Beitrag wurde zuletzt am aktualisiert

Bundespolizei Trojaner entfernen

Bundespolizei Virus / Trojaner entfernen

„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.

Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!

Schritt für Schritt Anleitung


Neue Varianten vom BKA-Virus (Bundestrojaner) im Umlauf! Alle Informationen + Videos zum Entfernen der Schadsoftware im GVU-Trojaner 2013 Beitrag, falls diese Tipps nicht zum Ziel – der vollständigen Wiederherstellung des Rechners – führen sollten

Die ersten Schritte bei Problemen dieser Art

Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!

  1. Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
  2. Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
  3. Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
  4. Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
  5. Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
  6. Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.

Anleitung zum Löschen des Bundespolizei Virus

Bundespolizei Virus - Bildschirm eines infizierten Windows PCs

Bundespolizei Virus – Bildschirm eines infizierten Windows PCs

  1. Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
  2. Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten

Windows im abgesicherten Modus starten

  1. Windows startet nun in einer Art Minimal-Konfiguration.
  2. Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
  3. Den Befehl regedit eingeben und [Enter] drücken
  4. Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
  5. Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
  6. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
  7. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
  8. [OK] klicken und das Registry-Fenster schließen [x].

Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.

Windows-Registry - Pfad zur jashla.exe

Windows-Registry – Pfad zur jashla.exe

Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.

Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).

Den Rechner jetzt ganz normal neu starten

Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.

Rechner auf Schadsoftware prüfen

Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus
, das hier gratis herunter geladen werden kann.

Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.


Was heißt, der Spuk ist „erst mal“ vorbei?

Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.

Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!

Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …

93 Kommentare zu "Bundespolizei Trojaner entfernen"

  1. Hi,
    ich habe mir den Virus vor ein paar Tagen auch eingefangen.
    Im abgesicherten Modus konnten Avast und Malwarebytes nichts finden. Andere beschriebene Methoden haben auch nicht funktioniert.
    Schliesslich habe ich von meinem Laptop aus eine Kaspersky Win Unlock CD erstellt. Aktualisiert und gescannt:
    „C:\Programmdata\udiskfspq.exe als Trojaner erkannt und gelöscht.“

  2. ich frag nochmal nach ob jemandd ne idee zu einer frage von gestern hat da die total ignoriert worden ist… danke!

    • @ Barbara

      Von ignoriert kann man eher weniger sprechen – eher davon, das alle Hilfe hier freiwillig ist und z.B. einfach niemand Zeit hat(e) sich damit zu befassen.
      Alternativ stehen in 3.500 Posts schon genug anregungen zur Hilfe.

      Und/oder…schreib mir eine Mail mit der Problembeschreibung. Dann sollte das alles ggf. schneller/einfacher gehen.^^
      (Das Angebot dazu steht übrigens auch in jedem dritten Posting – sozusagen.
      Wird aber auch immer wieder „ignoriert“.^^)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  3. Abgesicherter Modus geht NICHT immer!
    Es gibt einen ganz simplen und 100%igen Weg, den ich bisher schon 7mal bei ganz verschiedenen Typen dieses Bauernfänger-Trojaners eingesetzt habe.

    Ladet euch die Kaspersky Rescue CD herunter. Wer keinen Zweitrechner hat, muss zu einem Freund gehen. Mit der gebrannten CD nun den Rechner starten (evtl. muss man im BIOS die Bootreihenfolge auf CD setzen).

    Nachdem der Kaspersky gestartet hat, wählt man sich dort im Dateimanager das C Laufwerk, geht auf „Suchen“ und stellt den aktuellen Datum-Zeitraum, als der Trojaner auftrat – 2 Tage ein. Als Suchname “ *.exe „. Nun tauchen einige wenige EXE-Dateien auf. Eine davon ist der Trojaner.

    Sind es mehrere Dateien, öffnet man den Kaspersky Registry Editor und gibt die Dateinamen unter SUCHEN ein. Diejenige, die unter „RUN“ gefunden wird, ist es. Eintrag löschen / Datei löschen – Fertig!

  4. Das Problem bei der neuen Variante des BKA-Ukash-Trojaners ist nicht die Entfernung. Wenn man im abgesichterten Modus über msconfig den Autostart deaktiviert und anschließend ein Anti-Viren Rescue Programm (z.B. von Avira) von CD ausführt wird der Virus gefunden und entfernt. In der aktuellen Variante verändert der Trojaner die Windows Policies für den Netzwerkadapter, den Firewall, das Wartungscenter und Windows-Update. Teilweise werden die dazugehörigen Dienste aus der Registry gelöscht.

    • @ Burckhardt

      Auch da gibt es natürlich verschiedene Varianten.
      Allerdings muss ich sagen das mir diese Veränderungen erst einmal bei einem Fake-BKA/GEMA/GVU/Bundespolizei Teil untergekommen sind. Der Rest waren Fake-Antivirus Programme die solche Dinge mitbrachten.

      Entsprechend ist danach eine Änderung der Dienste mit Hilfe von Command und PowerShell meist leider nicht mehr sauber möglich.
      Eine Neuinstallation ist damit sozusagen nahezu vorprogrammiert.

