Beitrag wurde zuletzt am aktualisiert

Bundespolizei Trojaner entfernen

Bundespolizei Virus / Trojaner entfernen

„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.

Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!

Schritt für Schritt Anleitung


Neue Varianten vom BKA-Virus (Bundestrojaner) im Umlauf! Alle Informationen + Videos zum Entfernen der Schadsoftware im GVU-Trojaner 2013 Beitrag, falls diese Tipps nicht zum Ziel – der vollständigen Wiederherstellung des Rechners – führen sollten

Die ersten Schritte bei Problemen dieser Art

Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!

  1. Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
  2. Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
  3. Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
  4. Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
  5. Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
  6. Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.

Anleitung zum Löschen des Bundespolizei Virus

Bundespolizei Virus - Bildschirm eines infizierten Windows PCs

Bundespolizei Virus – Bildschirm eines infizierten Windows PCs

  1. Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
  2. Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten

Windows im abgesicherten Modus starten

  1. Windows startet nun in einer Art Minimal-Konfiguration.
  2. Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
  3. Den Befehl regedit eingeben und [Enter] drücken
  4. Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
  5. Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
  6. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
  7. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
  8. [OK] klicken und das Registry-Fenster schließen [x].

Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.

Windows-Registry - Pfad zur jashla.exe

Windows-Registry – Pfad zur jashla.exe

Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.

Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).

Den Rechner jetzt ganz normal neu starten

Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.

Rechner auf Schadsoftware prüfen

Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.

Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.


Was heißt, der Spuk ist „erst mal“ vorbei?

Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.

Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!

Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …

Ich konnte euch mit den Informationen rund um das Thema Bundespolizei Trojaner entfernen weiter helfen? Dann bewerte diesen Beitrag ganz kurz und/oder hinterlasse einen Kommentar.

Bewertung für Bundespolizei Trojaner entfernen:
Sehr schlecht, mir fehlen die WorteHat gar nicht geholfenHat bedingt geholfenSehr gut, hat soweit funktioniertSuper, hat alles geklappt
 4,79 von 5 1 bei bislang 34 abgegebenen Stimmen.

121 Kommentare zu "Bundespolizei Trojaner entfernen"

  1. Max | 15. März 2012 um 23:57 | Antworten

    Hallo
    Ich bin an der Aufgabe schon an meinem Pc gescheitert,bevor es überhaupt Los ging. :(
    Mein Pc will nicht im abgesicherten Modus hochfahren.Er sagt jedesmal,dass er irgentein Problem hat und das daher nicht geht. Dann fängt er wieder neu da an,wo man F8 drück und will normal hochfahren…
    Ich weiß nicht, wie ich das Problem lösen kann ohne abgesicherter Modus. Wohl gar nicht…
    Gibts ne andere Möglichkeit den so zu starten oder was kann ich machen?

    Tut mit Leid,falls das schonmal gefragt wurde.
    Ich hoffe auf baldige Hilfe und bedanke mich schonmal. ^^

    • Simon | 16. März 2012 um 00:45 | Antworten

      @ Max

      Sende mir nach möglichkeit bitte mal eine Mail.
      Dann bekomme ich das im Idealfall schneller geklärt als bei den vielen Postings in dreierlei BLOG-Bereichen…

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Frieda | 23. März 2012 um 00:49 | Antworten

        der trojaner bundespolizei hat meinen kompleten rechner lahmgelegt.alle hier aufgeführten möglichkeiten waren noch nicht einmal möglich, ich komm noch nichtmal über dos rein

    • Bobiboy | 17. März 2012 um 11:22 | Antworten

      Ganz einfach PC hochfahren anmelden dann ganz viele Programme wie möglich öffnen bis der Virus loswüted
      dann kommt das Fenster mit Bundespolizei bla bla bla…..
      dann STRG-ALT-ENF drücken dann auf Abmelden jetz schließen sich alle Fenster die Geöffnet wurden auch der Virus dann „sofort“ auf Abbrechen so jetzt siet ihr im System ganz normal und dann die oberen Schritte befolgen!!!

    • Oliver | 20. März 2012 um 17:23 | Antworten

      BKA Virus sowie Gemma Virus

      Ganz leicht, gerade bei win7 vista und xp selber gemacht, waren wirklich alle gleichzeitig infiziert. .
      Festplatte aus dem infizierten Rechner nehmen, und als Externes Laufwerk an einen Funktionierenden Rechner anschließen. Wichtig!! Vorher natürlich Antivirus updaten, sonst geht’s schief.
      Der nicht infizierte Rechner erkennt die infizierte Festplatte als weiteres Laufwerk an. Jetzt das aufgefrischte Antivirus starten, dort kann man die zu prüfende Laufwerke anklicken. Die infizierte Festplatte anklicken und Antivirus drüber laufen Lasen. Bei mir wurden einmal 22 Funde, einmal 28 Funde aufgezeigt.
      Antivirus schlägt nach durchgehlaufendem Prüfen weitere Vorgehensweise vor. Einfach folgen, und Ihr seid den Virus los.
      Wenn ihr nun die geprüfte Festplatte wieder in den Rechner einsetzt, bitte vorher Internetverbindung unterbrechen, weil Reste des Virussees wieder Verbindung suchen, um sich zu installieren, ihr bekommt als kurz ein weißes Bild, dann der Hinweis, Programm konnte nicht ausgeführt werden. Einfach über die Taskleiste schließen, Antivirus noch mal über die Festplatte laufen lassen, und ihr seid den Scheiß los. Viel Glück
      Mit Polizei hab ich auch gesprochen, die sagten, das es nicht möglich sei, den Geldfluss über Paysafe zu kontrollieren.
      Wie immer!

  2. bernd | 16. März 2012 um 07:56 | Antworten

    hallo
    erstmal danke für die super anleitung die ist echt super
    nun mein problem
    ich habe mir ja fast in die hose s
    gesch….. als ich diese meldung bekommen habe nun ich habe eure anleitung zweimal durchgemacht schritt für schritt aber bei dem punkt wo ich die datei (jashla.exe oder mahmud.exe) da komm ich nicht eirter die dateien finde ich nicht
    ich habe auch ein neues viren program drauf gespielt aber nichts
    was soll ich tun

  3. Arne | 16. März 2012 um 10:26 | Antworten

    Ich habe im Abgesicherten Modus einfach das System wiederhergestellt. Seit dem hatte ich das Problem nicht.
    Als ich dann aber einige Tage später eine Webseite öffnete, fing das ganze von forn an. Ich habe wieder zurückgesetzt. Ist das Problem so gelöst oder muss ich erneut deine Schritte befolgen?

    Damke im vorraus :D

    • Simon | 16. März 2012 um 11:50 | Antworten

      @ Arne
      @ ALLE

      Leider muss man es immer und immer wieder sagen – eine Systemwiederherstellung überschreibt weder die Daten der Nervtöters/Schädlings, noch löscht sie diese Daten.

      Daher ist es IMMER danach notwendig als MINIMUM noch einen Scan mit „MalwareBytes AntiMalware“ (z.B. von CHIP.de im Abgesicherten Modus zu machen.

