„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Hallo.
Bin gerade beim beseitigen eines trojaners.
Jetzt bin ich im REGISTRIERUNGS-EDITOR.
aber wenn ich auf HKEY_LOCAL_MACHINE klicke find ich kein WINLOGEN.
Kann mir jemand weiterhelfen?????
@ ronnybaer
Bitte mla prüfen ob nicht „falsch Abgebogen“ worden ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Simon
bin gerade auf der Seite mit der Hilfsanleitung, stecke aber schon bei Pkt. 1 fest. Wie und vor allem woher bekomme ich die exe für windows xp; 32 bit, damit sie nach deiner Anleitung ändern kann.
Gruß Volker
naja bei mir is er jetz weg durch die methode vom dem kommentar über o0der unter mir mit dem viren programm und mim task manager bin ich den nur übergangen hab nie gesacht dat der dann weg is
@ holländer92
Nein das hattest Du nie gesagt, das stimmt.
Aber unversierte User/innen könnten das als Hoffnungträger sehen, es so machen und dann sich des Lebens freuen weil es funktioniert hat.
Das danach aber die Welt eben nicht wieder heil sein muss, kann ein Normaluser/Normaluserin daraus nicht erfahren.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Soweit so gut :) jetzt bin ich bei shell und bei DATEN steht explorer.exe.
Wie muss ich nun weiter verfahren?
Sorry aber bin ziemlich unerfahren :D
@ ronnybaer
Entweder weiterverfahrne wie oben beschrieben, oder mir direkt eine Mail bzgl. dessen zusenden.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon!
Leider nein, bin gerade auf dem Weg nach Vorarlberg (Österreich), aber wenn du den weiten Weg auf dich nehmen willst, nur zu ;-) Nein, ich werde die 10 Schritte später versuchen selbst durchzuführen. Einfach ganz oft F8 drücken und der Rest dürfte sich dann von selbst erklären, oder? Hihi, wünscht mir Glück und danke für die Tipps, ist wirklich toll was ihr hier anbietet!
Liebe Grüße
@ Theresa
Ansonsten schreib mir eine Mail…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@Theresa
Oder du kommst bei mir vorbei. Langenargen am Bodensee liegt ja quasi in Vorarlberg. :-)
Wichtig: Unbedingrt dort volltanken; Benzin/Super ist deutlich billiger.
Gruß, Peter
Hallo Peter und Simon!
Nicht mehr nötig (glaube ich zumindest *g*), danke! Habe ein Anti-Maleware-Programm durchlaufen lassen, das hat den Virus identifiziert und ich konnte ihn löschen. Zusätzlich habe ich mein Noscript und das ABP wieder aktiviert. Jetzt läuft alles wieder normal. Ist der Virus aber wirklich weg? Sollte ich meinen Laptop sicherheitshalber neu aufsetzen?
Freundliche Grüße
hallo ich hab das problem das ich wenn sich die windows registrie öffnet mein rechner schon so weit ist das er die warnmeldung wieder anzeigt und ich NIX mehr machen kann ….bitte umhilfen …Danke
hey ich hab mir gestern eine neue Version des trojaners eingefangen, nun so schlau wie ich schon war habe ich in die Registry geschaut, aber da war wie immer die Explorer.exe drin oder macht des System einen unterschied zwischen „Explorer“ und „explorer“ ??? find den virus nich, hab avira, gdata und malware drüberlaufen lassen, nix gefunden und der is immer noch da.
es gibt hinzuzufügen, des der wohl nicht in der shell zu sitzen scheint, denn der das Bild kommt erst nachdem der Desktop gestartet wurde, und dann die ganzen nebenanwendungen starten… im Autostart findet sich nix und auch sonst nirgenwo, weder in AppData noch unter Downloads oder Temp
okay der Bundestrojaner ist nun weg, die Anti VIren Datenbank hatte den neuen Virus wohl noch nicht drin, aber wurd dann heute effektiv geblockt und entfernt. Der Pfad war file: C/Users/[…]/Local/ Settings/Temp/mskvyvw.com
So sieht/sah der Bundestrojaner jedenfalls aus: http://imageshack.us/f/444/picyt.png/
kA wieso aber der hat dieses Bild auf meinem Rechner im Ordner AppData\Roaming\gizza\ gespeichert.
