„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Ich verzweifel.. ich such schon die ganze Zeit in den Kommentaren finde aber nichts richtiges
bei mir heißt die Shell Datei auch schon Explorer.exe
Alle schreiben davon „ich haben den Virus dort … gefunden“
Aber ich weiß nicht wie ich ihn suchen soll. Was muss ich tun wenn die Datei schon so heißt wie kann ich den Virus suchen?
Danke im Voraus für die schnelle Antwort.
Gruß Marek
Bei mir steht unter shell ebenfalls Explorer.exe
Das Loeschen einer komischen Dateil ausm Run directory hat nicht geholfen.
Heisst das es bleibt nur Recovery-Version von Oiginal CD und keine einfachere Behandlung?
Verstehe ich es richtig dass dann alle Daten verloren gehen? (mankoennte das wichtigste immer noch auf einen Memorystick kopieren im sicherheitsmode)
Danke!
Bei mir war der Eintrag auch unter HKey_current_user\Software\Microsoft\Windows\currentversion\run
dort gab es einen komischen eintrag auf den temp ordner („new.exe“) den eintrag habe ich gelöscht und seither lässt er mich in ruhe. spybot habe ich laufen lassen, hat aber nichts gefunden…
Was denkt Ihr, ist die Gefahr überstanden?
dito ^^ war bei mir auch dort
infos für andre schadet auch vista und win 7 auch
gut das ich 2 systeme auf der aufgeteilten platte habe ^^
habe hin von mein 2 system xp mit aspersky Internet Security 2012 geplattet ^^ mein win 7 funst wieder :D
Den shell Eintrag findet man nicht (immer) unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Bei den meisten Systemen (Vista / Win7 etc.) ist der Verweis auf die exe (übrigens oft auch nur 0.124232432.exe oder ähnlich) unter HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Er ist also direkt dem USER zugeordnet und verweist meistens ins AppData Verzeichnis.
Geschafft..
habe Win 7 und hatte diesen Trojaner auch aber jetzt is er weg..
hab genau das gleiche wie oben beschrieben gemacht nur hab ich diesen pfad verfolgt..
HKey_current_user\Software\Microsoft\Windows\currentversion\run
dort habe ich dann den Wert von der datei „avupdata“ geändert in „Explorer.exe“..
dann hab ich meinen pc neu gestrate und schwupps der trojaner is weg..
jetzt hol ich mir noch nen anständigen antivirus und scan meinen pc und hoffe dass er dann ganz weg is.. weil ich denke dass noch reste da sind..
ich meinte neugestartet..:D
vielen vielen dank!! eins aber noch: wenn ich dann ‚mahmud.exe‘ endgültig löschen will geht das irgendwie nicht. habs schon mit ENTF und STRG+ALT+ENTF und mit rechtsklick versucht . Da steht dann nie etwas mit ‚datei löschen‘ oder einfach nur ‚löschen‘.
Wäre dankbar für jede hilfe!
ich habe die Datei mit Unlocker gelöscht.
guckst du hier:
http://www.chip.de/downloads/Unlocker-32-Bit_18414122.html
Bei mir öffnet sich leider keine DOS Eingabemöglichkeit! Was tun?
Hallo,
habe Win XP prof. und auch das Problem beim Suchen überhaupt nichts gefunden habe, schon alles ausprobiert, wie die anderen. Ich weiß schonmal das es die Shell Datei mit dem Explorerwert ist. Jetzt möchte ich gerne die Datei(en) von der CD in den/die Ordner ersetzen.
1. Wie ersetze ich diese, über Befehleingabe DOS oder im Registry Fenster?
2. Welche Datei ist es auf der CD?
Komme echt nicht weiter !!!!
Gruß
Schau dir mal die letzten Kommentare hier an. Ich weiß, dass vor ein paar Tagen Alex Schumacher eine kleine Anleitung dazu gepostet hat. Dort stehen direkt die Copy-DOS-Befehle. Ich nehme mal an, dass dies funktionieren wird.
hallo alle zusammen,
ich weiß nicht mehr weiter:
habe, wie chip.de es beschreibt (als XP home user) die pfade:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
nach EXE-Dateien durchsucht, die einen zufälligen, komischen namen haben. dies tat ich gestern, ohne mir deren wert zu kopieren und löschte sie… -.-
bei mir heißt der shell wert auch schon explorer.exe
weiß jz nicht mehr weiter, bin mittlerweile auch alle beiträge durch gegangen und da der letzte ausweg (die CD einschieben) leider auch nicht geht, weil meine freundin mit dem ding in nord afrika ist, wollte ich eine neue runde starten und fragen ob mir i-wer helfen kann :)
vielen dank in vorraus!!!
* habe natürlich das lan kabel gezogen. wenn ich jz den computer start, komme ich bis zum desktop. jedoch ohne i-welche icons oder startleiste. ein kleines fenster meldet in der mitte des bildschirms: Offlinebetrieb . es fragt mich ob ich offline bleiben möchte oder es wiederholt versuchen möchte. sobald ich dies wegklicke kommt der gewohnte Bundespolizei bildschirm (der bei mir nur noch weiß ist). ich kann also den Tast manager öffnen … weiß aber nicht, was ich davon jz löschen kann, darf oder soll
?!??
MFG Max
Schwierig.
Man könnte im Task-Manager nach eventuell dubiosen Dateien suchen udn diese Beenden.
Dann über Datei-Ausführen- explorer.exe (sofern eben diese nicht versucht ist) einen neuen Anlauf starten, weil dann im Idealfall wieder die Oberfläche wie gewohnt zu sehen ist.
Alternativ kommt man über selbigen weg (Datei > Ausführen) auch in die Registry bztw. die Dienst-Verwaltung um eventuellen Viren/Trojanern da die Starterlaubnis zu entziehen.
