Bitte beachten Sie: Da es mittlerweile weitere Varianten dieses Schädlings gibt, möchten wir darauf hinweisen, dass diese Anleitung veraltet ist. Bitte besuchen Sie http://www.bka-trojaner.de. Dort stellen wir ein Tool bereit, welches Sie bei der Bereinigung Ihres Systems unterstützt.
Voraussetzungen:
Bitte beachten Sie, dass diese Anleitung nur für computererfahrene Benutzer empfohlen wird. Halten Sie sich bitte an die Anweisungen dieser Anleitung.
Vorteile:
Diese Entfernungsmethode hat den Vorteil, dass Sie keine zusätzliche Software herunterladen müssen.
Hilfe:
Sollten Sie Hilfe benötigen, registrieren Sie sich kostenlos in unserem Forum und erstellen ein neues Thema zu Ihrem Problem.
Aktuell: Wird in den Shell Eintrag nichts oder ein falscher Wert eingetragen, so startet Windows nur mit blauem Hintergrund, ohne Desktopicons. Wiederholen Sie dann die Schritte 3. bis 5. dieser Anleitung.
1. Neustart des Rechners
2. Drücken Sie F8 vor Erscheinen des Windows-Splash-Screens, um in das erweiterte Optionsmenü von Windows zu gelangen. Wählen Sie hier den “abgesicherten Modus mit Eingabeaufforderung“
3. Rufen Sie ‘regedit’ über die Konsole auf und navigieren Sie zu folgendem Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (Abb.1)
Achtung:
Unter Windows XP wird der Schlüssel HKEY_LOCAL_MACHINE\… von der Malware verändert.
Unter Windows 7 ist der Eintrag unter HKEY_CURRENT_USER\… zu finden.
Abb.1: Falscher Eintrag, verursacht durch die Malware BKA-Trojaner
4. Suchen Sie den Eintrag ‘Shell’ und ersetzen Sie den dort eingetragenen Wert durch explorer.exe (Abb.2)
Abb.2: Richtiger Eintrag explorer.exe
5. Starten Sie Ihren Rechner neu, indem Sie bei der Eingabeaufforderung folgenden Befehl eingeben: shutdown -r -t 00
6. Benutzen Sie einen Virenscanner, um den Schädling vollständig zu entfernen. Hierzu können Sie beispielsweise den Avira DE-Cleaner verwenden. Download unter: https://www.botfrei.de/decleaner.html
Aus aktuellen Anlass zum BKA- Trojaner 2.0, zur manuellen Entfernung:
Wenn die Einträge in HKEY_CURRENT_USER oder HKEY_LOCAL_MACHINE, OK sind (sollte explorer.exe sein), dann schauen Sie bitte in folgenden Pfaden nach auffälligen Exen (*.exe)…
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Alles was hier steht wird für alle Benutzer des Rechners automatisch beim Windowsstart mit gestartet. Wenn hier als Eintrag ein ziemlich langer nichts sagender und nicht sinngebender Name dabei ist, dann überprüfen wo diese Datei liegt und anschließend betroffenen Eintrag und auch Datei entfernen.
Es bietet sich an in diesem Schritt alle unnötigen Einträge zu entfernen um den Autostart etwas aufzuräumen. Aber bitte wichtige Einträge (Virenscanner etc) nicht entfernen.
Hi, danke für die tolle Anleitung. Macht sich der BKA-Trojaner irgendwie bemerkbar bzw. wird der Trojaner von den meisten Virenscannern gefunden?
Hallo und danke für das Feedback. Der BKA-Trojaner macht sich durch den Screen bzw. der Zahlungsaufforderung bemerkt. Andere Formen sind uns nicht bekannt. Eine aktuelle Engine sollte den Trojaner blockieren. Grüße ABBZ
Hei, Ich habe mein Problem nicht gelöst.
Bei Schritt 4, bei dem Shell, steht dieses Explorer.exe schon drinn, und wenn ich weiterlese also in der Anleituung, bei :
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
ALso bei beiden existiert bei meinem PC kein run Ordner/Anwendung.
Bitte um hilfe ._.
Hallo Jonas,
Bitte melde dich in unserem kostenfreien http://forum.botfrei.de an, Experten werden dir mit “Schritt für Schritt” Anleitungen bei der Behebung deines Problems behilflich sein.
Gruß ABBZ
Hallo,
Ich denke, dass ich in einer ähnichen Situation bin, wie der Jonas… Also bei dem Shell, steht dieses Explorer.exe schon drinn. Außerdem, bei
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
gibt es kein Run Ordner
und bei
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
gibt es keine verdächtige Einträge.
Ich bitte um Hilfe!
Es wäre auch schön, wenn jemand mir auf englisch helfen könnte. 🙂
Danke!
Hallo Bill,
Melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.
Gruß ABBZ
Hallo.
Vielen Dank für deine schnelle Antwort.
Ich habe schon probiert in dem Forum zu registrieren, aber es klappt nicht. Ich kriege immer die Antwort:
“Registration denied, this forum runs an active policy of not allowing spammers. Please contact us via the “Contact Us” page link if you believe this is in error”
obwohl ich den Sicherheitscode richtig eingebe..
Und die “Contact Us” Link kann ich überhaupt nicht finden.
Ich habe einen Fehler vorher gemacht. Einen Run Ordner gibt es in beiden Pfaden
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
aber dort finde ich keine verdächtige Dateien.
Danke nochmal.
Du müsstest Dich jetzt in unserem Forum registrieren können. Bitte versuch’s nochmal.
Grüße,
TK, ABBZ
hallo, habe mich im forum angemeldet,kan n aber keinen beitrag schreiben.habe ebenfalls den blöden trojaner eingefangen und ebenfalls diesselbe probleme wie beschrieben,was kann ich machen?finde diesen blöden trojaner einfach nicht unter den angegeben pfad
Hallo Nicole,
Todo Forum:
1. Anmelden
2. Auf der Hauptseite Rubrik Hilfe und Schädlingsbekämpfung (blauer Rahmen)
3. Windows (klick)
4. oben links “+Thema erstellen”
5. im weissen Kasten(Editor) Thema genau erstellen
6. unter dem Editor “Thema erstellen” (klick)
7. Fertig
8. warten bis du eine Email vom Experten bekommstn dann ins Forum und lesen
Gruß ABBZ
hallo,habe dasselbe problem.was kann ich tun
Bei Schritt 4, bei dem Shell, steht dieses Explorer.exe schon drinn, und wenn ich weiterlese also in der Anleituung, bei :
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
ALso bei beiden existiert bei meinem PC kein run Ordner/Anwendung.
Bitte um hilfe ._.
Hallo!
Habe dank deiner anleitung den trojaner erfolgreich löschen können!
Bei mir hat er ca 2-3tage bevor dem typischen einloggscreen ab und zu zufällig komische geräusche abgespielt ( ua so einen typischen schwertsound wie aus videospielen), weis zwar nicht ob das zusammenhängt, aber vl hab ich mit der info ja geholfen
Morgen Thomas,
wäre nicht schlecht, wenn sich die Malware mit Sounds schon vorher bemerkbar machen würde, ist uns aber soweit noch nicht bekannt. Überprüfe deinen Rechner bitte mal mit dem kostenlosen Tool Malwarebytes, evtl. hast du noch Reste der Malware auf deinem Rechner.
Gruß Abbz
Nachdem sich der Rechner meiner Freundin den BKA-Trojaner eingefangen hatte konnte ich diesen dank eurer Hilfe packen. Nun bin ich hier der Held. 😉 Danke!
Lehrreicher Artikel. Bereichernd, wenn man sowas auch mal aus einer anderen Perspektive betrachten kann.
Danke Danke Danke, Super Arbeit die Ihr hier macht. DANKE
Problem behoben 🙂 Vielen lieben dank !!!!
das manuelle entfernen ist das einzige, was bei mir geholfen hat. vielen dank für diesen tipp!! die rettungscds von kasperski und avira fanden zwar alle möglichen trojaner, aber konnten erstmal nichts ausrichten – das anfangsvollbild blieb. also am besten gleich manuell entfernen und dann natürlich mit den rettungscds usw. säubern, auch ruhig mehrfach- nochmals besten dank- gruß ralf
Geniale Anleitung! Hat geklappt! Danke!!!!
Super, ich bin begeistert. Hat prima fuktioniert.
Vielen Dank für die idiotensichere Anleitung. Konnte den Virus, auch als Laie, im abgesicherten Modus manuell entfernen.
Lob hoch drei !!!! Die Anweisung hat mir sehr geholfen.Vielen Dank !!!!
Hallo,
habe auch den BKA Trojaner, bei mir steht der Shell Wert schon auf Explorer.exe ?
Wurde die Datei evtl. ausgetauscht?
thx im voraus!
Hallo NoName,
Erscheint denn noch die Vorschaltseite nach dem Login?
Haben Sie schon was unternommen?
Welches Betriebssystem haben Sie?
Gruß ABBZ
an Noname:
Ich hatte auf meinem blockierten XP-Rechner mehrere User installiert und einfach mit einem anderen User gestartet.
Danach konnte ich 2 unbekannte Eintraege in Menue/Autostart des befallenen Users loeschen.
Und Alles war OK, – so simpel.
Allerdings waren diese Eintraege Links auf Rundll, mit einer Steuerdatei, die ich nicht finden konnte.
Also vielleicht ist da noch was im Busch…
In der Anleitung fehlt noch der Hinweis, daß man den PC mit dem Befehl “shutdown -r -t 00” auf der Kommandozeile neustarten muss. Nur so wird die Änderung in der Registry gespeichert!
War ein Hinweis der im Text genannten, sehr kompetenten!, Hotline.
Hallo,
vielen Dank für den Hinweis!
Gruß
ABBZ
Vielen, vielen Dank für diese einfache und gut nachvollziehbare Anleitung. Hat soweit super funktioniert. Zur Nachbehandlung von eventuell verbliebenen Resten des Trojaners kann ich ‘Malwarebytes’ wärmstens empfehlen.
Dank für die die professionelle Unterstützung beim gestrigen Entfernen des BKA-Trojaners. Einfacher geht es nicht für den Laien wie ich einer bin. An alle:einfach die Nummer des Beratungszentrums anrufen.
bei mir hat sich der BKA-Trojaner so in die registry eingefressen, dass mittlerweile auch der “abgesicherte modus mit eingabeaufforderung” keine eingabe von befgehlszeilen mehr erlaubt, sondern analog des reinen “abgesicherten modus” zur windows-anmeldung durchläuft. Haben Sie in dem Fall auch einen Rat?
Hallo Herr Plän,
>>“abgesicherte modus mit eingabeaufforderung” keine eingabe von befgehlszeilen mehr erlaubt, sondern analog des reinen “abgesicherten modus” zur windows-anmeldung durchläuft.
Sie müssen sich nach dem sie den “abgesicherten Modus mit Eingabeaufforderung” gewählt haben, an der Windows Anmeldemaske einloggen!
Gruss ABBZ
Das war meine Rettung!! Die Kasperky CD funktionierte bei mir nicht.
Super Anleitung. Einfach und klar verständlich! DANKE!!!
Jetzt folg noch ein kompletter virus scan und eine Nachbearbeitung mit Malewarebytes.
Hallo,
habe auch den BKA-Trojaner, bei mir steht der Shell Wert auch schon auf Explorer.exe ? Wie in der Anleitung geschlossen, trotzdem ist “BKA” immer noch das.
System: Windows 7
Danke im voraus!
Hallo JJ, Haben Sie beim System Win7 unter dem Zweig in der Registry geschaut?
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Versuchen Sie über die Eingabe “DosBox” den DE- Cleaner von Avira zu starten.
Eingabe explorer.exe, dann den DE- Cleaner von Avira vom USB- Starten…
Anleitung Avira DE- Cleaner
https://blog.botfrei.de/2011/07/anleitung-de-cleaner-powered-by-avira-%E2%80%93-version-10-0-7-0/
Beim 2. Bild sehen Sie oben auf USB-Gerät kopieren…
Gruß ABBZ
Den BKA Trojaner gibt es in verschiedenen Versionen. In manchen Fällen (in der Regel bei Win7 und Vista) kommt es vor, dass Windows erstmal normal gestartet wird. Man sieht also seinen Desktop wie gewohnt. Nach einigen Sekunden/Minuten allerdings erscheint dann die Vorschaltseite des BKA Trojaners. Ist dies der Fall so muss man nach der Anleitung vorgehen wie beschrieben. Allerdings ist der Pfad in der Registry leicht anders.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-Man beachte, dass es NICHT Windows NT ist, sondern wirklich Windows !
