„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Ich habe alles gemacht wie es da steht jetzt hab ich auf Winlogon geklickt da steht jetzt also in dieser tabelle wo name typ und daten stehen bei mir unter name (Standard ) unter Typ REG_SZ und unter Daten nichts ich komme nicht weiter HILFEEEEEEE !!!! und bei mir steht daten nicht wert !!!
Hallo Leute.
Ich habe meinen Rechner mitlerweile neu aufgesetzt, kann ich nur empfehlen, denn jetz ist er „clean“. Vieleicht klingt es etwas anmaßend, aber ich möchte alle daraufhinweisen, wenn man den abgesicherten Modus nicht starten kann, könnte das daran liegen, das man Funktastatur oder Funkmaus verwendet, wußte ich vorher auch nicht.
Neuere Varianten des BKA-Trojaners verändern das System so, dass kein abgesicherter Modus mehr möglich ist.
Jetzt halte deinen Rechner möglichst lange „clean“ und überprüfe deine alten Daten, die du sicherlich zuvor gesichert hast.
Hola, scheint als ob ich die neue Variante habe. Welche Möglichkeiten gibt es denn, wenn ich nicht in den abgesicherten Modus komme. Mein Trojaner erscheint erst wenn ich mich ins www einwähle. Rückmeldungen wären klasse, Danke
@ Manolo
Boot-CD/DVDs sind dabei meist eine große Hilfe.
Es gibt aber diverse andere Möglichkeiten noch. Siehe dazu meine Seite, oder eine Mail an mich….
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hey Simon,
Ich bin in Sachen Computer eine echte Niete und komme an einem schritt nicht weiter. Ich habe den „Ordner“ Shell gefunden. Dahinter steht explorer.exe. Wie muss ich weiter machen??? Oben steht was von einer Hilfeseite, die ich aber leider nciht öffnen kann!
Danke im Vorraus!
@Amy: Du kannst den Link (Schritt 8 oben) nicht aufrufen?
Es könnte in deinem Fall die explorer.exe selbst verseucht sein, allerdings gab es diese Fälle zuletzt nicht so oft. Oder der Trojaner ist in deinem Autostart. Suche mal dort nach Auffälligkeiten, wie im verlinkten Artikel beschrieben.
@ Amy
Wie ist der aktuelle Stand?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Hallo, ich habe das Problem dass ich bei abgesicherten Modus die Windows Anmeldung meine Kennwort eingabe auffordert.Wenn ich mein Kennwort eingebe erkennt er das aber nicht. Hilfe!! Was kann ich tun??
@ aloa
Da bei der Variante mit „nicht funktionierendem Autostart“ die Registryeinträge beschädigt bzw. gesamt gelöscht wuirden welche für „SafeBoot“ zuständig sind, braucht es am besten eine Reperatur.
Dafür aber muss man erstmal gewisse voraussetzungen haben, oder man muss alternativ an das System z.B. per Boot-CD/DVD ran.
Insgesamt ist das alles hier wohl schwieriger zu Regeln. Daher schreiben Sie/schreib mir doch mal eine Mail betreffs dem ganzen…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
Also ich komme nicht in den abgesicherten Modus, da der Pc dann einfach neu startet.
Die rescue disk von Kaspersky stürzt bei der Überprüfung des Pc’s immer ab und der Task Manager lässt sich auch nicht öffnen.
Was kann ich tun ?
@ kayro
Hallo,
dann versuche es mal mit P10 oder doch Punkt P12.
Bei der CD Kaspersky Unlocker sollte man in den Optionen aber noch die Suche nach potenziell schädlichen Anwendungen aktivieren, sonst findet er meist nichts.
Speziell der letzte Punkt (bei P12) ist aber auch eine wertvolle Empfehlung und kam gerade (vor)letzte Woche wieder mal auf den Markt (könnte aber schon ausverkauft sein, dann müsste man online versuchen zu bestellen).
Sollte alles nicht klappen, kann ich noch Punkt P24 anbieten.
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Daniel, mir gehts genauso wie Markus. Wenn ich bei Winlogon angelangt bin, gibts da kein +-Zeichen mehr und rechts erscheint auch nicht „shell“. Ich bin Windows 7-Nutzer und habe alles genau befolgt, was in der Anleitung vom LKA Niedersachsen steht, die ja mit Deiner identisch ist. Als Alternative habe ich die Systemwiederherstellungsvariante genommen, aber das ist ja keine Dauerlösung und der Trojaner ist noch immer irgendwo im verborgenen. Wo liegt wohl das Problem mit „shell“? Danke im voraus.
VG Denny
Du hast per Systemwiederherstellung erst einmal alles System-seitige wieder im Griff. Scanne nun mit Malwarebytes und einem Antivir-Programm deinen Rechner vollständig. Mindestens eines dieser bedien Programme sollte den Trojaner finden und löschen können. Nun musst du „nur“ noch aufpassen, dass du dir ihn nicht erneut ein fängst …
„LKA Niedersachsen“! Ist ja interessant. Kannst du dies hier oder auf der Facebook-Seite mal verlinken?
@ Denny
Bitte folgendes Posting beachten:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Mit freundlichen Grüßen,
Simon
(Fachinformatiker für Systemintegration)
@ kayro
Boot-CD/DVDs sind dabei meist eine große Hilfe.
Es gibt aber diverse andere Möglichkeiten noch. Siehe dazu meine Seite, oder eine Mail an mich….
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Daniel, danke für Dein feedback. Hast Du noich ne Antwort auf die Frage, wieso ich „shell“ nicht da stehen hatte? Damit hätte ich den Trojaner doch löschen können, oder?
VG Denny
@ Denny
Mit hoher Wahrscheinlichkeit wurde einfach „falsch abgebogen“. Dies passiert den meisten Leuten wenn man diesen Pfad sucht.
bitte einfach nochmal prüfen, oder einfach per Suche suchen lassen.
