„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!
Schritt für Schritt Anleitung
Seiteninhalte
Die ersten Schritte bei Problemen dieser Art
Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!
- Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
- Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
- Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
- Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
- Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
- Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
Bundespolizei Virus – Bildschirm eines infizierten Windows PCs
- Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
- Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten
- Windows startet nun in einer Art Minimal-Konfiguration.
- Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
- Den Befehl regedit eingeben und [Enter] drücken
- Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
- Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
- Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
- Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
- [OK] klicken und das Registry-Fenster schließen [x].
Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.
Windows-Registry – Pfad zur jashla.exe
Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).
Den Rechner jetzt ganz normal neu starten
Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.
Rechner auf Schadsoftware prüfen
Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.
Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.
Was heißt, der Spuk ist „erst mal“ vorbei?
Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.
Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!
Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …
Also.. Systemcheck gemacht, Trojaner usw , gefunden und gelöscht. aber auf einmal ging meine Tastatur nicht mehr. Ich tippte auf A und ich bekam die Bustaben hzn. Wollte löschtaste benutzen…. kam zzzzzzzzzzzzz … hat das mit dem blöden Trojaner zutun??
Naja mir war dann alles zu blöd.. Hab werkseinstellung gemacht. Tia… dachte eignetlich so das wärs.. nix da… die tastatur geht immer noch net… Hilfeeee…
@ Limari
Das einige was mir auf Anhieb dazu einfiele, wäre eventuell eine Fehleinstellung in Sachen Tastaturlayout?!
Vielleicht einfach mal dieses überprüfen.
Mit freundlichem Gruß,
Simon
Fachinformatiker für Systemintegration
Mail me
Habe ihn mir auch eingefangen – keine Mail – Website??? Eigentlich nur bekannte – seriöse aufgesucht… Und ich habe NIS 2011 – regelmäßiges Suche nach updates beim Start. Werde mal morgen auf die Suche gehen. Zum Glück hat frau ja Zweit-PC…..
@ Gina75
Bei Fragen oder weiteren Problemen, entweder einfach heir posten oder eine Mail an mich.
Mit freundlichem Gruß,
Simon
Fachinformatiker für Systemintegration
Hab mich hir ne Weile beteiligt, aber langsam kommt mir der Trojaner wie ne große Werbeaktion für Antivirus-Software vor. Und nun melde ich mich ab :)
@ Jobo
Mmmh, aber was will man auch anderes machen.
Studien sagen ja selbst, das noch heute mindestens (ich glaube es waren) mehr als 5% aller Internetnutzer komplett ungeschützt ins Internet gehen. :-(
Mit freundlichem Gruß,
Simon
Fachinformatiker für Systemintegration
Mail me
habe eine Mail mit der Info: wir buchen von ihrem Konto 5000.- und ein paar zequetschte ab geöffnet, im Anhang die Rechnung, die leer war und seitdem hatte ich den UKASH virus. habs dank ihrer Anleitung hingekriegt, aber ein Teil der Bilder und Dokumente sind verstümmelt dh sie haben eigenartige Namen wie : bdgsjebfcxx und lassen sich nicht öffnen. Ein Versuch über Wiederherstellungspunkt hat mir nichts gebracht
Grüße Heinz
@ heinz k
Schaue Dir/Schauen Sie sich bitte dazu mal meine extra dafür gemacht Seite an…(Link)
Mit freundlichem Gruß,
Simon
Fachinformatiker für Systemintegration
Mail me
Habe auch den Virus. Bin der Anleitung gefolgt. Bei mir steht scho Shell explorer.exe. Nun komm ich nicht weiter.
genau das gleiche problem habe ich auch gerade! wie soll ich den pfad löschen?
Versuche das mal, hat bei mir geklappt. Er hieß bei mir nicht jashla.exe. Es waren nur bunt durcheinandergewürfelte Buchstabenreihen.
Beim PC Start drücken Sie die Taste [F8], noch bevor das Windows-Logo beim Booten erscheint.
In der abgesicherter Umgebung öffnen Sie die Registry mit regedit (Start → Programme/Dateien durchsuchen). Der Bundespolizei Virus verbirgt sich in den folgenden Schlüsseln:
■HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
■HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Diese Ordner sollten Sie auf verdächtige EXE-Dateien mit zufälligen Namen durchsuchen (z.B. jashla.exe) und die Dateien löschen. Jetzt entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen. Anschließend starten Sie Ihren PC neu.
hallo haiko, in deinem kommentar stehen ja so pfade die man öffnen soll, aber die sind abgeschnitten. könntest du sie vielleicht nochmal aufschreiben? schon mal vielen dank!
@ kathi
Die Pfade sind hier nciht abgeschnitten. Aber wenn Du es genauer wissen willst, dann besuche meine Seite mit den Punkten http://kunden.pp4it.de/bka-entfernung.php#fundorte P14 und http://kunden.pp4it.de/bka-entfernung.php#dateinamen P14.1.
Soltle es Problem/Fragen geben, melde Dich per einfach Mail.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Heiko
@ Me’chen
Zitat aus Punkt 8 dieses Blogs:
Sollte hier bereits “explorer.exe” stehen, dann zuerst die Hilfestellungen von Simon beachten (Punkt 8 sowie Punkte 1 bis 6).
