Anleitung: BKA-Trojaner manuell über die Registry entfernen

Bitte beachten Sie: Da es mittlerweile weitere Varianten dieses Schädlings gibt, möchten wir darauf hinweisen, dass diese Anleitung veraltet ist. Bitte besuchen Sie http://www.bka-trojaner.de. Dort stellen wir ein Tool bereit, welches Sie bei der Bereinigung Ihres Systems unterstützt.

Voraussetzungen:

Bitte beachten Sie, dass diese Anleitung nur für computererfahrene Benutzer empfohlen wird. Halten Sie sich bitte an die Anweisungen dieser Anleitung.

Vorteile:

Diese Entfernungsmethode hat den Vorteil, dass Sie keine zusätzliche Software herunterladen müssen.

Hilfe:

Sollten Sie Hilfe benötigen, registrieren Sie sich kostenlos in unserem Forum und erstellen ein neues Thema zu Ihrem Problem.

Aktuell: Wird in den Shell Eintrag nichts oder ein falscher Wert eingetragen, so startet Windows nur mit blauem Hintergrund, ohne Desktopicons. Wiederholen Sie dann die Schritte 3. bis 5. dieser Anleitung.

1. Neustart des Rechners

2. Drücken Sie F8 vor Erscheinen des Windows-Splash-Screens, um in das erweiterte Optionsmenü von Windows zu gelangen. Wählen Sie hier den “abgesicherten Modus mit Eingabeaufforderung“

3. Rufen Sie ‘regedit’ über die Konsole auf und navigieren Sie zu folgendem Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (Abb.1)

     Achtung:

     Unter Windows XP wird der Schlüssel HKEY_LOCAL_MACHINE\… von der Malware verändert.

     Unter Windows 7 ist der Eintrag unter HKEY_CURRENT_USER\… zu finden.

Abb.1: Falscher Eintrag, verursacht durch die Malware BKA-Trojaner

Abb.1: Falscher Eintrag, verursacht durch die Malware BKA-Trojaner

4. Suchen Sie den Eintrag ‘Shell’ und ersetzen Sie den dort eingetragenen Wert durch explorer.exe (Abb.2)

Abb.2: Richtiger Eintrag explorer.exe

Abb.2: Richtiger Eintrag explorer.exe

5. Starten Sie Ihren Rechner neu, indem Sie bei der Eingabeaufforderung folgenden Befehl eingeben: shutdown -r -t 00

6. Benutzen Sie einen Virenscanner, um den Schädling vollständig zu entfernen. Hierzu können Sie beispielsweise den Avira DE-Cleaner verwenden. Download unter: https://www.botfrei.de/decleaner.html

Aus aktuellen Anlass zum BKA- Trojaner 2.0, zur manuellen Entfernung:
Wenn die Einträge in HKEY_CURRENT_USER oder HKEY_LOCAL_MACHINE, OK sind (sollte explorer.exe sein), dann schauen Sie bitte in folgenden Pfaden nach auffälligen Exen (*.exe)

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

Alles was hier steht wird für alle Benutzer des Rechners automatisch beim Windowsstart mit gestartet. Wenn hier als Eintrag ein ziemlich langer nichts sagender und nicht sinngebender Name dabei ist, dann überprüfen wo diese Datei liegt und anschließend betroffenen Eintrag und auch Datei entfernen.
Es bietet sich an in diesem Schritt alle unnötigen Einträge zu entfernen um den Autostart etwas aufzuräumen. Aber bitte wichtige Einträge (Virenscanner etc) nicht entfernen. 

274 thoughts on “Anleitung: BKA-Trojaner manuell über die Registry entfernen”

  1. Hi, danke für die tolle Anleitung. Macht sich der BKA-Trojaner irgendwie bemerkbar bzw. wird der Trojaner von den meisten Virenscannern gefunden?

    1. Hallo und danke für das Feedback. Der BKA-Trojaner macht sich durch den Screen bzw. der Zahlungsaufforderung bemerkt. Andere Formen sind uns nicht bekannt. Eine aktuelle Engine sollte den Trojaner blockieren. Grüße ABBZ

    2. Hei, Ich habe mein Problem nicht gelöst.
      Bei Schritt 4, bei dem Shell, steht dieses Explorer.exe schon drinn, und wenn ich weiterlese also in der Anleituung, bei :
      HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
      HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
      ALso bei beiden existiert bei meinem PC kein run Ordner/Anwendung.
      Bitte um hilfe ._.

    3. Hallo,
      Ich denke, dass ich in einer ähnichen Situation bin, wie der Jonas… Also bei dem Shell, steht dieses Explorer.exe schon drinn. Außerdem, bei
      HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
      gibt es kein Run Ordner
      und bei
      HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
      gibt es keine verdächtige Einträge.
      Ich bitte um Hilfe!
      Es wäre auch schön, wenn jemand mir auf englisch helfen könnte. 🙂
      Danke!

    4. Hallo.
      Vielen Dank für deine schnelle Antwort.
      Ich habe schon probiert in dem Forum zu registrieren, aber es klappt nicht. Ich kriege immer die Antwort:
      “Registration denied, this forum runs an active policy of not allowing spammers. Please contact us via the “Contact Us” page link if you believe this is in error”
      obwohl ich den Sicherheitscode richtig eingebe..
      Und die “Contact Us” Link kann ich überhaupt nicht finden.
      Ich habe einen Fehler vorher gemacht. Einen Run Ordner gibt es in beiden Pfaden
      HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
      HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
      aber dort finde ich keine verdächtige Dateien.
      Danke nochmal.

    5. Du müsstest Dich jetzt in unserem Forum registrieren können. Bitte versuch’s nochmal.

      Grüße,
      TK, ABBZ

    6. hallo, habe mich im forum angemeldet,kan n aber keinen beitrag schreiben.habe ebenfalls den blöden trojaner eingefangen und ebenfalls diesselbe probleme wie beschrieben,was kann ich machen?finde diesen blöden trojaner einfach nicht unter den angegeben pfad

    7. Hallo Nicole,

      Todo Forum:
      1. Anmelden
      2. Auf der Hauptseite Rubrik Hilfe und Schädlingsbekämpfung (blauer Rahmen)
      3. Windows (klick)
      4. oben links “+Thema erstellen
      5. im weissen Kasten(Editor) Thema genau erstellen
      6. unter dem Editor “Thema erstellen” (klick)
      7. Fertig
      8. warten bis du eine Email vom Experten bekommstn dann ins Forum und lesen

      Gruß ABBZ

    8. hallo,habe dasselbe problem.was kann ich tun

      Bei Schritt 4, bei dem Shell, steht dieses Explorer.exe schon drinn, und wenn ich weiterlese also in der Anleituung, bei :
      HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
      HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
      ALso bei beiden existiert bei meinem PC kein run Ordner/Anwendung.
      Bitte um hilfe ._.

    9. Hallo!
      Habe dank deiner anleitung den trojaner erfolgreich löschen können!
      Bei mir hat er ca 2-3tage bevor dem typischen einloggscreen ab und zu zufällig komische geräusche abgespielt ( ua so einen typischen schwertsound wie aus videospielen), weis zwar nicht ob das zusammenhängt, aber vl hab ich mit der info ja geholfen

    10. Morgen Thomas,

      wäre nicht schlecht, wenn sich die Malware mit Sounds schon vorher bemerkbar machen würde, ist uns aber soweit noch nicht bekannt. Überprüfe deinen Rechner bitte mal mit dem kostenlosen Tool Malwarebytes, evtl. hast du noch Reste der Malware auf deinem Rechner.

      Gruß Abbz

  2. Nachdem sich der Rechner meiner Freundin den BKA-Trojaner eingefangen hatte konnte ich diesen dank eurer Hilfe packen. Nun bin ich hier der Held. 😉 Danke!

  3. Lehrreicher Artikel. Bereichernd, wenn man sowas auch mal aus einer anderen Perspektive betrachten kann.

  4. das manuelle entfernen ist das einzige, was bei mir geholfen hat. vielen dank für diesen tipp!! die rettungscds von kasperski und avira fanden zwar alle möglichen trojaner, aber konnten erstmal nichts ausrichten – das anfangsvollbild blieb. also am besten gleich manuell entfernen und dann natürlich mit den rettungscds usw. säubern, auch ruhig mehrfach- nochmals besten dank- gruß ralf

  5. Vielen Dank für die idiotensichere Anleitung. Konnte den Virus, auch als Laie, im abgesicherten Modus manuell entfernen.

  6. Hallo,

    habe auch den BKA Trojaner, bei mir steht der Shell Wert schon auf Explorer.exe ?
    Wurde die Datei evtl. ausgetauscht?

    thx im voraus!

  7. Hallo NoName,
    Erscheint denn noch die Vorschaltseite nach dem Login?
    Haben Sie schon was unternommen?
    Welches Betriebssystem haben Sie?

    Gruß ABBZ

    1. an Noname:

      Ich hatte auf meinem blockierten XP-Rechner mehrere User installiert und einfach mit einem anderen User gestartet.
      Danach konnte ich 2 unbekannte Eintraege in Menue/Autostart des befallenen Users loeschen.
      Und Alles war OK, – so simpel.

      Allerdings waren diese Eintraege Links auf Rundll, mit einer Steuerdatei, die ich nicht finden konnte.
      Also vielleicht ist da noch was im Busch…

  8. In der Anleitung fehlt noch der Hinweis, daß man den PC mit dem Befehl “shutdown -r -t 00” auf der Kommandozeile neustarten muss. Nur so wird die Änderung in der Registry gespeichert!
    War ein Hinweis der im Text genannten, sehr kompetenten!, Hotline.

  9. Vielen, vielen Dank für diese einfache und gut nachvollziehbare Anleitung. Hat soweit super funktioniert. Zur Nachbehandlung von eventuell verbliebenen Resten des Trojaners kann ich ‘Malwarebytes’ wärmstens empfehlen.

  10. Dank für die die professionelle Unterstützung beim gestrigen Entfernen des BKA-Trojaners. Einfacher geht es nicht für den Laien wie ich einer bin. An alle:einfach die Nummer des Beratungszentrums anrufen.

  11. bei mir hat sich der BKA-Trojaner so in die registry eingefressen, dass mittlerweile auch der “abgesicherte modus mit eingabeaufforderung” keine eingabe von befgehlszeilen mehr erlaubt, sondern analog des reinen “abgesicherten modus” zur windows-anmeldung durchläuft. Haben Sie in dem Fall auch einen Rat?

    1. Hallo Herr Plän,

      >>“abgesicherte modus mit eingabeaufforderung” keine eingabe von befgehlszeilen mehr erlaubt, sondern analog des reinen “abgesicherten modus” zur windows-anmeldung durchläuft.

