„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
@Andreas
Ich antworte nur, weil die Profis wohl im Urlaub sind.
Das Abschalten von regedit und vom Taskmanager sind typisch für den BKA-Virus. Da hilft es nur, im abgesicherten Modus zu starten. Wie es danach weitergeht, ist hier schon oft beschrieben worden. Lies dich einfach ein.
Peter
Hallo Peter,
Danke für die Info.
Bei mir hatte nicht mal der abgesicherte Modus was geholfen. Dort war genau die selbe Fehlermeldung.
Ich habe noch weitere Threads gelesen und dort die Anti-Malware Software entdeckt und ausprobiert.
Habe den Desktop und den Zugang zu regedit hingekriegt – ich schaffe es aber noch nicht, den Taskmanager zum Laufen zu bringen (in der Registry sieht es gut aus!)???
Das ist ziemlich komisch? Habe schon vieles ausprobiert aber noch nichts hat gehofen :(
Vielleicht hast du hier noch einen Tipp?
Danke und Gruss
Anderas
@ Andreas
ISt für die Funktionsfähigkeit des Taskmanagers keiner der Tipps in diesem BLOG und auch nicht auf meiner Seite hilfreich?
Kommt eine Fehlermeldung wenn man ihn wieder lauffähig machen will? Oder was geschieht ggf. sonst?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Peter Zeller
Danke für deine Unterstützung.
Meine Wenigkeit hatte zwar urlaub, aber war nicht in eben solchem. Dafür aber mehr oder weniger Tagein/Tagaus beschäftigt.^^
Herr Weihmann ist, ich hoffe ich darf dies hier so offen sagen, „gesundheitlich angeschlagen“ und daher nicht unbedingt in der Lage hier großartig zu posten. :-/
Gute Besserung von mir aus hier an Dich Daniel.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bin wieder an Bord und es geht gesundheitlich doch wieder ganz gut. Trotzdem danke!
@ Daniel Weihmann
Ah okay, wunderbar. Das freut zu hören. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@Andreas
Ich kenne mich nur bei Windows XP etwas aus.
Geht evt msconfig? Wenn ja, dann zu Systemstart, dort auffällige Einträge deaktivieren. Dann neu starten.
Oder zu Systemwiederherstellung – dort auf ein Datum deutlich vor dem Virusbefall gehen und wiederherstellen.
Wenn beides nicht geht, nochmal Bescheid geben.
Auf einem anderen comp kannst du im Internet nachlesen, wie der Virus in der Registry den Taskmanager ausgeschaltet hat bzw weie du ihn dort einschalten kannst. Müßte auch hier im Blog irgendwo stehen. Melde dich ruhig, wenn du nicht weiterkommst.
Peter
@ Andreas
@ Peter Zeller
Eine Systemwiederherstellung bereinigt NICHT das System, Sie setzt im Idealfall nur den Schädling erstmal „außer Gefecht“!
Der Schädling ist weiterhin vorhanden und ohne Scans mit unter anderem „Malwarebytes Anti-Malware Free“ erkennt man nicht was man sich da eingefangen hat(te).
Weiterhin sind die Dateien in aller Regel an bekannten Orten zu finden.
Siehe dazu wie bekannt meine Punkte P14 und P14.1.
Sollte es dazu noch fragen geben, oder Probleme auftauchen – einfach eine Mail mit der Problembeschreibung an mich.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Was mache ich, wenn „winlogon“ nicht erscheint.
@Has-Ulrich
Heisst das, dass du die Registry durchsuchen kannst? (Welches BS?)
Peter
@ Hans-Ulrich
Bitte nochmal genau den Pfad prüfen. Meist verklickt man sich in der Hektik mal im Pfad und schon findet man es nicht.
Der Ordner/der Schlüssel/der Wert muss eigentlich zur sauberen Funktion des Rechners existend sein.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hey leute,
bei meiner Shell datei ist wie beschrieben „Explorer.exe“ schon vorhanden! hab das vom „simon“ mir durchgelesen und verstanden allerdings finde ich nirgendswo eine Explorer.exe für windows vista 32. damit ich das beschriebene durchführen kann…
hat jemand nen tipp?
vielen dank euch!
@ Grupp
Schreib mir mal eine Mail mit der Problembeschreibung – dann finden wir eine Lösung.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo ich hzabe das selbe Problem.. Kannst du mir auch bitte mal helfen ??
Wäre super :)
Lg Jenni
Hallo habe das selbe problem gehabt.meine lösung im abgesicherten modus die letzte systemwiederherstehlung machen.und läuft.
Habe mir gerade den Bundespolizei-Virus eingefangen. Meine Variante scheint so gestrickt zu sein, daß sie McAfee infiziert, denn sie startet sich ausgerechnet beim Virenscan!