Mit freundlichem Gruß,
Simon
Fachinformatiker für Systemintegration
Mail me
Hallo in die Gruppe,
wir haben uns gestern abend den Virus eingefangen, Rechner läuft soweit wieder nur unsere ganzen Word, PDF und Bilddateien sind nicht mehr da…bzw. mit irgendwelchen Buchstabenkombinationen versehen…die sind wichtig gewesen da Lebenslauf Korrespondenz usw. Gibt es die Möglichkeit diese wieder herzustellen?
Danke für Eure Hilfe…
Thomas
@ Thomas
Schaue Dir/Schauen Sie sich bitte dazu mal meine extra dafür gemacht Seite an…(Link)
Mit freundlichem Gruß,
Simon
Fachinformatiker für Systemintegration
Mail me
…hier mal ein Bsp. wie das jetzt ausssieht:
ygAVyIJesoxJTdAV usw.
Bin da nun wirklich kein Experte..
@ Thomas
Das ist leider eine variante die bis heute nicht entschlüsselt werden kann (naja oder zumindest bsi gestern Nachmittag als ich wiedermal am stöbern deswegen war).
Diese Variante gibt es seit nunmehr rund 2-3 Wochen. Leider ist die Verschlüsselung der Dateinamen natürlich ein weiterer Stein im Weg zur Rekonstruktion.
Eine Möglichkeit besteht aktuell nur darin, das es im Idealfall auf dem System eingestellte „Vorgängerversionen/Volume Shadow Copies“ gibt und man anhand derer die Daten wieder „retten“ könnte.
Dies sollte z.B. unter WindowsVista/Windows7 ohne riesen Aufwand machbar sein, zumindest auch nach 1-5 Tagen nach dem Befall. (Je nach Systemeinstellung.)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Achtung ! neu version des Bka virus is raus ! mit ordner Polici ! hab 3 stunden daran gearbeitet den los zu werden ! da denkste du hast alles gefunden da is der auf einmal wieder da ! hoffe ich bin den jetzt los !
@ Alex
Was wurde wo gefunden und was haben Scans danach eventuell noch entdeckt (und wo)?
Mit freundlichem Gruß,
Simon
Fachinformatiker für Systemintegration
Mail me
Das ist eine neue Variante:
http://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html
an entschlüsselung wird bereits gearbeitet
@ Karsten
Vielen Dank für den Hinweis. Gut zu wissen.
Mit freundlichem Gruß,
Simon
Fachinformatiker für Systemintegration
Mail me
hallo. ich habe ihre anleitung befolgt und habe,da ich absoluter laie bin, leider explorer.exe gelöscht. wie kann ich diesen fehler wieder beheben? vielen dank.
@ rene
Die explorer.exe gelöscht oder den Registry-Key in dem explorer.exe drin steht/stand?
Mit freundlichem Gruß,
Simon
Fachinformatiker für Systemintegration
Mail me
danke für die rasche antwort. ich bin der kompletten anleitung gefolgt und habe dann im rechten feld explorer.exe gelöscht. wo jetzt genau der unterschied besteht zwischen explrorer.exe und dem registry key, weiss ich nicht.
mfg
rene
@ rene
Ich habe mal einen screenshot bzw. 2 gemacht zum Vergleich.
Dort sieht man was wo stehen sollte und was man (nicht) machen sollte….(Bild).
Bitte einfach bescheidgeben was wohl gemacht wurde.^^
Mit freundlichem Gruß,
Simon
Fachinformatiker für Systemintegration
Mail me
Hey, ich hab vor längerer Zeit auf dieser Seite ein Kommentar gepostet und hab schnell Hilfe bekommen..nur jetzt möchte ich gerne keine Benachrichtigungen an meine email geschickt bekommen..ich weiß nur nicht wie ich mich „einlogge“ um das Kreuz unten wieder rauszunehmen? lg niklas
In jeder E-Mail eines neuen Kommentars steht unten ein Link, der zur Abmelde-Seite führt. Diesen einfach klicken und „Ausgewählte Abos löschen“ bzw. alle „Benachrichtigungen zu sperren“. Und das war’s dann auch schon …
Also ich drücke F8 und komme dann auch zu dieser Auswahlliste. Ich wähle „Abgesicherter Modus mit Eingabeaufforderung“ und drücke Enter.
Aber dann kommt die Meldung: „Windows konnte leider nicht erfolgreich gestartet werden. DIes kann durch eine vor kurzem erfolgte Hardware- oder Softwareänderung verursacht worden sein.
Wählen Sie „Letzte als funktionierend bekannte Konfiguration“, um die letzten funktionierenden Einstellungen wiederherzustellen, wenn der Computer nicht reagierte, unerwartet neu startete oder automatisch heruntergefahren wurde, um Dateien und Ordner zu schützen.
Wählen SIe „Windows normal starten“, wenn ein vorheriger Startversuch durch einn Stromausfall unterbrochen wurde oder weil die Einschalt- oder Resettaste gedrüct wurde, oder wenn Sie sich nicht sicher sind, was das Problem verursachte.
Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung
Letzte als funktionierend bekannte Konfiguration
Windows normal starten
Was soll ich tun???
@ Christina
Der Einfachheit halber und um es zu beschleuningen…
Eine Mail an mich mit Schilderung des Problems.
