Infizierte “explorer.exe” unter Windows 7 ersetzen
In einem unserer letzten Beiträge haben wir eine Lösung zur Entfernung des BKA-Trojaner für Windows XP-User aufgezeigt. Diese Anleitung richtet sich nur an Windows 7-Anwender mit dem BKA-Trojaner, der die “explorer.exe” infiziert!
Wie erkenne ich, ob ich genau diesen Trojaner auf meinem Rechner habe?
Sie starten den “abgesicherten Modus mit Eingabeaufforderung” und geben im DOS-Fenster “explorer” ein. Wenn sich jetzt der BKA-Tojaner öffnet sind Sie hier richtig und können unsere Schritt-für-Schritt-Anleitung befolgen. Öffnet sich aber der normale Windows-Explorer, haben Sie eine andere Version dieses Schädlings auf Ihrem PC. In dem Fall lesen Sie bitte hier weiter.
Da bei Windows 7 die Benutzerrechte bei Eingriffen in das System verschärft worden sind, ist der einfache Austausch der infizierten “explorer.exe” nicht ohne weiteres möglich. Der Weg ist im Prinzip der Gleiche wie bei Windows XP, mit dem Unterschied, dass Sie vor dem Austausch der Dateien den Zugriff auf die infizierte Datei ändern.
Wichtig: Für diesen Vorgang muss Ihr Benutzer Administratorrechte besitzen, sonst erhalten Sie bei der Rechteübernahme die Meldung “Zugriff verweigert”! Alternativ verwenden Sie bitte den Administrator.
Wir zeigen Ihnen hier wie das geht:
1. Sie starten den PC in den “abgesicherten Modus mit Eingabeaufforderung” wie im Bild unten zu sehen.
Das Auswahlmenü für den "abgesicherten Modus mit Eingabeaufforderung"
2. Nach dem Start des abgesicherten Modus sehen Sie ein MS DOS-Fenster mit einem blinkenden Cursor.
Der Startbildschirm mit der Eingabeaufforderung
3. Im MS DOS-Fenster geben Sie nun folgendes ein:
takeown /f c:\windows\explorer.exe
4. Jetzt erhalten Sie die Meldung, dass der Vorgang erfolgreich war und die Datei Ihnen jetzt als Benutzer zugewiesen worden ist.
Übernahme des Besitzes der systemeigenen Datei "explorer.exe"
5. Nach der Übernahme des Besitzes geben Sie folgendes ein:
cacls c:\windows\explorer.exe /g username:f
6. Achten Sie darauf, dass Sie “username” durch den User ersetzen mit dem Sie angemeldet sind!
7. Die Sicherheitsabfrage bestätigen Sie mit der Taste “J”.
8. An dieser Stelle erhalten den Hinweis “Bearbeitete Datei: c:\windows\explorer.exe“.
9. Nachdem nun die infizierte explorer.exe durch uns beschreibbar gemacht worden ist, muss diese nun durch die Originale ersetzt werden. Diese finden Sie mit der Eingabe:
cd\
dir explorer.exe /s
10. In der nachfolgenden Auflistung sehen Sie mehrere “explorer.exe” in verschiedenen Pfaden.
11. Suchen Sie die aktuellste “explorer.exe” mit der ungefähren Dateigröße von 2,6 MB.
12. In der Regel finden Sie die originalen “explorer.exe” bei der 32-Bit-Version in dem Unterverzeichnis “c:\windows\winsxs\x86_microsoft-windows-explorer…“.
Achtung: Windows-Anwender mit der 64-Bit-Version müssen die aktuellste “explorer.exe” aus dem Ordner “c:\windows\winsxs\amd64_microsoft-windows-explorer…” kopieren, sonst erhalten Sie die Fehlermeldung “Klasse nicht registriert”.
Sollten Sie nicht wissen welche Version Sie verwenden, geben Sie den Befehl “systeminfo” in der Eingabeaufforderung ein und suchen Sie den Eintrag “Systemtyp“. x86 steht für 32-Bit und x64 für 64-Bit.