@ Andreas Schmidt-Kessen
Das Problem ist, das viele Varianten sich so tief ins System hängen, das Virenscanner machtlos sind.
Weiterhin bringt niemals der Versuch eines „erfolgreichen“ Scans im normalen Windowsmodus etwas.
Der Schädling kann sich in diesem Modus zu 99,9% erfolgreich schützen und selbst wenn er sich finden ließe, dann nur zu Teilen.
Alles was dann „weg“ wäre, würde sich bei Bedarf wieder herstellen – automatisch, bzw. spätestens bei der nächsten Internetverbindung.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Kein virenscanner macht denn trojaner fertig.nur so wie ich es beschrieben habe gehts.
@ Manuel
Sei mir nicht böse, aber diese Aussage ist grundfalsch, mal ganz abgesehen davon das eine Systemwiederherstellung lang nicht immer funktioniert.^^
Siehe dazu mein Posting vom „30. August 2012 um 21:29 Uhr“
, sowie das Posting: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ simon
Bei mir hat es funtioniert.ohne otl usw.vielleicht war es bei mir nicht so befahlen.
Hallo Manuel,
wenn Systemwiederherstellung alles ist, was du gemacht hast, dann ist es nur eine Frage der Zeit, bis nichts mehr geht auf deinem Computer.
Peter
Hallo Simon,
bei mir ist es das Gleiche wie schon einer Anderer User unten es beschrieben hat.
Ich finde leider auch keine Explorer.exe für WIN7 das ich gegen das Andere austauschen kann.
„bei meiner Shell datei ist wie beschrieben “Explorer.exe” schon vorhanden! hab das vom “simon” mir durchgelesen und verstanden allerdings finde ich nirgendswo eine Explorer.exe für windows vista 32.( bei mir WIN 7) damit ich das beschriebene durchführen kann…
Bitte, kannst Du mir helfen.
Hallo, ich weiß gar nicht ob ihr hier noch aktiv seit, aber Sie haben mir schon einmal geholfen.
Ich habe mir vor ein paar Tagen einen GVU Trojaner eingefangen, der mein Internet komplett blockiert, meinen Desktop aber nicht angefasst hat. Damit ich den herunter bekomme habe ich mir von Kaspersky einen windows unlocker ( oder so ähnlich) herunter geladen und auf einen stick gezogen. normalerweise, laut internetanleitung den Laptop hochgefahren. Leider bootet sich das Programm nicht selber und ich komme in dieses Verdammte Bootmenü nicht hinein. Da ich den Laptop brauche, müsste ich den Trojaner eigentlich schnell herunter bekommen, aber leider bin ich eine niete in diesem Bereich und mit meinem Latain mittlerweile am Ende.
Schau mal, ob dir diese Informationen weiter helfen: https://www.redirect301.de/bka-virus-verhindert-abgesicherten-modus.html
vielleicht ist es hilfreich:
bei mir hieß die datei roper0dun.exe
@ bernhard
Danke für den Hinweis, diese Datei hatte ich schon einmal und wurde gestern Abend noch auf meine Seite mit aufgenommen.
Bitte beachte aber, das dein System noch nciht gänzlich sauber sein wird, ein Scan im normalen Widnowsmodus weiter aber auch nichts finden würde.
Daher sind noch Scans im „Abgesicherten Modus (mit Netzwerktreibern)“ sehr empfehlenswert.
Siehe dazu mindestens noch das Posting:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
nach meiner Anfrage zur Entfernung des BKA Virus heute Vormittag, habe ich auch prompt schon am Nachmittag einen Lösungsansatz bekommen, dafür herzlichen Dank.
Ich hbae nach dieser Lösung eine Systemwiederherstellung gemacht- und siehe da- der Virus ist anscheinend weg…..oder?
Ich komme wieder anstandslos ins Internet nd der Bildschirm ist fei, was vorher nicht mehr möglich war.
Meine Frage nun:“ Ist der Virus tatsächlich weg, oder versteckt er sich nur um später wieder zuzuschlagen?“
Mit freundlichen Grüßen
Jürgen
@ Jürgen
Lies dazu bitte mein Posting vom „31. August 2012 am 22:38“.
Sollten noch Fragen/Probleme bestehen, dann hier tippen oder einfach eine Mail an mich..
