„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Hi Daniel, hi Leute.
Vorweg Herzlichen Dank an dich und alle anderen User. Das Mistding sitzt in unserem Laptop, Windows xp. Ich habe bereits alles beschriebene mehrfach probiert.Die Anleitung klappt bis zum Punkt 8., dann ist Schluss. (Schlüssel war schon explorer.exe) Habe die registry durchsucht „avupdate,mahmud,jashla, etc..und nichts gefunden! Was kann ich noch tun ???
Schau mal durch die letzten Kommentare. Einige haben davon berichtet, dass nun die explorer.exe selbst der Name der Trojaner-Datei ist. Die Original-Datei von Windows wurde soz. ersetzt. Hier musste die explorer.exe von der CD kopiert werden …
Hallo Bolle,
bist du schon weitergekommen? Wenn nicht, kontaktiere mich einfach. Ich habe gestern abend den Trojaner (mit Hilfe meines Neffen) entfernt. Bei mir saß er in der Datei „explorer.exe“. Mein Betriebssystem: „xp professional“
Gruß
Gridiwu
Ich habe auch das Problem, dass bei mir das bereits Explorer.exe heisst. Ich weis nicht wie ich nun weiter machen soll, wo ich zB. die richtige Explorer.exe herbekomme. Hoffe sie können mir Helfen. DANKE
In einigen Kommentaren wurde geschrieben, dass die Original-Datei von der Windows-CD kopiert wurde.
betriebssystem: XP
in den kommentaren war ja oft die rede davon, dass bei den meisten die shell-datei (?) bereits den „explorer.exe“ wert hat, und den kann man ja dann nicht ändern, oder? Und wenn ja, wie? oder muss ich ganz wo anderes nach dem schädling suchen? hab mit dem registrierungs-editor nach „mahmud.exe“,“jahsla.exe“ etc. gesucht,der editor hat aber ncihts gefund. WAS TUN?
wäre sehr froh, wenn mir jmd einen konkreten hinweis geben könnte, da ich, anstatt mit meiner abschlussarbeit, mich mti dem mist beschäftige muss….die zeit vergeht…VIELEN DANK IM VORAUS.
Hallo, ich habe das problem ich hab die anweisungen befolgt als ich dann bei der shell datei angelangt war habe ich nen doppelklich gemacht und es gelöscht da war es weg habe dann eine neue gemacht mit explorer.exe halt dann noch halt im schwarzen fenster „explorer.exe“ dann enter der bildschirm wurde dann weiß und der trojaner wurde wieder angezeit nur halt großer. Ich weiß nicht wie oder was ich falsche gemacht habe hätte ich vielleicht nicht die shell datei löschen sollen hoffe um eine antwort danke mfg Mariusz
Ich kann den Befehl regedit nicht eingeben?
Sehr geehrter Herr Weihmann,
gestern abend hat sich mein Notebook mit dem üblen Bundespolizei-Virus infiziert. Dank dem Notebook meiner Frau fand ich Ihre vorzügliche Handreichung, mit der es mir mit Beihilfe meines Sohnes heute gelang den schlimmer Mahmud wieder loszuwerden.Ich möchte Ihnen von Herzen als wahrem Menschenfreund danken, der ja (wie die Kommentare zeigen) schon sehr vielen aus großer Not geholfen hat!
Mit freundlichen Grüßen
Klaus Alpers
Vielen dank ohne diese Seite wäre ich aufgeschmissen
bei der Version die ich gerade auf dem Notebook habe geht die Eingabeaufforderung nicht (mehr).
Der Rechner zeigt dann nur noch den berühmten Bluescreen.
mal sehen ob es mit einer Boot-CD klapt, die muß ich aber erst bauen.
Gestern habe ich mir den auch eingefangen. Vielen Dank für die Anleitung und Kommentare, die mir geholfen den Trojaner zu entfernen. Wie bereits von anderen erwähnt kann er sich verändern. Bei meinem PC habe ich ihn hier gefunden. Betriebssystem Vista:
Computer/HKey_current_user/Software/Microsoft/Windows/currentversion/run. Der fehlerhafte Wert war:
C:UsersBenutzernameAppDataRoaming.6264032892405802.exe .Diesen Wert dann wie angegeben durch explorer.exe ersetzt und dann die Dateien 0.6264032892405802.exe im Verzeichnis löschen.
Vielen dank!!!!
Bei mir war es genauso, habt mich gerettet :)
hi, die Beitrage haben mir auch gerade super geholfen, es waren sogar unter drei verschiedene registry einträge vorhanden! alle haben auf unterschiedliche exe datein in der c:\users\media\appdata\roaming verzeichnisgezeigt
scheinbar mutiert der virus in verschiedene versionen…
bei mir war auch schon explorer.exe eingetragen im registy pfad.
bei einem vista ultimate hab ich den virus gefunden unter:
hkey_current_user\software\microsoft\windowsnt\currentversion\winlogon
auch hier gibt es einen shell wert c:\users….\about[1].exe den ich in explorer.exe umbenannt habe danach läufts wieder.
