„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Hallo zusammen,
ich hatte das gleiche Problem auch gerade mit Windows 7. Nachdem ich die Datei aus dem „Roaming“-Ordner entfernt und den Key in der Registry gelöscht habe, läuft das System wieder.
Nun stellt sich mir noch eine Frage: Ist der Trojaner damit wirklich weg? Andere Foren, Internetseiten der Polizei usw. empfehlen trotzdem eine Neuinstallation des Systems.
Kann ich sicher sein, dass der Trojaner nicht noch irgendwoe schlummert und meine Daten beschädigt oder ausspioniert?
Möglicherweise gibt es ja auch ein gutes Tool (Norten Internet Security oder so), das zuverlässig oder Neuinstallation für Sicherheit sorgt.
Könnt ihr mir da Klarheit verschaffen bzw. Hilfestellung geben?
Danke schon mal.
Gruß
Jonas
die einfachste lösung komplett platt machen
Hüseyin, Das dürfte für die wenigsten hilfreich sein. Eher wie beschrieben reparieren, dann alle Daten sichern, platt machen und die Daten, die man wieder braucht, wieder herstellen.
Hey, kann sich der Virus an anderer stelle als
„HKEY_current_user bzw. local_machine… Run bzw. verstecken? ich hab zwar in tempt bzw roaming die Dateien gefunden, aber nicht in der registry. da stand für die Shell bereits der Wert explorer.exe. korrekt geschrieben.
heißt, ich kann den Schlüssel nicht ändern. suche nach jashla, Mahmud/t, v…, hat nix ergeben
ich hab Windows 7. ich freu mich über Tipps!! Gruß alex
hab auch winlogon probiert
Hallo,
bin leider auch infiziert und will den Virus so schnell wie möglich wieder loswerden!
Unter
# HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
# HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
habe ich den virus („update“) gefunden, weil dies exakt mit Datum und Uhrzeit übereinstimmte. Habe den Wert und Schlüssel entfernt. Anschließend wurde ich mit der Windows-<suchfunktion und dem Pfad fündig, konnte aber die Datei nicht mit der Esc-Taste oder rechten Maustaste – löschen. Wer kann mir weiterhelfen? Vielen Dank, Herbie
Mit der ESC-Taste kannst du keine Dateien löschen! Mit der Entf oder Shift-Entf schon eher …
Es gibt aus meiner Sicht 2 Gründe, die ein Löschen verhindern.
1. Die Datei ist in Verwendung. Hier im Taskmanager suchen und ggf. dort beenden und dann löschen.
2. Du hast nicht die notwendigen Rechte -> Explorer als Administrator starten und die Datei löschen.
Hallo Daniel,
danke für deine Antwort. Vllt kannst du mir weiterhelfen:
– im Taskmanager erscheint die Datei nicht.
– ich bin der einzige Benutzer und habe daher nur ein Benutzerkonto angelegt. Somit bin ich doch automatisch der Administrator, oder?
– beim Anklicken der Datei mit der rechten Maustaste erscheint unter anderem: Als Administrator ausführen. Muss ich das anklicken?
Danke im Voraus,
Herbie
Der Virus
„hatte“ diesen trojaner auch auf mein laptop. Habe es durch zurücksetzen des Systems weg bekommen. läuft alles wieder, ist er jetzt trotzdem noch auf mein rechner? wie bekomm ich ihn runter?
hallo! danke schön für die hilfestellung, echt fein wie vielen menschen dzu damit hilfst! aber ich bin leider ein totaler Pc- noob und komme leider nur bis punkt 7. bei 8. harperts schon.. deswegen ein paar fragen: was ist mit „wert“ gemeint? wenn ich „shell“ öffne kommen dort nur unzählige ziffern.. und „explorer.exe“ . ebenso bei punkt 9. welcher „pfad“ ist gemeint. .den ich löschen soll ? =/ hilfe wäre mega lieb!
Ich kann irgendwie nichts and dieser Shell Datei verändern , da steht : Shell kann nicht bearbeitet werden : Fehler beim Schreiben des Inhalts des werts.
Hilfe
hallo
ich habe auch ein virus glaube ich.
es kamm auf dem bildschirm eine meldung hab ausversehen zu gemacht.
aufjedenfall es stand irgend was mit police.
und jetzt habe ich voll angst. ich möchte nicht das ich mit polizei zu tun und so.
die frage ist, ist das ein virus? oder nicht.
danke im vorraus
Ich denke nicht, dass man vor der Polizei Angst haben muss. Dann wohl eher vor Seeungeheuern oder Menschen fressende Mutanten ;-) Also lesen was da steht …
Hallo,
Ich hatte mir den Trojaner auf einem XP eingefangen, bei mir hiess er auch mahmud.exe.