-Dort sucht man dann auf der rechten Seite nach einem Eintrag AVUpdate. -Dieser beinhaltet normalerweise einen Pfad der auf eine Exe mit dem Namen jashla.exe
-Ist solch ein Pfad vorhanden kann man diesen mit einem rechten Mausklick (auf AVUpdate klicken) mit dem Pulldown Menue löschen.
Gruss,
Andre
Danke für den Hilfreichen Beitrag!
Gruß ABBZ
Vielen Dank, ich habe Vista und bei mir hats funktioniert. Die Datei hatte im Pfad mahmud stehen, nicht jashla- viel Glück allen mit diesem Monstrum.
Hallo,
mein Vater hat das selber Problem – in dem Pfad “shell” steht nicht explorer.exe – sondern irgendwas anderes!
ich hatte genau nach dieser Anleitung gearbeitet. Aber sobald ich “shutdown -r-1 00” eingeben muss, fährt er aber nicht runter.
Was kann ich tun?
Liebe Grüße Chantal
Hallo,
ich habe den Trojaner auch, aber unter Vista.
Welche Einträge der Registry muß ich bei diesem Betriebssystem ändern?
Danke im Voraus.
Gruß
Christian
Hallo Firepoker,
diesen:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Gruß ABBZ
Danke für den Super Tipp
viele Grüße
Rainer
nachdem mit dem bka trojaner selbst im abges. modus nix mehr ging, habe ich das bka jetzt mit hilfe dieser genialen anleitung rausgeworfen. bin zwar nicht blond aber über 50 !
supi anleitung. dankeschön
danke für die vielen Einträge, hab das meiste auch gefunden, nur hab ich weder einen Fehler unter “Shell” noch finde ich irgend etwas seltsames unter HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run. Was nun? ich könnte mir vorstellen dass es tatsächlich ein Problem mit dem Autostart ist, da bei mir sofort statt des normalen Bildschirms die BKA Meldung auftaucht. Gibt es noch ähnliche Verzeichnissysteme bei denen es auftritt?
Hallo Herr Trautenbach, geben Sie mal msconfig.exe ein und gehen Sie auf den Reiter Systemstart, dort werden alle Systemstarts angezeigt, evtl. ist dort das File dabei.
Wenn Sie dort die Haken heraus nehmen, können Sie jederzeit diese wieder ändern…
Gruß ABBZ
Du bist ehrlich der Held des Tages. Ein guter Freund ist seit ca. 16Uhr heute zu Hause und hat seit dem versucht seinen PC normal hochzufahren und zu benutzen. Aber dieser vermaledeite Trojaner hat jedes Handeln am PC unmöglich gemacht. Kein Hochfahren im gesicherten Modus, keine Scannings weder in graphic noch in textform mit rescue discs hat geholfen. Am Ende immer wieder dieses BKA-Bild.
Erst die dank der manuellen Entfernung, Neutstart und dem anschließenden Virenscan nach deiner genialen Anleitung, die sogar für technisch völlig unfähige Menschen wie mir verständlich war, konnte sein PC endlich normal hochfahren und am Ende erschien sein Desktophintergrund: ein idyllisches Bild von Sevilla und kein böses BKA-Bild.
Das war eine Erlösung nach nun fast 6 Stunden aussichtslosen und verzweifelten Rettungsversuchen.
Du hast den Abend und den PC meines Freundes und bestimmt vieler anderer gerettet.
Vielen lieben Dank dafür von mir, meinem Freund und seinem heißgelaufenen PC.
Mach bitte weiter so!!!!
Gruß
isi
Hallo!
Mein BKA-Trojaner ist auch im abgesicherten Modus aktiv. Gibt es eine Möglichkeit trotzdem an die Registry zu kommen?
Ja, Sie können den “abgesicherten Modus mit Eingabeaufforderung” starten und im DOS-Fenster dann “regedit” eingeben, das sollte funktionieren.
Sie können auch eine automatische Reinigung mit dem portablen SUPERAntiSpyware über einen USB-Stick über den Modus durchführen, eine Anleitung dazu haben wir hier.
1000 Dank für die Hilfe! Würde mich nun wirklich nicht als Computer Spezialistin bezeichnen, konnte dennoch den BKA-Trojaner, nach fehlgeschlagenem Versuch mit der Kaspersky Rescue Disk :-(, dank der tollen Anleitung manuell entfernen.
Danke, Danke, Danke an den freundlichen Herren an der Hotleinleitung vom Botfrei Beratungszentrum. Ich bin kein Computerexperte, aber mir wurde geholfen und ich konnte meine Bewerbung rausschicken. Total nette Leute die einem unkompliziert helfen. Nochmals vielen Dank
Super anleitung, ich selbst bin was den BKA-Trojaner angeht noch verschont geblieben. Ein Bekannter der leider etwas weiter entfernt wohnt leider nicht. Ihm konnte ich dann nur einzige wahre Lösung anbieten “Rechner neu Aufsetzen”. Naja seit dem isser sauber.
Achso kleine Anmerkung für FF-User installiert doch einfach mal das Addon “NoScript”.
Ist eines der Sinnvollsten die es für den FF gibt. Man muss zwar dann die Scripte von Webseiten erlauben aber auch das kann man nur temporär erlauben.
Bei meinem Bekannte FF+NoScript + AntiVir + Firewall draufpacken lassen. Jetzt hat er erstmal weitgehend ruhe.
Gruß BadMerlin
(IT-SE)
Vielen Dank. Mit Ihrer Hilfe brachte ich mein Notbook wieder zum Laufen.
Danke Danke Danke Danke ich kann gar nicht genug danke sagen !!!!
Hat super funktioniert
DANKE!!!!!!!!
Im Zweifel lohnt es sich die Hotline anzurufen. Das Mistding, das mich infiziert hatte gehörte der neueren Generation an und war auf dem Wege wie hier beschrieben nicht zu kriegen. Ein Anruf von 10 Minuten und das Problem war erledigt. Hervorragende Unterstützung dort!
Guten Tag,
beide zum Thema angebotenen Such Programme sowie die beschriebene Registry Suche waren bei mir erfolglos. Lediglich eine Exe Datei machte mich aufmerksam. Und zwar unter HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run der Eintrag: avstatus – C:/Users/Username/AppData/Roaming/jashla.exe. Erst hielt ich es als Teil von Antivir. Google verwies zur jashla.exe zum BKA Virus. Diesen Eintrag gelöscht konnte ich wieder ins Windows starten und weitere Schritte zur Bereinigung einleiten.
Grüße
Fred
Hallo
Ach ich hatte mir den BKA-Virus gestern eingefangen. Nun habe ich mich im Netz belesen wie man diesen hartnäckigen Trojaner wieder losbekommt. AntiVir-Cleaner brachte absolut nicht’s. Bis ich folgendes gefunden hatte: Pc im abges. Modus mit Eingabeaufforderung mit der Taste ‘F8’ starten. Dann folgendes eingeben:
%systemroot%\system32\restore\rstrui.exe
man kommt so in die Wiederherstellung und kann den PC zu einem früheren Zeitpunkt erstmal wieder normal starten! Anschließend natürlich den PC mit nem Virenscanner scannen (Anti Malware macht sich dabei sehr gut) und die Temp. Internetdateien unbedingt löschen! Abschliesend habe ich nochmal nach der ‘Jashla.exe’ gesucht und noch einen Eintrag gefunden und gelöscht!
Jetzt läuft alles wieder ganz normal und ich denke nicht, dass man gleich den PC neu aufsetzen muß, aber das kann dann jeder für sich selbst entscheiden.
Gruß
Hubert
Im endeffekt hat es bei mir dann mit der Erklärung von Andre vom 2. August 2011 um 11:56 funktioniert.
Vielen Danke dafür!!!
Danke für die super Anleitung. Alle anderen Anleitungen sind fürn arsch, ums mal auf den Punkt zu bringen. Meine größte Angst war format c aber dank Ihrer Anleitung ging es ja auch ohne 🙂
Deswegen kann ich mich an die Danksagungen nur anschließen! Weiter so.. 🙂
Hallo, Ihr Spezialisten. Leider bin ich nach Meinung meines Schwiegersohnes ein DAU.
Auch ich habe mir diesen BKA Virus eingefangen und werde ihn nicht los. Mein derzeitiges Hauptproblem ist, dass ich nicht mal mit F8 in den abgesicherten Modus komme. Gibt es da noch andere Möglichkeiten? Übrigens war ich schon mal nah dran. Über den Taskmanager habe ich jashla.exe gefunden, aber in der Eile mit der linken statt mit der rechten Maustaste angeklickt. War falsch. Wenn ich jetzt noch überhaupt in den Taskmanager komme, dann nur noch für wenige Sekunden. So schnell bin ich dann aber doch nicht.
Hallo,
haben Sie auch den “Abgesicherter Modus mit Eingabeaufforderung” gewählt?
Der abgesicherte Modus muss in der Auswahl stehen sobald Sie nach dem BIOS Post Bidlschirm F8 drücken.
MFG ABBZ
Hallo zusammen,
erst mal vielen Dank für die vielen Anleitungen. Bei mir hats erst nach manueller Registry-änderung funktioniert. Die Systemwiederherstellung war erfolglos. Jetzt läuft er wieder.
Vielen Dank.
Hallo zusammen, ich bin hier am verzweifeln… -.-
Ich nutze Vista als Betriebssystem.
Leider kann ich unter dem folgenden Pfad:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
, der oben in einem anderen Beitrag genannt wIrd, keine “shell” Datei finden. In den ” Run ” Ordnern konnte ich nur zwei auffällige Einträge finden, die ich nachdem ich ihre Funktion nachgegooglet habe, gelöscht, da es trojaner waren.
Ich bin mit meinem Latein am Ende. Und da ich keine Windows Vista CD habe und der Laptop bei dem Versuch Windows XP zu installieren, keine Festplatte findet, bin ich aufgeschmissen… .
Ich hasse meinen Laptop -.-
Hallo Marcel, schon mal mit diesem Tool probiert?
https://blog.botfrei.de/2011/08/trittbrettfahrer-des-ransom-ukash-%E2%80%93-trojaner-bka-trojaner-update-2/
Gruß ABBZ
Hallo!
Habe den BKA-Trojaner! Ich habe alles Schritte im abgesicherten Modus durchgeführt. Leider stocke ich nun am Punkt 5, da ich nicht weis, wie ich den Computer im abgesicherten Modus starten soll, um die von Ihnen angegebenen Befehl einzugeben. Mit F5 klappt es zumindest nicht. Können Sie helfen!
Gruß
Hallo fam-jan,
Welcher Anleitung folgen Sie? Sie müssen nach einschalten des PCs die F8 Taste drücken und den abgesicherten Modus mit Eingabeaufforderung wählen…
Gruß ABBZ
Hallo,
habe ich gemacht. Bis Punkt 4 bin ich gekommen. Bei Punkt 5 soll ich nun den Rechner neu starten und den Befehl (shutdown…) eingeben. Wie aber starte ich den Rechner neu, wenn ich Punkt 4 abgeschlossen habe und ich mich noch im abgesicherten Modus befinde?
Zusatz ! Habe da wohl etwas falsch verstanden, bzw. geschrieben.
Meine Frage: Wo gebe ich den Befehl:”shutdown…” ein, damit der Rechner neu startet?