HILFE! habe aus versehen die shell-datei gelöscht, obwohl ich aufgepasst habe wie ein schießhund. was kann da jetzt passieren? habe aber den wert der datei gesehen, d.h. „explorer.exe“… soll ich die restlichen schritte einfach weiter ausführen?
ach mist, aber ich hab jetzt erst gerafft, dass man da erst an der shell-datei noch was bearbeiten musste. leider hab ich sie vorher schon gelöscht :(( was mache ich jetzt nur???
@ Liesel
Solange Du eine Internetverbindung hast und dir Punkt P09 meiner Seite anschauen und befolgen/benutzen kannst, ist noch nicht alles verloren.
ISt es zwar auch danach cniht, aber nach einem Neustart könnte es zu größeren Problemen kommen.
Im Notfall, eine Mail an mich.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ok, habe grade meinen computer mal mit einer systemwiederherstellung auf den stand von gestern mittag gebracht.. zumindest funktioniert jetzt alles wieder.. auch die meldung vom BKA kommt jetzt nicht mehr, aber bin ich den trojaner wirklich los? oder versteckt er sich noch irgendwo?
@ Liesel
Bitte schaue Dir mal dieses Posting hier an:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Bei weiteren Fragen/Problemen….(Mail)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Guten Tag,
wo finde ich den explorer.exe? Ist das der im c:/windows?
@ Tim
Ja, die richtige exploer.exe sollte immer unter C:\Windows zu finden sein.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mein Bundespolizei Trojaner sieht ganz anders aus als die die hier vorgegeben sind, was mach ich nu? Ist schon der zweite letzte woche hatte ich den GEMA…
hilfeeeeee
@ Katharina
Kannst Du mal/könne Sie davon mal ein Foto machen und mir zukommen lassen?
(Mail)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
das geht auch nicht, kann keine fotos hochladen, aus welchem grund auch immer… puuuhhhh
hallo simon.
ich habe meinen pc neu gestartet und die F8-Tast im sekundentakt gedrückt. bei mir erscheint aber jetzt die meldung „boot menu“ und darunter „seleckt a boot first device. removable, hard disk, cdrom“.
was soll ich tun?
Lisa,
nimm hard disk und drücke dann weiterhin die f8-taste.
dann kommst du auch zur Auswahlmenü
ich hab mit mircosoft security den bundespolizei trojaner weg gebracht dieses programm einfach geil von mircosoft http://www.chip.de/downloads/Microsoft-Security-Essentials_37024589.html
bitte holt es,es ist kostenlos von mircosoft und ich liebe es http://www.chip.de/downloads/Microsoft-Security-Essentials_37024589.html
Am 18.11. fing ich mir den Bundespolizei-Trojaner ein. ich habe dann im Prinzip nix gemacht und mit meinem Laptop gesurft. Mitte Januar bin ich dann umgezogen und surfe jetzt auch über einen anderen Anbieter. Fakt ist auf jeden Fall ich habe mich dann mal angemeldet und zu meiner Überraschung war das Bild Bundestrojaner vom Monitor verschwunden und der PC war frei…!
So jetzt bin ich im Auswahlmenü und wenn ich „Abgesicherter Modus mit Eingabeaufforderung“ drücke und bestätige, kommt bei mir ein blauer Bildschirm mit dem Hinweis, dass ein Virus gefunden wurde und der PC konfiguriert werden soll. Aber ab da passiert nichts mehr.
@ Lisa
da ich es mir irgendwie so gar nciht vorstellen kann, send emir doch bitte ein Foto (wenn möglich) davon. (Mail)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon, ich will dir nicht auf die Nerven fallen, aber beim löschen meines BKA-Virus hat Shell den Wert explorer.exe. Wie soll ich nun weiterverfahren?
