Beitrag wurde zuletzt am aktualisiert

Bundespolizei-Virus: Fragen und Antworten

Bundespolizei Trojaner entfernen, Teil 2

Meine Anleitung zum Entfernen des Bundespolizei Trojaners wurde in den vergangenen Wochen sehr oft aufgerufen und es wurden eine ganze Reihe Kommentare hinterlassen. Oft war es einfach nur ein „Dankeschön“ oder ein „Prima, hat funktioniert“. Aber auch Fragen und Hilfe­schreie von ratlosen Be­troffenen wurden gepostet. Ebenso erreichten einige E-Mails mein Postfach, die ich alle artig beantwortet habe.

Richtig klasse fand ich Kommentare, die zusätzliche Hilfestellungen erläuterten, über Mutationen des Trojaners berichteten und Korrekturen bzw. Erweiterungen zu meinen Ausführungen hinterlassen hatten.
In diesem Artikel möchte ich versuchen, aus etwa 250 Kommentaren und neuen Erfahrungen eine Zusammenfassungen sowie eine Erweiterung des ersten Trojaner-Beitrags abzuliefern. Dass dieser Beitrag etwas länger werden wird, ist dabei sicherlich kaum zu vermeiden …

Ich weiß leider auch nicht mehr …

Punkt 1 soll hierbei – auch wenn es dem einzelnen Betroffenen nicht hilft – die Information sein, dass ich persönlich den Trojaner nur zwei Mal gesehen und wie beschrieben entfernt habe. Dabei handelte es sich Ende August 2011 um das Betriebssystem Windows XP Home und vor ein paar Tagen um Windows XP Professional. Es ist also gut möglich, dass bei Windows 7 oder Windows Vista der Ablauf etwas anders ist. Helfen kann ich an dieser Stelle allerdings nicht wirklich, da ich zum überwiegenden Teil mit Ubuntu arbeite und die neuen Betriebssystemversionen aus dem Hause Microsoft eigentlich gar nicht kenne.
Ich wollte den Artikel Ende August einfach schreiben, da ich im Internet selbst nicht wirklich eine richtige Hilfe finden konnte und mir dachte, dass diese Ausführungen auch noch ein paar Leute interessieren würde. Das hat’s ja wohl auch!


Viren und Trojaner sowie das Handtieren in den Betriebssystem-Komponenten sind weder mein, noch das Spezialgebiet dieses Webangebots auf redirect301.de. Ich wollte es vor den ersten echten Hinweisen nur kurz klar stellen …

Mutationen des Bundespolizei-Trojaners

Natürlich verändern die Programmierer von Viren und Trojaner ihren „Zögling“. Die Jungs und Mädels sind ja nicht doof und im Internet sehr aktiv. Sobald erste Lösungen im Netz auftauchen, wird der Code angepasst; vielleicht ist meine Anleitung ja sogar in das Änderungsprotokoll der Trojaner-Weiterentwicklung eingeflossen – wer weiß.
So wurde beim BKA-Trojaner augenscheinlich aus der jashla.exe beispielsweise die mahmud.exe und die vasja.exe. Morgen heißt die Datei möglicherweise schon oktober.exe oder irgendwas mit … Der Name ist aus Sicht der Programmierer völlig egal. Mich hat hierbei sowieso gewundert, dass man nicht auf System-ähnliche Namen gesetzt hatte. Eine winsyst.exe oder exlporer.exe klingt aus meiner Sicht viel realer. Hier also die Augen offen halten!

Der Bundespolizei-Trojaner und Windows 7

Bei Windows 7 und Windows Vista scheint der Pfad in der Registry Computer\HKey_current_user\Software\Microsoft\Windows\currentversion\run zu lauten. Auch ein Blick unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run klingt viel versprechend. Der Schädling selbst lag in diesem Fall unter C:\USERS\(mein Username)\AppData\Roaming\mahmud.exe.

So kann auch eine Systemwiederherstellung durchaus das System wieder auf einen funktionierenden Zustand zurück verhelfen. Und wenn anschließend ein Systemcheck sowie eine entsprechende Sicherheitssoftware zum Einsatz kommt, dann ist vielleicht auch das eine Lösung. Habe ich nicht probiert, klingt aber nicht unvernünftig.

Genaues Arbeiten bei der Schädlingsbekämpfung

Punkt 2 ist, dass unglaublich vielen Leuten mit der Anleitung geholfen wurde. Die Anleitung wird also in der Mehrzahl der Fälle funktioniert haben und sicher auch weiteren Betroffenen helfen. Mir fiel bei Anfragen auf, dass oftmals nicht korrekt gelesen wurde oder man dachte, dass es ja auch ohne Schritt „X“ gehen müsste (ich denke dabei z.B. an eine E-Mail von Josef). Wichtig ist wirklich die Schritte und Pfade genau einzuhalten und ggf. lieber zu zweit oder zu dritt an der Entfernung des Trojaners zu arbeiten.
Es schadet sicher auch nicht, sich Stichpunkte zu machen, die einzelnen Schritte abzuhaken und vielleicht ein paar Fotos vom Bildschirm zu schießen. Aber bitte nicht von vorn auf den Bildschirm blitzen, das wird nichts!

PC-Service / Fachwerkstatt

Im Zweifel sollte der Rechner bzw. das Notebook in eine Fachwerkstatt gebracht werden. Ich gehe davon aus, dass hier Experten sitzen, die zum einen den Trojaner sicher entfernen und zum anderen künftige Attacken durch Softwarelösungen weitgehend zu verhindern wissen. Was das kosten wird kann ich schwer einschätzen. Ich hatte im Netz Preise um die 100 € beobachtet, was mir auch völlig korrekt erscheint.

Hier also vorher fragen und sich auch über die anstehenden Arbeiten informieren lassen. Ein Hardwaretausch oder die komplette Neuinstallation halte ich für unseriös. Ebenso sollte eine Beratung für eine entsprechende Securtity-Software erfolgen, die das Service-Center gleich mit installieren sollte. Das kostet natürlich extra, ich schätze um die 25 € + eine jährliche Lizenz für die Software.

Wie kommt der Trojaner auf den Rechner?