      Gerne kann man mir dann per Mail die entsprechende LOG-Datei(en) zukommen lassen.
      dann kann ich diese versuchen zu Analysieren und außerdem die Funde auf meiner Seite hinzufügen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  4. Carina | 16. März 2012 um 15:25 | Antworten

    Hallo,

    ich habe auch ein Problem. Nach dem ich F8 gedrückt, und den Abgesicherten Modus mit Eingabeaufforderung gewählt habe, kommt eine Auflistung von irgendwelchen Daten und dann wird mein Bildschirm schwarz und die Startseite, bei der ich mich unter meinem Namen anmelde, erscheint.
    Wo kann ich denn da den Befehl regedit eingeben?

    Hilfeee! :D

    • Simon | 17. März 2012 um 18:17 | Antworten

      @ Carina

      Sende mir doch mal eine Mail mit der Problembeschreibung.
      Am besten auch gleich mit der Angabe des verwendeten Betriebssystems und ob es in 32-bit oder 64-bit installiert worden ist.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  5. Reptyfine | 16. März 2012 um 16:02 | Antworten

    Hi Simon,
    natürlich erst mal danke für die ganzen Hilfen die du uns gibst.
    Natürlich hab auch ich ein Problem. Und zwar, wenn ih diesen Virus praktisch erstmal deaktivieren will muss ich ja in cmd.exe arbeiten.
    Dort muss ich ja (wie auf deiner Seite verschieden erklärt) in der Shell Datei den wert andern. Bei mir ist er Explorer.exe . Soweit alles richtig oder hab ich schon was durch einander gebracht?
    Aber wie zum Teufel bekomme ich wieder den normalen Shell wert?!
    Den wert den ich für Explorer.exe einsetzen muss.
    Ich hab fujitmu Siemens windows xp 33 Bit.

    Hoffe du hast mein problem verstanden.

    Lg
    Reptyfine

    • Cristina | 16. März 2012 um 17:57 | Antworten

      hallo

      bei mir ist genau das selbe Problem.
      finde nicht die explorer.exe datei hier auf dem PC
      und hab deswegen mal ebend an beiden PC (irgendwie geschafft) das dieses DE-Cleaner läuft auch auf den infizierten.

      diese Shell-Datei heißt leider bei mir explorer.exe
      und habe verstanden – brauche ne komplett andere (nicht infiziert) und die muss ich ersetzen.

      ist das momentan der heftigste Virenangriff?

      kann mir wer sagen wo ich bei Win7 (64) die explorer.exe finde?

      • Simon | 17. März 2012 um 20:51 | Antworten

        @ Ohne weitere Eckpunkte zu haben spreche ich jetzt erst mal nicht vom „heftigsten Angriff“.

        Das kommt halt ganz drauf an was man so wirklich drauf hat.
        Ist es die einfache bloße BKA/GEMA-Ransomware oder hat die noch (un)lustige Freunde im Gepäck mitgebracht bzw. noch eingeladen.^^

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • Simon | 17. März 2012 um 20:49 | Antworten

      @ Reptyfine
      @ Cristina

      Schreibt mir doch bitte jeweils mal eine Mail mit dem jeweiligen Anliegen…

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  6. Reptyfine | 16. März 2012 um 17:18 | Antworten

    Natürlich 32bit…

  7. Klaus | 16. März 2012 um 17:31 | Antworten

    Hallo Daniel,
    vor ca. 2 Monaten hat deine Anleitung einwandfrei geklappt. Diese Woche war die Bundespolizei-Warnung wieder da, der Rechner hat aber einigermaßen funktioniert und als Zeit war, wollte ich wieder der An´leitung folgen. Wie bei Reptyfine steht in der Shell aber schon Explorer.exe drin.
    Der Task-Manager ist anscheinend inaktiviert und nun ist es nicht mehr die Kripo-Seite, sondern eine Error 404-Meldung blockiert alles.
    Kann ich die Explorer-Datei vom Notebook mit ebenfalls Windows XP auf den PC spielen wie auf deiner Seite in P02 empfohlen?

    • Simon | 17. März 2012 um 18:26 | Antworten

      @ Klaus

      Punkt P02 – das dürfte meine Seite sein die gemeint ist, oder?

      Wenn das infizierte System ein baugleiches Windows ist, kan die exploerer.exe verwendet werden.

      Ich verfürchte aber, das es sich hierbei nicht mehr um die infizierte explorer.exe drehen wird.
      Sollte dem so sein, sende mir mal eine Mail mit der Problembeschreibung.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Klaus | 21. März 2012 um 07:49 | Antworten

        Sorry Simon,
        bei der Hin- und Her-Surferei hab‘ ich wohl den Überblick verloren.
        Heute Abend versuche ich es mal mit P02.
        Danke für all die interessanten Tipps und das Angebot. Mal sehen, ob ich das Problem anschaulich beschreiben kann.
        VG Klaus

  8. Friedrich | 17. März 2012 um 00:09 | Antworten

    hallo und danke für die tolle anleitung aber ich habe die shell datein gelöscht was nun ?

    • Simon | 17. März 2012 um 18:08 | Antworten

      @ Friedrich

      Ich hoffe das Punkt P09 meiner Seite darüber Auskunft geben kann.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Gudera, Michael | 23. März 2012 um 07:30 | Antworten

      Hallo,
      habe mir auch die Bundespolizei „genehmigt“.
      Dank der vielfältigen Vorschläge konnte ich den Trojaner im Schlaf löschen.
      Da ich einen zweiten Nutzer auf meinem Rechner eingerichtet habe und nurm der Adminisdrator geschädigt war. konnte ich folgende Lösung finden
      1. internet gettrennt
      2. Viren Programm Bullguard gestartet und C: checken lassen (Intensive Suche)
      3. Geschlafen
      4. Morgens 3 Fehler definiert
      5. Fehler beheben lassen und
      6. fertig.

      Glück gehabt.

      Beste Grüße
      Mike49

  9. Bopp | 17. März 2012 um 09:43 | Antworten

    Hi bin auf dem winlogon fehlt! Aber auf der rechten Seite kommt bei mir nur (standard) RED_SZ. Was mache ich jetzt?? Bitte um Hilfe!!!lg

  10. Bopp | 17. März 2012 um 09:47 | Antworten

    Bin auf dem Feld winlogon,habe rechts Abers kein shel!nur standard. Bitte um Hilfe!

  11. Bopp | 17. März 2012 um 10:10 | Antworten

    Hi ich nochmal!!habe jetzt alles bin bei auf dem Feld shel, und auf der anderen Seite steht explorer.exe. Und komme jetzt leider nicht weiter??

    • Sonia | 17. März 2012 um 13:01 | Antworten

      Ï had the same problem today. In SHELL was already explorer.exe. I have Avira Premium, tried scanning with Super Antispyware, Malwarebytes, Kaspersky … nothing found.
      I downloaded trial version of Ad-aware and it was the only one that found it! Now working again.

      Hope you understand English. :-)

      • bopp | 17. März 2012 um 13:15 | Antworten

        yes i do!but how did you add this programm?i can not go inside the internet!