      Zum Glück aber halten sich diese Schäden aktuell sehr in Grenzen und die „normalen“ Varianten sind vermehrt im Umlauf.
      allerdings muss man dazu sagen, das auch diese nun immer öfter mit Spyware oder Rootkits/Backdoors daherkommen. :-(

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  5. Bei punk 8: bei dir steht da auch explorer.exe oder ?
    Oder wenn alles so aussieht wie bei dir kann man da nach deinen punken weiter machen denn ich bin mir nicht so sicher (ich meine dein bild vom abgesichten modus)

    MfG

    • Leider sind die Trojaner-Entwickler nicht so nett und entwickeln ihren „Virus“ nicht weiter. Deshalb kommt es ständig zu neuen Varianten.

      Massig Fragen zum BKA-Trojaner sind hier bereits veröffentlicht und beantwortet. Schau mal ob dir das weiter hilft.
      Ansonsten bitte hier in den Kommentaren noch einmal melden.

    • @ Yawn

      Schaue doch bitte mal auf meiner Seite unter Punkt P01 und folgende nach dem Problem.
      Sollte es damit nicht zu lösen sein, sende mir eine Mail mit der Fehlerbeschreibung zu.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  6. Moin,

    dank Deiner und Simons Anleitung habe ich meinen BKA Virus im AppData/Roaming Ordner gefunden. Er hatte die Endung Sifuk/exe. Habe ihn erst im Autostart deaktiviert und anschließend im Roaming gelöscht. Es scheint zu funktionieren…..auch für mich als Leihe ;o)

    Grüße

    • Edit: Leider funktioniert mein i-explorer jetzt nicht mehr. Er sagt mir: Die Webseite kann nicht angezeigt werden.
      Obwohl eine Verbing zum inet besteht un der firefox läuft.

      • @ Marcel

        Sende mir mal eine Mail mit der Fehlerbeschreibung zu.
        Ich vermute mal das der Starteintrag nicht an allen stellen sauber auf „explorer.exe“ sitzt, sondern auf einer nun gelöschten/unschädlich gemachten Datei.
        Das würde zur Folge haben das der „Debugger-Wert“ somit nicht ausgeführt werden kann.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  7. Entschuldige,aber bei mir steht schon explorer.exe da.Ich kann keinen virus pfad löschen,da keiner vorhanden ist.Was soll ich jetzt machen?

    • @ Nico

      Sende mir mal eine Mail mit der Fehlerbeschreibung zu.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Hallo Simon,
        ich habe auch leider das Bundespolizeivirus am Laptop und will es schnellstens loswerden.
        Hab die “10 Schritte zum Entfernen” befolgt, aber es hat nicht geklappt, weil in der Registry schon “Explorer.exe” stand.
        Jetzt habe ich weiter im abgesichertem Modus –>explorer.exe im Autostart nachgeschaut, finde dort aber nix verdächtiges außer BTTray, HP Photosmart Premier-Schnellstart, Logitech Desktop Manager, Adobe Gamma Loader, Webshots, WinZip Quick Pick, OpenOffice.org 3.0, VPN Client, OneNote 2007 Screen Clipper and Launcher und die Dropbox…
        Soll ich jetzt den Kaspersky Rescue Disk starten?? Was soll ich als nächstes tun, will keine Fehler machen..
        Danke !!!
        Daniela

  8. Liebe FreundInnen!
    Leider kann ich unter dem angegebenen Pfad für Windows 7 :
    HKEY_CURRENT_USER………\Winlogon keinen Eintrag „shell“ finden.
    Gibt es da ein guten Tipp?
    MfG Reinhold

    • @ Reinhold

      Bitte prüfen sie/bitte prüfe nochmal den genauen Pfad.
      In aller Regel hat man sich nur ein klein wenig „verrannt“.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  9. Es gibt viele neue Versionen von dem Ding, daher ist das schwierig, habe auch erst versucht den nach dieser Anleitung zu finden – ging aber nicht, weil der Pfad so geblieben ist – habe mich einfach mal an die hier gewandt und die sind ganz hilfreich
    http://www.facebook.com/EDVFortress

  10. habe das gleiche problem mit dem Ukash Trojaner gehabt und ein einfache lösung gefunden

    siehe mal : http://www.trojaner-board.de/106845-anleitung-kaspersky-windowsunlocker.html

    • @ Christian

      Die Lösung ist wie man alleine auf dieser Seite mit Postings sieht, nicht neu.
      Das sie durchaus funktioniert ist natürlich ebenso verständlich – ABER sie funktioniert nicht bei jedem Betriebssystem mit den unterschiedlichen Trojanervarianten richtig.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  11. Gisela Corsten | 26. Juli 2012 um 16:16 | Antworten

    hallo, mir ist genau das gestern passiert… habe eine Mail mit Anhang aufgemacht, weil ich angeblich Schulden habe… und schwups war der Rechner runter und es kam die Tafel von

    von der Bundesoilzei… Bundesamt für Sicherheit…
    usw

    habe die Polizei informiert und werde Anzeige erstatten und nun versuchen genau nach den Hinweisen Punkt für Punkt meinen Rechner zu entsäubern !Danke !!!!!
    Gisela Corsten

    • @ Gisela

      Sollte es noch Probleme und/oder fragen geben. Melde dich/melden sie sich einfach hier wieder oder per Mail bei mir.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  12. Hallo,habe ebenfalls den Virus gefangen. Bei mir kommt nach dem abgesicherten dings…Benutzerdaten eingeben.. Was soll ich tun? Mfg Tim

    • @ hall timothy

      Was für ein „Abgesicherter Modus“ wurde gewählt?
      Was genau steht dort?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  13. Morgen. Also habe das mit dem Shell habe gemacht aber das mit jeshla habe ich nicht gefunden. Hab den Rechner wieder hochgefahren und mein spam Schutz ding hat gesagt er hat was abgefangen.