Hier wurde die falsche "explorer.exe" kopiert
13. Wechseln Sie in diesen Ordner mit der “cd”-Eingabe:
cd c:\windows\winsxs\zielordner
14. Im Zielordner geben Sie nun folgenden Befehl ein:
xcopy explorer.exe c:\windows
15. Die Sicherheitsabfrage zum Überschreiben der Zieldatei bestätigen Sie mit der Taste “J”.
Überschreiben und Ersetzen der infizierten "explorer.exe"
16. Nachdem die infizierte Datei mit der originalen “explorer.exe” ersetzt worden ist, müssen noch die Berechtigungen angepasst werden.
17. Geben Sie nun nacheinander folgende Befehle ein:
icacls c:\windows\explorer.exe /reset
icacls c:\windows\explorer.exe /setintegritylevel H
icacls c:\windows\explorer.exe /setowner “NT Service\TrustedInstaller” /C
Mit /setowner ändern Sie die Besitzrechte
18. Starten Sie den Rechner neu mit dem Befehl:
shutdown -r -t 00
- Achten Sie darauf, dass Sie Ihren Rechner nach dem Hochfahren gründlich nach Schädlingen scannen, z. B. mit dem Programm “Malwarebytes Anti-Malware“.
- Weitere Unterstützung bei der Bereinigung des BKA-Trojaners erhalten Sie in unserem Forum.
43 Responses to Infizierte “explorer.exe” unter Windows 7 ersetzen
Hinterlasse eine Antwort
Support Forum- WinXP Viren und Avira-DE-CleanerBin im Augenblick sehr zufrieden, er brummelt nicht mehr vor sich hin sondern ist recht flott... […]
- BKA Trojaner 1.07ich bitte um eure Hilfe und schicke anbei meinen Logfile. Vielen lieben Dank. Malwarebytes... […]
- Win7 "Windows-Verschluesselungs Trojaner" unter Win 7 Prof mit SP1 (64bit) - was nun?---Zitat von kira--- berichte dann wie es mit die SWH ausgegangen ist? ---Zitatende--- Klar,... […]
- Win7 BKA 3.04 "Ihr Windows wurde aus Sicherheitsgründen blockiert"*Herzlich Willkommen in unserem Forum!* **Bevor wir unsere Zusammenarbeit beginnen, lies dir... […]
- WinXP Verschlüsselungstrojaner*Herzlich Willkommen in unserem Forum!* **Bevor wir unsere Zusammenarbeit beginnen, lies dir... […]
- WinXP Viren und Avira-DE-Cleaner
hallo!
habe meinen “bka-trojaner” nach der lösungsvariante auf botfrei.de versucht zu entfernen.
ich habe die explorerdatei ersetzt und neu gestartet allerdings zeigt mir windows nur eine fehlermeldung nach anmeldung und es folgt ein schwarzer bildschirm…
ich bitte nun um rat und hilfe denn ich bin mit meinem latein am ende und muss dringend wichtige dateien abrufen…
vielen dank im voraus
MfG
Schau mal hier bei uns im Forum vorbei:
http://forum.botfrei.de/showthread.php?53-BKA-Trojaner-Bildschirm-schwarz-nach-Explorer.exe-Tausch
Es scheinen entsprechende Rechte bei der explorer.exe zu fehlen.
Grüße,
TK, ABBZ
“Klasse nicht registriert” nach Austausch der explorer.exe unter Windows 7?
http://forum.botfrei.de/showthread.php?64-Manfred-quot-Klasse-nicht-registriert-quot-nach-Austausch-explorer.exe
Grüße,
TK, ABBZ
xcopy explorer.exe c:\windows
Die Sicherheitsabfrage zum Überschreiben der Zieldatei bestätigen Sie mit der Taste “J”
steht dann zugrif verweigert ich verzweifel bald
Damit wir Dir individuell weiterhelfen können, möchte ich Dich in unser kostenloses Support-Forum unter: http://forum.botfrei.de einladen! Eröffne einfach einen eigenen Thread zu Deinem Problem; und wir helfen Dir weiter.