Bei meinem letzten „Fall“ hatte ich einige Screenshots angefertigt und bin auch Logprotokolle usw. durchgegangen. Die zuletzt besuchte Webseite war hier eine Online-Spieleseite mit dem Game „Dark Orbit“ und hier wurde eine Sponsoren-Anzeige o.ä. als letztes protokolliert. Ob es damit etwas zu tun hat, weiß ich nicht. Es lief auf dem Rechner AVIRA AntiVir in der kostenfreien Version. Hilft nicht viel weiter, oder!?

Wer den Trojaner bei sich entfernen konnte und wieder einen normalen Zugriff auf sein System hat, kann ja in der Ereignisprotokollierung von Windows oder einem eventuell laufenden Schutzprogramm mal nachsehen und Informationen dazu hier in den Kommentaren hinterlassen. Irgendwie muss doch die Quelle zu finden sein!

Ein sicheres System

Ich nutze auf meiner Windows-Installation Avira Internet Security und kann diese auch nur weiter empfehlen. Natürlich wird auch dies – genauso wenig wie Gurt und Airback im Auto vor einem schweren Unfall schützen – 100%ige Sicherheit bedeuten. Aber neben einer aktuellen Betriebssystem-Version, einem vernünftigen und stets aktuellen Browser und etwas Umsicht im WWW ist das sicher der richtige Schritt.
Das Arbeiten als Administrator ist normalerweise nicht notwendig, auch wenn es so unter Windows bequemer ist. Es bietet sich also an, einen unprivilegierten Nutzer unter Windows anzulegen, mit dem man im Internet unterwegs ist. Ich kann mir nicht vorstellen, dass man bei Windows als Nichtadministrator Änderungen – so wie beim Bundespolizei Trojaner geschehen – in der System-Registrierung hätte vornehmen können.

Da ich aber bis heute keine gesicherte Aussage darüber habe, über welchen Weg der Trojaner auf den jeweiligen Rechner gekommen ist, ist es sicher auch schwer zu sagen, dass man diese oder jene Webseiten meiden sollte.

Was hat die Bundespolizei mit dem Trojaner zu tun?

Natürlich nichts! Bei diesem Trojaner wurde lediglich mit der Angst der Betroffenen gespielt. Es wurde davon ausgegangen, dass auf diese Art der eine oder andere schnell das Geld überweist, was natürlich völliger Blödsinn ist. Hier nochmal: Kein Geld überweisen! Auch wenn der gesunde Menschenverstand mir sagt, dass das so blöd niemand sein kann, haben wohl doch eine ganze Reihe Leute gezahlt und sitzen nun weiter vor ihrer BKA-Warnmeldung.

Ärgerlich finde ich die Reaktion der Bundespolizei. Ich hätte erwartet, dass man selbst mit Informationen zu diesem Trojaner an die Öffentlichkeit geht. Auch bei den Antiviren-Herstellern sind mir nicht wirklich tiefgründige Hinweise begegnet. Vielleicht habe ich die entsprechenden Informationen auch übersehen …
Wer weitere Hinweise und Links – gern auch etwas offizielles von der Polizei & Co. – zur Beseitigung des Trojaners parat hat, sollte diese in den Kommentaren hinterlassen. Ich baue diese gern hier im Artikel ein.

Wie könnt ihr helfen?

Natürlich wie bisher auch durch Kommentare und Hinweise. Die PDF mit der 10 Schritte-Anleitung darf natürlich weiter vervielfältigt und auch im Internet veröffentlicht werden. Lasst aber bitte den Link zum Original-Artikel drin. Ach ja, ein Link … Wäre klasse, wenn ihr diesen, den ersten Artikel zum Bundespolizei-Trojaner oder direkt www.redirect301.de irgendwo verlinkt. Vielleicht bei Twitter, Facebook oder im eigenen Blog usw.

81 Kommentare zu "Bundespolizei-Virus: Fragen und Antworten"

  1. konnte den virus heute morgen erfolgreich entfernen. fand mahmud.exe unter Computer\HKey_current_user\Software\Microsoft\Windows\currentversion\run

    ich hatte den virus gestern auf einmal auf meinem netbook. dieser komische „bundespolizei-ukash“-screen tauchte auf einmal auf, als ich über videobb.com ein video gucken wollte.
    ich habe nicht sonderlich viel ahnung von computern und dachte immer viren holt man sich nur durch öffnen komischer emailanhänge oder downloads die man dann öffent?
    oder sind diese videoplayer wie megavideo oder videobb immer mit downloads verbunden, die so einen virus auslösen können?
    was kann ich in zukunft ändern, außer mir ein zuverlässigeres antivirusprogramm zuzulegen?

    • Kurzum…
      Der Virus/Trojaner kommt meist durch infizierte Dateien oder einfacher über infizierte Webseiten bzw. Werbebanner (so meine bisherige Erfahrung dazu).

      Heißt also, egal wo man heute noch surft, sollte die Webseite oder einer der vielen hundert Werbebanner infiziert sein, so reicht rein ungeschütztes und/oder nicht aktuelles System aus um dem Virus/Trojaner Tür & Tor zu öffnen.

      Also immer das System aktuell halten (Microsoft Updates, Java, Adobe FlashPlayer, Adobe Reader) und natürlich ein vernünftiges Antivirenprogramm das zur Not auch mal was kostet (Siehe dazu ein Comment aus dem ersten Artikel: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-6#comment-1059).

      Auch dann gibt es zwar keinen 100%-tigen Schutz, aber es ist zumindest alles getan was man so menschlich machen kann (mal abgesehen vom PC/Laptop/Netbook ganz auslassen – was nicht Sinn der Sache wäre).^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Hallo Simon,habe auch einen Virus auf dem PC.Kannst Du mir helfen. Meine Tel. 01520174**** vielen Dank David

        @David – ich habe deine Nummer gekürzt. Muss ja nicht jeder gleich deine Telefonnummer kennen.

        • @ David

          Ich gebe (leider aus User-Sicht) zu 99% keinen Telefonsupport.
          Dafür kann man mir aber immer eine Mail schreiben.
          Daher bitte einfach genau dies tun und versuchen schon soweit als möglich das Problem zu beschreiben + Betriebssystemangabe (soweit als möglich).

          Ich melde mich auf Mails so schnell es mir möglich ist. In der Regel also innerhalb weniger Minuten. Sollte ich mal nicht da sein oder keinen Zugriff auf die Mails haben, dann innerhalb weniger Stunden.