So und nun hat es meinen Laptop auch erwischt. und ich komme nur bis zum Start.Wenn ich „Abgesichter Mod….“ auswähle und Enter drücke komme ich wieder auf die selbe Seite zurück. Ich komme auf gar keine DOS Ebene.
Kann mir jeman helfen?
Hi leute !
Klappt das mit dieser Anleitung auch für Wundows 7 ? ;)
Das Mistding ist nämlich auf meinem Laptop -.-
Schnell Antort bitte !! :)
Danke!
Ich habe selbst kein Windows 7, aber schau mal hier oder durchforste die Kommentare zu diesem Beitrag.
Hallo, vielleicht kann uns jemand helfen. Wir haben uns den Trojaner eingefangen, jedoch ist dieser plötzlich verwunden nachdem ich den akku aus dem PC entfernt habe und den Computer neu gestartet habe.
Der PC funktioniert wieder, ich habe aber angst das sich der Trojaner weiterhin an Board befindet. Was kann ich tun?
danke
Auf jeden Fall mit einem aktuellen Antiviren-Programm einen vollständigen Systemcheck durchführen. Hierfür reicht in der Regel auch erst einmal eine kostenlose Lösung.
Hey Leute, Ich habe ein Problem und wäre bei schneller Hilfe dankbar.
Ich habe alle Schritte der Anleitung genau befolgt und auch mahmud durch explorer.exe ersetzt
Als ich danach explorer.exe über die eingabeaufforderung ausführen wollte, kam plötzlich der bekannte bluescreen und mein PC hat fürchterlich laut zu piepen angefangen.
Das hat sich auch nach mehreren Versuchen nicht geändert.
mfg
~BR~~
Rechner schon mal neu gestartet? Bei einem Bluescreen gibt es auch immer eine Fehlernummer; diese einfach mal bei Google suchen, da gibt es bestimmt einen Hinweis.
Ich hab schon öfter neu gestartet, aber es passiert immer das selbe. Nachdem ich den Rechner neu starte ist aber auch komischerweise der virus wieder in der registry.
Im Internet hab ich zu dem Fehlercode nicht viel gefunden, ausser den Vorschlag den PC zu plätten.
hallo,
gibt es denn zwischenzeitlich eine einfache lösung für vista ?
außer neuinstallieren.
bisher war alles nutzlos, auch in der regedit war ich, da sah alles ok aus
Systemwiederherstellung wäre sicher noch einen Versuch wert.
bei einem vista ultimate hab ich den virus gefunden unter:
hkey_current_user\software\microsoft\windowsnt\currentversion\winlogon
Danke,Danke,Danke!!!Diese Seite hier hat mir echt den Arsch gerettet!War mir eine Lehre,werd jetzt mal Geld in die Hand nehmen,für nen gescheiten Viererschutz.Vielen Dank an meinen neuen Helden,Mr.Weihmann!
Noch ne Frage,um mal was zu lernen:Ist es richtig,daß ich jeden Tag ne andere IP-Adresse hab und man die deswegen gar nicht sperren kann?
Passiert ist das Übrigens so:Hab auf der Seite eines Freundes Musik runtergeladen(von ihm produziert),dann einen Link benutzt,noch ein DJ-Set runterladen wollen,Schwupps,Bundespolizei!Is mein Kollege schuld?
Danke nochmal,ohne die Hilfe könnte ich das hier gar nicht schreiben!
Schuld sind auf jeden Fall der / die Entwickler des Trojaners. Wo und wie sie diesen verbreiten ist mir nicht klar, meine Vermutung tendiert in Richtung Werbeanzeigen bzw. die dahinter liegenden Scripte. Das mit der wechselnden IP-Adresse dürfte in 95% der Fälle korrekt sein, hierzu einfach mal auf ip-lookup.net schauen, dort bekommst du deine IP angezeigt.
man kann auch von der CD Booten und den Parasit entfernen.
hab es mit Ubuntu gemacht.
zwei meiner kunden haben sich diesen trojaner bereits eingefangen. beide haben andere systeme auf dem laptop und bei beiden heißt er anders, lässt sich somit auch nicht suchen.
funktioniert hat es jedoch bei beiden mit einem kompletten systemcheck im abgesicherten modus und dem virenscann (auch im abgesicherten modus) mit avira-de-cleaner.
Hallo,
bei meiner Freundin hat er sich auch als explorer.exe getarnt, war also garnicht so einfach auszumachen.
Und: wie kopiert man eine Datei auf einen Rechner ohne Explorer?
Bei „Eingabeaufforderung“: copy e:\explorer.exe c:\winxp\explorer.exe
Wobei e: das Laufwerk des USB-Sticks, auf dem das Explorerprogramm eines anderen Rechners oder der CD ist und „WinXP“ das Verzeichnis von XP ist…
Vielleicht kann ja jemand was damit anfangen, bei mir hat es geklappt.
vg
Alex
Sehr geehrter Herr Weihmann,
nach langer Suche im Web, bei der ich abwechselnd zwischen rescueCD Lösungen und PC Plättungen pendelte, stieß ich auf Ihre simple & einfach zu verstehende Anleitung.
