„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Daniel – vielen, vielen Dank für diesen Walkthrough! Hatte noch nie einen Virus bis heute und dachte, dass das jetzt das Ende und alles auf meinem PC für immer verloren ist… Dank dir nicht! Nach diversen anderen „Bundespolizei“-Entfernungsanleitungen, die ich ohne Erfolg durchprobiert habe, hat deine für mich als Laie simpel und nachvollziehbare step-by-step-Lösung funktioniert – toll!
Die fragliche Datei hiess bei mir auch mahmud, aber das war ja dann schon beim Finden der Shell-Datei ersichtlich.
Danke nochmal!
Ja ich schließe mich an, vielen vielen Dank Rechner ist gerettet und meine Brieftasche eben so :) bei mir hjieß er übrigens auch mahmud
kann mich der „Julia“ nur anschließen. Mein Pc läuft nu auch wieder.Vielen Dank
danke auch mir hat es sehr gut weiter geholfen.und mein bundespolizei trojaner ist nun auch weg.hatte mich richtig erschrocken gestern als das auf einmal auf mein bildschirm erschiehn ist und ich sowas gemacht haben soll.
also vielen vielen dank.hab mir diese seite auch sofort gespeichert falss noch mal sowas auftreten sollte….
vielen dank
leider komme ich nicht so weit um den Pfad zu öffnen.
immer wieder kommt der berühmte blaue bildschirm mit der weißen schrift und sagt >ich fahr dann mal runter…blabla<
immer wieder mit einer anderen Fehlermeldung.
Und nun…???
t4h
Katrin
Leiderklapt es bei mir nicht einmal den Abgesicherter Modus mit Eingabeaufforderung herzustellen. Wenn ich mit dem Pfeil diesen Eintrag Markiere springt der wieder in den Normalen Modus der mit der „Bundespolizei Fenster“ endet…
Gibt es einen Anderen Weg vieleich?
Danke im Voraus
Ich habe alle 10 Schritte erfolgreich gemeistert und ausgefürt. Windows startet normal. Mein Problem ist Lediglich das ich weder mit der suchfunktion, noch mit der Hilfe des Task Mansagers die jashla.exe Datei finde. Auch Versuche mit dem normalen Explorer die Datei zu finden schlugen fehl. Wo ist die Datei denn jetzt? Kann mir irgendjemand helfen?
Danke im Vorraus
lg
Vielen Dank für die ausführliche Erklärung!
Ich glaube, es hätte auch klappen können bei mir.
Das Problem: Der Wert meiner Shell ist bereits Explorer.exe. Scheint also, als ob alles normal wäre, nur dass die Bundespolizei Maske ja leider tatsächlich erscheint.
Hast du vielleicht noch einen Tipp für mich?
Ich wäre dir unglaublich dankbar!
Liebe Grüße,
Dorothee
Schaut mal in die letzten Kommentare. Bei einigen Varianten scheint sich der Name des Trojaners geändert zu haben.
Auch ich habe das Problem das der Wert unter der Shell Datei schon explorer.exe ist. Wie soll ich jetzt weiter vorgehen. Für Hilfen wäre ich sehr sehr dankbar.
Bitte mal den Kommentar von Bronko beachten. Sieht so aus, als wäre das eine Lösung für Windows 7.
Mir gings wie Julia! Habe auch eine Menge Anleitungen ausprobiert und bin dank dir nach 2 Stunden auf mahmud gestoßen! Kann mich mit der Danksagung nur anschließen!!!!
Als Schülerin hat mich die ganze Sache noch mehr schockiert auch wenn ich zuerst recht verzweifelt mit dem Virus war hat die Seite echt weitergeholfen. Danke! Jedoch finde ich jashla.exe auch nicht da ich den Pfad vergessen ahbe mir aufzuschreiben. Könntest du bitte helfen Daniel ?
Be mir das selbe Problem wie bei Dorothee…der wert meiner Shell ist auch schon explorer.exe
Trojaner ist allerdings noch da und eine jashla.exe gibt’s auch nich
bei mir das gleiche Problem woe bei dorothee…
Hab alles nach Anleitung gemacht, aber zeigt mir immernoch die Nachricht vom „BKA“. Vllt noch jemand nen Tipp :)
Hab auch keine jashla.exe und die Shell hat schon nen Wert von explorer.exe
hey, erstmal dankeschön!
hat alles super geklöappt nur ich hab mir nicht den Pfad aufgeschrieben :(
Kann mir vllt jemand helfen und mir sagen wie ich den Trojaner tdem von meiner festplatte löschen kann?!