Mit freundlichen Grüße,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich habe mir gestern diesen Virus eingefangen. Ich habe Microsoft Security Essentials auf dem Rechner. Ich habe dann auf den On/Off-Knopf gedrückt und als das Herunterfahren erzwungen werden sollte habe ich auf Abbrechen gedrückt. Dabei konnte ich dann auf „Computer bereinigen“ (es kam eine Meldung von besagtem Anti-Viren-Programm) drücken. Allerdings stand dort dann „Keine Rückmeldung“ und ich habe dann den Rechner komplett ausgemacht. Auf jeden Fall habe ich den PC heute wieder angemacht und es kam eine Meldung dass ich eine .dll Datei öffnen möchte. Ich habe natürlich auf Abbrechen gedrückt und Microsoft Security Essentials mal Scannen lassen. Jedoch ohne Treffer. Meine Frage wäre jetzt ob dieser Virus immernoch auf meinem PC ist? Ich habe allerdings nur einen schnellen Scan machen lassen weil ich nicht genau wusste ob dieser Virus wieder aktiv wird. Ich werde gleich mal einen ausführlichen Scan machen lassen.
MfG,
Daniel K.
@ Daniel K.
Das Teil wird mit ziemlicher Sicherheit noch da sein und sich ggf. dem Fall in ein paar Stunden oder Tagen wieder reaktivieren (so die bsiherigen Erfahrungen).
Bitte beachte folgendes Posting:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systeminegration)
Mir ist das gestern fast das gleiche passierte . Auch ich habe “ Microsoft Security Essentials “ . Uberprüf ordner Customer/AppData /Local /Microsoft/ Windows . Habe gestern satte 10 Stuck gefunden .
@ Tom
10 Stück ist shcon eine ganze Menge.
Gibt es ein Log-File mit den Funden und den erkannten Schädlingen?
Wenn ja, dann bitte dringend per Mail an mich (zur Analyse) senden.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ok in dem Ordner den du mir genannt hast hat Microsoft Security Essentials nichts gefunden. Jedoch muss ich jetzt jedes mal wenn ich den Rechner starte und mich bei nem Benutzerkonto angemeldet habe bei einem Fenster auf Abbrechen drücken. Da drin heißt es ich würde eine .dll-Datei versuchen zu öffnen. Jedoch wird der Name der Datei oder der Pfad nicht genannt.
@ Daniel K.
Ich vermute mal das es sich um eine *.dll-Datei aus meiner Liste (Punkt P14.1) handeln wird.
Diese Datei wird vermutlich unter diesem User im Autostart oder Autostart (msconfig) versucht bei jedem Rechnerstart zu starten und daher kommt diese Meldung dann.
Drauf verlassen das der PC aber wirklich schon „sauber“ ist, würde ich mcih so einfach noch nicht.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@Daniel K. – Autostart aufräumen (msconfig) und mit den hier immer wieder empfohlenen Eset NOD32 oder einem anderen Antivirenprogramm einen vollständigen Systemcheck durchführen. Im Anschluss Malwarebytes nach weiteren Schädlingen suchen lassen.
@ Daniel Weihmann
und damit @ Daniel K.
und damit wiederum an @ ALL
Vorgehensweise bitte umgedreht:
Erst „MalwareBytes Anti-Malware“ und DANN „Eset Online-Scanner“ (beides kostenfrei).
Die Funde entweder mit den Funden auf meiner Seite unter Punkt P14.1 ab/-vergleichen, oder die LOG-Datei(en) mir per Mail zusenden.
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
…danke, übernehme ich sofort in den anstehenden Artikel zur System-Nachbereinigung @Simon
@ Daniel Weihmann
Dann nimm aber noch folgendes rein:
MalwareBytes -> Einstellungen
„Anonyme Daten senden“ Haken entfernen
UND
„Internet Explorer beenden“.
Eset Online-Scanner -> Einstellungen
„Suche nach potenziell schädlichen Anwendungen“ Haken setzen.
Funde bei beiden Programmen können im Netz (meist nicht ganz easy) oder mit meinem Punkt P14.1 verglichen werden.
Sollte nichts findbar/vergleichbar sein oder man sich nicht ganz sicher, geht auch eine Mail an mich.
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Hallo ich habe da ein Problem glaube ich ich habe eine PC von DELL und ich komme da nicht so einfach hin. Kannst du mir dabei helfen ??
@ Ralf
Was funktioniert nicht und was kommt ansonsten?
Ansonsten per Mail…
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Daniel K.
Hi Daniel, kannst Du mir ne Adresse von Microsoft Security Essentials nennen? Bei Google erscheint jedesmal der Hinweis „That´´s an error“… Wieso, keine Ahnung.
Gruß Denny
@ Denny
Da ich nicht weiß welches Betriebssystem Du hast/Sie haben, kann ich nur den globalen Microsoft Link dafür durchreichen:
http://windows.microsoft.com/de-DE/windows/products/security-essentials
Warum reine Virenscanner nicht unbedingt helfen können…siehe unteranderem Punkt P20.
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Ok bei der *.dll-Datei handelt es sich um wpbt0.dll. Kann ich die Datei auch irgendwie löschen oder muss ich das System zwingend neu installieren?
Hi Leute,
Ich habe heute den Rechner eines Kollegen repariert, der auch von dem „Bundespolizei“-Schädling befallen war.
Ich hatte erst befürchtet, dass es einer der harten Sorte ist, der die Festplatte verschlüsselt und mich zwingt, alles neu zu installieren, aber es war zum Glück ganz harmlos.
Ich habe ihn einmal normal hochgefahren, um mir einen persönlichen Eindruck des Start-verhaltens zu verschaffen. Dann habe ich ein Foto geschossen, eine Anzeige hatte der Kollege bei der Polizei bereits aufgegeben.
Nachdem ich gesehen habe, dass der Desktop zunächst geladen wird und dann erst die Meldung der Malware kommt, war mir fast klar, dass der Aufruf über die Autostart / Autorun-Einträge erfolgt.
Also habe ich den Rechner im abgesicherten Modus (mit Oberfläche, nicht nur Eingabeaufforderung) geladen, habe regedit gestartet und in wenigen Minuten zwei Einträge gefunden, die auf eine Datei
C:\Users\MvB\AppData\Roaming\cgs8h0.exe
verwiesen.
Da „normale“ Dateien nicht so komische Namen haben und in den Eigenschaften der Datei keine vernünftigen Angaben enthalten waren, war klar, dass dies die gesuchte Malware ist.
Ich habe die exe-Datei einfach umbenannt und den Aufruf damit unmöglich gemacht. Die Registry-Zweige habe ich exportiert, um sie sofort wiederfinden zu können, aber zunächst nicht verändert.
