Beitrag wurde zuletzt am aktualisiert

Bundespolizei Trojaner entfernen

Bundespolizei Virus / Trojaner entfernen

„Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!“ – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als „Es ist die ungesetzliche Tätigkeit enthüllt“ zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.

Ich will hier gar nicht viel herum labern, denn wer nach einer Problemlösung sucht, will nicht viel lesen, sondern eine Schritt-für-Schritt-Anleitung. Hier ist sie, auch zum Download als PDF!

Schritt für Schritt Anleitung


Neue Varianten vom BKA-Virus (Bundestrojaner) im Umlauf! Alle Informationen + Videos zum Entfernen der Schadsoftware im GVU-Trojaner 2013 Beitrag, falls diese Tipps nicht zum Ziel – der vollständigen Wiederherstellung des Rechners – führen sollten

Die ersten Schritte bei Problemen dieser Art

Und auch wenn es verschiedene Varianten des sogenannten Bundespolizei Trojaners gibt, gelten diese Empfehlungen derzeit sicher für alle Erpressungsversuche in der Cyberkriminalität!

  1. Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern „nur“ eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
  2. Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
  3. Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
  4. Der Rechner muss nicht platt gemacht werden und es gehen auch keine Daten verloren.
  5. Internetverbindung trennen (Netzwerkkabel heraus ziehen, WLAN-/ DSL-Verbindung trennen o.ä.)
  6. Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.

Anleitung zum Löschen des Bundespolizei Virus

Bundespolizei Virus - Bildschirm eines infizierten Windows PCs

Bundespolizei Virus – Bildschirm eines infizierten Windows PCs

  1. Rechner einschalten und immer wieder im Sekundentakt (noch vor dem Windows-Logo) die Taste [F8] drücken bis eine Auswahlliste verschiedener Startvarianten erscheint.
  2. Mit den Pfeiltasten die Option „Abgesicherter Modus Eingabeaufforderung“ wählen und mit [Enter] bestätigen. Achtung: Neuere Varianten des Trojaners verhindern möglicherweise den abgesicherten Modus. In diesem Fall helfen sicherlich dieses Hinweise weiter.
Windows im abgesicherten Modus starten

Windows im abgesicherten Modus starten

  1. Windows startet nun in einer Art Minimal-Konfiguration.
  2. Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich möglicherweise nur die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
  3. Den Befehl regedit eingeben und [Enter] drücken
  4. Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
  5. Hier muss man sich durch das Verzeichnis klicken. Ziel der „Reise“ ist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
  6. Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der „Wert“ dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe). Aber vorher den dort angezeigten Pfad notieren, damit man anschließend die Datei auch wirklich löschen kann.
  7. Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und durch Explorer.exe ersetzen. Achtung: Nicht den Registry-Eintrag Shell löschen, der wird gebraucht!
  8. [OK] klicken und das Registry-Fenster schließen [x].

Solltet ihr bei der Entfernung an einen oder anderen Stelle der hier genannten Punkten nicht weiter kommen oder die Variante des BKA-Trojaners sich (wieder einmal) geändert haben, dann schaut zuerst auf der Hilfeseite von Simon nach, ob es hier bereits einen entsprechenden Eintrag gibt. Eine weitere informative Anlaufstelle rund um das Thema Compuerviren ist Webseite unter bleib-Virenfrei.de.

Windows-Registry - Pfad zur jashla.exe

Windows-Registry – Pfad zur jashla.exe

Der Start des Bundestrojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.

Wenn das DOS-Eingabefenster noch geöffnet ist, dann Explorer.exe eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Die Datei hatte in meinem Fall noch ein paar Zeichen mehr im Dateinamen: jashla.exe.1234567.pd (oder so ähnlich).

Den Rechner jetzt ganz normal neu starten

Hat alles geklappt? Sehr schön, dann ist der Spuk (erst mal) vorbei! Falls nicht, dann bitte nochmals prüfen, ob die Anleitung zum Entfernen des Bundespolizei Trojaners genau beachtet wurde. Ansonsten hier die Kommentarfunktion nutzen, vielleicht kann ich oder ein anderer Leser weiter helfen.
Simon hat oft gestellte Fragen aus den Kommentaren zusammengefasst und eine Hilfestellung zur Entfernung des vermeintlichen BKA/ GEMA-Schädlings ins Netz gestellt. Wenn es bei euch also Probleme bei der Trojaner-Beseitigung geben sollte, dann ist diese Seite sicherlich der beste Anlaufpunkt.

Rechner auf Schadsoftware prüfen

Mit einem Antivirus-Programm sofort die Festplatte(n) prüfen. Zum Beispiel mit dem aktuellen Avira
Free Antivirus, das hier gratis herunter geladen werden kann.

Empfehlen kann ich an dieser Stelle sich eine professionelle Sicherheitssoftware zuzulegen. Die abgespeckten kostenlosen Softwarelösungen sind oft besser als gar nichts, jedoch fehlt es hier oft an zusätzlichen Schutzmechanismen.
Das Geld sollten jedem die eigenen Daten wert sein. Ein anderer Virus hätte vielleicht alle Fotos von der Festplatte gelöscht, Zugangsdaten an Dritte versandt, einen Keylocker heimlich installiert oder private Daten aus „Scherz“ im Internet veröffentlicht.


Was heißt, der Spuk ist „erst mal“ vorbei?

Nun ja. Der Trojaner kam nicht ganz von allein auf die Festplatte. Möglicherweise eine E-Mail mit einer vermeintlichen PDF, die versucht wurde zu öffnen? Oder eine andere Datei – eine Powerpoint vielleicht … Nach einem Neustart des Rechners ging dann nichts mehr.

Die bekannten „Floskeln“: Keine Anhänge von unbekannten Absendern öffnen. Software (Betriebssystem, Anwendungen, Anti-Viren-Programm usw.) aktuell halten. Die Updates haben einen Sinn!

Sich davon lösen, dass Sicherheits-Software kostenlos ist. Am besten jetzt sofort 30, 50 oder 100 € investieren und den Rechner schützen. Was hätte die Entfernung dieses Trojaners gekostet, wenn man von einem IT-Dienstleister das Problem hätte beheben lassen? Welche Folgekosten kommen auf einen zu, wenn solch eine Schadsoftware noch ganz andere Probleme verursacht. Einfach mal der eigenen kriminellen Phantasie freien Lauf lassen …

Ich konnte euch mit den Informationen rund um das Thema Bundespolizei Trojaner entfernen weiter helfen? Dann bewerte diesen Beitrag ganz kurz und/oder hinterlasse einen Kommentar.

Bewertung für Bundespolizei Trojaner entfernen:
Sehr schlecht, mir fehlen die WorteHat gar nicht geholfenHat bedingt geholfenSehr gut, hat soweit funktioniertSuper, hat alles geklappt
 4,79 von 5 1 bei bislang 34 abgegebenen Stimmen.

