Beitrag wurde zuletzt am 27.06.2020 aktualisiert

Bundespolizei Trojaner entfernen

Bundespolizei Virus / Trojaner entfernen

„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.

Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!

Schritt für Schritt Anleitung

Seiteninhalte

Neue Varianten vom BKA-Virus (Bundestrojaner) im Umlauf! Alle Informationen + Videos zum Entfernen der Schadsoftware im GVU-Trojaner 2013 Beitrag, falls diese Tipps nicht zum Ziel – der vollständigen Wiederherstellung des Rechners – führen sollten

Die ersten Schritte bei Problemen dieser Art

Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!

Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.

Anleitung zum Löschen des Bundespolizei Virus

Bundespolizei Virus – Bildschirm eines infizierten Windows PCs

Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.

Windows im abgesicherten Modus starten

Windows startet nun in einer Art Minimal-Konfiguration.
Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
Den Befehl regedit eingeben und [Enter] drücken
Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
[OK] klicken und das Registry-Fenster schließen [x].

Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.

Windows-Registry – Pfad zur jashla.exe

Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.

Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).

Den Rechner jetzt ganz normal neu starten

Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.

Rechner auf Schadsoftware prüfen

Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.

Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.

Was heißt, der Spuk ist „erst mal“ vorbei?

Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.

Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!

Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …

Ich konnte euch mit den Informationen rund um das Thema Bundespolizei Trojaner entfernen weiter helfen? Dann bewerte diesen Beitrag ganz kurz und/oder hinterlasse einen Kommentar.

Bewertung für Bundespolizei Trojaner entfernen:
Sehr schlecht, mir fehlen die Worte

4,79 von 5 1 bei bislang 34 abgegebenen Stimmen.