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hallo nochma nach 4 wochen … ich hab mir mal selbst geholfen nach 100 nichtssagenden zu komplizierten oder unkompetenten hilfeansätzen, und ja mein comp geht zum ersten mal gerade wieder :-)))
…ich hatte die version: der computer wurde wegen der verletzung der bundersrepublik deutschland wurde gesperrt. (ohne webcamfunktion)
hier nun meine schnellhilfe für ganz unbegabte win7 64bit user: beim starten dauernd F8 drücken > dann mit den pfeiltasten auf computer reparieren steht über abgesicherter modus> dann auf systemwiederherstellung> dann in der liste ein datum vor dem virusbefall auswählen und dann auf diesem datum das system wiederherstellen lassen..lesen kann ja jeder und das was man dann will immer okay klicken > neustart – avira wollte nicht mehr aufgehen/bzw updaten weil was verändert wurde/vermutlich von dem virus > avira gelöscht + neu geladen + kompletter durchlauf gemacht + CC Cleaner drübergejagt evtl mach ich noch spyboot- search & destroy…!!! zudem hab ich mir noch 2 benutzerkonten/ 1 mit adminrechten angelegt falls mal wieder was ist das ich zumindest den comp auf nem andren konto noch nutzen kann. und meine daten sind auch noch ALLE vorhanden :-))
ICH war wirklich verzweifelt und ich bin technisch in sachen comp/win7 null versiert…. F8 war n guter hilfeansatz aber abgesicherter modus mit eingabeaufforderung usw – sorry aber ich hab keine informatik studiert das mir echt zu schwierig kompliziert explizit, ähm was evtl noch sinvoll is – popups zu deaktivieren … das sind die kleinen werbe/fenster die manchma aufgehn wenn ma auf ne seite geht, darüber kommt dieser beschissene scheiss BKA Dreck nämlich auch – geht das fenster auf installiert sich der scheiss von selbst usw… den rest kennt ihr ja bzw das verschiedene U Kash/Paysafe bezahlfenster …
PS:auch wer 100€ bezahlt – danach is der trojaner immer noch drauf und der comp is nicht „freigeschalten“ …also besser 100€ sparen und mal hier meine simple variante antesten !!!
::VIEL ERFOLG und denen die diesen scheissdreck verschicken mal alle verfügbaren bösen finger zeig & co …
Hallo,
ich will ja nicht die Tipps madig machen.
Aber das ist alles Asbach. :-)
Den GVU findet man über ein OTL-Log.
-> http://forum.botfrei.de/showthread.php?114-Unsere-Regeln-f%FCr-die-Benutzung-des-Hilfeforums&p=36457&viewfull=1#post36457
-> http://www.evild3ad.com/1913/reveton-c-landing-pages/
Tschau
@ Oldi-40
Ohne jetzt alles geleesen zu haben (bzw. nochmal gelesen zu haben)….
Ja die obigen Tipps sind nahezu Asbachuralt und nur noch selten hilfreich.
Das ist aber auch der Grund weswegen meine Seit/n immer wiedererweitert werden, ich hier immernoch tippe und Ich immernoch den Mail & Fernwartungssupport anbiete.^^
Und weswegen ich alleine auf dieser Seite schon glaube 3 mal schrieb das eine Systemwiederherstellung (tschuldigung) einen Scheiß! bei den meisten Varianten nützt, auch wenn danach das Windows wieder zu laufen scheint.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Der Artikel hier ist vom 31.08.2011, also fast genau 1 Jahr alt, und natürlich hat sich der Trojaner selbst zwischenzeitlich oft verändert. Alle „Erlebnisse“ die ich selbst mit dem Schädling hatte, sind im hier Bereich BKA-Trojaner veröffentlicht. Sollte ich oder einer Bekannter sich diesen oder einen ähnlichen „Virus“ nochmals einfangen und ich diesen entfernen können, dann werde ich auch darüber wieder hier schreiben …
Dein verwendeter Begriff „Asbach“ stimmt auch nur teilweise, da sich noch immer auch diese Variante im Netz verbreitet und ich immer mal wieder Rückmeldung diesbezüglich erhalte.
Den von dir verlinkten Forenbeitrag kann ich so nicht zu 100% nachvollziehen, da alle mir bekannten BKA-/ GVU-Trojaner-Varianten sich beim Surfen im Internet (z.B. auf ganz normalen Blogs) und nicht durch illegale Downloads eingefangen wurden.
Die Seite von Evild3Ad ist natürlich ein klasse Tipp. Ich bin dort kein Stammleser, aber immer wieder mal zu Gast.
… klar: ein Blick auf die Seiten von Simon helfen sicherlich immer weiter. Hier findet ihr aktuelle Hinweise zur Ransomware.
Sorry, dass ich dies vergessen habe ;-)
Simon sagt noch zu diesem Thema: bisherige Infektionsbehandlungen kamen bei mir über die folgenden Wege:
Damit schließe ich nach 3.653 Kommentaren diesen Bereich und verweise auf mögliche neue Artikel unter https://www.redirect301.de/tag/bka-trojaner, auf http://forum.botfrei.de und natürlich auf http://kunden.pp4it.de/bka-entfernung.php.