Wenn aber schon die explorer.exe infiziert ist und keine CD-Bootoption (siehe BIOS und Bootbare CD/DVD bzw. Stick Kommentare eine Seite vorher) nichts nützen, dann ist sogesehen, auf Anhieb erstmal alles „verloren“.
Sicherlich gibt es noch einen Weg über Festplatte ausbauen und an einen sauberen geschützen PC anhängen per USB, aber das ist heir wohl jetzt eher nicht praktikabel befürchte Ich.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Herr Weihmann,
Dank Ihrer Anleitung habe ich den Unhold erfolgreich entfernen können. Danach habe ich mir sofort eine professionelle Virenschutzsoftware aufgespielt.
Vielen Dank für Ihre tolle Initiative.
Damit haben Sie so manchem verzweifelten User
einen riesigenen Gefallen getan.
Danke nochmals.
Hallöchen,
seit 2 tagen habe ich auch diesen virus. ich habe windows xp und deine tips noch nicht ausprobiert. wie mache ich das mit schritt 7? („Hier muss man sich durch das Verzeichnis klicken. Ziel der “Reise” ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).“) Könntest du vielleicht ganz detailliert erklären wie ich das mache? Und bei Schritt 8 und 9 verstehe ich das auch nicht ganz. Wie ersetzt man den Pfad zum Virus mit exlorer.exe? Könnte mir das bitte jemand erklären?
LG
Gaby
Hallo Gabriela,
ich habe zwar jetzt die einzelnen Schritte gerade nicht vor Augen, aber ich denke zu wissen was Du eminst.
Um diesen Pfad zu finden, musst Du auf
Start > Ausführen > und dort in das Feld „Regedit“ eingeben.
Dann suchst Du den beschriebenen Pfad.
Dort wirst Du – eventuell – dann einen Eintrag auf der rechten Seite vorfinden, der z.B. mahmud.exe oder 784357345832.exe oder sonst wie heißt.
Steht dort also kein „explorer.exe“ als einziges drin, dann tausche diesen Eintrag egen explorer.exe (Durch doppelklick öffnen) aus.
Steht dort aber schon explorer.exe drin, ist die Wahrscheinlichkeit sehr dhoch, das dein System genau diese Datei infiziert hat.
Dann hilft (nur noch) das zurückkopieren von einer Original CD/DVD oder einem lauffähigen anderen Betriebssystem.
Weiterhin, sobald das System wieder funktioniert – System scannen lassen und einen aktuellen, als gut getesteten Virenschutz installieren (sofern nicht schon vorhanden).
Dazu gibt es ebenfalls auch auf der vorherigen Seite Empfehlungen von Herrn Weihmann wie auch Mir.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich habe gerade ausprobiert was ihr unter den 10 schritten geschrieben habt. ich bin ins winlogon gekommen, aber da gab es bei mir keinen schlüssel der „shell“ hieß. dort gab es nur 4 dateien die folgendermaßen hießen:
„Standard“
„Build Number“
„Exclude ProfileDirs“
„Parse Autoexex“
bei „Exclude ProfileDirs“ gab es einen langen pfad zu den temporary internet files. ist das vielleicht der virus, den ich löschen muss? vielen dank für deine hilfe!
LG
Gaby
Hallo,
leider ist es auch so, wie es Simon (https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-7#comment-1183) schrieb, dass die Explorer.exe infiziert sein kann.
Hier eine Vorgehensweise, wie wir (EDV-Dienstleistungen) das in so einem Fall handhaben:
– Festplatte ausbauen
– Festplatte an anderen Rechner anstecken und mit Virenprogramm scannen
– gefundene Viren löschen
– Virenprotokoll anzeigen
–> sollte da die Explorer.exe als infizierte Datei stehen, dann von einem anderen Rechner kopieren und über den Task-Manager „Ausführen“ wieder unter C:/Windows/ einfügen.
Registry kontrollieren (s. oben) und ggf. anpassen.
Gruß Jochen
HAllo zusammen, habe den Trojaner mit Taskmanager rausbekommen, kam aber immer wieder. Wie kopiere ich denn explorer.exe rein? Danke im vorraus.
Hallo Herr Weihmann,
danke für die tolle Hilfe.
Mein PC funktioniert wieder einwandfrei.
Ich bin genau nach Ihrer Anleitung vorgegangen.
Mit freundlichen Grüßen
Reiner
Leute, das muss ich mal sagen. Was hier abgeht, ist wirklich nur perfekt.
Ein Forum wäre hierfür sicherlich die bessere und übersichtlichere Wahl gewesen, aber mit über 400 Kommentaren konnte ich nun wirklich nicht rechnen. Hatte an dem Abend, als ich den Trojaner zum ersten Mal bekämpft hatte, einfach meine Lösung hier im Blog nieder geschrieben … Normalerweise ist solch eine Trojaner-Attacke auch mal irgendwann wieder vorbei, in diesem Fall aber augenscheinlich nicht.
Ist natürlich schön, dass so vielen geholfen werden konnte. Auch die vielen Hinweise von anderen Besuchern (Simon fällt mir spontan ein) kenne ich von anderen Blog-Artikeln eher nicht.
Sorry an alle, denen hier nicht weiter geholfen werden kann / konnte.
Nun, den „BKA-Virus/Trojaner“ mit und ohne seinen Freunden bekämpfe ich in der Firma und privat schon seit – geschätzt – mindestens 2 Monaten.
Ursache bei fast allen Rechnern war nicht aktuelles Java. Seltenst (zum Glück) ein nicht aktueller Antiviren Schutz.^^
Vielen Dank Herr Weihmann. Ich nehme ihren Kommentar als Lob auf und an. :-)
Ich bin ja eigentlich auch nur per Zufall hier drauf gestoß. Eigentlich auf der Suche nach ganz anderen Dingen die nichts mit Viren zu tun hatten.