Hallo,
vergangene Woche habe ich mir den hübschen BKA-Trojaner eingefangen. In der Registry habe ich ihn unter HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run auch als jashla.exe entdeckt und eben diesen Eintrag per Rechtsklick gelöscht. Anschließend neu gestartet und diverse Virenscanner (u.a. die hier empfohlenen DE-Cleaner und Superantispyware) drüber laufen lassen. Gefunden wurde nichts, was ich mit dem BKA-Trojaner in Verbindung gebracht hätte. Passwörter habe ich inzwischen auch alle neu aufgesetzt. Nun meine Frage: Ist damit alles erledigt? Oder verstecken sich noch “Reste”, die ich irgendwie entsorgen muss? Und kann der Trojaner überhaupt auf irgendwelche Dateien/Passwörter zugreifen, oder soll er schlicht und einfach nur nerven? 🙂
Danke
Anna-Lena
Hallo bamela,
Komisch ist, das das jashla.exe File nicht vom Antivirus bei Ihnen gefunden wurde. In der Registrierung haben Sie nur den Start der Schadware verhindert. Bitte laden Sie sich mal das Tool von Malwarebytes bzw. Superantispyware herunter…
Anleitung: https://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/
Anleitung: https://blog.botfrei.de/2011/08/superantispyware-free-edition/
Lesen Sie auch hier: https://blog.botfrei.de/2011/08/wie-mache-ich-mein-windows-sicher/
Am sichersten ist nach wie vor die Neuinstallation, der Rechner wurde von Schadware kompromitiert!
Gruß ABBZ
Danke für die schnelle Antwort. Ich denke, ich werde es dann mit einer Neuinstallation wagen. Eine Frage habe ich allerdings. Ich habe letzte Woche, nachdem ich den Trojaner vermeindlich los war, meine eigenen Dateien auf eine externe Festplatte kopiert. Habe ich den Trojaner jetzt mitkopiert und muss alle eigenen Dateien löschen?
Danke für die Anleitung! Aber ich kann “Shell” nirgends finden. Auch suchen hat nix gebracht. Ich habe Windows XP, hat das bei mir vielleicht nen anderen Namen?
Vielen, vielen Dank für diese Problemlösung. Mit dem Beitrag vom 02. August konnte ich meinen Rechner wieder reparieren.
Hallo,
diese Anleitung war ein toller Erfolg.Rechner läuft wieder wie geschmiert.
Vielen Dank.
Das Kommentar von Andre
“2. August 2011 um 11:56
Den BKA Trojaner gibt es in verschiedenen Versionen. In manchen Fällen (in der Regel bei Win7 und Vista) kommt es vor, dass Windows erstmal normal gestartet wird. Man sieht also seinen Desktop wie gewohnt. Nach einigen Sekunden/Minuten allerdings erscheint dann die Vorschaltseite des BKA Trojaners. Ist dies der Fall so muss man nach der Anleitung vorgehen wie beschrieben. Allerdings ist der Pfad in der Registry leicht anders.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-Man beachte, dass es NICHT Windows NT ist, sondern wirklich Windows !
-Dort sucht man dann auf der rechten Seite nach einem Eintrag AVUpdate. -Dieser beinhaltet normalerweise einen Pfad der auf eine Exe mit dem Namen jashla.exe
-Ist solch ein Pfad vorhanden kann man diesen mit einem rechten Mausklick (auf AVUpdate klicken) mit dem Pulldown Menue löschen.
Gruss,
Andre”
hat mir sehr weitergeholfen …. großes Lob an die Kompetenten leute hier und nochmal vielen vielen dank !!!!!!
Liebe Grüße
Leider habe ich keinen Eintrag Shell gefunden, aber einen Eintrag mit Namen vasja.
Den hab ich gelöscht und Windows läuft wieder normal. Jetzt läuft noch der DE-Cleaner durch. Systemwiederherstellung hab ich auch gemacht. Ich hoffe, ich bin das Ding los.
Hallo Angie,
>>ich bin das Ding los…
Bitte mal das kostenfreie Tool Malwarebytes laden und einen Vollscan machen. 100% Sicherheit haben sie nur mit einer Neuinstallation 🙂
Gruß ABBZ
So, ich hab auch Malwarebytes durchlaufen lassen. Hat nichts festgestellt.
Aber es lassen sich Programme, die mit Java zusammenhängen nicht mehr öffnen. Sehr ärgerlich, da ein wichtiges Programm für die Schule nicht mehr geht. Habe jetzt versucht eine neue Version von Java runterzuladen, aber das klappt auch nicht.
Werd den Laptop wohl formatieren müssen, wenn ich keine andere Lösung finde.
Danke, danke hab zwei stunden mit meinem smartphone nach ner lösung gesucht bis ich auf deine anleitung gestoßen bin.
da bei mir “Shell” korrekt war hab ich einfach alles bei HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run gelöscht und dann ging es wieder 🙂
ich lass grad mein antivierenprogramm durchlaufen hoffe mal das jetzt läuft alles glatt.
nochmal großes DANKE
Hallo Danke 🙂
>>ich lass grad mein antivierenprogramm durchlaufen
Der wird wahrscheinlich nichts finden, das Schadfile ist noch auf dem Rechner, scannen Sie mit dem kostenfreiem Tool vom Malwarebytes.
Gruß ABBZ
Hi,
meine freundin hat auch diesen tollen trojaner und besitzt windows7. wir sind die anleitung durchgegangen aber unter KEY_CURRENT_USER\… war kein “shell” zu finden nur unter HKEY_LOCAL_MACHINE\…
Bei dem Shell stand jedoch schon explorer.exe da
könnt ihr mir weiterhelfen?
Hallo Stefan,
Bitte mal in der Registry oben unter Bearbeiten->Suchen
AVupdate bzw. mahmud eingeben und die komplette Registry durchsuchen lassen…
Wenn diese im
[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows CurrentVersion\ Run]
[HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run]
gefunden werden, dann löschen!
Tipp: https://blog.botfrei.de/2011/09/zusammenfassung-ransom-ukash-%e2%80%93-trojaner-bka-trojaner/
Gruß ABBZ
Hi,
die Anleitungen sind super.
hat bei mir funktioniert.
allerdings hieß die von mir gelöschte Datei unter AVUpdate nicht mehr jashla.exe, sondern mahmud oder so ähnlich. ist dies eine neue version des trojaners?
Hallo michi, so siehts aus.
Der BKA Trojaner kann neue Namen annehmen, da der Baukasten dafür schon öffentlich ist.
Gruß ABBZ
Hallo,
bei mir ist das Problem auch aufgetreten ohne etwas zu Instalieren, bei mir ist es aber die GEMA die den Rechner gesperrt hat wegen gefunden MP3 liedern, ich soll 50 € bezahlen über Ukash.
Ich habe aber folgendes Problem ich kann gar nichts mehr machen es kommt immer direkt das Bild sogar im Abgesicherten Modus der Affengriff bringt auch nichts egal wann, wenn ich deiner Anleitung folge und regedit eingebe kommt “Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert”. Ich bin aber der Administrator und habe kein anderes Benutzerkonto drauf. Auch alle anderen versuche über USB-Stick etc. funktionieren nicht.
Mir bleibt wohl nichts anderes übrig als format C,
ich wollte nur bescheid geben das es wohl BKA-Trojaner 3.0 gibt, denn über diesen habe ich noch nichts gefunden.
MFG
Hallo Varreill,
Es kann sein wenn Sie eine Home Version haben, dass Sie den Administrator erste aktivieren müssen!
Über die Kommandozeile das Administrator Konto aktivieren:
Aktivieren:
net user Administrator /active
Deaktivieren:
net user Administrator /active:no
weiterführende Infos: http://www.winhelpline.info/daten/dos/net_user.php
Weitere Schritte zum Entfernen des BKA…lesen Sie hier:
https://blog.botfrei.de/2011/09/zusammenfassung-ransom-ukash-%E2%80%93-trojaner-bka-trojaner/
Gruß ABBZ
Hallo.
Ab Punkt 5 komm ich nicht weiter!
Hab Shell gelöscht, aber es kommt immer noch der BKA Bildschirm.
Was könnte ich jetzt noch machen?
Hallo,
haben Sie den Eintrag gelöscht und explorer.exe dort eingetragen?
ABBZ
Super Anleitung. Selbst für mich als absoluten PC-Neuling offensichtlich erfolgreich anzuwenden. Vielen Dank!!!
Hallo TS,
es freut uns sehr, dass diese Anleitung für Sie hilfreich war. Würden Sie uns auch weiterempfehlen?
Grüße,
TK, ABBZ
Hatte bis eben auch das Problem!Nu ist es weg!
Hab hier alle Foren durchsucht und alles ausprobiert(Sämmtliche Einträge im Reg durchsucht)
Dann wurde ich fündig!
!!!!!!!!!!!!!!!!!!!!!!!!! mahmud.exe !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Die Datei befand sich bei mir in einen von den beiden Pfaden,weiß es grad nicht mehr genau..:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Hab die Datei entfernt und Windows neu gestartet (shutdown -r -t 00)
Jetzt läufts wieder normal!
Würde mich aber interessieren,ob dieser Virus jetzt wirklich komplett weg ist oder noch irgendwo lauert???
Die Antispam/Virus Software die hier empfohlen wird,hat bei mir nämlich nichts gefunden(auch nicht bevor ich den Reg Eintrag gelöscht hab.)
Grüße B.
Hallo B.
Das File ist noch auf dem Rechner, versuchen Sie mal mit dem Tool von Malwarebytes: https://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/
Gruß ABBZ
Moin.
Hatte vorgestern auch den trojaner auf meinem win7 64bit, habe dann aber sofort im abgesicherten modus einen paar tage zurückliegenden wiederherstellungspunkt geladen. Danach war alles sauber. Habe verschiedene AV scans gemacht und die reg manuell durchsucht – nichts zu finden. Wieso sollte denn jetzt immer noch etwas auf dem rechner sein? Wenn man einen alten Wiederherstellungspunkt wählt, wird doch jegliche änderung am system seit diesem zeitpunkt rückgängig gemacht. Es KANN doch gar nichts mehr übrigbleiben von der malware. Wozu denn immer diese panikmache von wegen ‘system neu aufsetzen’ ?
Ausserdem würde mich mal interessieren, was denn dieser bka-trojaner nun wirklich macht. Liest er im browser gespeicherte passwörter aus? Das muss doch inzwischen bekannt sein.
Grüße
Der BKA-Trojaner wird in die Kategorie Scareware eingestuft, welches mit einem Splashscreen die Nutzer verunsichert und zu einer Zahlung eines Betrags zwingt. Dieser Virus hat nach unseren Erkenntnissen keine weiteren Aktionen bzw. macht nichts aus den Benutzer zu verunsichern mit einer Falschmeldung, die sich nicht “wegklicken” lässt.
ABBZ
Habe noch einige fragen: Welche sicherheitslücke nutzt den dieser bka-trojaner aus?
Funktioniert er auf basis eines scripts? java? flash? Wie umgeht er die sandbox?
Sind alle browser betroffen? Macs auch?
Danke schon mal und Grüße
Ganz genau können wir dies nicht nachvollziehen, sicher ist jedoch, dass der BKA-Trojaner durch einen Drive-by-Download bzw. durch eine infizierte Webseite geladen wird. Der BKA-Virus ist eine gewöhnliche ausführbare Datei (.exe) die sich in der Registry als Startprogramm selbst einschreibt bzw. den Shell Eintrag ../explorer.exe durch den Pfad des Virus ersetzt. Macs können von dieser BKA-Virus Variante nicht betroffen sein, da die Datei eine Windows- Anwendung ist und auf einem Mac nicht lauffähig ist.
ABBZ
Hallo, ich habe vista und bei HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon stand schon explorer.exe
dann habe ich einen kommentar gelesen und habe es mit diesem hier versucht: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
das hat dann soweit auch geklappt, ich habe die datei in explorer.exe umbenannt, habe den laptop neu gestartet( mit shutdown -r -t 00) und als ich auf meinen account ging kam erneut die aufforderung der “bundespolizei” 100 euro zu bezahlen.
Was soll ich tun??
Ich schlage vor Sie probieren diese Anleitung: https://blog.botfrei.de/2011/08/superantispyware-free-edition/
Kopieren Sie SuperAntiSpyware auf einen USB-Stick. Starten Sie den infizierten PC im “abgesicherten Modus mit Eingabeaufforderung”. Mit diesem Tool sollte der Virus und der Registry Eintrag erkannt werden.
ABBZ
Mein Vater hat sich das Ding heute beim Surfen auf nichtjugendfreien Seiten eingefangen und, unbedarft wie er ist, sogar das Geld bezahlt… Naja, mehr als warnen und auf die Gefahren hinweisen kann ich nicht und vielleicht ist er in Zukunft dank dieser Shocktherapie vorsichtiger und fragt gleich, anstatt dank Muffensausen und Peinlichkeit weil Dummfühlen und Böseporne die ganze Sache noch schlimmer zu machen.
