UPDATE 1: Trittbrettfahrer des Ransom UKASH – Trojaner (BKA- Trojaner)
UPDATE vom 30. August 2012:
Bitte beachten Sie: Da es mittlerweile weitere Varianten dieses Schädlings gibt, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.
Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter http://forum.botfrei.de wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.
Aus aktuellem Anlass zum BKA- Trojaner 2.0 , eine Erweiterung zur manuellen Entfernung der Malware.
Voraussetzungen:
Bitte beachten Sie, dass diese Anleitung nur für computererfahrene Benutzer empfohlen wird. Halten Sie sich bitte an die Anweisungen dieser Anleitung.
Vorteile:
Diese Entfernungsmethode hat den Vorteil, dass Sie keine zusätzliche Software herunterladen müssen.
Hilfe:
Sollten Sie Hilfe benötigen, registrieren Sie sich kostenfrei in unserem Support-Forum.
1. Starte Sie ihren Rechner in den Abgesicherte Modus mit Eingabeaufforderung.
- Während dem Hochfahren mehrmals F8 drücken. ( Kann bei manchen Systemen auch eine andere F Taste sein )
- Navigieren Sie mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücken Enter.
- Loggen Sie sich in ein Konto ein, welches über Administrationsrechte verfügt.
2. Geben Sie in der Eingabeaufforderung(Dosbox)
- regedit.exe ein und drücken Enter
3. Überprüfen Sie als erstes diese Einträge:
- Für XP User:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”explorer.exe“
- Für Vista/ W7 User:
[HKEY_Current_User\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=”explorer.exe“
Im Winlogon steht der Schlüssel shell. Wenn Sie diesen mit Doppelklick öffnen, sollte dort als Wert: explorer.exe stehen. Wenn das nicht der Fall ist, löschen Sie den Eintrag und schreiben dort den Wert explorer.exe hinein und bestätigen mit OK.
Wenn diese Pfade keine Auffälligkeiten hatten, schauen Sie bitte in folgenden Pfaden nach auffälligen Exe-Dateien (*.exe)…
[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows CurrentVersion\ Run]
[HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run]
Alles was in diesem run Verzeichnis steht hier, wird für alle Benutzer des Rechners automatisch beim Windowsstart mit gestartet. Wenn hier als Eintrag ein ziemlich langer nichts sagender und keinen Sinn ergebender Name dabei ist z.B. AVUpdate mit dem verdächtigen Wert: ../jashla.exe, dann überprüfen Sie, wo diese Datei liegt und entfernen Sie anschließend den betroffenen Eintrag und auch die Datei.
Es bietet sich in diesem Schritt an, alle unnötigen Einträge zu entfernen um den Autostart etwas aufzuräumen. Aber Vorsicht: Wichtige Einträge (Virenscanner etc.) sollten nicht entfernt werden.
Für Experten:
Sie haben in den verschieden Pfaden der Registrierung nicht die Einträge vorgefunden (z.B. explorer.exe), sondern nichtssagende und keinen Sinn ergebende Namen, so löschen Sie nicht gleich den Eintrag. Schreiben Sie sich den Namen und den Pfad der Datei auf. Das sind wertvolle Informationen, um evtl. die bösartige Datei manuell zu untersuchen und zu löschen. Wenn Sie den Rechner wieder im normalen Modus starten, können Sie diese Datei zur Überprüfung im Internet zu Virustotal oder zu Jottis Malwarescan laden, siehe Abb.1 und 2, dort wird diese Datei mit bis zu 40 Virenscannern auf Viren und Malware überprüft. Wenn die Datei als Schadsoftware erkannt ist, können Sie die Datei löschen (Abb.2).
Abb.1
Abb.2
Eine weitere Möglichkeit wäre die Systemwiederherstellung das heißt, das System auf ein Datum vor der Infizierung zurück zu setzen. Dazu geben Sie in der Eingabeaufforderung (Dosbox) den Befehl ein:
Abhängig vom Betriebssystem entweder:
rstrui.exe oder den kompletten Pfad \windows\system32\restore\rstrui.exe und bestätigen mit der Entertaste, nach wenigen Sekunden öffnet sich der Systemwiederherstellungsassistent.(Abb.3)
Abb.3
Abb.4
Dort klicken Sie auf “Computer zu einem früheren Zeitpunkt wiederherstellen” und bestätigen mit “weiter“. Nun suchen Sie einen Wiederherstellungspunkt vor der Infizierung (Abb.4) und bestätigen mit “weiter“. Der Computer wird nun zurückgesetzt.