      Sie müssen sich nach dem sie den “abgesicherten Modus mit Eingabeaufforderung” gewählt haben, an der Windows Anmeldemaske einloggen!

      Gruss ABBZ

  12. Das war meine Rettung!! Die Kasperky CD funktionierte bei mir nicht.
    Super Anleitung. Einfach und klar verständlich! DANKE!!!

    Jetzt folg noch ein kompletter virus scan und eine Nachbearbeitung mit Malewarebytes.

  13. Hallo,

    habe auch den BKA-Trojaner, bei mir steht der Shell Wert auch schon auf Explorer.exe ? Wie in der Anleitung geschlossen, trotzdem ist “BKA” immer noch das.
    System: Windows 7

    Danke im voraus!

    1. Hallo JJ, Haben Sie beim System Win7 unter dem Zweig in der Registry geschaut?

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

      Versuchen Sie über die Eingabe “DosBox” den DE- Cleaner von Avira zu starten.

      Eingabe explorer.exe, dann den DE- Cleaner von Avira vom USB- Starten…

      Anleitung Avira DE- Cleaner
      https://blog.botfrei.de/2011/07/anleitung-de-cleaner-powered-by-avira-%E2%80%93-version-10-0-7-0/
      Beim 2. Bild sehen Sie oben auf USB-Gerät kopieren…

      Gruß ABBZ

    2. Den BKA Trojaner gibt es in verschiedenen Versionen. In manchen Fällen (in der Regel bei Win7 und Vista) kommt es vor, dass Windows erstmal normal gestartet wird. Man sieht also seinen Desktop wie gewohnt. Nach einigen Sekunden/Minuten allerdings erscheint dann die Vorschaltseite des BKA Trojaners. Ist dies der Fall so muss man nach der Anleitung vorgehen wie beschrieben. Allerdings ist der Pfad in der Registry leicht anders.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      -Man beachte, dass es NICHT Windows NT ist, sondern wirklich Windows !
      -Dort sucht man dann auf der rechten Seite nach einem Eintrag AVUpdate. -Dieser beinhaltet normalerweise einen Pfad der auf eine Exe mit dem Namen jashla.exe
      -Ist solch ein Pfad vorhanden kann man diesen mit einem rechten Mausklick (auf AVUpdate klicken) mit dem Pulldown Menue löschen.

      Gruss,
      Andre

    3. Vielen Dank, ich habe Vista und bei mir hats funktioniert. Die Datei hatte im Pfad mahmud stehen, nicht jashla- viel Glück allen mit diesem Monstrum.

    4. Hallo,

      mein Vater hat das selber Problem – in dem Pfad “shell” steht nicht explorer.exe – sondern irgendwas anderes!
      ich hatte genau nach dieser Anleitung gearbeitet. Aber sobald ich “shutdown -r-1 00” eingeben muss, fährt er aber nicht runter.
      Was kann ich tun?

      Liebe Grüße Chantal

  14. Hallo,

    ich habe den Trojaner auch, aber unter Vista.

    Welche Einträge der Registry muß ich bei diesem Betriebssystem ändern?

    Danke im Voraus.

    Gruß

    Christian

    1. Hallo Firepoker,
      diesen:
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

      Gruß ABBZ

  15. nachdem mit dem bka trojaner selbst im abges. modus nix mehr ging, habe ich das bka jetzt mit hilfe dieser genialen anleitung rausgeworfen. bin zwar nicht blond aber über 50 !
    supi anleitung. dankeschön

  16. danke für die vielen Einträge, hab das meiste auch gefunden, nur hab ich weder einen Fehler unter “Shell” noch finde ich irgend etwas seltsames unter HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run. Was nun? ich könnte mir vorstellen dass es tatsächlich ein Problem mit dem Autostart ist, da bei mir sofort statt des normalen Bildschirms die BKA Meldung auftaucht. Gibt es noch ähnliche Verzeichnissysteme bei denen es auftritt?

    1. Hallo Herr Trautenbach, geben Sie mal msconfig.exe ein und gehen Sie auf den Reiter Systemstart, dort werden alle Systemstarts angezeigt, evtl. ist dort das File dabei.
      Wenn Sie dort die Haken heraus nehmen, können Sie jederzeit diese wieder ändern…

      Gruß ABBZ

  17. Du bist ehrlich der Held des Tages. Ein guter Freund ist seit ca. 16Uhr heute zu Hause und hat seit dem versucht seinen PC normal hochzufahren und zu benutzen. Aber dieser vermaledeite Trojaner hat jedes Handeln am PC unmöglich gemacht. Kein Hochfahren im gesicherten Modus, keine Scannings weder in graphic noch in textform mit rescue discs hat geholfen. Am Ende immer wieder dieses BKA-Bild.
    Erst die dank der manuellen Entfernung, Neutstart und dem anschließenden Virenscan nach deiner genialen Anleitung, die sogar für technisch völlig unfähige Menschen wie mir verständlich war, konnte sein PC endlich normal hochfahren und am Ende erschien sein Desktophintergrund: ein idyllisches Bild von Sevilla und kein böses BKA-Bild.
    Das war eine Erlösung nach nun fast 6 Stunden aussichtslosen und verzweifelten Rettungsversuchen.
    Du hast den Abend und den PC meines Freundes und bestimmt vieler anderer gerettet.
    Vielen lieben Dank dafür von mir, meinem Freund und seinem heißgelaufenen PC.
    Mach bitte weiter so!!!!
    Gruß
    isi

  18. Hallo!

    Mein BKA-Trojaner ist auch im abgesicherten Modus aktiv. Gibt es eine Möglichkeit trotzdem an die Registry zu kommen?

    1. Ja, Sie können den “abgesicherten Modus mit Eingabeaufforderung” starten und im DOS-Fenster dann “regedit” eingeben, das sollte funktionieren.
      Sie können auch eine automatische Reinigung mit dem portablen SUPERAntiSpyware über einen USB-Stick über den Modus durchführen, eine Anleitung dazu haben wir hier.

  19. 1000 Dank für die Hilfe! Würde mich nun wirklich nicht als Computer Spezialistin bezeichnen, konnte dennoch den BKA-Trojaner, nach fehlgeschlagenem Versuch mit der Kaspersky Rescue Disk :-(, dank der tollen Anleitung manuell entfernen.

  20. Danke, Danke, Danke an den freundlichen Herren an der Hotleinleitung vom Botfrei Beratungszentrum. Ich bin kein Computerexperte, aber mir wurde geholfen und ich konnte meine Bewerbung rausschicken. Total nette Leute die einem unkompliziert helfen. Nochmals vielen Dank

  21. Super anleitung, ich selbst bin was den BKA-Trojaner angeht noch verschont geblieben. Ein Bekannter der leider etwas weiter entfernt wohnt leider nicht. Ihm konnte ich dann nur einzige wahre Lösung anbieten “Rechner neu Aufsetzen”. Naja seit dem isser sauber.

    Achso kleine Anmerkung für FF-User installiert doch einfach mal das Addon “NoScript”.

    Ist eines der Sinnvollsten die es für den FF gibt. Man muss zwar dann die Scripte von Webseiten erlauben aber auch das kann man nur temporär erlauben.

    Bei meinem Bekannte FF+NoScript + AntiVir + Firewall draufpacken lassen. Jetzt hat er erstmal weitgehend ruhe.

    Gruß BadMerlin
    (IT-SE)

  22. Danke Danke Danke Danke ich kann gar nicht genug danke sagen !!!!
    Hat super funktioniert
    DANKE!!!!!!!!

  23. Im Zweifel lohnt es sich die Hotline anzurufen. Das Mistding, das mich infiziert hatte gehörte der neueren Generation an und war auf dem Wege wie hier beschrieben nicht zu kriegen. Ein Anruf von 10 Minuten und das Problem war erledigt. Hervorragende Unterstützung dort!

  24. Guten Tag,
    beide zum Thema angebotenen Such Programme sowie die beschriebene Registry Suche waren bei mir erfolglos. Lediglich eine Exe Datei machte mich aufmerksam. Und zwar unter HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run der Eintrag: avstatus – C:/Users/Username/AppData/Roaming/jashla.exe. Erst hielt ich es als Teil von Antivir. Google verwies zur jashla.exe zum BKA Virus. Diesen Eintrag gelöscht konnte ich wieder ins Windows starten und weitere Schritte zur Bereinigung einleiten.

    Grüße
    Fred

  25. Hallo
    Ach ich hatte mir den BKA-Virus gestern eingefangen. Nun habe ich mich im Netz belesen wie man diesen hartnäckigen Trojaner wieder losbekommt. AntiVir-Cleaner brachte absolut nicht’s. Bis ich folgendes gefunden hatte: Pc im abges. Modus mit Eingabeaufforderung mit der Taste ‘F8’ starten. Dann folgendes eingeben:
    %systemroot%\system32\restore\rstrui.exe
    man kommt so in die Wiederherstellung und kann den PC zu einem früheren Zeitpunkt erstmal wieder normal starten! Anschließend natürlich den PC mit nem Virenscanner scannen (Anti Malware macht sich dabei sehr gut) und die Temp. Internetdateien unbedingt löschen! Abschliesend habe ich nochmal nach der ‘Jashla.exe’ gesucht und noch einen Eintrag gefunden und gelöscht!
    Jetzt läuft alles wieder ganz normal und ich denke nicht, dass man gleich den PC neu aufsetzen muß, aber das kann dann jeder für sich selbst entscheiden.

    Gruß
    Hubert

  26. Im endeffekt hat es bei mir dann mit der Erklärung von Andre vom 2. August 2011 um 11:56 funktioniert.

    Vielen Danke dafür!!!

  27. Danke für die super Anleitung. Alle anderen Anleitungen sind fürn arsch, ums mal auf den Punkt zu bringen. Meine größte Angst war format c aber dank Ihrer Anleitung ging es ja auch ohne 🙂
    Deswegen kann ich mich an die Danksagungen nur anschließen! Weiter so.. 🙂

  28. Hallo, Ihr Spezialisten. Leider bin ich nach Meinung meines Schwiegersohnes ein DAU.
    Auch ich habe mir diesen BKA Virus eingefangen und werde ihn nicht los. Mein derzeitiges Hauptproblem ist, dass ich nicht mal mit F8 in den abgesicherten Modus komme. Gibt es da noch andere Möglichkeiten? Übrigens war ich schon mal nah dran. Über den Taskmanager habe ich jashla.exe gefunden, aber in der Eile mit der linken statt mit der rechten Maustaste angeklickt. War falsch. Wenn ich jetzt noch überhaupt in den Taskmanager komme, dann nur noch für wenige Sekunden. So schnell bin ich dann aber doch nicht.

