„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Super Anleitung aber unsere Datei hieß irgentwaskomisches und hinten stand new.exe darauf aufpassen kann auch dadrauf sein aber sonst die gleiche Anleitung wie oben beschrieben ich habe Windows 7 und es hat nach 10 min rumdrücken geklappt Danke vielmals
Mfg Marius
Hallo,
ich habe den pfad nicht gefunden, der bei punkt 8 angegeben ist…und wenn ich bei shell öffne, steht da schon explorer.exe als Wert… und welchen pfad soll ich löschen?
Lg Sara
@Sara
Gar nichts am besten hälst du dich an diese Anleitung
http://blog.botfrei.de/2011/08/trittbrettfahrer-des-ransom-ukash-%E2%80%93-trojaner-bka-trojaner/
;) musste auch gerade den PC eines Kollegen entseuchen
hallo bei mir steht ebenfals EXPLORER,EXE
@Adrian
auch für dich http://blog.botfrei.de/2011/08/trittbrettfahrer-des-ransom-ukash-%E2%80%93-trojaner-bka-trojaner/
Hatte den Trojaner vor ner Zeit auch und heute hab ich ihn mir wieder eingehandelt. Nur diesmal hieß er nicht „jashla.exe“ sondern „mahmud.exe“
Ansosnten von den Symtomen und der Lösung das gleiche
Guten Abend, habe nun folgendes Problem F8 Taste funktionier einwandfrei, drücke auf den abgesichterten Modus dieser fährt jedoch nie hoch. Der Bildschirm bleibt bei dem Schritt. Was mache ich nun, wenn er Pc nie hochfährt? (egal in welchem Modus- klappt nicht) Kann die nächsten Schritte nicht machen- Bitte um Ratschläge, da ich wirklich am Ende mit den Ideen bin.
Lieben Gruß
K.L
Ich habe es nicht ausprobiert, aber die Hinweise im Anit-Botnet Blog klingen vielversprechend.
Vielen Dank für die schnelle Antwort! Habs probiert, aber es hakt an genau der selben Stelle. Scheint nur eine Anleitung wie man dieses Programm in den abgesicherten Modus hochfährt. Aber wenn der Bildschirm an genau der selben Stelle schwarz bleibt und der Modus einfach nicht Hochfahren will.– außerdem hieß es doch, wenn man den trojaner hat soll man keine usb benutzen….ich bin verwirrt…
sorry, ist schon spät. hab erst jetzt verstanden, dass ich die „verbesserte“ version der malware hab. Ich glückspilz. danke für den hinweis. arbeite mich mal durch.
Ansonsten nochmal nach dieser version vorgehen http://blog.softwareload.de/rescue-cd-hilft-bei-viren-und-trojanern/
Ich habe diesen Winlogon Pfad gesäubert, aber sobald ich den PC hochfahre soll ich Benutzer-Kennwort eingeben!?! Das musste ich vorher nie und ich weiß keine Lösung…
Hallo miteinander,
die Anleitung führte direkt zum ERFOLG!!!!!
mahmud.exe gibt es nicht mehr……..
1000 Dank dem Verfasser.
Ganz freundliche Grüsse
Dieter
mahmud.exe gibt es zumindest noch bis zum 16.11.2011. Hatte heute diese Datei auf dem Rechner. Anleitung ist super. Es gibt onoch andere Artikel mit Rechner formatieren etc.. Diese Anleitung hier ist mit Absatnd die Beste. Die Datei lag bei mir übrigens im Ordner „Roaming“.
Hallo beisammen,
Vielen Dank für die tolle Anleitung um den Bundespolizei-Trojaner wieder los zu werden.
Hatte auch die mahmud.exe im Profilverzeichnis und mit Malwarebyte-AV entfernt.
Mit dieser Anleitung konnte ich den Explorer wieder zur Start-Shell machen
Nun ist wieder alles OK.