Die Abbildungen 3 und 4 können je nach Betriebsystem etwas abweichen.
Grundsätzlich werden keine persönlichen Dateien oder E-Mails und ähnliche Dateien bei diesem Verfahren überschrieben bzw. gelöscht. Aber Sie sind immer gut beraten, vorher eine Datensicherung Ihres Systems zu erstellen.
Wenn die Wiederherstellung funktioniert hat und die Vorschaltseite des UKASH nicht mehr erscheint, wird die eigentliche Malware noch auf dem System sein. Sie sollten den Rechner gründlich mit verschiedenen Scannern überprüfen lassen.
Um 100% sicher zu gehen, dass der Computer “sauber” ist, empfehlen wir immer eine Neuinstallation.
Dieser Tipp hat wunderbar geklappt und war eine große Hilfe. Besonders da ich auf dem Gebiet ein Laie bin, bin ich froh endlich wieder auf mein Benutzerkonto zugreifen zu können. Ich gebe mich jedoch nicht der Illusion hin, dass die Sache damit erledigt ist, besonders da ich (durch vorher angewandte Scan-Software) gesehen habe was für andere Viren auf dem gesamten PC zu finden waren. Jetzt gehts ans Aufräumen.
Meine Damen und Herren,
was sollen die Menschen den machen wenn Sie diese
wirklich gute Hotline Ende des Monats abschalten?
Ich habe wirklich Angst, dann noch mit meinem PC in das Internet zu gehen,
mir wurde sehr gut 2 mal geholfen per Telefon, und mir wurde versichert das ich
nicht der einzige war.
Hallo,
die Systemwiederherstellung ist ein sehr guter Tip,aber wie schon oben beschrieben ist der Trojaner noch auf dem Rechner.
Man gehe nach der Systemwiederherstellung wie folgt vor.
Rechner normal hochfahren,dann mit linker Maustaste auf Start gehen,es erscheint das blaue Feld wo wir auch den Rechner runterfahren können,und auch die Anzeige “Ausführen”.
Diese wird angeklickt und die Eingabe Regedit eingetragen.
Nun hat sich der Regestrierungs-Editor geöffnet.
In diesem Fenster klicken wir mit linker Maustaste “Bearbeiten an”.
Dort öffnet sich die Taskleiste wo “suchen” eingetragen ist.
Nun wird suchen angeklickt wo sich das Suchfenster öffnet.
In dieses Fenster tragen wir “eloxor.exe ein und bestätigen dies mit weitersuchen,welch nach dem Eintrag aktivieren lässt.
Der Rechner sucht jetzt alles durch was sich in der Registry unter diesem Namen verbirgt.
Sobald er fertig mit suchen ist werden diese Einträge angezeigt.
Die gezeigten Einträge nun mit rechter Maustaste aus der Registry löschen.
Diese Prozedur machen wir nun mit “jashla.exe”
Soweit so gut,die Einträge sind gelöscht,bzw in den freien Festplattenspeicher nur verschoben.
Um diese nun von aussen unzugänglich zu machen empfehle ich den freien Festplattenspeicher mit cleanHDD oder auch ccleaner mehrfach zu überschreiben.
Somit kann von aussen mit hoher Wahrscheinlichkeit nicht mehr zugegriffen werden.
Diese Angaben sind allerdings ohne Gewähr,und somit die allersicherste Methode die Formatierung und Neuaufsetzung des Betriebssystems zu bervorzugen ist.
Lg diffi 43
Bei mir war der Name der bösen Datei “mahmud.exe”
Ich habe diese in der Registry deaktiviert und dann von der Platte gelöscht
Sytemwiederstellung hat geklappt. Allerdings ist ausser der Hintergrundbild nix anderes mehr da. Keine Menüleiste. Was soll ich jetzt am besten machen?
Hallo, ich habe den Computer von meinem Sohn erst mal wieder freigeschaltet. Ich hatte bei mir auch die “…mahmud.exe” drauf. Danke erst einmal für den Tip. Jetzt muss ich noch aufräumen und säubern.
Die Seite ist eine große Hilfe, danke dafür.
Hallo Ines,
es freut uns sehr, dass wir Ihnen mit unserer Anleitung weiterhelfen konnten. Würden Sie uns auch weiterempfehlen?
