„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Ich hab noch nen Tipp zu Antivirenprogrammen: Auf der Computerbild ist regelmäßig eine Vollversion der „Kaspersky Security Suite“ drauf. Deren Lizenz kann man alle 3 Monate erneuern und auf 3 weiteren Rechnern verwenden.
Das kostet einmalig ein paar Euro, ist aber ein vollwertiger Schutz in Form von Firewall und Virenscanner. Ich benutze das Programm seit etlichen Jahren (inzwischen in der Version „CBE 10“) und hatte noch keinerlei erfolgreiche Angriffe auf meine Systeme. Dafür wurden selbst angeklickte Links (Stichwort Facebook-„Virus“) erfolgreich geblockt und vor dem Inhalt der entsprechenden Seiten als „gefährdend“ gewarnt.
Aus meiner Sicht also effektiver als die gänzlich kostenlosen Programme (und die Windows-Firewall) und bei vollem Schutz deutlich günstiger als verpackte Vollversionen aus dem Laden bzw Internet.
Noch eine Frage!!
habe im abgesicherten Modus nach der Datei „avupdate“ gesucht.
Die wurde dann im Ornder
Computer\HKEY_User\S-1-5-21-2969177562-15….\Software\Microsoft\Windows\CurrentVersion\Run
gefunden.
Soll ich die Jetzt löschen??
Ich hoffe jemand kann mir helfen!!! Danke schon mal!
hey dange für die hilfe=)
aba ich bekomm den net gelöscht wall ich den net find=(
Habe auch den Bundestrjaner auf meinem Rechner gehabt,und konnte ihn entfernen wie es oben angegeben war.Das Avira Antivir Premium Program hatte ihn auch erkannt,aber bei beim arbeiten im abgesicherten Modus habe ich gesehen das er deaktivirt war,und eine einstellung war nicht möglich.Aber alles läuft wieder DANKE für den Tip.
Hey VIELEN DANK!!! Ich glaube/ hoffe ich habs erstmal geschaft den Virus zu löschen!!! Bei mir hieß er übrigens VASJA .. hab ihn gefunden unter
#HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Viel Glück allen anderen noch und ich habe mir dann doch sofort das neueste Update von Avira geholt ;)
lg
Guten Abend, mein Problem ist, dass ich mich weder mit Computer gut auskenne, noch der Abgesicherten Modus beherrsche. Wenn ich den „Abgesicherter Modus Eingabeaufforderung“ starte, finde ich keine Möglichkeit, nach irgent etwas zu suchen. Habe ich irgentwas falsch gemacht oder vielleicht eher vergessen? Ich hoffe, dass mir jemand helfen kann.
Du kannst einfach regedit eintippen, um den Registry-Editor zu starten und die obigen Tips durchzuspielen.
Du kannst auch explorer eingeben, um irgendwelche Dateien zu suchen und zu löschen.
Wenn dann allerdings das Virus-Bild kommt, hast du wie ich die Version, die die explorer.exe ersetzt. Dann nützen die ganzen Registry-Tips überhaupt nichts. Da musst du die explorer.exe ersetzen.
s. mein Komentar weiter oben.
sobald ich regedit eingetippt- ( ich habe kein eingabe bzw. suchfeld, in das ich die eintippe ) und enter gedrückt habe, startet sich mein Computer ganz normal von neu und ich bekomme kein registry-Editor angezeigt. Ich habe das ganze Internet schon nach diesem Problem durchforstet, doch scheinbar bin ich der einzige mit solch einem. Habe es zudem auch schon mit einem Computer ausprobiert, der nicht mit diesem Virus infiziert ist. Dort funktionierte es ebenfalls nicht. Irgentwas muss ich doch falsch machen…
Wo tippst du regedit ein? Schau mal hier, vielleicht helfen die Bilder und Screenshots dir weiter.
Hat nicht funktioniert :(
Habe alles wie beschrieben gemacht, aber die Shell Pfad hieß schon Explorer.exe ??
Haben den Pfad shell ausversehen gelöscht, was nun?