97 Kommentare zu "Bundespolizei Trojaner entfernen"

Leon | 18. April 2012 um 09:15 | Antworten
email leonsammt15@yahoo.de
Leon | 18. April 2012 um 10:13 | Antworten
also habe alles so gemacht wie es da stand dann wollte ich auf meinen pc die jashla.exe datei finden nicht gefunden leider alles probiert -.- brauche hilfe!!!! weill ich nichts gefunden habe ausgemacht neustart und scho wieder das problem hat die datei einen anderen namen finde sie einfach net ????? pls melden leonsammet15@yahoo.de
- Simon | 21. April 2012 um 16:06 | Antworten
  @ Leon
  Melde Dich/Melden Sie sich mal mit diesem Problem bei mir – per Mail.
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
Pibel | 18. April 2012 um 11:55 | Antworten
Hi, hatte schon mal geschrieben aber keine gescheite antwort erhalten, hab jetzt doch mein admin passwort , jedoch öffnet sich bei mir trotzdem kein dos fenster oder (cmd Box)
so wie beschrieben und auch in den meisten youtube videos dargestellt !
wie kann man denn die cmd box noch öffnen ?
5 mal shift funktioniert auch nicht !
Leider habe ich so eine alte tastatur wo keine windows taste drauf ist, ich hatte irgendwo gelesen das man durch drücken der windows taste und der r taste irgend etwas bewirken kann…
ich weiss nicht mehr weiter !
formatieren geht wie schon gesagt auch nicht, zumindest windows 7 !
bitte dringend um andere Lösungen !!!
danke
- Daniel Weihmann | 18. April 2012 um 19:56 | Antworten
  Auf [Start] klicken – [Ausführen] auswählen und dann [cmd] eingeben – Enter.
  - Pibel | 19. April 2012 um 11:45 | Antworten
    ja aber der desktop ist doch gesperrt wie soll ich da bitte auf start drücken, wenn es so leicht wäre ;(
    habe es gerade an nem funktionsfähigen pc probiert, geht alles mit start ,ausführen…
    aber bei mir kann es ja nicht gehen da alles gesperrt ist, nicht nur der task manager !
    gibts da keine andere eingabeaufforderrung für die dos box ?
    - Peter Zeller | 19. April 2012 um 15:50 |
      @Pibel
      Ich hatte auch in einigen Foren solche Antworten bekommen; anscheinend lesen viele nicht richtig. Bei mir war der Rechner komplett gesperrt und es war nix mit ‚Auf Ausführen klicken‘ usf.
      Also: Starten – intermittierend F8 drücken, dadurch müßtest du in den Auswahlbildschirm kommen, wo du Eingabeaufforderung wählen kannst. IdR sieht das Ergebnis danach dann so aus: C:\Dokumente und Einstellungen\ %Username%\_
      Hier gibst du dann: ’start msconfig‘ ein, natürlich ohne die Hochkommata.
      Und wenn du soweit bist, dann melde dich nochmal.
      PS.: Hat man einen Virus, dann braucht man unbedingt einen virusfreien zweiten Comp.
      Gruß
      Peter
- Simon | 21. April 2012 um 16:05 | Antworten
  @ Pibel
  Melde Dich/Melden Sie sich mal mit diesem Problem bei mir – per Mail.
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
Dave | 18. April 2012 um 22:05 | Antworten
Hi, ich habe das selbe problem aber bei mir ist es so ich kann nicht auf die start taste, mein desktop ist schwarz und das bild von der BKA ist weg. Es öffnet sich nur ein Fenster bei mir. Was soll ich machen?
- Simon | 21. April 2012 um 16:04 | Antworten
  @ Dave
  Melde Dich/Melden Sie sich mal mit diesem Problem bei mir – per Mail.
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
günther | 19. April 2012 um 12:44 | Antworten
Zunächst mal vielen Dank für deine Tipps.
Es gibt aber noch einen anderen Weg den Trojaner aus zu schalten.
1: Rechner vom Netzwerk trennen
2: Rechner starten und F8 drücken
3 Rechner im Abgesicherten Modus mit Einzelanforderungen starten.
4: Nach dem ich mich dann angemeldet habe, öffnete sich ein schwarzes Eingabefenster.
5: ich habe dann den Befehl „rstrui.exe“ eingetragen.
6: Es öffnet sich ein Fenster mit Wiederherstellungspunkten. Ich habe mir einen Punkt ausgesucht der mit Sicherheit vor der Infizierung mit dem Trojaner lag. Rechner runterfahren und hochfahren fertig. Die Datei jashla.exe habe ich dann auch nicht mehr gefunden. Ich habe gelernt und werde mir ein volwertiges vollwertiges Virenschutzprogramm kaufen.
- Simon | 21. April 2012 um 16:02 | Antworten
  @ günther
  Der Tip an sich ist gut, leider aber funktioniert er nicht in jedem Fall und außerdem ist nach einer Systemwiederherstellung der Käse noch lang nicht unbedingt gegessen.
  Siehe dazu:
  https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
Peter Zeller | 19. April 2012 um 15:58 | Antworten
@Daniel Weihmann
In die Empfehlungen oben im Text könnte man auch „MalwareBytes Antimalware“ aufnehmen, herunterzuladen bei chip.de als 14-Tage-Testversion.
Peter
- Daniel Weihmann | 19. April 2012 um 20:26 | Antworten
  Habe ich, wie auch bereits bei dem neuen Artikel zum BKA-Trojaner, nun auch in diesem Beitrag mit hinzugefügt. Danke für den Hinweis.
  - Peter Zeller | 21. April 2012 um 10:14 | Antworten
    Guten Morgen, Daniel.
    Ich möchte noch anmerken, daß, so meine Erfahrung auf zwei Rechnern, Avira und MBAM sich gegenseitig beschädigen, wenn sie gleichzeitig aktiv sind. Man sollte also immer einen von beiden deaktivieren. Bei mir ist Avira der Standard – MBAM soll nur im Notfall aktiviert werden.
    Gruß, Peter
    - Simon | 21. April 2012 um 15:59 |
      @ Peter Zeller
      @ All
      Solange ein Scan mit Tools wie MalwareBytes Anti-Malware, Kaspersky Scannern oder diversen Online-Scannern wie dem von Eset gemacht wird, ist es immer dringend zum empfehlen…
      …diese im Abgesicherten Modus zu machen
      ….immer den Hauptscanner (welcher hoffentlich installiert war/ist), zu deaktivieren (sofern er im Abgesichterten Modus überhaupt funktionieren würde).
      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)
      Mail me
manuel | 22. April 2012 um 12:47 | Antworten