    • @ hall timothy

      Was für eine Software ist es?
      Nur AntiSPAM kann es somit nciht sein, wäre nicht logisch, da es sich in der Regel um Viren/Trojaner handelt.

      Und noch wichtiger WAS wurde WO erkannt?
      Ich glaube nämlich nicht, das damit der Käs wirklich gegessen ist.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  14. Servus. Ich weis nur das es ein älteres Windows ist.das einzige was kommt beim hochfahren ist,Dokument könnte nicht gefunden werden.muß ich wohl noch mal ran.

  15. Huhu,
    riesen Problem, diese 10 Schritte hast du wirklich gut beschrieben,ich habe nur das problem,dass sich mein PC nicht im ABGESICHERTEN MODUS hochfahren lässt. Und sobald ich WINDOWS starten klicke,sperrt der Virus mein PC. Wie muss ich vorgehen? Bitte HILFT mir :(

    • @ Neila

      Geht gar keiner der Abgesicherten Modusarten?
      Gibt es die Möglichkeit eine CD/DVD zu brennen?
      Habt ihr einen Zeitungskiosk in der Gegend oder einen weiteren Rechner mit Internet?
      Wohnst Du/Wohnen Sie ggf. in der Umgebung von Frankfurt am Main?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  16. Hallo Ihr da draußen im www,
    hab mir das Ding auch eingefangen.
    Ohne Netzanschluss ist der Computer allerdings gelaufen.
    Folgendes hab ich unternommen:
    1. „10 Schritte zum Entfernen“
    hat nicht geklappt, weil in der Registry schon „Explorer.exe“ stand. (Siehe Punkt 8)
    2. Kaspersky Rescue Disc 10 downgeloaded (dazu braucht’s einen 2. Rechner) Zwei mal durchlaufen lassen (braucht viel Zeit!) leider ohne Erfolg.
    3.Zufällig hab ich dann in den Autostart reingeschaut und siehe da, es erscheint folgender Begriff „ctfmon“. Der Versuch diesen aus dem Autostart zu löschen. geht nicht im normalen Windowsbetrieb.
    Aber im „Abgesicherten Modus mit Eingabeaufforderung“ “ explorer.exe“ eingeben und im abgesicherten Windows-Modus Autostart aufrufen und diese fiese Datei löschen hat geklappt.
    Toi,toi toi. Vieleicht nutzt’s dem ein oder anderen auch.
    Liebe Grüße an alle da draußen
    Fabbe

    • @ Fabbe

      Soweit ist es schon bekannt. Aber danke für den Bericht.

      Dafür aber für die und alle anderen…
      Im Regelfall werden sich noch 2-5 weitere Dateien im System finden lassen, die allesamt mit dem Schädling zu tun haben.
      Diese Daten müssen am besten erstmal gesucht/gefunden/umbenannt werden.

      Dann wie schon mehrfach angeführt Scans machen lassen und sehen was man sich da eigentlich eingefangen hat(te). Denn ganz trivial sind die Teile mittlerweile nciht mehr unbedingt (Stiichwort: Rootkit/BackDoor).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  17. So gings bei mir:

    1. Windows im abgesicherten Modus mit Netzwerktreibern hochfahren
    2. malwarebytes anti-malware runterladen.
    3. Programm instalieren und scannen lassen.
    4. Die gefundene Files vom Programm löschen lassen und runterfahren
    5. Profit

    • @ Thomas

      Für Sie/für Dich gilt das selbe wie für Fabbe.
      Und wer hat davon (dein/Ihr Punkt 5) Profitiert und in wie fern?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  18. Hi Simon
    Mein Avira Free hat beim Scan 2 Trojaner gemeldet :TR / Spy.Banker.jnr.2 ,in Quarantäne
    verbannt von wo ich diese gelöscht habe. Die Info Meldung von Avira: Die Dateien befinden sich im Ordner C:/Windows/system 32. Die Einträge da heißen : Joupdt.jpg und appconf 32.exe.Meine Frage:Sind diese Schädlinge noch im System trotz Löschung aus der Quarantäne? Wenn ja kann ich diese aus der Datei heraus einfach löschen ? Und sind das Reste vom BKA Trojaner den ich mit Unlocker gelöscht habe?
    Ich habe diese Bezeichnungen in Deiner Trojaner Auflistung nicht gefunden.Wäre nett wenn Du meine Fragen beantwortest damit ich endlich Ruhe habe.Und was ist das für ein Schutzprogramm vom dem Du am 14.7.gepostet hast.For free für alle?

    • @ Klaus

      Danke erst mal für deine/Ihre Rückmeldung.

      Das Sie allerdings ein weit tieferes Problem haben, sehen sie anhand der Auflistungen hier und der News hier (einfach nach Banker schauen).

      Um es schon mal vorweg zu nehmen – damit ist der Sperrbildschirm wohl weg, ABER die hohe Wahrscheinlichkeit eines Rootkits/einer Backdoor besteht.

      Bei weiteren Fragen stehe ich Dir/Ihnen hier oder auch per Mail gerne zur Verfügung.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  19. Hi, dumme Frage, kann ich auch eine DVD als Medium statt einer CD verwenden ?