Grüße,
TK, ABBZ
Ich kann die explorer.exe leider nicht ersetzen,da mir der Zugriff verweigert ist,obwohl die Datei eigentlich mir “gehören” sollte…
Hallo Perseus,
gerne helfen wir Dir in unserem Support-Forum weiter. Melde Dich einfach unter http://forum.botfrei.de an, und erstelle in der Kategorie Hilfe -> Windows Systeme einen eigenen Thread zu Deinem Problem. Hier ist einfach etwas unübersichtlich, daher der Verweis auf unser Forum.
Grüße,
TK, ABBZ
Das ganze geschieht zwar im abgesicherten Modus, eine Explorer.exe ist aber dennoch gestartet, vor allem, wenn man dem obigen Rat folgt, explorer.exe an der Eingabeaufforderung einzugeben. D.h. der Explorer ist sehr wahrscheinlich gestartet, auch wenn evtl. nicht der “dazugehörige” Dateimanager zu sehen ist (zum Explorer gehört weit mehr als nur die Oberfläche). Kurz und gut, solange das ding im Hintergrund läuft, bekommt man im “Dos-Deutsch” ein “Zugriff verweigert”. Und solange ist eine Dateiersetzung natürlich nicht möglich, also “Task-Manager” öffnen und ALLE Prozesse Explorer.exe beenden, auch wenn die Taskleiste verschwindet (die braucht man in der Shell eh net).
ich habe das gleiche problem. wenn ich an em einen pkt twas mit: cacls… eingeben soll, zeigt es mir immer wieder an, dass dieser befehl nicht eistiert, etc. ich habe mit sicherheit nicht falsch geschriebn! habs schon seehr oft nach geschaut!
was kann ich tun?
Hallo Lisa,
ich möchte Dich gerne an unser Support-Forum (http://forum.botfrei.de) verweisen. Melde Dich dort einfach kostenfrei an und erstelle unter “Hilfe” -> “Windows Systeme” einen neuen Thread zu Deinem Problem. Wir helfen Dir dort dann individuell weiter.
Grüße,
TK, ABBZ
Leider hat es auch mich erwischt! Habe ein AsusLaptop mit Win7 64Bit übernommen,System ist ohne Namen ,bzw.nur “X” und ich habe bisher nichts geändert.Wenn ich dann “X” als Username eingebe,kommt Fehler.Komme also mit der vorgeschlagenen Lösung nicht weiter. Auch alle ande4ren Lösungen haben bisher versagt. Da das laptop noch fast nackt ist , könnte ich auch eventuell neues Bs aufspielen, möchte aber eigentich eine Lösung finden. Grüße sailor
Registriere Dich bitte kostenfrei in unserem Support-Forum unter http://forum.botfrei.de und erstelle dort einen eigenen Thread für Dein Problem. Gerne helfen wir dort individuell weiter. Hier ist es ein wenig unübersichtlich.
Grüße,
TK, ABBZ
Hallo,
Ich habe den BKA-Trojaner unter Windows 7 wie folgt beseitigt:
1) Den Rechner hochfahren bis der Trojaner (die Betrugsseite) auf dem Bildschirm erscheint.
2) Mit der Maus an den oberen Bildschirmrand fahren und rechte Maustaste drücken.
3) Im nun aufgeklappten Menü unter Eigenschaften den Pfad aufschreiben, unter dem der Trojaner gespeichert ist. Bei mir war das: res://C:\Users\nn\AppData\Roaming\mahmud.exe/main
4) den Rechner im abgesicherten Modus starten (Jetzt kommt der Trojaner nicht)
5) Das Programm mahmud.exe suchen und löschen.
6) Den Rechner normal hochfahren. Der Trojaner kommt nicht mehr.
7) Antivirensoftware laufen lassen. Bei mir hat Antivir (kostenlose Version) noch einen Fund dazu gehabt. Die Datei in Quarantäne verscheiben. Jetzt lief alles wieder.
