Neue Version des BKA-Trojaners im Umlauf
Es erreichen uns Meldungen über eine neue Variante des bekannten BKA-Ukash-Trojaners aus den letzten Monaten. Die neue Version zeigt eine etwas überarbeitete Oberfläche mit der Warnung der Bundespolizei (National Cyber Crimes Unit) und fordert Sie auf den Betrag von 100 Euro per Ukash oder Paysafecard zu bezahlen.
Die Einblendung erfolgt durch den Browser über die IP-Adressen:
- 184.82.101.64
- 91.217.90.50
- 193.105.240.239
- 212.124.121.66
- 95.57.120.161
- 87.255.73.58
- 91.217.200.62
Der Taskmanager wird auch hier komplett deaktiviert.
Warnung: Zahlen Sie auf keinen Fall den angegebenen Betrag per Ukash oder Paysafecard! Diese Meldung ist nicht von der Bundespolizei.
Anscheinend verwendet der neue BKA-Trojaner nicht die üblichen Methoden über veränderte Registryeinträge im Winlogon oder Run-Verzeichnis. Auch die “explorer.exe” wird in diesem Falle nicht infiziert.
Sollten Sie ein Sample dieses Exemplars besitzen, schicken Sie es uns bitte per Kontaktformular.
Hinweis: Lösungsansätze diskutieren wir in unserem kostenlosen Support-Forum. Registrieren Sie sich und diskutieren Sie mit!
Hi, ich habe den artikel gelesen. wisst ihr wie der trojaner im verzeichnis heißt und wo ich ihn finden kann? mein rechner ist ebenfalls betroffen. weiß nicht ob es glücksfall war,d ass ich noch ein zweites fenster öffnen konnte. was habe ich bislang für optionen? av lässt er nurnoch in einer endlosschelife fahren und nicht ausführen =(
Hallo Nadine,
Momentan diskutieren wir im Forum gerade einige Loesungsansaetze und Laden Dich gerne ein uns dabei zu unterstützen. Registriere Dich hierzu einfach kostenfrei unter http://forum.botfrei.de und versorge uns mit allen Infos, die Du uns geben kannst.
Grüße,
TK, ABBZ
Also bei war eine Exe datei mit folgendem Ziel im Autostart verknüpft.
C:\Windows\System32\rundll32.exe C:\Users\[USER] \AppData\Local\Temp.3368337679799246.exe,SuppS
einfach einen anderen Benutzer wählen und in meinem fall wars Kaspersky einen komplettscan ausführen lassen.
ich habe zuvor noch den Administrator über die Eingabeaufforderung aktiviert.
Hallo face,
Danke für die Information.
Schau doch mal in unserem Forum vorbei, evtl. kannst du mit deinen Kenntnissen anderen Usern helfen.
http://forum.botfrei.de/forum.php
Gruß ABBZ
Sandbox-Analyse:
http://www.threatexpert.com/report.aspx?md5=afef56f7b3f3bd6135799cfb28e891e2
Virustotal:
http://www.virustotal.com/file-scan/report.html?id=7b7096bf972368b98d760bd8b5b73ef319449101fefab6a8a726b8ab6b199674-1322100978
Mein Vater hat den auch seit gestern drauf.Weiß schon jemand Lösungsvorschläge.
Hallo seppmaster,
Lösungsansätze diskutieren wir momentan in unseren Forum unter: http://forum.botfrei.de/forumdisplay.php?28-Windows-Systeme.
Sobald wir brauchbare Samples von diesem Trojaner analysieren können, werden wir diese hier im Blog veröffentlichen.
Grüße,
CG (ABBZ)
Echt nervig das Ding. Bei mir haben auch die Rescue CDs nichts bewirken können leider.
Hoffe Ihr findet schnell ne Lösung.
LG aus Düsseldorf
Hallo Kalbon,
Lösungsansätze diskutieren wir momentan in unseren Forum unter: http://forum.botfrei.de/forumdisplay.php?28-Windows-Systeme.
Grüße Abbz
Habe den Trojaner jetzt auch besiegt. Im abgesicherten Modus einfach Malwarebytes laufen lassen.
Der bereinigt das Problem ganz einfach.
Schönen Abend noch
Ich habe seit heute auch das ding eingefangen. Kann weder den task manager noch den rechner auf abgesicherten Modus laufen lassen. Weis nicht mehr weiter. Brauche dringend hilfe. Neue formatierung kommt für mich nie in frage, hab zu viele daten die ich täglich brauche.
Vielen dank im voraus für jeden tipp den ich bekommen kann.Grüße
Adrian
Hallo lapraka,
gerne laden wir Dir Dich zu uns ins Support-Forum unter http://forum.botfrei.de ein und helfen Dir dort individuell weiter!
Grüße,
TK, ABBZ
Scheint bei mir auch zu funktionieren. Danke für diese einfache Lösung, obwohl ich nur die 30 tätige Testversion von Maleware runter geladen habe. Empfehlenswert !!!
Hallo Frank,
danke für dein Feedback. Registrier dich doch in unserem Forum und diskutier mit.
Gruß
MG
ABBZ
Hay Frank,
erstmal danke für die Lösung, aber bei mir gings nicht im abgesicherten Modus.Nach dem der Startbildschirm erschien drückte ich Alt,Strg Entf um den Task Manager zu öffnen,dann schob sich die BKA Seite wieder vor und blockierte ich drückte nochmal Alt,Strg,Entf wieder blockiert, nun drückte ich den Ausschalter der Rechner fährt herrunter es erscheinen die zubeendenden Tasks ( dunkler Bildschirm) jetzt auf Abbrechen (Rechts) gedrückt und der Rechner fährt wieder hoch und war wieder frei.Der Trojaner fuhr sich selbst in den ruhe zustand,sodass das Betriebsystem wieder funktionierte auch Internet so lud ich Malwarebytes 30 Tage gratis und lies es laufen danach Mac Affee ( oder ein anderes) komplett scann von beiden 2 Vervolgungs Cookies und der Tojaner gefunden und entfernt. Der Rechner wurde mehrmals hoch und runter gefahren und laüft ohne Probleme noch mal alles gescannt und nichts gefunden. Betriebsysten Windows 7 64 Bit.
Hallo,
ich habe auch diese Version auf meinem Netbook. Seit gestern ist diese komplett lahmgelegt, der Task Manager geht nicht etc.
Eine Suche in den üblichen Registryeinträgen etc verlief ebenfalls fruchtlos.
Was könnt ihr empfehlen? Soll ich im abgesicherten Modus Malwarebytes laufen lassen oder gibt es schon eine neuere Lösung?
Wenn ersteres, wie mach ich das genau?
Vielen Dank vorab.
Hallo MM,
gerne helfen wir Dir individuell weiter. Melde Dich hierzu kostenfrei in unserem Support-Forum unter: http://forum.botfrei.de an und erstelle in der entsprechenden Kategorie einen Themenstrang zu Deinem Problem.
Bis dahin,
TK, ABBZ
habe das problem wie folgt gelöst war auch die neue version von BKA
1. versuch abgesicherter modus systemwiederherstellung datum vor der infizierung soweit auch geklappt nur alles desktop symbole verschwinden.
2. versuch abgesicherter modus und vom usb stick malwarebytes laufen lassen nach neustart alles beim alten lasse grad noch 3 virusprogramme durchlaufen ob die noch was finden.
3. wäre sicher ratsam win neu drauf zu spielen nach sichern aller benötigten daten um 100% sicher zu sein.
Hi miteinander,
ich hatte die neue Version des Trojaners und habe ihn erfolgreich gelöscht bekommen.
