Neue BKA-Trojaner Variante infiziert die explorer.exe

UPDATE vom 30. August 2012:

Bitte beachten Sie: Da es mittlerweile weitere Varianten des hier abgebildeten Schädlings gibt, welche optisch ein ähnliches oder identisches Erscheinungsbild haben, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.

Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter http://forum.botfrei.de wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.

Seit neuestem kursiert eine weitere BKA-Trojaner (UKASH) Variante 3, die die explorer.exe unter Windows mit einer infizierten explorer.exe austauscht. Hier stellen wir Ihnen zwei Anleitungen vor, mit Hilfe dessen Sie den BKA-Trojaner beseitigen können. Bei der ersten Variante ersetzen sie manuell die infizierte explorer.exe. Diese Anleitung wird jedoch nur für computererfahrene Benutzer empfohlen.
Allen anderen Benutzern empfehlen wir die Systemwiederherstellung (weiter unten) bzw. den automatischen Reparaturmodus mit Hilfe der Windows CD.

Achtung: Diese Lösung richtet sich nur an WindowsXP-Benutzer!

Windows 7 Benutzer lesen hier weiter.

1. Manueller Eingriff

Wenn Ihr PC infiziert ist, sehen Sie folgenden Bildschirm:

Abb.1

1. Starten Sie Ihren PC neu und drücken beim Hochfahren mehrmals die F8-Taste. Danach wählen Sie den “abgesicherten Modus mit Eingabeaufforderung“. Nach der Windows Anmeldung sehen Sie die Konsole (schwarzes Fenster). Dort geben Sie ein:

cd\
dir explorer.exe /s

Jetzt überprüfen Sie die Größe der gefundenen explorer.exe Dateien. Die Größe  von ca. 178.668 Bytes bedeutet, dass die explorer.exe im Windows Ordner infiziert ist. Die originale explorer.exe hat eine Größe von ca. 1.035.264 (ca. 1MB) und liegt im Cache Ordner “dllcache”. Sollte keine explorer.exe im dllcache Ordner vorhanden sein oder die explorer.exe eine Größe von ca. 178.668 Bytes haben, gehen Sie bitte zur Anleitung Systemwiederherstellung (unten).

Abb.2 (Zum Vergrößern klicken)

2. Geben Sie jetzt folgenden Befehl ein. Mit diesem Befehl überschreiben Sie die infizierte Datei mit der Originalen. Bestätigen Sie das Überschreiben mit “J”.

xcopy c:\windows\system32\dllcache\explorer.exe c:\windows\

Abb.3 (Zum Vergrößern klicken)

3. Danach überprüfen Sie erneut die Größe der Datei im Windows Ordner mit dem Befehl: “dir explorer.exe /s”. Sollte die Größe ca. 1.035.264 Bytes betragen, können Sie den PC herunterfahren. Hierzu geben Sie den Befehl: “shutdown -r -t 00” ein. Der PC fährt nun im normalen Modus hoch und die Reparatur ist hiermit abgeschlossen. Wichtig: Überprüfen Sie Ihren PC zusätzlich mit Malwarebytes.

Abb.3 (Zum Vergrößern klicken)

________________________________________________________________________

2. Systemwiederherstellung

1. Starten Sie den PC im “abgesicherten Modus mit Eingabeaufforderung”. Melden Sie sich an. In der Konsole schreiben Sie nacheinander:

cd\
cd windows\system32\restore
rstrui.exe

Abb.1 (Zum Vergrößern klicken)

2.  Wählen Sie in der grafischen Systemwiederherstellung “Computer zu einem früheren Zeitpunkt wiederherstellen”. Klicken Sie auf “Weiter”.

Abb.2 (Zum Vergrößern klicken)

3. Wählen Sie im Kalender ein früheres Datum zur Wiederherstellung aus. In der Liste erscheint der Eintrag zu diesem Datum. Klicken Sie auf “Weiter”.

Abb.3 (Zum Vergrößern klicken)

4. Im nächsten Dialog wird der von Ihnen gewählte Wiederherstellungspunkt angezeigt. Bestätigen Sie die Warnmeldungen, indem Sie auf “Weiter” klicken.