Jedenfalls, der eigentliche Grund warum ich schreibe ist der: In der Registry finden sich keine der genannten Einträge. Shell ist unverändert auf explorer.exe gesetzt, unter Run ist nichts Zwielichtiges zu finden und auch sonst findet sich auf Anhieb keine Datei oder irgendein Eintrag, der direkt verdächtig erscheint. Meine erste Handlung war die aktuelle Recovery Disc von Avira durchlaufen zu lassen, aber die hat beim Scan nix gefunden, außer ein paar fehlerhaften Einträgen in der mittlerweile doch recht betagten Registry, aber auch nach deren Bereinigung war der Splashscreen noch immer da.
Aufgerufen wird dieser nach wie vor über den Start von Explorer.exe und irgendwie bin ich gerade ein wenig ratlos.Im Moment lasse ich den DE-Scanner von Avira drüber laufen und hoffe schwer, dass dieser mich weiter bringt. Könnte es sein, dass hier eine neue Version aufgetaucht ist, die sich direkt in die explorer.exe einklinkt? Und wenn ja, wie sollte ich weiter verfahren?
Hi Madner,
gerne helfen wir Ihnen in unserem kostenfreien Support-Forum (http://forum.botfrei.de) weiter! Im direkten Dialog können wir, oder die Community freiwilliger Helfer weitaus individueller auf Ihr Problem eingehen, als es hier in den Blog-Kommentaren mgl. ist!
Grüße,
TK, ABBZ
Der Trojaner hat sein Vorgehen geändert!
Ich habe auch gerade vom Rechner eines Bekannten den UKash-Trojaner entfernen müssen, bei dem ebenfalls alle Registry-Einträge ok waren.
Aber, wie sagte schon Sherlock Holmes: “Wenn das Unmögliche ausgeschlossen wurde, muß das, was zurückbleibt, wie unwahrscheinlich es auch ist, die Wahrheit sein”. 😉 Da die Software ja irgendwie gestartet werden muss, blieb eigentlich nur noch eine Möglichkeit, nämlich dass der Trojaner die “explorer.exe” austauscht. Und voilá, das war die Lösung.
Also:
Entweder hast du noch einen Rechner mit derselben Windows-Version
– Dann kannst du dir dessen “explorer.exe” (sie liegt im Windows-Verzeichnis) einfach
auf z.B. einen USB-Stick ziehen und damit dann die verseuchte Datei überschreiben.
Oder du musst dir die richtige “explorer.exe” von deiner Windows-Installations-CD holen.
– Sie liegt auf der CD im Verzeichnis “I386”. Allerdings ist die Datei da noch gepackt und
heißt “EXPLORER.EX_” (Zumindest unter XP). Entpacken kannst du sie mit dem
Programm “EXPAND.EXE”, das ebenfalls im Verzeichnis “I386” auf der CD liegt.
– Die beiden Dateien kopierst du am besten erst mal in ein temporäres Verzeichnis auf
deiner Festplatte.
– Der Entpack-Befehl lautet dann “expand.exe EXPLORER.EX_ explorer.exe”.
– Danach kopierst du die gerade erstellte “explorer.exe” in das Windows-Verzeichnis
und überschreibst damit den Trojaner.
Nach dem nächsten Neustart sollte der Spuk dann vorbei sein …
Auf die AV-Leute kann man hier im Moment noch nicht bauen. Ich habe die verseuchte “explorer.exe” mal bei Virustotal hochgeladen, wo sie von gerade mal 4 Scannern überhaupt nur als böse eingeschätzt wurde und das auch nur über die Heuristik. Ich denke, das wird noch so ein, zwei Tage dauern.
HTH
cCred
Morgen cCred, Danke für die Info und den ausführlichen Bericht. cool wäre noch eine Auswertung mit Hijackthis gewesen oder Sie hätten uns mal die Schaddatei gepackt und uns geschickt 🙂
Gruß ABBZ
Das kann ich heute Nachmittag alles noch machen, wenn ich von der Arbeit zurück bin (an welche Adresse?). Avira hat über Nacht nix gefunden und genau das (einfaches Austauschen der Explorer.exe) wäre mein nächster Versuch gewesen. Gut zu wissen, dass man nicht völlig ins Dunkle gestochen hätte. Danke, cCred 🙂
Hallo cCred, ja wäre schön, entweder mit OTL oder Hijackthis ein Log zu erstellen und zusammen mit der Schaddatei passwortgeschütz zippen und an technik@botfrei.de zH. H.J. Meyer.
Gruß ABBZ
So, Mail ist auf dem Weg (HiJackThislog+gepackte Explorer.exe).
Das Ersetzen mit einer einfachen und nachweislich sauberen Explorer.exe hat Einbeinsahne funktioniert und der auffälligste Unterschied zwischen einer normalen und der versauten Explorer.exe ist, dass die versaute Explorer.exe nur etwa 180kb groß ist.
Leider nichts angekommen auf technik@botfrei.de, Sie müssen der Zipdatei ein Passwort geben, sonst wird die Mail geschluckt 🙂
http://www.bitdefender.de/KB363-de–erstellen-eines-passwort-geschuetzten-zip-archives.html
Gruß ABBZ
Nachtrag: Die “Microsoft Security Essentials” erkennen die infizierte Explorer.exe mitlerweile a.s VirTool:Win32/Obfuscator.QG.
ahh sry gerade erfahren dass dies nix mit dem trojaner zutun hat ;D dachte wegen deamon like dämon hihi aber trotzdem habe ich keine anderen komischen werte oder .exen da stehen und wenn ich ihn starte kommt immer noch der screen und kann nix machen 🙁
ich habs auch mit der t-com lösung probiert aber mein tastmanager verschwindet direkt wieder unter dem screen 🙁
Hallo Slimo, lesen Sie mal diesen Blog: https://blog.botfrei.de/2011/09/zusammenfassung-ransom-ukash-%E2%80%93-trojaner-bka-trojaner/
Gruß ABBZ
Hallo, Danke für Euren Hinweis, habe alles so gemacht, wie beschrieben, leider fehlt mir beim Start der komplette Desktop, bin über STRG-ALT-ENTF an den Task Manager und kann so agieren.Habt Ihr einen Hinwseis?
Hallo Jürgen, sie haben wahrscheinlich explorer.exe nicht richtig in der Registry eingegeben.
Drücken Sie strg+alt+entf und starten Sie den Taskmanager, im Taskmanager oben Datei->Neuer Task geben Sie regedit ein udn schauen dann nochmal in der Registry nach ob alles ok ist!
https://blog.botfrei.de/2011/08/trittbrettfahrer-des-ransom-ukash-%E2%80%93-trojaner-bka-trojaner-update-1/
Gruß ABBZ
Hallo zusammen,
bei mir war auch die explorer verbogen…nach Austausch geht es wieder.
Und was ich dem wünsche, der das Ding programmiert hat, das überlege ich mir beim Bier…
Danke für den Tipp – wenn jemand von Euch mal einen SLK hat, kann meine Seite mit Infos dienen 🙂
DANKE!!! Habs nach einigem Probieren zumindest geschafft den Virus so weit zu kriegen, dass er sich nichtmehr automatisch öffnet sobald ich den PC einschalte=) Jetzt muss ich ihn nurnoch komplett weg bekommen. Macht man das jetzt einfach mit einer Anti-Viren-Software oder sollte ich ihn besser manuell löschen? Habe jetzt nur explorer.exe beim Virus eingegeben. Bei mir hieß er übrigens VASJA !!
Hallo Vroni,
am besten installieren Sie sich den Malwarebytes Anti-Malware und starten einen Komplettscan wie in der Anleitung hier: https://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/.
Der sollte auch den eigentlichen Schädling finden und entfernen.
Gruß
CG, ABBZ
Ich habe mir den Virus bei meinem gerade mal 9 Tage jungen und mit InternetSecurity Programm versehenen Laptop eingefangen. Ich war total verzweifelt und froh zumindest mit meinem alten Laptop im Internet nach Lösungen suchen zu können. Daher:
Viiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiielen Dank für die tolle Anleitung! Danach konnteich den Virus nach einigem Probieren letztendlich entfernen (obwohl ich Frau und Laie bin 😉 ). Da ist man glatt ein wenig stolz, mehr aber noch bin ich unheimlich erleichtert! Ich bin froh diese Seite gefunden zu haben, denn alle anderen haben gar nichts gebracht.
Bei mir hat sich der Virus unter HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
wie folgt versteckt:
C:\USERS\(mein Username)\AppData\Roaming\mahmud.exe
Alle (für mich auffälligen) exen habe ich zunächst im Internet recherchiert damit ich nichts Harmloses zerstöre) und dann bezüglich obiger exe auf den Hinweis gestoßen, dass sich hierunter der Virus versteckt!
Lasse nun gerade den empfohlenen AVIRA DE-CLEANER laufen und hoffe damit ist alles erledigt.
Ein ehrliches super dankdankdankbares DANKE nochmal!
Hallo M.H., ist natürlich schon ein Ding, dass ein frischer Rechner mit AV-Lösung irgendwo eine Sicherheitslücke hat.
Lassen Sie den Rechner mit secunia auf veralterte Software prüfen: https://blog.botfrei.de/2011/06/ist-ihr-system-aktuell-hier-konnen-sie-ihren-windows-rechner-testen/
und laden Sie sich das kostenfrei Tool von Malwarebytes herunter: https://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/
Gruß ABBZ
ich brauch dringend Hilfe, ich hab tausende Versionen durchgespielt um den Virus zu entfernen. NICHTS KLAPPT!!! auch diese nicht da bei mir in der shell datei bereits Explorer.exe steht! ich hatte die Idee diese Datei durch eine neue zu ersetzen. da ich glaube das der Virus genau diesen Pfad verwendet hat. d.h. ich weis nicht wo ich die Shell original-datei herbekomme oder ob das überhaupt geht. Ich hoffe jemand von ihnen hat die Lösung die ich brauche! ! Bitte Helft mir !
muss ich mich als admin im Abgesichterten modus Anmelden oder als ein anderer benuzer??? =>DANKE FÜR EURE HILFE
Hallo oslo,
hier haben wir eine Anleitung für genau diesen Fall: https://blog.botfrei.de/2011/10/neue-bka-trojaner-variante-infiziert-die-explorer-exe/
Sie müssen die explorer.exe im abgesicherten Modus tauschen oder eine Systemwiederherstellung durchführen.
Gruß
MG
ABBZ
HI,
ich habe den Gema-Trojaner auf dem Rechner und bekomme ihn nicht weg. Wenn ich im abgesicherten Modus MIT Eingabehilfe starte und das Fenster sich öffnet und ich dann regedit eingebe bekomme ich in einem neuen Fenster gesagt: Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert.
Ich habe dann auch nochmal versucht der Administrator zu deaktivieren und habe ihn danach wieder aktiviert. Der Warnhinweis kommt immer noch. Ich komme egal was ich mache nicht in die Registry rein. WAS kann ich jetzt machen?
Habe letzte Woche schon den BKA-Trojaner bei einer Freundin auf dem Laptop mit eurer Anleitung entfernen können, da kam ich aber auch in die Registry rein.
HILFE!!
Grüße
Hallo coco,
ich würde Ihnen empfehlen das Tool Superantispyware zu benutzen. Hierzu wird die Registry nicht benötigt. Sie müssen das Tool auf einen USB-Stick packen und es in den Infizierten PC im abgesicherten Modus mit Eingabeauffordeung stecken. Dann geben Sie in der Koonsole explorer ein und starten das Tool über den USB-Stick. Hier die Anleitung: https://blog.botfrei.de/2011/08/superantispyware-free-edition/
Gruß
MG,
ABBZ
Danke für die detaillierte Anleitung! Jedoch hats nicht funktioniert! Was kann ich jetzt tun? Bin absolut Laie 🙁
Hallo nin, hier haben wir eine Zusammenfassung der Möglichkeiten der Beseitigung zusammengetragen, lesen Sie hier:
https://blog.botfrei.de/2011/09/zusammenfassung-ransom-ukash-%E2%80%93-trojaner-bka-trojaner/
Gruß ABBZ
bitte meine letzten einträge hier lesen.
https://blog.botfrei.de/2011/10/neue-bka-trojaner-variante-infiziert-die-explorer-exe/
Brauch unbedingt hilfe 🙁
Also absolut super Beitrag habe mehreren Bekannte ihre Daten gerettet ohne Ihre Recher platt zu machen wie manche Anfänger das tun würden. Besser hätte man diesen Thread nicht machen können. Man kann sich wirklich nur bei dem Menschen bedanken der sich die Zeit genommen hat es vernünftig und verständlich zu erklären. Danke Danke Danke. Riesen Lob an Dich !!!!!!
hey danke für dsie guten ratschläge !!! hab es jetzt hoffentlich geschafft…muss euch aber sagen das es eine neue version gibt mit dem namen 3zi7nko5.exe!!!!!
habe ihn unter HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
gefunden!!!!