Zu finden ist er im Autostart-Menü. Über den Pfad kommt man dann zur Exe-Datei im Temp Ordner. Löschen und noch Anti-Malware drüber und die Sache war geritzt. In der regedit war in der Tat nichts zu finden. Egal welche Möglichkeiten ich durchgespielt habe.
Vorgehensweise ist sonst die Gleiche. In den abesicherten Modus und dann löschen. Die .exe datei hat och keinen bestimmten Namen wir Mahmud, sondern war eine Anneinanderreihung vieler Nummern.
Hoffe ich konnte ein wenig helfen.
Hi Dominik,
vielen Dank für Deinen Tipp. Kannst Du mir noch ein bißchen genauer erläutern was Du genau meinst mit “Autostart Menü”?? So für Dummies ??
Wenn ich nicht über den Command “regedit” reinkomme, wie dann genau?
Merci!!
Gruß,
MM
Hallo zusammen,
nachdem es mich gestern auch erwischt habe, bin ich heute erfolgreich gewesen und habe den Virus (scheinbar) losgeworden. Habe Win XP drauf.
Habe eine Systemwiederherstellung gemacht von vor 10 Tagen, und danach 2 Virenprogramme über alles laufen lassen. Virus wurde gefunden, hatte den üblichen Namen nur aus Zahlenkombinationen und befand sich in den temporären Firefox-Dateien.
Seitdem läuft alles wieder wunderbar, auch das Problem mit den fehlenden Desktop-Datein trat nicht auf. Werde jetzt eine Datensicherung durchführen und dann den Rechner platt machen. Man weiss ja nie, sicher ist sicher.
Grüße und allen anderen viel Erfolg!
Guten Tag,
auch ich musste einen Treffer verkraften. Nachdem die “Desinfektion”-Versuche über Bot-Sektor und Virus-Suche vergeschlagen waren, konnte ich über den abgesicherten Modus und CCleaner den vermutlichen Übertäter einkreisen und deaktivieren – auch bei mir war es ein Link im Autostart, allerdings mit Verweis in Richtung rundll32.exe.
Es scheint aber, als hätte das Kerlchen selbst oder die Nebenwirkungen der Therapie mir nach und nach die gesamte Treiberstruktur zerlegt.
Da der Rechner jetzt wahrscheinlich sowieso eine Grundreinigung benötigt, werde ich mir den Burschen jetzt mal näher anschauen, vielleicht findet sich ja noch der eine oder andere Hinweis. Ich hoffe, ich kann ihn isolieren und einschicken.
Danke, Ch. Müller. Wenn Du individuelle Hilfe benötigst: http://forum.botfrei.de!
Grüße,
TK, ABBZ
Können Sie mir vielleicht erläutern (for Dummies) wie ich Links bei Autostart finde? Ich habe XP und finde unter Start->Programme->Autostart im abgesicherten Modus nur eine Sache für Bluetooth.
Vielen Dank.
Hallo!
Ich habe den probleme auch gehabt. Besser gleich den program löschen den findest du unter den Temp ordner
laufwerk c:\Dokumente und Einstellungen\deine account name\Lokale Einstellungen(diese ordner ist verschteckt kannst du unter windows explorer extras->ordner optionen->ansicht->verschteckte dateien und Ordner->alle Dateien und Ordner anzeigen hier eine hacken und übernehmen dan siehst du den ordner)\Temp hier den müll löschen bei mir hat den program disen name gehabt 0.38824125528251574.exe wenn es gelöscht dann neustarten und in der Startmenü->Alle Programme->Autostart von hier muss du noch den verknüpfung lössen und fertig. Wichtig den papierkorb auch leeren.
Die ganze sache ist maximale 10 Minute.
Ich hoffe das ich geholfen hab.
Es tut mir leid für meine schlekste deutsch ich bin Ungar.
Danke, werd ich mal probieren!! Bei mir befindet sich im Autostart nämlich nur ein BT (Bluetooth) Tray, sonst nix???
Ich werd mal im Lokale Einst-Ordner schauen.
Hallo MickeyM
hab das selbe Problem wie MM, dass bei mir nur Bluetooth im Autosart drin ist, hab deine Version versucht kann aber leider meinen Accout im abgesicherten Modus nicht aufmachen ist gesperrt! Und wo genau finde ich windows explorer extras? Bitte von anfang an bin absoluter rooky;-) hoff Du kannst mir oder irgendjemand anders helfen
Hallo Tina,
komm bitte ins Forum, dort können wir dir besser helfen.
MG
ABBZ
Danke vielmals blog.botfrei.
Und besonders MickyM.
Hallo,
ich bin ihn gerade losgeworden. Bin diesbezüglich kein wirklicher Fachmann, und lasse mich deshalb gerne korrigieren, wenn ich was falsches sage. Habe folgendes unternommen:
1. Suche im abgesicherten Modus (vor dem booten PF8 drücken):
In der registry war nichts zu finden. Im Startmenü (Autosstart!!!) fand ich eine Verknüpfung, die als .exe getarnt war, mit Namen “0.nnnn.exe” (nnnn = 16stellige Ziffernfolge). Als Ziel der Verknüpfung (Rechtsklick -> Eigenschaften -> Verknüpfung -> Ziel:) war erst die C:\…\rundll32.exe angegeben (die man nicht löschen darf (kann?)!), dahinter stand dann der Übeltäter: “C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp.nnnn.exe”, mit folgendem Parameter: “X11″. Alles in einer .txt-Datei gepeichert bzw. gemerkt.
2. Säubern:
Als erstes habe ich den Autostart-Eintrag gelöscht. Dann im “gemerkten” Verzeichnis die Datei gelöscht, bzw. geshreddert. Ich hätte sie natürlich besser vorher per mail an botfrei geschickt… Dann – ganz wichtig! – habe ich die History/Chronik im browser (in welchem auch immer) untersucht. Die Einträge mit den hier oben genannten IP-Adressen sollte man natürlich keinesfalls aufrufen, sondern löschen; ich habe den gesamten Verlauf, alle Cookies und temp. Internetdateien gelöscht. Evtl. kann man vorher noch herausfinden, welche website den Trojaner installiert hat?! Ich habe leider nicht mehr so genau geschaut
3. Prüfen:
Zur Sicherheit habe ich mir eine rescue-CD (Avira) ausgeliehen und mit dieser gebootet. Dann habe ich als erstes Virendefinitionsdateien aktualisiert (Update-Funktion) und dann den gesamten PC gescannt.
Nun scheint alles wieder ok zu sein. Als erstes werde ich mir jetzt eine solche CD erstellen.
Interessant erschien mir, dass die Datei von Agnitum Ltd. “kommt”….
Gruß, K.
Hallo,
Trojaner am 29.11.11 eingefangen.
Beseitigung wie bei t-online.de (s.d.) beschrieben erfolglos.
http://computer.t-online.de/ukash-trojaner-bka-trojaner-entfernen-anleitung/id_49287452/index
Danach alle Schritte im abgesicherten Modus so durchgeführt wie K.; erfolgreich !
Pfad und exe wie folgt:
C:\Dokumente~1\… (unter dem User-Namen) …\Temp.9620517518746816.exe,X11
Ear Coon Pant
Agnitum Ltd.
DiFrWe dankt !
Hallo, habe den Trojaner dank “K” anscheinend los. Habe den PC zunächst im abgesicherten Modus gestartet (für Dummis wie mich: während des Hochfahrens so oft die F8-Taste drücken, bis abgesicherter Modus startet), die Datei mir den vielen Zahlen und exe im Autostart gefunden und gelöscht. Auch im Papierkorb.