Leider konnte ich den gesicherten Modus mit Eingabeaufforderung nicht starten, da dann mein Passwort nicht mehr funktionierte.
Die Lösung, die Du beschreibst, funktioniert im Prinzip prima, ich musste aber größere Geschütze auffahren, um die Registry anzupassen.
Unter http://pogostick.net/~pnh/ntpasswd/
gibt es ein CD Iso Image, das man sich auf einem anderen PC herunterladen und brennen kann, um damit dann den infizierten PC zu booten. Dort ist ein kleines Linux und ein Skript zum Editieren der Regsitry mittels Kommandos. Mit „cd “ geht man die Hirarchie bis zum Knoten „Winlogon“, mit „type Shell“ liest man den Wert und ändert ihn mit „ed Shell“ auf „Explorer.exe“. Bitte die Bildschirmausgaben lesen und befolgen, wichtig ist, dass man am Ende nochmals explizit speichert (beim Fragen „y“ drücken), sonst wird alles verworfen.
Nach der Operation konnte ich wieder booten, lasse jetzt aber erstmal eine desinfec’t (aus einem c’t Magazin) laufen.
Danke nochmals! Schnappi
Vielen Dank für die Hilfe auf dieser Seite! Ich konnte mit deiner Anleitung als absoluter Computer-Laie ganz allein diesen Trojaner entfernen. Bei mir läuft wieder alles wie gewohnt.
Dank Herbie habe ich auch die Datei gefunden unter:
Computer\HKey_current_user\Software\Microsoft\Windows\currentversion\run
Habe die gelöscht, d.h. in den Papierkorb verschoben und den dann geleert. Ist das soweit OK? Gerade läuft mein Avira Antivir Programm durch. Gibt es jetzt noch etwas zu tun?
Vielen Dank!
Auch ich bedanke mich für die ausführliche und kinderleichte Anleitung, der Rechner von meinem Mann läuft wohl wieder problemlos!!!! Zum Glück hatten wir ein Laptop parat, um direkt das Problem zu beheben! DANKE!!!!!! Ich konnte ihn gerade noch davon abhalten alles zu plätten – ein ruhiges Wochenende kann nun kommen!
hallo.
habe das gleich problem.
ich will die ganze zeit ins abgesicherte modus rein also mit F8 aber er reagiert nicht auf meinen befehl.
das bild bleibt schwarz.
was kann ich tun?
Ich hab den Bundespolizeit Trojaner auch allerdings wird bei mir in der DOS eingabe behauptet, dass der befehl regedit falsch ist … was kann ich da machen um trotzdem ins verzeichniss zu kommen?
neuer name tuafy.exe
Viiiiiieeeeelen Dank für de Beschreibung und die Super Hilfe. Die Beschreibung ist Gold Wert!!! Habe wichtige Geschäftsdaten auf meinem vorher noch Infizierten Rechner. Zum Glück habe ich noch 2 andere Rechner mit www Anschluss, so konnte ich diesen Eintrag finden. Danke an den Verfasser!!!
Hey,
benutze Vista,
im Eintrag steht bei mir bereits explorer.exe
Systemwiederherstellung funktioniert nicht. Irgendwelche Ideen? Bitte um schnelle Hilfe…
Bitte mal in den Kommentaren suchen. Der Hinweis von Bronko hilft möglicherweise weiter.
Hab folgendes Problem.Ich hab die Schritte mit dem Trojaner eigentlich befolgt(HKEY LOCAL MASCHINE/Software/Microsoft/Windows/CurrentVersion/Run bzw.Winlogon)und eingegeben,aber wenn Ich dann auf Enter drück passiert gar nichts.Ich muß dazu sagen,daß beim Registrierungseditor nur der Standard aufgeführt ist.Gruß Mario
Ich bedanke mich viel zu selten in Foren. Diesmal ist es aber wohl nötig. Es scheint geklappt zu haben. Einerseits dank des 10. Punkte Plans, andererseits dank für die anderen Kommentare. Also: vielen dank!
Übrigens: sollte jemand die Drecksäcke in die Finger bekommen: sagt mit Bescheid! Ich bin dabei!
