„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
ich finde die jashla.exe nicht
was tun??
Finde die Datei auch nicht..
ich auch nicht :(
Ok, versucht mal unter
C/Benutzer/Windows/appdata/roaming
Da die Mahmud.exe löschen, das hat bei mir geklappt
Woe und vorallem wie sucht ihr danach?
Außerdem kann der Virus auch in der explorer.exe stecken, welche jedes Windows-System besitzt, so das diese Datei von einem sauberen WSystem oder der Installations-CD übernommen werden könnte (als Virus-Entfern-Lösung).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hajjo versuch hier funkzioniert.
http://www.helpster.de/bundespolizei-virus-entfernen-anleitung-zur-beseitigung-des-trojaners_54250#video
Hi Mike,
sollte im Eintrag (bei shell) noch explorer.exe stehen, dann sehe mal unter hkey-current-user\software\microsoft\windows\currentversion\run nach und merke dir dort den Pfad der Eintragszeile mit c:\user\……mahmud.exe. Danach diesen Eintrag löschen. Anschließend den RegEditor verlassen und explorer.exe eintippen und bestätigen. Dem gemerkten Pfad folgen und dort die Datei Mahmud.exe löschen. Solltest Du den Pfad nicht finden, wähle vorher unter Organisieren – Ordner und Suchfunktionen – Ansicht die Einstellung „Ausgeblendete Dateien, Ordner und Laufwerke anzeigen“
Viel Erfolg und habe Spass an der Freud
Hallo Spass an der Freud
du hast Mike empfohlen das folgende zu tun:
„sollte im Eintrag (bei shell) noch explorer.exe stehen, dann sehe mal unter hkey-current-user\software\microsoft\windows\currentversion\run nach und merke dir dort den Pfad der Eintragszeile mit c:\user\……mahmud.exe. Danach diesen Eintrag löschen. Anschließend den RegEditor verlassen und explorer.exe eintippen und bestätigen. Dem gemerkten Pfad folgen und dort die Datei Mahmud.exe löschen. Solltest Du den Pfad nicht finden, wähle vorher unter Organisieren – Ordner und Suchfunktionen – Ansicht die Einstellung “Ausgeblendete Dateien, Ordner und Laufwerke anzeigen”
Was leinst du genau bei „Danach diesen Eintrag löschen“ Zeile 5
>> Muss ich diesen file namens „avupdate“ löschen (dann öffnet sich ein neues Fenster mit „the removal of certain values of the registry could create instability in the system“)
>> oder muss ich nur mich den Pfad (c:\user\……mahmud.exe) notieren und dann den RegEditor verlassen vordem ich explorer.exe öffne?
Danke im Voraus für deine Hilfe.
PS: gestern hatte ich Geburtstag und ich habe mir gedacht Trojan war ein seltsames Geschenk!!?
Also ich habe das auh erst nicht gefunden aber nach ein paar minuten suchen ist mir dann aufgefallen das wenn ich den explorer öffnen wollte sich windows automatisch einen anderen zielplatz gesucht hat. Dem bin ich dann bis in meine appdata auf c gefolgt und da befand sich eine mir völlig neue datei mushlad.exe oder so… Gelöscht neustart und siehe da es klappt wieder :)
Mahlzeit zusammen,
ich hatte den Virus auch und hab ihn dank der Schritte hier jetzt wohl komplett vom PC verbannt. Die Reg Einträge sind weg sowie die Datei selbst die ich noch danach gesucht habe (Bei mir war sie in „C:/Users/“Username“/AppData/Roaming“^^)
Jetzt bleibt die Frage, sollte ich den Rechner trotzdem noch einmal neu aufsetzen oder kann ich davon ausgehen dass ich relativ sicher wieder durchs Netz kann?
Virenscan läuft auch gerade noch durch.
LG
Ich würde unbedingt einen dauerhaften Schutz empfehlen. Simon hatte in einen seiner Kommentare zuletzt etwas empfohlen; ich schwöre auf Avira und andere auf Kaspersky …
Wie ich schon in einem meiner Comments schrieb – ein einmal infiziertes System ist immer mit Vorsicht zu genießen. :-)
Zum Thema Virenschutz, empfehle ich die Comments rund um: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1163
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Okay^^ Vielleicht ringe ich mich doch noch dazu durch einmal komplett alles neu aufzusetzen, nur zur Sicherheit.
Habe bislang zwar immer nur die kostenlose Version von Avira gehabt aber ich denke ich werd jetzt wohl doch mal auf Premium umsteigen bzw. mir auch mal Die Software von ESET anschauen.
Vielen dank euch beiden! Vor allem für die tollen Infos das Ding überhaupt wieder loszuwerden! (Ohne PC geht meine Welt unter ;))
ich finde dich datei winologen nicht. wo ist die?
Siehe z.B.:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-8#comment-1301
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Vielen Dank für diesen tollen Artikel. Ich hatte eben einen Kunden da, dem ich so ein ‚Plattmachen‘ der Platte ersparen konnte.
Freut meine/unsere Kunden auch immer wieder. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hey ! Hatte den Virus drauf und war im ersten Moment geschockt ! Habe dann mit meinem Handy diesen Beitrag gefunden und war sehr zufrieden ! Also Daumen hoch sehr gute arbeit und sehr gut die einzelnen Schritte erklärt. Echt sehr gute Arbeit !:)
der virus kann sich auch hinter mahmud.exe (oder mahmut) verbergen
Unter diesem und vielen vielen anderen Bezeichnungen sonst noch…bekannt. ;-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
bei mir steht garkein Pfad wo sich der virus aufhält. hat da jemand nen plan? bitte helft mir
Wo schaust Du nach dem Pfad?