Allerdings fand ich in der Browser-History keinen Hinweis auf den Trojaner. Eine rescue-CD habe ich auch nicht, aber der PC läuft momentan trotzdem wieder. Ich hoffe, das bleibt so.
Danke “K”!
Danke! Das hat sogar so ein PC Legastheniker wie ich verstanden!
Und es hat geklappt!
Hallo Haecki,
das freut uns
MG, ABBZ
Da unter Windows 7 noch andere Accounts vorhanden waren, hat es genügt, sich unter einem nicht infizierten account anzumelden und dann nach der Anleitung von K zu verfahren. D.h. Autostart und exe im Temp-Verzeichnis entfernen.
Danke und Gruß, Martin
Dieser möchtegernvirus hat sich auch grad bei mir nach besuch einer Webseite eingenistet.
ich konnte ihn folgendermaßen entfernen (windows 7):
1. im abgesicherten modus starten
2. auf start drücken und in das kleine schnellstart/suchfenster msconfig eingeben und enter drücken
3. es öffnet sich ein weiteres fenster, hier nun auf den Reiter Systemstart gehen
4. der virus hieß bei mir wie folgt:
Systemstartelement – tattle posts donor balm alec
Hersteller – Agnitum Ltd.
5. Häkchen von diesem Eintrag wegmachen, OK drücken und neu starten
6. danach konnte ich wieder normal neu starten , malwarebytes 14 tage testversion
gesaugt und dies hat den rest erledigt.
Danke Mickym!
Hab den Virus heute drauf gehabt und deine Anweisungen befolgt. Ist jetzt alles wieder ok…
Hallo alle zusammen,
ich hab mir den Virus gestern eingefangen. Kaspersky hat nicht wirklich was gebracht. Ich hab beim Neustart F8 gedrückt und dann das System auf einen frühreren Zeitpunkt zurückgesetzt. Jetzt geht es wieder. Allerding habe ich noch Angst, dass er noch irgendwo drauf ist, daher lasse ich gerade Malwarebyte scannen. Meine Virenschutzprogramme haben nichts gefunden. Ich möchte ungern meinen PC crashen :C Ich hoffe Malwarebyte macht ihn endlich platt, drei infizierte Objekte hat er schon gefunden.
Hallo Zuri,
ich möchte Dich herzlich in unser Support-Forum einladen. Dort helfen wir Dir gerne individuell weiter! Registriere Dich hierzu einfach kostenlos unter: http://forum.botfrei.de und erstelle dort einen entsprechenden Beitrag mit Deinen Wünschen!
Grüße,
TK, ABBZ
Ihr seid da ganz wild drauf darüber zu diskutieren? Das macht mich stutzig.
Steckt da etwa von euch jemand dahinter?
Hallo Hyundai-Hans,
da der Trojaner in Deutschland sehr stark verbreitet ist, und auch immer wieder in neuen Varianten auf den “Markt” kommt, ist das auch notwendig. Als zentrale Anlaufstelle in Deutschland, ist es daher für uns eine Pflicht hier weiterzuhelfen und Aufklärung zu leisten. Insbesondere mit dem Fokus, dass hier keine irgendwelche Voucher kauft und den Kriminellen Geld transferiert!
Grüße,
TK, ABBZ
hallo, mich hat es auch erwischt, habe m alle hier vorgeschlagenen Vorgehensweisen versucht, leider ohne erfolg. Habe im Forum einen Threat eröffnet, würde mich über hilfreiche Kommentare sehr freuen………
lG aus Berlin
der Traumbazar
Ich habe den Trojaner inzwischen auch gefunden: war wie bei einigen anderen hier beschrieben unter Programm->Autostart im abgesicherten Modus zu finden…
Hat bei mir nur etwas gedauert, da ich zwei Accounts habe. Nachdem ich die Datei Namens “wpbt0.dll” entfernt hatte aus dem Autostart Menu, ging das Netbook wieder ganz normal.
Habe dann Malwarebytes laufen lassen und Anti Vir und plötzlich satte 12 weitere Trojaner gefunden!!! Ziemlich übel. Die meisten befanden sich in den Ordnern Lokale Einstellungem->Temp oder Temp Internet Files.
Hey,
es ist wichtig ich glaub ich habe die lösung.
Heute den bekommen und durch 1-2 h rumprobieren “entfernt” bekommen.
(nicht ganz… aber sie öffnet sich net mehr einige stück sind noch da)
ich weis wo die exe ist und sie ist in autostart drinn.
so nun möchte ich nur noch wissen was Malware-Sample is
den schick ich euch dir whatever das
(das einzige was noch weg muss ist das ich es aus der autostartliste löschen kann)
weil jedes mal Kommt die fehlermeldung das …..exe nich geöffnet werden kann, wen ich den pc hochfahre
Hallo WoW,
komm bitte in unser Forum und teile uns deine Erfahrung mit.
MG
ABBZ
Hallo, habe den Übeltäter aufm Rechner unter Win 7 Ultimate x64.
Er infiziert sowohl ieframe.dll, als auch explorer.exe.
Einträge in der Registry sind in Ordnung und sowohl das Kaspersky, als auch das Avira linuxbasierte Removal-Tool konnten nicht helfen.
Wenn ich die Explorer.exe oder ieframe.dll ersetzen oder löschen
möchte, will eine andere explorer.exe dies verhindern und fragt nach der Berechtigung. Unter Infos sagt er mir nur <3AD05575… usw.
Im Taskmanager ist keine suspekte Datei zu finden und auch in Hijackthis und in MSconfig konnte ich nichts ausfindig machen.
Jedes mal wenn ich denke alle Reste entfernt zu haben schreibt sich das Biest wieder in die Explorer.exe.
Hallo anon,
das heißt dann, dass noch Reste irgendwo im System oder Run Pfad liegen. In unserem Forum können wir dir weiter helfen.
MG
ABBZ
Update, von allen getesteten Antivir Softwares hat NUR Malwarebytes die neue Version gefunden und beseitigt. Lass grad mal OTL drüberlaufen und guck ob sich noch was eingenistet hat.
Hallo!
hatte mich gestern auch mit dem trojaner infiziert.
Weiß nicht ob ich ihn jetzt los bin, aber er wird mir im Moment nicht angezeigt.
Ich wollte den Task Manager starten, was bis zum Fenster wo man Benutzer wechseln, auf den Task Manager gehn,… oder auch Abmelden,Herunterfahren und Neustarten kann.
Da bin ich dann auf Neustart gegangen, worauf ich wieder beim normalen Bildschirm gelandet bin, da mein PC erst noch alle Programme, die im Hintergrund gelaufen sind, schließen musste. Da bin ich dann einfach auf abbrechen gegangen und seit dem bin ich wieder im normalen Zustand.
Seit dem war nichts mehr von dem Virus; hab natürlich gleich Antivir checken lassen, was jedoch keine Viren finden konnte.
Jetzt meine Frage, bin ich den Trojaner wirklich los, oder ist der noch i-wo im hintergrund?
Hallo Daniel,
um Dir diese Frage beantworten zu können, möchte ich Dich in unser Support-Forum einladen: http://forum.botfrei.de!
Grüße,
TK, ABBZ
–
Folge uns auf Facebook: http://facebook.com/botfrei
Versucht Task-Manager zu Starten. Fehlermeldung das der Task-Manager deaktiviert ist. Solange die Fehlermeldung nicht weg geklickt wurde, hatte ich zugriff auf den PC. Systemwiederherstellung gestartet und alles war gut.