Dann habe ich den Rechner neu gestartet und siehe da – alles lief normal, d.h. die Oberfläche wurde vollständig geladen, die Daten waren alle noch da und normal zugänglich.
Ich habe das installierte Virenprogramm (TrendMicro Titanium Internet Security) einen Komplettscan durchführen lassen und es hat diese Datei und noch eine Bedrohung unter
C:\Users\MvB\AppData\Local\Temp\Main.class
gefunden und gelöscht.
Schade, dass der Echtzeitschutz den Befall des Rechnern nicht gleich verhindert hat, sondern die Malware erst jetzt beim manuellen Komplettscan gefunden hat, ansonsten hätte mein Kollege erst gar keinen Stress gehabt. Aber egal, jetzt ist er jedenfalls weg und er kann wieder normal damit arbeiten.
Weiß jemand von Euch, wo bzw. wie diese Malware sich verbreitet, d.h. welche Seiten und / oder Aktionen muss er zukünftig meiden, um einen erneuten Befall auszuschließen?
Gruß
Franky
Also, ehrlich gesagt ,ich weis nicht was ein log file ist , ich werde hier schreiben was im verlauf von “ Microsoft Security Essentials “ steht : 1.Adware:JS/Pornpop.A 2. Exploit:JS/Pdfjsc.AC 3.ExploitJS/Blacole.AI 4.ExploitJS/Blacole.A 5.Exploit:Win32/Pdfjsc.RF 6.Exploit:Win32/Pdfjsc.gen!A 7.Exploit:JS/Blacole.BA 8.Exploid:JS/Blacole.AD 9.Exploid:Win32/Pdfjsc.ABG 10.Exploid:JS/Blacole.AR Direkte e_mail leider nicht möglich.Lange zu erklären.
Da steht noch unter Elemente z.b. fur Nr.2 fileCUsersCusromerAppDataLocalMicrosoftWindowsTemporary Internet FilesLowContent.IE5NQ3MRYW7e116[1].pdf
Ist das vielleicht ein log file ?
@ Tom
@ All
Ein Log-File ist eine Berichterstattungsdatei. Sprich dort wird festgehalten WANN WER WO WAS gefunden hat (im Falle eines Scanners).
Die Datei sagt dann z.B. MOR.exe in Verzeichnis …\Appdata\Roaming\Temp beinhaltet Exploit:Win32/Blacole.X
Siehe dazu auch Punkt P14.1 meiner Seite.
Da dies im Endeffekt wie oben beschrieben der Fall ist, ist eine Systemneuinstallation UNBEDINGT notwendig/zu empfehlen, da es sich um die Ausnutzung von mindestens einer/oder mehreren Sicherheitslücken handelt.
Blacole gehört zu den Würmern & auch Rootkits und gefährdet damit die Rechnersicherheit und sämtliche Zugangsarten (Webmailer, OnlineBanking, etc.).
Im Idealfall (für den Angreifer) ist das System schon vollständig in anderer Hand und sämtliche Daten/Zugangsdaten/Kennwörter ebenfalls nicht mehr Sicher.
Dringende Empfehlung: Systemneuinstallation
Weiterhin: ALLE Kennwörter/Zugangsdaten an einem anderen Computer SOFORT abändern!
Bei Frage/Problemen/Anregungen….(Mail)
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
Ich habe mir leider den Trojaner auch eingefangen.ich habe auch alles so versucht wie angegeben durchzuführen.
Dass Problem ist das ich leider unter dem Ordner “ winlogon “ die Datei “ shell “ nicht finde bzw die es nicht gibt.
Bitte um Hilfe.
Gruß
Tekin
@ Tekin Özdemir
Bitte mal genau schauen ob man nicht doch irgendwo „falsch abgebogen“ ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Viele Leute verrennen sich in der Hektik & Eile mal im Pfad und finden daher das gesuchte nicht.
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
@ Simon
Wenn ich den Link oben eingebe, kommt ein Google-Hinweis: Error 404, page not found. Was ist denn das nu schon wieder?
Denny
@ Denny
Das klingt so als wäre noch etwas auf dem System.
Was ergeben denn folgende Tests (wenn diese auch für andere Schädlingsarten gedacht sind/waren):
http://net.cs.uni-bonn.de/fileadmin/user_upload/leder/cfdetector/
UND
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
Welche Tests in welchem Rechnerzustand wurden bislang gemacht?
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Bei mir ist das genauso
@ Steffen
dann probieren Sie mal/dann probiere mal das selbe wie ich es Denny „verordnet“ habe/hatte.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bei mir geht auf einmal wieder alles. Die Bildschirm ist weg….
@ Simon
Bei dem ersten Link sagt er, dass nix gefunden werden kann und bei dem zweiten fehlen irgendwie so zwei Bildchen, da sagt er, ich sei wohl mit einem Conficker (…was fürn Ficker…? *ggg*) infiziert.
Andere Tests wurden bislang noch nicht gemacht. Wie gesagt, Avira kann ich nicht aufrufen, da kommt immer der Google-Sch…
LG Denny
@ Denny
Hört sich ja so an als wäre Conficker auf dem System.
Die Frage ist jetzt eher wie das Teil dahinkommt, denn esist shcon zig Jahre alt und die Sicherheitslücke sollte man schon lange gepatched haben (auf dem eigenen System).
In der Hoffnung das hier die Links von Symantec oder TrendMicro (oder sonst einem Hersteller) aufrufen lassen:
http://www.datenschutzbeauftragter-online.de/conficker-removal-tool/1561/
Sollte sich dort nichts Downloaden & Nutzen lassen wegen Conficker (oder einem baugleichen/ähnlichen Nachfolger), dann bitte per Mail melden.
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Hallo, bitte um Hilfe! Habe seit eben den Bundespolizeitrojaner und bei mir geht einfach garnichts mehr. Mache den Laptop aus und will ihn neu starten, wie von euch beschreiben im Abgesicherten Modus mit Eingabeaufforderung.
Habe ich mehrfach gemacht und wenn ich drauf druecke laed er kurz und spinnt danach total der Laptop und bringt mich zurueck zur Auswahl, er will das ich ihn normal starte und laesst mir garnicht die Chance im Abgesicherten Modus zu starten.
Ich zitiere: Windows konnte leider nicht erfolgreich gestartet werden. Dies kann duch eine vor kurzem erfolgte Hardware- oder Softwareveraenderung verursacht worden sein.