Ich habe alle 10 Schritte erfolgreich gemeistert und ausgefürt. Windows startet normal. Mein Problem ist Lediglich das ich weder mit der suchfunktion, noch mit der Hilfe des Task Mansagers die jashla.exe Datei finde. Auch Versuche mit dem normalen Explorer die Datei zu finden schlugen fehl. Wo ist die Datei denn jetzt? Kann mir irgendjemand helfen?
Danke im Vorraus
lg
Hallo
Scheint das ich auch eine neue Variante von dem Trojaner habe.
Shell war schon explorer.exe
und finde auch keine jashla.exe
Wo kann mir geholfen werden. Danke im Voraus
Hab auch das problem wie dorothee. Bei shell steht schon explorer.exe
hilfe
Wenn „explorer.exe“ schon eingetragen sein sollte, würde ich 2 Dinge probieren (ist nur eine Empfehlung aus dem Bauch heraus):
1. Steht dort wirklich „explorer.exe“? Achtet auch Buchstabendreher, auf eine leicht abgewandelte Schreibweise. Auch der Name „mahmud.exe“ tauchte hier in den Kommentaren bereits auf.
2. Schaut durch alle Nutzerkonten und nur nicht nur in den eigenen. Auch das nochmalige Überprüfen des Pfads schadet sicherlich nicht.
Zu Windows 7 bin ich auf eure Kommentare angewiesen, dazu kann ich nichts sagen. Auch wer sonst noch andere Erfahrungen machen konnte, kann diese hier gern hinterlassen oder mir ein E-Mail schicken. Ihr dürft natürlich hier auch Links posten, die dem Thema dienlich sind.
Explorer.exe steht ohne buchstabendrher dort. Was muss ich tun um die anderen benutzerkonten durchzusehen? Welche pfade muss ich da raussuchen und nach komischen dateien durchforsten?
Nochmal ich.
Habe ueber einen anderen pfad etwas gefunden. Wie oben beschrieben nur nicht bei windowsNT sondern …WindowsCurrentVersionRun
run dabei direkt anklicken, davor immer auf das +. bei mir hiess es vasja und hatte als wert C:Users“benutzername“AppDataLocalTemp.8611031362133428.exe
da ich nach dem loeschen jetzt wieder im normalen modus auf meinen laptop zugreifen kann, denke ich, dass er das war. Lasse gerade ein virenprogramm ablaufen, das irgendwie ewig dauert. Sollte ich danach noch ein andres suchen lassen oder etwas beachten? Kann ich nach dem virusprogramm dann ohne bedenken wieder mit dem laptop online gehn?
Lieber Daniel,
auch ich bin gestern vom Virus „überfallen“ worden, nur weil ich nach langer Zeit den Windows-Browser nutzte. Wollte nach Wellensittiche-Vögel googlen – eigentlich nichts Schlimmes, aber mir sprangen plötzlich Brüste usw. entgegen und schon kam die Bundespolizei. Mein Virus-Programm ist hochwertig, aber konnte den Mist nicht abwehren.
Mein alter Zweit-Rechner half mir, diese Seite und damit DICH zu finden. Die Schritte hast du fantastisch erklärt bzw. aufgezeigt. Zwar zitterten meine Finger etwas *smile*, doch nun ist das Ding weg. Meiner hieß auch mahmud.
Also nochmals herzlichen Dank.
Lieber, Daniel!
Vielen Dank für die Bereitstellung dieser Tipps, du hast auch mir sehr geholfen!
Ich war wie vor den Kopf gestossen, als bei mir der Bundespolizei-Banner auftauchte. Nachdem der Chip.de-Link nichts gebracht hatte, war ich heilfroh auf deine Seite gestossen zu sein. Meiner hieß ebenfalls mahmud (dieses Schwein!). Nun bin ich heilfroh und dir sehr dankbar!
Allen, bei denen es nicht gleich geklappt hat, viel Erfolg!
Liebe Grüße,
Alena
Hallo habe die Reihenfolge befolgt
Jedoch steht bei mir kein Pfad drin sondern von vorne rein schon explorer.exe
hilfe bitte
Danke
Bei mir hat es leider nicht geklappt, als ich die Adresse wieder eingegeben habe kam da Datei konnte nicht gefunden werden.
Ich dachte der Spuk ist vorbei und habe meinen Pc neu gestartet. Jetzt kommt wieder das Schild mit der Polizei. Was jetzt ???