CO IST GANZ EINFACH!!!!!
http://www.youtube.com/watch?v=M4xl3JhBCkc&feature=related
- Simon | 22. April 2012 um 20:47 | Antworten
  @ Manuel
  Mal abgesehen davon, das dies wohl der jüngster User auf Youtube war/ist der so ein Tutorial gefilmt hat (zumindest von dem was ich kenne), gilt wie immer bei dieser Art:
  1. Es funktioniert lange nicht in jeder Variante
  2. Nicht unter jeder Windows-Version genauso
  3. Nach einer Systemwiederherstellung ist das System in 95% eben noch nicht wieder sauber.^^
  Siehe:
  https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
- Daniel Weihmann | 22. April 2012 um 22:36 | Antworten
  Ich habe es nicht geschafft, mir das Video bis zum Ende anzusehen. Sorry, aber es war einfach zu schlecht, auch wenn es inhaltlich möglicherweise alle relevanten Punkte widerspiegelt. Ich weiß schon, warum ich keine Videos / Podcast mache … die wären sicherlich unwesentlich besser.
alexandra l. | 22. April 2012 um 20:06 | Antworten
Hi. Brauche Hilfe.. Habe versehentlich die shell datei einfach so gelöscht.. Was nun? ?
- Simon | 22. April 2012 um 20:49 | Antworten
  @ alexandra L.
  Siehe dazu Punkt P09 meiner Seite.
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
alexandra l. | 22. April 2012 um 23:10 | Antworten
@ Simon
Danke, werde es gleich morgen versuchen.
Gn8
Gerd | 23. April 2012 um 16:45 | Antworten
Das einzige was bei mir funtioniert hat war die Windows Systemwiederherstellung zu einem früheren Zeitpunkt
Holger | 24. April 2012 um 13:56 | Antworten
Da hier kürzlich wiederholt die Frage gestellt wurde, wer schon mal die famose CD „Desinfec’t 2012“ ausprobiert hat: Ich hab’s versucht, und es tut sich garnichts, weder automatisch, noch finde ich auf der CD irgendetwas, um sie zum Start zu bewegen – ich wüßte auch garnicht, was da starten sollte, denn keines der angegebenen Programme (Avira, Bitdefender, ClamAV, Kaspersky) befindet sich auf der CD, jedenfalls nicht unter diesen Namen.
Fazit: schöner Reinfall!
- Daniel Weihmann | 24. April 2012 um 15:30 | Antworten
  Da ist ein Linux drauf! Der Rechner wird direkt von der CD gebootet.
- Simon | 24. April 2012 um 15:49 | Antworten
  @ Holger
  Es handelt sich heirbei um eine Boot-CD mit einem Ubuntu 11 System.
  Ich habe gerade mal die CD/DVD hier in der Firma eingelegt und von ihr den Rechner gestartet.
  einwandfreier Start, einwandfreie Programmstarts.
  Sogar im Ordner „Expert Tools“ ein extra Button mit einem Programm zur Entfernung des BKA/GVU-Nervtöters.
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
Julian | 24. April 2012 um 20:18 | Antworten
Hat mir Wunderbar geholfen.
Daumen hoch :).
Holger | 25. April 2012 um 02:15 | Antworten
@Simon
Soll das ein Witz sein? Da bootet garnichts, egal ob man die CD vor oder nach dem Hochfahren einlegt. Die Ubuntu-Datei hat 0 KB und datiert vom 13.07.2011. Einen Ordner „Expert Tools“ gibt es nicht. Vielleicht haben Abonnenten eine andere CD bekommen; was der Normalkäufer bekommen hat, ist jedenfalls wertlos. Anders ausgedrückt: ‚zigtausendfacher Betrug (ich weiß nicht genau, wie hoch die Auflage ist, aber ich werde künftig sicher nichts mehr zu ihrer Erhöhung beitragen).
- Simon | 25. April 2012 um 07:22 | Antworten
  @ Holger
  Ja die Datei basiert auf diesem Datum, was aber daran liegt das die eingesetzte Liux-Version vo diesem Datum stammt.
  Wie man an der Ordnerstruktur sehen kann, gibt es dort aber auch weit aktueller Daten (siehe Bild).
  Den Ordner „Expert Tools“ gibt es erst unter der Ubuntu-Oberfläche zu sehen.
  Es handelt sich hier bei weitem um keinen Betrug und schon gar nicht tausendfach.
  Im schlimmsten Fall ist das CD/DVD-Laufwerk nciht in der Lage die CD/DVD zu lesen, oder alternativ hat man eine CD/DVD erwischt die nciht sauber gebrannt wurde im Presswerk.
  Entsprechend könnte man völlig unkompliziert einen Austauisch vordern (per Mail) und sollte i.d.R. binnen ein paar Tagen kostenfrei eine neue Ausgabe der CD/DVD erhalten.
  (Zumindest hatte ich damit noch die Probleme.)
  Abonnenten erhalten übrigens exakt die selbe Ausgabe.
  Weiterhin – die nach dem Booten bzw.- währenddessen ausgeführte Datei ist dann die *.iso-Datei im Ordner desinfect. Diese ISO-Datei beinhaltet erst ale die Programme/Tools die so „benötigt“ werden.
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
Nicole | 25. April 2012 um 11:18 | Antworten
Hallo,
wir haben hier auch das Problem mit diesem Trojaner!?
Aber leider reagiert unser Rechner überhaupt nicht mehr.
Es gibt keine Chance irgendeinen Knopf zu drücken…. sobald der Rechner angemacht wird erscheint die Bundespolizei?
HILFEEE!!!!!
- Simon | 25. April 2012 um 18:08 | Antworten
  @ Nicole
  wenn das Teil sofort nach dem einschalten auftauchen würde (also wirklich direkt danach), dann müsste sich das Teil als Virus in das BIOS festgesetzt haben.
  Da mir keine Variante bekannt wäre, die das nutzt, kommt bestimmt noch etwas davor.
  Damit ist dann somit auch [F8]-Tastengehämmer möglich. :-)
  Oder halt die CD/DVD der Zeitschrift c’t vom letzten Monat mit der aktuellen „desinfec’t 2012“ drauf zum booten/starten des Rechners.
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
Patrick W:. | 26. April 2012 um 22:49 | Antworten
Ich habe ein problem ich hab den Trojaner nach ihrer Anleitung bekämpft und erst ist weg. Aber jetzt kann ich son standart programme wie word oder meine webcamprogramm funkioniert auch nicht mehr ich kann es nicht merh öffnen da kommt dann immer : Microsoft word starter 2010 kann nicht geöffnet werden, versuchen sie es erneut, oder reparieren sie das Produkt in der Systemsteuerung.
Würde mich freuen wenn mir jemand weiter helfen könnte.
Holger | 26. April 2012 um 23:23 | Antworten
@Simon