Da ich die Problematik aber kenne und es mir selbst nicht schaden kann mehr über User-Erfahrungen zu wissen, nahm bzw. nehme ich an der „Diskussion“ Teil. ;-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo alles zusammen,
ich komme leider noch nicht mal in den abgesicherten Modus rein. Die Pfeiltasten lassen sich nicht mehr bewegen. Wenn ich im Bios bin, dann lassen sie sich aber bewegen. Wäre lieb, wenn mir jemand nen Tipp geben könnte.
Vielen Dank
Tausend dank, das hat super geklappt!!!
Hallo,vielen Dank erstmal für Ihre Hilfe die Sie hier anbieten!
Soweit hat alles geklappt,der Teufel hat sich aber angeblich in C:\Dokumente und Einstellungen\NetworkService\Anwendungsdateien\mahmud.exe versteckt.
Nun wollte ich den Fehler löschen,allerdings gibt es diesen Ordner nicht bei mir.Habe jetzt so schon mehrfach geguckt,Hab auch die Windoof-Suche benutzt,leider keinen Pfund.Wo könnte sich die Datei dann noch verstecken wenn nicht an dem angegebenen Pfad?
Eventuell die versteckten Dateien anzeigen lassen (siehe Screenshot unter: https://www.redirect301.de/bilder-zur-bka-trojaner-entfernung.html). Ist aber nur eine Vermutung …
Danke von meiner Seite an wirklich alle die hier wertvolle Tipps geben. Ich betreue hier den Computer einer bekannten, kann die Datei auch jedesmal löschen. Jedesmal allerdings weil meine Bekannte den Virus alle 4 Stunden wieder hat… AntiVir findet nix, trotz Updates.
Weiss denn jemand schon WIE der Virus kommt?
Lass nach der Entfernung des Trojaners einfach mal das Internet aus! Einfach mal um zu sehen, ob er sich das Teil über das WWW auf den Rechner holt. Auch ein Blick in die Logdateien vorhandener Sicherheitssoftware und des Windowslogs schadet nicht, um nach der Quelle zu suchen.
Ist einfach mal ein Test …
Hallo Herr Weihmann, nun hat es mich auch erwischt. Allerdings einen Dienstlaptop, bei dem der abgesicherte Modus gespert ist. Gibt es hier auch eine Möglichkeit, den Virus bzw. die Dateien zu löschen?
Gruß und Dank
Es wurden zuletzt einige Rettungs-CDs, von denen gebootet werden kann, empfohlen. Wenn die explorer.exe direkt betroffen ist, könnte man mit einem Betriebssystem arbeiten, das von CD startet – irgend ein Linux zum Beispiel.
Der Virus kommt, im Regelfall, über das Intenet und dann über Java.
Das wiederum kann auf jeder Seite sein die man so besucht. Und sei es eine Seite die man schon seit 20Jahren immer ohne Probleme besucht hat – ein Werbebanner kann reichen.
Im Endeffekt setzt sich das Teil aber auf dem PC meist so fest, das man es zwar löschen kann, sollte es sich aber im Ordner „Recycler“ oder in den Daten der Systemwiederhertstellung oder der pagefile.sys festgesetzt haben, so stellt es sich eventuell auch daraus wieder her.
Das Blöd ist die Methode welche wohl leider wieder stark im Kommen ist: MasterBootSektor Virus.
Das Teil setzt sich in die ersten 512Kb der Festplatte und lässt sich auch mit allen mir bekannten Antivirenprogrammen nicht entfernen.
Eine Neuinstallation mit vorheriger komplettformatierung ist zwangsläufig notwenig!
Dies dürfte zwar hier nicht der Fall sein, aber ich schreibe es mal hin – schadet ja nicht.
Ich würde den PC vom Netz trennen, eine aktuellen Offline-Virenscanner durchlaufen lassen (Boot-CD oder Stick, siehe auch https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1059). Danach dürfte das nervige Teil und seine eventuellen Freunde weg sein.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hey leute,
ich finde den Pfand von dem Trojaner nicht! Wenn ich den Wert ändern will steht da schon explorer.exe
HILFE !!!! was muss ich denn machen
Hallo vio,
eventuell ist genau diese explorer.exe bei Dir jetzt infiziert.
Das ließe sich beheben, in dem Du eine solche explorer.exe von einem sauberen Betriebssystem eines anderen Rechners nimmst (per USB-Stick z.B.) und am infizierten PC ersetzt.
Wie Du dies aber auch von der Original Installations-CD ebenso bewerkstelligen kannst, steht hier in den Comments ebenfalls schon mehrfach beschrieben.^^
Ansonsten bleibt nicht viel mehr übrig, als in folgendem Comment beschriebenes:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1084
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Es ist alles gut und schön erklärt aber was tun wenn man den Dos Eingabe nicht machen kann..ich komme nur bis Abgesicherter Modus mit Eingabeaufforderung kann das auch anklicken und dann war es das weiter komme ich nicht den die pfeile lassen sich nicht bewegen
Danke im Voraus für Hilfe
Hallo Svenja,
es gäbe noch so manch eine eventuille Lösung deines Problems. Eventuell helfen Dir meine Tipps aus folgenden 2 Comments weiter:
1. https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1059
2. https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1084
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich verzweifle!!!!
Bei mir ist weder in den „…\RUN“ -Ordnern etwas drin und es hilft auch nicht Explorer.exe in Anführungszeichen zu setzten (dann kommt trotzdem der hässliche Trojaner).
Ich habe auch schon die BootCD von Avira und BitDefender geladen und entpackt und dann auf eine CD gebrannt…
Ich will auch eine Lösung finden :(
Ich hab auch schon ALLE 400 Kommentare durchgelesen und erhofft, dass irgendwas davon hilft.
Aber ich finde ihn einfach nicht.
Bitte Hilft mir :(
WICHTIGE FRAGE:
1. Wenn ich meine Festplatte abhänge und via USB adapter an einen Laptop hänge (auf welchem McAfee installiert ist). Überträgt es zu 100% nicht den Virus?