Die Lösung des Problems (sofern abweichend von bisherigen Lösungen) kann man dann immernoch hier posten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hey Leuts,
noch einmal, da mir scheinbar keiner antworten will:
Ich habe das Problem, dass mir der besagte Bildschirm beim Hochfahren mehrmals erschienen ist und dann aber plötzlich nicht mehr aufgetaucht ist.
Der gesicherte Modus funktioniert manchmal, sehr selten, aber meistens nicht. ich sehe das als zeichen, dass der Trojaner noch auf dem PC ist, sicher bin ich mir allerdings nicht. Virenscans und alle anderen Hinweise zu Scans habe ich über mich ergehen lassen und es wurde einiges gefunden,w as allerdings nicht auf den BKA-Trojaner hingewiesen hat.
Jetzt wollte ich, da der gesicherte Modus wieder funktioniert und ich es sicher auf ungesichert bewerkstelligenen kann, den Prozess, der oben beschrieben ist, hinter mich bringen.
Da ich mich allerdings nicht auskenne, bitte ich euch, mir das genau zu erklären, wie ich was finde, und vor allen Dingen, wo ich überhaupt suchen muss, denn ich finde nicht einmal den Weg vom Desktop in das Fenster was ich für die ersten Schritte brauche.
PS: Die Dateisuche auf meinem Win 7 PC funktioniert nicht mehr.
Dank und Gruß
Joe
Unter Windows 7 würde ich dir die Systemwiederherstellung zu nutzen und danach den dann inaktiven Trojaner zu löschen. Schau dir mal den Link an, ob das vielleicht die einfachere Variante für dich ist.
Kann ich denn nicht über den normalen Modus auch den Trojaner löschen, weil sonst ja eigentlich alles geht.
Und alle paar Tage bekomme ich auch den gesicherten hin, ist mur nicht immer möglich, warum auch immer.
Außerdem würde ich mein System nicht gerne wiederherstellen.
@ Joe Dow
Das Problem ist, das sich alles was sich tarnen will, nicht entdeckt werden will es unter dem „richtigen“ Windows ganz einfach hat.
Der Abgesicherte Modus macht es zumindest schwerer (wenn auch nciht unbedingt unmöglich).
Daher ist ein Scan im Abgesicherten Modus, noch besser OFFLINE (also von CD/DVD wie z.B. der desinfec’t 2012) dringend zu empfehlen!
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Eine Systemwiederherstellung ist nichts schlimmes, da gehen auch keine Daten verloren. Das System wird hierbei einfach auch eine Zeit vor dem Trojaner-Befall zurück gesetzt. Keine Neuinstallation!
Wenn du den Trojaner im „normalen“ Modus entfernen kannst … Sollte der Rechner normal starten, dann mal mit Malwarebytes einen Scann durchführen. Vielleicht hilft das in deinem Fall bereits.
Den Scan habe ich schon durchgeführt. Auch den Scan über Online Scanner. Bei beidem wurde etwas gefunden, aber als ich die Namen gegoogelt habe, kam dabei nichts besonderes heraus.
Wie kann ich denn feststellen, ob der Trojaner überhaupt noch auf dem PC ist?
Und zur Wiederherstellung. Kannst du mir da vielleicht einen guten Dienst nennen, ich denke mal, das sollte über ne Rescue-CD laufen, oder? Bei den Diensten und Arten von Wiederherstellung, die ich kenne, wurde bis jetzt immer alles gelöscht und deprogrammiert, was auf der C-Festplatte war, nur meine partitionen blieben verschont.
@ Joe Dow
Was ist mit einem Systemwiederherstellungdienst gemient?! *verwirrt*
Wenn die CD vorhanden ist, dann half dies hier schon vielen Leuten weiter:
http://wiki.winboard.org/index.php/Systemwiederherstellung_von_CD_starten
Aber Achtung: KEINE Recovery-CD/DVD! Es muss eine richtige Installations-CD/DVD für Windows sein.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
@ Joe Dow
Bitte mal den Rechner im Abgesicherten Modus (mit Netzwerktriebern) starten und das System per MalwareBytes Anti-Malware und ESET’s Online-Scanner (kleine Downloads, kostenfrei) jewels vollständig drüberscannen lassen.
Bitte die jeweiligen Funde abspeichern in einer TEXT-Log-Datei und mir zur Analyse am besten zumailen.
Auch @ Daniel Weihmann
Eine Systemwiederherstellung ist durchaus wie du es schreibst eine nützliche Variante. Das blöde ist, ich habe es selbst mehrfach nachstellen können, das solche Daten schon von vorneherein mittlerweile ebenfalls infiziert werden
.
Daraus ergibt sich, das Scans der oben genannten Art das MINIMUM sind, was nach einer Systemwiederherstellung gemacht werden muss (in den seltensten Fällen ist danach das System heutzutage wirklich wieder clean).
Bei weiteren Fragen…Mail habt ihr ja soweit. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo,
ich habe leider diese Seite hier erst später gesehen:
Ich habe zuerst die Virus-Datei gelöscht und später erst diese Schritte hier auf der Webseite verfolgt, finde dewswegen den Schlüssel „shell“ nicht mehr unter Microsoft/Windows/CurrentVersion/Run.
Außerdem habe ich diese .exe aus dem Autostartprogramm deaktiviert und habe jetzt vor sie zu löschen – sollte ich das machen?