Ansonsten: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-8#comment-1301
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
bei mir in der Shell Datei stand leider auch kein Pfad – es stand bereits Explorer.exe im Wert, der Link mit dem Pfad ist leider für Windows z ich habe allerdings XP wie kann ich denn den Virus nun finden?
Vielen Dank im voraus
Lars
sau gut, man muss sich nur an die schritte halten und es funktioniert!
vielen vielen dank, nur zu empfehlen
Hallo Herr Weihmann,
in ihrem Artikel steht folgendes:
Sicherheitssoftware zum Schutz vor Angriffen dieser Art
Hier ein paar kostenpflichtige Software-Empfehlungen, die sicherlich eine Attacke dieser Art verhindert hätte:
AVIRA Premium Security Suite
Norton Internet Security 2012
F-Secure Internet Security 2011
——-
Meine Frage an Sie wäre jetzt, ob man auch meine Vorschläge unterbringen könnte?
Und 2.tens ein Hinweis. Ich würde den Satz hier umformulieren „…, die sicherlich eine Attacke dieser Art verhindert hätte:“
zu „…, die bei einen aktuellen System (Java, Microsoft/Windows Updates, Adobe FReader, Adobe FlashPlayer) mit hoher Wahrscheinlichkeit eine Attacke dieser Art verhindert hätte:“
Grund dafür: Einfach weil nur die Antivirensysteme leider auch keinen ausreichenden Schutz bieten. Dies sehe ich an Kunden-PCs/Laptops leider nur allzuoft selbst.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo, dem „Einfach weil nur die Antivirensysteme leider auch keinen ausreichenden Schutz bieten“ kann ich mich in diesem Fall nur anschliesen, da mein System mit dem Trojaner infiziert wurde trotz „angeblich ausreichendem Schutz“ durch die Vollversion von F-secure 2011.
Bin froh gewesen das ich diesen beitrag mit meinem zweitrechner gefunden habe. Ansonsten hätte ich den Trojaner nur mit meinem AV programm nicht beseitigen können.
Hoffe nur das die Datenbank von F-secure den Trojaner mittlerweile aufgenommen hat und erkennen kann. Am 5.11.11 war es auf nämlich noch nicht der Fall. Was mich dabei verwundert, der Trojaner treibt seit April 2011 sein unwesen! Wie kann es dann sein, dass er nicht erkannt wurde?
Hoffe nur das ich mit dem löschen der mahmud.exe und einer zweiten datei mahmud.pf oder so ähnlich alles entfernen konnte. Hab noch einen reg Cleaner drüber laufen lassen. Hoffe das war es dann! Oder hat noch jemand einen Tip?
Danke nochmal für die Hilfe hier ;-)
Das Problem ist hierbei, das man nicht mit Sicherheit sagen kann, das der Virenscanner „alt“ war. Vielmehr könnte es sein, das er einfach schlicht zu langsam in seiner Erkennungsroutine ist.
Der Virenscanner in der Firma (TrendMicro), sowie auch meiner hier zu Hause (Eset NOD32 Antivirus) erkennen beim bloßen anklicken des Links oder beim Anstecken eines USB-Sticks mit dem (richtigen) Staatstrojaner eben diesen sofort!
(Getestet in Virtuellen Maschinen mit Dateien des CCC.)
Ob dies bei Norton, F-secure, GData, Kaspersky, McAfee, AVG, Avira, Microsoft Security Essentials, etc. genauso ist, kann ich leider nicht sagen. Aber ich vermute mal das ein paar davon bestimmt „zu langsam“ wären um den ersten Angriff zu verhindern.
Zu dem Suchen & finden und eventuell damit erledigt, der Link zu deinem/Ihrem Comment bzw. meiner Antwort. :-)
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-7#comment-1316
Man hilft doch wo man kann.^^
Und hierbei kann ich es (zumindest versuchen).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Danke für die Erstklassige Anleitung – TIP TOP.
Mittlerweile hat sich der Name leider zu unzähligen willkürlichen anderen geändert, am besten schaut Ihr selbst kurz in der Registry.
Geht auch ganz einfach, ab Punkt 6 der obigen Anleitung folgendes tun:
Unter…
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
und unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
… nach .exe Dateien suchen, die keinen Zusammenhang mit eurem PC bzw. eurer installierten Software haben. Wir hatten den Trojaner jetzt mehrfach erfolgreich unter einem sehr langen Zahlen/Buchstabengewirr finden und löschen können.
Danach Sytem Neustart und mit Virenprogramm prüfen, sollte wenn Ihr ihn gefunden habt, alles wieder sauber laufen.
Viele Grüße, Patrick.
Patrick Fuchs schrieb am
7. November 2011 um 19:56
…
Mittlerweile hat sich der Name leider zu unzähligen willkürlichen anderen geändert, am besten schaut Ihr selbst kurz in der Registry.
Geht auch ganz einfach, ab Punkt 6 der obigen Anleitung folgendes tun: …
Unter…
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Vielen Dank, Patrick!!!
Darunter habe ich dann die „new.exe“ gefunden, die auch noch das Erstellungsdatum des ersten Auftretens des Virus hatte…
Ich habe die Datei entfernt, den Pfad im Registrierungseditor gelöscht, und seitdem läuft die Kiste wieder rund.