Ende vom Lied: „Das Mahmud“ wurde erfolgreich zerlegt! System läuft wieder sauber. Danke, danke, danke!!
Sie sind heute wahrlich mein Held des Tages!
viele Grüße
Hallo Herr Weidmann, hallo an alle User,
auch ich habe auf mittlerweile rund 5 Kundensystemen den BKA-Virus drauf gehabt.
Dabei war es allerdings leider EGAL ob es sich um einen teuren kostenpflichtigen oder eine kostenfreie Antiviren-Lösung handelte, sie alle haben es bekommen.
Ursache ist nach wie vor eine nicht aktuelle Version von JAVA.
Um den Virus also im Idealfall nicht auf das System zu bekommen, ist auch ein aktuelles JAVA wichtig.
Weiterhin reicht es bei den meisten BKA-Virus Variante mittlerweile nicht mehr aus die Datei alleine aus dem Autostart zu entfernen und diese zu löschen.
Meine Erfahrungen zeigen, das Antivirus-BootCDs oder BootSticks durchaus auch noch weitere Viren/Trojaner finden, die evtl. ebenfalls durch unseren „BKA-Freund“ nachgeladen wurden.
Die Methode wie oben beschrieben, ist damit so gesehen leider – teilweise – somit nur die halbe Miete. Auch wenn das System wieder funktionieren mag.
Mein Tipp in Sachen Virenentfernung/suche, ist und bleibt nach wie vor ein vollständiger OFFLINE Systemscan mit einer BootCD wie Avira und Bitdefender sie anbieten, oder mein von mir mittlerweile geliebter „Eset NOD32 Antivirus v5“ USB-BootStick (letzteres kostet allerdings Geld und gibt es nur mit der entsprechenden Windows/MAC Vollversion).
Mit freundlichem Gruß und weiterhin viel Erfolg an alle,
Simon
Vielen Dank für die vielen Tipps und Anleitungen! Ich habe es jetzt zwar geschafft, auch ohne den abgesicherten Modus (der hat bei mir nicht funktioniert), dafür mit Öffnen des Task-Managers und Deaktivieren des Prozesses den Computer zu starten und mahmud.exe durch explorer.exe zu erstetzen. Doch der nächste Schritt, nämlich das Löschen von Mahmud, funktioniert nicht, weil ich nicht weiß, wie ich vom Registry-Fenster in den Dateipad komme (den ich mir wie angegeben notiert habe: C/Dokumente und Einstellungen/NetworkService/Anwendungsdaten/mahmud.exe). Wenn ich alternativ, wie angegeben, in das Dos-Fenster explorer.exe eingebe, erscheint gleich wieder das Fenster mit dem Trojaner… Weiß jemand Rat?
Kleine Ergänzug: ICh habe jetzt zwar etwas gelöscht (hoffentlich das Richtige) über den REgistry-Editor, aber ich finde den Papierkorb nicht, damit ich die Datei endgültig vernichten kann.
Hallo zusammen,
ich habe bei einem Freund das Unfassbare, dass ich in dem Eingabefeld nichts schreiben kann und die Tastatur auf nichts reagiert!?!?
Hat jemand eine Idee was ich noch probieren kann?
Danke schon mal!
@eric: Ist es eine Funktastatur mit Batterien?
Super Anleitung, habe soeben meinem Schwiegervater den Virus vom Notebook gelöscht!
Danke auch im Namen meines Schwiegervaters
Was bin ich so froh, diese Seite gefunden zu haben. Kurz bevor das Bundespolizei-Plakat erschien, tat sich auch ein Fenster mit dem JAVA-Programm auf.Ob der Übeltäter sich dahinter eingeschlichen hat und meine Avira ihn nicht erkennen konnte, muss noch geklärt werden.
Bei mir sitzt der Virus ebenfalls im der explorer.exe. und mit der Hilfe eines lieben Freundes werden wir morgen nach Rezept arbeiten.
Es ist im übrigen immer gut, ein 2.Gerät (laptop) im Hause zu haben, um sich hier die „Rezepte“ abzuholen.
Hallo Dieter,
vielleicht hilft dir dieser Kommentar weiter.
Hallo zusammen…
Bei mir ist der Trojaner auf meinem Vista bereits zum zweiten Mal aufgetreten. Beim ersten Mal vor zwei MOnaten, als jasla.exe, konnte ich ihn zumindest soweit verdrängen, dass ich keine probleme mehr hatte…wobei ich befürchtet hatte ihn nicht ganz los geworden zu sein…
vor einigen tagen ging das ganze wieder los, diesmal hieß der trojaner explorer.exe, ich bin genau so vorgegangen wie beim ersten mal und habe die datei samt verzeichnis gelöscht. diesmal jedoch ohne erfolg..
gibt es einen tipp was der nächst schritt sein könnte?
und vor allem: kann der trojaner mutiert sein und nun schon wieder unter anderem namen fungieren?
wenn ja, kann ich ihn nicht finden. er heißt weder jashla, noch mahmud, noch explorer, noch about[1]…und im entsprechenden verzeichnis der registry finde ich nichts verdächtiges…
gibt es noch weitere geläufige oder bekannte namen für den trojaner?
bin um jede antwort dankbar!