Danke.
@ Peter
Bitte den Pfad notieren wohin die Datei im Autostart verzweigt und wie diese heißt.
Dann den Pfad aufsuchen und die Datei löschen.
Danach bitte wie untern Punkt P14 beschrieben in der Registry noch schauen ob sich dort diese Datei noch findet – wenn ja den „Ordner“ erstmal umbenennen.
Anschließend bitte noch diesen Post (mindestens) beachten:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
@ Simon:
Ja, deine ersten Punkte habe ich schon abgearbeitet – Wie gesagt, habe zuerst die Datei gelöscht und dann erst in der Registry geschaut. Einmal unter dem angegebenem Speicherort des Virus Windows/Currentversion/run – da ist nix,
und nun wie unter P14 im Verrzeichnis SharedTools/MSConfig/Startupfolder…,
da ist bei backup und item etwas zu Microsoft Office, also auch nichts!
Gibts vielleicht weitere Orte, wo man in der Registry nachschauen kann?
@ peter
Kurz gefragt: „Wurde auch mal im Nachbarverzeichnis in StartUpRegFolder geschaut?
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
hallo bei mir zeigt es den virus auch an hab es mit eingabeaufforderung probiert abgesicherter modus hört bei crcdisk.sys auf fährt bis kurz vor der anmeldung und macht dann jedesmal einen neustart was kann ich tun?
@ marco
Schau Dir mall/Schauen Sie sich mal die Vorschläge z.B. unter Punkt P10 meiner Seite an.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Hallo! Danke fuer die ganzen hilfreichen infos!
Bei mir steh bei abgesicherter modus! In der regedit im winlogon bei der shell datei „explorer_new.exe“ soll ich das einfach in explorer.exe umbenennen? Oder soll ich weil da kein pfad steht vorgehen wie auf der seite von simon punkt 8 etc. …
Bitte um hilfe
Lg
@ julius
Melde Dich/Melden Sie sich mal mit der Fehlerbeschreibung bei mir per (Mail).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Hallo! Ich hab es hier mit der österreichischen version des bka trojaners zu tun. Sieht tatsächlich alles hochoffiziell aus. nur das deutsch lässt ein kleinwenig zu wünschen übrig.
und ich hatte ebenfalls wie julius den eintrag explorer_new.exe in der shell registry. Diesen habe ich umbenannt in explorer.exe. aber das alleine samt scan mit antivir und entfernen von zwei dateien hat nicht gereicht. der trojaner benötigt nun nur ein wenig länger, bis er nach neustart den bildschirm füllt.
Was kann man nun tun?
Lg andi
@ andi
Mal mit der Fehlerbeschreibung bei mir melden. Ich denke darüber lässt sich das Problem schneller in den Griff bekommen.
Eine eventuell abweichende Lösung kann später hier immernoch gepostet werden. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Bei uns steht bei Shell bereits der Wert explorer.exe, es kommt jedoch die Meldung
Shell kann nicht bearbeitet werden, was machen wir?
@ sabi
Bitte mal hier untendrunter bei taner und meiner dortigen Antwort schauen.^^
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Hallo Zusammen, leider bin ich seit gestern auch betroffen von der BundesPolizei Trojaner. Habe die oberen Anleitungen ausprobiert, leider ohne Erfolg. In der shell datei stand bei mir “explorer_new.exe”. Den habe ich mit „explorer.exe“ geändert. Wenn ich mein Mini-Laptop nochmal neu Starte, sehe ich für einen kurzen Moment meine Desktop Dateien, aber ca. noch 2 Sekunden ist mein Desktop wieder durch die blöde Sperr-Meldung gesperrt. Simon, kannst du mir bitte auch weiterhelfen?? LG Taner
@ taner
Mal mit der Fehlerbeschreibung bei mir melden. Ich denke darüber lässt sich das Problem schneller in den Griff bekommen.
Eine eventuell abweichende Lösung kann später hier immernoch gepostet werden. :-)
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Habe alles bis jetzt so gemacht wie beschreiben, nur ist in meinem Verzeichnins kein Winlogon zu finden!!
Was soll ich tun??
Mit bestem Dank
bei mir findet er das jashla.exe. nicht ?? weder über den task manager oder über suche .. zeigt mir dann wieder den weißen bildschirm an !!!
hat alles funktioniert .. bis zu dem Punkt wo ich die jashla.exe datei löschen sollte .. hab sie nicht im task manager gefunden & auch nicht bei suche .. kam dann wieder zum weißen Bildschirm .. & jetzt komm ich nicht mal mehr in abgesicherten modus .. was soll ich tun ???
@ Anne
Schreib mir mal eine Mail mit der Fehlerbeschreibung.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich habe jetzt erstmal alles so gemacht, wie oben beschrieben, weil mein abgesicherter Modus jetzt wieder funktioniert hat.
Aber in Shell habe ich keinen Pfad sondern bereits explorer.exe gefunden. Jashla.exe fand ich über die suche auch nicht.
offensichtliche Probleme gibt es jetzt nicht mehr, aber ich habe auch nie verdächtige Dateien gelöscht über Virenscans, auch keine außer Java gefunden.