Also ich hab den bei mir heute gelöscht bekommen
Habe “exe” bei “Start” eingegeben und da kam dann die Datei: 0.5730333395161681.exe (hoffe ich hab sie richtig aufgeschrieben) Diese habe ich geöffnet und da spielte sich dann mal wieder der selbe Scheiß ab. Nach dem Neustart hab ich sie gelöscht, Papierkorb geleert und nochmal Neustart. Bis jetzt ist noch alles in Ordnung.
Hi zusammen,
hatte auch den BKA-Virus im neuen Format, hatte durch dummen Glück noch ein Fenster geöffnet (Windows7), konnte dann mit den oberen Anleitungen alles erledigen, hatte nur das Problem, dass meine Rechte für die Systemsteuerung verflogen waren… folglich dessen konnte ich anfangs den Ordner APPData nicht öffnen, weil dieser noch ausgeblendet war.Hatte sich aber nach nem Neustart erledigt, und danke für die super Erklärungen für Leihen, die eigentlich nur mit dem PC arbeiten und nicht am PC
Hallo Leute,
Infizierung: 10.12
habe den Virus wie folgt beseitigt (windows 7 ultimate 64 bit) :
1. Pc im abgesicherten modus starten
2. startbutton unten links anklicken (zurück-zu-windows-taste)
3. “msconfig” in die suchleiste eingeben und msconfig öffnen (erste suchergebnis)
3. Systemstart anklicken nun sieht man die liste der programme/anwendungen, die beim systemstart automatisch starten. Da der Virus beim PC-start auch automatisch startet, muss er sich in dieser liste befinden.
4. Liste nach verdächtigen programmen auschecken diese version des virus besteht aus vielen zahlen.exe (meistens ist der virus mit einem decknamen und seriösem hersteller getarnt oder es ist direkt eine lange zahlenfolge.exe zu sehen; bei mir hieß das programm blair beech tower von packard)
5.Nun das verzeichnis merken, welches in der spalte “Befehl” ablesbar ist (beachte: der virus befindet sich nicht unter dem ersten pfad, welcher zur rundll32.exe[[[die lässt sich sowieso nicht löschen]]] führt, sondern unter dem zweiten.
6. das häckchen vor dem virus entfernen und “übernehmen” drücken
7. pc im normalen modus neu starten. wenn der virus immer noch startet habt ihr das falsche häkchen rausgenommen.
8. nun habt ihr wieder zugriff auf euren pc
9. mit rechtsklick auf das windowszeichen unten links
10. windowsexplorer öffnen
11. nun unter Extras (oben links) ordneroptionen öffnen
12.Oben auf “Ansicht” gehen
13.erweiterte einstellungen nach unten scrollen und unter “versteckte dateien und ordner” einen haken bei ” ausgeblendete dateien, ordner und laufwerke anzeigen” machen, denn der zielordner des viruses ist versteckt.
14. nun in den zielordner gehen und den virus löschen (unbedingt auch den papierkorp leeren oder noch besser: die .exe zerstören mit tune up shredder z.b)
15 nie wieder auf die seite gehen bei der plötzlich diese bundespolizei-scheiße kam
gruß
Ich habe mir diesen Fiesling auch eingefangen.
Nach meinen Recherchen ist dem Ding aber beizukommen. Antivir in der Grundausführung entdeckt den Schadcode leider nicht.
Wie es scheint, wird bei dieser Variante ein Drive-by-Download mit dem Schadcode über ein Java-applet initialisiert und so eine schadhafte namensgenerierte EXE-Datei in Appdata (Vista) kopiert, die per Autostarteintrag aktiviert wird. Taskmanager wird zwar grds. gesperrt, ebenso wie Bildschirm, aber:
1. Ich konnte dem mit ALT&F4 drücken sowie Strg, Shift und ESC-Drücken erstmal so beikommen, dass wieder Kontrolle über das System erhätlich war. Klappt aber anscheinend nicht immer, kann ich noch nicht nachvollziehen.
2. Im abgesicherten Modus wird das ganze nicht mit gestartet. Mit Malwarebytes können 3 Funde ausgemacht werden: Exe-Datei, Autostarteintrag sowie die schadbelastete JAVA-Datei, allesamt im Appdata-Ordner (Vista).
3. Veränderungen der Registry sind bis dato nicht erkennbar.
4. Hijackthis ist nach Erstsäuberung unauffälig, ebenso OTL – keine sichtbare auf den Befall zurückzuführende Infektion erkennbar.
5. Antivir findet bis jetzt leider nichts und kann auch per Echtzeitwächter eine Infektion nicht verhindern / auch per Heuristik nicht.
Ich teste jetzt frisches Java mit aktiviertem Schutz per Malwarebytes, ob dies Schutz vor Neuinfektion bietet.
Dem Anschein nach kommt die Malware durch das neue Java nicht mehr durch.
Daher die dringende Empfehlung, Java 6.29 zu installieren!
Hab mir den kleinen Sch****** auch eingefangen.
Der Taskmanager war unzugänglich.
antivir und win7 prof waren aktuell. bei mir war wohl auch eine alte java-version verantwortlich.
danke an perfomance und krassdaniel:
alt+f4 beendet den gekaperten ie. bei mir lief dann (aufm 2. monitor
) noch ein explorer, k.a. warum. Über den konnnte ich erkennen, dass sich das Mistviech im Autostart festgebissen hatte und von dort auf eine Datei in C:\Users\[DeinName]\AppData\Local\Temp verwiesen hatte (0.09227147455182771.exe).
Hab die beiden da mitm Klappspaten rausgetrieben und in einen extra Ordner kopiert. Löschen kann man die .exe Datei zu dem Zeitpunkt nicht so einfach, weil irgend ein Prozess anscheinend noch drauf zugreift.
Nach einem reboot verhält sich der Rechner wieder normal und man kann der .exe-Datei entgültig den Gar ausmachen.
hallo leute … ich bin auch befallen von den trojanern… weis irgendjemand eine lösung für windows xp????ß ich finde keine
lg gerhard
Hallo Gerhard,
schaue bitte mal auf http://www.bka-trojaner.de verbei. Dort haben wir eine Bilder-Sammlung von Versionen online gestellt, die wir analysiert haben. Solltest Du individuelle Hilfe benötigen, laden wir Dich in unser Support-Forum unter: http://forum.botfrei.de ein!
Grüße,
TK, ABBZ
Folge uns auf Facebook: http://www.facebook.com/botfrei
Ich hatte das Ding auch unter XP.
Meine Lösung (improvisiert, weil ich mir ja keine Hilfe holen konnte):
Rechner neu gestartet, dabei gesehen, dass kurz bevor der Bundespolizei-Bildschirm kommt, der IE aufgeht.
Nochmal gebootet, diesmal ohne Netzwerkkabel/WLan.
Sobald ich Kontrolle über die Maus hatte, sofort Malwarebytes angeklickt.
Da der Rechner keine Internetverbindung hatte, kam nur ein leerer IE-Bildschirm, der aber trotzdem den Rechner blockte. Malewarebytes hat sich davor gelegt und ich konnte damit arbeiten. Netzwerkkabel angestöpselt, Update der Datenbanken durchgeführt und dann via Malewarebytes den Schädling entfernt.
Ich hoffe, das hilft.
Hi Ly,
vielen Dank für Deinen Erfahrungsbericht. Bitte beachte unsere Hinweise: http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/ !
Ganz wichtig: Updates einspielen (von sämtliche Programmen), denn die Sicherheitslücke ist noch auf Deinem Rechner vorhanden, und wenn diese nicht geschlossen wird, taucht er wieder auf!