So leid es mir tut, aber ja der Trojaner kann und wird sicherlich mittlerweile noch unter weiteren Namen zu finden sein. Es wäre schon eine Seltenheit, wenn ein Virus/Trojaner über Wochen/Monate hinweg nur unter einem Namen zu finden wäre.
Im Zuge dessen, verweise ich auf meinen Beitrag https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1059
Dort steht denke & hoffe ich alles notwendige drin.
Weiterhin würde ich zu einer Datensicherung raten, das System neu aufsetzten, schützen soweit als möglich und erst dann die Daten die gesichert wurden scannen und zurückkopieren.
Ein mittlerweile mehrmals verseuchtes System würde ich alleine aus Sicherheitsgründen (Passwörter, evtl. andere Viren/Trojaner oder gar Rootkits) nicht wieder ruhigen Gewissens ans Netz lassen.
Ich weiß das dies der schwerste und vor allem unbequemste Weg ist, aber es ist zumindest meine Empfehlung.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich habe das Problem auch und habe auch das Problem, dass in der Shell der Name exploerer.exe ist.
Ich habe 2x mit McAfee komplett gescannt – ohne Erfolg. Ich habe dann ein kleines Programm „SUPERAntiSpyware“ auf einen USB Stick geladen und dies checkt dann das System im abgesicherten Modus. Dieses Programm hatt dann den Trojaner genau dort festgestellt wie hier beschrieben. Mit anderen Worten – der Virus/Trojaner „firmiert“ nun unter dem Namen Exploerer.exe
Gruß
MSi
Nachtrag:
das Programm „SUPERAntiSpyware“ hat das Ding isoliert. Ein Neustart des PC zeigt: Keine Wirkung. Kam sofort wieder. Nun werde ich also den Rechner platt machen. Ist wohl das Beste…
Gruß
MSi
Hallo Hr. Weimann,
hatte auch den Trojaner auf meinem Rechner. Mit Ihrer Anleitung konnte ich Ihn entfernen.Vielen dank.
Als der Trojaner auf meinem Rechner war piepte mein Rechner, was er jetzt auch noch tut. Woran kann das liegen?
Ohne genaue Diagnose und Beschreibung fällt mir da nur auf Anhieb die Grafikkarte oder Mainboard/RAM als Fehlerquelle ein.
Das hat dann aber – im Regelfall – nichts mit dem Virus/Trojaner, sondern vielmehr evtl. mit Überhitzung zu tun.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo zusammen,
Ich habe vor 2 Tagen mit Hilfe dieser Anleitung den Trojaner auf dem Pc meines Bruders erfolgreich entfernt. Jetzt hat sich der gleiche auch auf dem meines Vaters (Windows 7!!) „eingenistet“. Leider habe ich folgendes Problem:
Wenn ich „regedit“ eingebe bekomme ich eine Meldung, dass es mir die Administratoreneinstellungen verbieten, das Register zu öffnen. Leider gibt es nur einen Benutzer der auch der Administrator ist!
Weiß jemand was zu tun ist?
Der Virus/Trojaner ist somit schon mal nicht der selbe oder nicht mehr derselbe wie bei den anderen Leuten hier. Sondern modifiziert oder hat sich schon weiteres schlimmeres (Rootkit oder auch MBR-Festplattenvirus wären fatal) nachgeladen.
Im Endeffekt hilft jetzt mit Glück noch meine oben (https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1084) beschriebene Methode, andersfalls nur noch die Neuinstallation.
Weiterhin würde ich evtl. an einem nicht infizierten PC alle Kennwörter ändern (Onlinebanking, Windows, Webmailer, etc.).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo ich habe deinen Rat befolgt, aber ich finde nicht diesen Winlogan. Kannst du mir weiterhelfen
Danke
Schau mal, ob dir vielleicht die Bilder zur Trojaner-Entfernung weiter helfen oder schau mal in den Kommentaren, hier wurden für Windows 7 und Vista andere Pfade beschrieben als bei XP.
HI Leute,ich habe den Trojaner auch gehabt,habe aber festgestellt,das meine IP auf einer Blacklist gelandet ist, das war vorher nicht, und ich komme auf einer gewissen Forenseite nicht mehr rein, werde da geblockt,…
Ferner bin ich mir nicht sicher, ob der zugang zur Konfigurationsseite meines Speedports ein fake ist,den ändere ich da die IP, komme ich zwar ins Forum, aber am nächsten Tag hab ich wieder das selbe Problem..
Grüsse an alle !
Hallo!