Hallo Tony,
danke für die Information. Der Name ist meißtens zuverlässig, deshalb sollte man in der Registry immer nach merkwürdigen oder unbekannten Einträgen suchen.
Gruß
MG,
ABBZ
Hallo,
entweder ich habe Glück gehabt oder ich kenn mich doch nicht so gut aus!
Habe mir gestern Abend den “BKA Trojaner” eingefangen.
Erstmal sofort das Internetkabel gezogen und Rechner neu (normal) gestartet.
Sobald ich im Windows 7 war, habe ich gleich den Taskmanager geöffnet und die
merkwürdige “new.exe” gekillt. (Kein weiterer PopUp) Nach suchen der .exe im Registrierungseditor (Pfad: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run) und auf meiner Festplatte (Pfad: C:\Users\username\AppData\Local\Temp) darauffolgendem löschen und noch einem Virenscan (ohne Fund) habe ich kein weiteres Problem mehr feststellen können!
Ich hoffe doch damit, dass ich “befreit” bin?!
Grüße,
Thomas
Scheinbar ist noch eine neue Version dieses Drecks unterwegs …
vsja als Eintrag in der Registry und new.exe unter \Benutzer\…\AppData\local\temp\
und das schönste – das Mistding legt einen neuen User an;
__vmware_user__
Anforderndes Konto: SYSTEM
Vermutlich also nicht nur scareware, sondern ein echter Trojaner mit Backdoor.
Auch prima: MS Forefront mit Virendefinition vom 07.11.2011 und auch Malwarebytes finden nichts.
Bin erst im Nachhinein auf diese Anleitung gestossen. Mittels eventvwr und diversen Einträgen bin ich dem Trojaner auf die Spur gekommen.
Würde den Programmierer gerne in die Finger bekommen …
Gruß
Armin
Morgen Herr Schneider, danke für die Info…
Schau mal hier bei uns im Forum vorbei:
http://forum.botfrei.de
Gruß ABBZ
Es hat funktioniert! Bei mir hieß das Miststück “VASJA” … habe es gelöscht und jetzt geht wieder alles!!! VIELEN DANK!!
Das Scheißding heißt jetzt Vasja … Ich kann’s kaum glauben, ich hab die ganzen 2 Stunden nur nach jashla und mahmud gesucht …. VASJA!!! Ich hasse dich … Aber jetzt funktioniert alles wieder ^^
Danke MrT, ohne dich wäre mir das scheiss vasja Ding nicht aufgefallen!!!!
Hallo,
bei mir fährt er aber bei der Eingabeaufforderung nicht runter, was kann ich tun?
edit: hat doch geklappt 🙂 vielen lieben Dank für die super Anleitung! 🙂
Liebe Grüße Chantal
Hallo Chantal,
wir freuen uns, dass es bei dir geklappt hat.
Gruß
MG
ABBZ
Mit autoruns von MircOsoft-Sysinternals ruckzuck gefunden
Warsich auch bei mich Vasja der alte cHund 😀
Durch Klick auf einen Link in einer bösen Webseite, Trotz Security-Essentials, Defender, neuestem Firefox 🙁
Hallo,
ich habe mir den Scheiß grade auch eingefangen.
Bin fast verzweifelt, weil ich in der registry den Ordner “Winlogon” nicht finde. Dementsprechend konnte ich auch die shell nicht ändern.
Dann fiel mir im Autostart-Menü ein komischer Eintrag namens “Shifty bmw booth sinew boats” auf. Verweist auf eine upd.exe. Häkchen rausgenommen, seit dem taucht nichts mehr auf.
Jetzt möchte ich den Kram natürlich ganz weg haben. Finde aber weder mahmud, noch jashla oder vasja.exe Malwarebytes hat auch nichts derrtiges entdeckt.
Ideen? Danke 🙂
Hi Maestro,
such mal bitte nur nach vasja … für weitere Fragen bzw. individuellen Support bitte ich Dich Dir einen Account in unserem Support-Forum anzulegen: http://forum.botfrei.de und einen Beitrag zu eröffnen!
Grüße,
TK, ABBZ
übeltäter in meinem fall: c:\Users\[username]\AppData\Local\Temp\upd.exe
auf die datei verweisender registry eintrag ganz einfallslos unter
current user\Software\Microsoft\Windows\CurrentVersion\Run
key namens “vasja”
manuelles entfernen der datei und des keys macht den rechner wieder benutzbar; anschliessend einen virenscanner (der den trojaner kennt) durchlaufen lassen.
ich bin seit stunden am rumprobieren und finde den blöden trojaner nicht… habe alles suchen nach vasja, 3zi7nko5, mahmud und jashla ausprobiert aber nichts… noch tips?
Habe den namen bei shell ausgetauscht und explorer.exe eingegeben, dann auch ordentlich mit shutdown -r -t 00 runter- und wieder hochgefahren.
beim start erscheint dann kurzzeitig ganz normal mein desktop, aber dann öffnet sich der internetexplorer von selbst und sagt mir, dass keine internet-verbindung besteht. ich kann dann nichts mehr machen, außer das herunterfahren erzwingen.
mache ich etwas falsch? bin am verzweifeln
Hallo Fran,
gerne helfen wir Dir im Support-Forum unter http://forum.botfrei.de individuell weiter. Leg Dir dort einfach einen kostenfreien Account an, und wir schauen uns gemeinsam dein System mal an.
Grüße, ABBZ
Also, ich würde auf jeden Fall im abgesicherten Modus über msconfig (Start -> Ausführen -> ‘msconfig’ entippen) nach unseriösen Programmen Ausschau halten – bei mir ist da ein Programm namens Jobs Poems oder so ähnlich aufgefallen. Das hatte sich im Temp Ordner versteckt .. Deswegen würd ich dir auch empfehlen, die Temp Ordner im Windows, und in deinem Benutzer Ordner zu löschen.
Ist auch, wie ich es gelesen habe, ungefährlich, wird sogar teilweise in zeitlichen Abständen immer wieder mal getan 🙂 Wobei man in der Regel nicht alle Dateien löschen kann, da manche auch zu dem Zeitpunkt benutzt werden, also nicht skeptisch werden ;p
Hab das gleiche wie mein Vorgänger Fran.
Keine .exe gefunden mit den bisher genannten Namen, in den Registy daten nicht gefunden.
Wenn ich neu Starte kommt ebenfalls nach einer kurzen Zeit in der der Dekstop normal zu sehen ist der Internetexplorer und dan nach einger Zeit wieder der verdammte BKA dreck!
Fran, wenn du ne Lösung hast, oder ein andere, Schreibt bitte ne Antwort!
Vielen Dank!
Hallo Sall,
es gibt mittlerweile viele Trittbrettfahrer des BKA- Trojaners…., gerne helfen wir Dir im Support-Forum unter http://forum.botfrei.de individuell weiter. Leg Dir dort einfach einen kostenfreien Account an, und wir schauen uns gemeinsam dein System mal an.
Gruß, ABBZ
hab auch das blöde Problem gehabt. Bei mir hatte er den Namen wpdt.dll.
Hab ihn in der Registy HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run gefunden. Lautete: Update und dann ganz rechts wpdt
Steht auch in der System32 unter wptd.dll.
Gruß Micha
Hallo,
schöne Anleitung wenn auch mit Makel. In das benutzereigene Autostart Verzeichnis sollte man auch mal reinschauen – da war er bei einem Bekannten zu finden.
Vor allzugroßem Vertrauen zu “AntiVir” kann ich nur abraten. Der DE-Cleaner (das vollständige Nachladen der benötigten Dateien dauert >50 Min. !!! Unglaublich langsam…) findet NICHT die aktuelle Version (sie hies hier wpbt0.dll – die Datei muss nicht .EXE heissen um ausgeführt zu werden).
bei mir muss man shutdown/r eingeben um herunterzufahren und neuzustarten
und natürlich vielen dank
Ich kann der Anleitung folgen aber ich finde die Datei in keinem der Ordner D: Kann mir jemand helfen?
Hallo Anika,
gerne helfen wir Dir weiter. Melde Dich hierzu bitte kostenfrei in unserem Support-Forum an und erstelle dort einen Beitrag/ein Thema zu Deinem Problem: http://forum.botfrei.de!
Grüße,
TK, ABBZ
Gibt es eine Alternativlösung, wenn ich “Shell” einfach gelöscht habe? Ich habe die Datei einfach gelöscht und keinen neuen Wert eingegeben. Hilfe!
Lg Janry
Gerne helfen wir Dir individuell weiter. Melde Dich dazu bitte in unserem Support-Forum unter http://Forum.botfrei.de an und erstelle einen eigenen Beitrag zu Deinem Problem.
Grüße,
TK, ABBZ
Hallo, habe den Virus nun auch aufm Pc aber nun folgende Probleme .
1.) ich habe mit dem Infizierten Pc durch Taskmanager die 2 Software gelöscht könnte es eventuell was verändert haben ???
2.) Ich habe ein neues Konto auf dem Pc erstellt nun hab ich mich abgemeldet und mit dem neuen Konto angemeldet wieder das gleiche Problem bloß mein altes Konto wurde gelöscht bzw. finde ich nicht mehr ist es jetz dauerhaft gelöscht oder versperrt das Virus dem zugriff auf dem Konto ???
3:) Ich hab wie gefolgt die Anleitung beachtet aber wenn ich F8 drücke komme ich in das Menü aber wenn ich versuche etwas auszuwählen bzw. mit der Tastatur hoch oder runter mit dem Pfeil gehen möchte geht das nicht von daher kann ich auch den Pc im abgesicherten Modus mit Eingabeaufforderung nicht starten.
Kann mir einer helfen ???
mfg
Hallo Kero,
kommen Sie bitte in unser Hilfe Forum unter http://forum.botfrei.de
Gruß
MG
ABBZ
Der hieß bei mir:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run als update) und auf meiner Festplatte (Pfad: C:\Users\username\AppData\Romaning,757346724672463.exe) oder so ähnlich, kann nicht mehr nachschauen weil er weg ist.
Mir hat das alles nicht geholfen, es hat nur viel Zeit gekostet, da die Hilfen, welche sicher in vielen Fällen funktionierten, zwischen Danksagungen und Kommentaren versteckt sind. Etwas deprimiert grüßt wohu
Hallo wohu,
du musst konkret sagen was das Problem bei dir ist bzw. was genau nicht funktioniert. Auch wir haben keine Glaskugel in die wir hineinschauen können 🙂
In unserem Forum findest du sicherlich einen Lösungsansatz.
MG
ABBZ
hey, also ich hab mir auch den bka trojaner eingefangen.
benutze windows 7. avira und spybot haben ihn nicht gefunden. habe im abgesicherten modus in der msconfig eine jashla.exe (name war etwas anders jasvba oder so^^) aus dem autostart genommmen. in der registry finde ich nix. die shell datei unter windows nt hat (wie es sein soll) als wert die explorer.exe. unter windows\currentversion\run ist nix verdächtiges (spybot, sidebar, steam).
beim start des rechners, taucht immer noch das fenster auf. nun öffnet sich aber meine bibliothek mit (k.a. warum). darüber kann ich die msconfig wieder starten, den taskmanager ausführen (da über strg,alt,enft nicht möglich) und alles schließen und die explorer.exe neustarten. somit habe ich meinen gewohnten desktop wieder, nur im anderen farbstil. (silber statt grün).
habe dann unter irgendwo unter user\appdata (pfad verrät die msconfig) die dazugehörige exe gefunden die enorm viele zahlen im namen enthielt. -> gelöscht.
internet war während der ganzen prozedur deaktiviert, habe gleich den router vom netz genommen, da ich eine w-lan karte integriert habe im pc.
beim starten kommt nun immer noch der trojaner.. irgendwo versteckt sich noch etwas.
wäre über hilfe hoch erfreut.
grüsse fred
Hallo Fred,
wir möchten Dir gerne weiterhelfen und laden Dich in unser Support-Forum unter http://forum.botfrei.de ein!