Eine Systemwiederherstellung möchte ich vermeiden, weil ich damit nicht umgehen kann und nicht unbedingt alle Programme beeinflussen will.
Einziges Problem: Sobald ich Winamp oder Musikdateien in Chrome anmache, hängt mein ganzer PC, was aber auch erst einige Zeit, eine lange zeit, nach dem Trojaner aufgetaucht ist, hängt das vielleicht aber doch irgendwie zusammen?
@ Jow Dow
Schreib mir mal eine Mail mit der Fehlerbeschreibung.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallöchen,
Ich hab‘ alles gemacht, wie oben angeleitet, glaube ich: In der Shell hieß das Programm explorer_new.exe, das ist laut Simon’s Seite ein neuer Schädling. Also hab ich den durch explorer.exe ersetzt. Dann hab ich mit der Windows Suchfunktion das Programm explorer_new.exe gefunden, es gelöscht und den Papierkorb geleert. Und gedacht nun ist alles gut. Wieder ans Internet angeschlossen, Neustart und zack, wieder die widerliche Sperrseite. Was tun??
Vielen Dank für Hilfe.
Etwas ermattet,
Rainer
@ Rainer Richter
Korrekt. Die explorer_new.exe oder explorer_neu.exe ist seit einigen Tagen immer weiter verbreitet. Allerdings meist im Zusammenhang mit dem wenig beliebten Verschlüsselungs-Trojaner.
Im Endeffekt muss diese Datei gelöscht werden.
Wenn man die Chance dafür hat, würde Ich diese gerne (umbenannt .exe.vir oder so) zugesandt bekommen.
Das Problem warum der Screen noch kommt, liegt im Endeffekt im Autostart. Dafür werden meist EXE und TEMP-Dateien in C:\ProgramData und C:\Users\“Benutzerkonto“\ZAHLENKOLLONNE.EXE abgelegt.
Für die gilt selbstverständlich das selbe wie oben mit der explorer_*.exe beschrieben.
Schreib mir mal eine Mail mit der Fehlerbeschreibung.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Ich hoffe ürgendjemand liest diesen kommentar
Hallo ich hab seit einigen tagen diesen virus. Aber ich glaube in dieser neuartigen version in der man Windows im abgesicherten Modus auch nicht mehr starten kann.
Ich hab alle Schritte befolgt habe explorer.new.exe in explorer.exe umgenannt und danach sollte ich mir ürgendeinen Pfad oder Wert merken um die Datei dann später zu löschen und das hab ich nicht kapiert ich habe dann einfach anschließend explorer.exe ausgeführt jashla.exe gesucht aber er fand nichts. Ich gehe davon aus dass sie anders heist aber wie soll ich sie dann löschen ?
Dann hab ich auf einer anderen Website erfahren dass in den Anwendungsdaten ürgendwelche daten des viruses vorhanden sein könnten. Dort habe ich dann nachgeschaut, und in einem ordner der ungefähr so hieß : csnodik23o9s0dhcsidlksdn.sj98ez
bilddateien und grafik dateien bezüglich des fensters welches beim start aufgeht gefunden und weil ich dachte vielleicht hilft es ja ürgendwie hab ich die gleich mal gelöscht
Jetzt geht das fenster zwar immernoch auf aber das normale Fenster wird nicht mehr angezeigt ich weis nich was ich jetz machen soll
@ chillias
Bitte nochmal mit einigermaßen vorhandener Zeichensetzung.
ich versteh leider nicht wirklich was genau wie gemacht wurde und was das für Dateien sind die gelöscht wurden.
Vielen Dank.
Mit freundlichem Gruß,
simon
(Fachinformatiker für Systemintegration)
Sorry.
Als ich merkte dass ich den virus habe, habe ich erst versucht im abgesicherten Modus zu starten, was mir aber nicht gelang.
Dann befolgte ich die Anleitung oben und startete im abg. Modus mit Eingabeaufforderung und das klappte auch. Ich hab dann alle Schritte durchgeführt und explorer_new.exe in explorer.exe umgenannt. Dadurch wurde der Start des Trojaners aber nicht verhindert.
Gut, dann hab ich explorer_new.exe gesucht und gelöscht wie es oben steht. Aber der Pc startete immer noch nich normal .Ich erfuhr dann von einer anderen Website dass sich unter C:……anwendungsdaten bzw.app.data Dateien des Trojaners befinden könnten.
Dort habe ich nachgeschaut und relativ viele Dateien gefunden mit seltsamen Namen wie iddjqkbuupjzujsxfit oder „MS“ und viele der Dateien waren laut Eigenschaften von der Firma Bihgnem. Ausserdem war dort ein Ordner der die Bilddateien enthielt die beim PC-Start (mit Virus) angezeigt werden (also z.b.: den Schriftzug : U-kash ) und diesen Ordner habe ich gelöscht. Den Ordner der MS heisst den habe ich ausversehn geöffnet und schwub war wieder das Virusfenster offen. Aber statt dem Bka-text stand diesmal das gleiche dort, was man zu sehen bekommt wenn eine internetseite nicht aufgerufen werden kann.
Hallo zusammen, bei mir erscheint da nix mit BKA sondern „Windows update“ auch mit 100 Euro usw. Selbe Arbeitsweg wie oben beschrieben?