Ich hatte den Trojaner jetzt zum 2. Mal. Beim ersten Mal lies er sich mit der srep.exe im abgesicherten Modus entfernen. Diesmal war es hartnäckiger. Der abgesicherte Modus ließ sich nicht starten (Bluescreen), auch unter der Administratoranmeldung kam das Fenster des Trojaners.
Ich bin wie folgt vorgegangen.
Habe mir von einem Bootbaren USB-stick ein linux gebootet.(geht auch von der cd, vlt. knoppix oder ubuntu).
Dann hab ich mir auf der Windowsfestplatte in windows/system32/ die dateien anzeigen lassen und nach Änderungsdatum sortiert.
In dem Zeiraum wo der Trojaner den Rechner blockiert hat gab es nur eine Datei: 0.9371567875567887789.exe
Da ich mit der Linuxversion nur Leserechte auf NTFS Partitionen hatte habe ich die Datei in der Wiederherstellungskonsole meiner Original WinXP CD gelöscht. „cd\windows\system32“ (Enter), „dir“ (Enter), schauen wie die Datei genau heisst(Wird sicher bei jedem anders sein) und „del 0.9653665565XXXXX.exe“ (Enter)
Danach hat sich Windows normal starten lassen.
Dann hab ich mit regedit folgenden Schlüssel gelöscht:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run dort gibt es einen Schlüssel wo die schädliche Exe gestartet wird. Diesen Schlüssel löschen!
Dann hab ich mit diversen Scannern alles gründlich durchsuchen lassen.
Auch mit dem hier schon empfohlenen „SuperAntiSpyware“
Ich hoffe das ich mit der Anleitung helfen konnte.
Gruß
Hallo,
mein Freund hat sich diesen Virus gestern auch eingefangen. Der Start des Rechners im abgesicherten Modus hat nicht funktioniert. Kam dann nur n blauer Bildschirm mit n haufen Text den man gar nich so schnell lesen konnte und dann erschien wieder der Bildschirm in dem man wählen konnte in welchem Modus man den Rechner starten will. Haben dann Rechner mit der letzten funktionierenden Konfiguration starten gewählt (hies so oder so ähnlich). Naja jedenfalls is er dann erstmal wieder gestartet und haben dann den Virenscan durchlaufen lassen und alle befallenen Dateien die angezeigt wurden gelöscht. Wars das jetzt oder müssen wir immer noch Angst haben?
Prinzipiell gilt „Ein einmal befallener PC/Laptop/Netbook kann – MUSS aber nicht – wirklich sauber sein!“
Um ganz sicher zu gehen, bleibt bei Viren/Trojanern/Malware/Spyware/Adware/Scareware heutzutage leider nichts anderes mehr übrig, als eine komplette Neuinstallationen des Systems vorzunehmen.
Zwar sollte nach der Systemwiederherstellung und einem Scan nichts mehr da sein, es kann aber heutzutage jedes gut geschriebene Schadprogramm sich tarnen und einfach nach einer vorbestimmten Zeit sich „reaktivieren“.
Es ist und bleibt damit jedem/jeder selbst überlassen, ob man ein gewisses (/wenn in diesem fall auch relativ geringes) Risiko eingehen will, oder ob man nicht doch die Daten sichert, neunstalliert, Daten scannt, Daten zurückspielt.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hallo zusammen, auch ich hab mir das miese ding eingefangen,nach virenscan mit antivir, spybot, cc cleaner und eusing free registrycleaner kein erfolg, nach einer systemwiederherstellung funktioniert alles wieder…betriebssystem windows vista
Ich habe mir das Ding auf das Netbook eingefangen! Habe also kein CD Laufwerk.
Darüber hinaus funktioniert auch die Eingabe im abgesichert. Modus in DOS nicht mehr! Hab auch das Problem, dass es in Shell „Explorer.exe“ heisst!!!
Bitte um Hilfe!!!! Lieben Dank
Mia
Wenn du kein CD-Laufwerk im Netbook hast und auch kein externes Dir irgendwo besorgen kannst, so bleibt Dir nicht soo viel sinnvolles übrig.
Die von mir beschrieben Hilfestellungen (CDs, Boot-USB-Sticks, etc. – gibt es von verschiedenen Herstellern auch kostenfrei oder immerhin als Testversionen).
Einer infizierten explorer.exe entkommst du aber aller Wahrscheinlichkeit nach nur per Original-InstallationsCD (oder einem anderem Betriebssystemgleichen PC), oder durch eine Neuinstallation.
Speziell für letzteres nochmal ein Link zu meinem Beitrag in dem ich einige Schritte dazu notiert hatte:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1084
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich habe die Explorer.exe einfach von meinem anderen Computer auf einen USB-Stick geladen, die infizierte Datei auf dem Netbook gelöscht und dafür die Datei vom Computer an dieselbe Stelle (C:/Windows) kopiert – Windows hat zwar gemeckert, weil eine Datei geändert wurde und von wegen Software-Echtheit und so, hat mich aber nicht gestört (und mein Netbook ebensowenig – alles läuft wieder prima).