          Mit freundlichem Gruß,
          Simon

          (Fachinformatiker für Systemintegration)

    • danke da war meiner auch thanks:)

      • @ robert büge
        Bitteschön auch von Mir bzw. sicher auch von Daniels Seite.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

    • Ich hatte schon einmal das Vergnügen, den Bundespolizeitrojaner aus der Registry herauszusuchen, hilfreich war dass ich wusste, WANN genaus der Trojaner auf meinen Computer gekommen ist, und den Trojaner auch am Änderungs- bzw. Erstelldatum erkennen konnte.

      Jetzt war ich schon ein zweites mal so doof, mir den Trojaner einzufangen, aber dafür bin ich schon sehr sicher wodurch genau er aufkam.

      Ich habe beide Male onlinefilme geschaut und es gibt da ein bestimtmes PopUp, welches man über das X oben rechts NICHT schließen kann. Es schließt sich nur mit AltF4 !

      Innerhalb des Popups, ist vermeintlich ein weiteres kleines Fenster (ist aber in echt nur ein link zum trojaner) Und wenn man denkt man könne das PopUp hier schließen drückt man drauf und dann hat schon man die Bescherung.

      Ich würde gerne genauer sagen, WAS in dem PopUp stand, ich meine es war ein neutral gehaltenes Fenster „Sie haben gewonnen… “ o.Ä.

      Größeres PopUp, was man über x nicht schließen kann, darin ein graues Fenster, was aussieht, als köntne man es schließen aber es ist nur eine verlinkte Grafik.

      Vielleicht hilft ja das irgendwie weiter, ich werde mich erstmal damit befassen den neuen Trojaner zu killen :-(((

  2. Jep, bei mir liefs wie bei meleno!
    Danke!!

  3. Hallo Daniel,
    vielen Dank für deine 10-Punkte Anleitung. Es hat bei uns gut geklappt :-)
    AV Premium meldete die versuchte Anwendung mahmud.exe
    Die Ausführung des Programms wurde sogleich gesperrt und die exe-Datei mit Hilfe der Standortangabe bei AV gelöscht. Nach dem Neustart hatte ich nur das Hintergrundbild. Nach deiner Anleitung fand ich den Trojaner, der natürlich immer noch da war. Am Ende stand die Datei aber unter einem anderen Link C:Windows Prefetch und wurde dort gelöscht. Ich hoffe auch, dass jetzt erst einmal wieder Ruhe ist. Nochmals Danke und allen anderen Betroffenen viel Glück bei der Systemwiederherstellung.

  4. Hallo

    Super Danke für deine Anleitung. Hab mir das Ding (mahmut.exe) heute eingefangen. Nichts hat geholfen (Antivir rescue oder NPE). Deine Anleitung hat geholfen, obwohl ich etwas anders gemacht habe.
    User normal starten und sofort Taskmanager öffnen. Dieser erscheint nur für einen kurzen Moment und schließt sofort wieder. Man muss also schnell sein um den Prozess „Mahmut“ zu beenden. Anschliessend regedit aufgerufen und in der shell wieder explorer.exe eingetragen. Natürlich nicht vergessen mahmut unter user/anwendungsdaten zu löschen.

    Schwups – bin ganz happy – danke für deine Initiative.

    Gruss
    Mike

    Ein fast verzweifelter User

  5. Hallo,
    ich habe auch diesen dummen Trojaner.
    Wenn ich aber wie beschrieben in der Aneitung vorgehe und über den abgesichtern Modus mit Eingabe starten möchte macht mein PC immer einen automatischen Neustart.
    Bin richtig verzweifelt, muss unbedingt Bewerbungen schreiben und komm da nicht mehr drauf.
    Brauch eure HILFE.

    Danke schon einmal

    • Wie weit bist Du/sind Sie aktuell gekommen? Ich hoffe das derweil das Problem gelöst werden konnte?!

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  6. Wir haben gerade einen PC gehabt mit neuer Tarnung. Der Ersetzt bei einem Neustart die Explorer.exe mit dem Virus. PC war ein XP Rechner.

    Die Entfernung ist relativ einfach, einfach die XP CD einlegen und von CD starten, dann R für Reparatur und die explorer.ex_ von der CD expandieren, Befehl dafür lautet

    expand CD-LW:\i386\explorer.ex_ c:\windows

    CD-LW gleich Laufwerksbuchstabe vom CD/DVD Laufwerk

  7. Oh, Mann, die einfachen Sachen sind doch immer die tückischsten. Ich hab genau den gleichen Fall. Habe die Explorer.exe ersetzt, scheint jetzt wieder zu gehen. Vorher habe ich alle anderen Methoden ausprobiert, die im Netz zu finden sind. Immerhin habe ich jetzt 3 Rescue-CDs von Kasperky, Antivir, DE-Cleaner. Gefunden haben die nix. :/

    • Dann gibt es „fast“ nur 3 möglichkeiten:
      1. Der Virus war den CD/DVDs noch cniht bekannt
      2. Der Virus konnte sich dennoch tarnen – wie auch immer ihm das gelang
      3. Die Suchoptionen hätten eventuell granularer eingestellt werden können/sollen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  8. hey leute..
    hab dieses problem auch nur hab ich es auf windows 7..
    ich find einfach keine anständige anleitung dafür und der pfad is bei mir auch schon explorer.exe…
    brauche eine schnelle antwort…

  9. hallo alle zusammen,
    ich weiß nicht mehr weiter:
    habe, wie chip.de es beschreibt (als XP home user) die pfade:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    nach EXE-Dateien durchsucht, die einen zufälligen, komischen namen haben. dies tat ich gestern, ohne mir deren wert zu kopieren und löschte sie… -.-
    bei mir heißt der shell wert auch schon explorer.exe
    weiß jz nicht mehr weiter, bin mittlerweile auch alle beiträge durch gegangen und da der letzte ausweg (die CD einschieben) leider auch nicht geht, weil meine freundin mit dem ding in nord afrika ist, wollte ich eine neure runde starten und fragen ob mir i-wer helfen kann :)
    vielen dank in vorraus!!!

  10. bei mir hat die Shell Datei auch schon den Wert Explorer.EXE , und die Win XP CD macht keine Reparatur vom System , was kann ich noch machen ?

  11. hatte mir so um den 2. bis 3. November über ne Webseite den Bundespolizei-Kack zugezogen.