    1. Hallo,
      haben Sie auch den “Abgesicherter Modus mit Eingabeaufforderung” gewählt?
      Der abgesicherte Modus muss in der Auswahl stehen sobald Sie nach dem BIOS Post Bidlschirm F8 drücken.
      MFG ABBZ

  29. Hallo zusammen,

    erst mal vielen Dank für die vielen Anleitungen. Bei mir hats erst nach manueller Registry-änderung funktioniert. Die Systemwiederherstellung war erfolglos. Jetzt läuft er wieder.

    Vielen Dank.

  30. Hallo zusammen, ich bin hier am verzweifeln… -.-

    Ich nutze Vista als Betriebssystem.
    Leider kann ich unter dem folgenden Pfad:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    , der oben in einem anderen Beitrag genannt wIrd, keine “shell” Datei finden. In den ” Run ” Ordnern konnte ich nur zwei auffällige Einträge finden, die ich nachdem ich ihre Funktion nachgegooglet habe, gelöscht, da es trojaner waren.

    Ich bin mit meinem Latein am Ende. Und da ich keine Windows Vista CD habe und der Laptop bei dem Versuch Windows XP zu installieren, keine Festplatte findet, bin ich aufgeschmissen… .

    Ich hasse meinen Laptop -.-

  31. Hallo!
    Habe den BKA-Trojaner! Ich habe alles Schritte im abgesicherten Modus durchgeführt. Leider stocke ich nun am Punkt 5, da ich nicht weis, wie ich den Computer im abgesicherten Modus starten soll, um die von Ihnen angegebenen Befehl einzugeben. Mit F5 klappt es zumindest nicht. Können Sie helfen!

    Gruß

    1. Hallo fam-jan,
      Welcher Anleitung folgen Sie? Sie müssen nach einschalten des PCs die F8 Taste drücken und den abgesicherten Modus mit Eingabeaufforderung wählen…

      Gruß ABBZ

    2. Hallo,
      habe ich gemacht. Bis Punkt 4 bin ich gekommen. Bei Punkt 5 soll ich nun den Rechner neu starten und den Befehl (shutdown…) eingeben. Wie aber starte ich den Rechner neu, wenn ich Punkt 4 abgeschlossen habe und ich mich noch im abgesicherten Modus befinde?

    3. Zusatz ! Habe da wohl etwas falsch verstanden, bzw. geschrieben.
      Meine Frage: Wo gebe ich den Befehl:”shutdown…” ein, damit der Rechner neu startet?

  32. Hallo,

    vergangene Woche habe ich mir den hübschen BKA-Trojaner eingefangen. In der Registry habe ich ihn unter HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run auch als jashla.exe entdeckt und eben diesen Eintrag per Rechtsklick gelöscht. Anschließend neu gestartet und diverse Virenscanner (u.a. die hier empfohlenen DE-Cleaner und Superantispyware) drüber laufen lassen. Gefunden wurde nichts, was ich mit dem BKA-Trojaner in Verbindung gebracht hätte. Passwörter habe ich inzwischen auch alle neu aufgesetzt. Nun meine Frage: Ist damit alles erledigt? Oder verstecken sich noch “Reste”, die ich irgendwie entsorgen muss? Und kann der Trojaner überhaupt auf irgendwelche Dateien/Passwörter zugreifen, oder soll er schlicht und einfach nur nerven? 🙂

    Danke
    Anna-Lena

    1. Hallo bamela,
      Komisch ist, das das jashla.exe File nicht vom Antivirus bei Ihnen gefunden wurde. In der Registrierung haben Sie nur den Start der Schadware verhindert. Bitte laden Sie sich mal das Tool von Malwarebytes bzw. Superantispyware herunter…
      Anleitung: https://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/
      Anleitung: https://blog.botfrei.de/2011/08/superantispyware-free-edition/
      Lesen Sie auch hier: https://blog.botfrei.de/2011/08/wie-mache-ich-mein-windows-sicher/

      Am sichersten ist nach wie vor die Neuinstallation, der Rechner wurde von Schadware kompromitiert!
      Gruß ABBZ

  33. Danke für die schnelle Antwort. Ich denke, ich werde es dann mit einer Neuinstallation wagen. Eine Frage habe ich allerdings. Ich habe letzte Woche, nachdem ich den Trojaner vermeindlich los war, meine eigenen Dateien auf eine externe Festplatte kopiert. Habe ich den Trojaner jetzt mitkopiert und muss alle eigenen Dateien löschen?

  34. Danke für die Anleitung! Aber ich kann “Shell” nirgends finden. Auch suchen hat nix gebracht. Ich habe Windows XP, hat das bei mir vielleicht nen anderen Namen?

  35. Das Kommentar von Andre
    “2. August 2011 um 11:56

    Den BKA Trojaner gibt es in verschiedenen Versionen. In manchen Fällen (in der Regel bei Win7 und Vista) kommt es vor, dass Windows erstmal normal gestartet wird. Man sieht also seinen Desktop wie gewohnt. Nach einigen Sekunden/Minuten allerdings erscheint dann die Vorschaltseite des BKA Trojaners. Ist dies der Fall so muss man nach der Anleitung vorgehen wie beschrieben. Allerdings ist der Pfad in der Registry leicht anders.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    -Man beachte, dass es NICHT Windows NT ist, sondern wirklich Windows !
    -Dort sucht man dann auf der rechten Seite nach einem Eintrag AVUpdate. -Dieser beinhaltet normalerweise einen Pfad der auf eine Exe mit dem Namen jashla.exe
    -Ist solch ein Pfad vorhanden kann man diesen mit einem rechten Mausklick (auf AVUpdate klicken) mit dem Pulldown Menue löschen.

    Gruss,
    Andre”

    hat mir sehr weitergeholfen …. großes Lob an die Kompetenten leute hier und nochmal vielen vielen dank !!!!!!
    Liebe Grüße

  36. Leider habe ich keinen Eintrag Shell gefunden, aber einen Eintrag mit Namen vasja.
    Den hab ich gelöscht und Windows läuft wieder normal. Jetzt läuft noch der DE-Cleaner durch. Systemwiederherstellung hab ich auch gemacht. Ich hoffe, ich bin das Ding los.

    1. Hallo Angie,
      >>ich bin das Ding los…
      Bitte mal das kostenfreie Tool Malwarebytes laden und einen Vollscan machen. 100% Sicherheit haben sie nur mit einer Neuinstallation 🙂

      Gruß ABBZ

  37. So, ich hab auch Malwarebytes durchlaufen lassen. Hat nichts festgestellt.
    Aber es lassen sich Programme, die mit Java zusammenhängen nicht mehr öffnen. Sehr ärgerlich, da ein wichtiges Programm für die Schule nicht mehr geht. Habe jetzt versucht eine neue Version von Java runterzuladen, aber das klappt auch nicht.
    Werd den Laptop wohl formatieren müssen, wenn ich keine andere Lösung finde.

  38. Danke, danke hab zwei stunden mit meinem smartphone nach ner lösung gesucht bis ich auf deine anleitung gestoßen bin.

    da bei mir “Shell” korrekt war hab ich einfach alles bei HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run gelöscht und dann ging es wieder 🙂

    ich lass grad mein antivierenprogramm durchlaufen hoffe mal das jetzt läuft alles glatt.

    nochmal großes DANKE

    1. Hallo Danke 🙂

      >>ich lass grad mein antivierenprogramm durchlaufen
      Der wird wahrscheinlich nichts finden, das Schadfile ist noch auf dem Rechner, scannen Sie mit dem kostenfreiem Tool vom Malwarebytes.

      Gruß ABBZ

  39. Hi,

    meine freundin hat auch diesen tollen trojaner und besitzt windows7. wir sind die anleitung durchgegangen aber unter KEY_CURRENT_USER\… war kein “shell” zu finden nur unter HKEY_LOCAL_MACHINE\…
    Bei dem Shell stand jedoch schon explorer.exe da

    könnt ihr mir weiterhelfen?

  40. Hi,
    die Anleitungen sind super.
    hat bei mir funktioniert.
    allerdings hieß die von mir gelöschte Datei unter AVUpdate nicht mehr jashla.exe, sondern mahmud oder so ähnlich. ist dies eine neue version des trojaners?

    1. Hallo michi, so siehts aus.
      Der BKA Trojaner kann neue Namen annehmen, da der Baukasten dafür schon öffentlich ist.

      Gruß ABBZ

  41. Hallo,
    bei mir ist das Problem auch aufgetreten ohne etwas zu Instalieren, bei mir ist es aber die GEMA die den Rechner gesperrt hat wegen gefunden MP3 liedern, ich soll 50 € bezahlen über Ukash.
    Ich habe aber folgendes Problem ich kann gar nichts mehr machen es kommt immer direkt das Bild sogar im Abgesicherten Modus der Affengriff bringt auch nichts egal wann, wenn ich deiner Anleitung folge und regedit eingebe kommt “Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert”. Ich bin aber der Administrator und habe kein anderes Benutzerkonto drauf. Auch alle anderen versuche über USB-Stick etc. funktionieren nicht.
    Mir bleibt wohl nichts anderes übrig als format C,

    ich wollte nur bescheid geben das es wohl BKA-Trojaner 3.0 gibt, denn über diesen habe ich noch nichts gefunden.
    MFG

    1. Hallo Varreill,
      Es kann sein wenn Sie eine Home Version haben, dass Sie den Administrator erste aktivieren müssen!
      Über die Kommandozeile das Administrator Konto aktivieren:
      Aktivieren:
      net user Administrator /active
      Deaktivieren:
      net user Administrator /active:no

      weiterführende Infos: http://www.winhelpline.info/daten/dos/net_user.php

      Weitere Schritte zum Entfernen des BKA…lesen Sie hier:
      https://blog.botfrei.de/2011/09/zusammenfassung-ransom-ukash-%E2%80%93-trojaner-bka-trojaner/

      Gruß ABBZ

  42. Hallo.

    Ab Punkt 5 komm ich nicht weiter!
    Hab Shell gelöscht, aber es kommt immer noch der BKA Bildschirm.
    Was könnte ich jetzt noch machen?

  43. Super Anleitung. Selbst für mich als absoluten PC-Neuling offensichtlich erfolgreich anzuwenden. Vielen Dank!!!

  44. Hatte bis eben auch das Problem!Nu ist es weg!
    Hab hier alle Foren durchsucht und alles ausprobiert(Sämmtliche Einträge im Reg durchsucht)
    Dann wurde ich fündig!

    !!!!!!!!!!!!!!!!!!!!!!!!! mahmud.exe !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    Die Datei befand sich bei mir in einen von den beiden Pfaden,weiß es grad nicht mehr genau..:
    HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

    Hab die Datei entfernt und Windows neu gestartet (shutdown -r -t 00)
    Jetzt läufts wieder normal!
    Würde mich aber interessieren,ob dieser Virus jetzt wirklich komplett weg ist oder noch irgendwo lauert???
    Die Antispam/Virus Software die hier empfohlen wird,hat bei mir nämlich nichts gefunden(auch nicht bevor ich den Reg Eintrag gelöscht hab.)