Den Trick habe ich von zwei älteren KOmmentaren. Wenn der abgesichterte Modus nicht funktioniert (war bei mir der Fall), gibt es den Trick, gleich, wenn sich der Desktop anzeigt, den Taskmanager zu starten und unter Prozesse den Prozess explorer.exe zu beenden und über den Tastmanager dann die Datei vom USB-Stick zu kopieren (das macht man unter „Neuer Task – Durchsuchen“).
Also nicht verzagen ;), ich bin auch alles andere als eine Expertin, und trotzdem habe ich es – nicht zuletzt Dank der vielen Tipps hier – geschafft, meinen Laptop wieder zum Laufen zu bringen.
Hallo,
ich habe den Virus unter den von euch angegebenen Pfaden leider nicht gefunden (kann ja fast jede Datei sein, wenn man nicht weiß wie sie heißt). Auch die mahmud.exe, vasja, jashla, znxpahra.exe tauchen bei mir nicht auf. Habt ihr noch Ideen? Wenn ich alles richtig verstanden habe, muss ich den Trojaner erstmal finden bzw. identifizieren. Den Shell-Ordner gibt es bei mir und es stand vorher schon explorer.exe drin. Habe Systemwiederherstellung gemacht. Ging erstmal wieder, aber muss noch Virus-Datei finden.
Die Virus-Datei könnte damit weg sein. Jetzt schnell ein Schutzprogramm installieren, sonst hast du den Trojaner (oder einen anderen) bald wieder. Die temporären Internetfiles würde ich sicherheitshalber leeren …
Danke für die Info. Virus-Programm habe ich schon durchlaufen lassen und es gab keinen Fund. Hoffe, dass der Virus damit entgültig weg ist.
Hallo,
bei mir hat sich der Virus in der Explorer.exe festgesetzt. Habe mein System (Windows XP) wieder sauber!!!
1. Windows explorer.exe von einem sauberen System kopieren
2. Windows im abgesicherten Modus starten und die alte explorer.exe im Verzeichnis c:\windows löschen.
3. jetzt die saubere Datei (von einem usb-stick) explorer.exe in das Verzeichnis C:\windows kopieren
UND SCHON LÄUFT DAS SYSTEM!
Solltet Ihr nicht mit dem Taskmanager dazwischen kommen, könnt Ihr alternativ die Festplatte an einen anderen PC anschließen und dort im Verzeichnis C:\Windows\ die Datei explorer.exe durch eine originale von CD oder anderem System überschreiben.
Anschließend sollte der Computer wieder normal starten. Das System nun einem vollstandigen Virusscan unterziehen. Gefundene Viren entfernen und die Dokumentation zu den Viren durchlesen, da dort noch beschrieben wird, welche Dateien zusätzlich entfernt werden müssen.
Das war der Tipp, den ich brauchte – mein Laptop läuft wieder, nachdem ich die Explorer.exe-Datei von meinem Desktop-Computer übertragen und die überschriebene ursprüngliche Datei gelöscht hab. Vielen Dank!
Hallo,
gestern hat mich ein verzweifelter Freund angerufen, er hatte genau das hier beschriebene Problem. Mit der Anleitung konnte ich ihm helfen.
Betriebssystem: WindowsVista
Ich bin aber etwas anders vorgegangen.
Schritt 1: Ubuntu starten
Schritt 2: Alle Exe-Dateien auflisten und der Größe nach sortieren.
ls -aRsS1 | gawk ‚{printf „%08d %s\n“, $1, $2}‘ | sort | grep -i \.exe > /tmp/tt.txt
Schritt 3: verdächtige Dateien suchen
zum Glück war es einfacher Fall, er hatte sich die Datei MAHMUD.EXE eingefangen
=============================================
ubuntu@ubuntu:/media/8E241C0A241BF3C5$ find . | grep -i mahmud.exe
./Users/Wegner/AppData/Roaming/mahmud.exe
./Windows/Prefetch/MAHMUD.EXE-52097DC1.pf
=============================================
Schritt 4: In der Datei /tmp/tt.txt nachgeschaut, ob verdächtige Dateien mit gleicher oder ähnlicher Größe existieren. Zum Glück war keine weitere Datei dabei.
Schritt 5: Diese Dateien gelöscht
./Users/Wegner/AppData/Roaming/mahmud.exe
./Windows/Prefetch/MAHMUD.EXE-52097DC1.pf
Schritt 6: Windows Vista normal gestartet
Schritt 7: Hijackthis gestartet und verdächtige Starteinträge gelöscht.
Schritt 8: Ccleaner gestartet und Rechner einmal durchgeputzt
Schritt 9: Virenchecker gestartet
Ergebnis: Alles sauber
Vielen Dank an das Forum. Ohne die vielen Hinweise hätte ich ihm nicht helfen können.
Hey Leute echt toll das es diese Seite hier gibt.
Ich hatte das gleiche Problem nur leider,
habe ich alles komplett formatiert und nun ist alles weg =( gibt es eine Möglichkeit die daten zurückzuholen wäre echt sehr dankbar
Theoretisch ja, aber eigentlich nein! Solltest dich damit abfinden, dass die Daten weg sind.