    Auch bei mir ging mit Regedit garnix mehr, konnte noch nicht mal mehr im abgesicherten Modus auf mein System zugreifen.

    Aber dann, also zwei Tage später ;-) : Meine Explorer.exe hatte nur noch ca. 140 kb!!! – normal ist um die 1MB- , diese also umbenannt, von nem Kumpel ne explorer.exe ausgeliehen und reinkopiert: da kam ich schon mal wieder in mein XP (was aber so noch nicht rund lief), konnte Daten sichern und ein neues Image einspielen (mit EaseUS Todo 3.0) und gut wars – jetzt läuft wieder alles wie gehabt.

    Hoffe dies hilft auch Euch weiter

    brownie

  12. hallo,
    bei mir heißt dieses miststück auch schon explorer.exe !!!
    Wie bekomme ich denn die ersetzt? Habe die Windows-vista CD schon zur Hand…. wie muss ich jetzt da vorgehen?
    danke schön im vorraus!
    gruß

  13. Hi Markus,

    wie das mit Deiner CD geht, weiss ich nicht. Das bekommst Du aber mit dem MiniXP von „Hiren’s Boot CD“ , der „Ultimate Boot CD“ oder ähnlichem locker hin – also einer Boot-CD, die Zugriff auf das Dateisystem bzw. eine Art Explorer bietet.

    Viel Erfolg!! – brownie

    • Leider würde das so nur dann gehen, wenn er zwei Laufwerke hat/hätte.
      Oder man müsste die CD/DVD währenddessen wechseln.
      Das einfachste ist imemrnoch die Kopie von einem sauberen baugleichen (als was das Betriebssystem her angeht) System per USB-Stick.
      Alternativ original explorer.exe per COPY-Befehl in der Wiederherstellungskonsole bzw. im abgesicherten Modus (falls verfügbar) zurückkopieren an den eigentlichen Stammplatz.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  14. Zu Deiner Verärgergerung wg. dem Nichtbereitstellen von Informationen. Ich habe beim BKA angerufen und dort wurde ich an das Anti-Botnetz Beratungszentrum des BSI verwiesen, die eine Hand voll Anleitungen bereitstellen und auch Support leisten:
    http://www.botfrei.de

  15. @ Herr Weihmann
    Zum dem „wie kommt das Ding auf den PC?“
    Ist zwar sicherlich nicht der alleine Auslöser, aber wie ich schon im anderen „BKA-Beitrag“ schrieb, kommt das nette Stück Software in all meinen Fällen bislang über infizierte Webseiten bzw. Werbebanner. Und das wieder ist leider deswegen so oft möglich, weil JAVA installiert aber nicht aktuell gehalten wird.
    Welche Komponenenten eventuell noch nicht aktuell sind, spielt natürlich auch eine Rolle, aber diese wird etwas geringer sein. So zumindest meine bisherige Einschätzung.

    Zum Thema “ PC-Service/Werkstatt“
    1 Stunde Arbeit dieser Art kostet bei uns rund 75€uro. Ein paar Minuten nur was für die Kaffeekasse.
    Persönlich würde das ganze bei mir natürlich weniger kosten (für Freund etc. sowieso nix^^), aber als Firma geht das halt doch leider nicht für lau.

    Weiterhin – eine Systemneuinstallation muss nciht unseriös sein. Aber es sollte darauf hingewiesen werden, das sich weiteren Viren/Trojaner eingenistet haben könnten und es deswegen ratsam wäre.

    Zum Thema „Sicheres System“
    Unter Widnows Vista & Windows 7 gibt es aktuell immer nur einen deaktivierten „Ober“-Administrator.
    Heißt aber, der Benutzer der dort angelegt wurde hat dennoch Administrative REchte. Jetzt kommt es nur ncoh drauf a, wie UAC eingestellt ist. Ist UAC aus oder gerig eingestellt, kann eine solche Änderung der Registry schnell geschehen – auch als nciht „Ober“-Administrator.

    Tipps zum aktuellen System schrieb ich mal – mit unter hier – zusammen:
    https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-10#comment-1706

    Zum Thema „Was hat das BKA damit zu tun?“
    Soweit mir bekannt, hat das BKA bislang ein oder zweimal davor gewarnt. Sogar in den Radionachrichten. Dies ist allerdings schon laaange her.

    Mit freundlichem Gruß,
    Simon

    (Fachinformatiker für Systemintegration)

  16. hallo zusammen.
    also mich hat es auch erwischt…habe mich durch die aleitung durch gearbeitet und bemerkt das die shell datei den wert explorer.exe hat. Ab hier weiss ich leider nicht weiter. Vielleicht kann mir ja jemnad helfen.
    Was mich auch einwenig unsicher macht, ist die frage ob es sinnvoll wäre ein komplett neues betriebssystem aufzusetzen? oder ob das denn schon reicht wenn man den schädling entfernt hat??
    Kenn mich leider gar nicht aus…und im internet konnte ich auch nicht wirklich eine antwort finden, da die meinungen ganz unterschiedlich sind. Was würdet ihr mir raten? und wie war es bei anderen, die auch von diesem trojaner betroffen waren, ihn entfernen konnten und danach keine neuinstallation gemacht haben?
    vielen dank schon mal!!
    grüßle

  17. Hallo
    Habe das gleiche Problem. Habe alles schon probiert. Finde aber kein trojaner unter den Pfaden. Auch unter den Namen nicht zu finden. Antivirus Programm fand auch nichts. Bin langsam am verzweifeln. Habe Windows 7

    Danke für die Hilfe im vorraus

  18. Siegfried Wehaus | 24. November 2011 um 15:14 | Antworten

    Hallo,

    habe mir auch den BP-Trojaner eingefangen. Habe aber Windows 7 und hatte wohl daher bei shell auch schon explorer.exe stehen. Deswegen kam ich nicht weiter, merkte aber, dass ich auf einem anderen Benutzername ganz normal arbeiten konnte. So war es mir möglich, die Daten von dem beschädigten Beutzernamen auf einen neuen zu schieben. Alles andere habe ich gelöscht so gut es ging. Nur der Name selbst ist noch stehen geblieben als leerer Ordner. Jetzt kann ich nichts negatives mehr feststellen und arbeite ganz normal. Kann vielleicht doch noch irgendwo etwas Schädliches von diesem Trojaner hängen geblieben sein? Bin nämlich kein Experte.