HuhU!
Vielen Dank für den Workaround!
Ich hätte es auch mit einer BitDefender Rescue-CD (kostenlos zu als ISO zu bekommen) ausprobiert. Dies ist ein Linux und nach dem Boot holt er sich die aktuellen Virendefinitionen und dann checkt er die Platte und entfernt diesen Virus.
In meinem Fall ging das nicht, da auf dem Rechner 2 Partitionen mit dem gleichen Namen da waren und BitDefender immer die D: gescanned hat. Aber auf die Idee bin ich erst gekommen, als ich den Virus „zu Fuß“ entfernt habe. Dennoch ist es gut wie beschrieben, nocheinmal einen Scan mit einem aktuellen Virenscanner durchzuführen.
Den anderen viel Spaß beim Virenklatschen ;)
@Tina
Hast du Windows7?
Bei mir kann ich die jashla.exe auf der Festplatte nicht finden
Hey Leute ich verzweifel hier
Bei mir war bei der Shell auch ganz normal Explorer.exe eingetragen. Ich habe Windows 7!
Ich finde nichts.
Achja ich hab eben versehentlich die Shell Datei gelöscht.. Ist das schlimm?
Ja, die Shell brauchst du. In den Kommentaren schrieb mal jemand was dann zu tun ist.
Ich habe auch das Problem das mein Wert bereits „explorer.exe“ ist. Habe die gesamte Regestry auch nach mahmud, jashla und co. durchsucht… leider kein Erfolg.
Konnte schon jemand das Problem des unveränderten explorer-pfads lösen? Wäre sehr dankbar für Hilfe.
Grüße. Andreas
hab auch Windows 7 und das leidige Problem mit dem Bundespolizei-Trojaner. Bei mir steht unter „shell“ auch die „explorer.exe“. Auch ein suchen in der Registy nach „jashla.exe“ oder „mahmud.exe“ bringt keine Suchergebnisse zurück!
Hat schon jemand den Trojaner unter Windows 7 eliminiert?
Wie hat er / sie es gemacht?
hab da was gefunden
http://www.chip.de/news/Bundespolizei-Virus-entfernen-So-werden-Sie-ihn-wieder-los_50761972.html
bei mir steht bei dem 1. „mwlDeamon“ wert :Proram Files (x86) Egis Tec MywinLocker….
könnte das der sein?
Wer Windows 7 im Einsatz hat, sollte es mal mit dem folgenden Registry-Pfad (Anleitung Punkt 7) versuchen:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Falls das funktioniert, dann bitte hier posten. Ich selbst habe kein Windows 7 und kann das nicht überprüfen.
Quelle: tutsi.de
Danke für die Tipps, aber wenn ich auf „Shell“ klick, steht da kein Pfad, sondern nur „Explorer.exe“.
wie komm ich jetzt dahin, um diesen Virus zu löschen?
MfG Sergej
habe unter Windows 7 nun in der Registry im Pfad:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
eine Schlüssel gefunden, der auf eine verdächtige Datei weist! der Schlüssel war:
Name: vasja
Typ: REG_SZ
Pfad: C:\Users\…Name…\AppData\Local\Temp.660307741350407.exe
exakt mit Datumsstempel als der Trojaner zugeschlagen hatte!!!
Schlüssel ist nun in der Registry gelöscht und die Datei habe ich umbenannt.
Im Moment läuft der Rechner wieder und scannt nun mit dem Virenscanner die kpl, Platte.
Sollte es geholfen haben, werde ich es morgen früh posten (den der Scann wird noch einige Stunden laufen …).
Auf alle Fälle finde ich dieses Forum mit den kreativen Hinweisen sehr hilfreich und effizient.
Vielen Dank an alle, die kreativ mithelfen!
Kann mich Dustin nur anschließen.
Genauso hat es bei mir auch gerade geklappt ( Windows 7 )
Hallo Daniel, vielen Dank für deine Hilfestellung. Ohne dich wäre ich aufgeschmissen, jetzt scheint es wieder zu funktionieren.
Windows 7
Habe in der Shell Datei die Explorer.Exe in Anführungszeichen gesetzt und dann in der Windows suche nach mahmut.exe gesucht.Gesucht und gefunden und gelöscht. Auch aus dem Papierkorb,Anschl. Virenscan durchgeführt und 9 Viren gefunden. jetzt läuft es wieder.