Grüße,
TK, ABBZ
Super, hat funktioniert – vielen Dank.
Da ich allerdings unter den angegebenen Pfaden nichts gefunden habe, hab ich über die Suchfunktion “AVUpdate” gesucht und den Übeltäter dann doch gefunden.
super hilfe. Bei mir war der Name der bösen Datei auch “mahmud.exe”. eure anleitung war perfekt, bei mir hat sich es in der shell eingenistet, so dass ich gleich drauf gestossen bin.
danke fürs helfen.
Hallo,
bei mir hat der Virus auch zugeschalgen. Allerdings komme ich mit “regedit” weiter.
Dann öffnet sich ein Fenster mit dem Hinweis “Die Bearbeitung der Registrierung wurde durch den Administrator deaktiviert”
Was nun?
Hallo Jo,
versuchen Sie erneut in den abgesicherten Modus mit Eingabeaufforderung zu kommen. Geben Sie in der Konsole ein: gpedit.msc. Im neuen Fenster gehen Sie dann auf Benutzerkonfiguration -> Administrative Vorlagen -> System -> Überprüfen Sie ob “Zugriff auf Programme zum Bearbeiten der Registrierung verhindern” aktiviert bzw. konfiguriert ist. Wenn ja dann machen Sie einen Doppelklick auf den Eintrag und stellen auf “Nicht konfiguriert”. Danach auf ok, schließen Sie beide Fenster und geben Sie in die Konsole ein: shutdown -r -t 00. Starten Sie danach erneut den abgesicherten Modus mit Eingabeaufforderung und folgen der Anleitung.
Gruß
MG,
ABBZ
Bei mir war der Name der bösen Datei “mahmud.exe”
Mit eurer Anleitung habe ich in gefunden. Hatte sich in der “shell” eingenistet, so dass ich gleich drauf gestossen bin.
Lasse nun den Virenscanner (Avast!) und dann noch “Spybot” laufen.
Danke!
Infizierung auf Erotikseite xn…(erst sehr niedergeschlagen – aber selber Schuld!); AVIRA free hat nicht angeschlagen, Lösung im abgesicherten Modus, F8 funktionierte erst nach Zwischenmodus, AVIRA DE-cleaner ist wiederholt nicht durchgelaufen, SuperSpyware hat nicht angeschlagen (hat aber andere Viren gefunden) => manuelle Suche in Registratur als reiner Anwender mit letzter Kraft erfolgreich: es war AVUPDATE “mahmud.exe” in HKEY_CURRENT_USER\…\run (Suchfunktion hilfreich) – gelöscht in Registratur und in ablesbarer Datei.
FAZIT: Bleibt auf sauberen Wegen in einer schmutzigen Welt (die wir besser machen sollten). Danke an diese sehr hilfreiche Plattformseite!
Nach langem Hin und Her und achtstündigem Scan mit Avira DE-cleaner, der allerdings nicht fündig wurde, bin ich dem Übeltäter im Run-Verzeichnis unter der Bezeichnung AVUpdate mahmut.exe Auf die Spur gekommen. Nachdem ich den Eintrag gelöscht hatte, lief alles wieder reibungslos.
Bin mir nur nicht sicher ob die Datei automatisch mitgelöscht wurde.Unter App.Data war sie jedenfalls nicht mehr zu finden. Vielleicht habt Ihr noch eine Idee?
Vielen Dank für die wertvollen Tipps.
Gruß, Peter.
Hallo Peter,
gerne helfen wir Dir in unserem Support-Forum unter http://forum.botfrei.de kostenfrei weiter. Erstelle dort einfach einen eigenen Thread mit allen Informationen aus diesem Kommentar und wir helfen Dir individuell weiter. Hier ist es einfach etwas unübersichtlich.
Grüße,
TK, ABBZ
Hallo,
ich hab auch den Virus, wenn auch ohne “Ukash-Zahlungsmöglichkeit”, bei mir gehts nur mit dieser Karte.
Hab meine Registry schon durchwühlt, finde weder jashla, mahmud oder AVUpdate, auch die Suche hilft nicht weiter. Der DE-Cleaner läuft grad durch, mal gucken was bei rauskommt.
Hat sonst jemand nen Tipp, was ich noch machen könnte?