Grüße,
TK, ABBZ
ich habs geschafft. *freu*
für alle die es trotz anleitung nicht geschafft haben, zieht euch malwarebytes. das programm ist spitze. suchlauf hat zwar etwas über eine stunde gedauert, aber es hat sich gelohnt.
folgendes ergebnis lag vor:
5 infizierte datein gefunden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application und bak_Application (also schon mal zwei stück)
\User\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup.3409973164035197.exe
bei der zweiten bin ich mir nicht ganz sicher. habe ein hp-model, die exe hielt ich zuerst für eine hp anwendung. dachte der trojaner greift nur windows regi datein an. aber gut. die restlichen zwei waren fehlalarm. ein mod zu einem spiel, das is 100% sauber.
hoffe ich konnte jemand anderen helfen.
gruss fred
Ich habe bei dem Ganzen ein Problem: Ich habe den Pfad Shell zwar gefunden aber dort steht schon “Explorer.exe”. Doch wenn ich den PC neustarte startet sich der Trojaner neu. Wo kann sich der Pfad denn noch versteckt haben?
Bitte schau mal auf http://www.bka-trojaner.de vorbei. Solltest Du darüber hinaus Hilfe benötigen, wende Dich bitte an unser Support-Forum unter: http://forum.botfrei.de!
Grüße,
TK, ABBZ
Hallo alle zusammen,
ich brauche eure Hilfe. Ich habe ein Laptop mit Vista und habe vollständig alle Schritte abgearbeitet. Ich muss ja diesen Pfad nehmen : HKEY_CURRENT_USER usw , aber am Ende ist da nix mit Shell. Auch bei HKEY_LOCAL_MACHINE\ habe ich geschaut. Da gibt es zwar dieses Shell aber da steht nix merkwürdiges drin.
Kann mir bitte jemand helfen ??
Hallo DIXL,
bitte registriere Dich in unserem kostenlosen Support-Forum unter http://forum.botfrei.de und erstelle dort einen eigenen Beitrag. Dort können wir Dir am einfachsten weiterhelfen.
Grüße,
CS, ABBZ
ok danke, habe ich gemacht !
Hallo ..
Kann ich mir jemand helfen ich habe win 7 und kann die shell datei nicht finden nur shell icon size
Hallo Casi,
bitte wende Dich an unser Support-Forum unter: http://forum.botfrei.de. Dort helfen wir Dir gerne weiter!
Grüße,
TK, ABBZ
Danke für die Gute Anleitung … Nun bin ich auch befreit !! Der AVIRA Cleaner schaut gerade alles durch !! Danke, Danke, Danke….
Hallo Björn, der De-Cleaner bzw. AV- Lösungen sind nur ein kleiner Teil um deinen Rechner zukünftig Viren und Botfrei zu halten schau dir mal diesen Artikel an.
https://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
bei mir war es eine andere datei ebendfalls eine .exe jedenfall kamen die buchstaben drinne vor – ich änderte es in explorer.exe und es geht nun (hoffe auch länger) ich habe mich belesen und dort steht das die einen keylogger in diesem trojaner haben – heißt das nun das ich den rechner platt machen muss?
gruß!
Hallo Wolfgang,
schön dass Sie die Infektion auf dem Rechner entfernt haben. Scannen Sie den Rechner mal mit dem Tool von Malwarebytes und lesen Sie den folgenden Blog.
https://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
Hallo,
Wenn ich meinen Rechner im abgesicherten modus starte, erscheint der Virus immernoch. Also hab ich ihn im “abgesicherter modus mit eingabeaufforderung” gestartet. Wenn ich aber nun regedit eingebe kommt bei mir: “Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert”
Ich bin als Administrator angemeldet
Bitte um hilfe
mfG, Lasse
Hallo Lasse,
gerne helfen Dir unsere Experten im Forum unter http://forum.botfrei.de weiter! Hier ist uns das einfach nicht mgl.!
Grüße,
TK, ABBZ
Hallo,
Ich hab mir auch diesen scheiß eingefangen und bin der anleitung hier gefolgt. Ich hab zwar die shell gefunden und in explorer.exe umbenannt, allerdings kann ich über den taskmanager den explorer nicht starten und auch befehle wie help oder shutdown funktionieren nicht 🙁
Ich bekomme nur die info dass mein befehl falsch geschrieben ist oder nicht gefunden werden konnte. Was soll ich jetz machen? Ich hab win 7,
Hallo Joey,
Bitte melde dich kostenfrei in unserem Forum an. Dort werden unsere Experten und die Community bei der Lösung der Probleme helfen.
http://forum.botfrei.de/forum.php
Gruß ABBZ
probier mal W7 im abgesicherten Modus zu booten (F8 während des bootens). Dann solltest Du über die Kommandozeile die registry oder den exporer starten können. Der Trojaner kann sich an vielen Plätzen und unter vielen verschienen Namen verstecken. Bei einem Bekannten war er unter users\\appdata\local\temp.028569978898261636.exe versteckt
You already know thus significantly in the case of this matter, made me personally believe it from so many numerous angles. Its like women and men don’t seem to be fascinated unless it’s something to accomplish with Girl gaga! Your individual stuffs outstanding. All the time deal with it up!
Hallo Hancock,
Thanks for the information
Greetings ABBZ
Oh Gott, für diese Anleitung braucht man ja ein finnisches Abitur!
Hallo Saviour1981,
gerne helfen wir Dir in unserem Support-Forum weiter! Registriere Dich hierzu einfach kostenfrei in unserem Forum unter http://forum.botfrei.de und erstelle einen Thread unter “Hilfe” — “Windows Systeme”.
Grüße,
TK, ABBZ
Hey. Super anleitung jedoch komme ich an dem punkt nicht weiter an dem ich die shell datei bzw den wert unbennen soll, das akzeptiert mein laptop windows vista nicht! kann mir jemand helfen? wäre super toll!
Lg
Hallo Alexandra, poste doch bitte das Problem in unserem Support Forum. Da können wir Dir helfen.
Grüsse,
RM, ABBZ
Folge uns: http://facebook.com/botfrei & http://gplus.to/botfrei
Hallo, auch ich habe mir diesen BKA Virus irgendwie eingefangen und nach Möglichkeiten gesucht diese perverse Seite wieder weg zu bekommen.
Mein Pc = Win 7 Prof.
Diese Seite blockierte auch bei mir jeden Zugriff (Desktop) auf andere Einstellungen.
Leute–User– !!
1. Ruhe bewahren
2. Ruhe bewahren
3. probieren – mit der rechten Maustaste auf das X drücken, öffnet sich ein Menü
mit diesem Menü möglichst so manöverieren dass man auf dieSystemsteuerung- – alle Systemsteuerungselemente – Wartungsfenster- Wiederherstellung- PC auf ein früheren Zeitpunkt zurücksetzen, dieser sollte bei nicht Wissen wenn der Tag des Befalls war, mindestens 10 bis 14 Tage oder noch länger zurück liegen.
Danach startete ich meinen PC neu, habe mit meinen Virenprogramm nochmals einen Scan der Festplatte durchgeführt anschließend mit dem CC-Cleaner nochmals den PC nach Schädlingen in der Regestry untersuchen lassen dann als Vorsichtsmaßnahme alle Einträge in der Rubrik “Chronik + Lesezeichen” User wissen es handelt sich bei mir um Firfox, entfernt,,,,
Ihr merkt schon, ich war wieder “drinn” so das ich jetzt ungestört wieder jede Seite schadlos öffnen kann.Hoffe Euch mit den Zeilen helfen zu können, übrigens
bin ich nicht blond sondern 70 Jahre jung glatzköpfig und
Hallo Flax,
Danke für deinen Beitrag.
Gruß ABBZ
Bräuchte hilfe/rat habe die Anleitung befolgt nur:
1. Desktop icons fehlen.
2. Taskmanager lässt sich nicht öffnen.
( 3. Mir kommt mein PC etwas langsam vor) 🙂
Im anderen Benutzerkonto funktioniert alles weitgehend.
Hallo Matze,
leider können wir hier im Blog keinen Support leisten, melde dich bitte kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten bei der Lösung helfen.
Gruß ABBZ
Übeltäter auf dem PC eines Bekannten:
users\\appdata\local\temp.028569978898251636.exe
Diese exe im o.g. Verzeichnis löschen. Festplatte ggf. durchsuchen, ob diese Datei öfter vorkommt. Auch die Registry nach der Datei durchsuchen und den Eintrag löschen
MfG
Danke für Deinen Erfahrungsbericht. Bitte scanne Dein System nochmals mit Malwarebytes & update Deine Software, insbesondere Deine Browser-Plugins.
Grüße,
TK, ABBZ
Hi!
Ich hatte diesen Virus auch.. Ich dachte ich wäre ihn los. In abgesichertem Modus, habe ich eine Systemwiederherstellung gemacht, danach habe ich eine bessere Antivirsoftware installiert und alles überprüfen lassen, die Software hat dann einige Dateien gefunden, die habe ich auch gelöscht.
Tja und jetzt nach ca. einem Monat habe ich wieder Probleme…mein Laptop (Vista) funktioniert nicht mehr.. da ich Mozilla jetzt benutze, kam plötzlich eine Anzeige (kleines Fenster) wo etwas mit Explorer stand, habe dann auf abbrechen geklickt…..jetzt funktioniert mein Laptop gar nicht, startet zwar ohne Probleme, Maus und Tastatur funktionieren aber nicht. Mein Laptop (Vaio, 3 Jahre alt) lässt sich auch nicht ausmachen…
Habe jetzt diese Anleitung gemacht, keine der verdächtigen Dateien wurde gefunden… kein jashla, kein mahmud, exen.exe, usw.
Was meint ihr, wo könnte der Virus noch versteckt sein.. Das Ganze ist gestern passiert.
Danke sehr herzlich für die Hilfe!
lola
Hallo lola,
melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden Experten bei deinem Problem weiter helfen.
Gruß ABBZ
werde ich machen danke!
Hallo,
leider ist mein Computer auch betroffen,
seit 2 Tagen versuche ich, klappt das nicht
direkt nach der 1 Schritt erscheint die weiße Seite und steht darauf,
dieses Programm kann die Webseite nicht anzeigen,
und so weiter , egal was ich mache, habe jedesmal heruntergefahren und wieder, aber will nicht reagieren.
Gerne helfen wir Dir kostenfrei individuell weiter! Registriere Dich hierzu in unserem Support-Forum (http://forum.botfrei.de)!
Grüße,
TK, ABBZ
okay, bei mir hat sich der trojaner hier versteckt
c:\user\username\appdata\roaming\mahmud.exe
kann ihn aber nicht lösche. c’est le shit 🙂
Hallo,
gerne helfen wir Dir individuell weiter. Registriere Dich hierzu bitte im Forum unter: http://forum.botfrei.de und erstelle einen Thread im Bereich “Hilfe”!
Grüße,
TK, ABBZ
Hallo..mein rechner ist auch betroffen. Gestern kam aufeinmal ein fenster in dem steht “der zugriff zu ihrem computer ist gesperrt”n gema aufgrund illealer raubkopien. obwohl ich gar nichs auf meinem rechner hatte. Ihre lösung habe ich 5 mal versucht. trotzdem funktioniert es immer noch nicht. ich brauche ihre hilfe ganz dringend weil ich in 2 mein referat halten soll und die ganze arbeit befindet sich darin. vielen dank !