Hier hat sich der Virus bei mir (XP Professional) versteckt:
vasja REG_SZ C:\DOKUME~1\User\LOKALE~1\Temp\new.exe
Die Datei wird übrigens noch immer vom Malwarebytes und ESET als unbedenklich behandelt…
Großes Lob an diese Seite und die Kommentierenden!
Peter
Patrick Fuchs schrieb am
7. November 2011 um 19:56
Ich habe es so gemacht wie Patrick. Habe auch die Datei gefunden und entfernt, alles läuft wieder tadellos. Ich frage mich nur, wie gefährlich der Trojaner/Virus nun eigentlich war? Denn ganz traue ich dem Spektakel nicht, war irgendwie zu einfach und ich habe eigentlich garkeine Ahnung von PCs.^^ Hat schon wer Erfahrungen mit dieser Methode gemacht? Ich scanne gerade mein PC mit „Windows Security Essentials“, ist zwar umsonst aber besser als nix. Würde jedoch gerne auf Nummer sicher gehen, ehe ich mich irgendwo einlogge. Danke für Antworten.
P.S. Eigentlich kündigt sich ein RICHTIGER Trojaner ja nicht so an, der arbeitet doch mehr geheim, oder?
Das Problem dürfte in diesem Fall auch weniger die EXE an und für sich sein…ich vermute mal das es ein Zusammenspiel aus der *.exe-Datei, ein paar eventuell nachgeladenen Dateien und logischerweise wiedermal der Internetverbindung ist.
Weiterhin könnte jeder Antivirenscanner der schon auf einem System drauf ist oder nachinstalliert wird, theoretisch, durch einen Virus/Trojaner so modifiziert werden/worden sein, das r diesen nciht mehr als schädlich erkennt.
Ein bisschen was dazu denke ich kann mana uch diesem Comment entnehmen:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-8#comment-1362
Im Endeffekt kann ich halt nur von mir persönlich sagen:
Eset NOD32 AntiVirus v4.x & v5.x bis jetzt alles gefunden – Top.
Selbst der TrendMicro bei den meisten unserer Kunden hat zwar Abwehrmaßnahmen bei betroffenen Kunden ergriffen, aber teilweise nicht schnell genug handeln können (das möge auch auf die Version und das entsprechende PC-System UND den User selbst ankommen).
Es gibt aber leider keinen Schutz der zu 100% reicht.
Alles was von Menschenhand gemacht, wird durch Menschenhand auch zerstört.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hallo,
meine schwiegereltern haben sich heut auch diesen trojaner eingefangen! Wenn ich F8 drücke und ich will eigentlich in den Abgesicherten Modus, habe ich keine Funktion über die Tastatur!
Habe ich nun noch eine andere Möglichkeit da hin zu kommen und den Trojaner vom Rechner zu entfernen ohne ihn komplett neu zu installieren?
Vielleicht helfen Dir/Ihnen folgende Comments weiter:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1059
und/oder
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1084
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo zusammen, ich hab das gleiche Problem mit dem Trojaner, ich habe alle oben angeführten schritte ausgeführt. soweit so gut, aber sobald ich in der regedit explorer.exe eingebe….seh ich wieder die bundespolizei…:( ich habe dann versucht über den editor unter Bearbeiten>suchen den mahmud auf diesem wege zu löschen, aber egal was ich mache, es hilft nix!!! kann es daran liegen, daß ich mehrere benutzerkonten auf dem PC habe? ich habe es über alle benutzerkonten mehrfach versucht…weiß jemand rat? bei mir ist der trojaner unter C:\Dokumente und einstellungen\Networkservice\Anwendungsdaten\mahmud.exe
Sieht ganz danach aus, als wäre mahmud.exe nicht die einzig infizierte Datei.
Eher sieht es danach aus, als wäre die explorer.exe ebenfalls befallen. Siehe dazu:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-7#comment-1320
Weiterhin würde ich einen kompletten Offline-Virenscan (danach) machen. Siehe dazu den Comment eins über dem Ihren.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
also bei mir hat shell den wert explorer.exe. nix mehr zu retten , windows neu machen ?
es geht um nen netbook ohne cd laufwerk und keinen windows daten, weder cd/dvd noch key.
was ist denn überhaupt mit der pfad sache in schritt 8,9. verstehe da nur bahnhof
danke für die hilfe
Zu deinem Problem mit der Neuinstallation, lies dir einfach mal folgende Comments durch: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-7#comment-1281
Den Key von Windows kannst Du zum Beispiel mit Programmen wie „Jelly Beans Keyfinder“ auslesen und ihn dir entweder als Datei abspeichern, oder ihn dir zumindest abschreiben.
Ein Netbook vom Händler ohne aufgeklebten oder zumindest mitgelieferten Key wiederum kenne ich aber eigentlich nicht.^^
Schritt 8/9 beschreibt das finden und „ändern“ der Automatisch startenden Dateien . Diese werden in der Registry meist an diesem Ort (je nach Betriebssystem) angezeigt.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo!
Konte soweit auch den Anweisungen folgen und auch bei mir steht hinter diesem Shell als Wert nur explorer.exe
Was hat das zu bedeuten?
Bin doch ’ne Frau ^^
Hört sich erstmal so an, als sei deine explorer.exe betroffen.
Siehe dazu (unteranderem): https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-7#comment-1320
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich komme in den abgesicherten Modus mit Eingabeaufforderung. Dort öffnet sich dann auch das beschriebene Fenster nur kann ich nichts eingeben. Weiß unterlegt ist „Microsoft Windows XP Home Edition“. Mit den Pfeiltasten kann ich weder nach unten noch nach oben wechseln.