Weil dem Laptop darf keinesfalls etwas passieren!!! ???
2. Ist der Virus nach einer komplett Überprüfung weg?
Hallo,
die ISO-Images also entpackt & gebrannt auf eine CD. Davon gestartet und – was – gefunden?
Die Info fehlt leider.
Zu 1.
Wenn Du deine Festplatte an einen PC per USB hängst, der auf dem neusten Stand der Viren/Trojaner/Malware/Scareware/Stealer Abwehr ist, ist die Wahrscheinlichkeit einer Infektion sehr gering.
Kein Scanner der Welt kann 100% abdecken, daher kann ich keine Garantie auf 100% Schutz geben.
Zu 2.
Der Virus ist definitv dann weg, wenn Du den PC/Laptop formatiert hast und ihn neu aufgesetzt hast (mal abgesehen von einem Festplatten Bootsektor-Virus, der könnte evtl. anders behandelt werden müssen).
Kurzum, wenn Du mit einem aktuellen Scanner (oder auch mehreren nach einander) deine Festplatte/n scannst, solltest Du den Virus höchstwahrscheinlich – aber nicht garantiert – wegbekommen.
Zum Thema „Sichern, Neuinstallation und Zurückkopieren der Daten“ siehe ein paar Seiten vorher meine Kommentare.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Steffen,
ich glaube du hast das gleiche Problem wie ich.
Ich bin genauso vorgegangen, habe dann allerdings in anderen Ordnern den Trojaner gefunden:
Der Trojaner verbirgt sich in den folgenden Schlüsseln:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Dieser hieß bei mir allerdings mahmud.
Den habe ich dann gelöscht, PC neu gestartet, Antivir runtergeladen, überspielen lassen, nochmal in der Suche mahmud eingeben und jetzt gehts wieder.
Diese Verweise habe ich von der Chip-Seite.
Ich hoffe ich konnte dir weiterhelfen.
Hallo noch mal.Avira findet den Trojaner, bekommt diesen aber nicht weg. auch nicht mit der Rescue CD.Hat jemand eine Idee?
Ja auf der gebrannten CD ist eine ISO Datei vorhanden aber der PC will einfach nicht von der CD starten.
Ich habe auch im BIOS umgestellt, dass er erst die CD und dann die Festplatte booten soll aber es steht trotzdem nirgends „Drücke eine beliebige Taste um von der CD zu starten“
Aber ich werde nacher einfach mal die Festplatte ausbauen an Laptop hängen McAfee drüber laufen lassen dann einbauen und ich hoffe, dass er dann weg ist ;)
Vielen Dank Simon :) ich hoffe ich bekomm so den acheiß weg!
Ohne jetzt jemanden beleidigen zu wollen oder eine falsche Vorgehensweise unterschieben zu wollen, aber ist auf der CD/DVD jetzt echt nur die ISO-Datei abgelegt?
Wenn ja, dann kann er selbstverständlich davon nicht starten.
Die ISO-Datei muss mit einem Brennprogramm (unter WinXP leider nur über externe Programme ala NERO möglich) oder unter Windows Vista/7 per integriertem Brennprogramm, so auf die CD/DVD gebrannt werden, das sie dort im Endeffekt entpackt und vorallem Bootfähig abgelegt wird.
Vielleicht habe ich es auch nur falsch verstanden, aber das wäre eine logische Erklärung warum er nicht von der CD/DVD bootet.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich nochmal. Aber vielleicht hilft es auch anderen.
Habe eine Datei gefunden, mit der ich nichts anfangen kann. ….AppData\local\microsoft\vault\4bFAC442-….\Policy.vpol
Hat das auch was mit unserem Problen zu tun?
Also auf dieser Seite hier, hat jemand mal selbige Datei hochgeladen udn sie war Virenfrei:
http://r.virscan.org/939868e3869f06cbafe239d03abfea76
Heißt aber natürlich nicht, das es bei Dir genauso sein muss.
Wenn Du es kannst, lade die Datei mal hier hoch:
http://www.virustotal.com/index.html
und schaue Dir das Ergebnis an.
Dann weißt Du – eigentlich – ob diese Datei infiziert ist, oder nicht.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Wenn ich starte und dann gleich der Laptop schwarz wird, kann ich dann überhaupt noch in den abgesicherten Modus gelangen?
Danke
Du startest deinen Laptop und „ab wann – also ab welchem Zeitpunkt“ wird er dann schwarz?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Erst kommt das Zeichen, das wie eine Lupe aussieht, aber normal ist mit den f9 „change boot device order“ und f10 BIOS Setup Options“ Optionen, die mir nun nur noch zur Verfügung stehen. Auf f8 kommt keine Reaktion.
Mmmh, okay. So richtig vorstellen kann ich es mir leider irgnedwo doch gerade nicht.
Ich habe zwar mehr als einen Laptop und von der Arbeit her auch schon unzählige vor der Nase gehabt die schwarz blieben. Aber irgendwie …..naja.
Frag ich mal anders: Was ist passiert als der Laptop das letzte Mal noch was anzeigte und was wurde danach bis jetzt alles unternommen?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Das letzte mal kam die Bundesschutz-Meldung, worauf ich den Computer neu gestartet habe. Zuerst ging noch alles, aber ich habe jemanden gefragt, was nun zu tun sei. Er sagte, ich solle das Akku ziehen, was ich daraufhin auch gemacht habe. Seitdem ist das so.
Das war ein Schreck, aber Dank dieser Anleitung
ist bei mir wieder alles in Ordnung.
Danke Daniel Weihmann.