89 Kommentare zu "Bundespolizei Trojaner entfernen"

  1. Peter | 22. Juni 2012 um 09:15 | Antworten

    Hallo,
    also ich habe auch diesen Trojaner eingefangen, definitiv nicht über eine mail, sondern vermutlich aus einem pdf im netz geladen.
    Mein Rechner war mit der freien, aber voll geupdateten AVIRA Software geschützt, die offensichtlich sich nicht die Bohne an dem Trojaner störte. Habe bei AVIRA eine Anleitung gefunden und den Rechner im abgesicherten Modus komplett mit der Software nach Anleitung gescannt, Ergebnis: AVIRA findet immer noch nichts, Trojaner blockiert munter weiter. Vorbehaltlich der Frage, ob ich den Rechner mit dieser Anleitung hier frei bekomme, wäre ich auch bereit eine Virensoftware zu kaufen, aber ich wüsste nun wirklich mal gerne, welche wirklich schützt??? Das Dumme ist ja, das man das nie wirklich wissen kann, bestenfalls, wenn eine Software wirklich krass versagt, wie in diesem Fall. Ach ja und bringt es wirklich etwas, ein Foto zu machen und eine Anzeige zu machen, ausser, dass man noch mehr Zeit da rein investiert und auch noch die Polizei unnötig beschäftigt? Denn die werden wohl kaum tatsächlich etwas rauskriegen können, oder? Und selbst wenn, Schadensersatz werden die wohl kaum zahlen können. Oder?
    Gruss Peter

    • Simon | 22. Juni 2012 um 09:38 | Antworten

      @ Peter

      Um das mal vorweg zu nehmen…AVIRA egal ob in Freee oder Pro-Version hat bislang in 98% der Fälle hier und bei Kunden von mir schlichtweg – versagt.

      Auch im Nachgang fand Avira meist nicht die notwendigen Objekte, bzw. nur zu Teilen. Die Rate dabei würde ich auf ca. 20% Erkennung schätzen.

      Diese Erfahrungen beziehen sich jetzt nur auf diese BKA/GEMA/GVU/Bundespolizei-Ransomware/Troajner und deren Verschlüsselungsvarianten.

      Wegen dem bestehenden Problem, melde Dich/melden Sie sich mal bei mir mit der Fehlerbeschreibung per Mail.

      Zu dem Teil mit der Anzeige gibt es natürlich beide Meinungen – Ja wie Nein.
      Anwälte sagen – soetwas immer melden.
      Die Erfahrung zeigt – Melden bringt seltenst in diesen Fällen was. Allerdings ohne Meldung kein gewusster Handlungsbedarf.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  2. Daniel Weihmann | 22. Juni 2012 um 15:12 | Antworten

    @Peter

    Sicher hilft eine Anzeige einem persönlich nicht wirklich weiter. Und mehr als reihenweise Pressemeldungen verschiedenster Polizeidirektionen, die vor dieser Bedrohung warnen, fielen mir bisher auch nicht auf.

    Warum allein aufgrund der Masse an Anzeigen bei den Polizeibehörden noch immer keinerlei Ermittlungserfolge zu verzeichnen sind, weiß ich natürlich auch nicht.

    Ich selbst bleibe AviraPro noch immer treu; meine beiden Windows-Rechner blieben bisher vor dem Trojaner verschont …

    Zu AviraFree: Ist eben „nur“ eine Antiviren-Software und das BKA-Dingens kein Virus!

    Bei Simon bist du aber mit großer Sicherheit in guten Händen.

  3. tobi | 22. Juni 2012 um 16:22 | Antworten

    Hallo, nachdem ich meine bereits vorhandene explorer.exe Datei in shell durch eine gedownloadete von einem Stick ersetzt habe, kommt nun zwar nicht mehr die Anzeigetafel des Viruses aber ich kann auch auf nicht zugreifen. Bedeutet: wenn ich den Benutzer öffne sehe ich nur das Hintergrundbild. Und wenn ich nun in dieses schwarze Eingabefeld, was kommt wenn man halt den abgesicherten Modus wähle, Explorer.exe eingebe, dann kommt nur “Programm zu groß für den Arbeitsspeicher”. Was habe ich falsch gemacht oder wie sieht der nächste Schritt aus??

  4. Denny | 22. Juni 2012 um 17:25 | Antworten

    @ Daniel Wehrmann

    Warum keine Ermittlungserfolge zu verzeichnen sind, kann ich Dir erklären: Die Verursacher sitzen – wie sooft – im entferntesten Ausland und selbst die Computerspezialisten der Behörden (u. a. Polizei) müssen (noch) größtenteils vor der technischen Raffinesse der Gauner kapitulieren.

    Gruß Denny

  5. Denny | 22. Juni 2012 um 17:29 | Antworten

    Hi, hatte ihn mir auch wieder eingefangen, aber PC rückgesetzt. Mit Avira System prüfen lassen und nix gefunden, nur, dass “der Pfad Q nicht geöffnet werden kann”, Zugriff verweigert, verbirgt sich die Sau vielleicht dahinter?

    LG Denny

    • Simon | 9. Juli 2012 um 23:49 | Antworten

      @ Denny

      Sofern das Problem noch besteht – melde Dich/melden Sie sich mal per Mail mit der Problembeschreibung.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  6. jowi | 23. Juni 2012 um 12:06 | Antworten

    Hab’s gemacht wie beschrieben
    Abgesichertzer Modus mit Eingabeaufforderung mit Enter bestätigt, nochmals Abgesicherter Modus mit Eingabeaufforderung markiert und mit Enter bestätigt. Rechner baut auf und es kommt die Meldung Bundespolizei wie gehabt. Eine Eingabemöglichkeit regedit ist nicht gegeben. Zugang zur mailadresse nicht gegeben.

    • Daniel Weihmann | 23. Juni 2012 um 13:32 | Antworten

      @jowi – schau dir mal diesen Beitrag an, vielleicht helfen dir diese Informationen bei der Trojanerentfernung weiter.

      https://www.redirect301.de/bka-virus-verhindert-abgesicherten-modus.html

    • Simon | 23. Juni 2012 um 13:59 | Antworten

      @ jowi

      Meld Dich mal mit der FEhlerbeschreibung – wenn der obige Vorschlag nicht funktionieren sollte – bei mir per Mail.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  7. steffi | 23. Juni 2012 um 18:18 | Antworten

    Hallo ich hab mir auch den virus eingefangen und genau so wie oben beschrieben gemacht aber wenn wenn ich bei shell daraufklicke wo dann jashla.exe da steht bei mir schon explorer.exe drin oder steht das mit dem jashla.exe irgend wo anderst hab ich nirgens gelesen oder gesehen

    hoff ihr könnt mir einen tipp geben

    • Simon | 24. Juni 2012 um 17:52 | Antworten

      @ steffi

      Meld Dich mal mit der Fehlerbeschreibung – wenn der obige Vorschlag nicht funktionieren sollte – bei mir per Mail.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  8. kati | 24. Juni 2012 um 17:29 | Antworten

    Hallo, ich hab auch so eine meldung bekommen mit der bundespolizei. Aber woher weis ich das es ein trojaner ist? Oder kommen grundsaetzlich keine solche meldungen von der bundespolizei?

    • Simon | 24. Juni 2012 um 17:51 | Antworten

      @ kati

      Sei mir nciht böse und ich will weder Dir ncoh anderen zu nahe treten, aber…

      Mal ehrlich…das BKA steht entweder an der Haustür oder kommt durchs Fenster, aber will garantiert niemals per UKash/Paysafe eine solch schwere Straftat wie Kinderpornografie mit der Zahlung von 100 €uros „beglichen“ haben!