@ Virus-hater
Ja, hierbei gilt „erstmal“ das selbe.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Hallo Simon,
Gestern habe ich den abgesicherten Modus mit Eingabeaufforderung gestartet (F5), dann wie oben beschrieben in winlogon die shell gefunden. Der Eintrag lautete explorer_new.exe. Den habe ich gelöscht und explorer.exe hingeschrieben. Dann habe ich an der Eingabeaufforderung explorer.exe eingegeben, wurde von windows gefragt, ob ich im administrator modus starten möchte habe dies angeklickt. Dann ist windows im abgesicherten modus hochgefahren. Ich habe dann mit der Suchfunktion einmal jashla und einmal mahmud auf der FP suchen lassen. Ohne Erfolg. Dann habe ich explorer_new suchen lassen. Dies wurde einmal gefunden (in einem Windows Verzeichnis glaube ich) und das habe ich dann gelöscht. Als ich den Computer dann wieder normal hochgefahren habe, hatte ich wieder die „ukash“ Sperrseite. Dann habe ich wieder im abgesicherten Modus gestartet und in der shell stand dann mein Eintrag „explorer.exe“. Ich wollte dann G-Data (betreibe ich auf einem anderen Rechner in unserem Haushalt) installieren, weil ich dachte, vielleicht findet das Programm ja den Virus. Aber ich bekam die Meldung. „Der Administrator hat Richtlinien erlassen, die die Installation dieses Programms verbieten.“ Damit bin ich jetzt wieder mit meinem Latein am Ende. Kannst du mir helfen?
Gruß, Rainer
@ Rainer Richter
Sorry fürs später melden, aber ich bin schlicht die letzte Zeit mit anderer Arbeit „beschäftigt“.
Schaue Dir/Schauen Sie sich mal den Beitrag oben an (da wo schon mal was von Dir/Ihnen geschrieben wurde).
Schreib mir mal eine Mail mit der Fehlerbeschreibung.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Sehr schön erklärt und für viele Varianten dieses „Erpressers“ eine gut umsetzbare Anleitung, das Ding zu entfernen. Es gibt aber auch noch was zu ergänzen.
Bei mir war es die „explorer_new.exe“. Diese habe ich in der Registry in „explorer.exe“ umbenannt. Anschließend die „explorer_new.exe“ aus dem Windows-Verzeichnis gelöscht.
Im Autostart versteckte sich bei mir aber noch eine „lxuigdeqheoccfzazyae.exe“. Diese habe ich wie folgt entfernt:
Regedit (immernoch im abgesicherten Modus mit Eingabeaufforderung)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Den Eintrag „lxuigdeqheoccfz“ entfernen
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Den Eintrag „lxuigdeqheoccfz“ entfernen
Dann Explorer öffnen und Datum und Uhrzeit der Datei feststellen, dann entfernen:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lxuigdeqheoccfzazyae.exe
Im gleichen Verzeichnis habe ich noch weitere Dateien und Ordner festgestellt, die ähnlich wilde Buchstabenkombinationen aufwiesen und zur exakt selben Uhrzeit wie die „lxuigdeqheoccfzazyae.exe“ erstellt wurden. Diese habe ich dann gleich mit entsorgt. Ein Verzeichnis enthielt dann auch alle nötigen Dateien und PNG’s um die main.html (Bundespolizei) mit sagenhaften ~180 MB anzuzeigen. Ein kleines jQuery-Script sorgt dann dafür, dass die Seite auch schön im Vordergrund bleibt!
Zusätzlich habe ich noch mit * alle Dateien in Laufwerk C:\ gesucht und nach Datum sortiert. Auch hier sind zur selben Datum/Uhrzeit kuriose Dateien in verschiedenen Verzeichnissen erstellt/entpackt worden. Diese habe ich natürlich auch entfernt. Die Dateinamen können aber bei jedem anders aussehen.
Abschließend muss ich noch sagen, zum Glück ist das nicht mein Rechner gewesen. Irgendwie habe ich nie Probleme mit solchen Dingen. Denn ich verwende einen guten Virenschutz (AVIRA-Premium kostet nur 39 Euro für 3 Jahre), halte meine PC’s immer auf dem neuesten Stand, und außerdem muss ich auch nicht in jedem „Dreck“ wühlen!
Hallo erst mal,
hatte diesen BKA-Trojaner auf einem Kunden-PC. Mit allen Tricks war kein Zugang möglich. Weder abgesicherter Modus noch über Linux basierte Rescue CD’s. Kasparsky, Avira, Bitdefender etc haben nicht durchgebootet wegen Fehler bei AHCI. Was geholfen hat war Bart’s PE Builder CD mit Win XP, damit hatte ich Zugriff auf die Registry aber entsprechende Einträge hab ich nicht gefunden. in ——–Windows NT\Logon war auch der Explorer eingetragen, also alles zusammen recht mühsam und frustrierend. Letztendlich habe ich mir die Rescue CD von Norton über Symantec.de gezogen, die ist Windows basiert und vollbringt ware Wunder. Allerdings benätigt man eine Pin bzw. Produkt Aktivierungsnummer von einen Norton-Produkt (Norton 360 oder Internetsecurity). Aber dieses Teil ist echt stark und schnell und zuverlässig.