— Vielen Dank —
Ingo
danke für die hilfreiche anleitung….bringt wahrscheinlich nix, aber jetzt werden die schweine angezeigt!!!
ich hatte diesen virus auch und habe ihn durch systemwiederherstellung vom rechner bekommen
Ich finde den winlogon nicht
die regedite hat unter bearbeiten eine suchfunktion
Was für ein sch*** Teil.
Bei mir hat sich das Ding in der :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RUN
versteckt
und es der name war mahmud.exe einfach die regedit durchsuchen wenn ihr die datei nicht findet
die Wi**er habe mir 2 stunden meiner zeit geraubt
Schönen Dank für Ihre Hilfe… Sie haben uns sehr weiter geholfen … :)
bei mir hats geklappt, läuft alles wieder, habe xp.
besten dank auch.
diesen miesen ars….wic….. sollte mann die fresse eins……!!!!!!
…kann mich nur anschließen. Super Beschreibung
Danke und Gruß
3Stunden lang über BootCds etc versucht und dann mit dieser Anleitung in 3min gelöst. VIELEN DANK
Jaja, hab mir gestern Abend auch den Trojaner eingefangen. Beim Stöbern im Internet. Keine Mails geöffnet aber Firefox 8 in Gebrauch. F-Secure Internet-Security 2011 mit aktuellen Updates konnte eine Verseuchung leider nicht vermeiden. Jetzt hoffe ich das ich das Ding heute Abend wieder loswerde und das baldmöglichst die Version 2012 von F-Secure kommt.
Gruß
Thomas
Schaut Euch mal die Tipps & Tricks im Support-Forum von botfrei.de an:
http://forum.botfrei.de/forumdisplay.php?28-Windows-Systeme
Hier gibts etliche Lösungswege. Es scheinen wohl mehrere Varianten unterwegs zu sein.
Mein Notebock findet den Namen „jashla.exe“ nicht..
Könnt ihr mir weiterhelfen?
Gruß V.P.
Vici.
such doch mit der Suchfunktion in der regedit nach mahmud.exe
Super Anleitung.3min. Und er läuft wieder.Danke
ich hatte mir heute am frühen Abend mahmud.exe eingefangen. Dank der Anleitung ratz fatz gelöscht. Vielen Dank!
Habe mir das Vieh gerade eben eingefangen.
Ich würde gerne versuchen, diesen Guide zu befolgen, aber ich kann den Rechner nicht im abgesicherten Modus starten.
Er fängt an zu laden und startet dann kurz darauf neu.
Ideen?
habe das genau gemacht ging aber nicht sondern hab selber gesucht und mahmud.exe gefunden
hab das gelöscht und yupppyyyy main lapi fonksoniert wieder :))
Hallo.
Seit Stunden bin ich am probieren und hab nur mein iPhone zum Tipps holen, daher sorry, falls ich Sachen wiederholt fragen sollte.
Bei mir ist das Problem, dass wenn ich den Wert von „Shell“ versuche zu ändern bereits „explorere.exe“ dort steht und der oben genannte Tipp mit der anderen ratgeberseite hat auch nicht funktioniert!!
Bitte helft mir!
LG seb
Wenn nichts funktioniert und man Mahmud und jashla nicht findet, dann nach VASJA Ausschau halten …. Ich hasse vasja und ihre Schöpfer!!!!!!
hi leute habe das selbe problem habe alles gemacht bis schritt 10 nur finde ich jetzt weder mahmud.exe noch shell und auch nicht jashla.exe woran liegt das bitte um hilfe thx
Hallo Leute, geht mit der rechten Maustaste auf Eigenschaften, sobald die Meldung kommt, da könnt ihr den Namen des Trojaners herauslesen, steht im URL Code: bei mir war es auch Scheich Mahmud!