Mein Vorschlag wäre an dieser Stelle „Recuva“ (Freeware) oder „TestDisk“ (Freeware).
Ersteres Programm kann man relativ gefahrlos nutzen. Bei letzterem sollte man aber sehr genau wissen was man tut.
Ansonsten sind die Daten aber tatsächlich weg.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Daniel, mein computer hat ebenfalls diesen Virus, aber das Problem, dass in shell schon explorer.exe steht und unter HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Run gibt es 3 Einträge:
1 . Vasja mit Pfad C:Programme/MozillaFirefox/03902…..exe
2. ctfmon.exe mit Pfad
C:windows/system32/ctfmon.exe und
3.Standard ohne irgend einen Pfad.
wo gebe ich jetzt explorer.exe ein und welchen Pfad genau? (C:Programme oder windows oder?) Und kann ich die Trojaner einfach löschen ohne Probleme?
Wäre toll, wenn du antworten könntest, danke! Caro
Hallo.
Ich habe mir auch diesen Virus eingefangen, und alle Versuche, ihn zu entfernen sind gescheitert. Ich habe mich jetzt dazu entschlossen den PC demnächst plattzumachen und wollte fragen, ob es vorher über den abgesicherten Modus möglich ist,Daten, wie Musik oder Word Dateien auf einen Stick zu ziehen ohne den Virus dabei mit zu übertragen?
Ich würde mich über eine Antwort freuen.
Vielen Dank, Hannes.
Klar! Ich würde hierfür sicherlich ein Linux (Ubuntu, Knoppix o.ä.) nehmen, alle zu sichernden Daten auf mögliche Viren und Trojaner überprüfen und nach der Neuinstallation wieder auf das frische System übertragen.
Ich will ja nicht behaupten die Weisheit mit Löffeln gefuttert zu haben, aber dieser Artikel: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1084 sagt doch schon „alles“ oder?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mich hat der selbe Virus erwischt. Ich habe Windows 7 Ulitmate. Allerding habe ich einen kürzeren Weg gefdunden um meinen Pc wieder zum laufen zu bringen.
Folgt den Anweisungen bis zum zweiten PUnkt.Also startet euren pc mit dem „Abgesicherter Modus Eingabeaufforderung“.
Danach müsst ihr dieses Programm (legal und gratis) runterladen: http://www.bleepingcomputer.com/download/anti-virus/combofix
Doppelklick auf das runtergeladene Program. Fertig!! Viel Glück!
Habe ich noch von gehört. Wenn’s funktioniert, klasse!
Kenne ich ebenfalls.
Wenn es funktioniert ist gut. Nur will ich nicht versprechen das es bei jedem so funktioniert (spziell wenn man schon gar nicht mehr in den Absicherten Modus käme und oder wenn es ein älteres Betriebssystem ist.^^)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich hab auch den Virus auf meinem Netbook mit Windows XP. Keine Ahnung wie ich das Problem beheben kann. Hab jetzt so einiges gelesen, aber nix hilft bis jetzt. Hab im Reg.-Editor schon nach Mahmud, jashla, usw. durchgesucht und nix davon gefunden. Es scheint aber ja das wichtigste zu sein, dass man den erstmal findet, oder? Wie stell ich das an?
Es wäre zwar schön ihn zu finden, da der Virus/Trojaner aber mittlerweile sich verändert hat, kann er auch unter Bezeichnungen ala 054651505151_5121.exe (ausgedachte Zahl von mir!) zu finden sein.
Du kannt also mal prüfen ob etwas derartiges in der Regedit im …/RUN und/oder im Autostart (per msconfig aufrufbar) und/oder in deinem Dateisystem in Ordner wie oben schon mal genannten z.B. /Prefetch – drinsteht.
Ansonsten:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1059
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Das ist echt deprimierend! Ich hatte keinen Erfolg. Den einzigen Wert mit prefetch am Ende hab ich in HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ASFFile\shell\open\command und in …\shell\play\command
Ich weißnicht ob ich das einfach mal ändern kann in explorer.exe???
Ich habe mit Hijackthis die Liste der Programme ermittelt, die beim Systemstart auch gestartet werden.
Die habe ich dann auf Plausibilität geprüft (richtiges Verzeichnis, richtige Größe).
Bei „meinem“ Fall waren gehörten diese Programme zu den verdächtigen Kandidaten und habe sie dann gelöscht:
=======================
O4 – HKCU\..\Run: [tkduGCMCAU] C:\Users\Wegnr\AppData\Local\Temp\Adw4x.exe
O4 – HKCU\..\Run: [4Y3Y0C3AWV3U1XYZLTJXHKITTNE] C:\Recycle.Bi\A96C465EC2C.exe
O4 – HKCU\..\Run: [avupdate] C:\Users\Wegnr\AppData\Roaming\mahmud.exe
O4 – HKCU\..\Run: [vasja] C:\Users\Wegnr\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E0Y6RF52\576413[1].exe
========================
Can I have the procedure to delete the Bundespolizei trojan in English. My laptop is affected..