Allerdings stand da auch von Anfang an explorer.exe drin!
Beim PC neu starten erscheint natürlich jetzt noch immer das schöne „Bundespolizei“ Fenster ;)
Lg Sandra
hey,
hab versucht, die Anweisungen zu befolgen. Jedoch ist bei mir in diesem Schlüssel „shell“ nicht der Pfad zum Trojaner zu finden, wie beschrieben, sondern einfach nur explorer.exe. Also das womit man es ersetzten soll. Also versteckt sich das Ding wahrscheinlich woanders. Wie kann man es finden? Hat jm. einen Tipp?
Danke im Voraus
habe jetzt in diesem Ordner:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
folgende Schlüssel gefunden:
avupdate (gehört das zu antivir?)
collaboration host
ehtray.exe
fsc.reg
4E3E0230AEBB4E96
Ist einer davon der Trojaner?
Danke
Wie Busch11 am 18. Oktober 2011 um 17:52 bereits geschrieben hat (noch ein GANZ DICKEN DANK!!!) wird unter c:\windows die Datei explorer.exe überschrieben ! Sie hat normal eine Größe von 0,98 MB und wird mit 167 KB überschrieben! Danach geht nich mehr! Hab sie wie von Busch11 beschrieben mit einer neuen explorer.exe von einem anderen Rechner überschrieben (gleiche Windows-Version). Danach gibts keine Probleme mehr :-)
hallo zusammen.
Hoffe, ihr könnt mir auch noch helfen. Scheine auch die version zu haben, bei der explorer.exe überschrieben wird. Kann nämlich weder mahmud, noch jashla etc. Bei mir finden. Aber sobald ich explorer.exe eingebe kommt das drecksbild wieder!
Oben hat jemand geschrieben, das man die datei einfach überschreiben soll. Kann mir dafür jmd ne anleitung für doofe geben? Wie bekomme ich denn die datei von ner cd auf nen stick extrahiert??? Bin ratlos! =(
Hallo,
also ich hab jetzt alle 10 Schritte befolgt. Wenn ich dann explorer.exe in das dos-fenster eingebe startet das ding wieder.
was kann ich jetzt noch machen?
LG
Die Anleitung ist erst einmal super blondenfreundlich, wie ich es brauche. danke dafür.. ABER!!
Ich weiß, wie der Trojaner heißt (Mahmut.exe) und ich habe bis zum entfernen aus dem pfad alles gemacht. wenn ich nun explorer.exe im dos eingebe, öffnet sich auch ein explorer, aber ich finde dort den pfad nur zu einem teil, d.h. es endet hinten mit \anwendungsdaten\mahmut.exe und das „anwendungsdaten“ ist bei mir nirgends im verzeichniss.
dann habe ich alt+strg+enf gedrückt, um mahmut.exe dort zu löschen und dort steht dieses file gar nicht drin.
jetzt bin ich also soweit, das ich zwar den pfad korrigiert habe, aber den trojaner nicht finde.. auch nicht unter der suchobtion.. auch nicht, wenn ich *.exe eingebe und dann alle .exe dateien scrolle um den mahmut zu finden..
hier komme ich definitiv nicht weiter…
wo hat der sich versteckt? ich will den loswerden..
wenn ich den rechner ausschalte und neu hochfahre, ist das alte wundervolle bundespolizei-du-böse-du-bild wieder da..
mit anderen worten.. der letzte part der hilfe funktioniert bei mir nicht..
@Nadie – Im Explorer unter „Ansicht“ (oder so ähnlich) müsste es eine Möglichkeit geben, auch versteckte Inhalte anzeigen zu lassen. Eventuell hilft das bei der Suche weiter.
Hallo ich habe es wie oben beschrieben gemacht doch als ich in shell rein sah stand da schon explorer.exe welche ich dann ausführte und es stand wieder der virus da
ich hab mahmud gefunden.. klar, wenn man mehrere konten auf der platte eingestellt hat, muß man das auch berücksichtigen bei der suche.. mahmud ist weg, ich hab irgendwas in der registry zerschossen und muß den rechner jetzt eh neu aufsetzen..lol.. aber mahmud ist weg.. ein lichtblick.
die hilfe ist wirklich super und blondenfreundlich. danke vielmals
Hi leute!