Abb.4 (Zum Vergrößern klicken)

5. Der Fortschritt der Systemwiederherstellung wird angezeigt. Der PC fährt automatisch wieder hoch.

Abb.5 (Zum Vergrößern klicken)

6.  Die Wiederherstellung ist abgeschlossen. Klicken Sie auf “OK”. Überprüfen Sie Ihren PC zusätzlich mit einem Anti-Viren Produkt, z.B. mit Malwarebytes

Abb.6 (Zum Vergrößern klicken)

Weitere Unterstützung bei der Bereinigung des BKA-Trojaners erhalten Sie in unserem Forum

77 thoughts on “Neue BKA-Trojaner Variante infiziert die explorer.exe”

  1. Danke für den Hinweis.
    War eine große Hilfe für einen verzweifelten Nutzer.
    Hat funkioniert. PC läuft wieder normal.
    Nochmals herzlichen Dank

  2. Hallo zusammen,

    gibt es eine noch neuere Version? Bei uns war die explorer.exe im Windows Verzeichnis, als auch die im dllcache die infizierten. Die richtige liegt bei uninstall, aber ich versuch es jetzt über die Systemwiederherstellung.

    Vielen Dank für die Tips

    1. Hallo Ty, es ist auf die Größe der explorer.exe zu achten. Ist diese nur ca. 175KB klein so ist das nicht die Originale explorer.exe . Die Originale explorer.exe ist ca. 1 MB groß. Im abgesicherten Modus mit Eingabeaufforderung sollten Sie die Schädliche durch die Originale explorer.exe austauschen.

      Gruß ABBZ

    2. Hallo Ty,
      hatte das gleiche Problem.
      Explorer.exe wie auch die dllcache hatten die gleiche falsche Größe.
      Die einzige richtige Größe stand in einem $…kryptische Zeichenfolge
      Verzeichnis. Scheint aus irgendeinem Windowsupdate zu stammen.
      War mir zu gefährlich.
      Da er beim Start mit Windows-Installations-CD zur
      Systemwiederherstellung eine Diskette verlangte, was bei meinem Läppi
      nicht geht, hab ich auch diesen Weg beerdigt.
      Habe dann den Weg über die beschriebene Dos-Box Systemwiederherstellung gewählt.
      Erinnerungen an die Dos-Zeit wurden wach. 😉 Bin mit C64 aufgewachsen.
      Hat super geklappt.
      Erstaunliche: Antivir war komplett ausgeschaltet nach der Wiederherstellung.
      Habe dann noch verschieden Virenscanner drübergeschickt.
      Es wurden noch 8 Trojaner gefunden mit der Software Malwarebytes.
      Vielen Dank an all die Helfer, die an ihren PC’s sitzen und uns
      Usern in solchen Fällen zu helfen.
      Gruß udo

    3. Hi Udo,

      ich habe das gleiche Problem, Antivir ist ausgeschaltet. Ich bekomme es aber auch nicht wieder aktiviert, der Schirm bleibt zu 🙁 wie hast Du dieses Problem gelöst??
      Vielen Dank jetzt schon.

      Gruss

      Siggi

  3. Ich hab alles oben benannte gemacht. Hab jetzt beide explorer.exe Dateien im Windows Ordner bzw. im dllcache. Allerdings ist der willkommen bildschirm von Windows ungewöhnlich lange zu sehen und danach erscheint mein Desktophintergrund völlig und es öffnet sich ein Fenster mit dem Hinweis das Explorer.EXE geschlossen werden muss.

    Ich hoffe man kann mir helfen.

  4. und noch ne frage: wie kann ich mir verstecke ordner und systemdateien anzeigen lassen? über den normalen weg mit ordneroptionen bei extras geht leider nicht, weil die explorer.exe nicht funktioniert.

    1. hab ich gemacht. zeigt mir jedoch immer noch nicht den dllcache ordner an 🙁

      könnte bitte jemand alle Einträge in der Registry aufführen, die dafür verantwortlich sind, was beim hochfahren gestartet wird? Ich hatte den Trojaner schon mal auf dem System, allerdings in einer früheren Version. Der lange “Willkommensbildschirm” zeigt mir, das sich irgendwas vor den Explorer schiebt, so dass der nicht gestartet werden. Ich hab mal geguckt und hab unter H Key Local Machine / Software / Microsoft / Windows / Current Version / Run Once den Eintrag *RESTORE mit Verweiß auf C:\WINDOWS\system32\restore\rstrui.exe -i gefunden, weiß aber nicht ob das etwas mit dem Problem zu tun hat.
      Und dann noch die Frage: Gibt es Einträge die nur im abges. Modus sichtbar sind und sonst verborgen werden?