  20. ok, erledigt…..mal sehen, was ich heute abend erreichen kann mit der Rettungs-DVD.

  21. Huhu!

    Also wenn ich bei Win 7 F8 drücke kommt zwar ein Menü zum auswählen, Bootmenü usw, aber da steht nichts vom abgesicherten Modus. Woran liegt das? Ist das jetzt ne neue BKA Trojaner Version wo man auch nicht in den abgesichterten Modus kommt?

    • @ Loengard

      Vermutlich bekommst Du/vermutlich bekommen Sie erst ein Auswahlmenü der Geräte im Rechner. Wähle dort die HDD (Festplatte) und drücke sofort danach wieder (wie behämmert) die [F8]-Taste.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  22. Doch noch eine Frage:
    Wenn ich mir die Rettugs-DVD jetzt brenne, kann ich dann vorsorglich die stinger.exe und das malwarebytes mit auf diese DVD brennen oder darf da nur die Kapersky-CD drauf zum starten ?
    Stören die anderen Dateien ?

    • @ Teoha

      Man kann auch andere Dinge draufbrennen, dazu muss man aber in der Regel meist erst das ISO-Image mit einem Programm wie WinISO öffnen und sauber abspeichern, da man sonst ggf. die Bootfähigkeit des Images verliert.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  23. Na ja…jetzt hab ich den PC schon komplett neu installiert und auch formatiert, die Festplatte C, aber mit dem DE Cleaner und Antivir finde ich den Trojaner nicht. Heißt das, das er durch das formatieren komplett vernichtet wurde oder wie kann ich den finden und unschädlich machen wenn er noch da ist?

    • @ Leongard

      Okay, dann habe ich das falsch gelesen/verstanden.

      Wenn die Festplatte ordentlich formatiert wurde und Windows neu aufgespielt wurde, ist eigentlich kein Rest mehr auffindbar, weil keiner mehr da sein sollte.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  24. Hallo, bei mir war auch der Laptop vom Bundes-
    polizei-Trojaner versperrt. Hab dann wie beschrieben „shell“ in der Registry gelöscht und
    kam dann wieder in Windows. Ich habe dann den Computer auf einen früheren Zeitpunkt zurückgesetzt u. dann G-Data Virenscan gemacht, worauf er eine infizierte „java“datei fand, die ich in Quarantäne setzte. Meine Frage:
    Kann ich meine E-Mails ohne Sorge abrufen?

    • @ ALL

      Erstmal:
      Eine Systemwiederherstellung überschreibt leider ja nur die Systemdaten, löscht aber keine Viren etc.. Es ist also durchaus möglich, dass da noch was schlummern dürfte.

      @ Kyrill

      G-Data würde ich nicht unbedingt als Favorit nehmen. (Genausowenig wie McAfee, Norton, TrendMicro, Kaspersky, Avira Free & Pro,, Microsoft Security Essentials).
      Denn zumindest in Belangen des BKA/GEMA/GVU/Bundespolizei-Trojaners versagten bislang alle diese Programme ohne Ende (gefühlt und auch so gesehen – jeden Tag aufs Neue).

      Die Mails an und für sich kann man wohl öffnen, bei unbekannten Absendern, diffusen Anhängen, komsichen Texten sollte man diese ggf. aber sofort am besten antürlich ungesehen, löschen!
      Und wenns Mails von Freunden sind etc. erst mal schauen ob die ggf. so einen Link echt senden würden oder ob das nicht Spam sein könnte weil deren Account geknmackt worden sein könnte.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  25. Hallo,
    ich hab auch den BKA Trojaner :/
    Hilft es wenn ich mich mit meinem 2. Adminitrator Account einlogge die eine sytem wiederhertellung mache dann auf dem benutzer mit dem viru gehe meine dokumente auf nen stick ziehe und den infizierten account lösche ? i der trojaner dann weg ?

    • @ Cem

      Lese mal den Beitrag oben drüber, bzgl. Systemwiederherstellung.
      Bei Fragen – frag hier oder per Mail.

      Durch das pure löschen des Accounts verschwinden nur Teile des Schädlings/Nervtöters.
      Weiterhin weiß man dann nicht womit man es ggf. zu tun hat.
      Das macht dann eine effektive Bekämpfung dann nahezu unmöglich, bzw. lässt nur den Schluß einer kompletten Neuinstallation dann zu (denn nur das ist dann noch die sicherste Methoide).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  26. Hi, habe jetzt mit Systemwiederherstellung (3 Tage zurück war das Datum) den PC wieder am laufen.
    Ist es richtig, das ich jetzt die Kapersky-CD laufen lasse (vorher Datensicherung) ??

    • @ Paul

      Bitte lies mal den Beirag von 23:18 UIhr (4 obendrüber oder so).

      Die CD ist an und für sich keine schlechte Idee, nur leider oftmals nicht die ausreichende Hilfe.

      Wenn die Möglichkeit besteht, versuche in einem der „Abgesicherten Modus“-Arten ins System zu kommen und schaue Dir/schauen Sie sich dann mal die Punkte P14 und P14.1 meiner Seite an.

      Sollten ggf. Daten verschlüsselt sein, bitte hier schauen.

      Bei weiteren Fragen/Problemen entweder hier posten oder per Mail an mich.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  27. @Simon

    Hallo!