    Viele Grüße
    Siegfried

  19. Also bei mir hieß er mahmut.. Danke für die hilfe…. und war C:/Benutzer/XXXX/AppData/Roaming/mahmut

  20. Hallo,
    ich hatte mir auf Windows 7 Anfang November den BKA-Trojaner eingefangen, obwohl ich ein topaktuelles Avira Premium Security habe… War vermutlich ein Videoportal, kann das aber nicht mit Sicherheit sagen. Ich konnte den Rechner glüclicherweise im abgesicherten Modus mit Netzzugang hochfahren… Der BKA-Trojaner war zu dem Zeitpunkt bei Avira bekannt, vielleicht noch nicht diese mahmud.exe, auf jeden Fall hat das Programm die Datei nicht entdeckt, das waren die Jungs vom Avira-Support. Mit einem Avira-Update (das im abgesicherten Modus geblockt ist und mit etwas Unterstützung von Avira geregelt werden kann) + erneutem System-Check war die Entfernung des Trojaners dann kein Problem. Sprich: wer Avira hat, ist derzeit – zumindest vor mahmud.exe – sicher…
    Ach ja, zu finden war das Ganze, wie bei anderen Opfern auch schon erwähnt, unter
    C:\Users\Benutzer\AppData\Roaming\mahmud.exe

  21. Hallo,
    habe mir gestern den Trojaner wahrscheinlich auf nen Videostreamingportal eingefangen, jeder weiss welches Portal gemeint ist, als ich ein Vid über VideoBB angucken wollte. So jetzt habe ich sämtliche Seiten durch und haben ihn immer noch ich find die Datein einfach nicht oder die heissen bei mir anders. Habe schon bei den Programmen die beim Start ausgeführt werden sollen schon die vasja.exe rausgenommen. Jetzt hab ich haufen Meldungen hier „Windows Hostprozess (Rundll32) funzt nich mehr. Habe Windows Vista .

  22. WINDOWS 7

    Hatte ihn gerade auf windows 7

    (erstmal: wer unter windows7 zur Shell gelangt ist im falschen Ordner!Local_Maschine statt user)

    Gefunden hab ich ihn wie oben schon beschrieben, unter
    HKEY_CURRENT_User/Software/Microsoft/Windows/CurrentVersion/run
    hier war in der Spalte „Name“ der Eintrag update. Dahinter in der Spalte „Daten“ war dann der Pfad eingetragen.
    Die Datei hatte gar keinen „richtigen Namen“ mehr, sondern hieß: 0.2869720675772
    Der Pfad lautete:
    c:\users\name\Roaming\NameTrojaner(hier: 0.2869720675772)
    Ich habe in der Registry den Eintrag hinter „update“ gelöscht (Doppelklicken auf update, dann im aufgehenden Fenster löschen)
    Danach im vorgefundene Pfad c:\users …. die Datei gelöscht. Papierkorb geleert! Neu gestartet. Alles läuft!
    Ich hatte íhn übrigens „frisch“ im Vorbeisurfen eingefangen. Er war also nicht schon länger auf dem Rechner…

  23. Auch wenn noch einige Versionen fehlen bemühen sich die Jungs hier mit Anleitungen:
    http://www.bka-trojaner.de

  24. Danke für den Hinweis @Zero6. Hier sind auch die Dinge wie „Was ist, wenn die explorer.exe infiziert ist?“ usw. beschrieben.
    Wer nicht weiter kommt: http://www.bka-trojaner.de und dort „seine Version“ vom BKA-Trojaner suchen!

  25. Danke für den Artikel, jetzt hab ich endlich diese sch**** mahmud.exe gefunden in der AppData/Roaming und sofort entfernt.

  26. Musste ihn auch grade entfernen; er wurde über die rundll32 gestartet:
    Der Registry-Entry war „…rundll32.exe C:\Users\NAME\AppData\Local\Temp.700…0.exe“

  27. Vielen Dank!
    bei mir fand er sich unter \HKey_current_user\Software\Microsoft\Windows\currentversion\run unter dem punkt: Update mit wert: C:\USERS\(Username)\AppData\Roaming.02009101053194351.exe

    der Eintrag war auch unter msconfig unter Systemstart zu finden hab dann mein Ergebnis mit diesem verglichen und jap das wars

  28. geheilgt sei dein linux system ,das dich bewahrt vor schlimmen katastrophen wie diesen trojaner :D :D ,vieleicht lernen das die windows jünger und anhänger auch mal irgendwann ,dieses als zweit system zu nutzen zum surfen neben windows ,anstatt sich irgendwo auszuheulen ,ich fahre linux seit einem jahr und habe seitdem nie probleme mit solch unholden gehabt. armen :D :D

  29. Frohe Weihnachten allerseits, außer an die Programmmierer dieser Bundespolizei-Viren. Auch ich habe mir nun zu Weihnachten den Virus zugezogen. Bei mir war er auch unter \HKey_current_user\Software\Microsoft\Windows\currentversion\run unter dem punkt: Update mit wert: C:\USERS\(Username)\AppData1.1….exe nur noch an einer langen Zahlenkolonne zu erkennen. Habe die Datei in der Registrierungsdatenbank umbenannt und den Rechner neu gestartet. Er lief danach wieder ganz normal. Habe dann den CC-Cleaner in der Reg nach Fehlern suchen lassen und sämtliche temporären Dateien usw. gelöscht. Danach noch die eigentliche 01.1…exe gesucht gefunden und vernichtet. Auf meinem Laptop läuft McAfee-Suite immer auf den neuesten Stand. Die hat den Virus nicht gefunden oder gar blockiert. Ich hoffe das mein System nun wieder sauber ist.

  30. Ich hatte den Trojaner gestern schon und hatte eigentlich alles gemacht. Heute ist er wieder drauf, aber ich finde den Ordner Shell auch nicht mehr. Vielleicht hätte noch jemand einen Rat für mich

  31. Hallo,
    ich habe den Trojaner nun zum zweiten Mal.
    Beim letzten Mal gab es noch keine Tipps. Ich habs mit dem letzten Wiederherstellungspunkt hinbekommen.

    Nun klappt dies und auch der 10-Punkte-Plan leider nicht.
    (Shell wird bereits als .exe ausgeführt und ich habe keine Windows7 Cd, weil es bereits auf dem Laptop installiert war.)