Ich habe den pc einfach im abgesicherten modus gestartet und dann eine systemwiederherstellung zum früheren zeitpunkt gemacht, als noch alles in ordnung war.
Danach startet der pc ganz normal und läuft!
Anschließend sicherheitssoftware drüber laufen lassen!
Fertig
Ich habe soeben einen 2. Artikel mit einigen neuen Erkenntnissen zum Trojaner veröffentlicht. Schaut unter https://www.redirect301.de/bundespolizei-virus.html wenn dieser erste Artikel noch nicht weiter helfen sollte. Ob damit nun alle Fragen beantwortet sind, wird sich zeigen.
Hi busch11, habe deine kommre gelesen, da ich denke, dass ich das gleiche Problem habe..virusbild taucht wieder auf bei eingabe von explorer.exe ..meine frage, erkennt der infizierte meinen usb denn einfach so? Und wohin muss ich die neue explorer.exe kopieren? In den Wert von shell oder einfach in das schwarze feld im eingabemodus, wo ich am Anfang auch regedit eingegeben habe? Wäre sehr sehr dankbar..wenn du mir helfen könntest. Viele grüße
Hi Jenny (und alle anderen, bei denen in der Registry unter Shell schon explorer.exe drinsteht):
hast du denn eine neue, saubere explorer.exe auf einem USB-Stick?
Wenn ja, tippst du in dem „schwarzen Feld“ einfach folgendes ein:
copy x:\explorer.exe c:\windows
(x ist dabei der Laufwerksbuchstabe deines USB-stick. Danach natürlich Enter-Taste)
Ok. Ich verstehe :) habe jetzt eine neue explorer.exe auf einem USB und versuche es dann später.
Ich hoffe es klappt und ich kann den dann endlich runter löschen.
Vielen Dank erstmal. Ich melde mich heute nachmittag noch mal :)
bei mir erscheint immer zugriff verweigert
Hat alles geklappt..ich bin begeistert. Vielen dank noch mal:-)
Hi ihr,erstmal vielen Dank für diese Anleitung,bin den Mist wieder los.
Bei mir hatte das Ding den Namen znxpahra.exe und war nicht in Shell sondern auch unter Run.
Wenn ich mir jetzt das Antivira zum bezahlen hole,was würde das in so einem Fall machen?
Anleitung hat funktioniert!Super!Großes Dankeschön.
Ich lass`gerade mein Avira drüber und hoffe, damit wieder eine saubere Festplatte zu haben.
Hallo leute, habe das selbe Problem mit dem Bundespolizeivirus aber sobald ich den Abgesichteren Modus mit Eingabeaufforderung starte kommt nach einiger Zeit auf meinem Bildschirm die Schrift „Frequenzen nicht unterstützt“. Habe auch schon gegooglet und da war die Empfehlung einen anderen Monitor anzuschliesen, den ich aber leider nicht besitze. Kann mir bitte jemand helfen wie ich vielleicht doch in den abgesichterten Modus komme?
ich hab ein sehr grosses problem ich hab leider keins von den komischen name die hier stehen aber ich hab das SHELL gelösch und ich weiss jetzt über hauptnicht was zu tun ist…
kann mir jemand helfen?
ich habs überhaupt nicht drauf mit pc´s…
Dann vielleicht doch besser zum PC-Service gehen und dort das Problem beheben lassen. Ich würde auch nicht mehr als Tanken und Scheibenwischwasser bei meinem Auto alleine machen … Vielleicht hast du jemanden im Bekanntenkreis, der / die sich wenigstens grundlegend mit PCs aus kennt.
Sorry, aber wo soll man da aus der Ferne anfangen. Vom Löschen der Shell stand nichts in diesem Beitrag – die wird gebraucht.