Was habe ich falsch gemacht? Gibt es einen anderen weg um den Befehl „regedit“ einzugebn?
Danke schonmal,
Joscha
Es gäbe noch den Weg in die RegEdit über diverse Tools auf BootCDs wie z.B. der UltimateBootCD.
Oder von Microsoft selbst der ERD Commander 5.0 (für XP) oder DART 6.5 (für Vista/7). Letzte beide kosten allerdings eigentlich Geld und gibt es nur mit einem MSDN-Abbo bei Microsoft.
Wenn das alles nicht zur Verfügung steht, kann man noch einen Virenscanner (Offline, also davon Booten beim Systemstart) durchlaufen lassen. Jenachdem welcher es ist, kann dieser zumindest teilweise eventuell auch in die Registry schauen.
Prinzipiell würde es aber reichen, wenn der Virus entfernt würde, denn dann könnte man (normalerweise) wieder unter dem normalen Windows doie Registry öffnen und dort alles „falsch“ entfernen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hi ,
ich hab den virus auch seit einiger Zeit drauf und ich komm bis Schritt 7-8 ..dann is bei mir der Wert des Schlüssels Shell “ Explorer.exe “ so wie bei ein paar anderen auch ..
Wie soll ich jetz weitermachen ?
lg
Kurzum (ich denke/hoffe das sollte reichen): https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-8#comment-1333
Die Copy-Befehle – falls kein anderer PC (mit gleichem OS) zur Verfügung steht – findest Du einige Seiten vorher oder auch im Internet z.B. bei Google.
Sollten noch Fragen bestehen – einfach fragen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Also ich. Habe diesen Mist nun auch und alles befolgt was bisher geschrieben wurde.schreibe gerade mit dem iPad.ich kann nirgends die Mahmud Geschichte finden.habe alle Register die aufgeführt waren durch und weiß nicht weiter….
Das ist natürlich sehr unschön.
Ich vermute das der Virus sich selbst aus verschiensten Dateien wieder hergestellt hat (Ordner Recyled.bin, Systemdatei pagefile.sys, Systemdatei hyperfile.sys, Ordner %Appdata%, etc.). Dies funktioniert solange, wie zum Beispiel die „Systemwiederherstellung“ aktiviert ist und die „Auslagerungsdatei“ angelegt wird.
Wenn man beides deaktiviert, wird eigentlich beim nächsten Systemneustart die jeweilige Datei gelöscht. WEnn man jetzt einejn Virenscan macht, oder einen Virus/Trojaner von Hand entfernt, dann fehlt im zumindest ein Teil seiner Existenzgrundlage.
Ich würde also eventuell folgende Comments mir noch mal anschauen:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-8#comment-1324
Zur Not hilft leider nur Daten sichern, Platt machen und Neuinstallieren. (Auch dazu habe ich einige Seiten zuvor schon eine detaillierte Anleitung geschrieben.)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich hoffe ihr könnt mir helfen,bin nicht gerade der Experte auf dem Gebiet aber mit so ner Anleitung wie oben habe sogar ich die aufgeführten Sache gefunden.jedoch eben nicht diese Dateien.was kann ich noch tun.
Bitte um hilfe
Was hast Du denn bis jetzt gefunden und wo?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich denke mal bzw. hoffe das Dir/Ihnen folgender Comment hilft:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1084
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
vielen dankt für eure Infos. Ich hab mich schon gefreut und dachte jetzt werde ich noch zum PC-guru…und dann war der trojaner wieder da.
hab mich durchgeklickt und bei shell hat bei mir schon explorer.exe gestanden.
bei Pre.create Known war ein buchstaben und Zahlen Code den hab ich gelöscht.
habe dann die unter C:Benutzer… die mahmut datei entfernt. und neu gestartet.
Mein rechner hat funktioniert, jedoch nur 3 minuten, dann war der Trojaner wieder da…
Wer kann mir helfen???
Mist, jetzt habe ich auf den falschen Eintag geantwortet…naja egal…dann halt der Link zu meinem eigentlichen Kommentar:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-8#comment-1356
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich habe seit gestern auch diesen Virus auf meinem PC. Es ist allerdings so, dass ich den PC normal starten kann und eigentlich auch normal damit arbeiten kann SOLANGE ich nicht mit dem Internet verbunden bin. Erst wenn ich eine Verbindung mit dem Internet herstelle kommt die vermeintliche Meldung der Bundespolizei und ich kann nichts mehr machen. Gibt es dann in meinem Fall nicht vielleicht sogar eine einfachere Möglichkeit diesen Virus zu entfernen?
Vielen Dank vorab!
Eventuell hilft dir genau mein Post obendrüber weiter (https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-8#comment-1356)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo habe das gleiche problem habe bei mir shell angeklickt da stand explorer exe die habe ich gelöscht.
etzt ist nach dem neustart und anmelden alles schwarz.
Kann mir einer helfen.
Colin
Die explorer.exe (eine Systemdatei und damit essentiell wichtig für Windows) nur zu löschen war leider nur die halbe Miete.
Jetzt ist es definitiv schwieriger diese Datei wieder auf das System zu bekommen.