    Also in einen PC Hilfe Forum höre ich leider was anderes was den Trojaner betrifft. Vielleicht habe ich auch vergessen hier zu sagen das die Festplatte partitioniert ist und ich nur diesen C. Teilgründlich formatiert habe weil auf D natürlich private Daten und anderes sind. Die kann ich ja nicht einfach so löschen.

    Das Problem ist: DE Cleaner und Antivir zeigen keine Meldung an das auf beiden Partitionen noch was drauf wäre.

    Also ist der Trojaner jetzt wirklich weg oder kann er sich noch auf der anderen Partition, auf D, verstecken?

    Das PC Hilfe Forum rät mir zu irgendeinem Backup…bla…blubb…ab da habe ich nicht mehr durch geblickt. Ich bin froh wenn ich den PC vernünftig neu installieren kann und so Sachen wie Backups und so – davon habe ich keine Ahnung.

    Gibs kein Programm das den PC durchsucht, den Trojaner findet wenn er doch noch versteckt drauf sein sollte und dann einfach löscht? Kann doch nicht sein das unerfahrene Leute mit so einer komplizierten Lösung abspeist. Es muss doch ne einfache „Idiotensichere“ Lösung geben für Leute die von PCs keine Ahnung haben. :-(

    • @ Loengard

      Vielleicht habe ich ja wieder was überlsen, aber wurde hier schon irgendwo ein Name des Fundes/der Funde getippt?
      Wenn nur weil man so einen Sperbildschirm bekommen hat, kann man zwar pauschalisierend sagen „Neuinstallation ist immer das beste über alle Platten hinweg“. Aber es ist schlicht nicht bei allen Varianten wirklich notwendig.

      Wie man schon ein paar Beiträge weiter oben lesen kann, ist es ohne Dateifunde und deren Bezeichnungen durch die Scanprogramme nahezu unmöglich ncoh zu sagen was auf dem System war.
      In so einem Fall ist dann IMMER die komplette Formatierung und Neuinstallation das Beste Mittel.
      Sollte es aber Dateifunde mit Schädlingbezeichnung geben (z.B. Win32/Kryptik oder EXP/…… oder Sp.Banker…..) so sind das verwendbare Aussagen.

      Um das gleich mal hier zu sagen (man kann es natrlich auch nachlesen unter Punkt P14.1 meiner Seite),
      Die oben aufgezählten sind immer ein guter Grund bzw. teils ein äußerst guter Grund für eine Neuinstallation!^^

      Weiterhin sind Backuzps essentziell und sollte sich jeder dringend überlegen zuzulegen.
      Windows bietet spätestens seit WindowsXP eine gute Sicherungslösung schon mit an (kostenfrei mitgeliefert).
      Man damit zwar keine 1zu1 Imagesicherungen machen, hey – aber immerhin einzelne oder geplante Datensicherungen.

      Besser ist da natürlich Vista Ultimate oder Windows 7 PRofessional und höher….denn dort geht auch eine komplette 1zu1 Imagesicherung mit diversen Vorteilen (die aber für dne Normaluser relatiuv uninteressant sein dürften).

      Ich hoffe damit alles beantwortet zu haben, ansonsten melden (hier oder per Mail).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  28. @Simon

    Seit der Neuinstallation finden verschiedene Programm gar nichts mehr bei einem Scan. Das einzige was gefunden wurde war auf einem USB Stick und das waren nur ein paar kostenlose Bildschirmschoner wo dieses Malware Scan Programm angeschlagen hat.

    Was drauf war? Es war genau dieser Sperrbildschirm:

    http://i.imgur.com/Kuoe5.jpg

    Ich weiß halt nicht: isses jetzt weg oder nicht! Und vor allem weil ich Internetbanking, Paypal usw. nutze: kann mir dadurch ein Schaden entstehen, kann da immer noch was sein das versteckt meine Daten ausspioniert.

    • @ Loengard

      Also wenn ich das richtig verstehe wurde ja Neuinstalliert. Sollte sich die Installation auf C: und damit in der Regel auf dem allerersten Teil der Festplatte gefunden haben, sollte eigentlich „alles“ weg sein.

      Man möge sich jetzt darüber sreiten ob es so ist oder nicht. Ich persönlich habe bislang damit nur gute Erfahrungen gemacht.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  29. Ach ja, vielleicht sollte ich noch erwähnen das wir nicht im abgesichterten Modus gescannt weil ich ja trotz F8 drücken nur ins Bootmenü kommen aber nichts vom abgesichterten Modus da steht.

    Wäre das wichtig im abgesicherten Modus zu scannen?

    • @ Loengard

      Der Abgesciherte Modus ist in sofern wichtig, weil man nur in diesem Modus zumindest die meisten Ausführbaren sChädling in die Knie zwingen kann. Denn viele/die meisten können sich in diesem Modus nicht selbst starten.

      Und erst wenn ein Schädling nicht gestartet wird, hat man zumindest eine Chance ihn ggf. entfernen zu können.