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  9. Alex | 26. Juni 2012 um 20:14 | Antworten

    Hallo ich habe heute meinen Laptop angemacht und erhielt eine Nachricht der Bundespolizei, ich solle 100 Euro bezahlen um meinen Laptop wieder freizuschalten….nach mehrmaligem an und ausmachen ging das „sch…“ ding einfach net weg…..jetzt war der laptop eine weile aus, nun mach ich ihn an und es funktioniert alles wie immer….hab ich den trojaner jetzt immernoch auf meinem Laptop? wie erkenne ich ob er noch da ist?

    • Simon | 26. Juni 2012 um 22:24 | Antworten

      @ Alex

      Der Schädling/Vertöter befindet sich zu 99% noch auf dem System. Entsprechend sind mehrere Schritte notwendig. Die „ersten“ denke ich sollten die folgenden sein:
      – Prüfung der Punkte P14 und P14.1 meiner Seite.
      – Bitte folgendes Posting beachten: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080

      Sollten noch Fragen/Probleme bestehen, so kann man mich auch direkt per Mail anschreiben.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  10. Klaus | 29. Juni 2012 um 18:01 | Antworten

    Hallo Simon
    Ich habe auch diesen Trojaner eingefangen.Nach Deiner Anleitung habe ich aus dem abgesicherten Modus gestartet.Das Registrierungsfenster hat sich auch geöffnet.
    Trotz intensiver Suche konnte ich die Einträge
    Winlogon und Shell nicht finden.Mein Rechner arbeitet mit XP.Ich habe dann Notaus geschaltet.
    Beim erneuten Hochfahren hat der Rechner das normale Deskop Windows Fenster angezeigt.Das Bundespolizei Fenster war nicht mehr da,als wenn nichts gewesen wäre.
    Wo finde ich jetzt die Windows Registry um die weitere Bearbeitung vorzunehmen oder brauch ich nichts mehr machen? Danke für die Hilfe
    Klaus

    • Simon | 30. Juni 2012 um 11:33 | Antworten

      @Klaus

      Wenn der Rechner in einem der ersten beiden „Abgesicherten Modus“-Artn gestartet werden konnte, dann würde man die Registry per
      1. Start -> Ausführen -> regedit -> [OK] Button öffnen können
      oder
      2. [WindowsTaste] + [R] -> regedit -> [OK] Button
      oder
      3. Im Windows-Explorer unter C:\Windows\system32\regedit.exe

      Ab dort muss man sih nur genau an dem oben beschrieben Pfad durchhangeln.

      Sollte es noch zu Fragen oder Problemen kommen, entweder hier posten oder eine Mail an mich.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  11. Klaus | 30. Juni 2012 um 09:23 | Antworten

    Hi
    Konnte im abgesicherten Modus ohne Internetverbindung starten.Habe aber im Registry Fenster die Einträge Logan und Shell nicht gefunden.Wo finde ich jetzt bei XP dieses Fenster? Will noch mal prüfen?

    Danke für die Hilfe

    • Peter Zeller | 30. Juni 2012 um 09:52 | Antworten

      Wenn du normal starten kannst, dann würde ich zu allererst über Ausführen > msconfig zu Systemstart gehen.

      Peter

  12. Peter | 30. Juni 2012 um 14:19 | Antworten

    Habe mir einen bka virus eingefangen, neue Aufmachung der Sperrseite.
    Habe alle Schritte probiert. Bin z.Z in Systemkonfiguration im abgesicherten Modus. Habe da bei Dienste folgenden Eintrag
    rbpdugirfgjradc Hersteller unbekannt C:ProgramDada\rbpdugjr.exe
    Ort HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVersion\RUN
    Was kann und soll ich weiter tun. habe window 7 professional system 32, bin Laie

    • Simon | 9. Juli 2012 um 23:51 | Antworten

      @ Peter

      Sollte das Problem noch bestehen – mal mit der Fehlerbeschreibung bei mir per Mail melden.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  13. Peter | 30. Juni 2012 um 14:21 | Antworten

    Habe mir einen bka virus eingefangen, neue Aufmachung der Sperrseite.
    Habe alle Schritte probiert. Bin z.Z in Systemkonfiguration im abgesicherten Modus. Habe da bei Dienste folgenden Eintrag
    rbpdugirfgjradc Hersteller unbekannt C:ProgramDada\rbpdugjr.exe
    Ort HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVersion\RUN
    Was kann und soll ich weiter tun. habe window 7 professional system 32, bin Laie

    • Simon | 30. Juni 2012 um 14:59 | Antworten

      @ Peter

      Lass mich raten…in Rot/Weiß gehalten, rechts ein Tastenfeld und links verschiedene Hinweise.

      Das was da gefunden wurde muss im Autostart gelöscht bzw. in msconfig minimum deaktivert werden. Dann diese Datei(en) umbenennen oder gleich ganz löschen.
      Dann noch mal schauen ob es in der anderen Verzeichnissen wie unter Punkt P14 beschrieben mal schauen ob es dort noch was gibt.

      Sollte es noch zu Fragen oder Problemen kommen, entweder hier posten oder eine Mail an mich.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  14. Sagittarius | 30. Juni 2012 um 23:12 | Antworten

    meine letzte nachricht wird iwie nicht angezeigt… fehler oder nomal?

  15. Sagittarius | 30. Juni 2012 um 23:19 | Antworten

    ok, anscheinend fehler :D
    also ich hab auch diesen bundespolizei trojaner, aber in fehlerfreiem deutsch, ich habs echt geglaubt….
    ich bin auf den info-mail link auf der seite gegangen, wobei sich erst nicht viel getan hat, aber zu meinem glück hat sich im hintergrund ne word seite geöffnet, denn als ich meinen pc ausmachen wollte, verschwand die seite, aber dank des üblichen word hinweises zu ungespeicherten änderugen konnte ich das herunterfahren abbrechen und sah das windows hinergrundbild. über den task manager öffnete ich das internet und wollte nach dieser seite handeln, allerdings: meine shell datei hat bereits den wert explorer.exe, und die windows suche findet weder mahmud noch jashla. simons hilfestellungen sind leider ein buch mit sieben siegeln für mich als laien. was tun??

  16. Patti | 1. Juli 2012 um 14:12 | Antworten

    hi, ich hab ihn mir gestern eingefangen als anhang einer pdf-datei. nix ging mehr. das sah alles mega echt aus. ich habe wirklich angst bekommen. ein freund hat 3 stunden lang versucht das teil zu entfernen, schließlich hat es geklappt, wir waren alle mit den nerven am ende. er hat den rechner zurückgesetzt auf ein datum vor 4 wochen damit hat es geklappt. ich frag ihn heute abend nochmal genau. war heute bei der polizei und habe anzeige erstattet, bei uns gibt es deswegen schon ein gesondertes betrugsdezernat die daran arbeiten und für jeden hinweis dankbar sind. mir wurde von G Data das komplettpaket empfohlen, die 40 € sind es mir wert, denn sowas braucht ja kein mensch. wo kommen wir denn hin, andere leute mit angst unter druck setzen und um ihr sauer verdintes geld bringen. wo kann ich das foto einstellen, ist wohl was ganz neues und anders als alle anderen bka trojaner. lg

    • Simon | 1. Juli 2012 um 14:30 | Antworten

      @ Patti

      Der Schädling/Nervtöter befindet sich zu 99% noch auf dem System. Entsprechend sind mehrere Schritte notwendig.
      Die “ersten” denke ich sollten die folgenden sein:
      – Prüfung der Punkte P14 und P14.1 meiner Seite.
      – Bitte folgendes Posting beachten: https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080

      G-Data ist übrigens auch hier im BLOG schon mehrfach „durchgefallen“.
      Und bei mir persönlich spätestens, als es die Mitteilung gab das der ECHTE Original Bundestrojaner von G-DATA aus der Erkennungsliste für einige Wochen entfernt worden war, damit jemand ohne Probleme überwacht werden konnte.