Pardon, aber warum liest das Laufwerk dann alle anderen Dateien, bloß nicht die famose ubunto-Datei? Und was sollte es da lesen, wenn es 0 KB hat?
- Peter Zeller | 28. April 2012 um 17:46 | Antworten
  @Holger
  Versuche einfach folgendes:
  Starte den Comp, öffne das CD-Laufwerk.
  Fahre den Comp herunter bei geöffnetem Lauferk. Danach lege die Desinfect-CD ins LAUFWERK; SCHIEBE JENES VORSICHTIG ZU. Starte den Comp erneut: Jetzt müßte das CD-Laufwerk rumpeln und Desinfect starten. Wenn nicht, dann mußt du ins BIOS und die Startreihenfolge ändern! Und dann das selbe nochmal!
  Peter
  - Simon | 28. April 2012 um 20:26 | Antworten
    @ Holger
    @ Peter Zeller
    Alternativ gibt es bei fast jedem rEchner auch ne festgelegte Taste wie [F12} welche beim Systemstart gedrückt ein Bootmenü aufruft, so das man dort das CD/DVD-Laufwerk auswählen kann.
    Dann braucht man nicht mit [F2] oder [ENTF] in das BIOS gehen und dort ggf. etwas verstellen was man gar nicht will/braucht.
    Mit freundlichem Gruß,
    Simon
    (Fachinformatiker für Systemintegration)
    Mail me
- Simon | 28. April 2012 um 20:30 | Antworten
  @ Holger
  Die ubuntu-Datei mit 0kb ist nur eine „Bezeichnung“ des Betriebssystems was darauf läft. Sonst hat diese Datei wenig „Sinn“ und vorallem auch keinen Inhalt.
  Gebootet wird über den Ordner „isolinux“ (und wenn ich mich nicht täusche) dort über die boot.cat sowie den dortigen weiteren Dateien.
  Dort wird dann auf das desinfec’t *.ISO-File verlinkt, welches beim Start dann „entpackt“ wird und geladen werden kann (vorausgesetzt der ausgelagerte RAM-Speicher kann groß genug dimensioniert werden).
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
Johanna | 28. April 2012 um 19:58 | Antworten
Hallo,ähm ich habe folgendes Problem,bei mir steht nichts mit Bundespolizei,sonder das wegen einem Virus halt Windows angehalten werden muss.Nun habe ich diese Anleitung hier trozdem gemacht,weil ich mal schätze das es dasselbe ist und ich leider Gottes nichts anderes gefunden habe.
Bloß wenn ich bei Schritt 7. nach Winlogon suche finde ich nichts,also finde ich auch Shell nicht.
Danke schon mal. ;-))
- Johanna | 28. April 2012 um 20:06 | Antworten
  Sorry wegen den Fehler,aber es ist echt wichtig!
- Simon | 28. April 2012 um 20:23 | Antworten
  @ Johanna
  Vergewissere Dich nochmal das Du auch den richtigen Pfad gesucht hast. Es kommt oftmals vor das man mal „falsch abgegoben“ ist.
  Wichtig ist es übrigens bei den meisten Personen.^^
  Wenn es Dir so dringend ist, dann melde Dich bei mir per Mail, da bekommt man das meist schneller geklärt als hier.
  Die Lösung, falls abweichend, kann man ja auch später noch hier präsentieren.
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
Jean | 29. April 2012 um 17:30 | Antworten
Hallo,
ich habe ein problem bei dem 2. Schritt… wenn ich Windows im abgesichterm modus starten möchte, startet der pc neu und ich ich muss wieder in sekunden abschnitten [F8] drücken..
Kann mir jemand helfen?
Danke im Vorraus,
Jean
- Simon | 29. April 2012 um 19:12 | Antworten
  @ Jean
  Bitte mal weiter oben bzw. auf der vorherigen Seite schauen…dort wird mehrmal die CD/DVD „desinfec’t 2012“ der Zeitschrift c’t erwähnt.
  Diese kam letzten Monat auf den Markt.
  Mal am Zeitungskiosk schauen oder im Internet bei der c’t.
  Ansonsten einfach mal per Mail melden.
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
- Daniel Weihmann | 29. April 2012 um 19:40 | Antworten
  Schau mal, ob dir diese Informationen weiter helfen.
  - Jean | 3. Mai 2012 um 15:41 | Antworten
    hi nochmal.
    ich habe wieder ein problem mit schritt 8… ich habe shell gefunden, wenn ich da drauf klicke, öffnet sich ein neues fenster, wo ich dann in 2 zeilen was eingeben kann… obere steht schon shell und in der unteren explorer.exe… was soll ich machen?
    - Jean | 3. Mai 2012 um 23:25 |
      benötige dringend hilfe :x meine facharbeit muss irgendwie feritg werden :o
    - Simon | 3. Mai 2012 um 23:49 |
      @ Jean
      Schreib mir/Schreiben Sie mir mal eine Mail mit dem Problem.
      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)
    - Jean | 11. Mai 2012 um 22:52 |
      hi nochmal.
      Ich habe versucht dir eine email zu schreiben, jedoch bekomme ich keine antwort, wäre es auch möglich, dass wir über das Forum in Kontackt bleiben?
    - Simon | 11. Mai 2012 um 23:05 |
      @ Jean
      Sofern dein Nachname mit V. beginnt,m habe ich Dienstag eine Mail um 14:55 Uhr bekommen und zu folgendem Zeitpunkt geantwortet:
      Di 08.05.2012 15:25
      Ist mein Mail, warum auch immer, eventuell direkt im SPAM-Ordner gelandet?
      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)
      Mail me
Nicci | 29. April 2012 um 18:08 | Antworten
komme bei den schritt den datei aufn stick etc zu übertrage nicht weiter. wie mah ich das im abgescihtern modus. bitte um hilfe versuche es seit tagen doch bekomme es net hin!!!
- Simon | 29. April 2012 um 19:14 | Antworten
  @ Nicci
  In welchem der Abgesicherten Modus wird es denn ausprobiert?
  Was gibt es für Meldungen?
  Was geht denn überhaupt (nicht)?
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
Nicci | 29. April 2012 um 19:06 | Antworten
würde mich freuen wenn du dich per mail bei mir meldest und wir das am telefon bereden können Q.Q
manoidelac@googlemail.com melde dich bitte!
- Simon | 29. April 2012 um 19:13 | Antworten
  @ Nicci
  Wer ist mit „melde Dich“ gemeint?
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
Nicci | 29. April 2012 um 19:31 | Antworten
irgendwer der admin bzw die zuständigen für diesen blog Q.Q
also bis zu dem punkt winlogen im abgesichtern modus komme ich nur bei mir gibt es dort keine datei die auf exe endet. weiss also nicht den dateinamen des virus kann ihnsomit also aucvh nicht auf meinen stick schieben wenn ich wüsste wie.