      [F8] brint Dich/bringt Sie wohl vermutlich erst mal zur Boot-Auswahl des Rechners. Sprich HDD (Festplatte) / Bios / CD-DVD-BluRay Laufwerk / FDD (Floppy), USB (Eternal Device).
      Dort würde man folglkich HDD (also die Festplatte) wählen und direkt weiter [F8] drücken.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  30. Hallo ich habe das Problem dass Windows die Datei jashla nicht findet so dass ich sie löschen könnte
    Bitte um Hilfe

  31. hallo simon,habe mir gestern diesen scheiss ( Der Computer ist für die verletzung der Gesetze der Bundesrepublik Deutschland wurde blockiert ) eingefangen und komm jez nicht weiter ab dem punkt shell wo dann auch bei mir explorer exe steht …der rest is mir dann als laie doch etwas zu kompliziert,wenn du magst kontaktiere mich p. mail ich würde das problemchen gerne telefonisch mit dir lösen, spende/überw. selbstverständlich dann auch ! wäre sehr nett von dir! Mfg ronny!!

  32. Win XP prof
    Hallo Simon, hatte mir gestern auch diesen Trojaner eingefangen. Die von Dir beschriebenen 10 Schritte funktionierten bei mir nicht, weil ich mich im abgesicherten Modus nicht anmelden konnten,d.h. das Passwort wurde nicht akzeptiert. Brannte mir dann die iso von Kaspersky, was aber auch nicht zum Ziel führte. Der Verzweiflung nah lud ich mir die neuste Version von Kaspersky winunlocker runter und siehe da – Trojaner gefunden und getötet. Hab das gesamte System über Nacht noch mal mit der Kap. CD checken lassen. Es wurden noch 3 weitere Schädlinge gefunden. Soweit müsste also alles clean sein. Mein Problem: Internet Explorer lässt sich nicht mehr starten. Was kann ich tun? Gruß Andreas

  33. Gerhard Scheller | 8. August 2012 um 12:37 | Antworten

    Hallo,
    ich versuche nach den 10 Punkten den bundespolizeitrojaner los zu werden. Es ist gut verständlich denke ich, habe aber ein Problem.Nach dem Abgesicherten Modus mit Eingabeaufforderung öffnet sich Windows XP und will mein Passwort zur Anmeldung haben, er sagt mir doch stets, dass es nicht korrekt wäre obwohl es stimmt. Ich komme also schon hier nicht weiter. Was mache ich falsch oder was kann ich tun um weiter zu kommen.
    Für eine nachricht wäre ich dankbar, bis dahin viele Grüße

    Gerhard

  34. hey hatte den virus auch und wollte es versuchen mit den oben genannten schritten zu entfernen leider erfolglos ,,aber hab dann mal versucht eine systemwiederherstellung zu machen und da es hat geklappt musste keinen schlüssel oder sowas löschen hab einfach system auf 4 tage vorher wiederhergestellt und es ging ,,aber vorher den pc vom internet trennen. würde mich freuen wenn ihr schreibt ob es bei euch auch geklappt hat …mfg

  35. ihr müsst also garnichts löschen oder so einfach nur systemwiederherstellung und fertig ,,,mal schauen ob es bei euch auch klappt^^

    • @ Jordan

      Sorry, aber diese Aussage ist schlicht falsch und irreführend bei 99% der Fälle!

      Das soll kein Angriff gegen Dich sein, aber es ist nicht so das man dies pauschal sagen kann. Weiterhin wird auch dein System zu 98,9% noch immer infiziert sein.
      Ich werde dazu nochmals (zum tausensten Mal) eine Erklärung schrieben.
      Wer so lange nicht warten will, bzw. sollte, lese meine Artikel auf dieser und den vorherigen Seiten zum Thema „Wiederherstellung“.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  36. @ Simon

    ja kann sein aber hab bevor ich die systemwiederherstellung gemacht hab mein virusprogramm laufen lassen und er hat den virus gefunden und nach der sytemwiederherstellung war der nicht mehr da,,, und wenn mein pc noch infiziert ist hauptsache dieser mist ist weg^^ konnte ja nichts mehr machen weil immer diese ukash seite kam aber trotzdem danke für deine schnelle antwort…..mfg

  37. Hallo Jordan

    Ich denke Simon hat vollkommen recht..!!!
    Wiederherstellung nützt dir gar nichts, Du könntest damit theoretisch einen Virus wieder hergestellt haben den Du dir vorher einmal eingefangen hast.
    Ich hab mal ein System ganz neu aufgesetzt, mit allen Updates aus dem Internet , alles schön wie beschrieben, und habe es hinterher mit allen möglichen Virenscannern gesannt, am Ende vom Lied hat Panda (nicht Antivir) einen Virus gefunden.
    Ist mir zwar selber ein Rätsel wie Der da drauf gekommen ist, aber Unmöglich ist anscheinend nichts!

    Liebe Grüße an Daniel Weihmann…!!!
    Übrigens ihr seit bei Google auf Platz 4
    abgerutscht beim BKA Trojaner entfenen,
    welch ein Jammer :-)

    • Naja @Ewald: Wer keine neuen Infos zum BKA-Trojaner veröffentlicht, wird halt irgendwann bei Google nach hinten durch gereicht. Das geht schon so in Ordnung, denn niemand möchte ständig veraltete Inhalte vorn bei einer Suchmaschine finden.

      Leider (oder zum Glück) hatte ich schon eine ganze Weile nichts mehr mit dem BKA-Trojaner in meinem Umfeld zu tun. Somit kann ich auch keine neuen Erkenntnisse meinerseits an die Welt weiter geben!
      Heißt das nun, dass alle meine Freunde und Bekannten sowie in der Firma alles perfekt abgesichert ist? Oder einfach nur Glück?
      Ich weiß es nicht …

      Wer hier auf Redirect301 neue/ weitere Erkenntnisse zum Umgang mit dem Virus in einem Artikel veröffentlichen möchte, kann sich gern mit mir in Verbindung setzen. Da die Besucherzahlen noch immer sehr hoch in diesem Bereich sind, scheint es ja noch eine ganze Reihe Leute da draußen zu betreffen.