Gruß Julian
Hallo Julian,
bei Ihnen ist wahrscheinlich die explorer.exe infiziert. Hier haben wir eine Anleitung für genau diesen Fall. Falls Sie noch Fragen haben, lade ich Sie in unser Forum ein.
Gruß
MG
ABBZ
Hi,
als erstes 1000 Dank für die guten Infos hier.
Dachte folgendes könnte vielleicht interessant/hilfreich sein:
Entfernen hat zunächst mal geklappt. Hatte Ukash Vrojaner Version 2 (oder höher) auf dem Rechner und es handelte sich um die Datei “..\AppData\Roaming\mahmud.exe”.
Der entsprechende Eintrag wie oben beschrieben hat auch gepasst:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
In den Eigenschaften von mahmud.exe stand:
LoonHugoProwlAlgo (sorry – bin nur 100% sicher was LoonHugo angeht – dann hab ich auf meinen Notizen etwas unleserlich gekritzelt…)
NEC Computers Limited
Version 2.8.99
16.11.11
15:04
192 KB
Habe dann noch mit CCleaner den Browsercache und temp files (etc.) gelöscht.
Check mit Avira-DE-Cleaner zeigte dann keine Probleme mehr an. Prüfung mit bordeigenem Sohpos auch nicht. Externe Scanprogramme über Netz muss ich noch laufen lassen.
Habe nun aber erstmal nach “mahmud” in der Registry gesucht und wurde an mehreren stellen Fündig:
Computer\HKEY_LOCAL_MACHINE\SOFTWRE\WOW6432Node\Tracing\mahmud_RASMANCS
Computer\HKEY_LOCAL_MACHINE\SOFTWRE\WOW6432Node\Tracing\mahmud_RASAPI32
Jeweils die gleichen Werte:
(Standard) REG_SZ (Wert nicht festgelegt)
ConsoleTracingMask REG_DWORD 0xffff0000 (4294901760)
EnableConsoleTracing REG_DWORD 0×00000000 (0)
EnableFileTracing REG_DWORD 0×00000000 (0)
FileDirectory REG_EXPAND_SZ %windir%\tracing
FileTracingMask REG_DWORD 0xffff0000 (4294901760)
MaxFileSize REG_DWORD 0×00000000 (1048576)
Der genannte Ordner %windir%\tracing ist leer.
Werde die Einträge jetzt löschen… kann aber nicht recht einschätzen welches Gefahrenpotential hiervon ausgeht. Kann sich der Trojaner auf diese Art woanders bereits unter einem anderen Namen getarnt haben und seinen “job” immer noch ausführen?
Gruß,
SMS
Hallo Stefan,
weitere Systemänderung als die in der Registry, sowie der eigentlichen ausführbaren Datei sind nicht bekannt. Externe Daten sollten auch nicht betroffen sein. Zur Sicherheit würde ich Ihnen vorschlagen einen Vollscan mit Malwarebytes zu machen und gefundene Schädlinge zu löschen: http://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/
ah – mist tippfehler: Version von mahmud.exe war: 2.8.00
Gruß – SMS
hi ihr lieben,
erstmal vorweg…ich bin ein total PC-depp. kenn mich gar nicht aus und kann mit nix was anfangen.
hab das mit der Systemwiederherstellung versucht, aber das funktioniert einfach nicht. ich kann bei meinem PC (Window 7) auch kein Datum aussuchen auf das er zurücksetzten soll, sondern der gibt mir nur 2 Daten vor.
Gibt es irgendeine Möglichkeit ein noch früheres Datum selbst auszusuchen?
Außerdem habe ich im Task-Manager eine mahmud.exe Datei gefunden und den Prozess abgebrochen.
aber bei Shell steht bei mir das ganz normale explorer.exe
Ich versteh irgendwie gar nix mehr und weiß gar nicht wo ich anfangen soll.
alles auf einmal hat ja aúch nichts gebracht.
kann mir irgendjemand genau sagen was ich machen muss…..*dackelblick*
ach ja und wie lasst ihr denn alle euren Virenscanner laufen. bei mir kommt die sperre sobald der Pc hochfährt. Außer noch schnell Task-Manager krieg ich nichts geöffnet.
Danke schon mal im vorraus
LG JK
Hallo Jule,
gerne helfen wir Dir im Support-Forum unter http://forum.botfrei.de individuell weiter. Leg’ Dir dort einfach einen kostenfreien Account an, und wir schauen uns gemeinsam sein System mal an.