      Sollten noch Fragen/Probleme bestehen, so kann man mich auch direkt per Mail anschreiben.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  17. marie | 1. Juli 2012 um 18:59 | Antworten

    Hey..hat jemand einen downloadlink für explorer.exe für windows xp für mich? ich find nämlich nix..

    lg

  18. Klaus | 2. Juli 2012 um 17:55 | Antworten

    Hi Simon
    Habe jetzt den Shell REG_SZ Explorer .exe
    gefunden.Den Pfad zu jashla.exe oder muhmad
    wird nicht angezeigt.Oben Steht`Wert nicht gesetzt.Auch die Windows Suche war erfolglos.
    Wie komm ich jetzt weiter? Und ist meine Explorer exe jetzt infiziert ?
    Und wenn ja,kann ich mir von der Windows Seite eine neue Version runterladen mit einem Laptop mit Version WIN 7 auf einen Stick und bei mir installieren ( XP)
    Danke im Vorraus Klaus

  19. joschile | 6. Juli 2012 um 11:05 | Antworten

    Ich bin Ihn losgeworden! Ich habe mit meinem zweiten Rechner bei Kaspersky eine Notfall Rescu Disc erstellt.
    Mit dieser dann den betroffenen Rechner gestartet, und die Malware entfernt. Dies hat je nach Festplattengröße ca. 3 Stunden gedauert.
    Jetzt ist es wie immer, als wäre nie etwas gewesen.

  20. joschile | 6. Juli 2012 um 11:11 | Antworten

    Ein Image von meinen Daten werde ich allerdings schnellstmöglich noch nach holen. Ich kann mir gut vorstellen das es beim nächsten mal nicht so einfach wird. Gruß Jörg

  21. patrick | 6. Juli 2012 um 21:42 | Antworten

    hab mir die sau auch eingefangen… am anfang ging nichts…immer wieder diese polizei meldung…dann mit avast gefunden und gelöscht(hoffe ich)
    jetzt hab ich aber das problem das ich nicht mehr ins internet komme…ich habe nichts verstellt alle kabel überprüft…klappt nichts…habe ich vil. was wichtiges dabei gelöscht?
    was jemand woran es liegen könnte?

    • Simon | 9. Juli 2012 um 23:54 | Antworten

      @ patrick

      Wird die Netzwerkkarte noch erkannt? Respektive der WLan-Adapter?
      Steckt das Kabel richtig? Ist WLan aktviert?
      Sind spezielle IP & DNS-Einträge eventuell eingestellt (worden)?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  22. Buddy189 | 6. Juli 2012 um 21:46 | Antworten

    Hallo ich weis nicht wie ich an den pfad dieser jashla.exe rankomme. Hilfreich waere auch zu sagen was die jashla.exe ueberhaupt ist, das ist das was ich an der beshreibung nicht verstehe.

    • hannes | 7. Juli 2012 um 15:52 | Antworten

      buddy189 probrier es mit http://www.chip.de/downloads/Microsoft-Security-Essentials_37024589.html

    • Simon | 10. Juli 2012 um 00:06 | Antworten

      @

      Die jaschla und vasja, etc. *.exe-Dateien waren in den ersten 3-4 Varianten die eigentlichen Schadobjekte und waren damals in den Systemen zu finden.
      Dies ist seit nun rund 0,5Jahren mir shchon nicht mehr begegnet.
      Seltenst ist es auch die explorer.exe welche befallen ist.
      In aller Regel gibt es eine oder mehrere andere Objekte an diversen Stellen im System.

      Siehe dazu meine Auflistungen unter Punkt P14 und P14.1.
      Leider habe ich in den letzten 3 Tage nur noch die böse Nachricht verbreiten dürfen/müssen, daseine Neuinstallation anahnd der Befunde unbedingt empfohlen werden musste!

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  23. Bernd | 8. Juli 2012 um 12:27 | Antworten

    hallo zusammen… hatte auch diesen scheissvirus, und ehrlich gesagt, muss man diesen „hersteller“ vierteilen, oder noch schlimmer ;-))
    der pc ließ sich immer booten, jedoch sobald internet-verbindung, „bundespolizei-seite“.. habe dann mit nem anderen lappie „microsoft security essentials“ (chip.de.. weiterleitung zu MS) auf nen stick geladen, auf den anderen lappie ohne !! bestehende wlan verbindung gezogen. dann meckert das programm zwar, weil nicht aktualisiert. aktualisierungs-button gedrückt.. dann meckert der natürlich wegen fehlender verbindung.. wlan eingeschaltet… dann sah ich kurz „aktualisierung“ und peng !! erstmal bundespolizei-seite… habe dann 10 min gewartet und gehofft, das die aktualisierung im hintergrund weiterläuft… lappie ausgeschaltet.. wieder ein und siehe da… meldung „glomo_og.exe“ nicht gefunden.. thats it.. habe diese arschlöcher gekillt !!

    ich hoffe sehr, das dieser kleine tipp hier viele anderen user hilft. ich habe keinerlei verständnis für sowas !!

    lg bernd

  24. lilaa | 8. Juli 2012 um 21:49 | Antworten

    hallo..
    vielen dank fuer diesen beitrag.. jedoch habe ich ein problem: ich habe einen klick auf shell gemacht, die adresse geloescht und explorer.exe getippt.. jedoch habe ich vergessen den namen (es waren zahlen und buchstaben) zu notierwn um.spaeter dnach zu suchen und die restlichen viren zu loeschen.. ich habe immer noch kein zugriff :-( und bei shell.steht jetzt explorer.exe… bin ratlos und am ende meiner nerven :-(( i. bitte um schnellsmoegliche hilfe. .. vielen dank sxhonmal

    lg lila

    • Simon | 9. Juli 2012 um 23:56 | Antworten

      @ lilaa

      Bitte mal meine Punkte P14 und P14.1 beachten. Dort wird man in der Regel fündig „Was Wie Wo“.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  25. Achim | 8. Juli 2012 um 22:08 | Antworten

    Avira ist das Letzte, habe mir auch vor 2-3 Tagen 1(+x) Trojaner eingefangen, Atraps genannt, Avira sprang zwar an und meldete den Fund (der Trojaner kam über Java beim surfen auf einer Seite), dieser wütete aber sofort los und fing an weitere viren und trojaner zu downloaden, troz aktueller updates. avira konnte die ausführung des trojaners nicht stoppen!!!!

    absolut mangelhaft und meiner meinung nach ist das absicht von den herstellern, man soll die vollversion kaufen…

    • Simon | 9. Juli 2012 um 23:59 | Antworten

      @ Achim
      @ Bernd
      @ ALL

      Wie schon mal geschrieben…

      Um das mal vorweg zu nehmen…AVIRA egal ob in Free oder Pro-Version hat bislang in 98% der Fälle hier und bei Kunden von mir schlichtweg – versagt.