Ach was soll’s. Das Kommentieren gehört irgendwie dazu …
@ Daniel Weihmann
Und JETZT versteh ich auch endlich wozu dieser Kommentar gehörte. *schmunzel*
Ich dachte mir die ganze Zeit: „Na da hat Daniel ja wieder einen Artikel geschrieben bei dem wieder fleissig gepostet wird und ich endlich mal wieder einsteigen sollte.“
Nun – jetzt weiß ich es etwas besser. :-)
Ändert nichts, ich steigt natürlich wieder ein bzw. mache weiter.
Allerdings, jenachdem wie es hier aktuell gerade zuhause weitergeht, ggf. erst morgen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Super, ich danke dir.
Hallo Freunde, hier eine Maßnahme die mir tatsächlich geholfen hat:
– Allerdings habe ich zwei Rechner und nur einer war infiziert.! dadurch konnte ich mir die Hilfe hier auf der Seite holen.
1.) PC runterfahren, Interentkabel entfernen, PC wieder hochfahren und mein Rechner funktionierte zumindestend offline, d.h. der Desktop war frei.
2.) Antivierenprogramm durch laufen lassen, AntiMalware mit anderem PC runterladen und per Stick auf den infizierten Rechner installieren.
( entsprechende Programme werden hier auf der Seite genannt)
3.) AntiMaleware seine Arbeit tun lassen,
4.) Systemwiederherstellung ( zwei- drei Tage vor den Infekt),
: Bei mir wurden vier Schadprogramme entdeckt und gelöscht.
5.) PC runter fahren, Internetkabel wieder einstecken und PC wieder starten—und siehe da -er funktioniertebis heute fehlerfrei.
Probiert es aus und viel Glück.
Gruß Jürgen
@ Jürgen
Wurden die angesprochenen Scans im „Abgesicherten Modus“ gemacht?
Wenn nein, dann ist trotz der Scans und trotz der Systemwiederherstellung (oder sogar gerade wegen ihr) die Wahrscheinlichkeit noch gegeben, das weitere Schaddateien auf dem System sein könnten!
Dies liegt schlicht daran, das im normalen Windows-Modus sich Schädlinge tarnen können. Und zwar so das weder man selbst Sie mit bloßem Auge sehen kann, noch ein Scanner der gerade in diesem Modus dann läuft.
Die Variante ohne Internet ist soweit schlüssig, aber leider nicht immer von Nutzen.
Die letzten paar Tage hatte ich mehrere Fälle wo immer eine Datei per Autostart geladen wurde, welche auch bei deaktiviertem Internet immerhin ein dämliches weißes oder schwarzes Fenster angezeigt hat und damit den kompletten Desktop „sperrte“.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hallo ich hab den trojana auf meinem laptop er hat windows 7 32.bit und ich finde die datei jashla.exe nicht und wollte fragen wie ich sie finden kann?
Schau mal hier.
@ honer
Wie ist der aktuelle Status?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich hab alle punkte befolgt wie es beschrieben ist hab den.winlogon gefundwn und ab da komm ich nicht mehr weiter wenn ich da drauf klicke kommt gar nix iwie die rechte seite wo.eig der wert stehen sollte ist komplett leer ich weiss nicht was ich machen.soll hoffe ihr konnr mir helfen
@ derya
Mal abgesehen von fehlender Interpunktion und Groß/-Kleinschreibung…
…Wie ist der aktuelle Stand?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich habe mein Laptop mit Hilfe eurer Tips wieder zum laufen gebracht.
Ich hatte den Bundespolizei Virus drauf.
Alles läuft wieder, nur mein Avira Virenprogramm spinnt scheinbar.
Ständig kommt rechts unten ein kleiner Warnhinweis,:
Der Zugriff auf die Datei `C:\$Recycle.Bin\S-1-5-18\…\800000032.@‘,die ein Virus oder unerwünschtes Programm ‚TR/ATRAPS.Gen2‘ enthällt wurde verweigert.
Wenn ich dann auf entfernen gehe, dann sagt er das er 2 Viren gefunden hat und dann geh ich wieder auf entfernen.
Das kann ich dann den ganzen nachmittag machen, denn das kommt immer wieder.
Hab AVIRA deinstalliert und nochmal neu draufgezogen, das gleiche in grün.
Was kann ich dqa nur tun ???
Danke schon mal im Vorraus, für eure Hilfe.
Hallo Thom ,
TR/ATRAPS.Gen2 ist das Rootkit 0Access.