Nicci | 29. April 2012 um 20:08 | Antworten
ihr merkt ich habe kp von pcs und verstehe echt nur bahnhof brauche drinend hilfe T,T
Sven | 29. April 2012 um 21:03 | Antworten
Hallo Ich kann auf mein Pc nix auf deutsch lesen wenn ich auf F8 drücke nur englisch…..super ich kotze echt ab….könnt ihr mir das übersetzen??
- Simon | 29. April 2012 um 21:23 | Antworten
  @ Sven
  Ich will ja nicht beleidigend sein/wirken, aber dafür sollte Schulenglisch der 3/4/5 Klasse ausreichen: Deutscher Screenshot(Googlesuche genutzt)
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
borni | 1. Mai 2012 um 14:20 | Antworten
Hallo,
borni | 1. Mai 2012 um 14:26 | Antworten
ich hatte/ habe diesen bundespolizei virus auch. natürlich gerade dann, wenn ich meine facharbeit abgeben muss. ^^ hab erst mal panisch ne freundin angerufen und aus und angeschaltet. die hat mir dann auch vom sicheren modus erzählt (keine ahnung wie das gehen soll). dann wieder angemacht und der bildschirm wieder dicht mit diesem müll. dann wieder aus gemacht und wieder an. auf systemwiederherstellung gedrückt und plötzlich geht es wieder. hab dann erst mal hektisch meine datei gerettet und jetzt such ich nach diesem blöden virus. ich find aber keine datei und meine frage ist jetzt…ist es möglich, dass er weg ist? ^^ ( wäre ja schön, denn es funktioniert ja gerade alles :D )
- Simon | 1. Mai 2012 um 22:47 | Antworten
  @ borni
  Bei den heutigen Varianten ist nach einer Systemwiederherstellung das System in 95% noch nicht wieder sauber.^^
  Siehe unteranderem:
  https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
borni | 1. Mai 2012 um 14:28 | Antworten
ach ja… bitte schnelle antwort :) und vielen dank
- Simon | 1. Mai 2012 um 22:51 | Antworten
  @ borni
  Schneller ging nicht meinerseits, war Freunden unterwegs….musste man an so einem Tag einfach machen.^^
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
  - borni | 1. Mai 2012 um 23:33 | Antworten
    jetzt weiß ich immer noch nichts und der tag ist gleich vorbei :D , aber versteh ich ja, bei dem sonnigen tag sitz nur ich doof am läppi und schreib an meiner facharbeit und lach mir nen virus an…
    fast schon witzig ^^
    - Simon | 1. Mai 2012 um 23:46 |
      @ borni
      Was soll ich denn noch alles schreiben und anbieten?
      Mit freundlichem Gruß,
      Simon
      (Fachinformatiker für Systemintegration)
      Mail me
boernie1987 | 1. Mai 2012 um 15:03 | Antworten
hallo.
habe auch vorhin diesen bundespolizei virus bekommen. und habe auch versucht es wieder weg zu bekommen, aber ich bekomme es nicht hin
- Simon | 1. Mai 2012 um 22:42 | Antworten
  @ boernie1987
  In welchem der Abgesicherten Modus wird es denn ausprobiert?
  Was gibt es für Meldungen?
  Was geht denn überhaupt (nicht)?
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
borni | 1. Mai 2012 um 16:43 | Antworten
ok, meiner ist wohl ein „BKA-Virus“
http://www.spiegel.de/netzwelt/web/0,1518,809770,00.html
weiter gekommen bin ich aber noch nicht ^^
- Simon | 1. Mai 2012 um 22:45 | Antworten
  @ bornie
  In welchem der Abgesicherten Modus wird es denn ausprobiert?
  Was gibt es für Meldungen?
  Was geht denn überhaupt (nicht)?
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
Holger | 1. Mai 2012 um 19:57 | Antworten
@Jean:
Laß es lieber bleiben mit der CD von ct…
@Simon:
Im Ordner isolinux befinden sich 5 Dateien: Ein .jpg-Bild, eine Audiodatei, die stumm bleibt, das boot-Symbol, auf das bei Anklicken die Meldung erscheint: „Diese Datei ist für folgende Verwendung ungültig: Sicherheitskatalog“ sowie 3 weitere Dateien, die sich ebenfalls nicht öffnen lassen.
Es läßt sich natürlich nicht sagen, ob der subjektive Tatbestand des Betrugs erfüllt ist, oder ob da einfach nur geschlampt wurde, aber der objektive Tatbestand ist es jedenfalls. Ich buche das ab unter „Fehler/schlechte Erfahrung, aus der man bekanntlich am meisten lernt“ und werde mich auch hüten, die CD bei ct zu reklamieren. (Umzutausch im Laden geht nicht, die sind ausverkauft – haben sich also genug Dumme gefunden.) Womöglich würden die mir aus Bosheit eine extra infizierte schicken; und mal ganz nüchtern betrachtet: 3 der 4 Programme darauf hatte ich schon früher, und sie haben angesichts des Trojaners jämmerlich versagt; am Ende würden die mir deren Neuauflagen noch MWB-AV beeinträchtigen, das bisher absolut zuverlässig funktioniert! Ich nehme das als Wink des Schicksals mit dem Zaunpfahl und sage einfach: Nie wieder ct, fertig.
- Simon | 1. Mai 2012 um 22:39 | Antworten
  @ Jean
  Nutze die genannte CD/DVD, oder gehe zum Fachhändler, oder komme zu mir/ich zu Dir – wenn Du in der Umgebung von FfM wohnen solltest, oder schreibe mir eine Mail.
  Zumindest funktionieren alles beschriebenen Wege in den meisten Fälle völlig klaglos.
  @ Holger
  Sorry, ich habe keine Ahnung was Sie da machen.
  Auf meiner CD/DVD befinden sich in diesem Ordner folgende Dateien:
  + vesamenu.c32 = Anzeige des Bootmenüs auf jedem belieben Monitor mit beliebiger Grafikkarte
  + boot.cat = Beinhaltet den Katalog an Bootvorgangsmöglichkeiten
  + isolinux.bin = Sollte das Bootmenü und die Umgebung in ein Startendes Linux darstellen
  + isolinux.cfg = Konfigurationsdatei was wnnn wie wo als zu Startende Objekte zur Verfügung steht
  (Auszug: label vesa
  menu label Desinfec’t 2012 starten (Standard-VESA-Grafiktreiber)
  kernel /casper/vmlinuz)
  + memtest = Weit verbreitetes anerkanntes Arbeitsspeicher-Testtool
  + splash.jpg = Bildschirmhintergrund bzw. Startmotiv beim Booten von CD/DVD
  (Anmerkung:
  Es ist übrigens, wie zu sehen, KEINE Sounddatei vorhanden.)
  Programm-Inhalte der CD/DVD sind:
  Desinfec’t 2012