Grüße,
CG, ABBZ
Hallo Jule, Sie sagen ausser dem Taskmanager geht nichts mehr, ist doch schon was…
Geben sie im Taskmanager oben links bei Datei ->Neuer Task ->regedit ein. Nun öffnet sich die Registrierung. Klicken Sie ganz oben im Baumverzeichnis auf Arbeitsplatz so das dieser markiert ist. Nun gehen Sie oben auf Bearbeiten-> suchen-> und geben dort mahmud.exe ein und lassen suchen.
http://blog.botfrei.de/2011/10/mit-windows-eigenen-tools-dem-bkaukash-trojaner-den-gar-ausgemacht/
schauen Sie dort bei Abb.2
Gruß ABBZ
vielen Dank, meine Güte es hat funktioniert.
ich war völlig aufgeschmissen, ich danke euch!
LG Jule
Leute, vielen, vielen Dank für die Tips
Hatte im abgesicherten Modus unter HKEY_CURRENT_USER unter Run auch diese avupdate-Sache mit der mahmud.exe… Hab das da gelöscht und mache jetzt mit Avira einen kompletten Systemcheck, der auch schon 2 Mal einen Fund der Malware angezeigt hat! Hoffe, daß mein Laptop dann wieder ausreichend gesäubert und sicher ist! Habt ihr eine Ahnung, ob man sich den Trojaner überall herholen kann oder nur bei bestimmten Aktivitäten im Netz? Habe ja oben schon was von einer Erotikseite gelesen und bei mir schlug er zu, als ich auf einer bekannten Plattform unterwegs war, die Filme und Serien bereitstellt 
Ist ja quasi an sich schon kein sicheres Terrain… Muß ich jetzt befürchten, mir beim nächsten Besuch da wieder so ein Mistfing einzufangen??
Hallo Kat,
Sie sollten in jedem Fall noch einen zweiten Komplettscan mit Malwarebytes machen um da sicher zu gehen. Eine Änderung Ihrer Passwörter ist sicherlich auch empfehlenswert!
Der BKA-Trojaner ist ein sogenannter Drive-By-Download. Da reicht das blosse Ansurfen einer angegriffenen Seite aus, um durch den Schädling infiziert zu werden. Die Chance auf eine Infizierung liegt in den Bereichen Erotik, Warez und illegale Downloads allerdings um ein Vielfaches höher als auf “normalen” Webseiten.
Grüße,
CG (ABBZ)
Danke für die Erklärung, CG!
Das hab ich mir schon gedacht! Diesen Komplettscan über Malwarebytes werde ich dann auf jeden Fall noch machen!
Ok, das heißt dann sicher, daß man sich vor solchen Drive-By-Downloads im Vorfeld auch nicht wirksam schützen kann, habe gelesen, daß es auch Rechner getroffen hat, die eine Vollversion eines Antivirenptogrammes besaßen
Hallo,
ich habe mir alles auf Ihrer Seite über den BKA-Trojaner durchgelesen und ausprobiert. Übrigens sind die Anleitungen auch für Laien wie mich sehr verständlich und ausführlich beschrieben – wirklich sehr gut gemacht. Nachdem ich weder eine Datei namens jashla oder mahmud und auch AVUpdate finden konnte, habe ich laut Anweisung explorer eingegeben, woraufhin sich das normale Explorerfenster geöffnet hat. Also scheint es dieser auch nicht zu sein. Außerdem erscheint bei mir auch unter Winlogon gar kein Eintrag namens shell.
Ich habe dann eine Systemwiederherstellung durchgeführt und der Computer ließ sich ganz normal starten. Nach Installieren einer neuen Virenschutzsoftware wurde ein Neustart notwendig und prompt erschien wieder dieses BKA-Fenster! Zum Verzweifeln! Allerdings habe ich bei dem einen Mal als der Computer normal funktionierte im Taskmanager unter Prozesse den explorer zweimal entdeckt. Hat das was zu bedeuten? Ich würde mich sehr freuen, wenn Sie mir weiterhelfen könnten. Grüße Dilos
P.S. Ich benutze Windows 7
Hallo Dilos,
gerne helfen wir Dir im Support-Forum unter http://forum.botfrei.de individuell weiter. Leg Dir dort einfach einen kostenfreien Account an, und wir schauen uns gemeinsam dein System mal an.