Grüße,
TK, ABBZ
Facebook: http://facebook.com/botfrei!
Hilfe! Wie kann ich meinen PC von diesem Vieren befreien. Mein Taskmaneger wurde deaktiviert, ich habe kein gewönliches Deskstop, das stört… Habe Avira, Programm scant PC seit lange Zeit, wurde aber bis jetzt noch nichts gefundedn… Ich möchte schnellmöglich passende Lösung finden.
Für Ihre Hilfe danke ich Ihnen im Voraus.
A.G.
Hallo Asya Gont,
wir möchten Dich gerne zu einer individuelle Beratung in unser Support-Forum einladen. Bitte registriere Dich hierzu einfach kostenfrei unter http://forum.botfrei.de und erstelle unter Hilfe –> Windows Systeme einen eigenen Thread.
Grüße,
TK, ABBZ
Habe mir gerade eben zum 2ten mal diesen Mist eingefangen, nur dieses mal startet mein rechner nichtmehr im abgesicherten modus! nach durchlaufen einer textliste erscheint nur noch ein blinkender _
jemand dasselbe Problem???
Hallo xXBluntXx,
auch Dich lade ich recht herzlich in unser Support-Forum ein: http://forum.botfrei.de!
Grüße,
TK, ABBZ
ich bin ihn wie folgt losgeworden:
1) während der rechner noch hochfährt, also noch nicht ganz hochgefahren ist, aber man schon ein bisschen rumdrücken kann (ihr wisst was ich meine) ganz schnell bei Start-> Autostart, die seltsame nummerierte, euch wahrscheinlich fremde datei löschen. und evtl sich öffnende Internet-Explorer schließen… dann startet der Virus schonmal nicht mehr beim Systemstart.
2) Dann (Windows Vista): In eure Eigenen Dateien (alle Ordner sichtbar) : EuerName–> AppData (versteckter Ordner) –> Local –> Temp… und dann im Temp Ordner die .exe-Datei (Anwendung) löschen, die genau so heißt wie die aus dem Autostartregister. Diese Dateien haben ein Format von “0.xxxxx.exe” wobei die xxxx für beliebige mehrstellige Zahlen stehen, beginnend mit führender Null und einem Punkt.
Gelingt dieses löschen nicht, weil die datei “gerade verwendet wird” einen Neustart machen und bevor der PC komplett hochgefahren ist so schnell es geht in das verzeichnis gehen und die datei rauslöschen…
Lacht mich nicht aus, ich bin Ingenieur und kein Informatiker, aber so hat das bei mir geklappt! (Kaspersky halft nicht!) Evtl auch nur weil mein PC so überladen ist und daher ewig zum hochfahren braucht und der Virus dadurch recht spät gestartet wird wenn andere Teile des Systems (Windows Explorer) schon funktionieren.
Hallo NailedIT!
wir lachen Dich nicht aus.
Herzlichen Dank für Deinen Erfahrungsbericht!
Grüße,
TK, ABBZ
Habe diesen neuen Virus auch auf dem Pc. Habe Pc im gesichterten Modus gestartet und Avira durchlaufen lassen. Das hat nicht gebracht. Kann mir jemand helfen????
Hi,
gerne laden wir Dich in unser Forum ein: http://forum.botfrei.de … dort stehen wir Dir mit Rat & Tat individuell zur Seite!
Grüße,
TK, ABBZ
Bei mir war es dann auch recht “simpel”. Nach 2 Besuchen in einem PC Fachladen in der Vergangenheit wollte ich es diesmal auf eigene Faust bewerkstelligen, schließlich hat man ja nicht immer Geld für professionelle Hilfe übrig.
Schlussendlich hat sich der Übeltäter bei mir auch im abgesicherten Modus unter Start -> Autostart versteckt. Die auffällige .exe einfach entfernen (auch aus dem Papierkorb!), per CC Cleaner alle “nutzlosen” Dateien und Co. löschen und dann den Rechner normal starten. Der Trojaner bootet nun nicht mehr automatisch und man kann sein Virenprogramm drüberlaufen lassen.
Danke für diesen Hinweis.
Hallo Chris,
vielen Dank für diesen Erfahrungsbericht! Ich möchte Dich gerne einladen uns auf Facebook (http://facebook.com/botfrei) zu folgen und uns durch ein “Like” zu unterstützen.
Grüße,
TK, ABBZ
Hallo TK,
Vielen Dank für den Hinweis, da gehe ich gleich mal gucken.
Bei Facebook habe ich schon “like” gedrückt.
Liebe Grüße
Ly
Meine Mutter wurde von BKA1.03 befallen … in C:/Dokumente und Einstellungen/Bentzer/Lokale Anwendungsdaten/Temp/ befand sich eine “ominöse” .exe datei deren namen … aus einer (willkürlichen) Zahlenfolge bestand … im abgesicherten modus konnte man diese datei aufspüren und löschen (ist ein Versteckter Ordner … also bereits im /Benutzer/ Ordner über Extras/ordner optionen “versteckte dateien” anzeigen lassen … um sich voran zu hangeln … ich empfehle den inhalt des Ordners gesamt zu löschen … großartig schaden kann es nicht
jedoch ist damit nicht das Problem behoben, beim Neustart kommt eine Fehler Meldung dass eben diese Datei nicht geöffnet werden konnte, was darauf schließen lässt, dass sich irgendwo noch irgendwas in den Registry-Files auffinden lassen sollen müsste …
ich werde meiner Mum in kürze Linux installiere (nach dem ihre Daten gesichert sind) ich Empfehle Ubuntu 10.04 lts … die Gnome 2 Oberfläche ist für den Windows-Benutzer glaube ich eine überstehbare Umstellung und was unterm Strich dabei raus kommt ist in meinen Augen die “Mühe” wert
Liebe Grüße
“Max Mustermann”
ich hoffe dass es bald ein besseres “Heil mittelchen” gegen solcherlei Bedrohungen gibt und ggf eine angemesserene Fandung und Bestrafung bei Verursachern …
Wird sich prinzipiell bei Architekturen wie Windows NT ab 4.x und Linux (?BSD?) nicht unterbinden lassen. Die möglichen Angriffsvektoren sind einfach technisch bedingt.
Willst Du Dich effektiv dagegen schützen, musst Du andere BS als Grundlage Deines Rechners einsetzen.
Gruß adamsh
Erkennungsraten entsprechend Virustotal:
http://www.virustotal.com/file-scan/report.html?id=7b7096bf972368b98d760bd8b5b73ef319449101fefab6a8a726b8ab6b199674-1322100978,
Stichtag 24. November 2011: 2/32, gut 5%
http://www.virustotal.com/file-scan/report.html?id=7b7096bf972368b98d760bd8b5b73ef319449101fefab6a8a726b8ab6b199674-1322100978
Allerneueste Analyse, Stichtag 05. Dezember 2011: 30/43, gut 2/3.
Dies zeigt wiedereinmal, dass man von der Tatsache, dass AV-/AM-Software nichts findet, man niemals schließen darf, dass da nichts ist.
Erinnert adamsh
Hey.
). Allerdings nich so lange, dass er kalt runtergefahren ist, sondern nur, dass er das herunterfahren erzwungen hat- oder wie das bei Wondows Vista heißt. Hat sozusagen alle Vorgänge abgebrochen. Hab den PC dann sofort wieder hochgefahren…und schon beinahe befürchtet, dass der Buildschirm wieder kommt…aber nichts. 