PS.: Ich konnte dir leider keine Mail schicken, weil mein Text angeblich nicht mehr als zehn Zeichen beinhaltet.
Grüße, Alisa
@ Alisa
bitte per Webmailer oder Mailprogramm an:
bka-virus[at]kunden.pp4it.de
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Simon
Hallo , ich habe dieses Problem nun auch und stecke in deiner Hilfe fest. Bin gerade auf der Seite mit der Hilfsanleitung bei Pkt. 1. Bin der totale Laie in der Programmierung. Wie und vor allem woher bekomme ich die exe für windows xp; 32 bit, damit sie nach deiner Anleitung ändern kann.
Gruß Volker
Hallo
habe den Trojaner auch drauf kann aber leider nicht in den abgesicherten Modus starten… Er geht dann wieder zum auswahlbildschirm kann man den irgendwe anders starten also Den abgesicherten Modus?
Gruß Philipp
Hallo ich habe eine Frage zum Punkt. Was genau ist mit den kompletten Pfad zum Virus löschen gemeint? Danke im voraus
*9
ich habe nach dem start direkt F8 gedrückt, bin auch im konfi menü, leider komme ich nicht in den anderen windows modus wenn ich abgesicherter modus mit eingabeaufforderung mit enter bestätigt habe. der bildschirm ist mal kurz dunkel, die festplatte rattert kurz und bin dann wieder im menü…oben steht etwas von windows konnte nicht erfolgreich gestartet werden wegen einem vor kurzem hard- oder software änderung…was kann ich tun?
philipp, 2 nachrichten über mir, hat scheinbar das gleiche problem…
Hab wohl auch einen neuen Virus, komme zum reparierennicht in den abgesicherten Modus mit EA, Bildschirm wird blau mit Fehlermeldungen ??
Hallo,
ich habe auch so einen BKA Trojaner auf meinem Laptop. Ich habe viel versucht diesen zu entfernen, nichts hat Funktioniert. Ich habe zum schluß den Betroffenen Nutzer gelöscht und habe einen neuen angelegt. Ist der Trojaner noch auf meinem Laptop. Muss der noch entfernd werden?
Vollständigen System-Check mit Malwarbytes und einem Anitviren-Programm durchführen.
Hallo,
meinen Pc hats heute ebenfalls erwischt, bei mir ist genau das gleiche Problem wie bei robag, 3 Nachrichten vor dieser.
Gruß,
Philip
@Alle
Die nächste Ausgabe der Computerzeitschrift c’t Nr. 9 vom Dienstag nach Ostern enthält die selbst bootende CD ‚Desinfect‘. Allen hier zu empfehlen, die Probleme mit Viren haben. Die Auflage dürfte schnell vergriffen sein.
Peter
@ Peter Zeller
Jep so ist es.
Aber zum Glück bekommen wir ein Exemplar in die Firma „geliefert“. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hi,
mal ne wahrscheinlich dumme Frage: Wie komme ich denn an die explorer.exe von der Original Windows CD, um sie auf nen Stick zu laden?
Gruß
Schau mal hier
Hallo! Ich habe auch das Problem. Der Pc läßt sich starten, zeigt mir den Desktop, doch bevor er sich aufgebaut hat, kommt der weiße Bildschirm mit der Ukash Zahlungsaufforderung. Und geht nimmer weg. Ich hab Windows Vista. Funktioniert die Lösung von oben da auch? Ich habe alle Bilder von meiner Tochter drauf, deswegen BETE ich, dass ihr mir helfen könnt, ohne plattmachen.
@ Jan
Gebet erhört…
Die Lösung da oben ist mittlerweile recht umfassend für alle systeme geeignet, daher sollte das kein Problem darstellen.
– Sofern – es denn die explorer.exe betrifft.. Ansonsten bitte meine Seite beachten.