Link: http://security.symantec.com/nbrt/overview.aspx?lcid=1033
Viel Erfolg
Hugo
Hallo,
ich habe mir jetzt auch diesen dämlichen Trojaner eingefangen. In der Registry explorer_new.exe.
Gibt es inzwischen schon eine gesicherte Vorgehensweise was konkret zu tun ist? Einige hier haben ja berichtet, dass die Umbenennung in explorer.exe letztendlich das Problem nicht lösen konnte.
Bin für jeden Tipp dankbar.
Danke und Gruß
dergrover
so ich hab den auch mit explorer_new.exe hab das in explorer.exe umbenannt und danach hab ich im eingabefenster explorer.exe eingegeben danach gesucht aber nicht gefunden. Jetzt habe ich das mit dem neuen task gemacht und dort dann explorer_new.exe eingeben, dann öffnete sich wieder de seite mit dem bundespolizei ding. Hab ausgemacht und angemacht und jetzt kann ich nicht mehr starten weil WINDOWS\SYSTEM32\CONFIG\SYSTEM fehlt oder beschädigt ist, was soll ich tun?
Ich hab da was in meinem windows ordner gefunden was genau zu diesem zeitpunkt erstellt wurde wo der trojaner zum ersten mal auftrat. Die anwendung heisst explorer_new. Wenn ich da draufklik kommt genau des bild was auch zum ersten mal kam… weiss nich ob ich des löschen soll :|
Ich habe den Trojaner nach aAnleitung von meinem Computer runtergelöscht. Ich habe allerdings sicherheitshalber bei meinem PC eine systemwiederherstellung durchgführt und auf den vorherigen Tag des ersten auftretens des Trojanern zuückgesetzt. Ich habe auch gleich Avira Antivir Installiert jedoch die Aktuelle gratis – version. Muss ich irgendwelche bedenken haben?
Mach‘ mal noch einen Scan mit Malwarebytes!
@ Daniel Weihmann
Ich glaube ich sollte dringend mal wieder was schreiben… *pfeif und so auf die vielen vielen neuen Einträge schau*
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Moin & Danke!
Meine Killer hier explorer_new.exe
Problem: Trotz Entfernung der .exe kam er beim ersten Hochfahren sofort wieder….:-((
Problem gelöst!
Es hatte sich noch etliches im Autostart und in C:\ProgrammData eingeschlichen
Danke für die Hilfe hier!!!!!!!!!
Ich bin bis zu dem Punkt wo ich jashla.exe suchen muss. Nur ich finde es irgendwie nicht. Bin anscheinend zu doof dafuer ^^ Bitte HILLLLFEEEE!!!
Erstmal danke fuer die Hilfe.Hat soweit alles gut geklappt. Nur Ich habe nun noch eine Frage, ein Kollege von mir hat mir gesagt das auch wenn erstmal alles gut ist, der torjaner trotzdem noch auf meinem laptop sein wird und auch anvira diesen nicht sehen wird. Stimmt das? Habe Panik mit meinem Laptop jetzt wieder ins Internet zu gehen, Was kann ich machen? Kann ich ganz normal wieder ins Internet gehen? Oder muss ich was beachten?
Liebe Grüße :)
@Anika
Vernünftige Antworten sind nur möglich, wenn du dein Betriebssystem angibst.
Prinzipiell kannst du folgendes tun:
Ohne Verbindung mit dem Internet einfach die Orte kontrollieren, an denen sich der Virus in der Regel einnistet. Zuerst aber über die Suchen-Funktion msconfig starten, hier dann unter Systemstart nachsehen, was sich da alles eingenistet hat. Bevor du aber irgendwelche Einträge deaktivierst, frag hier nach, weil sonst dein Notebook vielleicht nicht mehr einwandfrei funktioniert.
Peter
@ Anika
Stimmt, dein Kollege hat nciht ganz unrecht.
Avira ist das Programm was in meiner „Statistik“ die meisten Sachen erst „spät“ findet (zu spät) und auch dann sind es nicht immer harmlose Dinge und somit durchaus weitere Aktionen notwendig.
Daher wie weiter oben beschrieben, bitte folgendes Posting dringend beachten:
https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
@peter zeller
Mein Laptop funktioniert wieder problemlos.
Habe auch mehrere Avira durchgaenge durchlaufen lassen und andere Virenfinder und es wurde etwas gefunden,das habe ich dann entfernt und nun geht wieder alles.
Anika
Vielen Dank . Hast mir echt geholfen :)))
Hallo,
ich hab mir auch diesen Virus eingefangen. Habe das System meines Laptops auf Werkseinstellungen zurückgesetzt. Ist damit jetzt alles beseitigt oder könnte es sein, dass der Virus sich immer noch irgendwo auf
meinem Laptop rumtreibt?
@ Gina
Wenn es wirklich die Werkseinstellungen waren und KEINE Systemwiederherstellung, kann man in 99% der Fälle davon ausgehen das nun alles weg ist (inkl. Eigene Dateien).
Mit freundlichem Gruß,
Simon
Fachinformatiker für Systemintegration
Mail me
Vielen Dank für die schnelle Antwort!
Ja es waren wirklich Werkseinstellungen. Auf der C Festplatte waren alle Eigenen Dateien etc weg, aber können sich Teile des Virus auch auf der D Festplatte befinden? Die ist nämlich so geblieben wie sie war und das beunruhigt mich ein wenig.