Hallo,
die Anleitung war genau perfekt. Ich habe die Schritte so befolgt und genau die Datei dann im Register gefunden. Durch die weiteren Schritte zum löschen habe ich sie dann auch problemlos gelöscht und alles funktioniert wieder wie vorher. Sehr gute und verständliche Anleitung die es auch Leihen möglich macht den Virus schnell wieder unschädlich zu machen und zu entfernen. Kann ich wirklich nur empfehlen. DAUMEN HOCH :)
Eine einfache Lösung um den Dateiname ohne suchen zu finden:
1. Windows NORMAL starten.
2. Auf den unbeliebten Rechnerbewohner warten.
3. Rechtsklick auf das Trojanerfenster.
4. Auf eigenschaften klicken.
5. Die Quelle abschreiben. Da steht dann z.B. //C:/Users\balbliblub\Appdata\Roaming\mahmud.exe\Main
Das ist es dann! „Mahmud.exe“ ist der Name des Trojaners. Das andere zeigt an wo ihr ihn finden könnt.
Start des Trojaners verhindern:
1. Schritte 1-6 von oben durchführen.
2. [STRG] und [F] drücken.
3. „mahmud.exe“ suchen lassen (oder wie auch immer euer Trojaner heißt).
4. Schritte 9 und 10 mit der gefundenen Datei durchführen.
Der Rest einfach wie oben beschrieben :) Viel Spass mit euren heilen Rechnern!
Freut zu hören das es auch so funktionieren kann.
Ich bin nur immer vorsichtig, denn ein einmal infizierter PC ist eben leider nicht unbedingt mehr ein Gerät dem man ohne weiteres wieder alles zutrauen sollte.
Sprich ein Virenscan im Offline-Modus (von Stick oder CD botten) der nicht installiert ist oder erst wurde während/nachdem der Virus drauf war, ist für mich dann immer Pflicht.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ok jetzt hat alles mit der BootCD geklappt
Dann habe ich Avira laufen lassen (ca. 2 Stunden)
Es gab 1 Fund und 110 Warnungen…
Jedoch war der Virus danach nicht weg
Kann es sein, dass dieser Trojaner am Tag meines Downloads von Avira (am 03.11.11) noch nicht erkannt wird??
Kann es sein, dass ich einfach in einer Woche dieses Avira Laden muss und es danach geht?
Ps: Bit Defender hängt sich auf wenn er alles läd und dann steht nur noch BitDefender da und nix weitere
Nochmal ein dickes Danke!
Mittlerweile gibt es so viele Varianten von diesem Virus/Trojaner, so das es durchaus auch – theoretisch – sein könnte, das es eine Variante gibt die sich nciht mehr auf diese Art & Weise einfach entfernen ließe.
Das wäre natürlich sogesehen, erstmal, ein Alptraum schlechthin.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Danke Man
Nix gegen diesen Service hier, den gibt’s schliesslich für lau und macht ’nen Haufen Arbeit und ist klasse, AAAAber:
Mit dem Teil hat sich so manch anderer „Dienstleister“ und Vierenscanner-Programm Hersteller wider eine goldene Nase verdient. Ein Schelm der da was Böses denkt ^^.
Nur mal so, zum drüber Nachdenken …
Gott
Diese Vermutung habe ich auch so manches Mal, wenn ein Virus oder Trojaner umher geht. Vor allem dann, wenn bereits ein paar Stunden nach dem Auftreten eines neuen Virus bereits das „Gegenmittel“ von Antiviren-Firma XY bereit steht.
Nun, ich will zwar nicht abstreiten das es so sein könnte, aber dadurch das alle Antivirenherstller doch irgendwie vernetzt sind fallen bestimmte Viren/Trojaner eben schnell auf – denke ich zumindest.
Jeden tag entstehen tausende neuer Viren/Trojaner/Stealer/etc. allerdings sind viele von ScriptKiddies oder einfach so zusammengeschustert.
Heißt diese Teile werden, da fast immer nach einem bekannten Muster, von Antivirenlösungen eh schon erkannt.
Man muss sich also „nur“ noch auf die Neuen abstrakten Teile konzentrieren.
Und da denke ich, kommt es einfach drauf an was das Teil macht und wie schnell man rausfindet was man erstmal dagegen machen kann.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Na es gab bzw. gibt ja immermal wieder diese „Vermutungen“. Ich glaube aber bislang konnte es noch keinem Antivirenhersteller nachgewiesen werden.
Zudem das leider eben keine positive Werbung wäre und in der heutigen Zeit ist eben solche mehr als nötig zm überleben.
Staattrojaner und erstmal für einen Spezialeinsatz global erlaubt worden von GData und dann nach Tagen/Wochen wieder gesperrt worden. Das z.B. ist wohl für GData die denkbar schlechteste Werbung die ich jemals las.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mit dem Tipp von Butterfly (05.November, 18:57) hats endlich geklappt.
Danke Butterfly!!!!
Anzumerken ist, dass ich recht lange „wahrlos“ mit der rechten Maustaste rumklicken musste, bis sich das erlösende Fenster mit dem Ort endlich öffnete.
Bei mir hieß die verseuchte Datei „new.exe“ und BEFAND sich in c:\users\*mein Name*\AppData\Local\Temp\new.exe
Im \Temp oder den \Temponary Internetfiles des Users/der User nachschauen ist immer eine gute Idee, denn dort verstecken sich meist die Unholde zuerst.
Meist ist das bloße entfernen dort aber leider nicht der alleinige Rettungsanker. :-|
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Echt krass, dass der Virus so aktuell ist. Die Einträge sind ja alle von gestern-heute.
Ich habs gott sei Dank hinbekommen!
Danke an Alle!
Maike
Bitte.