      Auch im Nachgang fand Avira meist nicht die notwendigen Objekte, bzw. nur zu Teilen. Die Rate dabei würde ich auf ca. 20% Erkennung schätzen.

      Diese Erfahrungen beziehen sich jetzt nur auf diese BKA/GEMA/GVU/Bundespolizei-Ransomware/Troajner und deren Verschlüsselungsvarianten.

      Avira mag bei Viren gut sein, für Ransomware/Malware/Rootkits ist dieser Schutz meines persönlichen Erachtens nach NICHT geeignet!^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  26. Bernd | 9. Juli 2012 um 09:18 | Antworten

    hallo ihr 2,
    yep hatte auch diese kostenlose avira-version…echt schrott nix gefunden… @ hannes…vielen dank für MS S essential-link…der hat meinen lappie gerettet und noch 3 ! andere trojis gefunden, während avira schön schläft…
    @ lila… ich bin nicht der pc-experte wie simon und die anderen hier… aber in meiner shell, nach anleitung hier, auch dafür danke, stand vornherein explorer.exe… soweit oki… versuchts doch mal mit dem tool… verspricht sogar echtzeitschutz… bin mal gespannt…muss nochmal checken, ob ich avira deakten soll, vllt auch mal kasperky freeware ?? ick schau mal…
    greetz bernd

  27. Christine | 9. Juli 2012 um 10:48 | Antworten

    Ich habe mir gestern auch diesen Virus eingefangen.
    Abgesichertert Modus mit Eingabemodus konnte ich starten, jedoch zeigte er bei Shell schon explorer.exe an. (Bis Punkt 7.)
    Allerdings war via explorer.exe dann keine Datei mit „jashla“ zu finden.Ich weiß auch nicht, wie man zu „jashla“ navigieren soll, das habe ich nicht verstanden. Ich bin leider absoluter Laie.
    Und leider verstehe ich bei Simons Seite nur Bahnhof.
    Meine „Version“ des Viruses ist „wpbt0.dll“ (Könnte aber auch „wpbt1.dll“ gewesen sein. Nicht mehr ganz sicher). Komme ich um eine Systemneuistallation nicht drum rum? Ich würde mir die gerne ersparen (Oder kann ich meine ganzen Lesezeichen von Mozilla irgendwie speichern?)
    Mein Problem ist ausserdem, ich habe nur am Samstag und am Sonntag Internetzugang.
    Als Virenprogramm habe ich Microsoft Secrurity Essential auf dem Laptop.
    Was kann/soll ich jetzt machen? (Hilfe. Ich verzweifel noch.)

    • Simon | 9. Juli 2012 um 23:47 | Antworten

      @ Christine

      Die wpbt-Dateien die Du beschreibst/die Sie beschreiben sind von Microsoft und anderen Seiten als Virus eingestuft (siehe Punkt P14.1 meiner Seite).
      Eine Neuinstallation wird zumindest empfohlen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  28. Klaus | 9. Juli 2012 um 13:22 | Antworten

    Klaus( letzter Eintrag vom 2.7.)
    Habe die jashla exe auch nicht gefunden.Danach mit dem Tip von joshile,danke dafür,eine Kaspersky Rescue Disk von einem anderen Laptop erstellt und meinen PC mit dieser CD im Boot Modus gestartet.War kompliziert,Man braucht die Anleitung von der www.Kaspersky Windowsunlocker Seite.Habe im Suchprogramm alle Laufwerke aktiviert mit Häkchen zum Viren /Trojaner scannen.Hat bei mir 4 Stunden gedauert.Hat im Ordner Win 32 den Trojaner Krap.ju gefunden und gelöscht plus 2 Viren. Ich hoffe der war es.Man weiß es ja nicht ,oder hatte diesen Krap.ju auch schon mal jemand?

    • Simon | 9. Juli 2012 um 23:44 | Antworten

      @ Klaus

      Krap.Ju sagt mir NOCH nichts. Aber ich glaube nicht das Kaspersky Unlocker schon alles gefunden haben wird.

      Wie immer, erst mal der Verweis auf meine Seite und dort speziell die Punkte P14 und P14.1.

      Weiterhin auf folgendes Posting:
      https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  29. Stefanie | 9. Juli 2012 um 23:05 | Antworten

    Hallo Simon,
    auch ich habe mir diesen Virus eingefangen (nur das in dieser besagten Meldung mit Zahlungsaufforderung ebenso ein Feld war, worin man mich gefilmt hatte- meine Cam war eingeschalten und ich konnte nichts tun!). Bin durch die Google-Suche auf diverse Vorgehensweisen gestossen. Habe alles versucht…Leider vergebens. Nachdem mein Windows wieder normal gestartet ist, hab ich gleich das Antivirus Programm von G-Data drüber laufen lassen. Der Virus wurde gefunden und gelöscht. Komisch ist nur, dass mein Windows nun immer mit der Bildergalerie (2x) als Startfenster startet und eine Fehlermeldung erscheint. Nach dem Wegklicken funktioniert wieder alles. Was muss ich hier noch tun? VG Stefanie

    • Simon | 9. Juli 2012 um 23:39 | Antworten

      @ Stefanie

      Höchstwahrscheinlich sind ncoh ein paar Autostarteinträge in der REgistry verrdreht. Diese kann/konnte G-Data nciht sehen/finden geschweige denn beheben.
      Weiterhin steht auch „in den Sternen“ ob G-Data da genauso (un)zuverlässig agiert wie Avira (egal ob Free oder Professional-Version!).

      Daher schreibe mir bitte eine Mail mit dem Problem.
      Entweder lösen wir es dann auf dem einen Weg oder einfacher mit einer Fernwartung.

      @ ALL

      Sorry das ich hier in letzter Zeit so wenig tipper, aber meine Arbeitszeit + die täglichen Hilferufe per Mail, nehmen mir aktuell die Zeit hier großflächig zu antworten.
      Wenn jemand ein Anliegen hat das hier noch nicht beredet wurde, dann hier posten und am besten dann noch eine Mail an mich senden.
      Darauf ist es mir möglich schneller zu reeagieren (im Regelfall).

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  30. Andreas696 | 10. Juli 2012 um 19:12 | Antworten

    Hallo,
    leider hilft mir die Anleitung nicht; es scheitert daran, dass unter dem Verzeichnis „winlogon“ nichts mit dem Namen shell steht….??
    Was tun??