    Grüße B.

  45. Moin.
    Hatte vorgestern auch den trojaner auf meinem win7 64bit, habe dann aber sofort im abgesicherten modus einen paar tage zurückliegenden wiederherstellungspunkt geladen. Danach war alles sauber. Habe verschiedene AV scans gemacht und die reg manuell durchsucht – nichts zu finden. Wieso sollte denn jetzt immer noch etwas auf dem rechner sein? Wenn man einen alten Wiederherstellungspunkt wählt, wird doch jegliche änderung am system seit diesem zeitpunkt rückgängig gemacht. Es KANN doch gar nichts mehr übrigbleiben von der malware. Wozu denn immer diese panikmache von wegen ‘system neu aufsetzen’ ?
    Ausserdem würde mich mal interessieren, was denn dieser bka-trojaner nun wirklich macht. Liest er im browser gespeicherte passwörter aus? Das muss doch inzwischen bekannt sein.
    Grüße

    1. Der BKA-Trojaner wird in die Kategorie Scareware eingestuft, welches mit einem Splashscreen die Nutzer verunsichert und zu einer Zahlung eines Betrags zwingt. Dieser Virus hat nach unseren Erkenntnissen keine weiteren Aktionen bzw. macht nichts aus den Benutzer zu verunsichern mit einer Falschmeldung, die sich nicht “wegklicken” lässt.

      ABBZ

  46. Habe noch einige fragen: Welche sicherheitslücke nutzt den dieser bka-trojaner aus?
    Funktioniert er auf basis eines scripts? java? flash? Wie umgeht er die sandbox?
    Sind alle browser betroffen? Macs auch?

    Danke schon mal und Grüße

    1. Ganz genau können wir dies nicht nachvollziehen, sicher ist jedoch, dass der BKA-Trojaner durch einen Drive-by-Download bzw. durch eine infizierte Webseite geladen wird. Der BKA-Virus ist eine gewöhnliche ausführbare Datei (.exe) die sich in der Registry als Startprogramm selbst einschreibt bzw. den Shell Eintrag ../explorer.exe durch den Pfad des Virus ersetzt. Macs können von dieser BKA-Virus Variante nicht betroffen sein, da die Datei eine Windows- Anwendung ist und auf einem Mac nicht lauffähig ist.

      ABBZ

  47. Hallo, ich habe vista und bei HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon stand schon explorer.exe

    dann habe ich einen kommentar gelesen und habe es mit diesem hier versucht: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    das hat dann soweit auch geklappt, ich habe die datei in explorer.exe umbenannt, habe den laptop neu gestartet( mit shutdown -r -t 00) und als ich auf meinen account ging kam erneut die aufforderung der “bundespolizei” 100 euro zu bezahlen.

    Was soll ich tun??

  48. Mein Vater hat sich das Ding heute beim Surfen auf nichtjugendfreien Seiten eingefangen und, unbedarft wie er ist, sogar das Geld bezahlt… Naja, mehr als warnen und auf die Gefahren hinweisen kann ich nicht und vielleicht ist er in Zukunft dank dieser Shocktherapie vorsichtiger und fragt gleich, anstatt dank Muffensausen und Peinlichkeit weil Dummfühlen und Böseporne die ganze Sache noch schlimmer zu machen.

    Jedenfalls, der eigentliche Grund warum ich schreibe ist der: In der Registry finden sich keine der genannten Einträge. Shell ist unverändert auf explorer.exe gesetzt, unter Run ist nichts Zwielichtiges zu finden und auch sonst findet sich auf Anhieb keine Datei oder irgendein Eintrag, der direkt verdächtig erscheint. Meine erste Handlung war die aktuelle Recovery Disc von Avira durchlaufen zu lassen, aber die hat beim Scan nix gefunden, außer ein paar fehlerhaften Einträgen in der mittlerweile doch recht betagten Registry, aber auch nach deren Bereinigung war der Splashscreen noch immer da.
    Aufgerufen wird dieser nach wie vor über den Start von Explorer.exe und irgendwie bin ich gerade ein wenig ratlos.Im Moment lasse ich den DE-Scanner von Avira drüber laufen und hoffe schwer, dass dieser mich weiter bringt. Könnte es sein, dass hier eine neue Version aufgetaucht ist, die sich direkt in die explorer.exe einklinkt? Und wenn ja, wie sollte ich weiter verfahren?

    1. Hi Madner,

      gerne helfen wir Ihnen in unserem kostenfreien Support-Forum (http://forum.botfrei.de) weiter! Im direkten Dialog können wir, oder die Community freiwilliger Helfer weitaus individueller auf Ihr Problem eingehen, als es hier in den Blog-Kommentaren mgl. ist!

      Grüße,
      TK, ABBZ

  49. Der Trojaner hat sein Vorgehen geändert!

    Ich habe auch gerade vom Rechner eines Bekannten den UKash-Trojaner entfernen müssen, bei dem ebenfalls alle Registry-Einträge ok waren.
    Aber, wie sagte schon Sherlock Holmes: “Wenn das Unmögliche ausgeschlossen wurde, muß das, was zurückbleibt, wie unwahrscheinlich es auch ist, die Wahrheit sein”. 😉 Da die Software ja irgendwie gestartet werden muss, blieb eigentlich nur noch eine Möglichkeit, nämlich dass der Trojaner die “explorer.exe” austauscht. Und voilá, das war die Lösung.

    Also:

    Entweder hast du noch einen Rechner mit derselben Windows-Version
    – Dann kannst du dir dessen “explorer.exe” (sie liegt im Windows-Verzeichnis) einfach
    auf z.B. einen USB-Stick ziehen und damit dann die verseuchte Datei überschreiben.

    Oder du musst dir die richtige “explorer.exe” von deiner Windows-Installations-CD holen.
    – Sie liegt auf der CD im Verzeichnis “I386”. Allerdings ist die Datei da noch gepackt und
    heißt “EXPLORER.EX_” (Zumindest unter XP). Entpacken kannst du sie mit dem
    Programm “EXPAND.EXE”, das ebenfalls im Verzeichnis “I386” auf der CD liegt.
    – Die beiden Dateien kopierst du am besten erst mal in ein temporäres Verzeichnis auf
    deiner Festplatte.
    – Der Entpack-Befehl lautet dann “expand.exe EXPLORER.EX_ explorer.exe”.
    – Danach kopierst du die gerade erstellte “explorer.exe” in das Windows-Verzeichnis
    und überschreibst damit den Trojaner.

    Nach dem nächsten Neustart sollte der Spuk dann vorbei sein …

    Auf die AV-Leute kann man hier im Moment noch nicht bauen. Ich habe die verseuchte “explorer.exe” mal bei Virustotal hochgeladen, wo sie von gerade mal 4 Scannern überhaupt nur als böse eingeschätzt wurde und das auch nur über die Heuristik. Ich denke, das wird noch so ein, zwei Tage dauern.

    HTH
    cCred

    1. Morgen cCred, Danke für die Info und den ausführlichen Bericht. cool wäre noch eine Auswertung mit Hijackthis gewesen oder Sie hätten uns mal die Schaddatei gepackt und uns geschickt 🙂

      Gruß ABBZ

    2. Das kann ich heute Nachmittag alles noch machen, wenn ich von der Arbeit zurück bin (an welche Adresse?). Avira hat über Nacht nix gefunden und genau das (einfaches Austauschen der Explorer.exe) wäre mein nächster Versuch gewesen. Gut zu wissen, dass man nicht völlig ins Dunkle gestochen hätte. Danke, cCred 🙂

    3. So, Mail ist auf dem Weg (HiJackThislog+gepackte Explorer.exe).

      Das Ersetzen mit einer einfachen und nachweislich sauberen Explorer.exe hat Einbeinsahne funktioniert und der auffälligste Unterschied zwischen einer normalen und der versauten Explorer.exe ist, dass die versaute Explorer.exe nur etwa 180kb groß ist.

    4. Nachtrag: Die “Microsoft Security Essentials” erkennen die infizierte Explorer.exe mitlerweile a.s VirTool:Win32/Obfuscator.QG.

  50. ahh sry gerade erfahren dass dies nix mit dem trojaner zutun hat ;D dachte wegen deamon like dämon hihi aber trotzdem habe ich keine anderen komischen werte oder .exen da stehen und wenn ich ihn starte kommt immer noch der screen und kann nix machen 🙁
    ich habs auch mit der t-com lösung probiert aber mein tastmanager verschwindet direkt wieder unter dem screen 🙁

  51. Hallo, Danke für Euren Hinweis, habe alles so gemacht, wie beschrieben, leider fehlt mir beim Start der komplette Desktop, bin über STRG-ALT-ENTF an den Task Manager und kann so agieren.Habt Ihr einen Hinwseis?

  52. Hallo zusammen,
    bei mir war auch die explorer verbogen…nach Austausch geht es wieder.

    Und was ich dem wünsche, der das Ding programmiert hat, das überlege ich mir beim Bier…

    Danke für den Tipp – wenn jemand von Euch mal einen SLK hat, kann meine Seite mit Infos dienen 🙂

  53. DANKE!!! Habs nach einigem Probieren zumindest geschafft den Virus so weit zu kriegen, dass er sich nichtmehr automatisch öffnet sobald ich den PC einschalte=) Jetzt muss ich ihn nurnoch komplett weg bekommen. Macht man das jetzt einfach mit einer Anti-Viren-Software oder sollte ich ihn besser manuell löschen? Habe jetzt nur explorer.exe beim Virus eingegeben. Bei mir hieß er übrigens VASJA !!

  54. Ich habe mir den Virus bei meinem gerade mal 9 Tage jungen und mit InternetSecurity Programm versehenen Laptop eingefangen. Ich war total verzweifelt und froh zumindest mit meinem alten Laptop im Internet nach Lösungen suchen zu können. Daher:
    Viiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiielen Dank für die tolle Anleitung! Danach konnteich den Virus nach einigem Probieren letztendlich entfernen (obwohl ich Frau und Laie bin 😉 ). Da ist man glatt ein wenig stolz, mehr aber noch bin ich unheimlich erleichtert! Ich bin froh diese Seite gefunden zu haben, denn alle anderen haben gar nichts gebracht.
    Bei mir hat sich der Virus unter HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    wie folgt versteckt:
    C:\USERS\(mein Username)\AppData\Roaming\mahmud.exe

    Alle (für mich auffälligen) exen habe ich zunächst im Internet recherchiert damit ich nichts Harmloses zerstöre) und dann bezüglich obiger exe auf den Hinweis gestoßen, dass sich hierunter der Virus versteckt!

    Lasse nun gerade den empfohlenen AVIRA DE-CLEANER laufen und hoffe damit ist alles erledigt.