Bitte um Hilfe, bin leider total unfähig, wenn es um den Laptop geht.
Besitze einen Laptop und habe Windows XP. Vielen Dank
@ Mark M.
Liegt die Original Installations-CD vor? Wenn ja, wäre evtl. eine Systemwiederherstellung oder Reperatur machbar.
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Hallo, das weiss ich leider nicht war ein Geschenk der Laptop ist auch schon älter und mir geht es einfach nur um meine Bilder an denen ich so hänge auf meinem Laptop!
Würde gerne den Virus ganz einfach entfernen wie alle hier, aber ich habe das Gefuehl ich bin da einfach zu dumm fuer.
Die Hälfte sagt sie kann noch in den Taskmanager? Fuer mich unmoeglich, direkt wenn ich den PC hochlade kommt die BKA Anzeige, bevor ich irgendwelche Systemsteuerungen öffnen kann. Habe das gelbe Internetkabel auch rausgesteckt, wie einige hier geschrieben haben und versucht mit mit dem Konto GAST anzumelden, auch da kam die BKA Anzeige, habe auch ein anderes Bild als die 12, die da auf der Startseite zu sehen sind. Bei mir steht oben groß Ihr Computer wird gesperrt! unter der Schrift ist ganz groß der Reichsadler und es steht drunter Bundespolizei. Unter drunter UKash und Paysafecard eingabe, und alles in blau-weiss.
Was kann denn passiert sein, dass ich in diesen abgesicherten Bereich nicht komme? Weil ich den Laptop die letzte Male eben nicht herunterfahren konnte, sondern ihn direkt am Knopf ausmachen musste? Daher denkt mein Laptop vll es war ein Stromausfall ?
Bitte helft mir :(
Hallo!
Habe mir den BKA Virus eingefangen.
Ich finde die jashla.exe einfach nicht, Könnt ihr mir helfen?
@ Mayer Markus
Bitte oben in der Anleitung nochmal schauen.
Wenn es jahla.exe nicht mehr ist, dann ist es entweder die explorer.exe (auch mittlerweile recht selten geworden), oder Dateien wie unter Punkt P14 und P14.1 meiner Seite zu finden.
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
@ Birty Bergfeld
Sollte natürlich an Dich/Sie sein nicht an Markus.^^
Wobei es im gesamten trotzdem für alle gilt. :-)
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Ich habe vorschnell den ganzen registry – Eintrag „shell“ gelöscht, was kann ich nun machen ?
@ Mayer Markus
Bitte mal auf meiner Seite Punkt P09 beachten/befolgen.
Bei Fragen/Anregungen/Problemen….(Mail)
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Wer hat denn hier Eset „immer wieder empfohlen“? Dieses (slowakische) Produkt erscheint mir doch irgendwie suspekt. Wenn man dessen „online-check“ durchführen will, muß man sich unter FF irgendwelches Zeug auf die Festplatte laden – wozu dieses Risiko eingehen, und was hat das dann noch mit „online“ zu tun? Angeblich braucht man das unter IE nicht; also habe ich mal den Browser gewechselt, um das auszuprobieren, und siehe da, auch da arbeitet Eset nur, wenn man vorher irgendetwas installiert. Ich denke ja garnicht daran! Dann doch lieber zur „Nachbereitung“ den NPE – der findet zwar auch nichts, aber dann bin ich wenigstens beruhigt, und der läuft wirklich „online“!
@ Holger
Dieses slowakische Produkt ist zufälligerweise ein immer mehr kommender Virenscanner (seit Jahren tendenz steigend) und jedes Jahr auch auf der CeBit vertreten.
(Und nein ich bin kein Abgesandter derer.^^)
Weiterhin empfehlen ihn sämtliche Anti-Trojaner Boards seit Jahren und weiterhin nutze ich ihn selbst seit Jahren (Vollversion Eset NOD32 Antivirus).
Außerdem braucht es eine „gewisse Installation“ um wirklich nahtlos auf Systemdaten schauen zu können.
Das Problem an deinem NPE (whatever das sein soll) könnte sein das er eben nicht tief genug – mit genug Berechtigungen ins System schauen kann und deswegen nichts findet.
Weiterhin lässt sich die Installation des Online-Scanners von Eset nachher sauber und ohne mir bekannte verbleibende Reste aus dem System deinstallieren.
Achso und um nicht nur Worthülsen hier loszulassen…
1. Schaue mal die im Internet bekanntesten globalen Scanner-Tests an, dort scheint Eset in fast jedem (mal abgesehen von Stiftung Warentest, die da geschludert haben – wie im gesamten Test halt).
2. Für mehr Infos zum Online-scanner von Eset setze dich mit dem wirklich guten und meist schnellen deutschen Support auseinander.
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
habe „shell“ Ordner leider gelöscht was jetzt?
Alles schön und gut !
was aber wenn alles gesperrt wird , das man da nicht hin kommt .
nur die meldung durch admin gesperrt .
Mail bitte an angelika.petzke@gmx.de
@ Rainer
WANN wird WO WAS gesperrt?
Und welche Maßnahmen wurden bislang ausprobiert (oder eben nicht)?
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
@Simon
NPE=Norton Power Eraser (von denen selber gewählte Abkürzung), macht angeblich auch einen Rootkit-scan; ich will doch mal hoffen, daß er deshalb nichts findet, weil nichts Schädliches (mehr) bei mir drauf ist ;-)
Das Problem mit der Installation ist halt, daß es sich mit anderen Scannern, die drauf sind, beißen könnte – und ich bin mit MWB-AM mehr als zufrieden, will deshalb nichts riskieren, das deren Funktion beeinträchtigen könnte.
Wie Testergebnisse zustande kommen, weiß ich – gut geschmiert ist halb gewonnen, und zwar überall; Ausnahme vielleicht SWT, die ja bisher noch hauptsächlich aus Steuergeldern finanziert wird, dort regieren einfach nur Inkompetenz und Zufall, aber das Ergebnis bleibt sich oft gleich.
Der Slowakei mißtraue ich in diesem Fall schon deshalb, weil sie an die Ukraine grenzt, und dort kommt der Trojaner doch wohl her, wie jetzt festzustehen scheint?!?