-> http://www.symantec.com/security_response/writeup.jsp?docid=2012-080900-3758-99&tabid=2
Da hilft nur ein neuer Anfang.
Tschau
@ Thom
> Ergänzung zu Oldi-40
Bei einem Rootkit hilft wie beschrieben nur der „Neuanfang“.
Man kann aber mit diversen Scans das System zumindest in soweit „sicher“ machen das man eigentlich „relativ“ gefahrlos die Daten sichern kann die einem wichtig sind,
Anschließend alles platt machen/formatieren und neuinstallieren.
Und eines ist bei Rootkits weiterhin essentiell: „ALLE an diesem Rechner jemals genutzten Kennwörter/Zugangsdaten (am besten an einem anderen Rechner erst mal) SOFORT ändern!“
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hi,
ich hatte das ding schon vor einiger zeit, habe aber zunehmend das gefühl, dass ich nicht alle schädlichen dateien los bin. habe zwar systemwiederherstellung, virenscan usw. gemacht, aber das macht ja anscheinend nich alles weg…
mein pc funktioniert aber einwandfrei, vielleicht manchmal etwas langsam.
wie kann ich rausfinden, ob alles weg ist???
Hallo Lulu,
Du mußt ein OTL-Log erstellen.
Wende dich damit an
-> http://www.trojaner-board.de/
-> http://forum.botfrei.de/forum.php
Der Simon hilft dir auch ;-)
Tschau
@ Lulu
Ein OTL wie von Oldi-40 beschrieben ist zwar ddurchaus sinnvoll, aber für unerfahre Nutzer(innen) ggf. etwas viel Aufwand.
Ich würde an dieser Stelle 3 (schon mehrfach erwähnte) Scans machen zu lassen.
Nämlich mit „Kaspersky’s TDSS-Killer“, „ESET’s Online-Scanner“ und „Malwarebytes Anti-Malware Free“.
Richtige Einstellungen und den Abgesicherten Modus von Windows vorausgesetzt, findet man damit eigentlich schnell zum Ziel.
Damit man einigermaßen sicher gehen kann nicht doch noch etwas wie z.B. ein Rootkit auf dem System zu haben, kann man mir gerne die LOG-Dateien per Mail zusenden(, oder in Google nach den Schädlingsnamen suchen).
Alternativ – ist alles zu kompliziert und hier geht’s nicht weiter….ebenfalls einfach eine Mail an mich. Ich versuche dann so schnell wie es mir möglich ist darauf zu reagieren.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Leute !
Ich habe mir einiges durchgelesen was ihr da geschrieben habt.Auch ich habe diesen Bundespolizei Trojaner. Was ihr da schreibt sind für mich Bömische Dörfer. Ich bin ein alter Mann von über 70 Jahren und wollte fragen ob ich mich trauen soll das versuchen zu beheben oder kann ich mehr kaputt machen als ganz?
Gruß jochen
Ich hoffe, den Artikel so verständlich wie möglich geschrieben zu haben. In der Vergangenheit konnte damit augenscheinlich auch vielen Trojaner-Opfern geholfen werden.
Da sich die Problembehebung mit der Zeit allerdings immer wieder verändert hat und es jetzt teilweise Varianten des Trojaners gibt, die selbst einen Profi in die Knie zwingen, würde ich empfehlen, professionelle Hilfe in Anspruch zu nehmen.
Das kann zum einen der Simon sein (siehe Kommentar über deinen) oder aber ein PC-Service im Ort.
@ Jochen
Wenn die oben beschrieben Tipps und die Kommentare heir nciht helfen, kann ich wie beschrieben auch meine Hilfe per Mail oder Fernwartung anbeiten.
Sollte das Problem also noch bestehen, dann melden Sie sich einfach.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Also es gibt mind. eine Methode die bei sowas erstmal fast NIEMANDEN in die Knie zwingt weil nicht von einem laufenden BS auf dem Rechner abhängig. Im Gegenteil, die haben noch die allerbeste Erkennungsrate weil nicht durch den auf dem infizierten Rechner befindlichen Virus „erblindbar“. Das ist der Weg über einen von der CD/DVD bootbaren autarken Virenscanner in einer eigenen Umgebung (meist basieren die auf irgendein Linux-Derivat und haben eine eigene Oberfläche). Die aktualisieren sich sogar vor dem Scan übers Internet nochmals so daß wirklich alles aktuell bekannte auch erkannt wird. Sowas kann man einerseits bei z.B. einem Freund/Bekannten herunterladen und brennen lassen oder aber sich von einer Zeitschrift holen, da ist immer mal wieder sowas drauf eigentlich. „Rettungs-CD“, „Bootbare Sicherheits-CD/DVD“ , „Antivirus-CD“ etc. sind die Begriffe wonach man da mal im Zeitschriften-Laden oder im Supermarkt oder entsprechendes am nächstgrösseren Bahnhof stöbern sollte.