        • Sonia | 17. März 2012 um 13:40 |

          Each time I restarted I got blocked in few seconds. I tried scanning my computer in Safe Mode with what I had – no luck. Tried to restart several times and twice only half of the desktop was blocked. I followed one advice to go to task manager (managed on the half blocked page), running Application was WINDOWS – right clicked and chose: „go to process“ – it took me to one funny .exe process and I closed it. This helped to temporarily unlocked my computer. I also read that you should be able to get to it before the virus takes over, means in those few seconds you should try CTRL+ALT+DEL and wait for the fake Windows application to appear to close it. Not sure if possible cos I know its happening fast. I was also going to try to log via F8 Safe mode with networking and try to download it. I spend so much time since Thursday to get rid of it! Ad-aware was really the only one that helped and I have paid Avira Premium antivirus, tried Malwarebytes too but nothing. The question is if I got rid of it or it is still in the register even if it seems gone, so I wrote to Simon. Seems its really gone thought.

    • Simon | 17. März 2012 um 18:12 | Antworten

      @ Bopp

      Schau Dir/Schauen Sie sich dazu meinen Punkt P08 an.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  12. Sandra | 17. März 2012 um 11:14 | Antworten

    Hallo zusammen!
    Ich habe alle auf dieser Seite vorgeschlagenen Lösungswege ausprobiert, bei mir hat aber keiner funktioniert. Wie ich den Bundespolizei-Trojaner weg bekommen habe: Im abgesicherten Modus den Suchlauf auf sämtliche .exe-Dateien einstellen, dann nach Änderungsdatum ordnen. Da ich in etwa wusste, ab wann der Computer „gesponnen“ hat, habe ich diesen Zeitraum aufgesucht und auch eine Datei gefunden (0.4339279668209778.exe). Nachdem sie gelöscht war, konnte der Computer wieder normal gestartet werden. Nun läuft erstmal das Avira-Suchprogramm nach Viren etc.

    • Simon | 17. März 2012 um 18:05 | Antworten

      @ Sandra

      Bitte mal folgendes Posting beachten: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-28#comment-7619

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • LOK | 20. März 2012 um 15:26 | Antworten

      @ Sandra:

      War ein perfekter Tipp – nun bin ich den Virus erst mal los.

  13. Schorsch | 17. März 2012 um 14:01 | Antworten

    Habe heute einem Kumpel helfen und den Trojaner beseitigen können !
    Habe über einen nicht infizierten Rechner bei botfrei.de die kostenlose Software de-cleaner von Avira auf einen Stick gedownloaded.
    Anschließend den Stick am infizierten Rechner angebracht und gestartet.
    Während des Startvorgangs (gleich nach Auftauchen des Desktops über Arbeitsplatz das Stickverzeichnis suchen und die Avira.exe-Datei starten.
    Beim ersten Mal fand das Programm „lediglich“ 5 schadhafte Programme und der Trojaner tauchte nach normalem Neustart wieder auf…
    Beim zweiten Mal klickte ich das Kästchen des .exe-Programms an „vollständige Untersuchung“ oder ähnlich !
    Diesmal fand das Programm 87 Schädlinge und entfernte diese.
    Anschließend Neustart (ohne Stick) durchgeführt und über das „normale“ Antivirenprogramm eine gründliche Untersuchung durchgeführt.
    Dauert zwar recht lange…
    Es wurde aber kein Trojaner und kein BKA-Bild mehr gefunden…

    War natürlich nach mehrstündiger „Fummelei“ein tolles erfolgserlebnis für einen eigentlich normalen User…
    Also nicht verzagen…
    Grüße und viel Erfolg Schorsch aus Hamburg

    • Daniel Weihmann | 17. März 2012 um 14:22 | Antworten

      87 gefundene Schädlinge?! Was macht ihr denn auf dem Rechner? Wer weiß, was jeder einzelne gefundene Trojaner so getrieben hat …

    • Simon | 17. März 2012 um 18:02 | Antworten

      @ Schorsch

      Gibt es ein LOG-File von den Funden?
      Weil bei 87 Objekten waren bestimmt ein oder mehrere aus der Liste hier vorhanden.

      Wenn ja, dann bitte meine Bemerkungen zu den einzelnen Objekten beachten.

      Weitehrin beachte bitte auch die News am Schluss der Seite.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  14. Timo Grothe | 17. März 2012 um 17:38 | Antworten

    Guten Nachmittag,

    Ich hab genau das selbe Problem mit diesem Virus. Auch ich hab alles schon versucht, um den Virus zu entfernen oder wenigstens zu lokalisieren.
    1. Virenscan hat zwar einiges ( zu meinem erschrecken) gefunden aber alles unverändert.
    2. Shell Registierung beinhaltet schon explorer.exe.
    3. Im Autostart wird nichts fremdes angezeigt.
    Alles nicht geklappt. Auch die super Idee von Sandra (wäre ich ehrlich gesagt nie selbst drauf gekommen) hat nicht geklappt, da angeblich die letzte .exe Datei am 31.1.2012 verändert wurde ( was eig. nicht stimmen kann…).
    Ich versuch es nun mit dem De-Cleaner, doch ich verspreche mir nicht viel dabei…

    Es kann natürlich sein, dass ich den Virus und somit alles andere von „ihm“ nur sehen kann, wenn er meinen Desktop blockiert. Aber nunja wie gesagt, er blockiert meinen Desktop und ich kann auf nichts zu greifen. Ich kann zwar mit dem Pc „normal“ arbeiten, wenn ich ihn direkt nachdem hoch fahren sofort wieder abschalte ( der Virus wird „beendet“, aber eine Systemdatei lässt den Pc nicht runterfahren, weil sie noch was ausführt, somit kann ich dann auf abbrechen klicken und sehe meinen Desktop), aber ich fühle mich mit dem Virus auf dem Pc sehr unsicher in Sachen Online-Banking o.Ä. .
    Ich muss dazu sagen, dass mein „Anzeigebild“ beim Virus keinem der hier Abgebildeten ähnlich sieht..
    Achja ich benutze Windows 7 Ultimate 32-bit Version.

    Ich dachte mir zwischen durch “ Moment, du machst ja nicht umsonst jeden Sonntag ein Systemabbild auf deine Externe, stell doch einfach die Daten zum 11.3. wieder her“. Aber ich hab gesehen, dass das Systemabbild nicht Windows 7 enthält. Schade eigentlich ^^

    Edit: De-Cleaner ist fertig, hat nichts gefunden.

    Bitte um weiter Vorschläge, weil ich im It-Bereich nicht ganz so viel Ahnung habe ( wobei ich sagen muss, dass die bis jetzt 6-stündige Beschäftigung mit meinem System mir doch reichliche Erkenntnisse gebracht hat ;) )

    Liebe Grüße Timo

    • Daniel Weihmann | 17. März 2012 um 17:46 | Antworten

      Kannst du rein interessehalber einen Screenshot anfertigen und es per Mail an mich schicken?