  (bootet von DVD)
  Inklusive 1-Jahres-Lizenz für:
  – Avira AntiVir
  – Bitdefender
  – ClamAV
  – Kaspersky Anti-Virus
  Weitere enthaltene Software:
  – chntpw Windows Password & Registry Editor
  – dc3dd & ddrescue Image Creator
  – GParted Partition Manager
  – PhotoRec File Recovery
  …und weitere.
  Schwierigkeiten mit der ordentlichen Verwendung diese CD/DVD wie auch den Vorgängern hatte ich bislang weder selbst noch in der Firma wo wir durchaus immer mal wieder auf diese schöne Lösung zurückgreifen.
  Interessant wird es immer dann, wenn der oder die Scanner erkennen das der vorher installierte Scanner selbst infiziert wurde und daher Daten in Quarantäne schieben oder löschen (was gemacht werden soll ist aber immer einstellbar!).
  Wenn das der Fall ist, könnte ein ehemals installierter Scanner durchaus zur Funktionsunfähigkeit gebracht werden.
  Selbes gilt auch für Systemdaten aus z.B. C:\Windows\system32 und dem damit evtl. defekten Windows.
  Das jemand versucht die Daten von der CD/DVD unter Windows zu öffnen und sich dann dermaßen auskotzt das nichts geht, zeugt aus meiner Sicht einfach nur von Unfähigkeit/Unwissenheit des Anwenders!
  (Falls das beleidigend rüberkommt – Sorry, aber es ist halt die Wahrheit!
  Selbst absoluten „Ich versteh nichts von Computern“ Leuten ist schon damit geholfen worden OHNE das es vorher oder nachher Probleme gab!).
  Solltest Du/Sollten Sie in der Umgebung von FfM wohnen zeige ich Ihnen gerne mal wie man es richtig machen würde.^^
  Die c’t hat sich damit weder einem Tatbestand des Betrugs ausgeeliefert, noch würde Sie Ihnen wegen falscher Handhabung eine defekte/infizierte CD/DVD zukommen lassen.
  Die c’t ist nicht umsonst eine der renommiertesten PC-Zeitschriften seit Jahren am Markt.
  Aber auch die c’t kann nichts gegen User/Userinnen machen, die nicht mal die Grundlage des Bootens einer CD/DVD beherrschen zu scheinen.
  Und selbst wenn Sie/wenn Du das mit anderen Medien können, selbst dann sagt keiner das nicht evtl. das Laufwerk einfach schlicht Schwierigkeiten damit hat das aufgebrannte Image zu lesen. (Auch wenn das in der heutigen Zeit so gut wie nie mehr vorkommen sollte.)
  Sie können /Du kannst es gerne als Lehre für Dich/Sie ziehen, ich würde und werde bis auf weiteres aber allen anderen Leuten weiterhin dazu raten – wenn alles andere fehlschlagen sollte.
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
migo | 2. Mai 2012 um 00:20 | Antworten
Falls euer Problem hartnäckiger sein sollte, hier eine Seite in der die Lösung zum entfernen des Virus und entschlüsseln der locked Dateien auf einfacher Art und Weise gelöst wird.
Viel Spaß !
P.S. Vergesst den abgesicherten Modus etc. Nichts hatte bis dato geholfen..
migo | 2. Mai 2012 um 00:25 | Antworten
Ach ja die Webseite lautet:
- Simon | 2. Mai 2012 um 00:51 | Antworten
  @ migo
  Danke, besonders der Bereich für die locked-Files wird mit zunehmendem Zeitrahmen immer wichtiger (so meine Vermutung – leider).
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
Monika | 2. Mai 2012 um 00:28 | Antworten
ich habe nichts unter shell gefunden. auch sonst wurde ich nicht fündig. Avira hat 3 Trojaner gefunden, ich dann gelöscht habe.
Nur sind alle meine Dateien und Ordner gesperrt. Alle Favoriten verschwunden.
Ich bin zwar Administrator auf dem Laptop, habe aber kein Passwort. Meinte Tochter hatte den Laptop auch mal eine Zeit benutzt, als Mitbenutzer mit Passwort. Ihre Dateien/Ordner sind nicht gesperrt.
Hat jemand einen Tipp für mich? Vielen Dank, da einige Sachen wichtig sind und auch nicht mehr beschafft werden können.
LG
Monika
- Simon | 2. Mai 2012 um 00:49 | Antworten
  @ Monika
  In wie fern gesperrt?
  Steht vor den Dateien ein locked- ?
  Ansonsten mal eine Mail an mich…
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
Monika | 2. Mai 2012 um 00:58 | Antworten
meine Anfrage hat sich genau mit dem Link von miga überschnitten. Genau das ist es was ich meine und was ich gesucht habe.
Avira Ransom File Unlocker kann angeblich die Dateien wieder entsperren. Ich habe es mir runtergeladen und bin dabei es auszuprobieren. sieht aufs erste schon mal gut aus. Obs dann tatsächlich funktioniert hat, lass ich euch noch wissen. der link ist wie oben bei miga gesehen
Monika | 2. Mai 2012 um 01:10 | Antworten
MERCI MIGO!!!!
du hast mich gerettet !!! Danke für den Link, denn genau diese Mail habe ich erhalten, wie in dem Link beschrieben.
Simon, das ist eine neue Ableitung und jetzt noch fieser, da es die Dateien und Ordner sperrt. Aber mit dem Avira Ransom File Unlocker konnte ich alles wieder entsperren. Wie es geht steht unter Schritt 3 sh. Link
Danke für Eure Hilfe!
glg, Monika
- Simon | 2. Mai 2012 um 01:36 | Antworten
  @ Monika
  Neu leider eher nicht – erste Meldungen dazu gab es im Netz für Europa schon vor mehr als einer Woche.
  Eine erste Betroffene hatte ich vor rund einer Woche – damals gab s aber nur eine Lösung von F-Secure, welche für 2 von 5 Variante geholfen hatte.
  Die Möglichkeit von Avira versorgt nun wohl „alle“ Varianten – zumindest wohl alle bis dato bekannten.
  Mal schauen was da noch so auf (mich/) und zukommt.
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
migo | 2. Mai 2012 um 13:22 | Antworten
Vielen dank für das nette feedback. ich hoffe mein blog hat ein wenig geholfen!
Gruss
migo
Frank | 3. Mai 2012 um 04:51 | Antworten
Hier gibt es Hilfe bei der Entfernung:
http://www.trojaner-board.de/114224-avira-ransom-file-unlocker.html
und http://www.trojaner-board.de/114115-wiederherstellung-verschluesselten-dateien-rechnung-exe-realtecdriver-exe-schadsoftware-7.html#post820437
Hans | 3. Mai 2012 um 15:37 | Antworten
Hi,