Vielleicht funktioniert meine Lösung ja auch bei anderen. Viel Glück!
Hallo zusammen,
seit Tagen kämpfe auch ich mit allen möglichen Methoden gegen dieses fiese Teil – leider ohne Erfolg. Auch bei mir wurde Anti-Vir unter Vista einfach deaktiviert.
Erst die supergeniale und obendrein sehr einfache Anleitung von Christoph Kordt führte zum Erfolg.
Allen Beteiligten hier einen riesigen Dank für ihren unermüdlichen Einsatz, GANZ besonders natürlich an Herrn Kordt!
Viele Grüße
Stefan
Hallo Herr Kordt,
vielen Dank für die Ergänzung! Ich denke, ein Autor sollte diese in den Artikel aufnehmen! Nur so konnte ich meiner Freundin (mit defektem Bildschirm, daher ohne abgesicherten Modus) telefonisch den Virus entfernen
Vielen Dank!
Lukas
Hallo Lukas,
auf diesem Blog haben wir mehrere unterschiedliche Anleitungen; je nachdem welche der ca. 20 Versionen des Trojaners auf Deinem Rechner gerade aktiv ist!
Grüße,
TK, ABBZ
Hallo Herr Kordt,
endlich bin ich nach Ihrer Anleitung den Trojaner wieder los.
Vielen Dank!
Herzliche Grüße
Gerhard Könemann
habe versucht den BKA-Trojaner zu entfernen leider funktioniert das nicht weil an der Stelle wo Zielordner steht nichts angenommen wird was man da eingeben soll
Hallo moma,
Registriere Dich bitte kostenfrei in unserem Support-Forum unter http://forum.botfrei.de und erstelle dort einen eigenen Thread für Dein Problem. Gerne helfen wir dort individuell weiter. Hier ist es ein wenig unübersichtlich.
Gruß ABBZ
Moin,
als Dank für Eure Hilfe meine kurzen Anmerkungen.
Ich hab mir das BKA-Mistding am letzten Sonntag beim Betrachten von Oline-Landkarten eingefangen. Nicht zu fassen.
Der Avira DE Claner hat nicht geholfen sondern wurde ratzfatz selbst befallen.
Also habe ich sas_zufallszahl.com über die Platten huschen lassen. Hat auch nichts gebracht. Selbst das hier: http://blog.botfrei.de/2011/11/bka-trojaner-infiziert-explorer-exe-auch-unter-windows-7/ hat nicht geholfen. Da hatte ich laufend Shareprobleme.
Erst der Tip von Christoph Kordt hat definitiv geholfen.
Und jetzt werde ich mir mal ´n ordenliches Antivirusprogramm besorgen.
Habt ihr gute Vorschläge?
Nochmals Danke
Karl
Hallo alle zusammen,
der BKA Trojaner hat auch meinen Rechner befallen. Habe die Schritte wie oben beschrieben befolgt. Mein Problem – und dafür könnte ich mich nun selbst verfluchen- ist das, das ich versehentlich die X86-Explorer Datei genommen habe statt der amd64 die mein Windows 7 HomeEdition 64-Bit System gebraucht hätte.
Dadurch kam es wie beschrieben zu einem schwarzen Explorer in Verbindung mit der Fehlermeldung “Klasse nicht registriert”.
Nun dachte ich mir das ich die Schritte einfach wiederhole und die Explorer-Datei gegen die richtige amd64-Datei austausche aber sobald ich “dir explorer.exe /s” eingebe, bekomme ich nun die Meldung “Datei nicht gefunden” – es scheint als wären diese nun gelöscht (es waren 21 Exlorer-Datein, die neueste vom 21.02.2011).
Noch zur Info: Benutzer verfügt über alle Rechte (Admin), Systemwiederherstellungspunkt nicht vorhanden (RSTRUI.EXE)
Avira hatte vor dem Befall noch gemeldet das zwei Trojaner auf dem Rechner sind, nach der Auswahl Infizierte Dateien löschen gings allerdings trotzdem direkt los
Hilfe, bin auf die Dateie auf dem Rechner angewiesen und würde diesen daher ungerne Platt machen ! Wer kann mir da weiter helfen !!! Tausend dank schon mal im Vorraus !!!