Hallo nochmal!Bin jetzt mittlerweile bis dahin gekommen,daß bei dem Fenster SHELL,schon das explorer.exe drinsteht,da aber keine Viruszeichen aufkreuzen.Da Ich nicht so viel Ahnung hab vom Computer,bin Ich auf eine andere Leiste gegangen.Da steht bei Name „PreCreateKnow;Wert:A520A1A4-1780-4FF6 usw.)
ich habe ein Problem : ich bin ausführlich nach den schritten gegangen nun aber finde ich diese „jashla.exe“Datei nicht was kann ich nun tun ich brauch Hilfe bitte so schnell wie möglich um Antwort liebe grüsse
Hallo,
ich schaffe es leider nicht den Virus trotz Anleitung nicht zu entfernen. Ich habe bei „Shell“ explorer.exe als Wert gesetzt, beim Neustarten erscheit dennoch der BKA Schirm…
Was mache ich falsch ? ? ?
Gruß Jungle
löschen micht vergessen, sonst macht der sich wieder auf !!
Hallo Jungle,
hast Du vor dem Neustart auch die Datei gelöscht? Das hatten wir beim ersten Versuch nämlich auch vergessen!
Gruß Claudia
Hallo,
die Datei hab ich nicht löschen können, da ich den Pfad nicht finden konnte…
Gruß
Also, bei mir stand bei Shell für den Wert auch schon explorer.exe drin, und als ich nach mahmut.exe oder jashla.exe gesucht hab um sie zu löschen konnte ich nichts finden..
Was mach ich denn jez am besten ?
Gruß Jungle
So habe es nun geschafft diese teil zu entfernen. hat schon was gedauert aber der Hinweis mahmud.exe war erfolgreich.
Abgelegt war das teil uner c: dokumente und einstellungen anwendungsdaten mahmud.exe.
verknüpft wie vorher beschriebenunter shell => dort den explorer.exe eintragen und dann unter c: ….. löschen.
Die sollte man aufhängen die einen solchen Mist verbeiten !!!
Ach ja danke an das board hier !!
Juhuu,
ich habs jetzt auch geschafft den scheiß Virus zu löschen, bin aber anderst vorgegangen..
http://www.youtube.com/watch?v=rZuzB7dYWVM
Ich hab bevor der Virus den Computer lahmlegt den Taskmanager geöffnet und da dann gleich den Prozess Mahmut.exe beendet und ihn dann bei AppData/Roaming gefunden und gelöscht :)
Ich hoffe das kann den naderen die noch Probleme haben weiterhelfen!
Gruß Jungle
Hallo,
habe alle möglichen Registereinträge angeschaut, geholfen hat aber letztendlich die Suche nach „mahmud“ im abgesichtern Modus.
Danke für die vielen Vorschläge und schließlich den Vorschlag, der mir hier das Leben gerettet hat. :)
Gruß,
Tim
Bei mir hatte der Virus eine kryptische Zahlenfolge als Namen (als Beispiel: 96564861464641.exe oder so ähnlich).
Glücklicherweise fragt mich meine Firewall (ZoneAlarm – Free Version) kurz nachdem der Rechner hochgefahren ist, ob besagter 96564861464641.exe der Zugang zum Internet gestattet werden soll. Somit hatte ich schonmal den Namen der .exe
Ich bin Windows 7 Nutzer und selbst, wenn der Trojaner dieses nette Bundespolizeibild auf den Monitor wirft, konnte ich durch Gedrückthalten von Windowstaste + Tab zumindest die Meldung der Firewall lesen, ohne das diese vom Trojaner überdeckt wird.
Danach habe ich den Rechner neugestartet, im abgesicherten Modus die Registry geöffnet und über die Registry-Suche besagte 96564861464641.exe gesucht und auch gefunden. Wie bei vielen anderen war sie nicht im Winlogon sondern im Roaming-Ordner. Den Pfad hab ich mir dann notiert, den Explorer geöffnet, den Pfad geöffnet und die dort befindliche 96564861464641.exe gelöscht (Shift + Entf). Hat super funktioniert.
Ich könnte mir vorstellen, dass es helfen könnte ZoneAlarm im Abgesicherten Modus zu installieren, den Rechner dann normal hochfahren zu lassen um die Meldung über die .exe (mit hoher Wahrscheinlichkeit der Virus/Trojaner) zu bekommen, die auf das Internet zugreifen möchte. Somit kennt man den Namen des Virus und weiß, wonach man in der Registry suchen muss.
Ich hoffe das hilft vielleicht jemandem.
Gruß, b
Ich möchte mich auch bedanken für die hilfreiche Antleitung. Nach dem Löschen von der manhud.exe mußte ich noch eine Systemwiederherstellung machen.
Mein Rechner hatte F-Secure mit einer strengen Einstellung, aber geholfen vor dem Virus hat es leider nicht.