Oder melde Dich mal bei mir per Mail.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@Simon,
Hallo, ich habe 2 kleine Probleme,
1. ich kann den Pfad nicht finden, den den ich mir aufschreiben soll
2. wenn ich den Schlüssel „Shell“ öffne steht bei mir, da wo ich das Wort „explorer.exe“ eingeben soll bereits schon „explorer.exe“
wäre schön wenn du diese Nachricht so schnell wie möglich beantworten könntest, ich benötige meinen Rechner nämlich beruflich, danke im Voraus
Hallo zusammen. Ich habe ebenfalls das bereits weiter oben beschriebene Problem dass sich der abgesicherte Modus nicht starten lässt! Ich klicke drauf, es wird der abgesicherte Modus geladen. Und kurz bevor sich irgendwas öffnet (kurz vor der pw Eingabe) springt er wieder auf den normalen Modus über uns startet normal. (Bundespolizei Hinweis erscheint wieder aufm bildschirm)
Was kann ich zum?
Ich bedanke mich schon mal.
hallo !
ich kann sogar nicht abgesicherte modus starten Bitte um Hilfe!!
Hallo Simon!
Bitte um Hilfe…seit gestern haben wir diesen Virus auch…:-(
Bin jetzt bis zum „winlogon“ gekommen…aber auf der rechten Seite steht nur:
(standard)…….
cftmon.exe
nichts von Shell….
Was kann ich tun??
Danke!!!
@ SabineD
…mir eine Mail schreiben. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Leute.
Es gibt eine Freeware die ich ge-Googlet habe, einfach „free registry cleaner eingeben, die hilft beim BKA-Virus.
Ich habe allerdings auch das Problem, nicht im abgesichertem Modus starten zu können.
Hat einer eine Idee?
Hallo eventmanager,
wie kannst du wissen, dass die ‚freie‘ Software das tut , was sie behauptet? Sie könnte ja statt dessen die Registry erst recht versauen, sprich:lauter Malware auf deinen Rechner packen.
Peter
@ eventmanager
Freut ja einerseits zu hören. Anererseits weiß man nie was so ein REgistryCleaner noch so rumwirtschaftet und wo vorallem. Er kann also vieles „beheben“ aber dabei auch viel Käse anrichten.
Das eigentliche Problem ist aber, das genau wie bei einer Systemwiederherstellung die eigentliche Schaddatei(ein) noch nciht weg sind und damit wieder reaktiviert werden könnten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
bei mir ist Datei Shell schon im Explorer.exe (Ich habe Windows 7 64er Bit) Ich kann nichts machen bei dem Sch***dr*ck da Immer Weißer hintergrund beim Starten und dann Security Center 100€ Ukash Paysafe eingabebereich und Ukash eingabe bereich oder wie lautet den deine E-mail damit ich dir eine schreiben kann
Ist es auch ok, wenn das Betriebssystem neuinstalliert?
Wollte ich eh mal wieder machen.
Simons eMailadresse:
bka-virus [at] kunden.pp4it [punkt] de
@ kurt
Ja, mit einer Neuinstallation sollte man zu 99,9% alles schädliche von der Platte bekommen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Also bei mir kommt immer wieder der weiße bildschirm egal wie ich es versuche!!!! Hilfe und jetzt ????
@ vossy
Weißer Bildschirm – wann wo wie genau?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hi, ich hatte mir den Trojaner gestern eingefangen. Habe versucht mit eurer und anderen Hilfen den Virus zu löschen. auf anraten eines freundes hab ich einfach mal die systemwiederherstellung angeschmissen. hab das sytem wieder zurückgesetzt auf ein datum von vor 3 wochen. es hat geklappt! kann hie rgerade an euch schreiben. ich frag mich jetzt nur ob der virus nun weg ist oder nur kurz ausser gefecht gesetzt wurde.