      Vielen Dank im Voraus für eventuelle Hilfe

    2. Bitte wende Dich an unser Support-Forum unter http://forum.botfrei.de! Wir können Dir hier nur bedingt Support leisten, und haben dort einfach eine bessere Übersicht (erstelle für Dich mit allen Informationen dort einfach einen eigenen Thread) zu Deinem Problem.

      Deine Registrierung, sowie der Support ist auch dort selbstverständlich kostenlos.

      Grüße,
      TK, ABBZ

  5. Dieser Fehler erscheint wenn ich die Explorer.exe öffne:

    AppName: explorer.exe AppVer: 6.0.2800.1106 ModName: kernel32.dll
    ModVer: 5.1.2600.2945 Offset: 0000ae13

  6. Problem besteht weiterhin. Explorer.exe lässt sich über Task Manager öffnen, wenn der Shell Eintrag gelöscht wurde. Sobald ich aber wieder Explorer.exe bei shell eintrage, gibt es ne fehlermeldung vom explorer und er schließt sich. Weiß wer Rat?

  7. Hallo, ich habe das Problem mit dem Befehl sfc /scannow in den Griff bekommen. Einfach vorher den I386 Ordner auf C:\ reinkopieren und in der Registry auch dementsprechend den Zugriff ändern.

    Jetzt hab ich nur noch ein triviales aber dennoch nerviges Problem. Durch die Ausführung sämtlich Antiviren- und Optimierungsprogramme hat sich meine Schriftart irgendwie verändert sowohl im Explorer wie auch beim Browser. Die Wörter sind gedrungener und es besteht nur ein kleiner Abstand zwischen den Buchstaben. Oben im Browser in der blauen Leiste steht allerdings die normale Schrift, wie ich sie auch vorher hatte. Wenn jemand weiß wie man seine Schrift auf das Original nach einer Windowsinstallation setzen kann, wäre ich um Hilfe sehr dankbar.

  8. Hey Leute,

    ich hab mir den Dreck auch vor ein paar Tagen eingefangen. Habs schon mit der Rescue Disk von Kaspersky versucht, aber ohne erfolg. Jetzt hab ich es so versucht wie oben beschrieben. Bei mir hatte die Datei eine Grösse von 165.376 Bytes. Als ich den Befehl eingab zum überschreiben, zeigte er mir an das er eine Datei kopiert, aber als ich die Grösse dann nochmals überprüfte war sie immer noch auf 165.376 Bytes…..Was hab ich falsch gemacht??? Hoffe ihr könnt mir helfen, bevor ich noch verzweifle…..
    bin nich soo fit, was Pc´s angeht, hoffe auf “einfache” vorschläge von euch!

    achso, ich hab Win XP….falls die Info benötigt wird….

    Danke für eure Bemühungen

    1. Danke für die schnelle Antwort !

      Systemwiederherstellung hab ich gestern auch noch versucht…….aber vergebens. Hatte den frühesten Zeitpunkt gewählt wie möglich und das war vor knapp ner Woche, aber definitiv bevor ich den Infekt hatte. Als danach Windows startete war dieses schei** Bild immer noch zu sehen….

      mein Problem ist, das ich die Windows-Cd nicht mehr hab…sonst hätte ich es damit so ziemlich als erstes versucht……

      was kann ich da jetzt tun??

  9. Smokey, ich hab mich auch ewig damit rumgeärgert und letzten Endes hat es der Befehl sfc / scannow über den Task Manager bei mir wieder hinbekommen. Bei der Aufforderungen zum einlegen der Windows CD einfach auf Abbrechen klicken und das wiederholen bis der balken durchgelaufen ist. Hoffe das hilft dir.

  10. Die Explorer Exe hab ich gelöscht bekommen in dem ich nen zweites Windows auf ner anderen Partition erstellt habe und von dort aus die Explorer.exe mit dem frisch installierten windows ersetzt habe.