    Ein ehrliches super dankdankdankbares DANKE nochmal!

  55. ich brauch dringend Hilfe, ich hab tausende Versionen durchgespielt um den Virus zu entfernen. NICHTS KLAPPT!!! auch diese nicht da bei mir in der shell datei bereits Explorer.exe steht! ich hatte die Idee diese Datei durch eine neue zu ersetzen. da ich glaube das der Virus genau diesen Pfad verwendet hat. d.h. ich weis nicht wo ich die Shell original-datei herbekomme oder ob das überhaupt geht. Ich hoffe jemand von ihnen hat die Lösung die ich brauche! ! Bitte Helft mir !

    muss ich mich als admin im Abgesichterten modus Anmelden oder als ein anderer benuzer??? =>DANKE FÜR EURE HILFE

  56. HI,

    ich habe den Gema-Trojaner auf dem Rechner und bekomme ihn nicht weg. Wenn ich im abgesicherten Modus MIT Eingabehilfe starte und das Fenster sich öffnet und ich dann regedit eingebe bekomme ich in einem neuen Fenster gesagt: Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert.
    Ich habe dann auch nochmal versucht der Administrator zu deaktivieren und habe ihn danach wieder aktiviert. Der Warnhinweis kommt immer noch. Ich komme egal was ich mache nicht in die Registry rein. WAS kann ich jetzt machen?
    Habe letzte Woche schon den BKA-Trojaner bei einer Freundin auf dem Laptop mit eurer Anleitung entfernen können, da kam ich aber auch in die Registry rein.
    HILFE!!

    Grüße

    1. Hallo coco,

      ich würde Ihnen empfehlen das Tool Superantispyware zu benutzen. Hierzu wird die Registry nicht benötigt. Sie müssen das Tool auf einen USB-Stick packen und es in den Infizierten PC im abgesicherten Modus mit Eingabeauffordeung stecken. Dann geben Sie in der Koonsole explorer ein und starten das Tool über den USB-Stick. Hier die Anleitung: https://blog.botfrei.de/2011/08/superantispyware-free-edition/

      Gruß
      MG,
      ABBZ

  57. Danke für die detaillierte Anleitung! Jedoch hats nicht funktioniert! Was kann ich jetzt tun? Bin absolut Laie 🙁

  58. Also absolut super Beitrag habe mehreren Bekannte ihre Daten gerettet ohne Ihre Recher platt zu machen wie manche Anfänger das tun würden. Besser hätte man diesen Thread nicht machen können. Man kann sich wirklich nur bei dem Menschen bedanken der sich die Zeit genommen hat es vernünftig und verständlich zu erklären. Danke Danke Danke. Riesen Lob an Dich !!!!!!

  59. hey danke für dsie guten ratschläge !!! hab es jetzt hoffentlich geschafft…muss euch aber sagen das es eine neue version gibt mit dem namen 3zi7nko5.exe!!!!!
    habe ihn unter HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    gefunden!!!!

    1. Hallo Tony,

      danke für die Information. Der Name ist meißtens zuverlässig, deshalb sollte man in der Registry immer nach merkwürdigen oder unbekannten Einträgen suchen.

      Gruß
      MG,
      ABBZ

  60. Hallo,

    entweder ich habe Glück gehabt oder ich kenn mich doch nicht so gut aus!
    Habe mir gestern Abend den “BKA Trojaner” eingefangen.
    Erstmal sofort das Internetkabel gezogen und Rechner neu (normal) gestartet.
    Sobald ich im Windows 7 war, habe ich gleich den Taskmanager geöffnet und die
    merkwürdige “new.exe” gekillt. (Kein weiterer PopUp) Nach suchen der .exe im Registrierungseditor (Pfad: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run) und auf meiner Festplatte (Pfad: C:\Users\username\AppData\Local\Temp) darauffolgendem löschen und noch einem Virenscan (ohne Fund) habe ich kein weiteres Problem mehr feststellen können!

    Ich hoffe doch damit, dass ich “befreit” bin?!

    Grüße,

    Thomas

  61. Scheinbar ist noch eine neue Version dieses Drecks unterwegs …

    vsja als Eintrag in der Registry und new.exe unter \Benutzer\…\AppData\local\temp\

    und das schönste – das Mistding legt einen neuen User an;
    __vmware_user__

    Anforderndes Konto: SYSTEM

    Vermutlich also nicht nur scareware, sondern ein echter Trojaner mit Backdoor.
    Auch prima: MS Forefront mit Virendefinition vom 07.11.2011 und auch Malwarebytes finden nichts.

    Bin erst im Nachhinein auf diese Anleitung gestossen. Mittels eventvwr und diversen Einträgen bin ich dem Trojaner auf die Spur gekommen.
    Würde den Programmierer gerne in die Finger bekommen …

    Gruß
    Armin

  62. Es hat funktioniert! Bei mir hieß das Miststück “VASJA” … habe es gelöscht und jetzt geht wieder alles!!! VIELEN DANK!!

  63. Das Scheißding heißt jetzt Vasja … Ich kann’s kaum glauben, ich hab die ganzen 2 Stunden nur nach jashla und mahmud gesucht …. VASJA!!! Ich hasse dich … Aber jetzt funktioniert alles wieder ^^
    Danke MrT, ohne dich wäre mir das scheiss vasja Ding nicht aufgefallen!!!!

  64. edit: hat doch geklappt 🙂 vielen lieben Dank für die super Anleitung! 🙂

    Liebe Grüße Chantal

  65. Mit autoruns von MircOsoft-Sysinternals ruckzuck gefunden
    Warsich auch bei mich Vasja der alte cHund 😀
    Durch Klick auf einen Link in einer bösen Webseite, Trotz Security-Essentials, Defender, neuestem Firefox 🙁

  66. Hallo,

    ich habe mir den Scheiß grade auch eingefangen.

    Bin fast verzweifelt, weil ich in der registry den Ordner “Winlogon” nicht finde. Dementsprechend konnte ich auch die shell nicht ändern.

    Dann fiel mir im Autostart-Menü ein komischer Eintrag namens “Shifty bmw booth sinew boats” auf. Verweist auf eine upd.exe. Häkchen rausgenommen, seit dem taucht nichts mehr auf.
    Jetzt möchte ich den Kram natürlich ganz weg haben. Finde aber weder mahmud, noch jashla oder vasja.exe Malwarebytes hat auch nichts derrtiges entdeckt.

    Ideen? Danke 🙂

    1. Hi Maestro,

      such mal bitte nur nach vasja … für weitere Fragen bzw. individuellen Support bitte ich Dich Dir einen Account in unserem Support-Forum anzulegen: http://forum.botfrei.de und einen Beitrag zu eröffnen!

      Grüße,
      TK, ABBZ

  67. übeltäter in meinem fall: c:\Users\[username]\AppData\Local\Temp\upd.exe

    auf die datei verweisender registry eintrag ganz einfallslos unter
    current user\Software\Microsoft\Windows\CurrentVersion\Run
    key namens “vasja”

    manuelles entfernen der datei und des keys macht den rechner wieder benutzbar; anschliessend einen virenscanner (der den trojaner kennt) durchlaufen lassen.

  68. ich bin seit stunden am rumprobieren und finde den blöden trojaner nicht… habe alles suchen nach vasja, 3zi7nko5, mahmud und jashla ausprobiert aber nichts… noch tips?

    Habe den namen bei shell ausgetauscht und explorer.exe eingegeben, dann auch ordentlich mit shutdown -r -t 00 runter- und wieder hochgefahren.

    beim start erscheint dann kurzzeitig ganz normal mein desktop, aber dann öffnet sich der internetexplorer von selbst und sagt mir, dass keine internet-verbindung besteht. ich kann dann nichts mehr machen, außer das herunterfahren erzwingen.

    mache ich etwas falsch? bin am verzweifeln

  69. Also, ich würde auf jeden Fall im abgesicherten Modus über msconfig (Start -> Ausführen -> ‘msconfig’ entippen) nach unseriösen Programmen Ausschau halten – bei mir ist da ein Programm namens Jobs Poems oder so ähnlich aufgefallen. Das hatte sich im Temp Ordner versteckt .. Deswegen würd ich dir auch empfehlen, die Temp Ordner im Windows, und in deinem Benutzer Ordner zu löschen.
    Ist auch, wie ich es gelesen habe, ungefährlich, wird sogar teilweise in zeitlichen Abständen immer wieder mal getan 🙂 Wobei man in der Regel nicht alle Dateien löschen kann, da manche auch zu dem Zeitpunkt benutzt werden, also nicht skeptisch werden ;p

  70. Hab das gleiche wie mein Vorgänger Fran.

    Keine .exe gefunden mit den bisher genannten Namen, in den Registy daten nicht gefunden.
    Wenn ich neu Starte kommt ebenfalls nach einer kurzen Zeit in der der Dekstop normal zu sehen ist der Internetexplorer und dan nach einger Zeit wieder der verdammte BKA dreck!

    Fran, wenn du ne Lösung hast, oder ein andere, Schreibt bitte ne Antwort!

    Vielen Dank!

    1. Hallo Sall,
      es gibt mittlerweile viele Trittbrettfahrer des BKA- Trojaners…., gerne helfen wir Dir im Support-Forum unter http://forum.botfrei.de individuell weiter. Leg Dir dort einfach einen kostenfreien Account an, und wir schauen uns gemeinsam dein System mal an.

      Gruß, ABBZ

  71. hab auch das blöde Problem gehabt. Bei mir hatte er den Namen wpdt.dll.
    Hab ihn in der Registy HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run gefunden. Lautete: Update und dann ganz rechts wpdt
    Steht auch in der System32 unter wptd.dll.

    Gruß Micha

  72. Hallo,
    schöne Anleitung wenn auch mit Makel. In das benutzereigene Autostart Verzeichnis sollte man auch mal reinschauen – da war er bei einem Bekannten zu finden.

    Vor allzugroßem Vertrauen zu “AntiVir” kann ich nur abraten. Der DE-Cleaner (das vollständige Nachladen der benötigten Dateien dauert >50 Min. !!! Unglaublich langsam…) findet NICHT die aktuelle Version (sie hies hier wpbt0.dll – die Datei muss nicht .EXE heissen um ausgeführt zu werden).

  73. Ich kann der Anleitung folgen aber ich finde die Datei in keinem der Ordner D: Kann mir jemand helfen?

  74. Gibt es eine Alternativlösung, wenn ich “Shell” einfach gelöscht habe? Ich habe die Datei einfach gelöscht und keinen neuen Wert eingegeben. Hilfe!

    Lg Janry

  75. Hallo, habe den Virus nun auch aufm Pc aber nun folgende Probleme .

    1.) ich habe mit dem Infizierten Pc durch Taskmanager die 2 Software gelöscht könnte es eventuell was verändert haben ???