Ich habe ein problem, undzwar komme ich bei schritt 8 nicht weiter… ich habe Shell gefunden und auch angeklickt… was muss ich jetzt machen? da kommt dann noch ein fenster, wo man in 2 Zeilen was eingeben kann, unten steht explorer.exe und oben halt shell.. was muss ich machen?
vielen danke im Vorraus
- Simon | 3. Mai 2012 um 23:48 | Antworten
  @ Hans
  Schreib mir/Schreiben Sie mir mal eine Mail mit dem Problem.
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
Anil.djuwi | 4. Mai 2012 um 06:54 | Antworten
Hallo ich hab ein paar beweisse gesichert Video Fotos Adressen vorallem schritt für Schritt durch welche Internetadressen ich zum Virus von Akm gekommen bin wie Und wo ich mich infiziert habe. 50€verlangen diese arschkinder hätte ich FAST bezahlt doch dann hab ich auf mein iPhone gegooglt „50€ Computer gesperrt mahnun“
Und bin dann hier gelandet gottseidank..
Ich weiß nicht wie ich das schaffe doch ich MUSS es ist nicht mein Laptop habe nicht einmal Facebook Wie soll ich das
Schaffen den Virus zu löschen sovielmal Schritte am besten eins nach den anderen hab Angst das ich was falsch mache, übersehe OMG HILFE
Steensen | 4. Mai 2012 um 15:15 | Antworten
Hallo und herzlichen Dank für die Anleitung hier und auf Simons Seite. Ich habe mir auch einen Virus und bin ihm so auf die schliche gekommen:
Rechner runterfahren neu gestartet und mit F8 in den abgesicherten Modus mit Eingabeaufforderung gewechselt. Dann die shell gesucht und den wert explorer.exe gefunden. Mit msconfig den systemstart überprüft und einen Eintrag gefunden der unbekannt war:
Microsoft(R) Windows (R) 2000 Operating System
Befehl:
c:\windows\system32\rundll32.exe c:\user\steensen\appdata\local\temp\hnszs0,H9922
Ort:
c:\User\steensen\Appdata\roaming\microsoft\Windows\start menu\ programs\startup
den hab ich deaktiviert und den rechner neu gestartet. der rechner läuft jetzt seit einer halben Stunde im normalen modus ist aber nicht mit dem Internet verbunden. Wie soll ich weiter vorgehen? Wie es scheint kann ich ganz normal mit dem Rechner Arbeiten, möchte jetzt aber gerne den Mist runter haben.
- Peter Zeller | 4. Mai 2012 um 17:26 | Antworten
  @steensen
  1. Arbeitsdaten sichern
  2. aus dem Internet MalwareBytes AntiMalware laden, laufen lassen, das kann dauern.
  3. Arbeitsdaten auf CD mit einer Antivirensoftware überprüfen, dann zurückspielen.
  4. Eine aktuelle Antivirensoftware laden, zB Antivir, danach Malwarebytes deaktivieren.
  5. Antivir regelmäßig aktualisieren.
  Peter
Günes | 6. Mai 2012 um 12:24 | Antworten
Hi ! Ich hatte den Trojaner auch vor ein paar Tagen und ich hab auch Tipps für diejenigen , bei denen GAR NCIHTS HILFT .. Ich kann zwar nicht versichern das es bei allen klappt aber so hab ich ihn wegbekommen: Habe den PC im Abgesichterten Modus gestartet (F8 drücken beim Hochfahren) und dort einen VirenScan gemacht mit dem DE Cleaner von Kaspersky den ich auf eine CD vorher raufgemacht hatte. Dann hab ich nochmal nene VirenScan mit meinem ganz normalen anti-virus scan gemacht (Avira). Da habe ich schon mal 3 Viruse löschen können.. Danach Habe ich im Abgesicherten ein neues Benutzerkonto erstellt, aber kein Standart, sondern Administratorkonto. Dann hab ich den PC neu gestartet und hab mich bei dem neuen Konto angemeldet. Glücklicherweise war da der Virus nicht, also ich konnte dort alles ganz normnal benutzen! Deswegen jhab ich sofort da wieder einen VirenScan mit dem von Kapersky gemacht (hat sehr lange gedauert 13 Std aber nach 3 Stunden waren eig alle Viren gefunden und gelöscht aber ich habs trotzdem weiter laufen lassen, man weiß ja nie^^) Danach war mein PC wieder ganz normal :) Ich weiß jetzt natürlich nciht ob ich noch iwie ein Teil des Trojaners besitze aber ich wollte ihn nicht formatieren .. :P Vll klappt es auch bei euch! Achja später habe ich dann noch das Viren- betroffene“ Konto gelöscht, aber die Daten gesichert (das kann man auswählen wenn man ein Konto löscht) Jap das wars ! :)
Günes | 6. Mai 2012 um 13:03 | Antworten
ich habs hier auch nochmal beschreiben … http://sunnytutorials.blogspot.de/
wenn euch gar nichts nichts hilft, dann geht da rauf ;)
Günes | 6. Mai 2012 um 13:05 | Antworten
sry : http://sunnytutorials.blogspot.de/2012/05/how-to-bundespolizei-trojaner.html
so ist es richtig !
micha | 7. Mai 2012 um 12:03 | Antworten
moin,
colle seite, tolle tips. mich hat es auch erwischt, aber ich mache öfters ein image !
irre, wie viele fallen auf so einen blödsinn noch rein ?
lg micha
Joe Dow | 7. Mai 2012 um 13:51 | Antworten
Hey,
ich habe das Problem, dass ich mich mit Informatik und so kaum auskenne.
Also, der Trojaner ist vor einer Woche aufgetaucht. Ich habe den Pc, nachdem der Bildschirm nicht weg gegangen ist, sofort neu gestartet und der Bildschirm war weg. Am nchsten Morgen bei erneutem Start, war der Bildschirm wieder da und ich habe nochmal neu gestartet, so war der Bildschirm wieder weg.
Seit dem ist der Trojaner, oder zumindest der Bildschirm nicht mehr aufgetaucht, aber jetzt kommt das Problem. Ich habe zur Sicherheit trotzdem diese Seite aufgesucht, um sicher zu gehen, dass der nicht noch auf meinem PC lauert und so habe ich alles hier befolgt und kam an eienr Stelle nicht weiter. Ich habe Win 7 und mit F8 öffnet sich beim Start ja das Menü zum Sicheren Modus. Allerdings macht mein PC dann nur so ein nervenden Piep Ton. Das hat für mich die bedeutung, dass der Trojaner den Modus verhindert. Also gehe ich davon aus, dass das der letzte Überrest von dem teil ist. Jetzt frage ich mich nur, wie ich den Trojaner auch vom „ungesicherten“ Modus löschen kann. Denn sofern ich das verstanden habe, war das problem ja bei den meisten, dass der PC nicht mehr hochfährt und dann der Bildschirm mit der Geldforderung auftaucht, der bei mir ja nicht mehr auftaucht.