    • Simon | 10. Juli 2012 um 19:33 | Antworten

      @ Andreas696

      Bitte nochmal genau das Verzeichnis/die Struktur prüfen.
      In aller Regel hat man sich bloß „verlaufen“.
      Geben „muss“ es diesen Schlüssel in der Registry immer.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  31. Andreas696 | 10. Juli 2012 um 20:02 | Antworten

    Wow, da ist jemand…
    wenn ich mich unter meinem usernamen anmelde, habe ich den virus, unter anderem usernamen glücklicherweise nicht, deshalb kann ich noch mailen…
    Also: habe das geprüft, bin exakt dem Pfad gefolgt (win7), HKEY_CURRENT_USER\….unter winlogon\ gibts die folgenden Einträge:
    Name:
    standard
    buildunder
    exclude profile dirs
    first logon
    parse autoexec

    das wars, keine Spur von „shell“…

    Und nun?
    (komisch, es scheint immer nur auf meinem Rechner alles andres zu sein ;-)

    Gruß& Dank vorab Andreas

    • Simon | 10. Juli 2012 um 20:22 | Antworten

      @ Andreas696

      Sag ich ja – verrannt. :-)
      Der Pfad lautet:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)
      Mail me

  32. Andreas696 | 10. Juli 2012 um 20:50 | Antworten

    Gut, hab die „shell“ dort gefunden….
    da steht (leider) [wert]=explorer.exe
    Heißt das, diese .exe Datei ist „befallen“?
    Wo bekomme ich eine neue, „saubere“, her?
    Mühsam nährt sich das Eichhörnchen…

    • Simon | 10. Juli 2012 um 21:04 | Antworten

      @ Andreas696

      Die saubere explorer.exe befindet sich entweder auf der Installations-CD/DVD…oder schreibe mir mal eine Mail. Dort kann ich weitere Möglichkeiten erläutern.

      Alternativ könnte man auch erst mal nach Dateien wie unter Punkt P14 & P14.1 meiner Seite beschrieben – suchen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  33. Andreas696 | 10. Juli 2012 um 21:28 | Antworten

    Sorry, Simon, ich hab zu wenig Ahnung… ich komm garnicht an Deine mail-Adresse… das mit dem Autostart wird mir zu heiß..(was muß ich da in Gang setzen?). .. ich werd wohl oder übel den Rechner zu einem „Spezialisten“ geben….
    Trotzdem danke.
    mit Frust Andreas

    • Simon | 10. Juli 2012 um 21:38 | Antworten

      @ Andreas696

      Also da muss ich schon schmunzeln.
      Denn jeder Klick bzw. jedes Überfahren des Links sollte die Mailadresse anzeigen.

      Aber nun, dann halt so:
      bka-virus @ kunden.pp4it.de
      (natürlich ohne die Leerzeichen^^)

      Weiterhin kan ich auch ein Treffen anbieten, dazu aber siehe den Link.

      Zu heiß kann der Autostart weiterhin nicht werden. Etwas „falsches“ Abschalten kann man eigentlich so gut wie nicht.
      Aber wie gesagt – einfach melden und zu8mindest der erste Schritt zum FACHgeschäft/IT-Dienstleister ist erst mal gespart.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  34. Andreas696 | 10. Juli 2012 um 21:43 | Antworten

    …tja, Du hast eben nicht meinen Rechner…wenn ich den link anklicke, kommt: „dieser link muss mit einer Anwendung geöffnet werden…“ welche ? usw usw… immerhin schreibst Du ja auch „sollte“…. also Konjunktiv…
    Frankfurt ist ziemlich weit weg… ich werd bei der IT meiner Firma morgen mal anklopfen, was da ggf auf mich zukommt…. allerdings hab ich nicht viel Vertrauen in die (Erfahrungswert).
    Ich meld mich dann ggf. mal über die o.g. email-Adresse.
    Gute Nacht!

    • Simon | 10. Juli 2012 um 21:53 | Antworten

      @ Andreas696

      Nun, das ist deine Sache.
      Ich kann nur meine Hilfe anbieten bzw. Tipps versuchen zu geben.
      Selbstverständlich steht es Dir und jedem/jeder anderen frei auch eigens Hilfe zu suchen.^^

      Von daher – viel Erfolg morgen bei der Firmen-IT. Wenn die Jungs (evtl. Mädels) was auf dem Kasten haben, soltle das, zumindest die reine Entfernung, ein Kinderspiel sein. :-)

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  35. Andreas696 | 10. Juli 2012 um 22:10 | Antworten

    Simon,
    wie schon geschrieben, danke für die Hilfe, aber wenn man (Du) einem (mir), der gerade mal das einmaleins beherrscht, erklären will, wie man Differentialgleichungen löst, kann das Probleme geben :-) ….nichts für ungut!!
    Andreas

    • Simon | 10. Juli 2012 um 22:33 | Antworten

      @ Andreas696

      Das war ja auch nicht böse gemeint. Genauso wenig versuche ich es mit meinen Tipps Leute zu überfordern.

      Ich will eigentlich einfach nur sagen, das wann man selbst es nicht schafft, man sich (wie Du es ja auch machen willt) entweder externe „bekannte“ Hilfe sucht, oder aber ich meine Hilfe per Mail bzw. Fernwartung anbieten kann.

      Was ggf. von Dir oder jemand anderem als Angebot angenommen wird, das muss jede/r selbst entscheiden.

      PS.: Mit der Differentialrechnung könntest Du da wohl mehr als ich.^^

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  36. Elisabeth | 10. Juli 2012 um 22:29 | Antworten

    Hi Simon, irgendwie blick ich garnicht mehr durch was jetzt zu tun ist. ich hab den virus auch und mein laptop funktioniert aber wunderbar (ausser der taskmanager, der geht nicht) . erst wenn ich internetkabel anstecke kommt wieder der Bundespolizei-Virus auf dem Bildschirm. Muss ich überhaupt die ganzen sachen wie abgesicherter Modus machen oder kann ich einfach ein Virenprogramm nutzen? PS: Bei mir steht auch schon „explorer.exe“ bei Shell

    • Simon | 10. Juli 2012 um 22:36 | Antworten

      @ Elisabeth

      Das Problem ist, das ohne Abgesicherten-Modus oder gar Offline-Modus sich so ein Schädling/Nervtöter nicht wirklich entfernen lässt.
      Denn Solange Windows „normal“ läuft, werden die Schaddateien schon gestartet und könenn damit nicht geändert/gelöscht werden.
      Im schlimmsten Fall kann sich so ein Nervtöter/Schädling sogar verstecken und wäre damit „unfindbar“.

      Melde Dich doch mal mit dem Problem bei mir per Mail.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  37. ludger | 11. Juli 2012 um 14:03 | Antworten

    Hallo Simon,
    hab seit wenigen Tagen den Virus auf meinem PC. Betriebssystem Vista. ob 32 oder 64 bit weiß ich nicht. in Klammern steht: (Version 6.0.6000)
    Habe alles durchgeführt, wie beschrieben. Neben Shell steht schon explorer.de. Jetzt weiß ich nicht weiter. Ich habe den Start Button angeklickt, um nach der *.dll-Datei zu suchen. Nach dem Anklicken passiert nichts mehr. es ist nur die Eieruhr eingeblendet. Was soll ich tun? Windows Vista habe ich kein 2. Mal. Zudem bin auch nicht erfahren. Bin nur Nutzer von Office Programmen.
    LG
    Ludger

  38. Patrick | 11. Juli 2012 um 18:43 | Antworten

    bei mir kommen andere sachen aber kein shell was tun habe win 7 64 bit

    • Simon | 11. Juli 2012 um 19:22 | Antworten

      @ Patrick

      Was heißt denn, wenn man das so fragen darf/kann, „bei mir kommen andere Sachen aber kein Shell“?
      Und wann kommt das was da kommt?