Auf Anhieb fallen mir da drei Möglichkeiten ein:
1. Original von der Installations-CD kopieren
2. Original oder Kopie von einem sauberen Pc per Boot-CD/DVD bzw. Boot-Stick rüberkopieren
3. Festplatte per USB-Adapter an einen sauberen PC anschließen udn dort die (baugleiche) explorer.exe kopieren.
4. Neuinstallieren
Ansonsten hilft dabei evtl. noch:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-8#comment-1335
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo, mein Freund hat gestern deine Anleitung befolgt und wir können den Lap Top wieder starten. Erst mal Danke :) Aber das Problem ist, dass der Desktop komplett schwarz ist, ohne Startzeile u.s.w. Es wird nur der Explorer angezeigt (über den ich aber auf fast alles zugreifen kann). Wie erhalte ich wieder die gewohnte Benutzeroberfläche? Hat mein Freund evt. die Explorer.exe gelöscht? Und falls ja, kann ich dann die explorer.exe von meinem PC nehmen, das ist aber XP und ich habe Windows 7.
hallo habe alles bis shell gemacht dann hat explorer exe gestanden die habe ich gelöscht nach dem neustart und dem anmelden ist alles schwarz
kann mir einer helfen.
colin
Durch doppeltes Posting wird in diesem Fall nicht schneller geholfen.^^
Ansonsten – siehe einen Comment höher.
Hallo Leute
Ich hab ein viel schlimmeres Problem, ich hoffe ihr könnt mir helfen oder mich sogar verstehen^^
Ich hatte den Virus und habe diesen dann wie ihr beschrieben entfernt, ich hatte vorher keinen AntiViren Programm, sodass die Meldung mit ‚Ihr Computer ist eventuell gefährdet‘ immer wieder kam, doch ich sie nicht beachtet habe.
Nachdem ich den Virus dann entfernt und euf meinem PC zugreifen konnte, habe ich mir Avira runtergeladen, jedoch kam der Virus nach ca 2 Wochen noch einmal.
Ich habe nicht soviel Ahnung vom PC, deshlab habe ich einen Kollegen gerufen. Dieses Mal war die Datei ‚Shell‘ garnicht vorhanden.
Wo man eigentlkich ‚regedit‘ eingibt, hat er mal ‚explorer.exe‘ eingegeben und dann kam wieder das Bild mit dem Trojaner, er meinte der Virus hätte sich verbreitet und und explorer.exe verseucht bzw. gesperrt. Er hat viel Ahnung vom PC, deshalb glaube ich ihm auch. Nun muss ich unseren PC neu formatieren, jedoch hatte ich auf dem PC noch paar Dateien wie Bilder, die noch trotzdem behalten würde.
Achja dies hat mein Kumpel auch versucht:
Er hat einfach eine Datei mit Shell geöffnet und mit explorer.exe als Schlüssel eingesetzt.
Da der PC nun formartiert werden muss, hat er es i-wie geschafft, dass ich nur Mozilla Firefox öffnen kann, ohne Desktop oder Taskleiste wie Start.
Ich hoffe ihr habt mich vertanden und könnt mir helfen
MfG
Also ich versuche dann mal das mit dem „verstehen“ und dann mich an einer „Lösung“ zum verstandenen. :-)
Als erstes muss ich leider, bitte nicht böse sein, sagen: „Ohne Antivirus in heutiger Zeit = Das darf nicht sein!“
Aber das ist Dir/Ihnen jetzt wohl (leider) auch aufgefallen.“
Der Virus kam entweder wieder,
… weil das System immernoch nicht sauber war,
… oder weil Avira ihn nicht entdecken konnte weil es DANACH installiert wurde,
… oder weil der Virus noch gar nicht wirklich weg war (Zeitmechanismus eingebaut),
… oder weil das System mit seinen Komponenten immernoch nicht auf den aktuellsten Stand gebracht worden ist/war.
Wenn man explorer.exe eingibt und sofort der Virus/Trojaner kommt, dann spricht es sehr dafür das eben diese Systemdatei befallen ist. Im Zuge dessen empfehle ich Dir/Ihnen folgende Comments:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-8#comment-1359
Zum Thema Daten sichern und Neuinstallieren:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1084
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Schönen Abend zusammen,
also ich bin absolut kein PC-Spezialist.
Ich bin so vorgegangen wie ganz oben beschrieben. Habe allerdings nicht die Explorer.exe gelöscht, das war mir zu heiß.
Anschließend habe ich diese ominöse Datei im abgesicherten Modus gesucht und beim Pfad ganz vorne alle EXE Dateien gesucht und nach Datum sortiert. Da ist mir die MAHMUD.EXE aufgefallen, da diese mit dem heutigen Datum versehen war. Die habe ich gelöscht.
Vom Internet habe ich bei www.botfrei.de die DE-CLEANER Datei runtergeladen, installiert und nach Viren suchen lassen. Die haben keine mehr gefunden.
Dann habe ich mir noch das VIDEO über die Systemwiederherstellung angesehen und durchgeführt.
Bis jetzt läuft er wieder, das gute Stück.
Wenn ich denn erwische, der mir 2 Stunden geklaut hat, kann sich auf was gefasst machen.
Ich hoffe, dass ich helfen kann
Gruß und schönen Abend
Wolfgang
Tja, da liegt das liebe Problem ja begraben.
Meist kommt solch ein Virus/Trojaner aus Östlichen Ländern (nicht immer versteht sich) und das es sich rentiert, wird es das auch weiterhin geben.
Das ist so ähnlich wie mit dem Phishing.
Ich melde Phising wg. DHL Paketstation mit Mail und der Domain wo die Files liegen und weitern Infos, die reichen sollten um die Domain zumindest kurzzeitig vom Netz nehmen zu lassen bis sie clean ist.