    HILFE! :(

  32. Der Virus ist auch mit ins Jahr 2012 gewandert.
    Ich hatte eine Variante, die sich in dieses Verzeichnis geschrieben hat:
    C:\Users\XXX\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3
    Interessanter Weise war es keine exe-Datei sondern eine Datei mit dem Namen „56c257c3-78e4792f“ ?!?
    Ausgelöst / aktiviert habe ich ihn wohl mit der Bestätigung ein Java-Update durchzuführen.
    Zugriff habe ich dann über F8 und den Abgesicherten Modus bekommen (ach ja, Windows 7 Home Premium), dort eine Systemwiederherstellung und das System lief wieder.
    Neu gestartet und mit „Malwarebytes Anti-Malware“ die Datei gefunden und gekillt.
    F-Secure wurde vom Trojaner ausgenockt.
    Bei einem späteren Versuch den Virus in einer gesicherten Umgebung (XP in VirtualBox unter Ubuntu) einmal genauer unter die Lupe zu nehmen hat F-Secure den Virus leider gleich gekillt als ich ihn aus der Quarantäne entlassen habe (wird also in nicht aktivem Zustand durchaus auch von F-Secure gefunden).
    Nu iser „leider“ gelöscht und ich kann ihn nicht „im Labor“ Testen. Will ihn mir aber auch nicht absichtlich nochmal irgendwo einfangen :-)

    GHruß Poby

    • @ Poby

      na freut zu hören das mal wieder jemand das Teil wohl loswerden konnte.

      Wäre es möglich, das Du/das Sie mir die Log-File per Mail zukommen lässt/lassen?

      Das mit dem extra ausprobieren, werde ich demnächst mal endlich machen – sofern bei mir mal die Warteschlange an Hilfsbedürftigen irgenwann mal eine Pause einlegt…

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  33. Bei mir heute um 10:43 aufgetaucht der Virus steht noch in den systemstarts drin aber der Ordner ist leer, wie bekommt man den vasja und KeApplet ganz weg?

    Habe unter Ereignissen dann auch folgendes gefunden

    1001
    4
    0
    0x80000000000000

    29003
    Application
    Sepp-PC


    2319498599
    5
    RADAR_PRE_LEAK_WOW64
    Nicht verfügbar
    0
    AcroRd32.exe
    10.1.1.33
    6.1.7601.2.1.0

    C:\Users\Sepp\AppData\Local\Temp\RDRDBA0.tmp\empty.txt

    0
    7e461fd5-57b9-11e1-a281-00a0d1a63d4d
    0

    Vielleicht kann damit jemand was anfangen.

    • @ Sebastian

      Viel anfangen kann ich jetzt ehrlichgesagt damit nicht. *sorry*

      Eventuell wäre es hilfreicher, wenn wir noch mehr über deine bisherigen Lösungswege erfahren könnten, oder wenn Du Dich mal per Mail melden würdest.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  34. Der Virus wird anscheinend so schnell weiterentwickelt, dass man auf den ersten Blick gar keine Änderung merkt.

    Ein gutes Beispiel dafür ist, dass ich vor zwei Wochen bei jemandem den Virus (laut BKA-Trojaner.de handelt es sich um Version 3.04) mithilfe der Kaspersky-Resche-CD entfernen konnte. Drei Tage später hat sich dieser den Trojaner leider schon wieder eingefangen (Vorsichtiger ist er also nicht geworden…). Gut, alles sieht wie beim letzten mal aus. Also auf die gleiche Art wieder entfernen. Aber er war dieses Mal resistent.

    Auf die schnelle habe ich das einfach mit Avira im abgesicherten Modus erledigt, aber überzeugt war ich nicht, ob der wirklich weg ist.

    • Ergänzend möchte ich noch erwähnen, dass der Registry-Schlüssel Shell bereits auf explorer.exe steht.

      Auf sempervideo.de gibt es auch noch nützliche Tipps, die aber mehr oder weniger im Vorraus schon gemacht werden müssen (etwa die Eingabeaufforderung auf dem Login-Bildschirm).

      • Hallo zusammen,
        ich hatte gestern am 26.02.12 das Vergnügen mit dem BKA Virus. Allerdings hatte ich wohl Glück, denn meine vs (ich nutze NortonAntivir) hat den Virus sofort erkannt und nach einem Neustart war das teil in Quarantäne. Bei mir heißt er “0.58600303220722167f76.exe”
        Was ich aber nicht verstehe ist dass das BKA nichts dazu sagt oder etwas dagegen unternimmt. Denn ich kann mir gut vorstellen das es genügend Menschen gibt die aus Angst oder einem schlechten Gewissen die 100€ zahlen. Und dann ist es doch betrug und/oder Amtsanmaßung?!?…

  35. Habe auch gerade einen infizierten Rechner am Wickel:
    WinXP Prof Sp3 32-Bit
    Dateiname: 0.33569678855167673g8j8.exe
    Ort der Datei: %windir%\system32
    Registryeintrag: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    Schlüssel: Update
    Wert: C:\WINDOWS\system32\ 0.33569678855167673g8j8.exe (ohne leerzeichen, musste hier nur rein, weil das Kommentarscript das sonst eigenmächtig rauslöscht)
    Lösung: Schlüssel löschen, .exe Datei löschen

    • Achja vergessen (Edit ist abgelaufen).
      Kaspersky bezeichnete den Virus als „Trojan-Dropper.Win32.Injector.dady“

      • Danke für die beiden Informationen @Shodan. Google spukt keine Informationen zu Trojan-Dropper.Win32.Injector.dady aus, wenn man danach sucht. Bei Kaspersky habe ich diese Bezeichnung gefunden, aber leider keine weiteren Infos dazu bekommen können.

      • @ Shodan

        Ohne jetzt zu Googlen, ich gebs ja zu, aber ich hatte bei all meinen OPs hier jetzt schon die ein oder andere Injector-Variante.
        Und leider ist es dabei immer auf das selbe rausgelaufen:
        .33569678855167673g8j8.exe (Trojan-Dropper.Win32.Injector.dady | Systemneuinstallation dringend empfohlen!)

        Entsprechend habe ich dies auch so auf meiner Seite vermerkt.