      Gern würde ich auch mehr Antworten oder Ratschläge zu Kommentaren geben, aber alles was ich über diesen Schädling weiß steht bereits in den Beiträgen zum BKA-Trojaner oder wurde i.d.R. auf Simons Seite verlinkt.

  38. Hallo Daniel

    Ich habe ne Info für dich,
    und hoffe von ganzem Herzen das Du etwas damit anfangen kannst….!!!

    Ich habe deine Seite nicht abgespeichert und suche dich immer über Google,
    als ich lesen wollte ob Du geantwortet hast, konnte ich zuerst deinen Beitrag nicht finden.

    Jetzt die Info !!!
    Gebe ich bei Google nur „bka trojaner“ ein, bekomme ich nur die Kommentare bis 24 Juli 2012 angezeigt weil ich auf der Seite
    (https://www.redirect301.de/bka-trojaner-und-kein-ende.html) lande.

    gebe ich aber bei Google „bka trojaner entfernen ein“ bekomme ich die Beiträge bis 11 August angezeigt und lande auf der Seite
    (https://www.redirect301.de/bundespolizei-trojaner-entfernen.html)

    Ist das vielleicht ein Fehler von dir …???
    Oder mache ich etwas falsch, ich bin auch nicht perfekt…??? :-)

    lg Ewald

  39. Hei :)
    also erstmal ist das eine wirklich super Anleitung, die selbst ich verstanden habe :)
    Aber trotzdem habe ich ein Problem und zwar kommt bei mir das selbe Bild wie das oben aber dann habe ich keine Ahnung mehr was ich machen sollen.. Was genau soll ich löschen? Wenn ich die einzelnen „Dinger“ anklicke um die die zu löschen kommt eine Mitteilung das man das nicht löschen kann.. Und ich weiß auch nicht was man durch Explorer.exe ersetzen soll, weil bei mir rechts das schon steht.. Ich wäre um jede Hilfe dankbar :)

  40. wieso kann ich nichts eingeben wenn punkt 3 kommt?

  41. ich meine 4**

    • @ Natalja

      Wie ist es aktuell ausgegangen?
      Wo hängt es ggf. aktuell?

      Schreiben Sie/schreibe Du mal bitte den aktuellen Status. Entweder hier im BLOG oder mir persönlich per Mail.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  42. Hallo ich weiß ich bin ein Idiot

    aber ich habe die shell datei gelöscht wie kann ich die wieder herrstellen ? (das komische ist das der virus ist weg es erscheit nur ein fehlerschild am anfang das ich weg klieken kann aber dann geht der computer einwandfrei )

    Gruß Jurik

    PS: veilen dank euch beiden

  43. Hallo ins Forum.
    Ich frage jetzt mal blöd: Soll für einen Freund den Trojaner von seinem Rechner beseitigen. Habe nun schon mal bischen dran „gespielt“ und im Abgesicherten Modus im Autostart eine verdächtige Datei namens juptqqfg.exe entfernt. System läuft wieder. Scheint mir aber irgendwie zu billig, könnte es sein das dies nur eine Art „Fake BKA – Trojaner“ ist, welcher mittels Autostart einen Sperrbildschirm startet? Habe ich einen bisher unentdeckten, sensationell einfachen Weg entdeckt diesen zu entfernen :-) ? Oder läuft da noch was im Hintergrund? Fragende Grüße und dank im voraus. R.

  44. Zum einen, es gibt diverse Varianten von den Trojanern. Und eine allgemein gehaltene Trojanerentferrnungsanleitung ist gefährich.
    Man muss den PC neu aufsetzen, alles andere ist grob fahrlässig, denn der normale User kann nicht nachvollziehen, was der Trojaner schon an Malware nachgeladen und installiert hat.
    Wer glaubt er kann einen Trojaner entfernen und danach möglicherweise „Onlinebanking“ betreiben ist sehr naiv.Zum andern gibt es Varianten, die ruck zuck wichtige Dateien so verschlüsseln, mit asymmetrischen Schlüsseln, wo die Antivirenherstellern (alle), noch keine Entschlüsselungstools in Peto haben. Gegen ältere Varianten schon aber neueste nicht.

    • Kann ich dir in allen Punkten zustimmen @Roland.

      Ja, der sog. BKA-Trojaner (und was es da noch so alles gibt) verändert (verbessert) sich ständig! Auch die Anzahl der Betroffenen wird zumindest nicht weniger.

      Ein neu Aufsetzen des Rechners ist sicherlich eine Möglichkeit, doch müsste man dann sicherlich auch gleich alle Daten (Dokumente, Bilder usw.) mit auf den Daten-Kompost werfen, da diese ja kompromittiert sein könnten. Und wer will das schon?

      Auch ich hoffe, dass meine Sicherheitstools auf dem Rechner möglichst alles abfangen und abwehren was meinem Rechner böses will. Die Nutzung einer guten Sicherheitssoftware kann ich nur jedem empfehlen – nicht nur für den PC, sondern für jedes internetfähige Gerät (Handy, Smartphone usw.).