hi
ich hatte auch mit diesem trojaner zu kaempfen und habe zu diesem zweck eine systemwiederherstellung gemacht. Danach sofort saemtliche virenscanner laufen lassen und jetzt funktioniert wieder alles ganz normal. Meine frage ist jetzt nur: reicht das? Oder befinden sich immer noch spuren des trojaners auf meiner platte?
greetz
puh was für ein schreck! hab das ding grade erfolgreich entfernt – danke für die tolle anleitung. des ding hieß bei mir heut auch mahmud.exe. danke nochmal
Hizusammen,
der Trojaner ist bei mir auch entfernt aber mein Lappi tut immer noch nicht wie er soll. Alle Verknüpfungen auf dem Desktop sind verschwinden auch fehlt die Taskleiste. Nur mein Desktophintergrund ist noch derselbe. Ich hab es jetzt über den abgesicherten Modus ins Internet geschafft – anders gehts grad nicht? Hab alles Schritte mehrmals durchgearbeitet – aber es ist nichts zu machen? Irgendwer Tipps für mich?
Grüsse
Hab das Teil auch seit gestern Abend aber ich hab ein paar Probleme.
1.Weder jashla,mahmud noch vasja lassen in der Registry finden
2.Hab mittlerweile 4 Virenscanner benutzt (Panda Internet Security 2012, Norten Power Eraser, Avira DE-Cleander, Anti-Malware) keiner findet was.
3.In der Shell steht schon „explorer.exe“
Jemand nen Tipp?
Hi, ich konnte den Rechner nur durch Systemwiederherstellung wieder flott machen. Habe weder jashla noch mahmud etc. gefunden und diverse Antivir-Software benutzt. Es wurde einiges aufgestöbert, aber ob der Trojaner nun dabei war, bin ich mir nicht so sicher. FRAGE: Falls der Bundespolizei-Trojaner noch auf meinem Rechner sein sollte, kann der „böse Sachen“ mit dem Online-Banking / Online-Shopping machen, ggf. welche ???
Hallo Leute
ich hab mir das virus gestern um 15 uhr herum eingefangen.am anfang hab ich alles wie oben beschrieben gemacht aber am ende konnte ich weder jashla noch mahmud finden.ich hab 2-3 std alles mögliche versucht.doch es hat wieder nicht geklappt.danach hab ich bei google „es ist die ungeseztliche tätigkeit enthüllt windows 7“ eingegeben und da kam so ein link http://www.helpster.de/bundespolizei-virus-entfernen-anleitung-zur-beseitigung-des-trojaners_54250#video ich hätte nie gedacht dass es so einfach geht.ich hab nur 5 min gebraucht.da steht alles was ihr machen sollt.es ist kinderleicht glaubt mir.ihr müsst nur zur systemwiederherstellung gehen.bei mir ist der verdammte trojaner zwar jetzt weg aber ich hol mir trotzdem ein gutes virusprogramm egal was es kostet.
Hallo Atilla, bist du tatsächlich der meinung, dass der Trojaner nur durch die Systemwiederherstellung vollständig eleminiert ist und vielleicht nicht doch noch irgendwo schlummert und bei Online-Banking / Online-Shopping etc. Schweinereien macht? Falls ja, worauf begründet sich deine Annahme, dass der Trojaner hiermit endgültig verschwunden ist? Danke. Gruß Jörg.
Hallo Jörg also um ehrlich zu sein bin mir nicht ganz sicher ob der trojaner wirklich weg ist denn gelöscht wurde bei mir nichts.aber geh mal auf den link den ich geschickt hab.da steht folgendes „Normalerweise liegt der letzte Systemwiederherstellungspunkt zeitlich so, dass der Bundespolizei-Virus Ihren Rechner zu einem späteren Zeitpunkt befallen hat. Der Bundespolizei-Virus meldet sich nämlich sofort bei Ihnen auf dem Bildschirm, nachdem Sie sich ihn eingefangen haben. Nun aber wieder zur Systemwiederherstellung. Der Rechner wird einmal herunterfahren, dann fährt er wieder hoch und Sie bestätigen einmal und sollten eigentlich virusfrei sein.“ also mein rechner funktioniert jetzt einwandfrei aber wie gesagt ich bin mir nicht sicher ob der trojaner tatsächlich verschwunden ist.ich geh morgen computerladen und fragen ob eine systemwiederherstellung sinnvoll ist um ihn zu entfernen.wenn nicht bringe ich den rechner in computerladen.auch wenn es was kostet hab ich keine andere wahl.