(bin Fachinformatiker, Systemintegrator).
..überhaupt würde ich schon – auch als absoluter Laie – von vorneherein niemandem was über UKASH oder über irgendeinen anderen anonymen Bezahldienst überweisen. Keinen Cent und auch nicht in einer beliebigen anderen Währung! Andere Betrüger versuchens schon mal mit Western Union, PaySafe und anderem Mist. Keinen CENT! Das ist hier die Devise.
@ Bernd
Das stimmt natürlich und so sollte es auch sein, aber wie ich es schon mal schrieb – nicht jeder hat den klaren kopf dafür oder ist noch „jung genug“ um das rechtzeitig zu kapieren.
Manche fühlen sich ggf (zu recht) schuldig, etc..
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Bei mir befindet sich unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon keine Datei mit dem Namen „Shell“.
Was kann ich tun?
Vielen Dank schonmal!
@ Soeren
Wenn es dort echt keinen Eintrag Shell gibt, dann diesen bitte wie folgt anlegen:
– Regedit öffnen
– Zum genannten Pfad (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\) navigieren
– In den Schlüssel mit rechte Maustaste folgende „Zeichenfolge“ anlegen namens „Shell“
– Doppelklick darauf und dort „explorer.exe“ eintragen.
Fertig, Shell-Zeichenolge ist nun existent.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Wir haben auch diesen Trojaner,aber weder das mit F8 geht bei uns noch dieses Strg+alt+entf geht.
wir haben windows xp.
HILFE!!!!!!
:-)
@ Nadine
*sorry* das ich erst jetzt antworte, aber wie ist der Stand des Problems aktuell?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hey ehm es tut mir leid aber ichhabe ausversehen shell im registry geloescht…
was soll ich tun?
@ 14
Bitte Punkt P09 meiner Seite beachten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Kurze Beschreibung wie das Problem bei mir zu lösen war:
1) Start im abgesicherten Modus hat funktioniert.
2) Suche in der Registry
3) Der hier beschriebene Shell eintrag war NICHT das Problem.
4) Der fatale Registry Eintrag fand sich unter KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
5) Die Datei hieß tpxstggx.exe
6) Ich habe den Registry Eintrag gelöscht
7) Die eigentliche Datei befand sich im Verzeichnis c:\ProgramData, (wird üblicherweise nicht angezeigt). ich weiß nicht wie es bei einer deustchen Win7 Version heißt.
8) Die habe ich endgültig gelöscht, d.h. auch aus dem Papierkorb
9) Es befand sich noch eine zweite Datei mit gleichem Datum/Uhrzeit in diesem Verzeichnis. Name: pszziksumsdvrzu (ohne Erweiterung). Die habe ich auch gelöscht.
10) Danach war der Systemstart wieder normal möglich.
@ telemacher
Bitte nochmal die Scans wie bei @ Fabian beschrieben durchführen (zur Sicherheit).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Sinom, vielen Dank für die hier angebotene Hilfe erstmal.
Ich habe mir diesen Trojaner gestern auch eingefangen, ich bin der Anleitung oben gefolgt und habe unter shell die explorer.exe gefunden. Also bin ich deiner Anleitung gefolgt und habe mich für eine Systemwiederherstellung entschieden, die ich im abesicherten Modus durchgeführt habe.
Du sagst, dass nun weitere Maßnahmen notwendig sind, ich konnte aber nich herausfinden welche das sind und unter welchen Punkten du sie beschreibst.
Was ist nun zu tun?
Liebe Grüße und Danke im Voraus
@ Fabian
Korrekt.
Nach einer Systemwiederherstellung sollte das System auf alle Fälle noch gescannt werden.
Einfacher Grund: Eine Systemwiederherstellung stellt im Grunde nur die Systemdaten wieder her – löscht aber keine schädlichen Dateien (ganz grob gesagt).
Heißt also – bitte Scans mit folgenden Programmen im „Abgesicherten Modus mit Netzwerktreibern“ machen (und mir per Mail bitte zur Auswertung zukommen lassen):
1. Kaspersky TDSS-Killer
2. Malwarebytes Anti-Malware Free (www.malwarebytes.org)
3. ESET Online-Scanner
[Alle Programme sind für den kurzen Nutzungszeitraum komplett kostenfrei.]
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
…Nachtrag
Bitte beim ESET Online-Scanner unter den „Erweiterten Einstellungen“ den Haken bei „Auf potenziell unsichere Anwendungen prüfen“ reinsetzen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo simon
Leider kann ich die jashla.exe nicht finden. Kannst du mir weiterhelfen??