Freut zu hören/lesen wenn es wiedermal geklappt hat.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hallo, wir haben uns gestern den tripper eingefangen, danke für die anleitung, hat uns geholfen. den name „jashla“ haben wir nicht gefunden, sondern der name von dem trojaner war „mahmud.exe“. vieleicht hiflt das euch weiter. grüße und danke
georg
Beide Namen stehen schon öfters hier in den Kommentaren. ;-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Vor 3 Tagen hat der BKA-Trojaner auch meinen PC erwischt. Dank Ihrer Anleitung konnte ich ihn entfernen, über den abgesicherten Modus, nicht über den Taskmanager. Zuerst lief er unter mahmud.exe, hat sich dann aber allein in explorer.exe geändert.(Jashla.exe hab ich nirgends gefunden. Meine Freude war leider nur von kurzer Dauer, da 2 Tage später das Miststück wieder auf dem Bildschirm erschien, obwohl ich über windows/system32/restore bis zur Systemwiedeher-stellung kam! Offenbar wurde er doch nicht von der Festplatte gelöscht (hab Windows xp). Meine Antivir-Programme fanden jede Menge verdächtige Sachen,die ich umgehend entfernte. Was muss ich noch tun, damit er endgültig verschwindet?
Gut möglich, dass sich der Trojaner erneut eingefangen wurde. Der Schädling kommt von irgend welchen Internetseiten … System absichern, nach der erfolgreichen und vollständigen Entfernung.
Ich denke/hoffe ein verweis auf folgendes Comment reicht:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-7#comment-1262
Ansonsten – fragen. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich hatte den virus auch , hab ihn aber vor gut 2 stunden runter bekommen.–> (win vista)
Bei mir hat die Datei nicht jashla sondern mahmud.exe geheißen. (hab nach allen .exe dateien gesucht und nur diese ist an diesem Tag 5.11.2011 verändert worden. (Änderungsdatum).
hoffe das hilft euch weiter
Marco
bei mir steht winlogon aber nicht shell was kann ich machen?
danke im Voraus
Wo genau steht das? Und in welchem widnows-Modus kannst Du das einsehen?
Und was wurde bislang alles gemacht?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Habe heute einer Bekannten weitergeholfen. Nachdem ich den Eintrag ewig nicht finden konnte brachte eine Suche nach mahmud, das gewünschte Ergebnis. Danke an den Verfasser!
Danke für diese tolle Anleitung und das erlösen von diesem Schrott! :D
Danke!
vielen dank für die hilfe!!!
bei mir hieß das virus mahmud.exe
war unter o.g. reg.address
Starkes Stück dieser Trojaner,
ist z.Zt. als „mahmud.exe“ unterwegs und hat sich mit
0438(1).pdf und einem Schlüssel an mehreren Stellen einquartiert. Habe ihn mittels Avira Antivir gefunden.
Gut ist, eine 2. Festplatte (komplett noch mal mit allem installiert) zu haben. Austauschen und Prüfung starten.
Vielleicht hilft meine Info weiter.
Immerhin kann man jettzt somit die Suche auf dubiose *.PDF-Files somit ausdehnen.
Was den Umfang der Suche somit zwar nicht gerade schmälert, aber klar macht das es nicht nur *.exe-Dateien sein müssen.
Danke für die Mitteilung.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Alles sehr gute Tipps!
Bei steht auch schon explorer.exe
aber wie überspiele ich denn die Explorer-Datei von der Orginal CD auf den Rechner im abgesicherten Modus?
Gehen mir andere Dateien verloren???
Ich habe vom Installieren nicht viel Ahnung!!
Danke für Hilfe im voraus
bud
Das wurde von einigen hier schon beschrieben. Einfach mal ein paar Kommentare nach hinten durchblättern. Nach DOS-Befehl „copy“ Ausschau halten.
Bei mir (Win-Vista) hieß der virus „mahmud.exe“
unter C:\Users\>benutzername<\AppData\Roaming
steht die Datei
In der Registry zu finden:
HKey_current_user\Software\Microsoft\Windows\currentversion\run
dort habe ich dann den Wert von der datei “avupdata” geändert von "mahmud.exe" in “Explorer.exe”..
Jetzt funzt es wieder – Dank an alle
noch was:
eingefangen habe ich mir den Virus wohl über einen (angeblichen) Link auf der Webseite „GSX-R-Freaks“.
Der Link sollte zum Moto-GP live stream führen.
Der Link kann ja durchaus dorthin führen. Weiterhin muss er ja nciht absichtlich verseucht sein (vom WEbmaster). Durch einen Angriff des WEbservers, könnten theoretisch eine vielzahl an Webseiten auf ein und dem selben Server für Stunden/Tage/Wochen/Monate infiziert sein, ohne das es der Webmaster bemerkt.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Stellt euch doch mal nicht so an wegen diesem „virus“.
Das entfernen ist doch ganz einfach.
1. Ihr ladet malwarebytes runter ( http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html ) auf einen USB stick natürlich.
2. Ihr startet den verseuchten rechner und drückt F8.
3. startet dann im abgesicherten modus mit netzwerktreibern
4. malwarebytes vom USB stick installieren
5. scannen starten und am ende die Funde löschen.
6. rechner starten und alles geht wieder.
Guter tip zum schluss. Antivirussoftware auf den neusten stand bringen und system nochmal vollkommen überprüfen.
Tut mir ja leid Sie/Dich enttäuschen zu müssen.
Da es aber mehrere Variante dieses Virus/Trojaners gibt und er außerdem teilweise nicht alleine sondern mit nachgeladener Verstärkung kommt, reicht eben leider nicht bei jedem System ein MalewareAntibytes aus.
Ich kenne das Programm und weiß das es gut ist und hat mir auch schon das ein oder andere Mal den Ar*** gerettet. Aber es kann halt nciht alles und einen „Offline-Virenscan“ kann es meines Erachtens z.B. nciht komplett ersparen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
habe auch das Problem gerade entdeckt. Mein Sohn hat ihn sich heute abend beim Spielen und wahrscheinlich runterladen eines mods installiert.
habe XP und mehrere Platten und Systeme am Rechner. Habe im Bios umbooten lassen.