      Ich würde, solange der Virus auf deinem Rechner aktiv ist, die Internetverbindung getrennt lassen. Und du hast schon mit msconfig (siehe hier) im Autostart nach ungewöhnlichen Programmen Ausschau gehalten?
      Kannst auch gern davon einen Screenshot mitschicken.

      • Timo Grothe | 17. März 2012 um 17:56 | Antworten

        Ja klar mach ich.

        In abgesicherten Modus noch nicht, aber wird da was anderes angezeigt als im normalen Modus?
        Aber ja ich werd auch davon nen Screenshot machen.
        Brauch nur ein paar Minuten.

    • Simon | 17. März 2012 um 17:59 | Antworten

      @ Timo Grothe

      Wende Dich bitte mal mit der Problematik an meine Mailadresse. Danke.
      Ich denke darüber bekommen wir das ganze schneller in den Griff.

      (Hat zumindest eben schon bei jemand anderem auch geklappt…keine Einträge in msconfig vorhanden gewesen! :-( )

      Achso, die Screenshots nehm ich auch gerne in Emfang.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Daniel Weihmann | 17. März 2012 um 18:15 | Antworten

        Was haben sich die Programmierer jetzt schon wieder einfallen lassen? @Simon

        • Simon | 17. März 2012 um 18:38 |

          @ Daniel Weihmann

          Ich bin mir noch nciht 100% sicher, aber es sieht fast danach aus. Und wenn das so ist, dann wirds langsam aber sich brenzliger (nicht unlösbar!) – zumindest mit der „einfachen Hilfe“.

          Mit freundlichem Gruß,
          Simon

          (Fachinformatiker für Systemintegration)

        • Daniel Weihmann | 17. März 2012 um 18:43 |

          Da bezahlen doch wohl nicht immer noch Leute?! Ist aber leider der einzige Grund den ich mir vorstellen kann, warum der Bundespolizei-Trojaner noch weiter entwickelt wird.

        • Simon | 17. März 2012 um 20:06 |

          @ Daniel Weihmann

          Na es wird sicherlich weiterhin gezahlt werden…
          Zum Glück aber nicht von Leuten die ich bislang „betreut“ habe (und die kommen aktuell aus Deutschland, Österreich, Schweiz und Frankreich [Deutsche in Frankreich^^]).

          Mit freundlichem Gruß,
          Simon

          (Fachinformatiker für Systemintegration)

      • Timo Grothe | 17. März 2012 um 18:22 | Antworten

        So also den Screenshot schicke ich sofort los. Von den Einträgen hab ich keinen Screenshot gemacht, weil ich jeden einzelnen Eintrag davon kenne. Eben konnte ich glaube aber die ersten 3 Buchstaben eines Prozesses im Taskmanager sehen. Danach werd ich auch gleich mal suchen.

    • Simon | 17. März 2012 um 20:04 | Antworten

      So, Problem gelöst.

      Gleich mit Verstärkung in Form von wohl gleich 2 Rootskits gekommen – damit steht eine Formatierung & Neuinstallation unweigerlich ins Haus.^^
      (Nur ein Tipp von mehreren…)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  15. Björn Haß | 17. März 2012 um 18:09 | Antworten

    Breuchte auch hilfe geht nichts klabt nichts und ich kenne mich nicht aus mit pcs
    bitte um hilfe kann auch jemanden anrufen oder ihr könnt anrufen
    041239561890

    • Simon | 17. März 2012 um 18:14 | Antworten

      @ Björn Häß

      Wende Dich bitte mal mit der Problematik an meine Mailadresse. Danke.
      Ich denke darüber bekommen wir das ganze schneller in den Griff.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  16. Björn Haß | 17. März 2012 um 18:32 | Antworten

    und wo finde ich deine emailadresse

    • Simon | 17. März 2012 um 18:35 | Antworten

      @ Björn Häß

      Im Posting steht diese als Link drin.^^
      In Klarschrift wäre das somit:
      bka-virus [at] kunden.pp4it.de

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  17. Simon | 17. März 2012 um 22:47 | Antworten

    Wie man unter meinem Punkt P14.1 sieht, habe ich das Teil schon „oft“ genug gefunden…als Anhang der ehemals zwar nervenden, aber nicht zerstörerischen BKA/GEMA-Ransomware. :-(

    Trojaner SpyEye plündert das Konto binnen 20 Sekunden

    Mit freundlichem Gruß,
    Simon

    (Fachinformatiker für Systemintegration)

    • Holger | 18. März 2012 um 08:41 | Antworten

      Wer heute noch online-banking macht, muß doch einen an der Waffel haben: Man nimmt der Bank nicht nur die Arbeit, sondern nach der herrschenden Rechtsprechung auch das Risiko ab; außerdem ist es inzwischen derart umständlich geworden, daß ich lieber wieder ein Stück Papier ausfülle und bei der nächsten Filiale einwerfe und dabei gleich meine Kontoauszüge ziehe; die 1-2 Tage Zeitverlust ist mir meine Sicherheit wert!

  18. alwin | 17. März 2012 um 23:42 | Antworten

    also wenn nix mehr geht in diesem fall, einfach ’ne linux cd (am besten dr.web oder so ähnlich :) ) nehmen, damit booten, update auswählen…ziehen, installieren….systemcheck durchführen…..fertig !!!

    mfg

    • Simon | 18. März 2012 um 06:25 | Antworten

      @ alwin

      Eine Linux Boot-CD/DVD wie auch z.B. Knoppix ist sicherlich keine schlechte Idee.
      Oder halt direkt eine Antiviren-CD/DVD.

      Die oftmals von Kaspersky hier erwähnte/auf meiner Seite verlinkte und dann „nicht funktionierende“ CD ist zu trotzdem zu empfehlen.
      Ich habe es gestern an einem verseuchten Laptop mal ausprobiert.
      + KEINE besonderen Einstellungen und er fand nichts bzw. fast nichts.
      + In die Optionen gewechselt und noch den Haken bei „Auf schadhafte Anwendungen“ prüfen zusätzlich reingemacht – siehe da nun findet er auch das was er soll und muss.

      Natürlich ist ein eventuelles Update der CD/DVD übers Internet sehr zu empfehlen!

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  19. sabine | 18. März 2012 um 20:51 | Antworten

    hallo!

    habe mir auch den polizei virus eingefangen und bekomme ihn nicht runter.. wenn ich im abgesicherten modus den befehl „regedit“ eingebe, kommt die fehlermeldung „…wurde durch den administrator deaktiviert“.
    das es sowas wie einen „admin“ noch immer gibt, stört mich ungemein, denn ICH bin der admin verdammt! wer denn sonst???
    nun weiß ich nicht mehr weiter. auf dem rechner sind noch wichtige daten drauf, die ich sichern wollte, bevor ich ihn neu aufsetze.
    ich konnte zu diesem problem nichts finden, anscheinend bin ich die einzige, bei der diese meldung auftaucht.