Grüße Michael
Hallo Michael,
gerne helfen wir Dir individuell weiter. Melde Dich hierzu bitte kostenfrei in unserem Support-Forum an: http://forum.botfrei.de und erstelle einen Thread mit allen Informationen, die Du hier gepostet hast. Hier im Blog wird das leider ein wenig unübersichtlich.
Grüße,
TK, ABBZ
Einfach mal versuchen wie auf Bild 1. jedoch hier das Feld Computer reparieren eingeben!
Dann nach Aufforderung Wiederherstellungsdatum eingeben und starten!
Hat bei mir super funktioniert.
Habe allerdings erst den Compi komplett vom Stromnetz gelöst dann beim “Hochfahren” F8 gedrückt gehalten und somit den Vorgang gestartet dann gehts weiter wie vorher beschrieben.Viel Glück
Hallo Benno,
das funktioniert allerdings nur wenn Wiederherstellungspunkte gesetzt worden sind. Der Menüpunkt “Computer reparieren” ist im Prinzip nichts anderes als die Systemwiederherstellungsroutine von Windows.
Grüße,
CG (ABBZ)
Ich lese immer nur Anleitungen entweder für Windows XP oder 7. Was ist eigentlich mit Windows Vista, wie geht man da vor?
Hallo Wolfgang,
die Vorgehensweise unter Vista unterscheidet sich nicht von Windows 7.
MFG
ABBZ
Servus ich habe das so weit ich es konnte oben befolgt aber irgentwie hänge ich da fest wo das wegen 64bit version steht wo muss ich was und wie kopieren und wo wieder einfügen???
ich habe eine 64 bit version kenn ma aber im Dos wenig bis garnicht aus bitte um schnele hillfe
Hallo Brian,
bitte kommen Sie ins Forum unter http://forum.botfrei.de
In der Kommentarfunktion wird es für eine individuelle Hilfe zu unübersichtlich.
MFG
MG
ABBZ
Hat bei uns alles nicht funktioniert wir hatten das datum vom laptop zuk gesetzt und dann hat er wieder funktioniert.
Hi Jassi,
wenn Du nur das Datum vom Laptop zurückgesetzt hast, dann solltest Du dringend nochmals über Deinen Rechner scannen … ich vermute, dass sich der Trojaner wieder aktiviert, wenn das “Datum” erreicht wurde, an dem er das letzte mal aktiv wurde!
Für individuellen Support, stehen wir im Forum unter: http://forum.botfrei.de zur Verfügung!
Grüße,
TK, ABBZ
Hallo.
Ich habe seit gestern abend den Virus und komme nicht weiter. Anfangs habe ich über den abgesicherten Modus einige Dateien aus meinem temp Ordner gelöscht. Danach ist es möglich Windows 7 normal zu starten. Jedoch sind alle Desktop Bilder weg und wenn ich versuche über den Task Manager einen neuen Task zu starten, um die Registry nach weiteren befallenen Daten zu durchsuchen, bekomme ich den Hinweis: “Zugriff auf den Task Manager durch den Administrator blockiert”. Also habe ich mich nach den Vorgaben von botfrei.de gerichtet.
Wieder im abgesicherten Modus bleibe ich im Schritt 5. bzw. 6. hängen. Gebe ich den Befehl: “c:\windows\explorer.exe /g Beutzer:f” ein, bekomme ich den Hinweis: “Cacls ist veraltet. Verw. Sie Icacls”. Sowie eine Auflistung, “Zeigt Datei-ACLs an o. bearbeitet sie. Ich denke, dass mir hier angezeigt wird, welche Sachen ich mit dem Befehl “Cacls” durchführen kann. mit z.B. Cacls Dateiname /T kann ich die angegeben Datei im aktuellen Verzeichnis und allen UNterverzeichnissen ändern. Mit dem Befehl werde ich auch an keine Sicherheitsbestätigung geben.