Grüße, ABBZ
Vielen Dank für diese tolle Seite!!!
Nach etlichen Versuchen hat die Systemwiederherstellung zum Erfolg geführt.
Thx
:)
Brauche dringend Hilfe: habe schon mehrmals mahmud.exe über regedit löschen und system wieder herstellen können. Hat nach 4 Tagen mehrmals täglich säubern ca. 2 Wochen Ruhe gegeben. Habe registry jeden Tag geprüft und Virenscanner laufen lassen. Heute morgen ist er wieder da. Nun scheint er sich anders einzuschleichen. Mahmud und jashla heisst er nicht mehr, in der shell steht auch explorer.exe. Systemherstellung zu einem anderen Zeitpunkt ist nur heute nacht möglich, da hat er sich aber wohl schon eingeschlichen. Ich weiss nicht mehr was ich noch suchen soll. Danke.
Hallo Gerth, um Ihnen besser helfen zu können würde ich Sie bitten ein neues Thema in unserem Hilfe-Forum zu erstellen. Danke.
MG
ABBZ
Ich hab ihn per Hand in der Reg gefunden. Dann habe ich die Endung in der Reg geändert damit ich den PC starten kann. Funktionierte auch . Dann habe ich wie beschrieben die Datei mit – Jottis Malwarescanner – durchsuchen lassen. Dieser Scan hat ihn aber nicht als Virus oder ähnlichen eingestuft. Gruß Lothar
PS: Bei dem Link zu Virustotal bekomme ich eine Fehlermeldung!
Und schon wieder Windows user haben Probleme Trojaner und andere Mist Gott sei dank benutze ich Linux hahahaha.
So, so! Ab und an sitzt die Sicherheitslücke aber auch vor dem Bildschirm, da hilft dann auch kein Linux als OS auf dem Rechner!
Grüße,
TK, ABBZ
Zitat:
“Dilos sagt:
22. November 2011 um 23:22
Hallo,
ich habe mir alles auf Ihrer Seite über den BKA-Trojaner durchgelesen und ausprobiert. Übrigens sind die Anleitungen auch für Laien wie mich sehr verständlich und ausführlich beschrieben – wirklich sehr gut gemacht. Nachdem ich weder eine Datei namens jashla oder mahmud und auch AVUpdate finden konnte, habe ich laut Anweisung explorer eingegeben, woraufhin sich das normale Explorerfenster geöffnet hat. Also scheint es dieser auch nicht zu sein. Außerdem erscheint bei mir auch unter Winlogon gar kein Eintrag namens shell.
Ich habe dann eine Systemwiederherstellung durchgeführt und der Computer ließ sich ganz normal starten. Nach Installieren einer neuen Virenschutzsoftware wurde ein Neustart notwendig und prompt erschien wieder dieses BKA-Fenster! Zum Verzweifeln! Allerdings habe ich bei dem einen Mal als der Computer normal funktionierte im Taskmanager unter Prozesse den explorer zweimal entdeckt. Hat das was zu bedeuten? Ich würde mich sehr freuen, wenn Sie mir weiterhelfen könnten. Grüße Dilos
P.S. Ich benutze Windows 7″
————————————————————————————————————-
Das war bei mir auch der Fall mit der doppelten explorer.exe, leider konnte ich kein Screenshot von dem BKA Screen machen, er war jedenfalls anders, als die hier zu findenden. Übrigens, habe Vista, Sp2, 32 bit…
Was mir hoffentlich geholfen hat (obwohl ein ungutes Gefühl bleibt, so dass ich, wenn ich mal nen Tag Zeit finde, das System wohl doch noch neu aufsetzen werde):
1. Ich kam per sehr schnellem und wiederholten Strg+Alt+Entf drücken dann doch kurz in den Taskmanager, und sah dort die doppelte explorer.exe.
2. Mein Rechner hat ein zweites Benutzerkonto mit eingeschränkten Rechten. Darüber konnte ich den Rechner starten ohne den BKA Bildschirm…
Habe darüber eine Systemwiederherstellung durchgeführt (Beschreibung dazu existiert hier bereits mehrfach).