Ich habe ihn unter windows/prefetch gefunden,dort hat er eine dll sprich verknüpfung aufgebaut. Habe ihn gerade gelöscht. Dann die REG noch mal nach dem mahmud* lassen, und siehe da auch dort hat er ihn gefunden, aber ganz woanders!
Einfach nach mahmud* suchen und den Eintrag löschen.
Wenn ihr in prefetch die Datei inkls. seiner inhaltlichen Verknüpfung löscht, kann er keinen Schaden mehr anrichten.
Eventuell kam der Virus/Trojaner mit einer Mod. Ist zumindest schon mal eine neue Variante wie das Teil ausgeliefert würde.
Andernfalls war wohl schlicht die Webseite infiziert und hat z.B. über einen versteckten iFrame oder einen Werbebanner den Virus/Trojaner aufs System gebracht.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hab jetzt halbe Nacht mit den Tips hier verbracht.(XP SP3)
Da ich keinen verdächtigen Registry Eintrag gefunden habe und die Meldung bei allen Benutzerkonten den Rechner blockiert hab ich mal am Dos-Prompt „explorer.exe“ eingegeben: BKA-Meldung !
Das bedeutet doch, daß die explorer.exe direkt infiziert ist. Oder ?
Ja. Hier in den Kommentaren haben einige die verseuchte explorer.exe gegen die Originale von der Windows CD ausgetauscht – fertig!
Hallo, Danke. Diese Seite hat meinen Alt-XP gerettet (Infiziert am 6.11.2010):
http://blog.botfrei.de/2011/10/neue-bka-trojaner-variante-infiziert-die-explorer-exe/
Aber Achtung: dir \s hat bei mir zwei falsche explorer.exe gefunden:
c:\windows\explorer.exe
c:\windows\system32\dllcache\explorer.exe !!!falsche!!
Eine gute version zum drüberkopieren war unter:
c:\windows\servicepackfiles\i386\explorer.exe
Der Rechner war sofort seit der Infektion offline. Jetzt scannt gerade Microsoft security essentials (kostenlos!). (Nix gefunden) Jetzt will ich online gehen und den Virenscanner aktualisieren.
(infiziert am 6.11.2011 natürlich)
Ob MS Security Essentials diesen „Teutschen“ Trojaner überhaupt kennt ???
Sollte keine WindowsXP CD da sein, geht auch die explorer.exe von einem anderen WindowsXP mit SP3.
Vorteil: man braucht keinen Copy-Befehl und keine CD, sondern nur einen USB-Stick (den man anschließend am besten an einem gut geschützten System nach Viren scannt.)
Nachteil: Man braucht noch irgendwo ein solches, nicht infiziertes, System.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Der Stick müsste dann aber booten usw. Sonst braucht man doch Dos-Befehle (copy,xcopy) und der abgesicherte Modus (XP !) muss den Stick erst mal erkennen.
Ich hätte als näxtes Knoppix-cd versucht.
Danke für all die tolle Hilfe.
Freundliche Grüße aus Tübingen
Hans
Hallo zusammen,
ich hatte jetzt am wochenende direkt 2 trojaner drauf…den besagten bundespolizeitrojaner und noch einen in form eines programmes mit dem namen „system restore“, der auch nach dem hochfahren startete u8nd mir erzählt hat, meine halbe hardware sei im *A* und die vollversion des programmes könne alles reparieren…
bin dann größtenteils nach der anleitung hier gegangen und hab im HKey_current_user\Software\Microsoft\Windows\currentversion\run den wert zweier dateien in „Explorer.exe“ geändert, die eine datei hat den bundespolizeitrojaner deaktiviert, die andere das öminöse programm. beide dateien haten namen, bestehend aus wirren kombinationen von buchtsaben und zahlen, die eine verwies ins appdata-verzeichnis, die andere ins programdata-verzeichnis. hab ebenfalls beide dateien von der platte gelöscht, die übrigens beide in den verzeichnissen selber dann andere namen trugen, als in der registry…
(die shell im in der anleitung angebenen verzeichnis hatte bei mir auch schon den explorer.exe-wert)
meine frage nun: was ist mit den betreffenden 2 dateien in der registry…müssen die nich auch entfernt werden?
Grüße
Sofern cih das jetzt richtig verstehe…sind da also noch zwei Datein bzw. deren Anmen in der Registry deren Sinn man nicht weiß.
Ich würde zur Sicherheit hingehen, mir den Pfad abschreiben + Dateiname und dann das entsprechend löschen.
(Für eventuelle Schäden übernehme ich dabei aber keine Gewähr.)^^
Ansonsten, wie schaut es mit einem Offline-Virencheck von Boot-CD/DVD oder bootbarem Stick aus?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
nun hab ich das problem bei ner freundin gehabt.. habe alles so gemacht wie beschrieben. nur als ich mir den pfad abgeschrieben habe. stand dort c:/dokumente und einstellungen/benutzer1/anwendungen so nun findet er den punkt anwendungen nicht? wollte den trojaner löschen , aber geht ja nicht wenn ich den pfad nich finde. wird nur gesagt kein fund.. was mach ich nun ??
wäre sehr dankbar für hilfe…
Aktivier im Explorer mal „Verstecke Dateien und Ordner anzeigen“, sowie „Systemdateien immer anzeigen“. (Extra – Ordneroptionen).
Sollte das schon der Fall sein, müsste man erst mal weiter nachschauen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich habe mir den Virus leider auch eingefangen. Bei Shell steht bei mir auch leider schon Explorer.exe. Ich werde heute Mittag mal noch ein wenig suchen, sollte ich jedoch keinen Erfolg haben, habe ich ein paar banale Fragen.
1. Der Trojaner ist auf meinem Netbook. Würde ich alles formatieren und ein neues Betriebssystem aufspielen steh ich echt vor dem Rästel. Wie denn? Ohne Cd-Laufwerk.. ich müsste mir ein neues BS kaufen und auf einem Rechner von der CD auf einen Stick kopieren und dann vom Stick aus starten, oder wie ist das?