Moin Zusammen
Ich hab gemerkt das manche Leute es nicht wirklich hin bekommen, wegen der fehlenden erfahrung.
Es gibt auch eine andere Methode den Trojaner zu entfernen
einfach eine „System Wiederherstellung“ machen wenn ihr keine Programme installiert habt an diesem Tag gibt es auch keine weiteren Schäden.
Gruß Peter
Da ist ja ein echter Massenmörder am Werk. Könnte kotzen, wenn ich mir vorstelle, dass das tatsächlich auch funktioniert und Leute Geld bezahlen …
Meine spontane Lösung war, mit einen neuen gebrauchten Laptop zu kaufen – kostet nur ein bisschen mehr als die „Bundespolizei“ für diese effektive Verbrechensbekämpfung verlangt und bietet demgegenüber jede Menge Vorteile …
Ich bin allen Beschreibungen gefolgt und hab nichts in der reg gefunden. Den Link von Hans Hermann http://blog.botfrei.de/2011/08/trittbrettfahrer-des-ransom-ukash-%E2%80%93-trojaner-bka-trojaner/
kann ich auch nicht empfehlen, denn AntiVir hat die ganze Nacht gebraucht, um meine Systeme zu durchforsten.
Nur die Systemwiederherstellung war der ultimative Clue – und das ich so einfach, dass es schon wieder witzig ist.
Die Systemwiederherstellung ist bei xp nicht so einfach wie bei 7 (wenn der Desktop blockiert ist) – aber man kann sie ja vom abgesicherten Modus aus starten.
Also für die XPler meine Anleitung:
1. Ihr seht auf eurem Bildschirm nur noch ACHTUNG Bundespolizei Es ist eine ungesetzliche Tätigkeit enthüllt und könnt nix mehr machen.
2. Ihr bekommt einen schönen Hass auf diese mentalen Untermenschen ohne Seele und ohne Ehre, die so einen Dreck programmieren.
3. Sofort mit Gewalt raus aus dem Internet.
4. Den Computer aus, damit ihr den Rotz nicht mehr sehen müsst.
5. Wieder anschalten und direkt danach F8 gedrückt halten, so lange bis ein schwarzer Bildschirm erscheint, auf dem Auswahlmöglichkeiten mit 3 Klassen von „Abgesicherter Modus“ stehen.
6. Schön den ersten auswählen – ENTER – Windows XP? – ENTER
7. bisschen warten …
8. jetzt sehr ihr euren Kram vom Desktop wieder und in allen Ecken steht „abgesicherter Modus“
9. schön zur Systemwiederherstellung gehen (START – Alle Programme – Systemwiederherstellung)
10. schön einen Tag wählen, der vor dem Trojanerbefall war und ab dafür!
Deine treue kleine Windows-Schleuder ist jetzt wieder brav und macht zur Abwechslung mal das, was du ihr sagst.
Der ganze Mist sollte selbständig wieder starten und du hast keine „Bundespolizei“ mehr im Rücken.
11. Du stellst dich den Behörden und lässt dich einweisen wegen deiner Kinderpornosucht …. just kidding :)
Hallo Meikel, was macht dich so sicher, dass der Trojaner nur durch die Systemwiederherstellung vollständig verschwunden ist und nicht doch noch irgendwo schlummert und zum Beispiel das Online-Banking ausspäht? Danke. Gruß Jörg.