Und was passiert – na genau – DHl sendet mir die Infos das ich eine Phishingmail hingesandt habe. *was mache ich nur falsch, am Kopf kratz*
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hatte das selbe problem hab aber einfach abgesicherten modus geöffnet und in roaming die mamuut exe oder wie die heist gelöscht
Wollte mal fragen ob der trojaner jetz wirklich weg ist weil ich die datei jashud oder so nicht gefunden hab
Eine dieser Dateien reicht ja eigentlich schon.^^
Ich würde dennoch das System nochmal von Grund auf „Offline“ scannen.
Wie und womit, das kannnst du zum Beispiel ein paar Seiten vorher lesen. Dort schrieb ich ein passendes Comment dazu.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
danke war ne große hilfe
Bitte, gerne doch.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
*sing* HALLELUJA *sing*
YES I CAN !
I’m sooooo happy ^^
!! Vorweg ein RIEßEN danke an Simon !!
Ich hab den Hund runter bekommen und jetzt mein TIPP wie:
1. Bit defender Boot CD kostenlos runterladen (z.b. Hier http://www.heise.de/software/download/bitdefender_rescue_cd/56298)
2. Ins Nero gehen dann auf Daten und Boot CD erstellen anklicken (unten gibt’s ein Button welche die Ansicht wechselt)
3. In Nero öffnet sich ein Fenster dort nichts ändern einfach Neu klicken
4. Die ISO Datei auf die CD Brennen
5. Pc von der Boot cd starten
6. An einen anderen nicht betroffenen PC gehen (mit einem USB stick) und auf folgenden Pfad gehen „C:\Windows“ dort müsste die Datei „Explorer.exe“ vorhanden sein und diese nun auf den Stick kopieren
7. An dem betroffenen pc kann nun auf die festplatte (durch die cd auf welcher Bit defender gerade läuft) zugegriffen werden. Dort den ordner C:\Windows suchen
8. Stick in betroffenen PC einstecken (Der Ordner müsste sich von selbst öffnen)
9. „Explorer.exe“ vom Stick in den Ordner ziehen (also die Explorer.exe Datei am kaputten pc ersetzten)
10. Neustarten und tadaaaaaa :)…
Jetzt nur noch gescheides AntiVieren Programm drüber laufen lassen und fertig ;)
Ich hoffe es klappt bei euch allen auch noch :)
Ich nehme es als Lob an. :-)
Freut zu hören das es geklappt hat (und das jemand meine Anleitung[en] verstanden hat).^^
[ironie] Nur so als Tipp nebenbei – Wenn schon die BitDefender-CD (oder sonst ein Offline-Antivirus) drin liegt, kann man auch gleich damit das System scannen. [/ironie]
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Oja das darfst du als fettes Lob ansehen ;)
Jo KANN man mal versuchen aber bringt nicht viel ;)
Also bei mir hat’s nicht viel geholfen :/
Eigentlich ist die beste Lösung überhaupt einfach immer ein geacheiden AntiVieren Programm drauf zu haben! ;)
Und ein „immer“ aktuelles System zu haben (Java, Microsoft Updates und Adobe Updates) sind wohl so die wichtigsten Updates die ein System immer erfahren sollte.
Dann ncoh der gescheite Antiviren-Scanner und ein bisschen umsichtiges surfen (man könnte jetzt auch noch bestimmte Browser und Werbeblocker sowie Script-Blocker in Thema bringen), aber das würde es etwas zu weit vom eigentlichen Thema abbringen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Also, bei mir war weder die explorer.exe Schuld, noch eine mahmud.exe, noch eine jushed.exe und mein Avira Antivir hat auch keine infizierte Datei erkannt.
Ich habe die infizierte Datei gefunden, indem ich den PC im abgesicherten Modus gestartet habe. Dann habe ich unter „START/AUSFÜHREN/msconfig“ gestartet und mal unter dem Reiter „Systemstart“ nachgeschaut, ob da etwas mit geladen wird, was mir spanisch vorkommt. Dies war auch so. Dort gab es einen Eintrag „new.exe“. Unter „Befehl“ steht der Ordner, indem sich diese „exe“ befindet. Dies war bei mir im Ordner: „C:\Dokumente und Einstellungen\“Benutzername“\Lokale Einstellungen\Temp“ Die Datei lag Tatsächlich dort, und hatte auch das aktuelle Datum des 1. Auftreten des Trojaners.
Ich habe den Inhalt des Ordners einfach gelöscht (sind ja nur Temporäre Dateien, die mit der Zeit den PC zu Müllen). Anschließend den Papierkorb leeren und PC neustarten. Alles lief wieder wie vorher.
Ich hoffe ich kann jemandem weiterhelfen, der mit den bisherigen Methoden nicht weitergekommen ist.
MfG
Robby
Dieser Pfad und auch die *.exe wurden schon vor einigen Comments behandelt. Ist also an und für sich nicht neu, kann aber leider durchaus öfter der Fall sein.
Nichts desto trotz freut es natürlich zu hören das nun das System wieder lauffähig ist.
PS.: Die Temporären Dateien kann, bzw. sollte man hin und wieder mal per Datenträgerbereinigung entfernen lassen. Innerhalb von Monaten/Jahren (je nach Nutzung & Einstellung des Computers/Laptops/Netbooks) kann sich da eine Menge unnützes Zeug ansammeln.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Danke für die Infos zum Bundespolizeitrojaner und die nützlichen Kommentare / Updates. Ich habe mir am 4. oder 5. November das schweizerische Pendant des Viruses eingefangen (Bundesamt für Recht und Justiz, wenn ich mich recht entsinne).
