „gpedit.msc“ erscheint nicht in der Form wie hier dargestellt…
Die Kombination von F8 mit anderen Tasten ist bislang ohne Erfolg…
@ Harald
[WindowsTaste] + [R] = Ausführen…siehe auch …P15,
wäre evtl. auch noch eine Möglichkeit.
Ansonsten, wie schaut es mit einer Boot-CD/DVD aus?
Weiterhin, nahezu selbe Anleitung, aber doch ein klein bisschen anders…P25
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Nun hat es funktioniert mit „F8“. Ich bin im abgesicherten Modus mit Eingabeaufforderung bis in das Zielverzeichnis „Winlogon“ gelangt.Anhand der Beschreibung weiß ich nun, dass die „Explorer.exe“ Datei mit dem Virus infiziert ist.Dann ist die Anleitung so kompliziert dass mir nicht klar ist welche Datei ich löschen soll und wie ich dort hinkomme. Für einen Nicht-Informatiker leider so nicht nachvollziehbar…
@ Harald
Kann man eine Internetverbindung aufbauen?
Sind die 10 Schritte hier oben auf der Seite (von Herrn Daniel Weihmann zu undurchsichtig) trotz Bebilderung?
Ansonsten schrieben Sie mich doch bitte mal per Mail an.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
ich bin auch fertig mit den nerven hab auf meinem xp notebook „gema“ virus. im abgesicherten modus auch „kidnapping“ komme nirgends in den rechner. hab nur 512mb RAM, Boot-CD funzt nicht mit Linux
Oh, noch ein Holger – aber ich bin’s nicht; ich habe z.Z. keine Probleme mehr mit dem Virus ;-)
pc hochfahren taste f8 für abgesicherten modus. im ordner autostart sieht man die exe von dem trojaner. einfach die datei suchen und löschen. neustart und alles is wieder gut. dann vllt nochma alles durchchecken.
@ kumpel
1. Reicht das leider lange nicht mehr bei Allen Varianten aus – leider.
2. Nicht nur vielleicht danach scannen, sondern Garantiert und das am allerbesten per Offline Boot-CD/DVD und andernfalls MINIMUM im abgesicherten Modus.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
vielleicht kann uns jemand helfen. Mein Sohn hat sich den BKA-Trojaner 1.06 über einen Internetlink eingefangen.
Wir haben versucht die Anweisungen zu verfolgen. Da in der Shell explorer.exe bereits stand (Punkt 8) haben wir sie versucht über eine neue mit dem Dos-Befehl replace explorer.exe c:\Windows zu ersetzen. Dabei taucht die Fehlermeldung 32 auf und der Bildschirm bleibt schwarz im Eingabemodus.
Hat jemand eine Idee?
Vielen Dank
Ralf
hallo
auch bei mir funktioniert der abgesicherte Modus nicht und wenn ich letzt bekannte Version tippe fährt der Pc wieder normal hoch und bin sofort wieder beim Trojanerbildschirm. vielleicht hat da jemand noch eine Idee
mfg
ich dachte der is immer gleich. dann hatte ich wohl glück.?. das ich den so ‚leicht‘ runterbekommen hab.
ich hab wohl richtig pech, denn wenn ich noch nicht mal in den abgesicherten modus komme oder die letzte version laden kann, bleibt mir da glaub ich nur noch eines übrig…. war sowieso zeit
Ich hatte die Version wo man 25€ zahlen muss. Abgesicherter Modus hat nicht funktioniert alle Datein waren verschlüsselt ich konnte es mir nicht leisten die Datein zu verlieren also habe ich gezahlt. Alles wurde dann wiederhergestellt. Naja wollte ich nur mal so sagen das alles wiederhergestellt wurde nach der Zahlung habe auch nichts für Viren gefunden danach :S
Es scheint wohl auch eine neue ‚Version‘ zu sein, die sich eben woanders eingeschlichen hat. Es wird nichts anderes übrig bleiben, als die Tage zu warten bis ein neues Anti-Malware Programm den kleinen Teufel raushauen kann.
Ich habe zumindest vollen Zugriff auf die Kiste. Wenn ich über Strg Alt Entf auf Herunterfahren gehe und dann im letzten Moment den Vorgang abbreche, dann schließt sich die Eingabeaufforderung.