Hallo jim,
Gerne helfen wir Dir weiter! Bitte registriere Dich hierzu in unserem Forum unter http://forum.botfrei.de und erstelle einen Thread unter “Hilfe” –> “Windows Systeme”!
hätte nicht gedacht,dass ich auf meine alten tage die polizei (bullen) sehr zu schätzen weiss.
recht vielen dank.
das wort zwischen den klammern ist nur virtuell und existiert natürlich nicht :-)))
als alter 68er ist`s respektvoll gemeint
Hallo Charly,
bitte lese im Anschluss diesen Bericht
https://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
Hallo, gestern morgen bekam ich auch einen saftigen Schock mit diesem BKA Virus. Den ganzen Tag gewurschtelt und erstmal meinen Zugriff wiederhergestellt. Dank Eurer Tipps habe ich nun hier geschaut: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run da ist eine komische Datei im …AppDate/Local/Temp/0.9948828367727447g8j8.exe, die ich dann bei Virustotal testen wollte, aber sie war nicht im Ordner?! (ausgeblendete Dateien eingeblendet). Wie ist das zu erklären? Wie krieg ich die weg? Hab voll Angst, dass der Virus nicht ausgerottet ist! 🙁
Hallo Freddi,
mach mal einen kompletten Scan mit Malwarebytes
https://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/
im Anschluss lese bitte diesen Artikel
https://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
falls du Hilfe brauchst, kannst du dich kostenfrei im http://forum.botfrei.de anmelden, dort werden Experten helfen.
Gruß ABBZ
Mein Freund rief mich heute an. Nix geht mehr sagt er. Er beschrieb mir dieses Problem. ich sag warte ich komme vorbei.Ich : Was hast Du gemacht ? Er: ich hab erstmal bezahlt. Ich : Du Blö….. ! na Prima 50 € futsch. jetzt hab ich Arbeit. Er Hat den Eintrag HKEY_CURRENT_USER drinstehn.
Hallo Mattes,
Geld wird nach wohl weg sein 🙁
Bitte melde dich in unserem kostenfreien http://forum.botfrei.de an, dort werden Experten weiter helfen.
Gruß ABBZ
Hallo Leute bei mir war es schobn auf explorer.exe also hab “Plan B” gewähl und nach exe. programmen gesucht die “merkwürdig”^waren ich habe 2 gefunden und sie gelöscht weil ich vermutete dass sie ein virus waren doch der virus ist noch da kann mir jemand helfen
Gerne helfen wir Dir in unserem Forum unter http://forum.botfrei.de weiter!
Grüße,
TK, ABBZ
Hallo ich habe meinen vista im abgesicherten modus gestartet
aber es kommt immer dieser GEMA bildschirm
und ich kann auf keine anderen daten zugreifen was soll ich tun?
Hallo Johnny,
bitte stell deine Anfrage in unserem Forum unter http://forum.botfrei.de und wir werden wir gerne weiter helfen.
Erstell bitte dazu ein neues Thema.
MG,ABBZ
Moin zusammen.
Ich habe mir auch dieses Mistding eingefangen.
Mein Freund ist ist PC Spezi.
Allein hätte ich es nicht geschafft.
Danke für die Anleitung.
Hallo Wilfried,
schön, dass Du Deinen Rechner nun wieder frei von diesem Dingen hast. Wichtig ist nun, dass Du Nachsorge betreibst:
https://blog.botfrei.de/2011/12/malware-entfernt-was-nun/
Solltest Du hierbei Hilfe brauchen, haben wir in unserem Support-Forum unter http://forum.botfrei.de immer ein offenes Ohr und stehen Dir gerne zur Seite!
Grüße,
TK, ABBZ
HAllo Wilfried,
bitte lese im Anschluss diesen Artikel, wie du in Zukunft deinen Rechner vor Infektion von Malware vorbeugen kannst.
https://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
hatte gerade das “Vergnügen” mit >hw56svzs11.exe<, der Kollege hat darüber hinaus noch den Taskmanager und Regedit Disabled und alle ikons auf dem Desktop, für alle Benutzerkonten inkl. Admin im normalen wie auch im abgesichterten Modus verteckt.
Zum Glück ging noch das booten bis zur Befehlszeile dann konnte ich mit regmagik vom Stick mir wenigstens wieder rudimentären Zugriff verschaffen.
Leider finden die Scanner das Miststück noch nicht….
Hallo tutnichtszursache,
melde dich bitte mal im http://forum.botfrei.de an, dort werden dir Experten bei der Lösung helfen.
Gruß ABBZ
Hallo,
mein BKA-Trojaner ist auch im (abgesicherten Modus mit eingabeaufforderung) aktiv!!. Gibt es eine Möglichkeit trotzdem an die Registry zu kommen?
Danke im voraus.
Nidal
Hallo Nidal,
ja mit der Kaspersky Rescue Disk.
MG, ABBZ
Nachdem ich (erfolgreich) versucht habe, bei einem Freund den BKA-Trojaner zu entfernen (mit Kaspersky-Rettungs-CD) , ist mir aufgefallen, dass Kaspersky den Registry-Eintrag HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ;Wert: Update, Bezug: System32, Datei: 0.03129……exe NICHT beanstandet hat, obwohl das der casus knaxus war.. Die Datei selber hat er gleichwohl als Trojaner identifiziert und gekillt.
Alles gut, danke für die Anleitung !
Hallo,wie kann ich den __vmware_user__ wieder löschen,der wird angezeigt wenn ich net user in der cmd eingebe?
Hallo Michael,
bitte registriere Dich in unsere Supportforum http://forum.botfrei.de – Dort schauen sich die Experten das Problem genauer an.
MG ABBZ
habe den “shell” Ordner leider gelöscht was jetzt?
Hallo zusammen,
habe mir vor 2 Tagen den Bundespolizei-Virus eingefangen, trotz Avira etc. Sämtliche Rescue-Discs kommen nicht weiter und die von euch beschriebenen Einträge in der Registry sind auch normal. Über abgesicherten Modus komme ich noch an den Rechner, aber das wars dann auch schon.
Gibt es eine neue Form des Virus oder hat jemand eine Idee, wonach ich suchen kann?
VG – Gerry
Hallo,
Entwarnung – das 7te Tool (Norton Power Eraser) hat das Ding gefunden (msrohvj.bat), eliminiert und es läuft wieder.
VG – Gerry 🙂
ok, aber wie mache ist das wenn bei shell schon explorer.exe steht , dies ist ja ein zeichen dass explorer bei mir befallen ist kann mir jemand eine anleitung geben wie ich es reparieren kann ?
Hallo Dennis,
Bitte registrier dich unter http://forum.botfrei.de und erstell ein neues Thema in der Kategorie Hilfe -> Windows-Systeme.
Grüsse,
RM, ABBZ
Folge uns: http://facebook.com/botfrei & http://gplus.to/botfrei
Es können und werden immer Reste da sein!!!!
super anleitung alles wieder .k.
Besten Dank für die tollen Hinweise.
Bei mir steckte der Trojaner an mehreren Orten:
Die ausführende Datei unter : c:\Dokumente un Einstellungen\All Users\Anwendungsdaten\ufdfdei…… .exe
Die Grafikseite liegtim selben Ordner nur im Unterordner \fizrnmrcdfzjwoq\
Im Autostartordner und muss der Eintraf ufdfdei…. gelöscht werden
und in der Registrierung müssen mehrere Schlüssel mit dem Suchsymbol wie oben (ufdfdei uswusw) gelöscht werden. –> Das ware nbei mir in der ShelNoRoam ein Eintrag und ein komplettes Verzeichnis in der MSConfig unter Shared Tools.
Der Schlüsselname ist immer der selbe wird aber bei jedem anders sein.
Viel Erfolg und nochmals vielen Dank !!
Markus W
Noch ein Eintrag gehört dazu. in der Registry stand wie oben beschrieben anstelle von explorer.exe bei mir explorer_new.exe
Hallo Markus,
der Eintrag in der Shell kann unterschiedlich sein. Mal explorer in allen Varianten, mal zufällige Buchstaben.
MG, ABBZ
Ich habe ein Problem !!!! Bei mit steht der Shell Wert schon auf explorer.exe ?!?! Schon von anfang an war das so!!Was Soll ich jetzt machen? Wahrscheinlich ist mein Explorer.exe vom Virus infiziert ??!
Hallo alessandra,
bitte registrier dich in unserem Forum unter http://forum.botfrei.de und erstell ein neues Thema unter Hilfe -> Windows-Systeme. Wir werden dir dann weiterhelfen.
MG, ABBZ
xD ich hab des shell teil ned! ich hab windows 7 (is des n problem?) . Wenn ich auf Windows NT currentVersion geh gibts NIX mehr zum anklicken und ich hab keine ahnung wie ich den jetzt wegbekome!
bitte schickt ne antwort (ist sehr sehr dringend!)
thx
Hallo Niklas,
bitte registrier dich in unserem Forum unter http://forum.botfrei.de und erstell ein neues Thema unter Hilfe -> Windows-Systeme. Wir werden dir dann weiterhelfen.
MG, ABBZ
Bei nir gab es keine auffälligen Dateiendungen unter den angegeben Pfaden. Aber ich habe unter msconfig, autostart das Systemstartelement ctfmon ausgestellt, da es einen auffäligen Pfad und einen unbekannten Hersteller hatte, und den Pc neugestartet und dann war das BKA-Bild verschwunden. Ich lasse gerade Malwarebytes durchlaufen und hoffe das er etwas findet.
LG
Constantin
ihr seit die besten echt!!!
hab gerade prüfungszeit und mein pc bekommt so ne scheiss virus.
konnte nicht mehr in meinen daten zugeifen !!
Morgen yero,
Was ist passiert?
Bitte melde dich kostenfrei in unserm http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei deinem Problem helfen.
Gruß ABBZ
Hallo,
ich habe alles Mögliche versucht und ich hatte immer wieder beim Start diesen GVU Startscreen, obwohl ich die viren schon alle gekillt hatte. Ich hatte keine Lust auf dem Abgesicherten modus und habe mich über str + alt +entf abgemeldet. Danach wollte er herunterfahren und beim Beenden der Probramme kann man schnell noch abrechen klicken. Danach wußte ich, es muss ein Autostart überbleibsel vorhanden sein 😉
-Abmelden –> abbrechen
-ctfmon löschen und im systemstart deaktivieren
-GFU Bild löschen –> appdata\local\temp\glom0_of.exe
Virenscanner installieren und Maleware löschen.
Der GVU Startscreen wird beim starten ausgeführt.
Unter Systemstart (msconfig gibt es den Punkt cftmon. Der ist schuld daran)
Ihr seht das auch in eurem Autostart.
So ich hoffe ich kann den Leuten damit helfen.
Hi Sry aber ich hab das alles schritt für schritt gemacht und bei mir steht der Shell auf Explorer.exe schon am anfang an.
Eine Hilfe Were Klasse#. thx im Voraus.
Gerne helfen wir Dir individuell in unserem Support-Forum weiter:
http://forum.botfrei.de
Grüße,
TK, ABBZ
Hallo! alles super gelaufenam anfang aber bei mir ist keine datei mit shell… kann mir jemand helfen? gruss
Hallo Mike,
du wirst eine andere Art von Trojaner haben…
Melde dich in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.
Gruß ABBZ
Bei mir bringt das alles nichts! Habe seit gestern den GVU-Trojaner 2.07 (mit Webcam) auf meinem XP-Rechner. Kapersky-Rescue-CD konnte nix finden und diese Anleitung hat auch nichts gebracht (Expolorer.exe war eingetragen und sonst keine aufälligen .exe-Dateien gefunden). Ich weiß echt nicht weiter. Habe auch keine Lust den Rechner neu zu installieren und 2 Tage später habe ich mir wieder was eingefangen. Wer hat noch Tipps? Danke.
Hallo James,
Dazu gibt es eigentlich schon gut Lösungen, melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.
Gruß ABBZ
Bravo für die tolle Anleitung – wir haben zwar ca. 2 Stunden herumgeturnt. Wir haben Windows Vista und haben alle Möglichkeiten dieses Super-Forums durchgearbeitet. Fündig geworden sind wir im
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run.
Dort fanden wir im Standard das EXE file: rgnygtgcnex.exe mit dem Pfad, wo das exe gelöscht werden konnte.
Herzlichen Dank für die wunderbare Hilfe und beste Grüsse aus der Schweiz!
Diese Version ist bei einem Freund von mir heute am Bildschirm gewesen. Win 7 64 bit.