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  39. Patrick | 11. Juli 2012 um 20:01 | Antworten

    @ Simon wir können es ja So machen das wir telefoniren unter 07195 41 39 604 und ich dir dan vorlesse was d steht uterandrem Standart und auch andere bezeichnungen

  40. DirkSaar | 12. Juli 2012 um 14:31 | Antworten

    Hallo zusammen,

    habe mir gestern eine neue (zumindest von mit vorher in den diversen Foren und Artikeln zum Thema nicht gefundene ) Variante eingefangen.

    Alle hier und sonstwo beschriebenen Tipps und Tricks haben nicht gegriffen.

    Gelöst habe ich das Problem wie folgt:

    1. Der Trojaner startet sich nur unter dem Benutzer unter dem man in sich eingefangen hat.
    Deshalb Windows mit einem anderen User starten (oder im abgesicherten Modus einen neuen Admin-User anlegen und damit starten).

    2. über die MS-DOS-Eingabe-Aufforderung (starten mit dem Befehl „cmd“ in der Windows-Befehlszeile) in den Ordner „programData“ wechseln
    –>
    „CD\“ eintippen dann ENTER drücken
    „CD programmdata“ eintippen dann ENTER drücken

    3. in diesem Ordner war bei mir eine Datei enthalten mit dem Namen „Tecpaoxv.exe“.
    Diese mit dem Befehl „del tecpaoxv.exe“ löschen und fertig.

    Falls die Datei bei Euch anders heisst, mal mit dem Befehl „dir/w“ in den Ordner reinkucken.

    Übrigens, dass mit der Datei was nicht „koscher“ ist, hat mir „Microsoft Essentials“ verraten – konnte aber das Problem nicht lösen.

  41. Anonymous | 12. Juli 2012 um 18:45 | Antworten

    Tja, was soll ich sagen … nach gefühlten 100 Jahren Sicherheit hat mich der „Trojaner“ auch befallen. Also auf, auf Problem beseitigen. Schön und gut, aber alle Tipps, Tricks und Lösungsversuche halfen nicht, keine Einträge in der Registry, keine infizierte explorer.exe, keine Dateien mit Namen elorer oder juasch oder wie auch immer …
    Also Gehirn eingeschaltet und Windows im abgesicherten Modus gestartet. Und siehe da – in meinem Autostartordner war ein „ctfmon“ welche dort NICHT hingehörte. Schnell noch die Eigenschaften abgerufen und die benutzte Datei (irgendwas mit glo_0gr.exe) im TEMP Order gelöscht und dann die „ctfmon“ im Autostartordner ordentlich im Papierkorb entsorgt, den Müll auch gleich nach draußen gebracht. Und was soll ich sagen PROBLEM GELÖST. Wer leichter als ich 3 Stunden zuvor gedacht hatte …

    • Simon | 12. Juli 2012 um 19:17 | Antworten

      @ Anonymous

      diese Datei und der entsprechende Fundort sind schon seit einigen Tagen auf meiner Seite verfügbar (Punkt P14.1).
      Damit, so gesehen, nicht mehr (für mich) neu.

      Das Problem ist aber, das die dort liegende Datei innerhalb der letzten Woche bei JEDEM meiner „Kunden“ mit einem Rootkit infiziert war bzw. ein Teil eines solchen war/ist UND außerdem bei weitem nicht die einzige Schaddatei auf dem Rechner war.
      Leider ist mit dem löschen dieser einen Datei in 99,9% der Fälle bislang der Spuk im Hintergrund somit noch lange nicht gelöst gewesen.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  42. Philip | 12. Juli 2012 um 20:21 | Antworten

    Hallo ich habe denn virus auch und ich habe es schon 6 mal probiert und jetzt habe ich ein komplett schwarzen bildschirm und ich sehe nur meine maus und mehr nicht und was soll ich da jetzt machen ?
    Und ich habe auch windows vista und es war genau wie in der beschreibung soll ich da denn ganzen schritt (Der “Wert” dieses Schlüssels ist der Pfad zur eigentlichen Schadsoftware z.B. C:\verzeichnis\zur\jashla.exe (oder auch mahmud.exe).) eingeben oder nur jashla oder mahmud.exe eingeben?

  43. Retsi | 13. Juli 2012 um 15:14 | Antworten

    Hallo zusammen,

    habe mir diesen Mist vorgestern eingefangen, aber ich habe eine (relativ) einfache Lösung gefunden (funktioniert aber nur, wenn man den CC Cleaner installiert hat):

    in dem paar Sekunden Zeitfenster in dem man den Desktop sehen kann auf den CC Cleaner klicken

    irgendwann kommt dann die „Bundespolizei“ Seite

    wartet 1-2 Minuten, denn dann geht der CC Cleaner auf

    jetzt auf „extras“ dann den Button „Autostart“

    exe. Dateien, die euch merkwürdig vorkommen deaktivieren

    Rechner runterfahren und neu starten

    wenn alles wieder funktioniert, in den Ordner „Program data“ gehen und dort die exe. dateien mit dem neuesten Datum abgleichen (mit der deaktivierten Liste im CC Cleaner)

    alle Dateien, die in beiden Ordner auftauchen Löschen, dann mit dem CC Cleaner überbügeln, dann ist Ruhe im Karton ;))

  44. Barbara | 13. Juli 2012 um 19:27 | Antworten

    Hallo, mein freund hat auch den trojaner auf seinen laptop geholt weiß der geier wie.. ist xp drauf.

    abgesicherter modus hochfahren geht .. regedit geht… aber sobald ich dann in local mashine software bin und suchen will geht der rechner zack aus … habs jetzt dreimal. probiert immer das gleiche …

    wie soll ich da weiterkommen??

    wäre für einen hilfreichen kommentar dankbar

  45. Bernd | 14. Juli 2012 um 02:58 | Antworten

    hallo zusammen, der bernd nochmal hier… hatte ja vor einigen tagen was geschrieben hier… hatte mir den fick-virus ja auch auch eingefangen, und dachte hoffnungsvoll gekillt…. aber nööö .. peng, da war er wieder !!
    nun weiß ich echt nicht, ob der hier noch schlummerte oder ich mir eine neue variante eingefangen habe.
    bein ersten mal hat ja MS-essentials “glomo_og.exe” angezeigt und „gekillt“.. inwieweit, weiss ich ja nicht… bin wirklich nicht der experti..aber „learning by viruskilling ;-))“…da MS essi ja noch aktiv ist, findet er das nicht, denke ich ..also ne neue variante… bin jetzt vorgegangen wie „dirksaar“ !!!!
    „cmd“.. „cd(backslash) „apple weiss nicht wie ;-)))))… dann „cd programdata“ (nur 1 m, lieber dirk ;-))… in diesem ordner war kein „tecda….exe“ sondern, siehe da „4.503.728 go_0(null)molg.pad“ !!! na, wenn sich das nicht anhört, wie schon vorher „glomo“, dann weiss ichs nicht !!!
    also, wie dirk “ del go_0molg.pad“ … und peng lappie läuft wieder !!! mal sehen wie lange…. und den anderen hier… ich glaube egal, welches antivirenpgm… so schnell können die das gar nicht updaten, wie es diese arschlöcher hier verbreiten…. bin mal gespannt, wie lang es gut geht… und überlege, wirklich mal zur polizei zu gehen und ne anzeige zu machen… wird wohl nix bringen, aber es ist echt traurig !! die sollen mit ihrem talent doch mal was sinnvolles machen !!!
    also an „dirksaar“ und „simon“ vorerst !!! vielen dank !!

    lg bernd

    • Simon | 14. Juli 2012 um 08:50 | Antworten

      @ Bernd

      Ich verweise mal auf meinen Post weiter oben, in dem ich schon geschrieben hatte das

      1. Die *.pad-Dateien nicht neu sind (Siehe Post und vorallem meinen Punkt P14.1 (bzw. schlicht links unterm Menü hätte auch für eine Schnellsuche gereicht)

      2. Das diese *.pad-Datei und die ggf. gelöscht *.exe-Datei (ebenfalls unter Punkt P14.1 bekannt) noch nicht alles war

      3. Das die meisten dieser Dateien innerhalb der leztzten Woche bei meinen „Kunden“ Rootkits/BackDoors enthielten.^^

      4. Die Orte sind schon seit den ersten Varianten kaum unterschiedich, auch dazu hilft/half Dir und ggf. hoffentlich auch anderen Leuten Punkt P14 und P14.1 weiter.