Danke an alle für die Informationen
Hallo,
konnte den Trojaner eben bezwingen (konnte mich wieder einloggen, bin jetzt am scannen). Geholfen hat mir Bronko’s Tipp (22:01 Uhr).
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Pfad: C:\Users\…Name…\AppData\Roaming\hypa.exe
…ebenfalls mit Datumsstempel von Befallszeit.
Das löschen hatte noch keinen Erfolg gebracht. Beim 2. mal im abges. Modus hab ich in der Regestry noch einen Schlüssel gefunden.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: Update
Pfad: C:\Users\…Name…\AppData\Roaming\“0.Zahl-BLABLA“.exe
Schlüssel gelöscht, Datei diesmal umbenannt.
Jetzt läuft der Rechner erstmal wieder.
Danke an Alle für ihre Hilfe.
mein rechner fährt leider garnicht mehr hoch..
komm nur noch ins setup menü und in den boot manager..
F8 drücken bringt nix..
gibts da noch irgend eine lösung?
An der Stelle greift der Trojaner noch nicht. Liegt die Windows-DVD (CD) im Laufwerk o.ä.? Bootreihenfolge und ggf. BIOS prüfen.
wollte für alle die auch mit Windows 7 an dem Tronjaner mitteilen, daß seit heute mein Rechner wieder läuft.
Nachdem ich gestern abend noch den Gesamtscan angestoßen hatte wurde der Trojaner nicht gefunden! Erst als ich ihn von Hand löschen wollte, hat mein Virenscanner (McAfee) Alarm geschlagen … ;-).
Na ja, nun läuft der Rechner wieder.
Wünsche allen, die noch kämpfen ….
viel Erfolg!
Hallo,
vielen Dank für Eure Tipps. Meine Frau hat es gestern auf unserem Vista-NB erwischt. Auf regedit bin ich auch gekommen, wusste aber nicht wonach ich suchen sollte.
Aber auch Eure Tipps (auf meinem Dienstrechner gecheckt) haben in der Registry nichts gebracht-kein merkwürdiger Eintrag. Also bin ich auf der Directory-Ebene nach alter DOS-Logik mit „dir“ und „del“ los um alle Dateien von gestern nachmittag und abend zu checken, denn ich hatte noch keine Lust meine Festplatte neu zu formatieren. Ich wurde an 2 Stellen fündig – „C.\Users\..name..\AppData\Roaming\“ und „C.\Users\..name..\AppData\local\temp“. Dort standen die exe-Dateien mit den kryprischen Nummernfolgen.
Yippie-tut wieder. Aber jetzt kommt doch ein Virenscanner ins Haus.
Hallo Georg,
beim Befehl „del“ erscheint Syntaxfehler! Kannst du mir bitte den korrekten Befehl nennen? Der Befehl „dir“ war sehr hílfreich.
Danke Herbie
Hey
habe gerade zu fuß nach dem Virus bzw. der .exe Datei gesucht. Der Name war diesmal 0.79… Irgendeine lange Zahlenkombination. Jetzt läuft er wieder einigermaßen
Gruß :)
Ich habe dasselbe Problem, finde aber nichts. Mit Tinas Tip 4/12, 12.00 habe ich bei mir in …\Windows\CurrentVersion\Run ein Update gefunden mit dem Pfad C:Users\Wkst1\AppData\Roaming.24589588739831825.exe . Nachdem ich das gelöscht hatte, war der Bundespolizei Trojaner beim Hochfahren weg, dafür hatte ich eine Meldung in weisser Schrift auf rotem Grund: Achtung! Aus Sicherheitsgründen wurde ihr Windowssystem blockiert. Weiter unten dann die bekannte Masche: zahlen, dann werden sie freigeschaltet. Ist das jetzt ein zweiter Virus gestaffelt nach dem ersten ?
Nachtrag:
Die Sache hatte kein gutes Ende.Der Virus hatte (wie auch immer)das Panda-Security-Programm in meinem PC deaktiviert, so dass ich noch weitere Viren hatte. Mit einer Neuinstallation meines PC und zwei Techniker-Stunden war ich dann dabei (PC wird beruflich genutzt, die Festplatte konnte vom Nachbararbeitsplatz geklont werden). Der Urheber dieses Virus sei verflucht, er soll sein Leben lang unlösbare Virenprobleme haben.