D PC läuft wieder einwandfrei. Mag daran liegen, dass Kasperksy die beiden Dateien plötzlich in der Quarantäne stecken hatte…und ich hab sie dann vollkommen aus dem BackUp verschwinden lassen. Jedenfalls läuft jetz alles wieder (und das ohne große Umstände).
Hatte ihn heute auch…bei mir war das nur i.wie ganz lustig. Erst kam ne Meldung von Kaspersky, dass was gefunden und verboten wurde, dann kam allerdings noch eine, und bevor ich die genauer lesen konnte kam der nette Bildschirm. Ich hab wohl (laut einigen anderen Foren) dem Ding den Garaus gemacht indem ich einfach eiskalt den Aus-Knopf auf dem Rechner gedürckt hab. (Gut, dass man schnell reagieren kann, wenn man von dem Ding schon gehört hat
Ob er nun wirklich weg is…naja, in dem Ordner, wo er zuvor angeblich war, ist er laut Kaspersky jedenfalls nicht mehr, ich lass aber grad noch ne ganze Sytsemprüfung durchlaufen und werd mir gleich noch Malwarebtyes runterladen, um das nochmal durchlaufen zu lassen.
Ich hoffe, der ist dann wirklich weg, ich hab keinen Bock, Windows nochmal neu drauf zu ziehen, das is immer so ne Prozedur. :/
Weiß hier jemand, ob das Benutzen meiner Backup-CD sinnvoll wäre oder ob ich das ganze echt nochmal neu amchen sollte?(die war bei dem PC so dabei, stellt PC wieder in den Auslieferungszustand her, das heißt, meine Dateien wären zwar weg, aber ich müsste Windows nicht mehr selbst installieren, da das ja im Auslieferungszustand schon vorinstalliert war.)
Hey Leute,
Da will man abends nur mal gemütlich im Internet surfen und dann hat man so einen Mist auf seinem Rechner. Zum Glück hat man genügend gesunden Menschenverstand um gleich zu verstehen, dass es hier wirklich nicht mit rechten Dingen zugeht und noch ein anderes Notebook neben sich liegen um wiederrum im Internet nach einer Lösung zu suchen.
Danke an die ganzen Posts, es hat total geholfen die ganzen Erfahrungen zu lesen und sich selbst mit dem Thema vertraut zu machen.
Habe ihn erstmal wie folgt entfernt:
Im abgesicherten Modus unter der Suche von “msconfig” im Startbefehl den Übeltäter ausgemacht, der wie so oft 0.irgendwas hieß. Häkchen entfernt und beim nächsten Neustart die Datei im entsprechenden Ordner gelöscht. Jetzt konnte ich den Rechner wieder normal starten, lasse aber grade die ein oder andere Virensoftware das ganze nochmal abgrasen.
Ich hoffe nur, dass diese Zeug keine Überhand nimmt, sonst macht das Surfen ja wirklich keinen Spaß mehr….
Liebe Grüße
Dennis
Hallo Dennis,
danke für Deinen Erfahrungsbericht. Bitte auf jeden Fall nochmals Malwarebytes (http://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/) über Deinen Rechner laufen lassen und auch unseren Beitrag hier (http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/) durchlesen.
Die Sicherheitslücke über die sich das Ungeziefer eingenistet hat, ist auf jeden Fall noch da und offen … und sollte so schnell wie möglich geschlossen werden!
Grüße,
TK, ABBZ
Facebook: http://www.facebook.com/botfrei
Ich habe den Trojaner seit gestern Abend drauf wie bekomme ich den wieder weg
Hallo markus,
hierzu brauchen wir nähere Angaben von dir. Am besten du gehst auf unsere http://bka-trojaner.de Übersichtsseite und wählst die zu dir passende Anleitung aus. Für weitere Fragen stehen dir unsere Experten im Forum zur Verfügung.
MG
ABBZ
Hey!
Um das “Try an Error” vefahren etwas einzuschränken:
Bei mir hat die “malewarebytes”-Methode geklappt!
- Malewarebytes heruntergeladen
- auf USB-Stick gespeichert
- infizierten Rechner im abgesicherten Modus MIT NETZWERKTREIBERN gestartet
- Malewarebytes installieren und updaten
- Quicksacan starten
- infizierten Dateien löschen über “Auswahl entfernen”
- Windows wieder normal starten
- Freude!
…Vielen Dank für Eure Hilfe
Hey Community, ich hatte heute auch mit den Bundestrojaner fake Virus zu kämpfen und kann für künftige Fälle nur sagen, dass der Tipp, den der Chris etwas weiter oben gegeben hat ausreicht. Also in den abgesicherten Modus gehen ( beim booten F8 drücken) auf Start>Programme>Autostart> und die merkwürdige Datei mit Namen 0. ……. löschen und CC Cleaner drüber laufen lassen, lief alles easy , und der Virus sollte somit nicht mehr beim starten hochfahren.
Hallo,
ich hab mir auch durchs surfen diesen Virus eingefangen. Zack, nix ging mehr. Beim Neustart natürlich auch nicht.
Habe dann im abgesicherten Modus gestartet und dort Malwarebytes ausgeführt. Es wurde ein Eintrag gefunden – diesen habe ich entfernt – danach konnte ich Windows normal starten.
Es kam allerdings eine Fehlermeldung, dass ein Programm nicht ausgeführt werden könne – war ja klar, weil sich der Virus-Eintrag noch in der Registry versteckte.
Habe dann mit der Systemwiederherstellung von Windows meinen Laptop auf ein Datum VOR der Infizierung zurück gesetzt – seitdem läuft er wieder.
Habe zur Sicherheit nochmal AntiVir und den DE-Cleaner drüberlaufen lassen!
Hoffe,dass es jetzt weiterhin rund läuft und ich das Ding endlich los bin!
LG
Hallo Moritz,
gerne laden wir Dich für eine individuelle Beratung in unser kostenfreies Support-Forum ein! Registriere Dich unter http://forum.botfrei.de und erstelle unter “Hilfe” –> “Windows” einen Thread mit Deinen Fragen!
Grüße,
TK, ABBZ
ich bin den wie folgt losgeworden: Beim Hochfahren immer wieder auf F8gedrückt, den abgesicherten” Modus mit Eingabeaufforderung” gestartet, dort \windows\system32\restore\rstrui.exe eingegeben.Wiederherstellungspunk,t der bei mir 4 tage früher lag, gewählt. Dann habe ich McAffe gestartet. der hat tatsächlich nochmals was gefunden ( obwohl da stand, dass der PC sicher ist) und dann habe ich mir die Datei gesucht und obwohl der Ordner angeblich leer war(!!!), habe ich beschlossen den zu schreddern ( eine Möglichkeit von Mc Affee) und oh wunder ,da waren da noch 44 elemente versteckt.Jetzt läuft der PC wieder einwandfrei.Meine laienhafte Vermutung ist, dass der sich hinter der Eingabefenster “Wollen sie , dass Internetexplorer zu ihrem Standard Browser wird” versteckt, denn nachdem wir da versehentlich ja gedrückt haben, fingen die Probleme an ( wir könnten es anhand der Zeit feststellen)
Oh, genau dieses Teil habe ich mir auch gerade eingefangen. Allerdings sieht das Bezahlfenster etwas anders aus – kleiner, ohne die Tankstellen-logos und nur mit paysafeCard als Zahlungsmöglichkeit. Wie schon geschrieben sind die “…/currentVersion/Run”-Registry-Einträge sauber, auch antivir hat im Komplettscan nichts gefunden… Den Virus hab ich mir unter meinem (nicht Admin) Benutzerkonto eingefangen, jetzt bin ich als Admin drin, ohne Virus. Geht das, oder muss ich mir sorgen machen, dass ich da bald auch nicht mehr drauf kann?