Wie soviele habe ich mir auch den Virus eingefangen. Bei mir lässt sich der abgesicherte Modus nicht starten ( win. Blue screen erscheint mit soetwas wie ‚ ein XP konnte nicht gestartet werden weil sich ein Virus auf dem pc befindet‘ um weiteren schaden zu vermeiden soll ich ihn herunterfahren) . Habe auch schon das Windows unlock Tool von kaspersky versucht, ohne Erfolg.
Bitte um Hilfe, danke.
Werden die Daten auf meinem Laptop gelöscht ?
@ adem
Bislang nur bei Eigenverschulden oder teilweise auch schon geschehen mit dem DE-Cleaner (zum Glück nur seltenst).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
ich habe mir den Virus nun ein zweites mal eingefangen. Das vergangene mal bin ich den 10 Schritten nachgegangen und alles hat funktioniert. Allerdings steht bei „shell“ immernoch explorer.exe und ich habe aus verzweiflung die shell-datei HKEY-User zu explorer.exe umschrieben, es kommt jedoch immernoch der Virus den ich zwar simpel umgehen konnte aber ich meinen desktop und meine taskleiste nicht sehe – vermutlich weil der virus sich in einem intervalle neustartet – und nun deine Hilfe brauche.
mfG Paule
Ich habe nun avira anti vir installieren können und habe es durchlaufen lassen er hat Viren gefunden und gelöscht, das Problem wurde leider nicht behoben. Ein kurzer Blick auf den taskmanager beim herunterfahren verriet mir nur das Run.dll, winlogon und avira gestartet sind. Mittlerweile jedoch bekomme ich außer meinen Desktop Hintergrund nichts mehr.
Tut mir leid für die Umstände, danke für deine Hilfe.
Also ich bin soweit das ich nach shell auf explorer exe. Bin und es fast normal aussieht . Wie lösche ich den jetzt den Virus ?
Hab mir auch den BKA Virus eingefangen. Bei mir lässt sich ebenfalls das Sys nicht im abgesicherten Modus starten. Da kommt immer “
Please select boot deviive und darunter dann 4. Auswahlkriterien
1. 1st Floopy drive
2. PM-H-TT STDVD Rom
3. PS ST 316….
4. 3 M Samsung
Könnt ihr mir bitte weiterhelfen??
Hallo Simon,
ich habe mir ebenfalls den Trojaner eingefangen. Ich habe versucht, Deiner Anleitung zu folgen, konnte auch kurz auf die MS-Dos Ebene, aber erhalte dann nach 10 sec. die Meldung „Die Bearbeitung der Registry wurde durch den Administrator deaktiviert“.
Danach geht der Zauber wieder los.
Gibt es da noch eine Lösung?
Gruß, Stefan
Hallo, ich bin nun bereits dabei die jashla Datei zu löschen, aber woher weiß ich auf welchem Pfad diese sich befindet? Wo wird dieser angezeigt? Bei mir steht nichts was wie C:/verzeichnis/… aussieht.
Wäre dankbar über schnelle Hilfe.
@ Karin, Stefan, Natalie
Ich hab einen anderen weg gefunden:
-Computer starten mit eingabeaufforderung
-„msconfig“ eingeben
-den Reiter Systemstart anklicken
-und die kryptische anwendung zB.: „dm0l8.exe“ (so wars bei mir) deaktivieren
nun wird der Virus nicht mehr starten jetzt noch löschen
-den pfad wo die datei sich befinden merken oder aufschreiben wird in den meisten fällen wahrscheinlich „Users\Dein-Name\AppData\Local\Temp\“ sein und einfach komplett löschen.
ich hoffe ich konnte helfen und sry simon ;)
@ Paul
@ Alle anderen….
Wieso denn sorry?
Der Weg ist alleine hier im BLOG wohl schon an die 1000send mal genannt worden und steht ebenfalls auch auf meiner Seite mitunter so drauf.
Das Problem ist eher die richtige Datei/anwendung zu erkennen.
Das häufigste Problem ist ja schließlich, dass das sich die Datei mit einem Namen versucht zu tarnen der nicht auffällig ist.