Hallo,
habe mir vor ca. 5 Tagen diesen Virus eingefangen. Folgend beschreibe ich wie ich das Problem gelöst habe. Windows im abgesicherten Modus starten und dann den Taskmanager aufrufen (Strg+Alt+Entf). Danach unter dem Reiter „Datei“ Datei > Neuer Task (Ausführen…) > msconfig [OK] eingeben. Dann kommt man in die Systemkonfiguration. Hier mal unter dem Reiter „Systemstart“ schauen und nach folgender Datei suchen: 0.21822213503815202.exe . Sollte diese oder eine ähnlich Datei mit solch einer langen Zahlenfolge bei Euch zu finden sein, einfach das Häkchen links entfernen. Die Datei sollte nun nicht mehr automatisch beim Systemstart ausgeführt werden und das System sollte wieder normal starten. Problem bei mir ist nun allerdings, das ich zwar sehen kann wo die Datei ist. Aber wenn ich manuell den Pfad verfolge um die Datei ausfindig zu machen und zu löschen, ist dort keine Datei zu finden. Wenn diesbezüglich jemand Rat weiß, wäre ich sehr dankbar.
Ach ja, Antivir natürlich drüber laufen lassen. Hat bei mir 5 felalert Dateien gefunden.
Schöne Grüße und Viel Erfolg
So hats bei mir auch funktioniert! Unter Systemstart folgende Datein gefunden:
0.144405108295475966.exe
0.33685531893302737.exe
Gruß
Hi, ich hab mir das Teil gestern Abend eingefangen! Betriebssystem Windows 7
HAb Windows im abgesicherten Modus gestartet, dann bin ich auf Systemsteuerung, –>Wartungscenter –>Computer auf einen früheren Zeitpunkt zurücksetzen gegangen und hab einen Tag früher also den 13.3.12 ausgewählt. Hab damit das Probelm in den Griff bekommen ohne datenverlust und ohne Ahnung^^
mfg
@ Johannes
schön das es funktioniert hat.
Die eventuellen Viren/Trojaner oder schlimmeres bist du/sind Sie damit aber nicht losgeworden.
Bitte MINIMUM noch ein Scan mit „MalwareBytes Anti-Malware“ (im Abgesicherten Modus) von z.B. CHIP.de hinterher ist Pflicht!
Bei weiteren Fragen/Problemen oder für die LOG-Datei … (Mail)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo zusammen,
ich bin z.Zt. auch Reisender i.S. BKA-Tr.-Entfernung.
Vor drei Tagen rief mein Sohn an und teilte mir den Befall mit; heute schau ich mir die Sache an.
Er schilderte, dass er (als eingeschränkter User) durch den Trojaner, wie bekannt, ausgesperrt blieb, dass er aber unter der Admin-Anmeldung den PC problemlos nutzen kann.
Und jetzt: seit gestern kommt er auch wieder als normaler eingeschränkter User wieder rein; der Spuk sei angeblich vorbei.
Gab es die beiden geschilderten Sachverhalte schon einmal irgendwo?
Die Sache ist für mich eher von akademischen Interesse, da ich heute abend ein etwas älteres Image drüberbügeln werde und dann ein bischen Update-Arbeit habe. Aber man lernt ja für den nächste Fall.
Natürlich werde ich vorher noch versuchen, den Fiesling zu lokalisieren, wenn ich das auf die Schnelle schaffe.
Gruß
Ich denke irgendwo in den unzähligen Kommentaren hier beschrieb schon mal jemand, dass er den Rechner ein paar Tage links liegen gelassen hat und alles wieder „ok“ war. @Simon: Sagt dir das noch etwas?
@ Daniel Weihmann
Ja, das tut es.
Allerdings herrschte dort glaube ich nur für ca. 30 Minuten (oder waren doch Stunden – ach auch egal) Ruhe.
Denn dann hatte das Teil wohl wieder Kontakt aufgenommen mit seinem MAster-Controller Server und sich auf den neusten nervigeren Stand gebracht.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo!
Ich bin grade von der Schule gekommen und habe mich an den Rechner gesetzt und plötzlich sah ich auf dem Monitor diese ‚Sperre‘ ich war als erstes voller Panik.
Was soll ich jetzt machen damit der Virus entfernt wird ? Ich frage lieber als erstes meine Eltern (ich bin 13). Ich probier es mal mit Neustart aus.
mfg
Hallo,
sag uns mal bitte, wie du dann hier schreiben kannst, wenn der Rechner gesperrt ist?