@ Holger
Ich habe enweder eine News verpennt oder noch nicht gelesen – das man zu 100% weiß das die Schädlinge oder reinen Nervtöter aus der Ukraine kommen.
IPs weißen zwar immer wieder dorthin, aber mit ein paar Proxys dazwischen kann ich das auch.^^
Probier mal den Kaspersky TDSS-Killer aus, wenn der wie der NPE nichts bedenkliches findet, sollte man zumindest davon ausegehen können das auch nichts da ist.
Klar muss man bei allen Programmen achtgeben und besonders bei welchen die sich evtl. von da & dort finanzieren lassen.
Nichts destotrotz hat es z.B. G-Data bei mir verschissen (spätestens) als man mitbekam das Sie dem echten Deutschen staatstrojaner die Tür in ihren Signaturen geöffnet hatten.
Eset konnte ich jederzeit auf den Staattrojaner aus 2008 und 2010 loslassen, er meldete jedesmal sofort einen „gewissen“ Schädling.
Auch ansonsten war bislang auf ihn in fast allen Fällen (aus meiner Sicht) mehr Verlass als auf Produkte aus dem Hause Symantec, McAfee, Avira, AVG, TrendMicro und Kaspersky. Um mal ganz von deren Performance abzusehen, aber das ist ein anderes Thema.
Der Vorteil am Eset Online-scanner ist ja das man ihn gescheiterweise im Abgesicherten Moduslaufen lässt, während ein MWB-AM (im übrigen im Regelfall kein ausreichender Virenschützer so alleine) im Idealfall sowieso nicht währenddessen aktiviert ist.
Nach dem Scan geht man dann hin und aktiviert MWB-AM (oder halt sonstige Antiviren/Antimalware-Produkte) wieder und deinstalliert Esets Online-Scanner (praktikabel schon langer Zeit auch in diversen bekannten Anti-Trojanerforen).
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Hm… ist es nicht so, daß die jeweils zuletzt installierte Antiviren-Software die vorherigen plattmacht/überlagert/beeinträchtigt bzw. das tun könnte? Und als letztes habe ich nun mal die MWB-AM drauf – nicht alleine, sondern außerdem noch von früher Kaspersky AV, Avira AV, McAfee SS und eben NPE, wobei ich nicht weiß, ob die’s noch tun oder nur noch als Karteileichen mitschwimmen – ist mir aber auch ziemlich egal, die hatten ja allesamt eh nichts gefunden ;-(
MWB-AM warnt mich jetzt immer, wenn ich die russischen, weißrussischen und ukrainischen Musik-Seiten von früher aufrufe; manchmal meldet er nur, daß er den Zugang zu irgendetwas gesperrt hat, das offenbar von diesen Seiten ausgeht, manchmal blockiert er den Zugang zu den Seiten selber; das scheint mir doch recht zuverlässig zu funktionieren – und halt auch auf die Ukraine pp. als Ursprungsort hinzudeuten. Ich glaube mich zu erinnern, sowohl bei Heise als auch auf einer Seite der Polizei gelesen zu haben, daß der Trojaner von dorther stammt; 100%ig sicher kann man natürlich nie sein – hatte ich auch nicht geschrieben.
Um auf die Eingangsfrage zurückzukommen: Habe mir gerade, dem Rat von Peter Zeller folgend, das neueste c’t geholt (3.letztes Exemplar; gut, daß die Geschäfte bei uns bis 21 Uhr aufhaben ;-), aber nun zögere ich, es ohne Not einzusetzen, eben aus Angst, es könnte MWB-AM beeinträchtigen. Kann jemand dazu etwas aus Erfahrung sagen?
@ Holger
Da man diese Test wie gesagt im Abgesicherten Modus macht und dann den eigentlich installierten Schutz kurzzeitig deaktiviert, blockiert da nichts.
Die Dramatik kommt jetzt aber erst – wenn ich das jetzt richtig verstehe, hast Du/haben Sie 3 Virenscanner + Antimalware-Schutzprogramm installiert?
Zumindest ist somit nicht klar welches Programm überhaupt installiert ist und welches Programm überhaupt noch irgendetwas tut.
Das nichts gefunden wurde kann daher mindestens gleich 2 Ursachen haben:
1. Die Programme blockieren sich gegenseitig
2. Sie sind ggf. infiziert worden
Mein Tipp daher ist egal was Sache ist und ob ich nur was falsch verstanden habe, aber mal in die > Systemsteuerung > Software (Programme und Funktionen) > und dort mal schauen was an Schutzsoftware evtl. noch installiert ist.
Jetzt ALLE außer dem MWB-AM runterschmeißen.
Danach im Windows-Explorer ebenfalls schauen ob Reste übriggeblieben sind.
Wer es kann und sich zutraut, mache das selbe in der Registry (nur für Leute mich Erfahrung und dem nötigen Respekt davor!)
Nun lade man sich ganz schnell ein neues geeignetes Schutzprogramm runter. Dies darf dann aber in diesem Fall keine Antimalware-Suchroutinen besitzen, da es sonst den laufenden MWB-AM stören/blockieren könnte.
Da MWB-AM kein Antivirenprogramm ist, ist diese Vorgehensweise zu sehr zu empfehlen.
Wenn man immer wieder auf eine Seite geht und die soetwas enthält sollte man sich entweder mal Gedanken machen das Management anzuschreiben oder sich überlegen ob diese Seite nicht ggf. irgendwo einen nicht ganz sauberen Hintergrund hat und dies daher kommen könnte.
Herrn Peter Zeller habe ich schon dafür gedankt das er den Hinweis dazu gab das es davon (wie jedes Jahr) nun eine neue Version gibt.
Ansonsten ist dieser Tipp schon seit Beginn meiner Seite, eben auch dort verzeichnet.
Die CD/DVD konnte bislang in allen bisherigen Fällen gefahrlos eingesetzt werden.
Da sie sich VOR dem Windows in einem eigens dafür angepassten Linux lädt, sind KEINE Windowsprogramme aktiv.
Im Zuge dessen wüsste ein Scanner unter Windows nichtmal das er selbst gerade gescannt wird.
Im Idealfall bemerkt höchstens die desinfec’t CD/DVD jetzt noch das sich dort schädliche Komponenten aufhalten.