      5. Danke für das Danke

      6. Mein Schutzprogramm hat im Gegensatz zu den hier und bei Kunden genutzten Programmen bislang noch nie versagt. Ich nutze es nun das 5te Jahr und bin höchst zufrieden, denn Was vom Kunden per Mail reinkommt wird sosofrt oder 2 Stunden später beim Update dann zu 98% erkannt WÄHREND die Mail geladen wird und nicht erst danach und erst recht nicht erst wenn ich eine Datei ausführen wollen würde.
      Die Updates sind zwar langsamer als manch ein Schädling, aber was man nicht vergessen sollte: Der Mensch ist das „Dumme“ am Computer! Wenn man einigermaßen logisch denken kann, sollte einem klar seind das kein mir bekannter Hersteller (als Beispiel) seine Rechnug in ein ZIP-Archiv packt. Oder das mal eben Geld abgebucht würde wegen einem voirgestern abgeschlossenen Vertrag bei einer Flirtseite im wErt von 650Euro.
      Und wenn es doch mal so sein sollte – was soll?!
      Einfach zur Bank gehen und das ganze Rückgängig machen lassen. Dafür hat man in der Regel 14-30 Tage Zeit (je nach Bank).

      7. Die nutzen ihr Talent doch sinnvoll – immerhin sind das theoretisch tausende Euros pro Tag aufm Konto.
      Wenn man sich als Sicherheitsbauftragter für Programme bei Microsoft oder ähnlichem bewirbt, verdient man bestimmt nixht mal eben einfach so (Beispiel) 10.000 Euro pro Tag, oder?

      Es kommt halt immer auf die Sichtweise an, denn für „die“ ist es sinnvoll.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

      • Daniel Weihmann | 14. Juli 2012 um 09:17 | Antworten

        @Simon: Du wirst doch nicht langsam die Seite wechseln wollen ;-) (Punkt 7)?

        • Simon | 14. Juli 2012 um 10:33 |

          @ Daniel Weihmann

          Würde ich sofort wechseln…aber…:
          1. Ist es leider ja nicht legal
          – Wäre es das , würden es aber auch alle machen und keiner hätte mehr Geld für mich dann.^^
          – Und dein Blog wäre ziemlich leer. :-)

          2. Ich kann kaum programmieren. :-(

          3. Ich hab kein Bock mich tagtäglich damit auseinandersetzen zu müssen nicht geschnappt zu werden oder meine Schutzmaßnahmen gegen die Ergreifung auf aktuellem Stand halten zu müssen. :-|

          Du siehst, so einfach ist der Wechsel dann doch nicht. :-(
          Also bleib ich beim was ich kann. Und das ist unteranderem die Hilfe hier.
          (Bezahlen darf man mich dafür natürlich trotzdem immer.^^) :-p

          Mit freundlichem Gruß,
          Simon

          (Fachinformatiker für Systemintegration)

  46. Bernd | 14. Juli 2012 um 03:00 | Antworten

    zusatz: bin mit gleichem „infizierten user“ hochgefahren, aber internetverbindung aus !!! da zickte er noch nicht !! ;-)))

    • Simon | 14. Juli 2012 um 08:52 | Antworten

      @ Bernd

      Fast keine der Varianten macht irgendetwas ohne Internet.
      Frühe Varianten haben noch einen leeren Screen angezeigt, heutzutage poppt das Ding erst hoch (weil es halt im Hintergrund mitläuft), sobald per Kabel, WLan oder UMTS eine Internetverbindung hergestellt wird.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  47. Bernd | 14. Juli 2012 um 03:01 | Antworten

    zusatz: geht schon seit 3 std gut !!!! ;-))

    • Simon | 14. Juli 2012 um 08:53 | Antworten

      @ Bernd

      Mach es bitte der Übersichtlichkeit halber so, das Du auf deine eigenen Beiträge antwortest und nicht jedesmal einen komplett neuen Post erstellst. Danke.

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

  48. Bernd | 14. Juli 2012 um 03:18 | Antworten

    nochn zusatz… habe eben erst komm „anonymous“ gelesen… joooo hatte auch in autostart „ctfmon“… und der eintrag ist nach killing, siehe oben, auch nicht mehr vorhanden !! leider kann ich einem anonymen nicht danken !!! ;-)))))

  49. Bernd | 14. Juli 2012 um 11:08 | Antworten

    hallo simon… vielen dank für deine sehr ausführliche antwort hier… ich finde es total klasse, wie du hier agierst und dich engagierst
    „Mach es bitte der Übersichtlichkeit halber so, das Du auf deine eigenen Beiträge antwortest und nicht jedesmal einen komplett neuen Post erstellst.“….
    ooops… habe ich was falsch gemacht ??… das wollte ich wirklich nicht, „immer neue post“ erstellen… wie kann ich denn auf meine eigenen Beiträge antworten ?? das weiß ich nicht…
    also, bitte nochmals um Entschuldigung, falls ich hier im blog, was falsch mache… will nicht nerven !!! du machst es toll !!
    und ich tippe immer noch von meinem, hoffentlich bereinigten, lappie…;-)))

    GLG bernd

    • Simon | 15. Juli 2012 um 12:35 | Antworten

      @ Bernd

      Danke für das Lob/Kompliment.
      Ich versuche nur zu helfen wenn icuh kann/gelassen werden. Manche(r) nimmts an, manche(r) nicht.^^

      Ja, theoretisch kannst Du über den „Antworten“–Button auch auf deine eigenen Posts antworten. (In jedem Post, neben dem Namen und der Uhrzeit.)

      Keine Angst, falsch ist es ja prinzipiell nicht, es leider nur die Übersicht etwas – deswegen.
      (Könnte ja jetzt fies sein und sagen „Naja ist Danie Weihmanns BLOG und nicht meines, also egal.“ :-p …. Aber so bin ich nicht.^^)

      Wegen dem hoffentlich sauber…
      Wurde denn beachtet was ich ehemals z.B. hier schrieb?
      -> https://www.redirect301.de/bundespolizei-trojaner-entfernen.html/comment-page-29#comment-8080

      Mit freundlichem Gruß,
      Simon

      (Fachinformatiker für Systemintegration)

1 Trackbacks & Pingbacks

  1. harter virus. durch avira erkannt, aber nicht gebannt........

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.