    • Simon | 18. März 2012 um 22:47 | Antworten

      @ sabine

      Bitte einfach das selbe machen wie ich es Björn hier schrieb:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-28#comment-7693

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • sabine | 19. März 2012 um 18:49 | Antworten

        hallo simon!

        habe mir natürlich die anderen posts sorgsam durchgelesen, bevor ich wild drauf lostexte, aber ich konnte nichts hilfreiches finden. vor allem durch die posts von „björn“ werd ich nicht schlauer..
        oder meintest du damit, ich solle mich an die angeführte mail adresse wenden?

        danke, lg

        • Simon | 19. März 2012 um 19:17 |

          @Sabine

          Japp, das sollte heißen mich bitte einfach mal per Mail zu kontaktieren.^^

          Mit freundlichem Gruß,
          Simon

          (Fachinformatiker für Systemintegration)

  20. Nils | 19. März 2012 um 08:08 | Antworten

    Vielen Dank für die Anleitung es hat funktioniert das einzige problem was auftratt, war das der bka trojaner selbst im abgesicherten Modus schwer zu beenden war aber am ende hatte er keine chance :)

  21. Attila | 19. März 2012 um 08:37 | Antworten

    Windows lässt sich im abgesicherten Modus nicht starten Hilfe!!!!!

    • Simon | 19. März 2012 um 19:19 | Antworten

      @ Attila

      Jap, diese Varianten gibt es mittlerweile auch.
      Egal welchen Modus man auswählt – es geht nicht. Es erfolgt immer ein Neustart des Computers.
      Ich weiß leider noch nixht was und wo da geändert ist/wird oder warum das auftritt. :-/

      Im Endeffekt nützt dann nur noch eine Boot-CD/DVD wie z.B. ein Live-Linux ala Knoppix oder auch z.B. eine Antiviren/Antimalware Boot-CD/DVD.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  22. Cynthia | 19. März 2012 um 09:34 | Antworten

    Hi,
    erstmal vielen Dank für diese hilfreiche Anleitung (die ich leider zu spät gelesen habe). Hab mir gestern irgendwie diesen Bundespolizei-Trojaner eingefangen. Da nichts mehr ging und ich zugegebenermaßen ziemlich verschreckt war, hab ich im abgesicherten Modus erstmal eine Systemwiedererstellung gemacht (Win7, 64bit), um wenigstens ins Netz zu kommen und recherchieren zu können. Nach der Wiederherstellung war mein System nicht mehr blockiert. Eine zuvor im Autostart aufgeführte, mir bis dahin unbekannte und daher verdächtige EXE wurde nicht mehr angezeigt. Trotzdem, vor allem nachdem ich Eure Anleitung gelesen habe, hab ich die Registry nach den hier genannten Einträgen durchsucht und im normalen sowie abgesichterten Modus McAfee Virsusscan (wieso hat das nicht angeschlagen?), Malwarebytes, Spybot S&D und McAfee Stinger drüberlaufen lassen, letzteres hat den Trojaner gefunden und entfernt. Ist mein System dennoch kompromittiert, muss ich es also neu aufsetzen oder kann ich davon ausgehen, dass alles i.o. ist, zumal keines der genannen Programme nach dem Löschen des Trojaners noch was gefunden hat? Vielen Dank!

    • Daniel Weihmann | 19. März 2012 um 12:59 | Antworten

      Die Systemwiederherstellung hat dafür gesorgt, dass Veränderungen am System zurück gesetzt wurden und durch das Finden und Löschen der Trojaner-Datei hast du wohl auch keine Schadsoftware mehr auf dem Rechner.

      Ich denke du kannst davon ausgehen, dass dein System damit wieder in Ordnung ist. Jetzt heißt es nur, sich den Trojaner nicht wieder einzufangen …

  24. Tiede | 19. März 2012 um 18:56 | Antworten

    Hallo zusammen!
    Auch mich hat’s erwischt. Habe den Schädling aber verhältnismäßig leicht entfernen können und zwar aus einem einfachen Grund: Mein System läuft mit Windows XP und ich bin im Netz nur mit einem eingeschränkten Benutzerkonto unterwegs! So wenig Zugriff man auf viele Bereiche des Rechners hat, so wenig Möglichkeiten hat auch der Schädling. Darum saß er lediglich unter C:\Dokumente und Einstellungen\Nutzer\Anwendungsdaten als kryptische „zahlenkolonne.exe.“ in den temporären Internet-Dateien und in einem Unterordner von Java, wie bereits hier beschrieben. Kann allen XP-Nutzern nur raten: Nie als Admin surfen!
    Viele Grüße

    • Simon | 19. März 2012 um 19:21 | Antworten

      @ Tiede

      Generell keine schlechte Idee und wird ja zum Glück zum Beiispiel in vielen Firmenumgebungen auch so gemacht, aber es kommt dennoch auf die Variante drauf an.
      Ich habe nun shcon genug Varianten vor mir gehabt, die sich einfach die Adminrechte „erschlichen“ haben und dann ganz normal als Administrativer Benutzer sich „installiert“ haben.

      Dagegen hilft zumindest auch kein „Eingeschränkter Modus“ dann mehr.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  25. Martin | 19. März 2012 um 18:57 | Antworten

    Hallo,
    Sogar beim abgesicherten modus ist bei mir weisser bildschirm egal welches abgsichterte modus es ist.
    eigabeaufforderung etc.
    hab jetz ein 2tes windows xp instelliert wollte dur den 2ten betreiber system auf anderen partition mein windows proffesional auf der c partition reparieren doch ich kann auf mein destop nicht zugreifen zugriff gesperrt.
    Unter c / dokmente und einstellungen komm ich in mein admin konto rein doch destop eigene datei usw alles zugriff verweigert.
    Wie sollte ich jetz vorgehen bitte kontaktieren sie mich per email.
    Habe jetz 2 betreibersysteme drauf inzifierte auf C win profes.
    Neus system auf partiton D win XP home.

    derzeit kein internet auf der inzifizierten leptop.
    mfg

    • Simon | 19. März 2012 um 19:23 | Antworten

      @Martin

      Meld dich mal per Mail bei mir….Dir scheinen doch lediglich die NTFS-Berechtigungen auf den/die Ordner zu fehlen.
      (Die zu setzen ist natürlich mit XP Home schon „etwas“ schwieriger.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  26. Tiede | 19. März 2012 um 18:58 | Antworten

    P.S.:

    Hat außerdem den Vorteil, dass man handlungsfähig bleibt. Bei mir war jedenfalls nur das betroffene Konto lahmgelegt.