(Wäre halt dumm gelaufen wenn der eigene Scanner nichts finden konnte weil er selbst manipuliert worden war.^^)
Prinzipbedingt bringt fast kein Scanner mehr etwas (bei vielen der heutigen Schädlinge) wenn er zum Infektionszeitpunkt installiert war.
Denn alleine seine Installation, er muss nicht mal aktiv gewesen sein, reicht aus um seine Scanroutinen so zu manipulieren das er den Schädling/die Schädlinge nicht mehr erkennt und diese fleissig weiterwüten könnten.
Genau daher kommt immer der Rat es mit anderen Methoden und vorallem im Abgesicherten Modus oder halt per Boot-CD/DVD zu probieren.
Denn diese Scanner kann der Virus (speziell die von CD/DVD) nicht gekannt haben bzw. nicht manipulieren (<- CD/DVD Variante)
Kurzgefasst:
+ Gescheites Antiviren/Antimalware/AntiRootkit Programm
+ Immer sauber geupdatetes System
+ Selbst ein bisschen schauen WAS man lädt/installiert
+ Selbst schauen WO man so surft
+ Regelmäßiges Backup des Systems oder mindestens der wichtigsten Daten
= System das sogut wie jeder Attake standhalten sollte.
(Einen 100%-Schutz gibt es leider trotzdem NIE!)
Und falls das falsch ankam, ich wollte weder Dich/Sie noch ihre Vorgehensweise als Grundfalsch darstellen, noch Dich/Sie beleidigen.
Aber ich muss manches einfach versuchen klarzustellen/zu korrigieren/meine Meinung dazu sagen.
@ All
PS.: Da auch Ich nicht der gelehrte Weise vom Berge bin, lass ich mich auch korrigieren/verbessern, dann aber bitte mit begründeten Hinweisen und nicht lapidar mit „Stimmt so net.“ oder so was in der Art.
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
@ Holger
Zu dem was auf Heise und Golem etc. stand…
Dabei handelte es sich um die Aushebung eines Netzwerks von Leuten die im Jahre (glaube) 2009 mit ähnlichen Methoden vorgegangen waren und Geld erpresst hatten.
Die Amis haben mit Koperationen anderer Länder diese Truppe in Unganr oder der Ukraine ausfindig machen können.
Das dies jetzt aber auch lange gedauert hat, zeigt das es auch in dieser Welle seit Mai letzten Jahres noch etwas dauern könnte.^^
Weiterhin wurden glaube mehrere Millionen „eingenommen“ und es müssen nur ein paar Hundertausend „zurückerstatt“ werden.
(Man verzeihe mir wenn ich den exakten Wortlaut und die Zahlen nicht mehr auswendig im Kopf habe…)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
PS: Die Desinfec’t enthält die neuesten Versionen von Avira AV, Bitdefender, Clam AV und Kaspersky AV
@ Holger
Na zum Glück.^^ :-)
Mit freundlichen Grüß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Also, wenn ich das richtig verstanden habe: Erstmal alle Schutzprogramme deinstallieren außer MWB-AM, dann die c’t-Programme im abgesicherten Modus drüberlaufen lassen – und dann Kaspersky & Co wieder neu installieren?!?
Zu den Gedanken über die besuchten Seiten: Es ist ja nicht so, daß ich eine gefährliche Seite gebookmarked hätte und immer wieder vorsätzlich darauf zugriffe – im Gegenteil; was einmal als Bedrohung gemeldet wurde, surfe ich nach Möglichkeit nicht wieder an. Aber es häufen sich halt die (neuen) Fälle mit Ex-SU-Seiten. Eben gerade suchte ich ganz unschuldig nach einer bestimmten Fassung (der von Valdo Cilli gesungenen) der alten italienischen Canzone „Reginella campagnola“ (alle Schutzrechte längst abgelaufen!), da spuckt mir Google die Seite video.vefire.ru aus – kann ich ahnen, daß die infiziert ist? MWB AM hat jedenfalls aufgepaßt ;-)
Top…!!! Bischen Ahnung haben und es funksioniert ..:D meine Tante wird sich freuen :DD
Bei mir hat die Desinfizierung folgendermaßen geklappt:
Bei gesperrtem Desktop einmal kurz den Ein-/Ausschalter drücken.
Danach kann man mit STRG+Alt+ENTF den Taskmanager aufrufen.
Über DATEI und Neuer Task (Ausführen…) lassen sich jetzt (alle) Anwendungen starten.
Ich habe die Systemwiederherstellung aufrufen können, REGEDIT und letztlich über den McAfee Virenscanner das System „sauber“ bekommen
@ Nachteule
Bitte folgendes Posting beachten:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
In der Hilfestellung heißt es das ich mir die „explorer.exe“ downloaden muss wenn der Wert von „Shell“, e“xplorer.exe“ is. Problem dabei is ich kann nichts downloaden. Deswegen stellt sich mir die Frage, ob ich „Shell“ nich einfach nur löschen kann und danach die „explorer.exe“ zieh
@Danny: Wenn dort schon explorer.exe steht, wird sich der Trojaner mglw. in deinem Autostart eingenistet haben; so war es zumindest bei den letzten Trojaner-Varianten.
Schau mal hier.
Das hilft mir leider garnich weiter. Ich bin mit sowas nich vertraut. Also „Shell“ hat den Wert „explorer.exe“. Jetzt soll ich die ersetzen, was ich aber nich kann, daher ich nix downloaden kann. Und das mit dem Auto Start versteh ich nich. Also wie werd ich dieses lästige Ding los? Ps: Entschuldigt wenn ich mich etwas blöd anstell, wie gesagt, ich hab davon absolut keine Ahnung
@ Danny
Schaue Dir/Schauen Sie sich mal auf meiner Seite den Punkt P15 an.
Ich denke das löst das „Rätsel“ des Autostarts auf.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo.. Ich bruache Hilfe :( ich komme uberhaupt nicht mehr klar. ich habe den befehl eingegeben und bin bei der abgesichter modus. hier stehen bei mir nur diese Dateien.. HKEY_CLASSES_ROOT & HKEY_CURRENT USER & HKEY_LOCAL_MACHINES & HKEY_USERS und HKEY_CURRENT_CONFIG. Welches muss ich denn hier klicken und ich finde winlogon nicht. :( Hilfeee
Mein Weg:
In den „abgesicherten Modus mit Netzwerktreibern“ gehen, dort kann ins Internet gegangen werden.