@ Matthias
Melde Dich der Einfachheit halber mal bei mir per Mail (mit der Fehlerbeschreibung soweit möglich).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon ich finde die jashla.exe Datei ebenfalls nicht. Würde mich sehr über Hilfe freuen.
Grüße :-)
@ Sylvia
Melde Dich der Einfachheit halber mal bei mir per Mail (mit der Fehlerbeschreibung soweit möglich).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
Ich hab mir gestern auch eine schöne Version eingefangen…
Bei mir gibt es leider keinen Ordner mit dem Namen „winlogon“. Habe es mehrfach überprüft. Was muss ich sonst tun? BS ist Vista…
Lg und vielen dank schonmal!
@ Sabrina
So blöd es klingen mag, aber bitte nochmals ganz genau den Pfad prüfen. Es gibt durchaus einen ähnlichen Pfad der aber doch in einem anderen Verzeichniszweig liegt.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hey Simon,
Danke erstmal!
Der soll doch direkt in „current User“ kommen,richtig?
Da ist er aber nicht.
…
Themes
Thumbnail Cache
Uninstall
Welcome Center
Win Trust
Das ist alles!
Habe auch die Suchfunktion benutzt. Einen Ordner namens „Shell“ habe ich gefunden,aber eben nur einen Ordner. Im Ordner Windows,unter current Version und DWM
Ich hoffe das alles halbwegs verständlich darzustellen.
Danke für deine Hilfe!
Lg
Sabrina
Ahhh,Fehler gefunden. Ich war bei „Windows“ nicht bei „Windows NT“. Nun ist da aber keine „Shell“ Datei…
(Standard, buildnumber, excludeprofiledirs, firstlogon, parse autoexec)
Tut mir leid !
@Sabrina
Bitte nimm es mir nicht übel, aber all diese Objekte gibt es im „korrekten“ Schlüsselzweig leider nicht.
Ich vermute mal das Du/das Sie in „HKey_Current_User“ und nicht in „HKey_Local_Machine“ sind oder nochmals irgendwo leicht falsch abgebogen sind.
Der korrekte Pfad lautet wie beschrieben: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon und dort gibt es dann einen Eintrag namens „shell“ mit dem Wert „explorer.exe“.
Sollte alles nichts nützen, dann entweder wieder hier posten, oder mir eine Mail zukommen lassen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon. Ich war tatsächlich noch immer falsch (das gibt’s doch nicht!)
Habe es nun gefunden (deine Vermutung mit dem Pfad war richtig) aber da ist schon der geforderte Wert (Explorer.exe)
Habe ich also eine andere Version von dem Virus?
Lg und vielen dank!
@ Sabrina
naja ab und an muss ich ja mit meinen Vermutungen auch recht haben. :-)
Wenn da schon explorer.exe steht, hat man in der Regel das Problem nicht mehr bei dieser Datei, sondern in anderen Dateien. Welche dies sein können und wo man diese findet, kann man sich z.B. auf meiner Seite unter den Punkten P14 und P14.1 anschauen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
HILFE BITTE!!! Ich habe diesen Virus „Der Computer ist für die Verletzung der Gesetze der Republik Österreich blockiert worden“ schon seit ein paar Tagen und ich weiß nicht wie ich ihn entfernen soll. Hier komme ich nur bis Schritt 2.Weiter geht es nicht weil der Virus den ganzen Computer blockiert. Ich kann nur den Abgesicherten Modus mit Eingabeaufforderungen öffnen, nutzt aber nix weil kein schwarzes Fenster mit Texteingabemöglichkeit kommt. Kann mir jemand bitte helfen? :S
@ Natasa
Wie lange hat man jeweils gewartet ob im „Abgesicherten Modus mit Eingabeaufforderung“ noch etwas geschieht, außer dem oben links blinkenden Cursor?
Was passiert bei den Optional wählbaren Varianten „Abgesicherter Modus“ und/oder „Abgesicherter Modus mit Netzwerktreibern“ (jeweils mit angeschaltetem Internet)?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Kann mir jemand helfen, bitte??
@ Natasa
So dringend die Probleme natürlich auch sind, so frei steht es einem jedem/einer jeden hier zu posten wann es zeitlich passt.
Entsprechend bitte einfach Geduld beweisen.
Ich z.B. bin jemand der an manchen Tag schnell helfen kann, weil ich die Zeit dazu zur Verfügung habe, an anderen Tagen wie heute bin ich stark ausgelastet und habe wenig(er) Zeit dafür.