  11. Also, wenn ich es über “Abgesichter Modus mit Eingabeaufforderung” starte und den Befehl “sfc / scannow” bei Neuer Task ausführen eingebe, geht nur ganz kurz ein kleines Fenster auf und verschwindet direkt wieder…

    wenn ich es NICHT über Task-Manager, also in dem Fenster der cmd.exe hin schreibe, bekomm ich nur den Satz, “Überprüft alle geschützten Systemdateien und ersetzt falsche Versionen mit Microsoft-Originalversionen” zu sehen und darunter steht eine Liste mit den zusätzlichen Befehlen…..
    Muss ich vor dem sfc / scannow noch irgendwas anderes eintippen??
    Oder hat der das jetzt korrigiert??

    1. Um Dir individuell weiterhelfen zu können, möchten wir Dich bitten, dass Du Dich in unserem kostenfreien Support-Forum unter http://forum.botfrei.de anmeldest und einen eigenen Thread zu Deinem Thema aufmachst.

      Dort ist es für uns leichter, als hier gezielt auf Dich & Dein Problem einzugehen.

      Grüße,
      TK, ABBZ

  12. Smokey, wir haben genau das gleiche Problem. Wenn ich über die Konsole das mit dem Kopieren eingebe, zeigt es zwar an kopiert, aber nichts ist, es sind 4 Sätze. Die zwei mit dem Windowsverzeichniss haben 178.000 und die mit $ haben haben die 1.035.000 byte . Die Systemwiederherstellung kann ich nicht über die Konsole nur über den Task-Manager ausführen, aber auch hier kommt immer der Virus. Die Eingabe von “sfc / scannow” über den Task-M. funktioniert auch nicht, ein kleines Fester öffnet sich und schließt sofort wieder. Ein Glück habe ich die CD mit der software auch nicht mehr -.- . Lese hier noch bisschen weiter und wenn nichts wirkt dann kommt der Onkel Hammer der Laptop ist eh von 2006… Danke für Eure GUTEN Beiträge schöne Seite. LG Philipp

    1. Hallo Phillip,

      sich für Dich der Hinweis auf unser Forum unter http://forum.botfrei.de! Registriere Dich dort kostenlos und erstelle zu Deinem Problem einen eigenen Thread.

      Wir und die botfrei-Community helfen dort gerne weiter.

      Grüße,
      TK, ABBZ

  13. Bei mir hat die explorer.exe Datei in beiden Verzeichnissen die Größe von 165.376 Bytes. Austauschen klappt also nicht. Die Systemwiederherstellung bringt leider auch keine Besserung obwohl in Datum deutlich vor Befall gewählt habe. Da ich ein Netbook benutze ohne CD-Laufwerk kann ich nicht mit der Windows-CD booten.
    Welche Möglichkeit bleibt mir?
    Danke für die Hilfe!!!

    1. Hallo Leon, evtl. auf einem anderem Rechner die Windows Boot CD einlegen. Dann über CMD CDLaufwerk zB. expand d:\i386\explorer.ex_ c:/explorer.exe /y
      Dann die entpackte explorer.exe auf den Stick kopieren.

      Gruß ABBZ

  14. Hallo, ich bin von dem GEMA Virus befallen und komme mit euren Tipps nicht weiter, da ich weder in der Eingabeaufforderung im Modus etwas eingeben kann – es blinkt, aber die Tastatur reagiert nicht – noch habe ich eine Windows xp cd um zu booten (habe ein Netbook). Was tun?

    1. Hallo Loona,

      um Dir individuell weiterhelfen zu können, möchten wir Dich auf unser Support-Forum (http://forum.botfrei.de) verweisen. Dort ist es für uns weitaus einfacher, als hier mit Dir an einer Lösung zu arbeiten.

      Grüße,
      TK, ABBZ

  15. Hallo,
    ich habe mir heute diesen tollen Trojaner eingefangen….
    Die erste hier dargestellte Lösungsmöglichkeit hat nicht funktioniert, es wurde schlichtweg nach der dargestellten Eingabe keine Größe für die Explorer Datei angezeigt. Dafür hat die Systemwiderherstellung geklappt.
    Also vielen Dank an die Betreiber und Mitwirkenden dieser Seite.
    Grüße Martin

  16. Hallo, Danke, diese Seite hat meinen Alt-XP gerettet. (Infiziert am 6.11.2010)

    Aber Achtung: dir \s hat bei mir zwei falsche explorer.exe gefunden:

    c:\windows\explorer.exe
    c:\windows\system32\dllcache\explorer.exe !!!falsche!!