Also z.B. SkypePM.exe….wer kommt da bitte sofort drauf das es sich hierbei um ein „Fake“ handelt.^^
Weiterhin haben alle Leute deren Abgesichterter Modus nicht mehr geht, weil die passenden und nötigen Registryeinträge fehlen, dabei auch das Nachsehen.
Denn das normale Windows wird, sofern kein weiterer Benutzer vorhanden ist, auch erstmal nicht einfach so zugänglich sein.
Entsprechend braucht es andere Maßnahmen um dem Teil erst mal Einhalt zu gebieten.
Weiterhin und das ist das eigentlich fatale an der ganzen Sache – durch das reine Löschen der Datei verbleiben immer häufiger immernoch reichlich schädliche Dateien auf dem System.
Nur als Maßeinheit…. In 5 von 10 Fällen jeden Abend ist der Rechner nach dem reinen Löschen der Datei schon „befreit“.
In den restlichen 5 Fällen wiederum haben es teilweise Exploits oder sogar Rootkits auf das System geschafft, was unweigerlich eine Neuinstallation des Betriebssystems voraussetzt (ist zumindest meine Empfehlung, da es sich hierbei um dramatische Eingrifffe in das jeweilige System handelt!).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Bei mir klappts einfach immernoch nicht.. Ich bin bei “Shell“, aber da steht kein Pfad? Außerdem hab ich es nun gelöscht und es kommt trotzdem sobald ich den PC neustarte.
Wenn ich im abgesichertem Modus starte wird mein Bildschirm nach kurzer zeit weiß und zeigt mir den gleichen text an, wie wen ich im Internet explorer bin aber kein Internetzugriff habe also „Dieses Programm kann die Webseite nicht anzeigen…“. was tun?
Hab die lösung bereits gefunden.
Für die, die das gleiche oder ein ähnliches problem haben: stratet den Computer nicht im abgesichtem Modus sondern unter „computer reparieren“ meldet euch unter eurem Benutzerkonto an und klickt dann auf eingabehilfe starten. Dann weiter mit Punkt 5
Hätt ich die Lösung in deinem Forum gefunden hätt ich noch haare auf dem kopf in jedem fall danke ich das du solche dienstleistung anbietest und zeit für sowas investierst. Ich dachte ich könnte meinen beitrag leisten und nun spam ich deinen blog nicht mehr zu. Viel erfolg weiterhin.
@ Paul
Heute irgendwie falsch aufgestanden?
Wieso immer gleich alles so negativ sehen?
Ich wollte damit nicht deinen Vorschlag zu nichte machen, ich wollte nur damit darauf hinweisen das der Vorschlag zwar gut aber verbesserungswürdig ist.
Eine andere Korrektur musste Dir aber gefallen lassen…
Dies ist nicht mein Blog.^^
Dies ist das Blog von Herrn Daniel Weihmann. Ich bin „nur“ derjenige der hier wohl am meisten Posts schreibt und/oder zumindest beantwortet.
Von mir aus darfst Du gerne hier weiter posten. Musst aber natürlich wie jeder hier damit rechnen das entweder ich oder jemand anderes eventuell eine leicht andere Meinung zu einer Aussage hat.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hab heute auch ’nen Rechner in die Finger bekommen mit dem Bundespolizei-Trojaner. Auch hier war der abgesicherte Modus down. Hatte noch ne XP-Platte rumliegen und hab die als bootplatte genommen. konnte dann das andere System scannen. Folgendes Resultat: Der Trojaner stand in der REG unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run im Schlüssel: Update mit dem Wert c:\windows\system32\ch8l0.exe – gleichnahmiges File war auch in dem Verzeichnis zu finden. Habe alles entfernt und um eventueller nachgeladener Schadsoftware zuvorzukommen habe ich eine Systemwiederherstellung gemacht. Achtung! Alles wurde ohne Internetverbindung gemacht.
Vielleicht hilft das alles ja jemanden…
Viel Glück und jetzt endlich – Gute Nacht – gehe jetzt schlafen…