Mein Beitrag zu Thema:
Abhilfe:
– Windows im abgesicherten Modus starten (F8)
– Start -> Ausführen -> msconfig starten
– Dienste -> alle Microsoft-Dienste ausblenden -> alle deaktivieren
– Systemstart -> alle deaktivieren
– ein Eintrag zeigt in das Verzeichnis
C:\Users\euer Benutzername\AppData\Local\Temp\ -> der isses, Pfad und Dateiname merken! (hier new.exe)
– Neu starten, der Rechner müsste normal booten,
– www.virustotal.com besuchen und die betreffenden Datei untersuchen lassen. Anfang November 2011 haben nur 4 von ca. 20 Virenscannern die Datei erkannt
Datei löschen
– msconfig starten und gewünschte Dienste (Antivirus etc.) wieder einschalten
– Achtung! Mit dieser Methode bekommt man Windows wieder zum Laufen. Es wird jedoch empfohlen einen einmal kompromittierten Rechner neu aufzusetzen, angefangen mit dem Löschen des MBR
MSCONFIG ist in solchen Fällen immer meine erste Wahl. Man muss sich nicht durch die Registry hangeln, wo die Gefahr Schaden anzurichten sehr hoch ist. Als Nebeneffekt startet die Kiste hinterher richtig durch.
PS: Betraf hier Win 7
habe versehentlich „shell“ gelöscht…
nun funktioniert vor dem start von windows die f8 taste nicht mehr und der pc wird jedesmal normal hochgefahren…
komme ich noch anders in den abgesicherten modus?
daniel
Dann musst Du „von außen“ an die Registry.
Variante A:
Rechner mit von Windows von Live-CD oder Stick starten. Z. Bsp. Bart-Pe Anleitung z.Bsp. hier:
oder die Platte in ein funktionirendes System hängen.
regedit starten.
Registry vom kaputten System einbinden. Anleitung z. Bsp. hier:
http://forum.chip.de/windows-xp/registry-xp-offline-bearbeiten-811461.html
Struktur wieder entfernen, Platte zurück und starten.
Es wäre zu überlegen die Platte in ein funktionierendes System zu hängen, wichtige Dateien zu sichern und das kaputte System komplett neu aufzusetzen.
In wie fern funktioniert F8 denn nicht mehr? Der Registryeintrag „\Shell\…“ sollte eigentlich nicht für diese Modusauswahl „nötig“ sein.
(Siehe Microsoft: http://support.microsoft.com/kb/315222/de da es sich hierbei um eine Art des Bootmenü“eintrags“ handelt. Um es mal vereinfacht zu umschreiben.)
Was passiert denn wenn Sie F8 drücken? Soltle es ein Laptop sein, ist auch NUM deakvtiert (also keine eventuelle Doppelbelegung der Taste?).
Sollte alles nichts nützen, so wäre das Einlegen der CD/DVD des Betriebssystems und damit eine Reperatur (keine Installation!) des Betriebssystems und damit auch des Registrywerts „\Shell\…“ möglich.
Mit freundlichem Gruß,
Simon
(Fachinformatiker – Systemintegration)
Dank Eurer Beschreibung, und einem zweiten System unter Linux (damit schreibe ich gerade), um damit nach der Problemlösung zu suchen, war es ein Klacks !
Mickysofts neueste mrt.exe ebenso wie Antivir hinterhergejagt, nichts gefunden, alles ok.
Der Übeltäter bei mir hieß mahmud.exe .
Danke für Hilfe, Gruß me :-))
Hallo Leute
alles schön und gut bin seit heut morgen drann diesen verfi***ten scheiß zu löschen habe es immer wieder gemacht immer weiter und jetzt die ultimative lösung nehmt zeit und installiert euren rechner neu und schwups alles ok weil so ein heckmeck habe ich auch alles probiert mit live cd und norton super eraser alles nicht geklappt so aber trotzdem denen viel glück die es geschafft haben
danke
Ich komme (WIN 7) nicht in den abgesicherten Modus. Nach rechtzeitigem Drücken von F8 erscheint bei mir folgende Auswahl:
Select a Boot first device
– Removable OTI flash disk
– Hard Disk 1
– Hard Disk 2
– D-Rom
Damit kann ich nix anfangen. What to do? Bin inzwischen völlig verzweifelt.