2. Ein Kumpel von mir meinte ein Backup des BS wäre auf der Festplatte. Wie finde ich das? Vorallem: kann ich das überhaupt verwenden? In dem Fall kann ich vorher ja nicht formatieren. Wäre der Trojaner dann trotzdem verschwunden?
Wäre super wenn mir da einer was zu sagen könnte..
Ich hoffe dass ich diesen Trojaner irgendwo noch finden kann. Das wäre schon mein zweiter totaler Datenverlust in ein paar Monaten.
In der Shell steht schon explorer.exe – spricht sehr dafür das selbige auch infiziert ist. (Neue von gleichwertigem anderem System kopieren oder von CD/DVD).
Zu 1:
Das ist nicht soo leicht.
Also erstmal hat ja das Netbook im Regelfall auf der Unterseute einen Lizenzcode stehen, damit is klar welches Betriebssystem dafür lizenziert ist und somit eben nciht extra neu gekauft werden müsste. Die Installations-CD/DVD vom Händler oder von einem Bekannten tut es damit nämlich dann auch.
Weiterhin lässt sich Windows 7 bequem per Microsoft Tool von einer ISO-Datei (zum Beispiel von Microsoft runtergeladen) auf einen USB-Stick bannen und davon installieren.
Zu 2.:
Solche Geräte wie Netbooks haben meist eine Recovery-Partition.
Dort ist ein Grundsystem mit installierten Treibern, integriertem Windows-Lizenzcode, etc. abgelegt.
Löst man es nun beim Start des Geräts durch eine Taste/Tastenkombiunation aus, wird das Image so wie es ist zurückgespielt.
Sämtliche Dateien, in der Regel auch Viren, sind dann weg.
(Achtung: Viren/Rootkits im MasterBoot-Record der Festplatte bleiben evtl. weiterhin bestehen!)
Die genauen Tasten welche nötig sind um die Recovery-Konsole hervorzurufen, sind leider von Hersteller zu Hersteller unterschiedlich.
Mal ist es z.B. bei Lenovo Thinkpads der Blaue Knopf, mal ist es eine Tastenkobination ala ALT+F9, etc.
Um das herauszufinden gibt es fast nur drei Möglichkeiten:
1. Handbuch
2. Hersteller fragen
3. Boot des Geräts genau beobachten (falls nur ein Logo erscheint, diesen dämlichen Screen auf den normalen Start im BIOS umstellen – Achtung, bitte nur Leute die Wissen was sie da im BIOS machen.^^)
Datenrettung auf eine externe USB-Platte wäre im Abgesicherten Modus oder per USB-Docking an einem anderen PC evtl. noch machbar.
Und mal rein aus Interesse: Welche Virenscanner waren denn jetzt und da letzte Mal im einsatz?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hab mir den Trojaner auch am 05/11/2011 um ca. 10.30 Uhr eingefangen. Werde mich heute abend mit der Anleitung hier mal daran machen Ihn wieder zu entfernen.
Was mich aber am meisten ärgert, das ich eine gekaufte AV version von F-Secure 2011 habe und sich das Ding trotzdem bei mir eingenistet hat. War der scanner vielleicht noch nicht aktualisiert?
Hoffe nur das nach der befolgung der Anleitung wirklich alle Reste des Trojaners entfernt werden. Habe Angst, dass er vielleicht noch irgendwelche Passwörter bei mir ausspioniert.
Grüße
Tja, und da ist wieder das Paradebeispiel.
Kein Virenscanner, egal ob kostenfrei oder kostenpflichtig schützt zu 100%.
Dies und welche Scanner ich empfehlen kann, schrieb ich (glaube ich) auch in diesem Comment: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1163
Ob der Scanner nur nicht aktuell war, oder er es nicht erkennen konnte, oder ob er wie man ein McAfee einfach zu langsam war, das weiß jetzt leider keine mehr. :-/
Ich vermute allerdings, das Entweder eine Programmkopontene von Adobe oder mein Liebling „Java“ nicht aktuell waren und darüber sich der Virus/Trojaner einschleußte.
Um den Passwortklau sollte man sich zwar immer Sorgen machen, aber normalerweise machen diese Aktion fast nur (ohne Gewähr) Rootkits und nicht so eine „einfache“ Meldung die nervt.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo an alle Mitstreiter,
Surprise!ich hab ihn auch, seit heut morgen-merkt man ja wohl gleich. Hab die Anleitung befolgt, auch bei mir heißt diese Shell-Datei (oder was das ist)gleich explorer.exe.Habs trotzdem versucht hat natürlich nicht geklappt.
Hab nur ne Wiederherstellungs-CD, wie kann ich da dieses infizierte Shell-Ding npdurch das Original ersetzen?vermutlich habt ihr das Schin besprochen, aber ich sitz hier mit BB, sprich 5x7cm Bildschirm und suche die Kommentare durch, also wenn jemand die Zeit hatte mir direkt auf meine Kommentar zu helfen wäre das wahnsinnig nett!
Danke aber jedenfalls überhaupt für die Seite und die gute Anleitung!
Ok,hat sich erledigt, hab mahmud.Exe im abgesicherten Modus gefunden und direkt gelöscht…spybot läuft danach mcafee… Hoffe das Wars dann!!!
Danke nochmal
Viel Erfolg.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich habe alles so gemacht wie die anleitung es besagt aber bei mir gibt es keinen dateinamen jashla.exe sondern es war von anfang an explorer.exe?!Wo finde ich den Trojaner denn dann nun?Wäre sehr dankbar für Hilfe
Siehe dazu:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-8#comment-1301
und
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-7#comment-1312
Die Copy-Befehle (falls die CD/DVD-Variante von Dir/Ihnen gewählt würde, stehen auch hier in den Kommentaren … einige Seite zuvor.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)