Super, hat alles super geklappt, vielen Dank von einem
PC-Laien
Danke für die Anleitung. Habe bei mir mahmud.exe gelöscht und die Änderung mit regedit durchgeführt. Bekomme aber wenn ich jetzt starte nur das Hintergrundbild ohne icons, ohne startleiste, … Kann den Taskmanager ausführen und über den explorer arbeiten. Wie bekomme ich wieder das alte Bild???
Hat alles super geklappt.
Nur finde ich die Virusdatei nicht….
Der Virus lag auf D:/Dokumente und Einstellungen/Jul etc/Anwendungsdaten/mahmud.exe<<< Find ich aber nicht, auch in Suche nicht fündig geworden.
Antwort wäre nett danke im Vorraus:)
Das ist definitiv der falsche Ansatz, um einen Virus zu entfernen. Der normale Weg, aus einem kompromittierten System wieder ein vertrauenswürdiges System zu machen, ist, es neu aufzusetzen (incl. löschen der Partitionen und Überschreiben des MBRs)
Ja, diesem Vorschlag würde ich prinzipiell auch zu stimmen. Doch was ist mit den Daten (Dokumente, E-Mails, Software, Bilder usw.)? Die dürftest du dann natürlich auch nicht einfach sichern und auf ein neues System mit übernehmen … Und was ist, wenn nach 1 Stunde der Trojaner erneut auf deinem Rechner ist? Wieder alles platt machen?
Gibt es noch immer keine Lösungen von Antiviren-Herstellern? So tricky kann das Teil doch gar nicht sein …
öffne mal deinen explorer oder einen internetbrowser (auch wenn du nix im internet suchst) und gibt mal ein:
D:/Dokumente und Einstellungen/Jul etc/Anwendungsdaten
dann dürftest du in den ordner kommen, du mußt es aber unter deinem zugang machen. es nutzt nichts, wenn du unter den administratorzugang rein gehst – da findest du nichts. das gleiche problem hatte ich gestern. hab mich dumm und dusselig gesucht.
wenn du im abgesicherten modus dich unter deinem zugang einlogst findest du in dem ordner deinen mahmud, den mußt du dort rauslöschen, aber komplett, d.h. nicht nur in den abfalleimer..
viel glück
Vielen, tausend Dank! Hat alles hervorragend geklappt. Bei mir hieß die Datei mahmud.exe.
hallo zusammen..es hazt geklappt das ich ihn entfernen konnte..als ich wieder ins net bin ist auch erstmal alles normal gelaufen bis ich den flash-player wieder benutzt habe..
ist es denn möglich der er dort noch drin sein kann und er sobald ich den player benutze wieder aktive wird???
ich weiss echt net weiter, bitte um hilfe…
bedanke mich scho a wal vorweg…
Ich denke mal, dass dein System auf Viren & Co. überprüft hast und würde eher nicht auf den Player tippen, sondern auf das Flash. Schick‘ mir doch mal den Link von der Seite, auf dem dein Flash-Player aktiv wurde (bitte per E-Mail). Das schaue ich mir in einer virtuellen Windows-Umgebung gern einmal an. Schreibe auch bitte dein Betriebssystem und Browser dazu.
Hallo Zusammen,
mein Freund hat sich dieses dumme Ding eingefangen. Nun habe ich gegoogelt und diese Seite gefunden. Ich dachte, dass wird nicht wirklich schwierig sein.
Ich habe den PC eingeschaltet und wie beschrieben die F8 Taste gedrückt, bis das Fenster der erweiterten Windows-Startoptionen startete. Nach Auswahl des abgesicherten Modus mit Eingabeaufforderung öffnet sich aber das DOS-Fenster nicht, der PC kommt immer wieder auf die Seite, wo man unter anderem, den abgesicherten Modus mit Eingabeaufforderung auswählen kann.
Ich kann somit nichts eingeben. Kann mir ab hier jemand weiterhelfen? Wie kann ich das Eingabefenster öffnen?
Besten Dank schon eimal!