@ F-Protler
Ich vermute wie auch alle diejenigen dir mir Mails schrieben, naja fast alle…
Diese Personen haben oft ein Smartphone oder doch noch einen Computer der mit dem Internet verbunden ist und nicht befallen ist. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mein Rechner ist zwar nicht gesperrt aber diese Warnmeldung erscheint jedes mal wenn ich den Computer anschalte.
@ Ecem
Wenn der Computer „ganz normal gestartet wird“ und Internet angeschlossen/angeschaltet hat, ist das verständlich.
Wie sieht die selbe Situation OHNE Internetverbindung aus?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Aha,
dann sage deinen Eltern Bescheid. Sie sollten – falls sie selbst nicht das Fachwissen haben – eine zuverlässige, fachkundige Person beauftragen, die so vorgeht, wie hier im Forum mehrfach beschrieben.
Gruß
@ F-Protler
@ Ecem
Mal abgesehen das der Umgangston etwa „hitzig“ rüberkommt und evtl. auch ist, wäre es gut wenn ihr BEIDE mal die Antworten-Funktion in Betracht ziehen würdet!
@ Ecem
Bei Problemen versuche erst m la die Liste da oben abzuarbeiten. ansonsten findest du auf der ebenfalls dort angegebenen weiteren Hilfeseite von mir noch „Tipps/Hilfestellungen“.
Und wenn gar nichts mehr zu gehen scheint, schreibe mir erst mal eine Mail.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
ich wollte nicht unhöflich sein, war in Eile, insofern bitte ich um Entschuldigung.
Die Antwortfunktion werde natürlich jetzt nutzen; hatte sie schlicht übersehen.
In der Sache denke ich aber, dass mein „hitziger“ Rat gar nicht so schlecht war.
Deine fachlich sehr fundierten Tipps sind wirklich gut, ob Ecem, 13 Jahre alt, damit aber klar kommt, wage ich zu bezweifeln, und wenn das gar der Familienrechner wäre, führt kein Weg an den Eltern vorbei.
Die Hoffnung, dass sich auf die Fragen meines ersten Beitrags auch Antorten einstellen werden, haben sich bis jetzt leider nicht erfüllt.
Mit freundlichen Grüßen
F-Protler
Wieso so nett ? das ‚aha‘ könntest du dir sparen.
Gruß
Ich bin bis Shell gekommen , habe jedoch diese Datei gelöscht ohne etwas zu ersetzen ! Danach habe ich den PC neu gestartet : aber der Virus ist immernoch da ! Ich habe wieder nachgeschaut ob die Datei Shell doch nicht gelöscht aber sie ist nicht mehr da… Jashla.exe oder Mahmud.exe habe ich leider nicht gefunden …
Was soll ich jetzt tun ??? Danke im Voraus
Hi ich hab mal ne frage :)
hab den mir gestern auch eingefangen gehabt. hab ne systemwiederherstellung gemacht, avira mehrmals durchlaufen lassen und malwarebytes durchlaufen lassen,
avira hat zuerst was gefunden gehabt hab dann den virus löschen lassen. danach nix mehr gefunden und malwarebytes hat auch nix gefunden.
kann ich jetzt sicher sein dass mein system sauber ist und alles weg ist und der bka-trojaner nur den account gesperrt hat?
oder weiß jemand ob der noch keylogger oder so mit drauf haut die nicht endeckt werden?
hab nämlich keine lust alles neu zu installieren…
danke und Gruß
@ Zava
Hast Du den Scan mit „MalwareBytes Anti-Malware“ im Abgesicherten Modus durchgeführt?
Wurde auch mal ein Scan mit dem Online-Scan von ESET gemacht (ebenfalls im Abgesicherten Modus)?
Wenn nein, bitte machen und mir die LOG-Dateien per Mail zusenden.
Theoretisch ist nämlich beides denkbar…
1. Alles weg und gut
2. Vermeintlich alles weg aber Rootkit aktiv.
Eventuell kommt man mit den beiden Test dem ganzen so noch auf die Schliche.^^
Übrigens, nicht böse gemeint, aber Datensicherheit versus „Ich will nicht neuinstallieren“ ist keine Option.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)