Allerdings wenn man das A1 WLAN DSL Modem abgeschaltet hat und PC dann neu gestartet hat, war das Bild weg. Wenn die Netzwerkverbindung dann neu erstellt war, sofort das Bild wieder da.
Vielleicht eine neue Variante?
Eine System-Wiederherstellung auf 2 Tage vor dem ersten Erscheinen des Bildes hat das Problem erstmal beseitigt.
Hallo! habe da ein Problem… Habe mir den BKA eingefangen und bin nach langem suchen unter …Software\ Microsoft\ Windows\ CurrentVersion\ Run eine verdächtige Datei gefunden. irgendwas mit vdnmccrtt… habe allerdings den fehler gemacht diesen Eintrag zu Löschen, anstatt den dateipfad zu verfolgen und habe wie es aussieht nicht die eigentliche Datei gelöscht, sondern nur den Eintrag unter \ Run. Nun startet der Trojaner trotzdem sobald ich mich am PC anmelde, jedoch weis ich den Dateipfad nichtmehr… wie soll ich die Datei jetzt nur finden? Hoffe ihr könnt mir helfen. Danke im Voraus
Hallo DH,
es gibt auch Schadsoftware, die sich über das Internet nachladen kann. Womöglich hat der Schädling noch einen weiteren Eintrag, der den alten wiederherstellen kann. Du siehst, das ist nicht so einfach festzustellen. Für eine individuelle Bereinigung kannst du dich kostenlos in unserem Support-Forum anmelden. Unsere Experten helfen dir “Schritt-für-Schritt” bei der Bereinigung deines Rechners und bei weiteren Fragen.
Grüße,
CG (ABBZ)
Warum sich´s schwer machen wenns auch einfach geht,
neustart
F8 abgesicherter modus
Systemwiederherstellung
Fertig.
Gruss
Hallo Lösungsgimp,
leider ist es nicht ganz so einfach. Möglicherweise hast du den Sperrbildschirm damit entfernt, aber die Reste vom Trojaner schlummern noch auf der Platte. Du kannst dich gerne kostenlos in unserem Support-Forum anmelden, dann checken unsere Experten mal dein System und helfen dir bei der Absicherung.
Grüße,
CG (ABBZ)
Hallo,
ich bin das olle Mistvieh los!!!!!
Am 09.08.2012 um genau 20:05 Uhr gings los: Sobald der PC Zugriff aufs Internet hatte, wurde der Bildschirm vom BKA Virus gesperrt. Ich habe viele Dinge, die hier vorgeschlagen wurden, probiert, aber nix hat geholfen bzw. ich hab den Virus nirgends entdecken können.
Geholfen hat der Kommentar vom 06.Juli 2012 um 22:41Uhr. Ich hab nach “cftmon” im PC gesucht (zur Abwechselung ganz normal über den Explorer und nicht im gesicherten Modus) – tatsächlich wurde dieses Datei zu genau der Zeit, als der Virus das erste Mal auftrat (20:05Uhr) verändert oder neu installiert. Also weg damit! Hab die .exe gelöscht sowie gleich sämtliches, was um 20:05 Uhr noch so verändert oder neu installiert wurde (PC nach Veränderungsdatum durchsucht). Keine Ahnung, was ich da so alles runtergeschmissen habe (ob das eigentlich so empfehlenswert ist??), aber der PC läuft noch/ wieder 🙂
Hab jetzt X-Mal den Cleaner laufen lassen + Avira und Kaspersky und nun muss ich noch oben schauen, wie ich mich vor einer erneuten Attacke schützen kann…
Auf jeden Fall ist der Virus nun weg! Hurra 😀
Viele (fröhliche) Grüße
PS: Zuvor habe ich im Übrigen im abgesicherten Modus entdeckt, dass “Cftmon” per Autostart gestartet wird – habs da ausgeschaltet und dann im Explorer gelöscht
Hallo creesan,
danke für deine Information, scanne den Rechner mal mit Malwarebytes im Vollscan und im Anschluss überprüfe deinen Rechner auf veraltete Programme mit Secunia.
Gruß ABBZ
Hello everyone, it’s my first visit at this web page, and paragraph is genuinely fruitful in support of me, keep up posting these types of articles or reviews.
Here is my page: excel repair
Hallo Marisa,
This is just a variation of the infection if you need assistance, please sign up at our http://forum.botfrei.de, experts there help step by step in the removal.
Greeting ABBZ
Hi,
scheint ja ne Super Seite hier zu sein.
Ich komme aber nicht weiter: Ich kommemi tF8 nicht in diesen abgesicherten Modus. Was mache ich denn dann? Hilfe.
Danke u LG, Domini
Hallo Dominik,
Es gibt zur Zeit viele verschiedene Varianten des UKASH-Trojaners, die alle eine individuelle Behandlung zur Entfernen brauchen.
Melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.
Gruß ABBZ
Ich hatte den Trojaner ebenfalls. Ich konnte ihn mit folgenden Schritten entfernen (ich habe eine englische Version von Windows, daher bitte die Uebersetzungsfehler zu verzeihen)
– Windows im abgesicherten Modus starten
– Start – Systemsteuerung – Verwaltung – Systemkonfiguration (oder msconfig im DOS-Fenster eingeben)
– Dort im 4. Registerblatt (Startup) habe ich einen EXE-File mit einem eigenartigen Namen gefunden: pdzbvqbv.exe. Der Datenpfad steht auch dabei.
– Ich habe die Datei im Explorer gesucht und alle Dateien und Verzeichnisse mit dem selben Datum und der selben Uhrzeit geloescht.
– Normaler Neustart
– Der Trojaner wird nicht mehr gestartet
– Registry starten (Start druecken, ganz unten regedit eingeben)
– nach der Datei ohne Angabe von .exe suchen
– Alle Eintraege loeschen (wurde bei mir 4 x gefunden)
Hallo Gerhard Jaros,
diese Vorgehensweise wird von uns nicht unterstützt. Das kann man nur machen, wenn man sich sehr genau mit dem System auskennt. Die Infektionen die zZ. im Umlauf sind brauchen eine individuelle Behandlung.
Also bitte nicht nach machen!! Meldet euch statt dessen kostenfrei in unserem http://forum.botfrei.de an. Erstellt ein neues Thema mit Beschreibung des Problems, die Experten dort helfen “Schritt für Schritt” bei der Lösung.
Gruß ABBZ
dankeeeeeeeeeeeeeeeeeeeeee weiter so!!!!!! Durch die tolle und kinderleichte Anleitung konnte ich meinem Mann bei dem Trojaner problem helfen !!!!Also nochmal 1000 dank :-)) Lg.Delfi
Hallo Delfi,
schön, dass du mit der Anleitung weiter gekommen bist, überprüfe den Rechner nochmal im Vollscan mit Malwarebytes und lese im Anschluss diesen Bericht: https://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Benötige dringend HIlfe, habe auch schon ins Forum geschrieben, ist aber sehr sehr dringend, da ich mein Notebook zum Arbeiten benötige:
Bei shell war bereits der Wert explorer.exe eingegeben, also habe ich aus HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run und
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run alle .exe Dateien gelöscht, allerdings vergessen den Pfad zu notieren, so dass ich sie entgültig entfernen kann. Der Virus ist noch da. Was kann ich tun?
Hallo Katja,
nun, du hast wahrscheinlich den Trojaner nur am Start gehindert, dieser befindet sich noch auf deinem Rechner, überprüfe deinen Rechner mit dem Tool Malwarebytes im Vollscan.
Wenn du schon im http://forum.botfrei.de bist. Erstelle ein neues Thema mit Beschreibung deines Problems, die Experten dort helfen dir “Schritt für Schritt” bei der Lösung.
Grüße,
TB, ABBZ
Hatte den gleichen Mist auf meinem PC. Trennte das Welan vom Netz, nach Wieder-
anschluss war der Spuk verschwunden. Mit Avast-Virenscanner den PC durchforsten
lassen, bis heute keine Probleme mehr. Das Ganze ist jetzt 1/2 Jahr her.
Grüße
KK.
Hallo KK,
da hast Du Glück gehabt. Es gibt viele verschiedene Versionen dieses Trojaners. Einige sind relativ einfach zu entfernen, andere setzen sich erheblich hartnäckiger im System fest, oder zerstören sogar Daten aud den betroffenen Rechnern.
Deswegen: Daumen hoch, dass es bei Dir so gut geklappt hat, den BKA-Trojaner loszuwerden.
Grüße,
MW, ABBZ
Folge uns auf Facebook: http://www.facebook.com/botfrei
Also es gibt eine neue Version die sich mit einem VB Script direkt under Programm Data einnistet. Dort befindet sich auch ein Regfile der wohl die Registry austauscht.
In der RUN steht dann CTMon.exe c:\pramm…….und dann der Script name.
Einfach alles raus und es geht wieder…..
Jetzt bin ich 10 Jahre älter aber es läuft.
Schönen Tag
Hallo Bobbsel,
du hast den Virus am Start gehindert, aber überprüfe jetzt mit dem Tool Malwarebytes deinen Rechner, ob evtl. noch andere Infektionen auf deinem System sind. Wenn alles bereinigt ist schaue in diesen Bericht, wie du nachhaltig deinen Rechner absichern kannst.
Grüße,
TB, ABBZ
Ich hab Shell gelöscht hilfe
Bitte melde Dich bei uns im Support-Forum. Dort können wir Dir gerne weiterhelfen:
http://forum.botfrei.de/forumdisplay.php?28-Windows
Grüße, TK, ABBZ
Hallo Alen,
mit einer Systemwiederherstellung (rstrui.exe) setzt du den Zustand vor der Löschung zurück.
Grüße,
TB, ABBZ
Hallo,
zuerst einmal vielen Dank für diesen Artikel!
Nachdem ich zig Versuche unternommen hatte, und keine brauchbare Hilfe finden konnte – fast am verzweifeln war – habe ich über die Suche dann endlich Eure Seite und diesen Hinweis entdeckt, der mir mit einem Schlag, umfassend helfen konnte.
An diese Stelle,
nochmal vielen Dank aus München.
Stefan
Hallo. habe irrtümlich Shell komplett gelöscht. was kann ich jetzt machen?
Wende Dich bitte an unser Support-Forum: http://forum.botfrei.de. Die Kollegen helfen Dir gerne weiter!
Grüße,
TK, ABBZ
Hallo,
unter der Datei Shell steht schon Explorer.exe , habs dennoch mal zu explorer.exe geändert. Tat aber nichts zur Sache.
Dann bin ich über run gegangen und dort folgende auffällige Dateien im Wert und als solche gelöscht:
NvCplDaemon (Wert= RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup)
NvMediaCenter (Wert= RunDLL.32.exe NvMCTray.dll,NvTaskbarInit -login)
nwiz (Wert= C:\Programme\NVIDIA Corporation\nview\nwiz.exe /installquiet
Aber beim Neustart ist der Trojaner immer noch da. Wenn ich nun wieder in den Pfad blabla/windows/usw/run gehe sind die jeweiligen Dateien aber wieder da. Was habe ich falsch gemacht?
Bitte um Rat.
Gruß Pascal
Hallo pascal_kr,
es gibt nun einige Varianten von Ransomware, die nicht mit dieser Methode vor dem Starten gehindert werden können. Schau Dir bitte mal den Workshop zu HitmanPro.Kickstart an.
Grüße,
TB, ABBZ
Schau Dir bitte mal den Workshop zu HitmanPro.Kickstart an.
Hallo Zusammen
Mich hat es leider auch erwischt mit dem Virus. Ich bin eigentlich scho sehr weit gekommen und habe bei Shell die erforderlichen Sachen reingeschrieben.
Leider kann mittels shutdown -r -t 00 nicht heruntergefahren werden. Was kann ich in einem solchen Fall machen?
Wäre sehr sehr froh und eine Antwort.
Gruss Dennis
Hallo Dennis,
die shutdown.exe befindet sich in diesem Verzeichnis C:\Windows\System32. Gehe in das Verzeichnis und führe den Befehl nochmals aus.
Grüße,
TB, botfrei.de
Vielen Dank. Mit Ihrer Hilfe brachte ich mein Notbook wieder zum Laufen.
Vielen Dank, ich habe Windows Seven und bei mir hats funktioniert. Ich empfehle auch, diese Software um Probleme mit Office. http://www.office-fix.com/