Daher kommen Antworten ggf. verzögert.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Nicht lange, aber der Virus kommt immer in den Vordergrund und man kann ihn nicht schließen. Den „Abgesicherten Modus“ und den „Abgesicherten Modus mit Netzwerktreibern“ hab ich auch schon probiert. Nutzt nichts, da man vom Virus nichts machen kann.
Lg.
Natasha,
welches Betriebssystem hast du denn? Kommst du zu ‚Datei ausführen‘?
Zum Entfernen habe ich mal einen guten Trick bei anderen PC´s gefunden. Meist haben die PC´s keinen guten Schutz gehabt, daher bin ich mit dem Trend Micro davon verschont geblieben.
Der Trick geht so: PC runterfahren, aber dann im aufgehenden Fenster auf abbrechen gehen. Dann ist das blockierende Fenster des Trojaners erst mal weg. Dann kann mit Anti Malwarebytes ziemlich bequem das Entfernen erfolgen. Den Anti Malwarebytes gibt es ja in der Vollversion für einige Tage zum Testen, da muss man noch nicht mal was investieren. Dennoch sollte jeder nach so einem Vorfall mal über seinen PC-Schutz nachdenken.
Dein Trick setzt voraus, dass man zu ‚Start‘ ‚Ausführen‘ kommt. Bei mir war das nicht der Fall.
Peter
Gibt es mittlerweile eine lösung?????????????
Hab es seit heute auch.
Und bei shell steht schon explorer. Exe.
Was soll ich machen????
Ich schreib grad an meiner doktorarbeit, ohne meinen
Laptop kann ich von vorne beginnen!!!
@Nomi
Welches BS?
Peter
Hallöchen,
ich hatte diesen „Bundestrojaner“ vor ungefähr 15 min auf meinem PC. Mein Problem ist aer jetzt, dass ich mir nicht sicher bin ob er wirklich gelöscht ist.
gab es nicht einmal eine Website wo man überprüfen konnte ob der pc infiziert ist mit diesem Trojaner oder nicht?
beseitigt habe ich diesen Trojaner ganz einfach (bzw. diese Sperrung): PC vom Strom gekappt, Windows sicher gestartet, Reperatur abgebrochen und einen Wiederherstellungspunkt von Gestern Abend gestartet.
Nach all dem neu gestartet und im Windows Task Manager den Dienst „Windows Defender“ wieder aktiviert (der deaktiviert wurde durch den Trojaner wie viele andere Dienste auch!)
Hoffe mir kann jemand helfen herauszufinden ob dieser Trojaner immernoch auf meinem PC ist oder nicht.
Danke im Voraus, MFG Michael
Ich konnte den Trojaner (explorer.exe) beseitigen mit
Malwarebytes Anti-Malware 1.65.0.1400
http://freewareupdate.com/antivirus-spyware/6840-download-malwarebytes-anti-malware
Das Programm im Abgesicherten Modus mit —>Netzwerktreibern!
(Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken)
speichern und ausführn. Das Prgm hat den Trojaner gefunden und gelöscht.
Mfg und Viel Erfolg!
Angeblich soll Hitmanpro-kickstart die Ransoms wegbekommen können, auch wenn der PC gesperrt ist: http://www.trojaner-board.de/127830-anleitung-hitmanpro-kickstart.html
schon jemand ausprobiert?
Wenn ich jashla.exe suche, dann findet mein PC nichts. Wo befindet der sich denn normalerweise ?
Ach und ausserdem…. wenn ihr diesen Virus habt dann könnt ihr auch STRG+ALT+Entf drücken. dann Abmelden und wieder anmelden (Windows normal Starten) dann startet der Virus nicht mehr, also nur wenn ihr den PC neu startet dann startet der Virus natürlich wieder. aber wenn ihr gerade im Normalen Windows betrieb seid könnt ihr diese Schritte viel einfacher ausführen
jashla.exe – das gilt für eine der ersten Varianen überhaupt. Die ist kaum im Umlauf.
Scanne Deinen Rechner mit: http://filepony.de/download-malwarebytes_anti_malware/
Gott sei dank habe ich das hier gefunden. Ihr habt mir sehr geholfen mit der Anleitung. Vielen Dank!!!
Ich bin bis zum „fast gewohntem Bildschirm gekommen blos ich find dieses jashla.exe nicht was jetzt?
Hi simon erstmals danke für die coole seite
Ich hatte auch diesen sch…. Virus gehabt was mich nerven gekostet hat
Dank Alex sein tipp von 19 dezember 2012 hatt es supii geklappt mit abgesicherte online modus einfach malewarevirus runterladen und schon geht mein rechner wieder
Man sollte diesen leuten von virus machern in den hintern tretten ;-)
BS:windows 7
Hilfe! Bitte helft mir! Ich finde jashla.exe nicht was soll ich machen?