        @All
        Ich komme aktuell schlicht nicht dazu hier auf jedes Statment zu antworten.
        Alleine die Mails mit Hilferufe an mich, übersteigen aktuell die Anfrage bzw. von mir Antwortmöglichkeiten.
        Immerhin versuche ich mich einigermaßen individuell um jeden zu kümmern der anfragt.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

        • Hm… also bisher war eine Neuinstallation nicht nötig. Wie oben beschrieben habe ich nur den Autostarteintrag und die Virendatei gelöscht. Rechner scheint soweit wieder zu funktionieren.

          Einzig die explorer.exe ist mir beim Testen danach einmal abgeschmiert, wobei ich nicht ausschließen kann, dass das am schlechten Allgemeinzustand des Rechners liegt (Stichwort Datenmüll).

          Gab es denn bei dir im Nachhinein irgendwelchen konkreten Gründe für die Neuinstallation (Funktionsversagen o.ä.) oder war es eher ein „schlechtes Bauchgefühl“?

      • @ Shodan

        Ich würde sagen (leider) begründet.

        Ich habe nun mal gegoogelt und dabei folgendes gefunden:
        https://www.virustotal.com/file/28aba7221fe47882164fa45d9d63c58110b96b94d9b2291b692afaa7406c2e46/analysis/1327960398/

        Das ist zwar eine Datei die infiziert war welche per Mail mal kam, aber wie man sieht, bezeichnen verschiedene Scanner die Viren/Trojaner/Rootkits ja unterschiedlich.

        Wenn man sich die Liste so ansieht, sieht man mir leider nur allzubekannte Bezeichnungen wie „Spy“ oder „Kryptik“.

        Es besteht also (meines Erachtens!) ernsthafte Gefahr für ALLE deine Kennwörter/Zugangsdaten die bislang an diesem Computer eingegeben wurden.

        Das Sichern der Daten und eine komplette Neuinstallation halte ich in diesem Zuge leider für unbedingt notwendig.
        Man möge es auch versuchen können zu entfernen, aber solch ein Rootkit(teil) hat IMMER die nette Eigenschaft sich tarnen zu können.

        Ich kann keine Garantie dafür übernehmen (wie auch), das dein Computer im aktuellen Zustand Viren/Trojaner/Rootkit! frei ist und deine Daten wieder „sicher“.

        Mit freundlichem Gruß,
        Simon

        (Fachinformatiker für Systemintegration)

  36. Hallo,
    also ich habe keine Ahnung von Computern und bräuchte eine detailierte, einfache Erklärung wie ich diesen Virus los werde. Ich habe Windows 7 und bei shell steht als Wert explorer.exe. Was muss ich jetzt genau machen?

  37. Bitte mal hier schauen. Simon hat auf seiner Webseite beschrieben, was zu tun ist, wenn bereits die explorer.exe in der Registry steht.

    • @ ALL

      Anmerkung: Hilft leider lange nicht mehr bei allen Varianten.

      Bitte auch speziell die Punkte P14 und P14.1 meiner Seite bachten. <– Ja ich weiß es ist viel und sieht evtl. etwas verwirrend aus, aber es ist hilfreich wenn man es durchackert.^^

      Bei Fragen, Anregungen oder Problemen, stehe ich auch (so gut ich kann) per Mail zur Verfügung.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  38. Zitat: „So kann auch eine Systemwiederherstellung durchaus das System wieder auf einen funktionierenden Zustand zurück verhelfen. Und wenn anschließend ein Systemcheck sowie eine entsprechende Sicherheitssoftware zum Einsatz kommt, dann ist vielleicht auch das eine Lösung. Habe ich nicht probiert, klingt aber nicht unvernünftig.“

    Also, wir habe (mit F8) im DOS-Modus „Abgesicherten Modus mit Eingabe….“ gewählt und explorer.exe eingegeben und konnte so unter Programme – Zubehör – Systemprogramme eine Systemwiederherstellung machen. Danach lief das Notebook wieder, jetzt suchen wir mit Anti-Vir die Festpaltte durch.

    Mal sehen, was passiert.

  39. DANKE!!!!!!!!!!!!!!!!!!!

  40. Also ich bin zu blöd den Virus von meinem Laptop zu löschen ich hab die Datei alles gefunden mit dem Shell im Abgesicherten Modus allerdings hab ich ne explorer.Exe datei und die folgenden Beschreibungen die auf nen Stick zu ziehen und so raff ich nicht wie und so… Hab einfach 0 Ahnung von computerwelten ist mir alles zu hoch werde wohl mein lapi zu Bekannten bringen müssen die mir das Ding zurück setzen. Hab mein Lapi erst 2 tage also zum Glück keine Dateien die ich nicht ersetzen könnte wenn sie weg sind.

    Trotzdem Danke für die Hilfe, toll das es nich Menschen gibt die Helfen wollen und nicht nur Schaden

  41. Hallo,
    hatte auch plötzlich diesen Bundespolizeitrojaner auf dem Rechner,keine Ahnung wie das passierte,hatte nur nach irgenwas ganz einfachem über google gesucht!
    Ich hatte bis dato nur eine kostenlose Version von Avast auf dem Laptop mit Windows 7!
    Der Avast hat zwar Alarm gegeben konnte dem Angriff aber wahrscheinlich nicht trotzen und dann kam das uns allen bekannte Bild…..!!!!
    Habe es mit der 10 Punkte Anleitung versucht und es stand aber bei SHELL schon die Explorer.exe!
    Durch einen Hinweis eines Users probierte ich dann folgendes: Den PC im abgesicherten Modus auf einen früheren Betriebszustand zurücksetzen und dann konnte ich Ihn erst mal wieder normal hochfahren,dann habe ich Norton Internet Security auf die Reise geschickt und da ist dann einiges gefunden worden,u.a.auch 3 Dateien mit dem Namen ch\810.exe,812.exe,813.exe!
    Hab den ganzen Müll gelöscht werde aber trotzdem das System neu installieren weil ich mir nicht sicher bin ob alles feindliche getötet ist!
    Dazu muß ich aber auch zu meinem Computerspezi gehen!
    Vielen Dank allen die sich hier verewigt haben und natürlich auch an Simon!

  42. Hey Leute,
    ich habe noch einen Weg gefunden den Virus zu entfernen, der auch bei der NEUESTEN Version funktioniert.
    Man braucht dafprmindestens 1 Adminbenutzer und einen weiteren User…
    Und so gehts:
    Man verschafft sich mit dem nicht infizierten Benutzer Zugang in die Systemsteuerung und legt dort einen Benutzer mit Adminrechten an. Dann löscht man den alten User mitsamt seinen Dateien und Tada: Man hat wieder Adminrechte!