    Eine gute version zum drüberkopieren war unter:

    c:\windows\servicepackfiles\i386\explorer.exe

    Der Rechner war sofort seit der Infektion offline. Jetzt scannt gerade Microsoft security essentials (kostenlos!). Danach will ich online gehen und den Virenscanner aktualisieren.

  17. Ich hatte bereits 2 x dieses Vergnügen. Die Variante heute am 10.11.2011 ist eigentlich recht einfach zu beseitigen.
    In der Registry ist unter
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon im Eintrag Shell= normalerweise die Explorer.exe eingetragen
    Der BKA-Trojaner legt jedoch eine Datei namens mahmud.exe oder auch die oben genannten 2 Versionen
    unter C:\Dokumente und Einstellungen\%Name-User%\Anwendungsdaten ab und trägt diese in der “shell=” ein.
    Beseitigung ganz einfach:
    Abgesicherter Modus mit Eingabeaufforderung: Die Datei mahmud.exe im o.g.Verzeichnis löschen . Dann unter c:\Windows die regedit.exe aufrufen und in o.g. winlogon/shell= explorer.exe eintragen.
    Dies hat bereits 2 x bei mir funktioniert.
    die Explorer.exe sollte man aber vorher wie auf dieser Seite beschrieben auf die richtige Größe kontrollieren.
    …und jetzt — viel Erfolg !

  18. Hallo, ich habe die erste methode probieren wollen. Bei mir steht da aber anstatt c: immer C:\Windows\system32 hat das was zu bedeuten. Lasse momentan erstmal den DE-cleaner laufen der mir aber extremst langsam vorkommt

    1. Schauen Sie bitte vorher nach, ob der BKA-Trojaner wirklich die “explorer.exe” infiziert hat bevor sie diese Anleitung benutzen. Testen Sie dies mit dem “abgesicherten Modus mit Eingabeaufforderung” und starten Sie im DOS-Fenster die “explorer.exe”. Wenn der BKA-Trojaner dann erscheint ist diese wirklich infiziert, andernfalls schauen sie bitte hier.

  19. Hi, ich hab ein anderes Problem. Meine Tastatur reagiert nicht (USB-Funk). Habs auch schon mit Keyboard mit USB-Kabel versucht ohne Erfolg.
    Also wenn der Rechner startet reagiert er nicht auf die F8 Taste und wenn die Variante kommt mit den Pfeiltasten den abgesicherten Modus auszuwählen und zu starten passiert auch nichts. 🙁

    Wenn Windows dann aber normal geladen hat reagiert wieder alles, aber dieses blöde Bild geht auf und nichts mehr geht. Der Task-Manager lässt sich bei meinem Win7 zwar öffnen, verschwindet aber gleich wieder hinter diesem Bild.

    1. Hallo,
      eine kabelgebundene Tastatur muss funktionieren. Probiere doch bitte eine andere Tastatur von einem Nachbarn oder Bekannten.

      Gruß
      MG
      ABBZ

    2. Hallo,
      habe das gleiche Problem wie adamos. Es funktioniert keine Tastatur, habe unterschiedliche benutzt und bios einstellungen überprüft. Nachdem ich F8 drücke, funktioniert nichts mehr, erst wieder wenn Windows gestartet ist. Komme dadurch in keinen abgesicherten modus!
      Danke für die Hilfe

    3. Hallo JH,

      das scheint ein spezielles Problem zu sein. Für eine individuelle Bereinigung kannst du dich kostenlos in unserem Support-Forum anmelden. Unsere Experten helfen dir “Schritt-für-Schritt” bei der Bereinigung deines Rechners.