Hi Greenlight,
Du musst auf jeden Fall die Sicherheitslücke schließen, über die der Schädling reingekommen ist:
http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Wenn Du möchtest, dass wir uns Dein System nochmals genauer anschauen, registriere Dich doch einfach kostenfrei in unserem Forum unter: http://forum.botfrei.de, und erstelle eine Thread mit allen Informationen zu diesem Schädling unter “Hilfe” –> “Windows Systeme”! Wir helfen Dir dann!
Grüße,
TK, ABBZ
So zum zweiten mal hab ich den Trojaner vom Laptop meines Bruders geworfen. Das erste mal damals war noch ganz einfach. Abgesicherter Modus-Systemwiederherstellung… diesmal gab es keine Wiederherstellungspunkte. Komisch!!! Nach vielen Lösungswegen die ich hier gelesen habe, hab ich ihn unter Autostart gefunden auch unter 0. ……… .exe gelöscht
Malewarebytes durchgejagt und dieses hat den Rest erledigt 
Ich danke für die vielen Lösungswege.
Grüße Easy
Hallo Easy,
Du musst auf jeden Fall die Sicherheitslücke über die der Schädling reingekommen ist schließen. Sonst wird er u.U. immer wieder auftauchen:
http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Solltest Du darüber hinaus Unterstützung benötigen, laden wir Dich gerne in Suppport-Forum ein: http:/forum.botfrei.de ! Dort können wir gerne nochmals mit Dir zusammen über Dein System schauen!
Grüße,
TK, ABBZ
Die Anleitung von NailedIT vom 12. Dezember hat bei mir (Vista) ebenfalls geholfen. Zumindest bis jetzt …;-)
Hatte den BKA-Trojaner heute auch aber hab ihn danke eurer super Seite auch direkt wieder entfernt bekommen.
Im abgesichterten Modus gestartet -> MalwareBytes über nen 2. PC geladen und auf nen USB-Stick gepackt -> auf infiziertem Rechner installiert und laufen lassen und alles infizierte enfernt und es läuft wieder !!!
Vielen vielen Dank!!!
Hallo akoa,
vielen Dank für diesen Erfahrungsbericht!
Tipps, wie mit nach der Bereinigung, weiterer Schaden abgewendet werden kann, findest Du hier http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Zusätzlich möchte ich Dich gerne einladen uns auf Facebook (http://facebook.com/botfrei) zu folgen, um Up-to-Date zu bleiben, und uns durch ein “Like” zu unterstützen.
Grüße,
CS,ABBZ
habe recovery laufen lassen und es geht wieder denke das formatieren die beste lösung ist
mein PC war auch befallen ist es auch immernoch aber ich habe den trojaner/virus ausgetrixt indem ich einfach mei antivir erneuert habe. ausserdem habe ich nchd em laden meine benutzer profiels schnell ausgeloggt und in ein anderes eingeloggt . nun kommt immer wenn ich den pc starte eine nachricht das einen .dll dtei nicht gefunden werden konnte . nun ist mein pc nichtmehr gesperrt nur der taskmanager ist geblockt was nicht weiter schlimm ist , da ich einfach den taskmanager von TuneUp Utilities benutze . vielleicht habe ich geholfen….
Hallo Max,
gerne helfen wir Dir im Forum individuell weiter. Registriere Dich hierzu bitte unter: http://forum.botfrei.de und erstelle einen Thread in der Kategorie “Hilfe” –> “Windows Systeme”!
Grüße,
TK, ABBZ
Ich hab mich über den Aufruf der Seite sehr gewundert.
Nach einer zusammenarbeit mit meinem Kumpel hat sich die Sachen in
2h erledigt, jetzt bin ich noch dabei das System zu scannen und ggf. nochmal zu reinigen.
Der verbesserte Process Explorer hat mir dabei der geholfen.
Ich habe herausgefunden das sich etwas im Temp-Ordner festsetzt was mit ‘kn’ o.ä. beginnt und nicht zu löschen ist (außer Pocexp als Admin).
Ich habe das ding auch
Mein Kumpel meinte das wird nach längerer Zeit irgend wie weiß oder so stimmt das???
Wenn der BKA-Trojaner keine Verbindung zum Server herstellen kann und die benötigten Komponenten nicht nachladen kann, so erscheint nur ein graues Bild. Der Trojaner selber blockiert aber weiterhin den PC und macht ein Arbeiten unmöglich.
Gruß
MG
ABBZ
Ah ok danke für die information
meine Freundin hat auch so nen virus kann mir mal einer sagen wie sie ihn wegbekommt
Hallo Jürgen,
schau mal hier http://www.bka-trojaner.de. Suche deine Infektion und arbeite die Schritt für Schrittanleitung ab.
Gruß ABBZ
Wir haben die V1.03 auf Windows XP.
Wie lange kann es noch dauern bis es eine offizielle Anleitung zur Beseitigung gibt ?
Sind PC-Laien ! Möchte nichts kaputt machen auf dem Rechner und auch wieder auf der sicheren Seite sein ! Was können wir tun ?
Hallo Birgit,
Schauen Sie bitte mal auf http://www.bka-trojaner.de, dort suchen Sie Ihre Infektion und arbeiten die Schritt für Schrittanleitung ab. Wenn Sie Probleme haben, melden Sie sich kostenfrei in unserem http://forum.botfrei.de an. Dort werden Experten helfen!
Gruß ABBZ
Klasse danke TB bin schon sehr weit=)
= )
Hey leude das ding is ja echt richtig scheiße
Hallo Tim,
Wenn Sie Probleme haben, melden Sie sich kostenfrei in unserem http://forum.botfrei.de an. Dort werden Experten helfen!
Gruß ABBZ
Ich hatte diesen trojaner ebenfalls ! Win Xp SP 3
einfach in den abgesicherten modus und malwarebytes fullscan machen!
bei mir wurden 12 schädlinge erkannt
10 files ; 1 registry Key ; 1 Registery Data
Jetz geht mein Pc wieder einwandfrei!
Hallo Sedat,
Danke für die Info, schön das der Schädling entfernt wurde, aber irgendwie ist dieser auf den Rechner gekommen und das ist das eigentliche Problem. Bitte lese mal diesen Bericht:
http://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
Habe das gleiche
Habe mir auch das Ding eingefangen, unter WIN 7 – einzige Sicherung: MS Sec Essential.
Lösung war aber einfacher als gedacht:
Internetkabel abziehen – den Rechner ganz normal starten!
In den ersten 4 – 8 Sekunden kann man WIN noch normal betreiben. Diese Zeit ausnutzen und die Systemsteuerung anwählen.
Dann wird der Bildschirm mit der tollen BKA Mitteilung gesperrt.
Jetzt einfach ALT+F4 , der BKA Bildschirm verschwindet und die Systemsteuerung wird sichbar.
Zum Punkt Systemwiederherrstellung navigieren, einen Rücksetzungspunkt auswählen und fertig.
So hat es bei mir geklappt – Rechner läuft seit dem (Befall war vor ca. 2 Tagen)
wieder problemlos…
Ohne Abgesicherten Modus und 23,431 AntiMaleWare Programme zu installieren.
Hallo tim,
Danke für die Information.