    • @ Michael

      Das ist zwar prinzipiell richtig und machbar, aber wenn man nicht vorher die Eigenen Dateien gesichert hat, dann wären diese Daten weg.

      Weiterhin bringt das leider nicht bei allen Varianten etwas, nämlich nicht wenn die Dateien wie immer häufiger auch noch unter:
      C:\ProgramData
      oder C:\Windows\System32 liegen.

      Weiterhin ist das gefährliche daran, das die bislang meisten von mir gefunden Daten dort Rootkit/Backdoor-Teile enthielten und daher nicht gerade zur Bespaßung des Systeminhabers dienlich waren/sind. :-/

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  43. Habe mir den GEMA-Trojaner eingefangen. Der Bildschirm ist blockiert. Habe schon mit Rescue-CD versucht. Hat nichts gebracht Bei jedem Start kommt wieder die Trojaner-Seite. Wer kann mir einen verständlichen Rat geben? Bitte verständlich die Schritte mitteilen!

    • @usande: Unter Windows 7 würde ich dir zu einer Windows Systemwiederherstllung raten. Schau dir mal die Informationen auf der verlinkten Seite an.

    • @ usande

      Ich vermute dies soll heißen das weder die in diesem BLOG beschriebene Anleitung, noch meine Seite bislang hilfreich waren?
      (Alternativ wurden diese nicht angeschaut, was natürlich schon schön (gewesen) wäre.)

      Schreib mir mal eine Mail mit der Fehlerbeschreibung.
      Ich denke darüber bekommt man das Problem evtl. schneller bzw. direkter gelöst.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  44. Hallo zusammen,
    Virus kommt wieder :(

    also ich habe windows xp und habe auch diesen virus.
    Das Problem ist wenn ich in den Pfaden schaue mit den HKey… bei Shell steht schon explorer.exe richtig.

    Dann habe ich einfach nach Explorer.exe suchen lassen und es tauchte dann in irgednein ordener „Prefetech“ explorer1234723738.exe auf welches ich auch am Datum merkte das dieses der Virus ist, denn hab ich dan gelöscht und Papierkorb geleert auch.
    Aber Sobald ich internet Lankabel anschließe und neustart mache, kommt wieder der Virus….

    Was soll ich den machen???? Muss ich alles formatieren???

    Vielen Dank und lg

  45. und wenn ich in der Systemstart schaue,
    habe ich gerad diese dateien gesehn, aber woher weiß ich ob das wichtige windows dateien sind oder virus??? Diese sind mir eher verdächtig, soll ich zu diesen Pfaden folgen und siese löschen????

    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe

    C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe

    C:\WINDOWS\vVX1000.exe
    C:\Programme\Gemeinsame Dateien\Java\Java Update\Jusched.exe

    C:\WINDOWS\system32\ctfmon.exe

    in der untere Pfad steht alles in einer Zeile, es ist ein Pfad der unter Befehl im Autostart stand.
    Auffällig ist, das als “ Systemstartelement“ auch hier der name „ctfmon“ steht!!!! wie in der obigen Pfad.

    C:\WINDOWS\system32\rundll32.exe C:\DOKUME~1\Mahir\LOKALE~1\Temp\toip0_tmp.exe,FQ10

    • @ mm

      Name: ctfmon
      Hersteller: Unbekannt
      Dateiort: C:\Dokumente und Einstellungen\Mahir\Lokale Einstellungen\Temp\
      Dateiname: toip0_tmp.exe

      Das Systemstartelement deaktivieren, im Idealfall auch in der Registry entfernen (siehe Punkt P14 meiner Seite) und die Datei selbst umbenennen oder löschen. (Löschen ist in sofern aber etwas ungünstig, weil man dann schlechter rausfinden kann was für ein Schädling es ist.)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  46. Hallo ich Brauch mal ganz dringend Hilfe. Hab das Ding seit gerade eben und hab die Anleitung befolgt, allerdings heist das bei mir schon Explorer.exe und dann muss man ja irgendwas anderes machen aber ich versteh das nicht. Kann mir bitte jemand ganz genau erklären, was ich jetzt machen muss. Bitte helft mir schnell.

  47. Hallo zusammen,

    ich habe mir dieses elende Miststück gestern Abend auch eingefangen. *Ironie an* Da es das Schicksal gut mit mir meint *Ironie aus* ist es mein Firmen Notebook, mit dem ich sowieso 0,1% privat online bin.
    Dank eurer Anleitung habe ich im Autostart ein Programm namens „Letters2008“ xcpvqavk.exe von „Whitdrawals“ gefunden und direkt mal deaktiviert. Das Ganze hing in der ProgrammData… eine weitere Datei 0.3804438633144489 und ein Ordner für die ganzen Bilder ozpyvxcqiomaxc habe ich dort auch entdeckt. Ich habe das was ich mir gestern um 19:32 auf den PC geholt habe mal vorsorgehalber alles gelöscht… nur blöderweise hängt da scheinbar noch was in der Registry unter dem Pfad HKCU/Software/Microsoft/Windows/CurrentVersion/Run… wie bekomme ich diesen Eintrag dort weg?? Ich habe die Vermutung, dass ich dort nur als Admin hingelange und die Schl*mpe löschen darf?

    Für einen Anti-Technik-PC-Null-Auskenner bin ich ja schon mal ziemlich weit gekommen…

    Ich bitte um ein kurzes Feedback bzgl. der Registry.

    Vielen Dank schon mal und Krieg den Viiiiiiren!!!

    PS.: weder mein AntiVira Professional noch HouseCall haben das Ding gefunden.

    Beste Grüße
    Haniiiflash

  48. Meines Wissens nutzen alle Trojaner dieser Reihe, einen Fehler in der Java Erweiterung im Browser, dadurch ist meines Wissens möglich, Schadcode auf den Rechner zu laden, meist versteckt hinter Flash Videos oder Flash anzeigen. Sobald man das Video anklickt, hat man dem Schaden.

  49. hello, ich habe gemacht alle but mein computer nicht fonktionniert und mous auch ist blokiert, ich habe dieser schell explorer.exe aber ich weise nicht was muß machen next, ich kann nicht löchen bitte hilfe danke

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*