Hallo zusammen und vielen Dank für die Anleitung. Ich habe allerdings das Problem, nicht im abgesicherten Modus starten zu können (Laptop, Win XP). F8 funktioniert zwar aber welche Option ich danach auch wähle, ich bekomme immer die Fehlermeldung, dass das System nicht gestartet werden kann. Auch die Option „…letzte funktionierende Installation wiederherstellen…“ funktioniert nicht.
Kann jemand die Variante mit Boot-CD oder USB bitte mal eingehend schildern? Anders scheine ich nicht mehr an meinen Rechner ranzukommen. Vielen Dank.
Habe viele Komentare, Berichte zu diesem Thema gelesen und ausprobiert.mein PC läuft zwar noch nicht perfekt aber es war bisher der der beste Ratgeber.
DANKE:) DANKE:) Danke:)
Was heiß „läuft nicht perfekt“? Entweder es ist wieder wie vor dem Schädling, oder es gibt noch Probleme …
eine frage wie bekomme ich mein gewohntes Deskop wieder hin
mfg
vielen Dank für deine Anleitung zur Entfernung des Bundespolizei-Trojaner. Hat super geklappt. Einziger Unterschied – bei mir hiess die Datei nicht „jashla“
sondern „mahmud“. Hoffe daß das am Ergebnis nichts ändert.
Hallo zusammen,
wer kann mir weiterhelfen??
Unter
# HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
# HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
habe ich den virus (“update”) gefunden, weil dies exakt mit Datum und Uhrzeit übereinstimmte. Habe den Wert und Schlüssel entfernt. Anschließend wurde ich mit der Windows-<suchfunktion und dem Pfad fündig, konnte aber die Datei nicht mit der Esc-Taste oder rechten Maustaste – löschen. Den Rat von Daniel am 8.10., habe ich befolgt. Allerdings:
– im Taskmanager erscheint die Datei nicht, somit ist die Datei nicht aktiv.
– ich bin der einzige Benutzer und habe daher nur ein Benutzerkonto angelegt. Somit bin ich doch automatisch der Administrator und berechtigt die Datei zu löschen, oder?
Komme leider nicht weiter…
Gruß Herbie
hab alles gemacht aber mein Bidschirm bleibt blau komme nicht in irgentwelche Dateien hilfe
Blau?! Ein richtiger Blue-Screen mit Fehlermeldungen und einer Fehlernummer? In diesem Fall einfach mal nach dieser Nummer bei Google suchen, da gibt es eigentlich immer einen passenden Tipp.
Oder nur blau?! Schon die Kabel des Monitors überprüft?
Meine Freunde, ich habe es geschaft! :)
Bei mir war das auch kein jashal.exe.
HKEY_LOCAL_MACHINE\Microsoft\Current Version\Run
NAME TYP Wert
Update REG_SZ 0.9851025543668306.exe
…../AppaData/Roaming/0.9851025543668306.exe
Danke allen die Ihre Kommentare und Erfahrungen hier geschrieben haben und viel Glück an Die die noch am suchen sind!!!
Hey ich hab das selbe Problem mit diesem Virus & ich bin alles genau so durchgegangen, nur bei mir ist er jetzt immer noch da. Und bei mir steht bei “Shell“ auch nicht irgendein Schlüssel sondern da steht auch mit Virus schon ganz Normal “Explorer.exe“ – was soll ich nun machen ?
Bitte um Hilfe -.-
Ich habe das Ding bei mir unter „avupdate“ im Ordner HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run gefunden.
[Hier habe ich wie oben beschrieben explorer.exe als Wert eingegeben]
Letztlich war es dann unter C:\USERS\(mein Username)\AppData\Roaming\mahmud.exe zu finden.
[Diese habe ich wie beschrieben gelöscht]
Dadurch konnte ich den Computer ohne Probleme neustarten, ohne dass das Ding wieder erscheint. Jetzt lasse ich gerade den Virenscanner nochmal ausführlich suchen und ich selbst gehe jetzt erstmal ne Runde laufen um den Ärger loszuwerden ;-)
Danke nochmal an alle, die hier ihre Tipps posten!!!
Bei euch allen hat es ja super funktioniert, hatte dabei auch irgendjemand Vista?
Schau mal in den Kommentaren, da waren auch Vista / Windows 7 dabei. Hier ist der Pfad in der Registry ein klein wenig anders als bei XP.
…danke für die guten Tipps.
Bei mir hat die Suche in der registry nach „avupdate“ den durchbruch gebracht. Konnte dannach dann „mahmud“ löschen und es läuft wieder :)
Super Hilfe, vielen Dank!!! Hatte das Mistding auf meinem notebook, trotz Virenschutz. Auch der Versuch über eine rescue CD und Virenscan hat nicht zum Erfolg geführt. Mit der obigen Beschreibung war die Sache in 2 Minuten ereledigt. Tausend Dank!!!