Also: Müsste ich nicht auch vom normalen Modus aus den Trojaner löschen können? Ich will nämlich nicht unbedingt rebooten, wie es auf den Links gesagt wird, denn ich brauche den gesicherten Modus ja im Normalgebrauch nicht. Gibt es Alternativen? Ich habe es schon mit Virenprogrammen, die auf anderen Seiten empfohlen wurden, probiert, aber da wurden nur ein Paar Java-Trojaner gefunden. Ist der Trojaner überhaupt noch auf dem PC, wenn der ansonsten Normal funktioniert?
Ich weiß, viele fragen, aber ich will sicher gehen und hoffe auf eure Hilfe. Im voraus Vielen Dank dafür und bitte könnt ihr das, wenn ihr mir antowrtet einfach formulieren, immerhin bin ich nicht so der Pro-grammierer. :-P
PS: Meine Suche auf dem PC funktioniert nicht so recht, also kann ich keine Dateipfade extra suchen.
Grüße
Joe Dow
nomi | 8. Mai 2012 um 11:57 | Antworten
HALLO Leute,
es geht auch etwas einfacher, zumindest auf Windows7…
Da die Meldung den entsprechendem User zugeteilt ist, kann ein anderer User normal Arbeiten, zumindest solang der Virus Ihn nicht befallen hat.
Auch ist es möglich einen neuen User zu erstellen, wenn man nur einen hat.
Dazu beim starten des Rechners, noch vor dem Windows Ladevorgang die F8 Taste mehrmals drücken, dann kommt ein erweitertes Menü…hier wählt ihr den Abgesicherten Modus aus..OHNE Eingabeaufforderung oder Netzwerktreiber…
Wenn das Windows jetzt geladen wird, sieht es etwas ungewohnt aus!
Ihr müsst jetzt unter Systemsteuerung, Benutzerkonten auf Benutzerkonten verwalten klicken.
Das geht aber nur mit Admin Rechten!!
Einen neuen Benutzer erstellen, mit diesem einloggen ( Also neu-starten ) windows normal starten.
Die Meldung sollte nicht mehr erscheinen.
Auch hilft es den Benutzernamen des befallenen zu ändern und dann als der einloggen!!
Auf jeden Fall eine gründliche Viren Suche starten, es ist ein Trojaner. Dieser wird von SecurityEssentials, AntiVir und AVG erkannt.
Meistens bekommt man den nur drauf, wenn man diese Virendefinition nicht Aktuell hält und Windows Updates nicht durchführt!!!!
Helmut Jaeckel | 8. Mai 2012 um 15:10 | Antworten
Gestern abend , 8.5.2012, Päng…. Bundeskriminalamt. Beim Durchlesen bereits diverse Fehler gfunden. Dann der Hammer: als ob das BKA 100 Euronen verlangen würde. Wer das glaubt ist selbst schuld. Kann ja nur ein Virus/Trojaner sein. Man kann aber nichts anklicken. Vieles versucht. Nichts hat gewirkt. An einem Laptop Hilfe im Net gesucht. Tausende Hinweise , die alle nichts nutzen. Dann die Idee: Wenn man ein zweites Konto (Anwender mit Administratorrechten) auf dem PC hat, kann man über diesen Namen ganz normal starten., Neuste Updates von Avira(kostenlose Version) geladen. Über Nacht Vollprüfung der C Platte. 1 Virus gefunden. Der war’s aber nicht. Neuste Version/Update von SpyBot geladen. Prüfung C Platte durchlaufen lassen. 4 Trojaner gefunden.und gleich bearbeiten (löschen) lassen. Dann nochmal Antivir (wieder 1 Virus) auch gleich vom PC entfernt. PC Neustart auf dem Hauptanwenderkonto. Plopppp……..PC läuft wieder einwandfrei. Ich habe dann noch so einzelne im Internet angegebene mögliche Schaddateien mit dem WinCommander und Speedcommander gesucht, aber nichts mehr verdächtiges gefunden. Aber ich glaube, eine hundertprozentige Sicherhait, dass alles weg ist, gibt es nicht. Es gibt bestimmt noch irgendwo Reste von dieser Seuche , die ihre Dateinamen ja des öfteren ändert. Vielleicht hilft euch diese Variante der Schädlingsbekämpfung weiter, denn man muss selbst eigentlich nicht viel tun.
Gruß an alle, die genauso entsetzt waren wie ich, wenn man an wichtige Unterlagen und Daten nicht mehr herankommt. Hoffentlich klappts bei euch auch. Das Gute an dem Virus: es gehen keine Daten verloren.
Julius | 8. Mai 2012 um 21:41 | Antworten
ich finde die jashla.exe Datei nicht und kann sie nicht löschen
- Simon | 8. Mai 2012 um 21:48 | Antworten
  @ Julius
  Mal eine Mail mit möglichst genauer Beschreibung an mich senden…(Mail).
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me
Marco | 12. Mai 2012 um 11:36 | Antworten
Hi,
ich hab scheinbar auch den Virus gehabt, konnte Ihn aber löschen…bis jetzt.
Bei Start ging ganz kurz im Taskmanager diese Datei an:
566F0A133C0C09AED5B5.exe
Ich kann nichts über die im Netzt finden und hab die im Temp Ordner gefunden und gelösch.
Kennt eine die Datei und hat die etwas mit dem Virus zu tun?
Danke Marco
- Daniel Weihmann | 13. Mai 2012 um 10:22 | Antworten
  Schau mal hier! Simon hat eine ganze Palette bisheriger Dateinamen bereits veröffentlicht. Ich denke dort kannst du mehr darüber erfahren.
Limari | 13. Mai 2012 um 05:55 | Antworten
Hallo,
ich habe fast alles so gemacht wie beschrieben, Schrit für Schritt..
Aber, jetzt kommts..
Ich habe shell im register gelöscht :-( trotdem irgendwie weiter gamacht.. Windows im BIGstyle hatte ich auch vor mir nur den jashla.exe nicht gefunden.
Aufjeden fall bin ich irgendwie auf Systemwiederherstellen gelangt .. keine Ahnung wie.. hab einen Zeitpunkt ausgewählt und wiederherstellen lassen..
Sooo… freue ich mich zu früh oder hat das was gebracht.
p.s bei mir hies es nicht Bundespolizei sondern Windowsverschlüsselungs-trojaner infiziert aber mit den gleichen aufforderungen mit ukash und paysafecard…
- Daniel Weihmann | 13. Mai 2012 um 10:05 | Antworten
  Auf jeden Fall solltets du nun einen intensiven Systemcheck durchführen. Schau mal hier, dort stehen ein paar Empfehlungen.
- Simon | 13. Mai 2012 um 12:48 | Antworten
  @ Limari
  Nach einer Systemwiederherstellung ist der Nervtöter/Schädling leider noch lang nicht unbedingt „vergessen“.
  Siehe dazu:
  https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
  Mit freundlichem Gruß,
  Simon
  (Fachinformatiker für Systemintegration)
  Mail me