    • Simon | 19. März 2012 um 19:24 | Antworten

      @ Tiede

      Wie gesagt, die Variante der Ransomware machts aus. Ich hatte ebenfalls schon viele die hatten zwar „schwere“ Varianten drauf, aber noch nutzbare andere Konten. *zum Glück*

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  27. Marc | 19. März 2012 um 19:12 | Antworten

    So guten Tag,
    ja auch meine Eltern waren erfolgreich und haben sich den Bundespolizei Trojaner eingefangen. Klar dass ich als Fachinformatiker das wieder richten muss :P
    Nach so einigen erfolglosten versuchen mit oben beschriebener Technik da der abgesicherte Modus bei der Kiste nicht startet, und auch erfolglosen versuchen mit der Kaspersky Rescue Disk ging es dann eben doch ans eingemachte.
    -> Windows CD rein in das Laufwerk
    -> Windows Reperatur anwählen
    -> im DOS Modus per „cd“ Befehl in das c:/Windows/System32 Verzeichniss navigieren.
    -> per „dir“ Befehl den Ordnerinhalt anzeigen lassen.
    -> Mit Leertaste durchblättern und zumindest in meinem Fall nach einer Datei namens „0.01679531722450811h7i.exe“ ausschau halten, hilfreich ist auch der Datumsstempel. Ich habe mir alle Dateien aus dem Jahr 2012 angeschaut und diese hat eben genau in Sachen Datum und Zeit gestimmt. Außerdem ist der Name natürlich auffällig.
    -> Datei mit „del“ Befehl löschen
    -> Neustart
    -> PC am besten vom Netz nehmen und mit einer Anti-Viren Software den PC durchsuchen.
    Es sind zwar nicht viele DOS Befehle die nötig sind aber falls jemand nicht damit bewandert ist einfach kurz nach DOS befehlen googlen.
    Viel Glück!

    PS.: Das ganze funktioniert natürlich auch mit diversen Live-CDs z.B. Knoppix, oder ein BARTs System.

    • Simon | 19. März 2012 um 19:32 | Antworten

      @ Marc

      danke für die Tipps.
      Kleiner Tipp aber noch für dich (und natürlich alle anderen), die ………h7i.exe Dateien (wie auch auf meiner Seite unter P14.1 verzeichnet) brachten bei meinen aktuellen PRoblemlösungen fast immer noch andere Schädling mit.

      Diese waren per MalwareBytes Anti-Malware, Kaspersky TDSS-Killer und ESET Online-Scanner im Abgesicherten Modus erst zu finden.
      Vielleicht wäre das auch noxh eine Idee die Du dort mal anwenden solltest.

      Da ich nixht weiß wie lange Du schon Fachinformatiker bist, in welchem Bereich und wie gut Du Dich mit Viren/Trojanern/Rootkits/etc. auskennst, kannste die LOG-Daten dann entweder mit meiner Seite abgleichen, oder mir das LOG-File zur Analyse zusenden.

      Ich will&kann zwar nicht behaupten der Crack darin zu sein, aber nach einer Beschäftigung mit dem „Zeug“ hier seit Juli letzten Jahren ununterbrochen, denke ich zumindest einiges darüber zu wissen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Marc | 20. März 2012 um 18:09 | Antworten

        @ Simon

        Die Vermutung hatte ich auch schon dass die *h7i.exe bestimmt nicht alles war.
        Vermutlich werde ich jetzt erstmal versuchen über eine Windows Reparatur den abgesicherten Modus wieder zum laufen zu bringen.

        Werde aufjedenfall wie du vorgeschlagen hast noch den ein oder anderen Scanner durchlaufen lassen.

        Na du kennst dich da aufjedenfall besser aus ;)
        Bin zwar seit 3 Jahren Fachinformatiker für Systemintegration und hab bisher noch jeden Schädling beseitigt aber man lernt immer dazu ! Hab aber beruflich nichts/wenig mit Viren am Hut.

        Aufjedenfall super von dir den Leuten hier derart zur Seite zu stehen. Kann ja nicht jeder Fachinformatiker sein :P Mach weiter so !

        Gruß Marc

  28. lissyfly | 20. März 2012 um 10:07 | Antworten

    Hallo, seit gestern Nachmittag ist mein Rechner infiziert. habe diverse Lösungsansätze vergeblich probiert, wie von euch beschrieben. Im abgesicherten Modus nachdem ich regedit eingebe, kommt nach kurzem ein blue screen und mein Rechner startet neu. Hier komme ich also schon mal nicht rein. Hab eine cd gebrannt um das system davon zu booten und den virenscan duchrlaufen zu lassen, jedoch bietet mir dos die möglichkeit cd\dvd device gar nicht an. Dann die version mit strg+alt+entf funkt auch nicht. Das problem ist, dass ich die daten nicht verlieren kann, weil ich unmittelbar bevor das virus kam gearbeitet hab und das noch nicht extern sichern konnte.
    Hoffe ihr könnt mir helfen. Ich hab ein windows 7 64bit Betriebssystem.
    Danke schon mal….
    Lissy

    • Daniel Weihmann | 20. März 2012 um 10:56 | Antworten

      Eine Sicherung wichtiger Daten ist auch jetzt noch möglich @lissyfly. Zum Beispiel mit einer Linux Live CD wie Ubuntu oder Konppix.

      Viele von denen die hier bereits einen Kommentar hinterlassen haben, hat eine Systemwiederherstellung geholfen. Vielleicht solltest du diese in Erwägung ziehen.

      Schau mal bitte ob hier eine passende Antwort für dich dabei ist.

    • Simon | 20. März 2012 um 21:08 | Antworten

      @ Lissy

      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-28#comment-7851
      *kurz und knapp – ich weiß*

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  29. Michael | 20. März 2012 um 17:01 | Antworten

    Ja hallo ich habe alles so gemacht wie es da steht nun habe ich das problemm das ich bei neustart des rechners kurtz auf mein desk schauen kann und danach nur noch mein hintergrund sehen kann bitte um hilfe wenn ich die explora.exe starte kommt zwar die sachen wider aber nicht das richtige ;(

  30. kevin | 20. März 2012 um 18:31 | Antworten

    Ich habe diesen virus auch aber mein computer lest sich nicht im abgesicherten modus hochfahren. Was mache ich jetzt???

    • Simon | 20. März 2012 um 21:03 | Antworten

      @ kevin

      Was Daniel Weihmann hier schrieb für die Datensicherung, gilt natürlich auch für das Daten löschen können (auf eben z.B. diese Art & Weise):
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-28#comment-7828

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  31. Ekin | 20. März 2012 um 20:06 | Antworten

    Hallo Leute ich weiß nicht wie ich den pfad notieren kann kann mir einer erklären wie es geht ?

    MFG

    Ekin

    • Simon | 20. März 2012 um 21:06 | Antworten

      @ Ekin

      Kommt ganz drauf an wo Du/wo Sie den vermeintlichen Schädling gefunden haben?!

      Entsprechend kann man z.B. auf die Datei einen Rechtsklick machen und in den Eigenschaften nachsehen, oder es steht im Autostart (msconfig) drin, oder man ist gerade in genau diesem Verzeichnis und kann den Pfad im Windows-Explorer oben in der Adressleiste ablesen…

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  32. Ekin | 20. März 2012 um 22:01 | Antworten

    Ist eine systemwiederherstellung sinnvoll ? habs nähmlich jetzt gemachtund ihn halt so eingestellt das er 3 tage vor dem eigentlichen Virus einfahres installiert und jetzt kann ich den laptop wie vorher benutzen ohne probleme gibt es noch gefahren ?

    Mit freundlichem Gruß
    Ekin

    • Oldi-40 | 22. März 2012 um 03:57 | Antworten

      Hallo Ekin

      Sind noch alle persöhnlichen Daten da.?