Hallo..
Kann mir jemand helfen? Also ich habe Vista und habe die Datei auch schon in Explorer.exe geändert und nun weiß ich nicht wie ich das löschen soll..
Ich habe das gleiche Problem nur kann ich meine E-Mails auch nicht nachschauen warum weis ich nicht
Endlich isser weg =))) dacht schon ich muss formatieren =(
Super, hat wunderbar geklappt.
Schönen Dank!!!
hallo,
ich weiß nicht wie ich auf dieses
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
komme
Mir hat auch der Tip mit „avupdate“ einen Treffer eingebracht! Super Seite!!!!! Hoffe zwar dass ich euch so schnell nich wieder brauche aber trotzdem vielen Dank!!!!!
Hallo zusammen, irgendwie habe ich das nicht verstanden. Bei shell steht als Wert schon explorer.exe drin. Wat nu?
Wie gerade beschrieben, konnte ich direkt den „mahmut.exe“ löschen. Hoffe, dass waer es jetz. Kompliement an diese Seite. super hilfreich.
DANKE DANKE DANKE ! Die Suche im regestry mit avupdate hat supper geklappt ! Datei war auch mit mahmud.exe am Ende ! Habe Windows 7 fals das jemandem hilft!Laptop funktioniert wieder ohne böse Störung ! “Bundespolizei“ …die werden immer gerissener!
ich glaube ich habe den selben fall wie du!
Kannst du kurz erklären wie du vorgegangen bist??
wäre dir sehr dankbar!!
Die datei hab ich jetzt gefunden…was dann????
Hallo allerseits,
erst einmal möchte ich meine Freude darüber ausdrücken, dass es so viele Menschen gibt, die bereit sind anderen zu helfen. Ich hoffe sie sind immer noch mehr als die, die versuchen uns Unangenehmes anzutun.
Unglücklicherweise, trotz Anwendung der bis dato aufgezeigten Möglichkeiten, werde ich den Mist nicht los. Leider finde ich im Registrierungs-Editor weder den „mahmud“, noch den „mahmut“, noch „avupdate“ etc. Und bei mir hat die shell-datei bereits den Wert „explorer.exe“.
Hat jemand möglicherweise Ideen oder Erfahrungen wie man trotz dessen das Mistvieh loswird? Neue Namen, die man in der „suche“ eingeben sollte, vielleicht?;)
Danke im Voraus,
cheers
Stellt sich die Frage, ob alles von diesem Problem vom PC verschwunden ist und ob vielleicht Daten (so nebenher) gezogen worden sind. Was auch immer die mahmud.exe so nebenher erledigt hat!
Ich würde die die Datei an AVIRA weitergeben, wenn sie nicht erkannt worden ist. Die sollten ihren Virenscanner anpassen. Wenn die Virendefinitionen erneuert worden sind, würde ich den PC nochmals komplett prüfen.
oh danke danke danke für die Hilfe!!! ich saß grad über eine Stunde da und wäre fast verzweifelt…bei mir war der dumme virus auch unter mahmud…werde mir so schnell wie möglich nen gescheiten Antivirus holen das ist sicher! danke nochmal =)
Hallo,
ich hatte den Trojaner auch.
Fast alle Tips auf dieser Seite haben aber nichts genützt, da bei mir in der Registry unter …\Windows NT\CurrentVersion\Winlogon und auch unter …\CurrentVersion\Run alles OK war.
Es scheint aber eine neue Version zu geben. Die ändert einfach die explorer.exe. Ist damit mit den bisherigen Tips nicht zu finden, aber um so leichter zu entfernen: Einfach eine explorer.exe aus einer sauberen Windows-Installation (natürlich gleiche Version XP, Vista oder 7) im abgesicherten Modus (nur eingabe aufforderung) nach c:\windows kopieren.
Ich bin darauf gekommen, als ich im abgesicherten Modus mal etwas nachschauen wollte und „explorer“ eingegeben habe. Prompt erschien das Virus-Bild.
Also eine explorer.exe vom Laptop auf einen usb-stick kopiert und auf den befallenen Rechner im abgesicherten Modus eingeben:
copy x:explorer.exe c:\windows
(x ist natürlich der Laufwerksbuchstabe des usb-stick)
Fertig.
eine generelle frage hätte ich noch: gibt es einen weg auf dem ich herausfinden könnte welche datei der trojaner ist? wie es scheint kann das mistvieh sehr unterschiedliche namen haben. die bisher erwähnten namen sind bei mir nicht zu finden. danke im voraus, mfg