      Grüße,
      CG (ABBZ)

  20. Hallo, ich habe das gleiche Problem jedoch habe bei mir die Datei explorer.exe im beiden Ordner die Größe 1.036.800 also kann es ja das nicht sein oder irre ich mich da? das problem bestand nach pc neustart weiterhin und wenn ich den befehl zum kopieren eingebe findet er den fahrt nicht zu der datei

  21. Hi,
    Ich hab Vista als Betriebssystem … Soll ich jetzt die XP Variante oder die Windows 7 variante benutzen ? Oder gibt’s noch was anderes ?
    Brauch dringend Hilfe!! 😉

    1. Hallo Brömmel,

      bitte wende Dich in diesem Fall an unser Support-Forum: http://forum.botfrei.de! Wir können hier auf dem Blog keinen individuellen, hochwertigen Support leisten … das würde zu unübersichtlich werden für uns!

      Grüße,
      TK, ABBZ

  22. Hallo,
    ich habe die Meldung wie oben beschrieben eingegeben. Mein Monitor auf dem Computer hat aber eine leicht abgeänderte Zahlungsmeldung dort soll ich per Paysafe zahlen und unten eine PIN eingeben.
    Als Antwort auf meine Eingabe schreibt der PC:
    Volume in Laufwerk C: hat keine
    Bezeichnung. Volumeseriennummer

    eine ganze weile später zeiigte er erst die Größe der Datei an. Danach funktionierte alles wie beschrieben. ich probiere jetzt ob er wieder läfut. Wenn ja: Vielen Dank!

  23. Habe auch diesen trojaner auf vista.
    also bei shell steht schon explorer.exe drin.
    habe jetzt die größe der datei überprüft und siehe da hab 2.926.592 bytes. das is doch okay oder? Was kann ich noch machen. danke

  24. Hilfe!!
    meine beide explorer haben bereits die richtige größ und ich habe auch mehrmAL DIE SYSTEMWIRDERHERSTELLUNG PROBIERT ber es klapt nicht……
    was kann ich noch tun??? es ist 100 % der BKA-Trojaner!! Ukash und auch das obrige bild stimmen überein.

    1. Hallo NB,

      gerne helfen wir Dir individuell weiter. Registriere Dich hierzu bitte in unserem kostenfreien Support-Forum (http://forum.botfrei.de) und erstelle einen Beitrag mit allen für uns relevanten Informationen.

      Bis dahin,
      TK, ABBZ

  25. hallo ich hatte den gleichen virus bei mir hab ich ihn super weg bekommen allesdings hat eine freundin nun auch diesen virus ich habe versucht ihn bei ihr zu löschen allerdings lässt mich der rechner nicht in den abgesichterten modus soballt ich in den abgesicherten modus will komm ich automatisch wieder auf die seite wo ich aussuchen kann in welchem modus ich den rechner hochfahren möchte ich weiß einfach nicht weiter.
    kann mir bitte jemand helfen

  26. Servus, hatte den GEMA Trojaner auf meinem Laptop mit Windows XP. Habe ab Punkt zwei den Anweisungen gefolgt und alles läuft wieder. Viiiieelen Dank

  27. Guten Tag,

    mein XP wurde gestern leider auch vom GEMA-Trojaner infiziert. Das Problem bei mir liegt jetzt daran, dass ich kein Safe Mode starten kann. Es gibt immer eine Fehlermeldung und nur normaler Start ist möglich..
    Kann mir bitte jemand bitte helfen?
    Ich habe noch ein Gema removal tool im Internet gefunden, wird es helfen?

    Grüße
    Jelena

    1. Hallo Jelena,
      wie schon gesagt, können wir hier im Blog keinen Support geben. Bitte melde dich im forum.botfrei.de an.

      Gruß ABBZ

  28. Hallo!
    Also die überprüfung habe ich gemacht und ich habe hier keine infizierte Datei vorliegen.
    Wenn ich jetzt den Befehl “xcopy c:\windows\system32\dllcache\explorer.exe c:\windows\” einegeb kommt bei mir “Datei explorer.exe nicht gefunden”

    Ich bitte um hilfe 🙂 Danke schonmal !

  29. hier mal ein Auszug aus dem Forum von Avira ,es gibt eine ganz neue Variante wieder wie es ausschaut ,von dem BKA Trojaner :

    Moinsen,
    ich hatte vor 2 Tagen Besuch von Ukash… 🙁
    Es war ‘ne ziemlich neue Variante, Datum der .exe war, glaube ich, der 26-02-2012. Im Gepäck hatte er dann auch noch die “Skype.exe” und vorsichtshalber auch noch die “Lvvm.exe”.

    lg

  30. Hab hier eine ganz rabiate Art bei mir gefunden. Sobald man in den abgesicherten Modus will startet sich der Rechner neu. Der Adminsitrator wurde komplett auf Gastlvl gesetzt. Welche Datei der übeltäter ist kann ich bis dato noch nicht sagen, aber aktuell sieht es so aus, als gäbe es keinen Weg ins System rein. Die Version hier ist eiskalt, entweder alle Daten weg oder suchen.