Ich habe wohl dasselbe Problem: Es erscheint zwar das Eingabefenster mit dem blinkenden Dingens, aber ich kann dort nichts eingeben, und dann, nach kurzer Zeit, startet der Computer wieder neu, und wenn ich wieder F8 drücke, lande ich wieder auf dem Fenster mit den Optionen zum Starten im abgesicherten Modus… Über Hilfe wäre ich dankbar..
Mein Server (winXP) hats auch erwischt, doch dank der vielen beiträge war es mir relativ leicht möglich diesen verf****en trojaner zu entfernen.
Ich hatte mir die version welche die explorer.exe ersetzt eingefangen.
Einfach per USB-adapter die platte an ein anderen Rechner gehangen und die explorer.exe durch eine echte ersetzt.
Gruß und danke für die ganzen tipps
René
Wie ist das? In der Registry sind keine Änderungen aufgefallen und es wurde „nur“ die originale Explorer.exe durch den Trojaner ersetzt?
Bei mir war in der registry unter shell der virus..den ersetzte ich durch explorer. exe versuchte diese im über DOS zu öffnen.. und hatte das gleiche problem. habe dann auch die alte explorer.exe durch eine neue von einem anderen pc mit win xp über usb ersetzt. und jetzt konnte ich über DOS eingabemodus auch meinen explorer wieder öffnen. danach mahmud.exe gesucht und runter gelöscht. also auch ein sehr guter tipp :)
genau, ich hab in regestry keine änderungen gefunden aber durch fleißiges lesen bin ich drauf gestoßen das der Trojaner sich gegen die explorer.exe austauscht, zumindest eine version davon.
Außerdem ist mir aufgefallen das ich wenn ich in der eingabeauforderung explorer.exe ausführe der trojaner startet.
Was ich etwas beunruhigend fand war das keins von mein antivieren programmen drauf angeschlagen hat.
Firmlappy: Symantec Endpoint
Server: antivir free
bei mir steht auch schon der wert explorer.exe drin. bloß wo bekomme ich eine neue her. mein laptop ist system windows xp home edition und mein rechner windows 7. habs schon probiert zu kopieren aber nächstes problem, bei copy x:\exporer.exe C:\windows bringt er mir die Fehlermeldung „Das Gerät ist nicht bereit“ und nun?
Ist der Trojaner damit wirklich komplett entfernt oder kann es sein, dass doch noch Reste übrig sind, die möglicherweise weitere Malware nachladen können?
Wäre eine Neuinstallation (Image) nicht besser?
Vielen Dank schonmal!
Klar! Wenn in deinen Backupdaten nicht der Trojaner oder Teile von diesem enthalten sind. Das kannst du aber genauso wenig ausschließen, wie einen vollständig entfernten Trojaner auf deinem Rechner.
Neuinstallation würde dies natürlich ausschließen, doch wirst du ja deine E-Mails, Dokumente, Bilder usw. doch wieder übernehmen wollen. Ich gehe davon aus, dass ein aktuelles Antiviren-Programm bei einem Check die dort versteckte Malweare finden wird.
Hallo, ich hab diesen blöden Virus auch…allerdings hab ich überhaupt keine Ahnung :-( Hab das mit dem abgesicherten Modus versucht, da kommt aber auch der Bundespolizei- Mist…was kann ich tun?
noch eine frage:
ich hab auf dem rechner eine firewall und ein antivirenprogramm. trotzdem kam dieser trojaner auf den rechner. das antivirenprogramm zieht updates ebenso automatisch, wie die firewall. wie konnte der trojaner auf den rechner kommen?
Welche Software verwendest du?
antivira und die windows firewall.. hat immer noch gut funktioniert
hatte mir den trojaner über einen link bei facebook eingefangen, wie ist das jetzt, wenn ich mich über meinen facebook account wieder anmelde? kann es passieren, dass der virus noch dort ist und wieder auf meine festplatte kommt, trotz firewall und antivir? ist es sinnvoll den browser zu wechseln? oder dann doch gleich ein neuer facebook account? hat vllt. jemand eine idee? :)
Der Trojaner kann sicherlich überall her kommen! Von irgend einer Webseite (vermutlich mehrere), eventuell aus einer Werbeanzeige … Ich habe versucht hier ein paar Dinge zusammen zu fassen, schau mal ob dir das weiter hilft.