Um den Modus zu erreichen habe ich die Sitzung, durch dauerhaftes Drücken des EIN-/Ausschalters, abgwürgt.
Dann habe ich neu gestartet und mit Tippen auf F12 das Blatt mit unterschiedlichen Aufschaltmodi erhalten.
Dortin den „abgesicherten Modus mit Netzwerktreibern“ gegangen.
Dann unten links Windows Start getippt und in „Programme/Dateien durchsuchen“ gegangen.
Hier ist der Ordner „Autostart“ zu finden und anzutippen.
Jetzt werden einige Programmdateien aufgezeigt, die man in der Regel kennt.
Nur ein hjo…exe (genauer Name von mir nicht aufgeschrieben) lief völlig aus dem Ruder.
Habe die unbekannte EXE angetippt und sofort war das Bild des „Bundespolizeivirus“ auf dem Schirm.
Ergo, diese identifizierte Virus-Exe ist im zweiten Durchgang dann zu löschen.
@ Lothar Rach
Wie so üblich, das Löschen der Datei reicht in vielen Varianten nicht mehr aus.
Daher bitte mal das Posting beachten:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hi, hab da auch n problem ,ich hab kein administrator passwort, die ganzen lösungen funktionieren leider nur als administrator, was kann ich tun?
windows formatieren funktioniert ebenfalls nicht, wird irgendwie vom trojaner blockiert !
bitte um Rat
@ Pibel
Es ist durchaus nicht notwendig immer als Administrator angemeldet zu sein. Zur Beseitigung kann jedes Benutzerkonto verwendet werden.
(Der Schädling nutzt ja auch als „Benutzer“ teilweise auch Administrative Rechte – also kann man das umgekehrt ebenfalls.^^)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich habs jetzt ganz anders gemacht. Ich hab ein neues Konto hinzugefügt, womit ich wieder Zugriff auf alles hatte, hab mir dann Avast runtergeladen, es durchlaufen lassen, und bin das Ding jetzt los. Trotzdem danke für die Hilfe
@ Danny
Welche Maßnahmen wurden genau unternommen um das Teil loszuwerden?
Ich empfehle ansonsten noch dringend folgendes Posting:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Bei weiteren Fragen/Problemen/Anregungen … (Mail)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hi!
Ich brauch ganz dringend hilfe! Wir haben diesen BKA Virus/Trojaner was auch immer auf dem PC, hab mich ganz genau an die schritte gehalten die hier beschrieben sind nur geht nix mehr weiter, bei „shell“ steht schon explorer.exe hinten dran u.auch wenn ich es über start/autostart probier geht nix mehr weiter. Wir haben einen Dell PC läuft es da irgendwie anders?????
Über irgendwelche hilfe währe ich schon dankbar,ich hab nämlich von sowas keine ahnung.
DANKE
@Anna
Eine Möglichkeit: Jetzt an der Tankstelle Heft Nr. 9 der Zeitschrift c’t kaufen. Die enthält eine CD namens Desinfec’t. Selbige ins Laufwerk legen und dann den Computer starten.
Gruß
Peter
Hat die Desinfec’t schon jemand getestet? Ich nehm‘ mir das zwar schon seit dem Erscheinungstermin vor, bin jedoch noch nicht über das Lesen der entsprechenden Ct-Inhalte hinausgekommen.
Hier mal noch ein Link für alle, die gerade nicht wissen worum es geht: http://www.heise.de/download/desinfect.html
@ Daniel Weihmann
Ich habe zwar die aktuelle Ausgabe noch nicht testen können, aus den letzten Jahren kann cih aber sagen das diese CD/DVD’s bislang imemr erfolgreich waren.
Letztes Jahr gab es einen Bug auf dem Medium, den man mit einem Patch und dem neubrennen der CD selbstständig beseitigen konnte. Der Bug selbst trat aber nur bei ganz bestimmten Mainboard-Typen auf.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Anna
Auch bei einem DELL läuft es in der Regel nciht anders. Eventuell gibt es noch einen weiteren Abfragebildschirm, aber mehr sollte es auch nciht sein.
Entweder den Tipp von Herrn Peter Zeller befolgen, oder mal eine Mail an mich mit dem Problem.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Guten Morgen, Simon.
Beiläufig eine Frage: In den Kommentaren hier werden manchmal Links angegeben. Werden die von dir oder H. Weihmann darauf kontrolliert, ob die Links tatsächlich virenfrei sind?
Gruß
Peter
Nein @Peter Zeller! Selbst wenn, dann wäre dies lediglich eine Momentaufnahme der aufgerufenen Inhalte, die Sekunden später wieder völlig anders sein könnten.
@ Peter Zeller
Die Links welche ich hier „verteile“ sind zumindest zum aktuellen Verlinkungszeitpunkt „Virenfrei“.
Das selbst aber kann man schon da nicht 100% sagen, da ja ein Banner der angezeigt wird infiziert sein könnte. (Nur das ich eh keine Werbebanner angezeigt bekomme.^^)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Simon,
betrachte mal den Beitrag vom 12.4.20012 11:33.
In der Namenszeile steht ein langer Satz (Fettdruck, schwarz), in dem vor dem BKA gewarnt wird. Gehe ich mit der Maus auf diese Zeile, dann wird die ganze Zeile unterstrichen, wie bei einem Link. Bei den anderen Beiträgen ist das beim Namen (des Absenders) nicht der Fall.
Gruß, Peter
@ Peter Zeller
Das ist ein sogenannter Backlink und funktioniert so nur, wenn es sich um einen Link zurück zu einer anderne Seite bzw. einem anderem BLOG handelt. (Verbesser mich Daniel W. – falls nötig.^^)
Genaueres dazu, kannszt Du Dir/können Sie sich von Herrn Daniel Weihmann aber dazu erkläutern lassen.
Dies hat mt dem „User“ an und für sich nichts wirklich zu tun (so mein Wissen).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ach so! Ja, dabei handelt es sich um einen Trackback. Typische Verwendung in der Blogwelt …
Sollte da ein Link Probleme machen, dann bitte ich um eine kurze Info. Spam wird hier ausgefiltert, aber es findet natürlich Überprüfung der Quellcodes o.ä. statt.