    2.) Ich habe ein neues Konto auf dem Pc erstellt nun hab ich mich abgemeldet und mit dem neuen Konto angemeldet wieder das gleiche Problem bloß mein altes Konto wurde gelöscht bzw. finde ich nicht mehr ist es jetz dauerhaft gelöscht oder versperrt das Virus dem zugriff auf dem Konto ???

    3:) Ich hab wie gefolgt die Anleitung beachtet aber wenn ich F8 drücke komme ich in das Menü aber wenn ich versuche etwas auszuwählen bzw. mit der Tastatur hoch oder runter mit dem Pfeil gehen möchte geht das nicht von daher kann ich auch den Pc im abgesicherten Modus mit Eingabeaufforderung nicht starten.

    Kann mir einer helfen ???

    mfg

  76. Der hieß bei mir:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run als update) und auf meiner Festplatte (Pfad: C:\Users\username\AppData\Romaning,757346724672463.exe) oder so ähnlich, kann nicht mehr nachschauen weil er weg ist.

  77. Mir hat das alles nicht geholfen, es hat nur viel Zeit gekostet, da die Hilfen, welche sicher in vielen Fällen funktionierten, zwischen Danksagungen und Kommentaren versteckt sind. Etwas deprimiert grüßt wohu

    1. Hallo wohu,

      du musst konkret sagen was das Problem bei dir ist bzw. was genau nicht funktioniert. Auch wir haben keine Glaskugel in die wir hineinschauen können 🙂
      In unserem Forum findest du sicherlich einen Lösungsansatz.

      MG
      ABBZ

  78. hey, also ich hab mir auch den bka trojaner eingefangen.
    benutze windows 7. avira und spybot haben ihn nicht gefunden. habe im abgesicherten modus in der msconfig eine jashla.exe (name war etwas anders jasvba oder so^^) aus dem autostart genommmen. in der registry finde ich nix. die shell datei unter windows nt hat (wie es sein soll) als wert die explorer.exe. unter windows\currentversion\run ist nix verdächtiges (spybot, sidebar, steam).
    beim start des rechners, taucht immer noch das fenster auf. nun öffnet sich aber meine bibliothek mit (k.a. warum). darüber kann ich die msconfig wieder starten, den taskmanager ausführen (da über strg,alt,enft nicht möglich) und alles schließen und die explorer.exe neustarten. somit habe ich meinen gewohnten desktop wieder, nur im anderen farbstil. (silber statt grün).
    habe dann unter irgendwo unter user\appdata (pfad verrät die msconfig) die dazugehörige exe gefunden die enorm viele zahlen im namen enthielt. -> gelöscht.
    internet war während der ganzen prozedur deaktiviert, habe gleich den router vom netz genommen, da ich eine w-lan karte integriert habe im pc.
    beim starten kommt nun immer noch der trojaner.. irgendwo versteckt sich noch etwas.

    wäre über hilfe hoch erfreut.

    grüsse fred

  79. ich habs geschafft. *freu*
    für alle die es trotz anleitung nicht geschafft haben, zieht euch malwarebytes. das programm ist spitze. suchlauf hat zwar etwas über eine stunde gedauert, aber es hat sich gelohnt.
    folgendes ergebnis lag vor:
    5 infizierte datein gefunden.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application und bak_Application (also schon mal zwei stück)

    \User\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup.3409973164035197.exe

    bei der zweiten bin ich mir nicht ganz sicher. habe ein hp-model, die exe hielt ich zuerst für eine hp anwendung. dachte der trojaner greift nur windows regi datein an. aber gut. die restlichen zwei waren fehlalarm. ein mod zu einem spiel, das is 100% sauber.

    hoffe ich konnte jemand anderen helfen.

    gruss fred

  80. Ich habe bei dem Ganzen ein Problem: Ich habe den Pfad Shell zwar gefunden aber dort steht schon “Explorer.exe”. Doch wenn ich den PC neustarte startet sich der Trojaner neu. Wo kann sich der Pfad denn noch versteckt haben?

  81. Hallo alle zusammen,
    ich brauche eure Hilfe. Ich habe ein Laptop mit Vista und habe vollständig alle Schritte abgearbeitet. Ich muss ja diesen Pfad nehmen : HKEY_CURRENT_USER usw , aber am Ende ist da nix mit Shell. Auch bei HKEY_LOCAL_MACHINE\ habe ich geschaut. Da gibt es zwar dieses Shell aber da steht nix merkwürdiges drin.
    Kann mir bitte jemand helfen ??

  82. Hallo ..
    Kann ich mir jemand helfen ich habe win 7 und kann die shell datei nicht finden nur shell icon size

  83. Danke für die Gute Anleitung … Nun bin ich auch befreit !! Der AVIRA Cleaner schaut gerade alles durch !! Danke, Danke, Danke….

  84. bei mir war es eine andere datei ebendfalls eine .exe jedenfall kamen die buchstaben drinne vor – ich änderte es in explorer.exe und es geht nun (hoffe auch länger) ich habe mich belesen und dort steht das die einen keylogger in diesem trojaner haben – heißt das nun das ich den rechner platt machen muss?

    gruß!

  85. Hallo,

    Wenn ich meinen Rechner im abgesicherten modus starte, erscheint der Virus immernoch. Also hab ich ihn im “abgesicherter modus mit eingabeaufforderung” gestartet. Wenn ich aber nun regedit eingebe kommt bei mir: “Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert”
    Ich bin als Administrator angemeldet
    Bitte um hilfe

    mfG, Lasse

  86. Hallo,
    Ich hab mir auch diesen scheiß eingefangen und bin der anleitung hier gefolgt. Ich hab zwar die shell gefunden und in explorer.exe umbenannt, allerdings kann ich über den taskmanager den explorer nicht starten und auch befehle wie help oder shutdown funktionieren nicht 🙁

    Ich bekomme nur die info dass mein befehl falsch geschrieben ist oder nicht gefunden werden konnte. Was soll ich jetz machen? Ich hab win 7,

    1. probier mal W7 im abgesicherten Modus zu booten (F8 während des bootens). Dann solltest Du über die Kommandozeile die registry oder den exporer starten können. Der Trojaner kann sich an vielen Plätzen und unter vielen verschienen Namen verstecken. Bei einem Bekannten war er unter users\\appdata\local\temp.028569978898261636.exe versteckt

  87. You already know thus significantly in the case of this matter, made me personally believe it from so many numerous angles. Its like women and men don’t seem to be fascinated unless it’s something to accomplish with Girl gaga! Your individual stuffs outstanding. All the time deal with it up!

    1. Hallo Saviour1981,

      gerne helfen wir Dir in unserem Support-Forum weiter! Registriere Dich hierzu einfach kostenfrei in unserem Forum unter http://forum.botfrei.de und erstelle einen Thread unter “Hilfe” — “Windows Systeme”.

      Grüße,
      TK, ABBZ

  88. Hey. Super anleitung jedoch komme ich an dem punkt nicht weiter an dem ich die shell datei bzw den wert unbennen soll, das akzeptiert mein laptop windows vista nicht! kann mir jemand helfen? wäre super toll!
    Lg

  89. Hallo, auch ich habe mir diesen BKA Virus irgendwie eingefangen und nach Möglichkeiten gesucht diese perverse Seite wieder weg zu bekommen.
    Mein Pc = Win 7 Prof.
    Diese Seite blockierte auch bei mir jeden Zugriff (Desktop) auf andere Einstellungen.
    Leute–User– !!
    1. Ruhe bewahren
    2. Ruhe bewahren
    3. probieren – mit der rechten Maustaste auf das X drücken, öffnet sich ein Menü
    mit diesem Menü möglichst so manöverieren dass man auf dieSystemsteuerung- – alle Systemsteuerungselemente – Wartungsfenster- Wiederherstellung- PC auf ein früheren Zeitpunkt zurücksetzen, dieser sollte bei nicht Wissen wenn der Tag des Befalls war, mindestens 10 bis 14 Tage oder noch länger zurück liegen.
    Danach startete ich meinen PC neu, habe mit meinen Virenprogramm nochmals einen Scan der Festplatte durchgeführt anschließend mit dem CC-Cleaner nochmals den PC nach Schädlingen in der Regestry untersuchen lassen dann als Vorsichtsmaßnahme alle Einträge in der Rubrik “Chronik + Lesezeichen” User wissen es handelt sich bei mir um Firfox, entfernt,,,,
    Ihr merkt schon, ich war wieder “drinn” so das ich jetzt ungestört wieder jede Seite schadlos öffnen kann.Hoffe Euch mit den Zeilen helfen zu können, übrigens
    bin ich nicht blond sondern 70 Jahre jung glatzköpfig und

  90. Bräuchte hilfe/rat habe die Anleitung befolgt nur:
    1. Desktop icons fehlen.
    2. Taskmanager lässt sich nicht öffnen.
    ( 3. Mir kommt mein PC etwas langsam vor) 🙂

    Im anderen Benutzerkonto funktioniert alles weitgehend.

  91. Übeltäter auf dem PC eines Bekannten:
    users\\appdata\local\temp.028569978898251636.exe

    Diese exe im o.g. Verzeichnis löschen. Festplatte ggf. durchsuchen, ob diese Datei öfter vorkommt. Auch die Registry nach der Datei durchsuchen und den Eintrag löschen

    MfG

    1. Danke für Deinen Erfahrungsbericht. Bitte scanne Dein System nochmals mit Malwarebytes & update Deine Software, insbesondere Deine Browser-Plugins.

      Grüße,
      TK, ABBZ

  92. Hi!

    Ich hatte diesen Virus auch.. Ich dachte ich wäre ihn los. In abgesichertem Modus, habe ich eine Systemwiederherstellung gemacht, danach habe ich eine bessere Antivirsoftware installiert und alles überprüfen lassen, die Software hat dann einige Dateien gefunden, die habe ich auch gelöscht.

    Tja und jetzt nach ca. einem Monat habe ich wieder Probleme…mein Laptop (Vista) funktioniert nicht mehr.. da ich Mozilla jetzt benutze, kam plötzlich eine Anzeige (kleines Fenster) wo etwas mit Explorer stand, habe dann auf abbrechen geklickt…..jetzt funktioniert mein Laptop gar nicht, startet zwar ohne Probleme, Maus und Tastatur funktionieren aber nicht. Mein Laptop (Vaio, 3 Jahre alt) lässt sich auch nicht ausmachen…

    Habe jetzt diese Anleitung gemacht, keine der verdächtigen Dateien wurde gefunden… kein jashla, kein mahmud, exen.exe, usw.

    Was meint ihr, wo könnte der Virus noch versteckt sein.. Das Ganze ist gestern passiert.