Für den Fall, dass andere Betroffene auf diese Seite stossen:
Das Teil hatte sich bei mir unter HKY_current_user\software\microsoft\windowsnt\current version\winlogon versteckt…
Der Wert der explorer.exe Datei wurde wie folgt angezeigt c:\user\XYZ\appdata\local\temp\new.exe
Beste Grüsse aus Liechtenstein –
AJ
He @Marek, @Simon und @AJ: Danke für eure spitzen Hinweise!
Ich muss unbedingt versuchen die Tage diese mit in den 2. Trojaner-Artikel zu übernehmen. In den Kommentaren verliert sich das einfach zu schnell.
Ich habe die Datei in der systemkonfiguration gefunden.. Da steht appdata-roaming-Mahmud.exe
Aber ich kann die nicht löschen ich finde die so nicht wieder…
Jetzt möchte ich ein Upgrade machen aber der sagt es geht nicht es liegt ein Fehler vor… Na super :(
Upgrade wovon/wonach genau?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
N´abend zusammen!
Also ich hab mir den Mist auch auf meinen Rechner geholt… und eines Morgens – BAFF! Sie wurden überführt.. schöne Rechtschreibfehler :D HA! Wer darauf reinfällt.. naja!
JEDENFALLS VIELEN TAUSEND DANK ich habs allein hingekriegt, bei mir hats nur 5min gedauert!Alle Daten sind noch da und diese Woche hole ich mir noch paar Sticks, um alle Daten zu sichern und noch so´n paar Maßnahmen, dass es kein nächstes Mal geben wird!!!
Schönen Abend euch noch! Und viel Erfolg beim Suchen der Seuche!
Hab ihn persönlich unter Dok. und Einst./1/Anwendungsdateien/jashla.exe gefunden!!!!
Hallo,
ich glaube ich hab mist gebaut…………anstatt den Wert in der „Shell“-Datei zu ändern habe ich sie einfach gelöscht.
hab dann den Rechner neugestartet, lief auch ne Zeit doch dann war er wieder da, liegt das an der „Shell“-Datei??? kann ich die irgendwo wieder finden?
Schon aml eine Systemwiederherstellung per CD/DVD oder vom Backup (sofern angelegt) probiert?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Nach dem mein Mann den Trojaner eingefangen hat, war der PC noch stundenlang an. Avira hat später eine Warnung geschickt, die ich zunächst in die Quaratäne gechoben und später gelöscht habe. Die Anleitung zum Löschen lief ganz gut bis auf die yashla.exe. ( nicht mehr da, vielleicht wg. der Quartantäne??)unter Shell fand ich nur explorer exe. Meine Daten scheinen alle noch vorhanden zu sein, nur mein Desktop und die Systemleiste sind völlig weg. Wie kriege ich das wieder hin?
Vielen Dank für die Hilfe
Klingt so als würde der Dienst 2computerbrwoser“ nciht mehr gestartet. Existiert nun noch die regulär vorhandene „explorer.exe“ oder wurde diese gelöscht/umbenannt/durch eine andere ersetzt?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
es ist noch d. urspruengliche explorer.exe vorhanden?
Ich hab jetzt schon alle Kommentare ( ca. 3 std lang) durchprobiert. Mein Hals wird immer dicker.Aber mein PC hat immer noch die Seuche. Auch das Stratenn und Runterfahren ist extrem langsam.Kann ich d.Browser neu starten?
Hallo zusammen,
auch ich habe gestern auf einem Rechner mit Windows 7 und aktueller Software die Meldung bekommen.
Ein Hinweis fehlt mir bei allen guten Vorschlägen: Eine Datensicherung regelmäßig durchführen!
Damit war das Problem nach Einspielen der letzten Sicherung in wenigen Minuten beseitigt. Die zu letzt veränderten Daten konnten dann bequem aus dem inkrementellen Backup des befallenen Rechners ausgelesen werden.
Alles andere ist von Laien nicht durchführbar und die Gewissheit, den Schädling wirklich wegbekommen zu haben, wird man bei all diesen Basteleien nie bekommen.
Geschweige denn die Unsicherheit, ob nicht doch auch ganz wichtige Dateien zerstört wurden.
Mit freundlichen Grüßen
Helmut
(systemberater, der schon seit Jahrzehnten Datensicherung, Datensicherung, Datensicherung predigt)
Hallo Helmut (wenn ich das so sagen darf),
das gebe ich unumwunden zu. Bei alle den Posts hier von mir und anderen, wurde tatsächlich das Thema Backup gar nciht angesprochen. Ich mache mir gerade ernsthaft Gedanken, warum ich dies nicht tat.^^
Zumal ich auch lange Zeit in der Firma in welcher Ich arbeite, für Backups bei den Kunden verantwortlich war, teilweise auch noch bin.
Klar ist – ein Backup zu haben ist natürlich eigentlich das A&O. Das Problem ist eher, das viele bzw. wohl die meisten Leute (so meine bisherige Erfahrung) ein Backup egal in welcher Form nicht oder stark veraltet besitzen.
Das dass entfernen einer oder mehrer Virus/Trojaner/etc.-Dateien keine wirklich befriedigende Lösung darstellt, habe ich dagegen schon mehrfach geschrieben.