Nun habe ich das auch mal mit Icacls versucht. Leider bekomme ich den hinweis: “ungültiger Parameter: “/G”". Ich glaube, der Virus verhindert alles, damit ich keinen Administrator-Zugriff habe.
Eine Systemwiederherstellung zu früheren Zeitpunkten, ohne Virus, habe ich schon tausenmal auf verschiedenste Arten probiert. Leider bekomme ich nach dem Neustart von Windows immer angezeigt, das es ein Fehler bei der Wiederherstellung gab. Wahrscheinlich durch den VIrus.
Ich habe echt keine Ahnung mehr, was ich machen kann. Würde auch Windows neu drauf spielen, die Daten habe ich einigermaßne gesichert, aber ich habe keine CD für Windows und habe keinen Plan, wie ich das machen soll ohne CD.
Bitte um Hilfe!!
Vielen Dank schon einmal
Wir können hier leider keinen individuelle Support leisten. Wende Dich hierzu bitte an unser Forum unter: http://forum.botfrei.de!
Grüße,
TK, ABBZ
danke an Herr Kordt ,
bin schon verzeifelt wegen dem trojaner dank Ihnen hab ich den endlich los .
vielen dank !
Hatte vor zwei Tagen mit folgenden Maßnahmen bei Win 7 Erfolg:
Beim Hochfahren auf den Win Explorer klicken. (ggf. über Systemsteuerung drauf kommen) Muss in Sekunden passierte weil … s. oben.
Wenn das geklappt hat liegt das Explorer-Fenster über der BKA Blanco-Seite.
….Dann in Ruhe “Malewarebytes” installieren. Durchlaufen lassen — runterfahren -
fertig — PC ist wieder sauber.
hi leute, ich hatte den “Gema troyaner” un habe einfach im “abgesicherten modus” die “system wiederherstellung” durchgefürt und hat geklappt
ich hab “windows 7″ viel glück beim versuch 
hallo zusammen
Ich bin gestern abend bis schritt 14 gekommen und weiß ab da nicht mehr weiter da sich bei mir keine datei mit “shell” befindet geschweige denn andere dateien die ich löschen könnte sondern ausschließlich diese “standard” datei ..
gibt es denn auch die möglichkeit das jemand einem telefonisch helfen könnte da ich denke das es so etwas einfacher sein könnte =)
liebe grüße
Hallo universaismus,
Leider haben wir keinen telefonischen Support, bitte melden Sie sich kostenfrei in unserem forum.botfrei.de an und beschreiben Sie ihr Problem so genau wie möglich. Experten werden bei der Lösung helfen.
Gruß ABBZ
Hi ich habe ein Problem, nämlich steht bei mir nachdem ich das xcopy gemacht habe -> unzulässiger Vorgang… Was nun?
Hallo Fairy,
gerne helfen wir Dir individuell weiter. Registriere Dich hierzu bitte in unserem Support-Forum unter http://forum.botfrei.de!
Grüße,
TK, ABBZ
also ich hab mir als erstes admin-rechte geholt und dann im administrator konto bei win7 malwarebytes durchlaufen lassen..nun wollt ich den wieder normal starten und mit meinem normalen konto anmelden..da kam nach der anmeldung nur ein schwarzer bildschirm..und die explorer.exe findet er bei mir auch nicht.. nach cd\
dir explorer.exe /s kommt nur die volumenseriennummer..
mfg
ich komme schritt 12 nicht mehr weiter bitte hilft mir danke!!!
Hallo tafa,
registrier dich in unserem Forum unter http://forum.botfrei.de und erstell ein neues Thema unter Hilfe -> Windows-Systeme.
MG
Fuer Schritt 5 wird der veraltete cacls Befehl angegeben, der nicht mehr funktioniert.
Die Syntax fuer icacls lautet:
icacls c:\windows\explorer.exe /grant :r Benutzer:(f)
Anstelle “Benutzer” natuerlich den angemeldeten Benutzernamen verwenden.
MfG