    Danke sehr herzlich für die Hilfe!

    lola

  93. Hallo,
    leider ist mein Computer auch betroffen,
    seit 2 Tagen versuche ich, klappt das nicht
    direkt nach der 1 Schritt erscheint die weiße Seite und steht darauf,
    dieses Programm kann die Webseite nicht anzeigen,
    und so weiter , egal was ich mache, habe jedesmal heruntergefahren und wieder, aber will nicht reagieren.

  94. okay, bei mir hat sich der trojaner hier versteckt

    c:\user\username\appdata\roaming\mahmud.exe

    kann ihn aber nicht lösche. c’est le shit 🙂

  95. Hallo..mein rechner ist auch betroffen. Gestern kam aufeinmal ein fenster in dem steht “der zugriff zu ihrem computer ist gesperrt”n gema aufgrund illealer raubkopien. obwohl ich gar nichs auf meinem rechner hatte. Ihre lösung habe ich 5 mal versucht. trotzdem funktioniert es immer noch nicht. ich brauche ihre hilfe ganz dringend weil ich in 2 mein referat halten soll und die ganze arbeit befindet sich darin. vielen dank !

  96. hätte nicht gedacht,dass ich auf meine alten tage die polizei (bullen) sehr zu schätzen weiss.
    recht vielen dank.
    das wort zwischen den klammern ist nur virtuell und existiert natürlich nicht :-)))
    als alter 68er ist`s respektvoll gemeint

  97. Hallo, gestern morgen bekam ich auch einen saftigen Schock mit diesem BKA Virus. Den ganzen Tag gewurschtelt und erstmal meinen Zugriff wiederhergestellt. Dank Eurer Tipps habe ich nun hier geschaut: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run da ist eine komische Datei im …AppDate/Local/Temp/0.9948828367727447g8j8.exe, die ich dann bei Virustotal testen wollte, aber sie war nicht im Ordner?! (ausgeblendete Dateien eingeblendet). Wie ist das zu erklären? Wie krieg ich die weg? Hab voll Angst, dass der Virus nicht ausgerottet ist! 🙁

  98. Mein Freund rief mich heute an. Nix geht mehr sagt er. Er beschrieb mir dieses Problem. ich sag warte ich komme vorbei.Ich : Was hast Du gemacht ? Er: ich hab erstmal bezahlt. Ich : Du Blö….. ! na Prima 50 € futsch. jetzt hab ich Arbeit. Er Hat den Eintrag HKEY_CURRENT_USER drinstehn.

  99. Hallo Leute bei mir war es schobn auf explorer.exe also hab “Plan B” gewähl und nach exe. programmen gesucht die “merkwürdig”^waren ich habe 2 gefunden und sie gelöscht weil ich vermutete dass sie ein virus waren doch der virus ist noch da kann mir jemand helfen

  100. Hallo ich habe meinen vista im abgesicherten modus gestartet
    aber es kommt immer dieser GEMA bildschirm
    und ich kann auf keine anderen daten zugreifen was soll ich tun?

  101. Moin zusammen.
    Ich habe mir auch dieses Mistding eingefangen.
    Mein Freund ist ist PC Spezi.
    Allein hätte ich es nicht geschafft.

    Danke für die Anleitung.

  102. hatte gerade das “Vergnügen” mit >hw56svzs11.exe<, der Kollege hat darüber hinaus noch den Taskmanager und Regedit Disabled und alle ikons auf dem Desktop, für alle Benutzerkonten inkl. Admin im normalen wie auch im abgesichterten Modus verteckt.
    Zum Glück ging noch das booten bis zur Befehlszeile dann konnte ich mit regmagik vom Stick mir wenigstens wieder rudimentären Zugriff verschaffen.
    Leider finden die Scanner das Miststück noch nicht….

  103. Hallo,

    mein BKA-Trojaner ist auch im (abgesicherten Modus mit eingabeaufforderung) aktiv!!. Gibt es eine Möglichkeit trotzdem an die Registry zu kommen?
    Danke im voraus.
    Nidal

  104. Nachdem ich (erfolgreich) versucht habe, bei einem Freund den BKA-Trojaner zu entfernen (mit Kaspersky-Rettungs-CD) , ist mir aufgefallen, dass Kaspersky den Registry-Eintrag HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ;Wert: Update, Bezug: System32, Datei: 0.03129……exe NICHT beanstandet hat, obwohl das der casus knaxus war.. Die Datei selber hat er gleichwohl als Trojaner identifiziert und gekillt.
    Alles gut, danke für die Anleitung !

  105. Hallo,wie kann ich den __vmware_user__ wieder löschen,der wird angezeigt wenn ich net user in der cmd eingebe?

  106. Hallo zusammen,

    habe mir vor 2 Tagen den Bundespolizei-Virus eingefangen, trotz Avira etc. Sämtliche Rescue-Discs kommen nicht weiter und die von euch beschriebenen Einträge in der Registry sind auch normal. Über abgesicherten Modus komme ich noch an den Rechner, aber das wars dann auch schon.
    Gibt es eine neue Form des Virus oder hat jemand eine Idee, wonach ich suchen kann?
    VG – Gerry

  107. Hallo,

    Entwarnung – das 7te Tool (Norton Power Eraser) hat das Ding gefunden (msrohvj.bat), eliminiert und es läuft wieder.

    VG – Gerry 🙂

  108. ok, aber wie mache ist das wenn bei shell schon explorer.exe steht , dies ist ja ein zeichen dass explorer bei mir befallen ist kann mir jemand eine anleitung geben wie ich es reparieren kann ?

  109. Besten Dank für die tollen Hinweise.
    Bei mir steckte der Trojaner an mehreren Orten:
    Die ausführende Datei unter : c:\Dokumente un Einstellungen\All Users\Anwendungsdaten\ufdfdei…… .exe
    Die Grafikseite liegtim selben Ordner nur im Unterordner \fizrnmrcdfzjwoq\
    Im Autostartordner und muss der Eintraf ufdfdei…. gelöscht werden
    und in der Registrierung müssen mehrere Schlüssel mit dem Suchsymbol wie oben (ufdfdei uswusw) gelöscht werden. –> Das ware nbei mir in der ShelNoRoam ein Eintrag und ein komplettes Verzeichnis in der MSConfig unter Shared Tools.
    Der Schlüsselname ist immer der selbe wird aber bei jedem anders sein.
    Viel Erfolg und nochmals vielen Dank !!
    Markus W

    1. Noch ein Eintrag gehört dazu. in der Registry stand wie oben beschrieben anstelle von explorer.exe bei mir explorer_new.exe

    2. Hallo Markus,

      der Eintrag in der Shell kann unterschiedlich sein. Mal explorer in allen Varianten, mal zufällige Buchstaben.

      MG, ABBZ

  110. Ich habe ein Problem !!!! Bei mit steht der Shell Wert schon auf explorer.exe ?!?! Schon von anfang an war das so!!Was Soll ich jetzt machen? Wahrscheinlich ist mein Explorer.exe vom Virus infiziert ??!

  111. xD ich hab des shell teil ned! ich hab windows 7 (is des n problem?) . Wenn ich auf Windows NT currentVersion geh gibts NIX mehr zum anklicken und ich hab keine ahnung wie ich den jetzt wegbekome!
    bitte schickt ne antwort (ist sehr sehr dringend!)
    thx

  112. Bei nir gab es keine auffälligen Dateiendungen unter den angegeben Pfaden. Aber ich habe unter msconfig, autostart das Systemstartelement ctfmon ausgestellt, da es einen auffäligen Pfad und einen unbekannten Hersteller hatte, und den Pc neugestartet und dann war das BKA-Bild verschwunden. Ich lasse gerade Malwarebytes durchlaufen und hoffe das er etwas findet.

    LG
    Constantin

  113. ihr seit die besten echt!!!
    hab gerade prüfungszeit und mein pc bekommt so ne scheiss virus.
    konnte nicht mehr in meinen daten zugeifen !!

    1. Hallo,

      ich habe alles Mögliche versucht und ich hatte immer wieder beim Start diesen GVU Startscreen, obwohl ich die viren schon alle gekillt hatte. Ich hatte keine Lust auf dem Abgesicherten modus und habe mich über str + alt +entf abgemeldet. Danach wollte er herunterfahren und beim Beenden der Probramme kann man schnell noch abrechen klicken. Danach wußte ich, es muss ein Autostart überbleibsel vorhanden sein 😉

      -Abmelden –> abbrechen
      -ctfmon löschen und im systemstart deaktivieren
      -GFU Bild löschen –> appdata\local\temp\glom0_of.exe

      Virenscanner installieren und Maleware löschen.

      Der GVU Startscreen wird beim starten ausgeführt.
      Unter Systemstart (msconfig gibt es den Punkt cftmon. Der ist schuld daran)
      Ihr seht das auch in eurem Autostart.

      So ich hoffe ich kann den Leuten damit helfen.

  114. Hi Sry aber ich hab das alles schritt für schritt gemacht und bei mir steht der Shell auf Explorer.exe schon am anfang an.

    Eine Hilfe Were Klasse#. thx im Voraus.

  115. Hallo! alles super gelaufenam anfang aber bei mir ist keine datei mit shell… kann mir jemand helfen? gruss

  116. Bei mir bringt das alles nichts! Habe seit gestern den GVU-Trojaner 2.07 (mit Webcam) auf meinem XP-Rechner. Kapersky-Rescue-CD konnte nix finden und diese Anleitung hat auch nichts gebracht (Expolorer.exe war eingetragen und sonst keine aufälligen .exe-Dateien gefunden). Ich weiß echt nicht weiter. Habe auch keine Lust den Rechner neu zu installieren und 2 Tage später habe ich mir wieder was eingefangen. Wer hat noch Tipps? Danke.

    1. Hallo James,

      Dazu gibt es eigentlich schon gut Lösungen, melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ

  117. Bravo für die tolle Anleitung – wir haben zwar ca. 2 Stunden herumgeturnt. Wir haben Windows Vista und haben alle Möglichkeiten dieses Super-Forums durchgearbeitet. Fündig geworden sind wir im
    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run.
    Dort fanden wir im Standard das EXE file: rgnygtgcnex.exe mit dem Pfad, wo das exe gelöscht werden konnte.
    Herzlichen Dank für die wunderbare Hilfe und beste Grüsse aus der Schweiz!

  118. Diese Version ist bei einem Freund von mir heute am Bildschirm gewesen. Win 7 64 bit.
    Allerdings wenn man das A1 WLAN DSL Modem abgeschaltet hat und PC dann neu gestartet hat, war das Bild weg. Wenn die Netzwerkverbindung dann neu erstellt war, sofort das Bild wieder da.
    Vielleicht eine neue Variante?
    Eine System-Wiederherstellung auf 2 Tage vor dem ersten Erscheinen des Bildes hat das Problem erstmal beseitigt.