  31. VIELEN DANK für die Hilfe! Als verzweifelter Laie, der jedoch auf seine Dateien angewiesen ist, war ich kurz vor dem Nervenzusammenruch. 🙂

  32. Hi,

    bei der Überprüfung der Dateigröße, hat sich ergeben das beide Dateien ca. 1GB groß sind, also nicht infiziert, oder?
    Habs aber trotzdem wie oben beschrieben versucht und neu gestartet. Die malware von der “Bundespolizei” erscheint immer noch.
    Habs dann mit der Systemwiederherstellung versucht, er findet aber kein Datum zum zurücksetzen. Was kann ich noch machen?

  33. Hallo,
    ich habe zunächst probiert nach der Anleitung vorzugehen, aber nach Schritt 1 ergibt sich schon folgendes Problem: Es werden 2 explorer.exe angezeigt, eimal 1.036.800 Bytes und einmal 1.035.264 Bytes groß, also nicht mal annähernd so klein wie die infizierte explorer.exe ….
    Ist eine der beiden nun trotzdem infiziert oder was soll ich jetzt tun?

  34. ich hab windows 7 , das sieht da gaaanz anderst aus!!!!
    des sagt dir nur an welcher datei des liegt und fragt dich ob sie die runterschmeisen und ne systemwiederherstellung machen darf!!!! des dauert ewig und helfen tut es nix!!!! Hilft wohlnur bei windows XP

  35. Danke … es hat geklappt , ich habs einfach weiter zurückgesetzt und die dateien von dem trojaner gelöscht bekommen … DU HASTS DRAUF MANN!!!!!!

  36. hallo,

    bei mir gibts keine console bzw cmd wenn ich mit eingeaufoderung starte (abgesicherter modus) …. ist das ein bekantes problem ?
    was kann ich tun ?

    1. Hallo Alex,
      starte den abgesicherten Modus mit Eingabeaufforderung….
      Wenn du Hilfe brauchst, melde dich bitte in unserem kostenfreien forum.botfrei.de an.

      Gruß ABBZ

  37. Hallo zusammen,
    Ich habe den punkt 2 (systemwiederherstellung) wie beschrieben durchgeführt. Jedoch nach neustart des pc die meldung erhalten, das die systemwiederherstellung aufgrund eines fehlers nicht durchgeführt werden konnte. Folglich bin ich jeden einzelen step erneut durchgegangen, nur leider habe ich auf einmal keinen “wiederherstellungszeitpunkt” mehr!

    Was nun? Danke für eure hilfe!

    1. Hallo Achim,
      es ist schon möglich das diverse Malware den abgesicherten Modus zerstören, bitte melde dich doch kostenfrei in unserem http://forum.botfrei.de, dort werden Experten deinen Rechner “Schritt für Schritt” überprüfen.

      Gruß ABBZ

  38. Hallo Leute,

    ich habe im Laufe des Löschvorgangs aus Versehen (ist mir klar, dass es bescheuert war) den registry-Eintrag Shell mit dem Wert explorer.exe gelöscht und bekomme jetzt laufend den Hinweis meines Anti-Virus-Programms (Avira) den Hinweis, dass meine Registry geblockt wird, da ein Eingriff versucht wird.

    Was kann ich machen? Habe meine original Windows 7 CD verlegt..

  39. Hallo,
    obwohl ich mit G-Data kostenpflichtig immer auf dem aktuellen Stand halte, hat auch mich dieser fiese Trojaner erreicht. Dank Eurer Hilfe hab ich es mit der Systemwiederherstellung scheinbar wieder hinbekommen. Virenscan läuft grad noch durch. Welche Datei müsste vom Virenscanner als gefährlich erkannt werden, damit man die in Quarantäne bzw. löschen kann? Vielen Dank für Eure unermüdliche Arbeit und Hilfe! 🙂

Kommentare sind geschlossen.