@ Simon
Also Simon, ich kann auch Deinen letzten angebotenen Link nicht aufrufen, auch da kommt das „Google-Reparaturmännchen“ mit dem Hinweis „Error 404 – Page not found“. Ich habe fast den Verdacht, dass das bei den meisten Seiten so ist, auf denen es um das Entfernen des/eines Trojaners geht… Vielleicht haben die Säcke etwas mit hinein gebaut, dass das Aufrufen von Links, bei denen es um das Entfernen geht, verhindert, damit man den Trojaner nicht so ohne weiteres los wird.
LG Denny
@ Denny
Gehe bitte mal folgendes durch:
Start -> Alle Programme -> Internet Explorer -> Extras -> Internetoptionen -> [Reiter] Verbindungen -> LAN-Einstellungen -> Falls dort etwas drin steht notieren und dann rauslöschen. Mit OK bestätigen.
Danach
Start -> Systemsteuerung -> Netzwerkverbindungen (Netzwerk und Freigabecenter) -> Netzwerkadapater -> LAN-Berbindung (bei WLan natürlich den WLan-Adapter wählen!) -> [Rechte Maustaste] Eigenschaften -> Internetprotokoll Version 4 (TCP/IP v4) auswählen -> Eigenschaften -> [Reiter] Allgemein -> Soltle dort etwas drin stehen – notieren und danach löschen. Mit OK bestätigen.
Der Internet Explorer hat eventuell einen Proxy eingetragen, der dort nicht sein sollte.
Im Netzwerkadapter steht eventuell ein DNS-server drin der dort nicht stehen sollte.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
ich habe es glücklicherweise geschafft eine Systemwiederherstellung zu schaffen. Nun ist meine Frage, ob das schon ausreicht den Virus zu entfernen. Bin gerade dabei nochmal mit Antivir den Computer zu scannen!
Lg Malte
@ Malte
Nein reicht zumeist nicht mehr aus, siehe dazu:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Leute habs grade entfernt !!! aber mein vorteil war dabei das ich ein zweites account hatte (Admin) und da habe ich mein avg antivir scannen lassen und siehe da alles wie beim alten … LG Adem
@ Adem
Bitte ebenfalls noch dieses Posting hier dirngend anschauen:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail
hallo…auch bei mir ist heute dieser virus aufgetaucht. mein problem ist, dass ich ab der registrierungsseite nicht mehr weiterkomme. bei mir gibts dann zwar den ordner HKEY_LOCAL_MACHINE(der heißt aber nur so) und´dann find ich nichts vonwegen Winlogon oder Shell…brauche dringend hilde. bin ein totaler nullblicker und brauch die dateien auf meinem PC morgen gaaaanz dringend. danke
@ Julia
Wenn es so schnell gehen muss, dann emlde Dich so schnell Du es ncoh heute kannst bei mir.
(Da auch ich irgendwann ja mal ins Bettchen muss.^^)
Im Idealfall können wir das Problem in wenigen Minuten zumindest erst mal „beseitigen“ und ggf. auch komplett entfernen (was mehr als ein paar Minuten allerdings dauern wird/würde.)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Julia
Habs vergessen…Mail
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo zusammen, ich Dreh noch durch bei diesem sch…. Virus. Ich hatte vor einiger Zeit erst den GEMA Virus und nun habe ich den bundespolizei Virus bei dem GEMA Virus konnte ich einfach Systemreparieren machen und danach ging wieder alles da konnte ich sogar noch auf meinem Gast Account mich einloogen und per Internet herausfinden , wie der virus zurntfernen geht. aber bei dem Virus sieht alles anders aus , den pc kann ich weder im abgesicherten Modus hochfahren noch normal . 2 mal hatte ich es geschafft aber nur weil ich den pc auf einen Monat alten Status zurück gesetzt habe. Habe dann Virus Scan von microsoft Security essential oder wie das heißt durch laufen lassen und an die 8 Trojaner gefunden. Die wurden dann alle entfernt habe danach meinen Rechner neugestartet bzw. Versucht ging nicht!! Der pc musste auch Update installieren ob es dadurch nicht ging keine Ahnung . Ich muss dazu sagen es war mal ein WindowsXp Rechner aber damals wurde ne falsche Formatierung gemacht bzw. Es wurde Vista drauf gespielt und wenn Updates Laden dauert es dann ewig aber der Rechner ging sonst immer einwandfrei. Das prob ist ich habe noch viele Daten auf dem Rechner die ich noch brauche konnte die aber nicht auf nen USB speichern da ich keinen bis heute hatte .
@ Yvonne
Mal abgesehen davon das nach einer Systemwiederherstellung/Reparatur die meisten Schädling eben nicht weg sind sondern nur „im Hintergrund“, ist das jetzt natürlich eine schöne Bescherung. :-/
Es gibt mehrere Möglichkeiten:
http://www.heise.de/download/desinfect.html
oder
Punkt P10 meiner Seite
oder
eine Mail an mich.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Kleine Korrektur des Links bei der Adresse Punkt P10
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Ich hatte noch etwas vergessen zu erwähnen. Wo man den pc ja eine Systemwiederhetstellung tätigen kann gibt es ja weiter unten ein Feld mit Eingabe Aufforderung , dort habe ich es so gemacht wie beschreiben . Dort stand cmd.exe / start cmd.exe habe es dann durch Explorer.exe ersetzt . Habe dann in der suche cmd.exe eingegeben und es wurde etwas gefunden in \HKEY_LOCAL_MACHINE\SR-Current-software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{aff735eb-cdf9-4894-aa69-3e3131128618} da steht hinter AppName dann Typ (REG_SZ) cmd.exe soll ich das löschen ? Oder mit etwas anderen ersetzen?
@ Yvonne
In der Registry erstmal gar nichts löschen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Die cmd.exe ist auch noch bei \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
Name: AlternateShell Typ: REG_SZ Wert: cmd.exe kann ich die Sachen löschen und mit was anderen ersetzten ? Also nur den Wert . Bitte um Rückantwort
@ Yvonne
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html?replytocom=8762#respond
+
Der Wert ist vollkommen korrekt und in Ordnung so.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
so bin nun bei shell angekommen habe draufgeklickt nun steht da drine explorer.de das solte ich nun auch eingeben wieder ok drücken so und nun ????? verstehe nicht wie ich weiter kommen soll schreibt mir pls auf meine email bin nun bei shell angekommen und wie soll es weiter gehen ????