Das Wechseln des Facebook-Accounts ist definitiv unnötig! Nicht mehr ins Internet gehen wäre eine Lösung, aber wer will das schon. Ich würde mich weiterhin ganz normal im Netz bewegen.
Wenn AntiVir und Firewall vernünftig arbeiten, sollten diese dich warnen (fragen), ob eine Änderung an einer Systemdatei OK ist oder NICHT. Schau doch mal auf den Seiten des Herstellers bzw. frage dort mal nach, ob deren Software vor diesem Trojaner schützt.
Help!
Bei mir erscheint der Wert von Shell (Schritt 8) bereits als „explorer.exe“ – also kein Pfad, dem ich dann folgen könnte…?
Bei Windows 7 oder Vista mal hier schauen. Ansonsten mal ein paar Kommentare nach oben scrollen. Es gibt augenscheinlich eine neue Variante, die den Namen Explorer.exe hat, aber in Wirklichkeit der Trojaner ist. Ebenfalls in den Kommentaren „versteckt“, dass du beim richtigen Nutzer suchen musst …
Hallo,
habe dasselbe problem, wie natalina, welche schon um 01.14 uhr ihren kommentar schrieb. komme im abgesicherten modus einfach nicht weiter und kann nichts (regedit) eingeben. habe windows xp. er springt immer wieder zurück.
wer hat eine idee dafür ? danke !
Bei dir erscheint nicht das schwarze Eingabefenster aus alten DOS-Zeiten? Versuch‘ mal zu beschreiben was passiert, wenn der Start des abgesicherten Modus durchgelaufen ist.
Hallo nochmal,
ok, drücke also mehrfach f8, bis ich zu den erweit. startoptionen gelange, soweit ok. dann wähle ich den „abges. modus mit eingabeaufford.“ und drücke enter. dann erscheint „wählen sie das zu startende betriebssystem“ und darunter dann „Microsoft Windows XP Home edition“. eine andere auswahl steht da nicht zu verfügung. das bestätige ich dann wiederum mit enter.
danach zeigt er an: „windows konnte leider nicht erfolgreich gestartet werden. dies kann durch eine vor kurzem erfolgte hardware- oder softwareveränderung verursacht worden sein.“ dazu zeigt er mir wieder die fünf auswahlmöglichkeiten an: 1. abges. modus, 2. abges. modus mit netzwerktreibern, 3. abges. modus mit eingabeaufford., 4. letzte als funktionierend bekannte konfiguration, und 5. windows normal starten. wenn ich dann wieder pkt. 3. mit enter bestätige, komme ich immer wieder dahin zurück. hoffe, es halbwegs verständlich erklärt zu haben.
Also bei mir war der Virus unter mahmud.exe zu finden
Hallo,
habe es geschafft, mein laptop per systemwiederherstellung auf ein datum vor wochenfrist zurückzusetzen und nun läßt sich pc normal hochfahren ohne bundespolizei ! habe allerdings noch keinen virus gelöscht, da ich unter den bekannten, kursierenden virus namen bei mir keinen gefunden habe…seltsam. aber hauptsache es funzt wieder. danke.
Nun aber schnell den Laptop schützen, sonst bist du bald nur noch am Wiederherstellen!
Habe die Schritte wie oben befolgt dann aber vergessen durch Explorer.exe zu ersetzen jetzt kann ich den Laptop gar nicht mehr hochfahren. Was soll ich tun?
Hab weiterecherchiertnich habe Shell geloescht was tun??
In der Registry lassen sich nicht nur Schlüssel löschen, sondern auch anlegen. Gehe zum Pfad, in dem du Shell gelöscht hast und lege dort (Rechtsklick auf „Winlogon“) eine neue Zeichenfolge an.