3. Habe über das 2. Konto meinem Avast Scanner einen Startzeitscan machen lassen.
Ergebnis: 8 Funde
4. Habe dann mir die Kaspersky Resue CD10 besorgt, und damit den WindowsUnlocker laufen lassen.
Ergebnis: Alles gut
5. Mit selbiger CD einen Komplettscan gemacht
Ergebnis: 3 Funde
6. Erneuter Scan (nach Löschend der Funde) mit Kaspersky
Ergebnis: O Funde (zum ersten Mal gefreut…:-)
7. Gebootet, mit dem 2. Konto eingeloggt, die Registry nach den hier zu findenden Anweisungen durchsucht
Ergebnis: Nichts, was da nicht hin soll
8. Gebootet und mit dem “infizierten” Konto angemeldet
Ergebnis: Kein BKA Fenster mehr
9. Erneut mit der Kaspersky Rescue CD gebootet und gescannt.
Ergebnis: 0 Funde (zum zweiten Mal gefreut)
10. Normaler Boot, Anmelden mit “ehemals? infiziertem” Konto
Mailwarebytes laufen lassen.
Ergebnis: 0 Funde (drittes Mal gefreut)
11. SuperAntiSpyware laufen lassen
Ergebnis: 0 Funde (mein hoffnung steigt, eine Systemneuinstallation doch noch zu vermeiden, aber wie gesagt, sicher ist sicher, wenn ich das nä. Mal viel Zeit habe…)
12. Erstmal ne Runde BFBC” gespielt zum Frustabbau
13. Plan: Morgen, vor dem normalen Start, nochmal mit der Rescue Cd booten und scannen….
Fall das, was ich hier gemacht habe, jmd hilft, gerne…Übrigens: gut strukturierte Seite, das Lesen hat mich weit gebracht…Danke dafür!!!!
Gerne ein Kommentar von den Mods,
obs reicht, was ich betrieben habe,
oder dochh lieber System neu drauf???
Gruß an alle Gestressten!
Übrigens:
Auch wenns eigentlich klar ist, sollte man seine wichtigen Daten regelmäßig sichern!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Das beruhigt die Nerven, wenn man sich so nen Dreck einfängt,
da das System neu aufzusetzen zwar keinen Spaß macht, und gerne mal 2 Tage dauert, bis alle Programme so wieder drauf sind, dass diese laufen.
Aber mit nen paar Bierchen oder ner Flasche Rotwein geht sowas dann auch…
Nur, wer nicht sichert, ärgert sich wohlmöglich über Datenverlust, wo vielvielviel Arbeit (Tage, Wochen..) drin steckte….
Ingo
Hallo Ingo,
Danke für deinen Beitrag, melde dich bitte kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten bei der Lösung helfen.
Gruß ABBZ
HI, habe auch einen GVU-Virus, wenn ich nun den abgesicherten Modus mit Eingabeaufforderung starte, dann fährt der quasi normal hoch. Er zeigt mir die Dateien an die er lädt und denn kommt die Benutzerauswahl.
Nix mit einloggen und denn kommt die DOS-Box, die wird übersprungen.
Habe es schon mitAVG Tool probiert, leider ohne Erfolg.
Hoffe es weis jemand rat
Ist im übrigen Windows Viste
Hallo Sven,
gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem Support-Forum und erstelle ein Thema unter “Hilfe” –> “Windows Systeme”!
Grüße,
CS, ABBZ
ich komme bei Administrationsrechte nicht weiter da muss ich immer wieder das selbe schrieben
Hallo Amy,
melde dich bitte kostenfrei in unserem http://forum.botfrei.de an, schildere genau deine Schwierigkeiten. Experten werden dir “Schritt für Schritt” bei der Lösung helfen.
Gruß ABBZ
Hallo,
Ich benutze Windows 7…
Wie wiederherstelle ich das System ohne cd??habe kein zugriff auf meinen Desktop oder taskmanager (der zeigt keine Prozesse an)
Hallo Davido,
du kannst dich kostenlos in unserem Support-Forum anmelden. Unsere Experten helfen dir “Schritt-für-Schritt” bei der Bereinigung deines Rechners.
Grüße,
CG (ABBZ)
Hallo an alle die mir helfen können -.-
Ich hab schon alles probiert was hier steht -.-
doch es klappt nichts
kann mir einer bitte erklären was ich eventuell nicht gemacht haben könnte um den trojaner zu entfernen?
Danke
Neko
Hallo Neko,
die UKASH- Trojaner haben sich natürlich in laufe der Zeit verändert und diese Anleitung greift nicht mehr überall…
Melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.
Gruß ABBZ