@ Gina
Die Wahrscheinlichkeit ist sehr gering.
In sofern kann man zwar durchaus noch im „Abgesicherten Modus mit Netzwerktreibern“ einen Scan mit „MalwareBytes Anti-Malware“ (z.B. von CHIP.de) einen Scan machen lassen, dieser sollte aber in aller Regel nichts mehr finden.
Mit freundlichem Gruß,
Simon
Fachinformatiker für Systemintegration
Mail me
@ daniel weihman,
habe schon am 30.5. folgendes gepostet:
alles bis jetzt so gemacht wie beschreiben, nur ist in meinem Verzeichnins kein Winlogon zu finden!!
Kannst du mir helfen bzw. was soll ich tun??
Mit bestem Dank
Moin Dieter,
ich weiß über den BKA-Trojaner das, was hier auf redirect301.de veröffentlicht wurde. Simon hat eine umfangreiche FAQ zum Schädling veröffentlicht. Diese ist auf den Seiten hier mehrfach verlinkt und erwähnt – hier solltest du unbedingt nachsehen, ob „deine“ Trojaner-Variante / dein Problem beschrieben wurde.
@ Daniel Weihmann
Dein Link zur „FAQ“ (wenn man es so nennen mag), ist leider nicht korrekt gesetzt und daher „Seite nicht gefunden“ (nur als Hinweis^^).
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
@ Dieter
Schreib mir mal eine Mail mit der Fehlerbeschreibung.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Ich habs bis zu der Datei Shell geschafft, dort stand dann schon explore.exe drin, hab also versucht, die hilfestellung von simon zu probieren. die zweite mit dem stick hat schonmal nicht funktioniert. Hab auch ein Programm ,dass anscheinend solche Trojaner erkennt drüberlaufen lassen, nichts passiert. hab ein Virenprogramm drüber laufen lassen, nichts passiert. Und ich finde auch kein jashla.exe oder mahmud.exe…. Ich verzweifel :( Bei mir zeigt sich ejdoch auch nicht das angezeigte Bild oben an, sondern die Anzeige von den abzockern die mir meinen ganzen PC blockt sieht vollkommen anders aus, is jedoch auch anscheinend von der Bundespolizei und verlangt geld. Ich weiß nicht weiter :( PS: es ist nich mein laptop, sondern der meines Freundes, sollte den Trojaner schnellstens los werden, bevor er heim kommt ;(
@ Ellen
Zwei Chancen:
1. (nicht ernst gemeint *schmunzel*) Kündige die Freundschaft oder schmeiß den Laptop auf den Boden.^^
2. Wende dich mit der Problembeschreibung per Mail an mich.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Hallo, finde leider bisher niemanden der genau das gleiche Problem hat. Ich hab mir gestern den Virus eingefangen. Habe windows 7. Ich starte mit sporalisch F8 drücken, gelange in abgesicherte Modus und klicke Abgesicherter Modus mit Eingabeaufforderung und gelange in Windows-Dateien laden und dabei bricht mein Display ab und zeigt nur noch schwarzes Display und reagiert auf keinerlei Tasten. Somit kann ich nichts eingeben um mein Problem zu lösen. Es wäre super , wenn mir einer weiterhelfen könnte!!!!
@ steffi
Melde Dich mal mit der Problembeschreibung per Mail.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
hallo ich mir auch einen BKA trojaner eingefangen und die schritte gemacht.
das hat aber nicht fuktionirte der ist immer da.was kann ich nun tun.
Hat jemand ein idee.
Gruss Stefan
@ Stefan
Welche Schritte und wie – wurden genau gemacht?
Wo wurde evtl. noch geschaut?
Bitte auch mal meine Punklte P14 und P14.1 meiner Seite begutachten.
Mit freundlichem Gruß,
Simon
(Fachinformatiker für Systemintegration)
Mail me
Hatte heute auch den BKA-Trojaner. Ich habe den Rechnner im
abgesicherten Modus gestartet. Im Ordner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten lagen 3 Dateien mit Buchstabenwirrwarr als Namen welche man löschen muss. 2 davon waren Word-Dateien mit .exe Endung, alle mit Erstellungsdatum von heute. Eine davon hatte sich in die Autostartliste geschmuggelt (habe ich nur mit GlaryUtilities gefunden, nicht in Windows).
Hallo, nachdem ich meine bereits vorhandene explorer.exe Datei in shell durch eine gedownloadete von einem Stick ersetzt habe, kommt nun zwar nicht mehr die Anzeigetafel des Viruses aber ich kann auch auf nicht zugreifen. Bedeutet: wenn ich den Benutzer öffne sehe ich nur das Hintergrundbild. Und wenn ich nun in dieses schwarze Eingabefeld, was kommt wenn man halt den abgesicherten Modus wähle, Explorer.exe eingebe, dann kommt nur „Programm zu groß für den Arbeitsspeicher“. Was habe ich falsch gemacht oder wie sieht der nächste Schritt aus??
Hi, hatte ihn mir auch wieder eingefangen, aber PC rückgesetzt. Mit Avira System prüfen lassen und nix gefunden, nur, dass „der Pfad Q nicht geöffnet werden kann“, Zugriff verweigert, verbirgt sich die Sau vielleicht dahinter?
LG Denny