      – Bei ja, ist auch die Malware noch auf der Plate.

      Und jetzt denken ….

      Tschau

      • Simon | 22. März 2012 um 08:46 | Antworten

        @ Oldi-40

        Das muss nichts heißen…wenn man sich die ersten 3/4 Varianten eingefangen hat, so ist es tatsächlich nur eine Datei die einem einen blöden Bildschirm dahinzaubert.
        Damit ist es reine Ransomware (Erpressungssoftware).

        Je weiter fortgeschritten die Varainten sind, desto mehr können Sie natürlich auch.
        Deswegen schrieb ich ja auch vor Tagen schon meinen Post hier 2 untendrunter…man muss diesen nur beachten.

        Wer sich nicht sicher ist, was er sich da gefangen hat, kann sich ja durchaus bei mir per Mail melden.
        Dann versuchen wir das halt gemeinsam zu erörtern.^^

        Mit freundlichen Grüßen,
        Simon

        (Fachinformatiker für Systemintegration)

  33. lissyfly | 20. März 2012 um 22:02 | Antworten

    @ Simon und Daniel
    Danke jungs, hatte noch verwchiedenes probiert, bis ich im dos menü dann den vorschlag annahm windows im repair modus zu starten, da er ja durch den blue screen mehrfach abgestürzt war und da endlich bot er mir automatisch die restore funktion an und nun läuft alles wieder flott. Gleich ein paar antivirenprogramme drüber jagen und dann ahoi bundespolizeivirus….

    • Simon | 20. März 2012 um 22:12 | Antworten

      @ lissyfly
      @ Ekin

      Bitte schaue Dir noch den Post hier an:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-28#comment-7619

      Bei Fragen oder Anmerkungen stehe ich auch per Mail zur Verfügung.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  34. Rene | 21. März 2012 um 09:42 | Antworten

    Meine gefundene Lösung „0.11329861147313924h7i.exe“:

    Windows XP 32bit, Trojaner blockiert F8 für den Abgesicherten Modus. Virenscanner des infizierten Systems: AntiVir vers. 10,

    Habe die Festplatte an einen anderen Rechner gehängt. Der Virenscan von Norton 360 ergab einige mit eingeschleusten Bedrohungen, die behoben wurden. Die eigentliche Virusdatei (C:/Windows/System: „Zahlenkolonne“h7i.exe) wird von Norton zurzeit nicht als solche erkannt; noch nicht! Die Datei hab ich über Datumssuche („Agent Ransack“) gefunden und gelöscht.

    Festplatte wieder eingebaut und sicherheitshalber ohne Netzwerkverbindung gestartet. Systemwiederherstellung ausgeführt.

    (MSCONFIG: Es gab vor der Systemwiederherstellung einen Eintrag im „Systemstart“ zu der besagten Virusdatei. Alternative wäre ein Zurückspielen einer zuvor gesicherten Regestry durch ERUNT. )

    Zusätzliche Prüfungen und Updates gemacht.

    System ist seid dem o.k. und läuft stabil.
    Ich hoffe, der Beitrag ist hilfreich.

    LG Rene

  35. Anna | 21. März 2012 um 15:57 | Antworten

    Hallo,

    ich scheiter kurz am ende. ich komm bis zu der Datei Shell im registry. Punkt 8. mit ein doppeltklick öffnet sich ein Fenster name:shell und wert explorer.exe

    nun weiß ich nicht weiter. laut anleitung bedeutet es das in den wert““ der trojaner drinne ist oder?

    wenn jaa was muss ich dann genau bei Punkt 9 machen dann.

    und wie komm ich dann asu den abgesicherten modus wieder raus in den windows?

    mfg Anna

  36. regina | 21. März 2012 um 16:32 | Antworten

    ich scheiter gleich am anfang…fahr meinen laptop im abgesicherten modus hoch, melde mich am gastkonto an (denn nur da kommt das bundespolizei fenster) und dann kommt gleich diese meldung: es konnte keine verbindung mit dem dienst ‚Sens‘ hergestellt werden. Wenden Sie sich an Ihren Systemadministrator. Was soll ich tun??? kenn mich einfach garnicht aus :(

  37. regina | 21. März 2012 um 16:54 | Antworten

    Also, habs doch geschafft :D jetzt scheiter ich allerdings hier: klicke auf Shell und der Wert ist explorer.exe. Was soll ich jetzt machen? War zwar schon auf der Hilfeseite aber versteh nur Bahnhof. Bitte helf mir!!

    • Maic | 22. März 2012 um 07:30 | Antworten

      Hi.
      Bin selber voll der Laie. Bei mir steht auch Explorer. Schon drin und ich bin nicht weiter gekommen. Bin dann im abgesicherten Modus auf Windows suche gegangen und habe „systemwiederherstellung“ eingegeben. Hab dann ein früheren Zeitpunkt ausgewählt als der Virus noch nicht drauf war. Hab dann mit Ok bestätig und seitdem funktioniert alles wieder. Aber wie gesagt….. Bin auch Laie.

      • Simon | 22. März 2012 um 08:21 | Antworten

        @ Maic

        Sei mir nciht böse, aber wenn du auf dieser Seite einige Postings gelesen hast/hättest, dann wäre Dir nun auch bewusst das damit zu 95% dein System immernoch infiziert ist.

        Ich habe ja kein Problem damit wenn jemand Laie ist und es nicht wissen kann, aber lesen und ggf. mir eine Mail schreiben wie hier ebenfalls x-fach beworben, das müsste man auch als Laie dann schaffen können.

        Siehe: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-28#comment-7619

        Mit freundlichen Grüßen,
        Simon

        (Fachinformatiker für Systemintegration)

    • Simon | 22. März 2012 um 08:23 | Antworten

      @ regina

      Schreib mir mal diesbezüglich eine Mail.

      Mit freundlichen Grüßen,
      Simon

      (Fachinformatiker für Systemintegration)

  38. Flo | 21. März 2012 um 18:25 | Antworten

    Ich habe das Problem, dass bei mir im Wert tatsächlich explorer.exe steht. Die Hilfestellungen von Simon könnte ich zwar durchführen, allerdings benötige ich dafür ja eine neue explorer.exe Datei. Wo bekomme ich diese denn her? Bite Hilfe!!

  39. lukas | 21. März 2012 um 19:49 | Antworten

    Hallo

    Ich hab ein Problem mit dem BKa-Virus!
    Ich hab die Anleitung befolgt und beim Punkt 8 stehe ich an!Ich sollt den Wert (Pfad) notieren und durch den Wert Explorer.exe ersetzen.
    Was soll ich tun bzw. was kann ich tun wenn der Wert bereits explorer.exe ist? Wo finde ich dann den Trojaner und wie kann ich Ihn löschen.
    Kann mir bitte detailliert sagen wie es funktioniert?