      Zu den verschlüsselten Trojaner-Varianten hat Simon bereits einige Punkte angesprochen und veröffentlicht.

  45. Für diejenigen, die es interessiert:

    In der neuen c’t vom 13.8.12 (Heft Nr. 18) ist ein lesenswerter und instruktiver Artikel, wie man den BKA-Trojaner in einer Sandbox gefahrlos analysieren kann.

    Peter

    Ps.: Ich habe keine geschäftlichen Verbindungen zum Heise-Verlag, außer daß ich alle 2 Wochen die c’t kaufe.

    • @ Peter Zeller

      Danke für den Hinweis.
      Hinweis noch von mir, da ich das ja schon öfter mit den mir zugesandten Daten gemacht habe, Ein guter Scanner ist und bleibt unersetzlich.

      Weiterhin (falls es nicht im Artikel stehen sollte), dringend das ganze in einer seperaten Virtuellen Maschine/Umgebung (VirtualPC, VMware Playerm VirtualBox, Hyper-V, ESXi) machen.

      Alles andere würde bei falschem Handling unweigerlich den eigenen Rechner betreffen!

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

    • Klingt interessant. Wird der BKAler gleich mitgeliefert?

      • @ Daniel Weihmann

        Welche Variante willste denn haben…? *grins*

        Hab da denke einige „auf Lager“.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  46. Hey,
    vor ein paar Wochen habe ich mir den Virus eingefangen, als ich auf der Seite kinox.tld war.
    Einen Tag später bin ich in den Urlaub geflogen und hatte keine Zeit den Virus zu entfernen.
    Als ich aus dem Urlaub wieder gekommen bin ging der Rechner auf einmal wieder, als ob nichts gewesen wäre.
    Ein Virus verschwindet doch nicht einfach nur wenn der PC einige Zeit aus war? Soll ich irgendwas machen?
    LG

    • @Line: Von diesem Phänomen wurde hier schon ein paar Mal berichtet. Sicherlich könnte man Software mir einem Verfallsdatum versehen. In diesem Fall aber wozu!?

      Scanne trotzdem dein System vollständig, schaue dir ggf. dazu diese Hinweise an!

      • @ Daniel Weihmann

        Die Software hat meines Wissens bzw. ERachtens nach kein Verfallsdatum. Den genauen Grund warum es manchmal dann nicht startet, kann ich leider ebenfalls nicht sagen – ich vermute aber das es mit den Command & Controlservern zusammenhängt.

        Im Endeffekt iast aber die Schadsoftware noch auf dem Rechner und ggf. sogar aktiv.
        Sprich das Teil könnte noch im Hiuntergrund arbeiten und sich sogar updaten und weiterhin im schlimmsten Fall Daten übermitteln.
        @ Line

        Bitte auf alle Fälle mal folgendes Posting noch als Minimum beachten:
        https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080

        Sollte es noch Fragen/Probleme geben, dann einfach mal eine Mail an mich.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  47. Hallo!
    Ich habe diese Schritte befolgt, allerdings hieß der auszutauschende Pfad schon „explorer.exe“…Danach habe ich probiert, mit der CD von Kaspersky zu arbeiten – ohne Erfolg. Anstatt dass es eine Image-Datei ist, war es eine .iso-Datei, die ich runtergeladen und auf CD gebrannt habe. Im Endeffekt konnte ich zwar auswählen, dass der PC von CD aus starten sollte, allerdings wurde wieder Windows 7(mit Trojaner) gestartet.

    Was also tun? :( Ich hab echt keine Ahnung mehr…

    Beste Grüße
    Sebastian

    • @Sebastian: Du wirst die CD nicht bootfähig gebrannt haben, du hast sicher lediglich das ISO-File darauf kopiert. Schau mal, ob dein Brennprogramm das Erstellen einer Boot-CD ermöglicht.

      Für Windows 7 würde ich dir allerdings empfehlen, mal einen Blick auf diesen Beitrag zu werfen und dir die Systemwiederherstellung anzusehen:
      https://www.redirect301.de/bka-virus-verhindert-abgesicherten-modus.html

      • @Daniel:
        Danke sehr!

        Inzwischen habe ich es hinbekommen, den PC zu starten und Avira zu Updaten und mal drüberlaufen zu lassen.

        Aber, was sollte ich sonst noch so machen? Ich habe, entsprechend der Anleitungen oben, nun die explorer.exe austauschen können(danke hierfür nochmal an Simon!), somit läuft der PC wieder. Allerdings möchte ich gerne noch erfahren, was ich sonst so noch machen könnte, damit der Trojaner sicher weg ist.

        Beste Grüße
        Sebastian

      • @ Daniel Weihmann

        Alternativ hat er es schon richtig gebrannt, aber die CD/DVD hat halt tatsächlich nichts finden können.^^

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  48. Hallo,

    Wenn ich versuche den Schritt 6 auszuführen, sprich die regedit auszuführen, kommt die Fehlermeldung „Das Bearbeiten der Regisitrierung wurden durch den Administrator deaktiviert.“

    Was kann hier das Problem sein.

    Ausserdem kann ich im normalen Modus nichts auf dem Desktop sehen und meinen Taskmanager nciht starten.

    Ich hoffe, dass mir jemand helfen kann!?

1 Trackbacks & Pingbacks

  1. Virus ? Hilfe

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.