  119. Hallo! habe da ein Problem… Habe mir den BKA eingefangen und bin nach langem suchen unter …Software\ Microsoft\ Windows\ CurrentVersion\ Run eine verdächtige Datei gefunden. irgendwas mit vdnmccrtt… habe allerdings den fehler gemacht diesen Eintrag zu Löschen, anstatt den dateipfad zu verfolgen und habe wie es aussieht nicht die eigentliche Datei gelöscht, sondern nur den Eintrag unter \ Run. Nun startet der Trojaner trotzdem sobald ich mich am PC anmelde, jedoch weis ich den Dateipfad nichtmehr… wie soll ich die Datei jetzt nur finden? Hoffe ihr könnt mir helfen. Danke im Voraus

    1. Hallo DH,

      es gibt auch Schadsoftware, die sich über das Internet nachladen kann. Womöglich hat der Schädling noch einen weiteren Eintrag, der den alten wiederherstellen kann. Du siehst, das ist nicht so einfach festzustellen. Für eine individuelle Bereinigung kannst du dich kostenlos in unserem Support-Forum anmelden. Unsere Experten helfen dir “Schritt-für-Schritt” bei der Bereinigung deines Rechners und bei weiteren Fragen.

      Grüße,
      CG (ABBZ)

  120. Warum sich´s schwer machen wenns auch einfach geht,

    neustart
    F8 abgesicherter modus
    Systemwiederherstellung
    Fertig.

    Gruss

    1. Hallo Lösungsgimp,

      leider ist es nicht ganz so einfach. Möglicherweise hast du den Sperrbildschirm damit entfernt, aber die Reste vom Trojaner schlummern noch auf der Platte. Du kannst dich gerne kostenlos in unserem Support-Forum anmelden, dann checken unsere Experten mal dein System und helfen dir bei der Absicherung.

      Grüße,
      CG (ABBZ)

  121. Hallo,
    ich bin das olle Mistvieh los!!!!!

    Am 09.08.2012 um genau 20:05 Uhr gings los: Sobald der PC Zugriff aufs Internet hatte, wurde der Bildschirm vom BKA Virus gesperrt. Ich habe viele Dinge, die hier vorgeschlagen wurden, probiert, aber nix hat geholfen bzw. ich hab den Virus nirgends entdecken können.

    Geholfen hat der Kommentar vom 06.Juli 2012 um 22:41Uhr. Ich hab nach “cftmon” im PC gesucht (zur Abwechselung ganz normal über den Explorer und nicht im gesicherten Modus) – tatsächlich wurde dieses Datei zu genau der Zeit, als der Virus das erste Mal auftrat (20:05Uhr) verändert oder neu installiert. Also weg damit! Hab die .exe gelöscht sowie gleich sämtliches, was um 20:05 Uhr noch so verändert oder neu installiert wurde (PC nach Veränderungsdatum durchsucht). Keine Ahnung, was ich da so alles runtergeschmissen habe (ob das eigentlich so empfehlenswert ist??), aber der PC läuft noch/ wieder 🙂

    Hab jetzt X-Mal den Cleaner laufen lassen + Avira und Kaspersky und nun muss ich noch oben schauen, wie ich mich vor einer erneuten Attacke schützen kann…

    Auf jeden Fall ist der Virus nun weg! Hurra 😀

    Viele (fröhliche) Grüße

    1. PS: Zuvor habe ich im Übrigen im abgesicherten Modus entdeckt, dass “Cftmon” per Autostart gestartet wird – habs da ausgeschaltet und dann im Explorer gelöscht

    2. Hallo creesan,

      danke für deine Information, scanne den Rechner mal mit Malwarebytes im Vollscan und im Anschluss überprüfe deinen Rechner auf veraltete Programme mit Secunia.

      Gruß ABBZ

  122. Hello everyone, it’s my first visit at this web page, and paragraph is genuinely fruitful in support of me, keep up posting these types of articles or reviews.
    Here is my page: excel repair

  123. Hi,
    scheint ja ne Super Seite hier zu sein.
    Ich komme aber nicht weiter: Ich kommemi tF8 nicht in diesen abgesicherten Modus. Was mache ich denn dann? Hilfe.
    Danke u LG, Domini

    1. Hallo Dominik,

      Es gibt zur Zeit viele verschiedene Varianten des UKASH-Trojaners, die alle eine individuelle Behandlung zur Entfernen brauchen.
      Melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ

    2. Ich hatte den Trojaner ebenfalls. Ich konnte ihn mit folgenden Schritten entfernen (ich habe eine englische Version von Windows, daher bitte die Uebersetzungsfehler zu verzeihen)
      – Windows im abgesicherten Modus starten
      – Start – Systemsteuerung – Verwaltung – Systemkonfiguration (oder msconfig im DOS-Fenster eingeben)
      – Dort im 4. Registerblatt (Startup) habe ich einen EXE-File mit einem eigenartigen Namen gefunden: pdzbvqbv.exe. Der Datenpfad steht auch dabei.
      – Ich habe die Datei im Explorer gesucht und alle Dateien und Verzeichnisse mit dem selben Datum und der selben Uhrzeit geloescht.
      – Normaler Neustart
      – Der Trojaner wird nicht mehr gestartet
      – Registry starten (Start druecken, ganz unten regedit eingeben)
      – nach der Datei ohne Angabe von .exe suchen
      – Alle Eintraege loeschen (wurde bei mir 4 x gefunden)

    3. Hallo Gerhard Jaros,

      diese Vorgehensweise wird von uns nicht unterstützt. Das kann man nur machen, wenn man sich sehr genau mit dem System auskennt. Die Infektionen die zZ. im Umlauf sind brauchen eine individuelle Behandlung.
      Also bitte nicht nach machen!! Meldet euch statt dessen kostenfrei in unserem http://forum.botfrei.de an. Erstellt ein neues Thema mit Beschreibung des Problems, die Experten dort helfen “Schritt für Schritt” bei der Lösung.

      Gruß ABBZ

  124. dankeeeeeeeeeeeeeeeeeeeeee weiter so!!!!!! Durch die tolle und kinderleichte Anleitung konnte ich meinem Mann bei dem Trojaner problem helfen !!!!Also nochmal 1000 dank :-)) Lg.Delfi

  125. Benötige dringend HIlfe, habe auch schon ins Forum geschrieben, ist aber sehr sehr dringend, da ich mein Notebook zum Arbeiten benötige:
    Bei shell war bereits der Wert explorer.exe eingegeben, also habe ich aus HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run und
    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run alle .exe Dateien gelöscht, allerdings vergessen den Pfad zu notieren, so dass ich sie entgültig entfernen kann. Der Virus ist noch da. Was kann ich tun?

    1. Hallo Katja,

      nun, du hast wahrscheinlich den Trojaner nur am Start gehindert, dieser befindet sich noch auf deinem Rechner, überprüfe deinen Rechner mit dem Tool Malwarebytes im Vollscan.

      Wenn du schon im http://forum.botfrei.de bist. Erstelle ein neues Thema mit Beschreibung deines Problems, die Experten dort helfen dir “Schritt für Schritt” bei der Lösung.

      Grüße,
      TB, ABBZ

  126. Hatte den gleichen Mist auf meinem PC. Trennte das Welan vom Netz, nach Wieder-
    anschluss war der Spuk verschwunden. Mit Avast-Virenscanner den PC durchforsten
    lassen, bis heute keine Probleme mehr. Das Ganze ist jetzt 1/2 Jahr her.

    Grüße
    KK.

    1. Hallo KK,
      da hast Du Glück gehabt. Es gibt viele verschiedene Versionen dieses Trojaners. Einige sind relativ einfach zu entfernen, andere setzen sich erheblich hartnäckiger im System fest, oder zerstören sogar Daten aud den betroffenen Rechnern.
      Deswegen: Daumen hoch, dass es bei Dir so gut geklappt hat, den BKA-Trojaner loszuwerden.

      Grüße,
      MW, ABBZ

      Folge uns auf Facebook: http://www.facebook.com/botfrei

  127. Also es gibt eine neue Version die sich mit einem VB Script direkt under Programm Data einnistet. Dort befindet sich auch ein Regfile der wohl die Registry austauscht.
    In der RUN steht dann CTMon.exe c:\pramm…….und dann der Script name.

    Einfach alles raus und es geht wieder…..

    Jetzt bin ich 10 Jahre älter aber es läuft.

    Schönen Tag

    1. Hallo Bobbsel,

      du hast den Virus am Start gehindert, aber überprüfe jetzt mit dem Tool Malwarebytes deinen Rechner, ob evtl. noch andere Infektionen auf deinem System sind. Wenn alles bereinigt ist schaue in diesen Bericht, wie du nachhaltig deinen Rechner absichern kannst.

      Grüße,
      TB, ABBZ

    1. Hallo Alen,

      mit einer Systemwiederherstellung (rstrui.exe) setzt du den Zustand vor der Löschung zurück.

      Grüße,
      TB, ABBZ

  128. Hallo,

    zuerst einmal vielen Dank für diesen Artikel!

    Nachdem ich zig Versuche unternommen hatte, und keine brauchbare Hilfe finden konnte – fast am verzweifeln war – habe ich über die Suche dann endlich Eure Seite und diesen Hinweis entdeckt, der mir mit einem Schlag, umfassend helfen konnte.

    An diese Stelle,
    nochmal vielen Dank aus München.

    Stefan

  129. Hallo,

    unter der Datei Shell steht schon Explorer.exe , habs dennoch mal zu explorer.exe geändert. Tat aber nichts zur Sache.

    Dann bin ich über run gegangen und dort folgende auffällige Dateien im Wert und als solche gelöscht:

    NvCplDaemon (Wert= RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup)
    NvMediaCenter (Wert= RunDLL.32.exe NvMCTray.dll,NvTaskbarInit -login)
    nwiz (Wert= C:\Programme\NVIDIA Corporation\nview\nwiz.exe /installquiet

    Aber beim Neustart ist der Trojaner immer noch da. Wenn ich nun wieder in den Pfad blabla/windows/usw/run gehe sind die jeweiligen Dateien aber wieder da. Was habe ich falsch gemacht?

    Bitte um Rat.

    Gruß Pascal

  130. Hallo Zusammen
    Mich hat es leider auch erwischt mit dem Virus. Ich bin eigentlich scho sehr weit gekommen und habe bei Shell die erforderlichen Sachen reingeschrieben.
    Leider kann mittels shutdown -r -t 00 nicht heruntergefahren werden. Was kann ich in einem solchen Fall machen?

    Wäre sehr sehr froh und eine Antwort.

    Gruss Dennis

    1. Hallo Dennis,

      die shutdown.exe befindet sich in diesem Verzeichnis C:\Windows\System32. Gehe in das Verzeichnis und führe den Befehl nochmals aus.

      Grüße,
      TB, botfrei.de

Kommentare sind geschlossen.