Ein einmal kompromitierter Rechner/Laptop/Netbook ist immer ein gewisses Risiko, weshalb eine komplette Neuinstallation – eigentlich – das beste und sicherste Weg zu einem sauberen System ist.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo Simon,
danke für die vielen Superhinweise und Tipps. Das genaue Befolgen hat mir zumindest zu meinen Daten verholfen. Gern würde ich den Hinweis der Neuinstallation nutzen, mein letztes Backup (Sicherung auf externer Festplatte) ist von Sonntag. Ich habe keinen Schimmer, was dieses Backup tatsächlich enthält, bzw. was mein Computer davon rekonstruiert ( Windows 7, 64 bit, insgesamt wenig Ahnung…) Vielleicht wäre es auch für andere hilfreich, Tipps zum Vorgehen bei Neuinstallation zu bekommen. Das Benutzerhandbuch ist wenig aufschlussreich. Die Systemwiederherstellung, letzter W-Punkt auch von Sonntag, wollte nicht funktionieren. Ich berkam die Fehlermeldung, ein Antivirusprogramm würde dies verhindern (Antivir?), das kam mir verdächtig vor.
Vielen Dank auf jeden Fall für die bisher schon so geduldig und sorgfältig geleistete Hilfe!
Hallo, Ich habe seit gestern dieses Problem -_- Punkt 5.wo ich (regedit) eingeben muss kann ich garnicht eintippen irgenntwie?! Am Laptop kanns nicht liegen odr?
Kann dort gar nichts eingegeben werden, oder nur Regedit nicht?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
bewegt sicht gar nichts irgentwie?! nicht mal num. kann ich eintippen?
Auf welche Art & Weise bist Du/sind Sie jetzt dorthin gekommen?
Im abgesicheren Modus, oder per Boot-CD?
(Die Schritte von oben befolgt, heißt ja schließlich noch nicht unbedingt das es der selbe Weg geblieben ist.^^ )
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Also bei Problemen mit „infizierter“ explorer.exe solltet ihr mal hier schauen:
http://blog.botfrei.de/2011/11/bka-trojaner-infiziert-explorer-exe-auch-unter-windows-7/
Mir hats geholfen, Rechner bootet wieder normal.
Hallo!
Kann ich auch Dateien im abgesicherten Modus öffnen oder gar die auf einen Stick ziehen und ohne Gefahr diesen Stick an einen anderen Pc anschließen? ICh habe auch das Problem mit explorer.exe und ich verstehe noch nicht ganz wie ich das beheben kann, könnte mir das eventuell noch einmal jemand für Dumme erklären?
Viele Grüße und Danke!
Ich rede von Worddateien, nur zum besseres Verständnis…
Habe weitere Lösung gefunden!
Bin Anleitung durchmarschiert und hatte keinen Erfolg. Auch die erwähnten Namen jashla.exe, mahmud.rxe, … führten zu keinen Suchtreffern.
Da auch die Pfade nicht verändert wurden – also im oben beschrieben Pfad, der mit dem Schglüssel ..\shell endet und den Pfad zum Virus liefern soll, nichts Verdächtiges stand – lag es nahe, daß der Explorer.exe selbst den Virus trug. Ich habe daher eine CD mit einem gesunden Explorer.exe gebrannt und dann meinen „Patienten“ mit F8 neugestartet. Da in diesem Modus auch die CD gelesen werden kann, konnte ich auch den Explorer mit seinen Such- und Copy-Funktionen von Cd starten – ein äußerst hilfreicher Glückstreffer. Danach habe ich auf der Festplatte alle Explorer.exe mit der gesunfen und nicht infizierbaren Version von der CD ersetzt.
Nach Neustart funktionierte mein PC im Normalmodus wieder, sodaß ich weitere Schritte zur Vius-Sucher über entsprechende Scanner einleiten konnte.
Viel Glück!
Hallo…
Bei mir funktioniert es nicht… Hatte den Trojaner letzte Woche schonmal drauf, nach an- und wieder einschalten funktionierte jedoch wieder alles. Nach erneutem Auftauchen habe ich nun die Schritte durchgeführt, aber es lädt nach Neustart nur das Fenster des Windows Explorers.. Was kann ich tun???
Gruß Morissa
wer kann mir helfen bekomme die datei nicht löschen, element kan nicht gefunden werden
also ich bin einer der wenigen Vista Nutze.
Ich habe den PC im abgesicherten Modus gestartet, die Datei hieß Mahmoud.exe.
Diese war 2 mal vorhanden , habe sie gelöscht, dann neu gestartet, und das war alles.
HAbe vorher mal die Datei ausgeführt, und siehe da da war auch die Meldung im abgesicherten Modus.
Mit dem ganzen Regeditkram konnte ich nichts anfangen, das war bei mir alles anders.
Super Anleitung!
Vielen Dank – hat mit Windows XP einwandfrei funktioniert. „Meine“ Datei hieß auch Mahmoud.exe
Hallo, ich hatte bzw. habe das selbe problem. habe versucht die schritte zu befolgen, habe dann auch unter C:/Users/“Username“/AppData/Roaming/ „mahmud.exe“ gefunden und gelöscht. Kann den Pfad nun aber nirgends finden…was soll ich tun?
Ein Kommentar zum Einfallstor, das der Trojaner benutzt hat: Mit Mozilla Firefox 2 ist er draußen geblieben, Firefox 8 hat ihn hereingelassen.
War bei mir im temp Verzeichnis mit dem Namen neu.exe
Vielen Vielen Dank für die tolle Beschreibung – hat super funktioniert!!
eine Anmerkung hätte ich da aber noch: mein Virus hieß nicht jashla.exe, sondern mahmud.exe – vllt könnt ihr das in eurem Kommentar mit erwähnen