Thanks in advance.
Shanks
Hallo,
ein bekannter von mir hat auch diesen Virus auf seinem lappi. nun haben wir die anleitung genau so befolgt wie sie hier beschrieben ist, aber leider ist unter „Shell“ nur Explorer.exe… es sieht also so aus als wäre der Trojaner gar nicht auf dem Laptop.
Und mit der Suche „jashla.exe finden wir auch nix.
Was können wir tun? Kann man noch anders dran kommen, oder heisst er in dem Fall vielleicht sogar anders?
Vielen Dank im voraus für die Antwort!
MfG
Hallo, wie vorhin (siehe oben, 14:57) schon beschrieben, kann man mit Hijackthis die verdächtigen Programme ermitteln.
Vielen dank hat alles geklappt, bei mir hieß der Virus Mahmud.exe aber er war gleich zu handhaben wie der andere
Grüße beatdown
Vielen Dank…
wir haben nochmal gesucht und haben den Übeltäter jetzt gefunden und entfernt…
Vielen Dank für Eure Hilfe!!!!
LG
hab alles ausprobiert und nix funktioniert! linux lässt sich von cd usw nicht starten und windows im abgesicherten modus shon gleich gar nicht! habt ihr ieine idee, wie ich die daten von der platte bekomm? ich habe gedacht, die platte zb per e-sata an nen anderen pc zu hänge, habe aber sorge, das dabei der virus auf diesen pc übertragen wird…. ist dem so oder kann ich die platte ohne sorge da ranhängen??
im voraus vielen vielen dank für eure hilfe!
Hast du im BIOS einen Start vom CD-Laufwerk entsprechend priorisiert? Ein Start von einer Boot-fähigen CD/ DVD muss doch ohne weiteres möglich sein.
Welches Linux wurde ausporobiert? Ist eine auch als bootbare CD/DVD gebrannt worden? Ist das BIOS auf Boot von CD VOR der Festplatte eingestellt oder wurde per Bootmenü (meist Taste F12) der CD/DVD-Boot versucht zu iniitieren?
Starten mit Antiviren Software vom USB-Stick wäre eine weitere Möglichkeit.
Das Anhängen der Festplatte an einen anderen PC/Laptop per eSATA/USB, sollte in sofern „relativ“ ungefährlich sein, da die EXE-Datei sich eiogentlich nur beim Systemstart ausführt.
Ist also das Zielsystem per Virenschutzsystem auf aktuellstem stand und sollen die Daten der angeschlossenden Festplatte erst dann ausgelesen werden, sollte es eigentlich „recht gefahrlos“ möglich sein die Daten zu retten.
(Am besten aber auf eine weitere externe Platte die man später an das neuinstallierte Virenschutz geschützte System anhängt).
Siehe auch: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1084
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
vielen dank, boot devices hatte ich alle schon richtig gesetzt!
linux (sowohl ubuntu als auch knoppix) versuchen zu booten, werden aber von iwas geblockt… habe schon alle variablen einstellungen auf allen parametern ausprobiert! ok, ich werde dann mal die platte an nen anderen pc hängen…. welches antiviren programm empfielst du um idealen schutz zu haben? und welche sys einstellungen? (sollte nicht so viel kosten… :D ) vielen dank!
Ehrliche Antwort….seit mittlerweile 3 Jahren auf mehreren Systemen, reale wie virtuelle, und jedesmal wieder für ein weiteres Jahr begeistert von: Eset NOD32 Antivirus.
(http://www.eset.de)
Kaufversion einmalig ca. 30€uro.
Lizenzverlängerung ein Jahr: ca. 21€uro
Lizenzverlängerung 1 Jahr + zusätzliche 2 weitere Lizenzen: ca. 28€uro
(Alle Angaben ohne Gewähr.^^)
Und nein, ich bin weder von ESET gesponsert noch finde ich Avira, AVG, oder gar MS Security Essentials schlecht.
Aber beste Erfahrungen habe ich bsilang mit oben genanntem Produkt gemacht.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich fahr‘ privat mit Avira Premium bestens. Im Büro läuft Kaspersky. Mit beiden gab es in den letzten Jahren keine Probleme. Ob sie dadurch nun die besten sind …
Wie geschrieben, ich habe fast nichts gegen andere Antiviren-Lösungen.
Zuhause Eset, bei den Eltern Eset AV + FW, in der Firma TrendMicro, bei Kunden TrendMicro und diverse andere AVs (auf Kundenverlangen -> AVG, Avira, BitDefender, Kaspersky, Norton).
Meine damaligen Tests hatten halt Eset für mich privat als bestes Produkt rausgestellt und das kann ich bis heute ruhigen Gewissens weiterhin sagen. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
klasse danke!!!!!!!
hallo,
ich hatte auch das problem mit den bka virus. und ich idiot hab vergessen den jshla.exe code zu notieren und hab ihn schon gelöscht. kann man den iwie andres auch finden?
was passiert jetzt?
Hilfe!!! :-O