Danke
Du drückst zu zeitig! Was erscheint, ist die Boot-Device Auswahl vom Bios. Du musst mit F8 genau den Moment treffen, in dem das BIOS an Windows übergibt. Bissel probieren, kann nichts kaputtgehen.
Gratias agimus!
Pünktlich mit dieser hilfreichen Antwort ist hier auch die Sonne durch den Nebel zum Vorschein gekommen. Möge das ein gutes Omen sein. Ich werde am Abend mal weiter probieren.
Alsoo-.-‚
Ich hab schon alles probiert doch es geht nicht :(
Alles entweder mit Task-Manager da kommt dann Taskmanager ist von Adminstrator deaktiviert!
Das immer!
Das selbe tritt auf wenn ich im abgesicherten Modus unter Eingabehilfe ‚regedit’eingib :(
Ich hoffe einer kann mir helfen :)
Gruß Dennis :)
Du wirst wohl Adminrechte benötigen um die genannten Operationen auszuführen. Also Benutzer mit Administratorrechten oder im abgesicherten Modus als _Administrator_ einloggen. Dazu wird ggf. auch das Administratorpasswort verlangt. Wenn du das nicht hast, hast Du ein neues Problem.
Also ich hab nur ein Benutzer:)!
Und der ist Admin!:)
Sonst könnt ich nichts machen ^^
Es geht deswegen nichts und im ’normal‘ abgescherten Modus geht der Trojaner wieder an!:)
Eventuel hilft Dir dieses Posting schon weiter:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-10#comment-1617
Mit freundlichem Gruß,
Simon
(Fachinformatiker – Systemintegration)
Der Ordner anwendungsdateien in denen sih nahmu befinden soll, kann im Explorer nicht gefunden werden. Was kann ich jetzt machen?!?
Erstmal alle Systemdateien sichtbar machen…(Widnows Explorer – Extras – Ordneroptionen -> Systemdaeiten anziegen und Dateien&Ordner anzeihgen anklicken) und dann mit Posting https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-10#comment-1630 weitermachen.
Ich denke/hoffe das sollte reichen.
Mit freundlichem Gruß,
Simon
(Fachinformatiker – Systemintegration)
Den mahmud.exe hatte ich mir gestern am 16.11.2011 eingefangen. Habe heute diese Datei im Internet gefunden. Diese Anleitung ist super. Es gibt noch andere Artikel mit Rechner formatieren etc.. Diese Anleitung hier ist mit Absatnd die Beste. Die Datei lag ganau so, wie beschrieben, hieß aber mahmud.de.
Leider habe ich nun nach Schadensbehebung mit diesem PC keinen Internetzugang über Windows mehr. Das muß ich nun auc h noch lösen. DANKE für dieen tollen Beitrag !!
Kann mir mal einer helfen?:)
danke leute ich musste shell jashla und vasja löschen um den scheiß trojan zu vernichten hat zum glück nur ne halbe stunde gedauert :D :D danke noch mals an alle
Tolle Anleitung….. Super geklappt, bin dann mal ums Format c herumgekommen. Danke Danke Danke
Bei mir kommt der Virus nur beim Benutzer. Als Admin kommt er nicht?? In der Regedit ist der Wert in „Shell“ schon auf explorer.exe gewesen!! Ich finde auch keine jashla oder mahmud exe auf meinen PC??
Wer kann noch helfen???
Danke im voraus
Siehe dazu:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-10#comment-1617
Mit freundlichem Gruß,
Simon
(Fachinformatiker – Systemintegration)