Schau doch mal in unserem Forum vorbei, evtl. kannst du mit deinen Kenntnissen anderen Usern bei der Lösung ihrer Probleme helfen.
http://forum.botfrei.de/forum.php
Gruß ABBZ
hi
hatte diesen nervigen kram auch.. bzw hab den noch bin mir nicht sicher.. aber ich hab den vorteil das ich 2 monitore hab und das explorer fenster was sich mit dem internet explorer fenster öffnet schnell auf den anderen bildschirm ziehen kann bevor der bka scheiß alles sperrt.
dann hab ich folgendes gemacht:
1. cmd gesucht und geöffnet ist bei windows7/vista 64bit hier (c:\windows\syswow64\cmd.exe) bei windows XP und win7/vista 32bit hier: (c:\windows\system32\cmd.exe)
2. dadrin “taskkill /im iexplore.exe eingeben das beendet schonmal die anzeige..
3. dann den trojaner an sich gesucht bei mir war der im temp ordner also hier
(c:\users\[username]\appdata\local\temp)
4. da drin alles löschen kann relativ wenig kaputt machen bei denen wos nich geht meckert der schon rum.. da drin waren bei mir 2 dateien die ca. so aussahen: “0.7871726419030282.exe”.
diese gingen nicht zu löschen, da sie mit dem “windows editor” geöffnet sind. Das hat mich schon gewundert also wieder cmd aufgemacht.
5. in cmd dann folgendes eingeben “taskkill /im notepad.exe” solang bis der fehler kommt das das programm nicht geöffnet ist (2-3 mal machen am besten)
6. danach konnte ich diese “0.7871726419030282.exe” dateien löschen
7. direkt den papierkorb leeren! sicher ist sicher
8. neustarten bzw abmelden und neu anmelden
wenns geklappt hat, kommt jetzt ne fehlermeldung die ungefär so aussieht:
“rundll konnte datei 323934829043.exe nicht finden”
das kommt daher das die datei noch im autostart ordner ist, also im startmenü unter autostart nachschauen wenn vorhanden, löschen und fertig.
Am besten nochmal mitm ccleaner drüber gehen und alles reinigen und nen virenscan/adware/malware scan machen.
Hoffe ich konnte euch weiterhelfen
Hallo Tuero,
danke für Deinen Erfahrungsbericht!
Grüße,
TK, ABBZ
malwarebytes hat’s gelöst! hatte vorher echt viel ausprobiert. super software!
Danke für Deinen Erfahrungsbericht. Bitte nun auf jeden Fall noch Updates installieren:
http://blog.botfrei.de/2011/06/ist-ihr-system-aktuell-hier-konnen-sie-ihren-windows-rechner-testen/
Dein System ist weiter angreifbar, und die Sicherheitslücke sollte geschlossen werden!
Gerne schauen wir auch nochmals über Dein System. Melde Dich hierzu in unserem Forum an: http://forum.botfrei.de!
Grüße,
TK, ABBZ
Hallo Zusammen,
ich habe mir das Ding heute auch eingefangen. Leider bin ich nicht sonderlich bewandert, was die technischen Facetten angeht. Ich hatte versucht in den Task-Manager zu kommen bzw. den Benutzer zu wechseln, wie ich es hier im oberen Bereich bereits gelesen hatte. Nun, beim Versuch den Benutzer zu wechseln hat mein Laptop ad-hoc den Geist aufgegeben und lässt sich auch nicht mehr anschalten. Just for you to notice!
Hallo Heiko,
gerne helfen wir Dir in unserem Support-Forum unter (http://forum.botfrei.de) individuell und kostenfrei weiter! Hier im Blog ist es uns leider wg. mangelnder Übersicht leider nicht mgl.!
Gruß ABBZ
In diesem Fall war es wohl mal wieder ein DAU, der für falschen Alarm gesorgt hat. Hatte das Netzkabel wohl nicht eingesteckt. Also anschalten geht, Virus ist aber noch drauf.
Hallo habe das Scheiß Ding auch habe es so wie bei t-online gemacht und den de- cleaner von avira auf einen ministick installiert und dann am infizierten pc über Angesichter Modus im Explorer gestartet nur kann ich jetzt nicht sagen ob es funz weil de cleaner seit 11std am suchen ist!hat auch anscheinend 3 Sachen gefunden wobei ich mir fast sicher bin das eine Sache davon die bf3. Exe ist also die battelfield3 exe!
Kann jemand mal genau und detailliert beschreiben wie es jetzt geht das Scheiß Ding los zu werden hier stehen ja irgendwie 20 verschiedene Möglichkeiten das decks Ding los zu werden!vielen dank
Gerne laden wir Dich in unser Support-Forum unter: http://forum.botfrei.de ein! Dort helfen wir Dir gerne individuell weiter.
Grüße,
TK, ABBZ
Will mich aber nicht dort anmelden kann man hier keine Beschreibung reinsetzen wo man als Anleitung nimmt?
Ein Freund von mir hat sich diesen Trojaner eingefangen. Ich habe es nachdem ich die Kommentare hier gelesen habe mit der Bitdefender Rescue CD versucht und hatte Erfolg.
Anleitung: ISO Image von der CD bei Bitdefender runtergeladen und auf CD gebrannt. Dann den Rechner von der Bitdefender Recue CD gestartet. Beim Starten hat Bitdefender sich über die Internetverbindung (per Kabel zum Router) die aktuellen Virendefinition geladen und dann beim Suchlauf 82 schädliche Einträge und Dateien gefunden. Diese wurden alle gelöscht. Danach ist der Rechner wieder problemlos gestartet.
Hallo aedb,
Danke aedb für Deinen Erfahrungsbericht!
Schau mal in unserem Forum vorbei, evtl kannst du mit deinen Erfahrungen den Usern bei der Lösung ihrer Probleme helfen…
http://forum.botfrei.de/forum.php
Gruß ABBZ
moin, danke für die vielen hilfestellungen…ich hatte mir das ding auch gerade eingefangen: es war unter start>programme>autostart als zahlenkolonne zu finden…
nachdem im abgesicherten modus gar nichts ging, hab ich den rechner nochmal (auch vom netz getrennt) normal hochgefahren…die sperre war verschwunden und die datei leicht zu finden…mal sehen, ob es gereicht hat, sonst melde ich mich gleich nochmal…;)
Hallo Sven,
gerne helfen wir Dir in unserem Support-Forum weiter! Registriere Dich hierzu bitte einfach kostenfrei unter: http://forum.botfrei.de
Grüße,
TK, ABBZ
Hallo,
dieses dämliche Stück Malware habe ich mir mehrmals in den letzten Monaten eingefangen; bei mir genügt ein zweimaliger Neustart des Rechners mit der Resettaste, danach kann ich die Verknüpfung zu “wpbt0.dll” im Autostartordner löschen, der Taskmanager und “Versteckte u. Systemdateien anzeigen” in den Ordneroptionen des Explorer funkionieren dann auch wieder.
“Versteckte u. Systemdateien anzeigen” aktivieren, dann wird “wpbt0.dll” und noch eine dazugehörige .exe-Datei in
C:\Dokumente und Einstellungen\WinXP\Lokale Einstellungen\Temp
angezeigt. Den ganzen Rotz lösche ich aus dem Tempordner und das System läuft bei mir wieder rund. Danach kann man in aller Ruhe und soweit nötig, die Registry von eventuellen Einträgen des Trojaners säubern und einen Virenscan laufen lassen (ich machs nicht, geht bei mir auch ohne
.
bist ja ganz schlauer
und wieso mehrmaliges neustarten – was soll das bringen
einfach abgesicherten modus und die daten in autostart löschen
geht zb mit msconfig
blablabla
also – wer ständig auf pornoseiten und so sich rumtreibt braucht sich auch nicht wundern das die scripte überall zuschlagen