    Vielen Dank im Voraus

    MfG

  40. Tom | 22. März 2012 um 08:43 | Antworten

    Ich scheine eine neue Version zu haben.
    C:/ProgramData/Local Settings/Temp/msubci.exe
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

  41. Phil | 22. März 2012 um 12:58 | Antworten

    Auch ich habe leider seit gestern abend den Polizei-Virus (österr. Version).
    Bei der Anleitung komme ich leider nur bis zum gesicherten STart mit Eingabeaufforderung – eingeben kann ich dann aber nichts. Man hört nur wie der PC „werkelt“, ab und zu erscheinen unverständliche weiße Textzeilen und dann startet er neu -> man ist wieder am Anfang.
    Bedeutet dies,dass der Virus sich schon zu sehr ausgebreitet hat/ noch ein schädlicherer 2. Virus sich breit gemacht hat?
    Ich befürchte ja, dass es nicht ohne Formatierung geht – Datenverlust inklusive…
    Hab mir jetzt RegClean runtergeladen – aber es passiert beim Booten (trotzt BIOS umstellung) nichts. Verzweiflung!

  42. Merve | 22. März 2012 um 19:25 | Antworten

    Hi, auch ich habe leider diesen Bundespolizei Virus auf meinem Laptop. Bis zum 7. Schritt bin ich Super gekommen nur leider verstehe ich trotz Hilfestellung von Simon nicht so ganz was ich da mit dem explorer.exe bei mir machen soll. muss ich bei dem schwarzen Fenster Start eingeben, wenn ja so sagt das System wenn ich dann alle Programme eingebe das angeblich alle oder Programme falsch geschrieben worden sind was nicht sein kann. Also bitte helft mir !!!!

  43. Lela | 22. März 2012 um 19:26 | Antworten

    Hey Leute.
    Auch ich habe das schoene Ding..
    & auch bei mir steht „Explorer.Exe“ schon drin.
    Wo könnte man denn noch was finden oder wie kann man das beseitigen?
    Oder kann ich einfach das Betriebssystem neu draufspielen? Sind keine Dateien drauf die wichtig sind. Also ist es mir egal ;)

    Lg Lela

  44. Patrick | 22. März 2012 um 20:23 | Antworten

    Ich habe mehr als ein schock bekommen wo ich das gelesen habe da ich auch die polizei angerufen habe und die mir gesagt haben das es ein trojaner sei war ich irgendwie erleichtert aber dank i-net konnte ich mir eure tips ansehen und habe bei mir F11 geklickt und konnte so ins abgesicherte Modus umschalten und systemwiederherstellung machen ich bin nun froh das es wieder läuft

    Danke vielmals

    • Daniel Weihmann | 22. März 2012 um 20:53 | Antworten

      @Patrick: Die Polizei scheint diese Anzeigen / Meldungen wohl nun auch schon gelassener zu sehen …

      Du solltest jetzt unbedingt noch dein System prüfen. Es gibt eine Reihe Antiviren- und Sicherheitssoftware auch als Freeware. Malwarebytes findet sicherlich noch die Überreste.

      • Patrick | 23. März 2012 um 07:21 | Antworten

        ja die reste hab ich so noch net runtergehauen ich habe nur sytemwiederherstellung gemacht aber danbke das werde ich jtzt sovort tuhn und hoffe das der spuck ein ende hat^^

  45. Malte | 23. März 2012 um 06:56 | Antworten

    dickes dickes Dankeschön!!!

  46. Peter Pan | 23. März 2012 um 07:00 | Antworten

    „super mit dem tip danke ich hab mit deiner anleitung und dem Virenprogramm hier–>Malwarebytes Anti-Malware „!!ACHTUNG MUSS MAN UPDATEN!!“ den vierus gekillt war recht einfach erst die „shell“ weider auf Explorer.exe schalten dann den anti-vire updaten und den rest macht das programm ^^ mfg und viel glück ^^

    • Patrick | 23. März 2012 um 08:00 | Antworten

      Ja ich habe ebend auch das programm ausprobiert und muss sagen er hat auch gleich 8 pferde gefunden und endgültig gelöscht also kann es auch nur weiter empfelen ich habe nun das programm weiter im hintergrund laufen und zusätzlich das Antivir programm laufen auf das es nicht noch mal vorkommt aber ich war froh das die systemwiederherstellung funktzuniert hat das war für mich das einfachste danek nochmal

  47. Andrea | 23. März 2012 um 10:43 | Antworten

    Argghh… Trojaner!
    Ich hatte zum Glück noch die Möglichkeit das Gastkonto über den abgesicherten Modus zu starten und mich im Netz schlau zu lesen. Allerdings klappte die leider bei mir nicht.

    Dann habe ich versuchsweise auch Malewarebytes installiert.
    Es gab dann eine Fehlermeldung das Anti-Malware nicht im abgesicherten Modus funktioniert. Also hab ich mich, als letzten verzweifelten Versuch, über mein Adminkonto angemeldet (In der Hoffnung das Malwarebytes dann aktiv wird) und plötzlich meldet sich Avira und findet den Trojaner…

    Jetzt funktioniert alles soweit wieder. Allerdings schlummert da sicher noch was Böses in meinem Läppi!
    Also ich denke ich lass mir mein Antivirenprogramm doch mal was kosten.

  48. Hendrik | 23. März 2012 um 14:10 | Antworten

    Hi, bei mir (Windows 7) war im folgenden Ordner folgende Verknüpfung:

    C:\Users\(username)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\arg20240.exe.lnk

    Außerdem im Ordner:

    C:\Users\(username)\AppData\Local\Temp

    eine Datei namens „Arg20240.exe“

    Glücklicherweise wusste ich den Zeitpunkt relativ genau.Kam also nur diese Datei in Frage.

    Habe beides gelöscht, jetzt funktioniert’s wieder.
    Der Virenscanner wird allerdings schnellstmöglich gekauft.

    Vielen Dank!

    • Karax | 25. März 2012 um 11:14 | Antworten

      Hallo Hendrik,
      vielen Dank, dein Beitrag hat mich gerettet. Ich habe auch Windows 7, habe beide Dateien gelöscht und der Spuk war vorbei.
      Das ging echt einfach, allerdings gab es leichte Abweichungen bei den Namen, die Datei hieß bei mir arg96267.exe

      Ich konnte übrigens die Änderung aus einem anderen Account vornehmen, der verseuchte Account account war tot. Die Prozedur mit dem Windows unlocker hatte ich vorher 2mal durchlaufen, es hat nix genutzt.

      Jetzt habe ich aber noch ein altes Problemchen, bei mir popt vor jeder neuen Internetseite der ssvagent.exe im kleinen Fenster hoch „möchten sie zulassen, dass Änderungen auf ihjrem Rechner vorgenommen werden“ Das muss ich jedesmal beantworten. Wie kann ich das beseitigen?

  49. kim | 23. März 2012 um 14:27 | Antworten

    Hallo ich hab folgendes Problem die Datei oder den Ordner winlogon gibt’s bei mir nicht was soll ich nun tun ??

  50. kim | 23. März 2012 um 14:43 | Antworten

    OK bin soweit das es fast normal aussieht nur gibt’s diese jashla.exe bei mir nicht finde die nich auch durch Windows suche

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.