Der Name ist „Shell“ und der Wert „Explorer.exe“. Neustart und fertig.
Hallo
Habe den Shell gefunden da steht aber auch schon Explorer.exe und nirgends ein Pfad? Ist das jetzt der Virus? Und wenn ja wie finde ich den dann später wieder?
Danke schonmal
Lg Sarah
Hallo,
bei mir stand unter Wert:
explorer.exe, C:\Dokumente und Einstellungen\User1\Anwendungsdaten\446721500.exe. Habe jetzt die Datei 01500 gelöscht, bei mir ist jedoch das Problem dass sich der Virus erst bemerkbar gemacht hat, als ich ins Internet ging. Hoffe das ich jetzt die richtige Datei gelöscht habe.
Kann mir einer sagen, ob es wirklich die richtige Datei war, oder ob ich vllt etwas wichtiges gelöscht habe?
Danke im voraus!
OHHHHH meeeeeiiinnn gott!!!! ich habe ein sehhr großes problem als ich die shell datei gefunden habe stand rechts daneben wie bei ein paar anderen auch explorer.exe !!! daann hab ich ausversehen SHELL MARKIERT UND DURCH EINEN RECHTSKLICK GELÖSCHT !!!!!!!! hilfe jetzt gibt es die ganze shell datei nicht mehr aber der virus ist immer noch da !! habe ich was WICHITGES GELÖSCHT ???!!! ist mein computer jetzt kapuuttt ? ich brauche dringend eine antwort !
Schau mal hier ein paar Kommentare zurück.
Heyho,
habe ihn auch so entfernt vielen Dank durch den User Vrone mit diesem Pfad:
#HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Da lag er bei mir unter avupdate als „mahmud“
Habe den Pfad einfach gelöscht und geleert und leer gelassen. habe dann den PC neugestartet und die Datei in Appdata/Roaming gelöscht. Nun ist alles GUT :D
VIELEN DANK!!
Hallo,
habe mir das dumme ding auch eingefangen.
Wenn ich meinen pc über den „abgesichter Modus mit Eingabeaufforderung“ starten möchte, macht er immer wieder einen automatischen neustart.
könnt ihr mir weiter helfen?
muss auf dem ding meine bewerbungen schreiben !!!
Danke
Hallo,
bezeieht sich das ganze auf Vista.
Ich ahbe schon mindestens 3 Anleitungen in der regedit rumzumachen ausgeführt, da ging es um keys die ich nicht habe.
Dabei ging es um Win 7 oder XP.
Was ist mit Vista?
Ich habe den Trojaner bisher nur XP gesehen.
Wenn ich F8 drücke, gelange ich in das blaue Fenster „please select boot device“
Was kann ich noch tun, um windows xp in dem eingeschränkten Modus starten zu können?
Mit F8 in das BIOS zu gelangen ist mir noch nicht begegnet. Versuche F8 etwas später zu drücken, kurz bevor das Windows-Logo angezeigt wird.
Danke für die Anleitung.
Ich habe Mahmud erlegt!
Danke, habe es zuerst mit F5 und dann mit F8 versucht.
nun heißt die Datei in der Shell explorer.exe. Wie komme ich jetzt an eine saubere Datei, mit der ich den Trojaner überschreiben kann?
Oder soll ich den Eintrag einfach nur löschen und das System neu starten?
Wenn ich die neue Explorer.exe Datei kopieren will kommt : die angegebene Datei ist keine registrierungsdatei. Nur registrierungsdateien können importiert werden, und jetzt?
ich hab vergessen die datei (SHELL) zu notieren und dann einfach gelöscht aber ich weis jetzt nicht wie ich die datei von der festplatte lösche
Hallo Daniel, es steht ja viel Unsinn im Netz. Aber diese Anleitung ist wirklich Gold wert! Die Entfernung hat danach funktioniert und mir somit sehr viel gebracht. (Arbeitsrechner!) Vielen Dank, es ist gut, dass es Leute wie Sie gibt, die so etwas austüfteln und damit keine Abzocke machen!
Grüße von Mike