Hey Leute, hab den Virus ebenfalls unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run gefunden
bei mir stand so ne komische zahl, diese hab ich gelöscht & schon geht alles wieder :)
danke für eure tipps, haben mir sehr geholfen
MfG Sergej
nachdem ich den ersten virus gelöscht hatte (…\Windows\CurrentVersion\Run, vasja, C:\Users\”benutzername”\AppData\Local\Temp.8611031362133428.exe) und das virenprogramm durchlaufen ließ, sind nochmal 5 viren aufgetaucht. habe alle gelöscht. nochmal 3 stunden virenprogramm laufen lassen, da kam nichts mehr. dann bin ich aber nochmal in den abgesicherten modus und hab nochmal alles durchstöbert. habe dann nochmal eine auffällige datei gefunden. habe dabei wieder hier gesucht:
# HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
# HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
der virus hieß …Daemon. hab ihn gelöscht.
anschließend hab ich nochmal ein virenprogramm laufen lassen. da ich irgendwo gelesen hatte, dass der virus evtl auch in java hängt, hab ich das deinstalliert. nach dem virusscan war tatsächlich noch etwas von java auf meinem rechner obwohl ich es deinstalliert hatte und das wurde dann als virus bzw verdächtig gemeldet. hab das jetzt auch noch gelöscht. mein laptop lief zwar nachdem ich den ersten virus gelöscht hatte schon wieder, aber meine unsicherheit, dass noch etwas drauf sein könnte hat sich ja mit dem daemon bestätigt.
hallo zusammen,
das ist eine sehr gute, detaillierte anleitung, allerdings habe ich folgendes problem:
bei mir ist unter „shell“ schon „explorer.exe“ verzeichnet… finde besagten pfad zum löschen daher nicht…
hat jemand einen tipp?
wäre sehr dankbar!
ps. ich habe windows vista und als virenprogramm nur avira
lg, alexandra
Ich hab auch vista und avira als einziges vierenprogramm und bei mir steht da auch schon explorer.exe! kann uns jemand helfen?
Mahmud, ver****en sollst du!!!
Hi,
habe mir auch den virus eingefangen. Bin die Anleitung durchgegangen aber bei mir war auch in der shell nur explore.exe
hab nach mahmud im gesicherten modus gesucht …gefunden und gelöscht… jetzt läuft der pc wieder…
muss ich unter regedit jetzt noch etwas tun???
Danke und gute nacht!
Danke für die Info! der virus ist weg!
Moin zusammen,
habe vor ca. 30 Minuten mir auch diesen sch… Kram eingefangen. Bei mir läuft ebenfalls Windows 7.
Bin froh das ich noch eine BackUp-Platte hatte, wo ich mein System vor der ersten Nutzung gespiegelt hatte. So konnte ich erst mal schnell die Platten umklemmen und hier im Netz nach Hilfe suchen.
– Auch ich bedanke mich vielmals für deine ausführliche Erklärung Daniel –
Habe ein ganz tolles Problem derzeit bei meinem Rechner…mein PS2 Anschluss für die Tastatur ist hin und ich komme mit der USB-Tastatur nicht in das „Menü“ um im Abgesicherten Modus zu starten…
Ich habe es aber anders geschafft, kann auch ein Zufall gewesen sein, aber es hat funktioniert. :)
Ich habe den Rechner dann ganz normal hochfahren lassen, dann kam das sch….öne Bild.
Dann Strg+Alt+Entf, da bin ich dann rechts auf „Herunterfahren“ gegangen (da bei mir noch der Prozess Task-Manager lief, zeigte er das Bild mit der Taste „Herunterfahren erzwingen“ und „Abbrechen“ an, da hab ich auf Abbrechen geklickt und bekam danach die Gewalt über den Task-Manager wieder als ich ihn dann erneut mit Strg+Alt+Entf aufgerufen habe.
Da habe ich dann unter Prozesse „explorer.exe“ beendet, bin dann oben auf „Datei“ und dann auf „Neuer Task“.
Als neuen Task habe ich „explorer.exe“ eingegeben und den Task gestartet.
Nun hatte ich auf einmal wieder die gesamte Kontrolle über meinen Rechner.
Dann bin ich wie Daniel beschrieben hat vorgegangen. (bei mir hieß es auch mahmud.exe)
Nun läuft grad AntiVir…es zeigt schon 2 Funde und 2 Warnungen.
Da gestern bereits eine Prüfung ohne alles durchgelaufen ist, muss das wohl mit diesem Sch… gekommen sein.
Gleich löschen und ab ins Bett. :)
P.S. noch ein Danke an alle, die hier ihre Erfahrungen und Tips gelassen haben. Nur so können User anderen Usern helfen.
Also Danke