Autostarteinträge unter Windows Vista/7 mit Hilfe von “msconfig” entfernen

Viele Schadprogramme nisten sich im Autostart von Windows ein und werden bei jedem Neustart mitgeladen. So zum Beispiel auch einige Versionen des BKA-Trojaners, die mit dieser Möglichkeit die Vorschaltseite beim Windows-Start einblenden und somit die Eingaben des Anwenders blockieren.

Wir zeigen Ihnen hier, wie Sie mit Hilfe des Programms “Microsoft Systemkonfiguration” die lästigen Einträge aus dem Autostart entfernen können und den Start dieser Programme verhindern:

1.) Starten Sie den Rechner neu und booten Sie mit Hilfe der F8-Taste in den “abgesicherten Modus mit Eingabeaufforderung“.

Die “erweiterten Startoptionen” von Windows 7

2.) Geben Sie folgendes in die Kommandozeile ein:

msconfig

3.) Es öffnet sich die Systemkonfiguration von Microsoft. Klicken Sie auf den Reiter “Systemstart“. Hier sehen Sie nun die Programme, die beim Systemstart geladen werden. Überprüfen Sie die Einträge! Sie erkennen solche Schadprogramme oftmals schon an der Namensgebung. Meistens haben sie eine konfuse Kombination aus Zahlen und Buchstaben, manchmal tarnen Sie sich jedoch mit ähnlich klingenden Namen von Systemprogrammen. Wenn Sie sich bei einem Eintrag nicht sicher sind, überprüfen Sie auch den Hersteller! Wenn dieser “Unbekannt” ist, sollte Sie das stutzig machen. Unter “Befehl” steht der Pfad zum Programm.  Hier sind alle Programme schon verdächtig, die mit “C:\Users\…” anfangen.

4.) Entfernen Sie jetzt den Haken beim Schadprogramm und klicken Sie unten auf “OK”.

In unserem Beispiel mit einer Version des BKA-Trojaners heisst der Plagegeist “os24fcsw.exe”. (Achtung, der Name beim BKA-Trojaner kann hier variieren!)

Die Systemkonfiguration mit den Startprogrammen

5.) Setzen Sie den Haken bei “Diese Meldung nicht mehr anzeigen” und klicken auf “Neu starten”.

6.) Nach dem Neustart sollte das Schadprogramm, in unserem Fall die Startseite des BKA-Trojaners, nicht mehr mitgeladen werden. Denken Sie daran Ihr System nach diesem Vorgang ausgiebig zu scannen, da sich immer noch Reste des Schädlings auf dem System befinden! Wir empfehlen Ihnen für die Bereinigung entweder Malwarebytes Anti-Malware oder Superantispyware. Sollte nach dem Scanvorgang das Schadprogramm in dem angegebenen Pfad aus der Systemkonfiguration (s.o.) nicht gefunden werden, löschen Sie dieses manuell.

 Hinweis: Sollten Sie Hilfe benötigen, registrieren Sie sich kostenlos in unserem Support-Forum.

105 thoughts on “Autostarteinträge unter Windows Vista/7 mit Hilfe von “msconfig” entfernen”

  1. Danke! Hat klasse geklappt auch bei dem Trojaner mit dem anderen Look. Die Dateien warn bei mir eher versteckt. Ich beseitze einen HP Computer und alle Programme von HP gehn unter HP Company und der Virus hat sich unter HP versteckt. Aber tausend Dank an meine Retter!

  2. Hallo, habe Stunden versucht, den Rechner meiner Tochter zum Laufen zu bringen, der Cleaner von Avira hatte nach Stunden nichts gefunden, SuperAntiSpyware hat zwar unter users/appdata/mircosoft/pack1.exe und pack2.exe 2 Trojaner gefunden und eliminiert, aber beim Hochfahren war ukash immer noch da. Jedoch die Lösung mit msconfig und Überprüfung der Programme beim Systemstart hat geholfen, es war hier die Datei mahmut.exe, die ich deaktiviert habe. Jetzt lasse ich mal einige Virenscanner laufen und werde sehen. Im Momen läuft der Rechner, vielen Dank, das war sehr hilfreich!

  3. Hallo, Malwarebytes-antimalware hat jetzt tatsächlich den in der Systemkonfiguration stehenden Eintrag mahmud.exe (vorhin hatte ich mahmut.exe geschrieben) unter C:\user\uwe\applicationdata\microsoft\mahmud.exe gefunden und eliminiert. Im Systemstart war der von mir vorher (nach euren Angaben) deaktivierte Entrag dann auch gelöscht. Als Hersteller wurde backdoor.agent angegeben.

    Nochmals vielen Dank, eure Page ermöglicht es einem normalen User, dieses unangenejme Problem (hoffetnlich) zu lösen. Liebe Grüße, Uwe

  4. Vielen Dank! Nach mehreren Stunden des Internet durchstöberns und Ratschläge befolgens, bin ich nun hier gelandet. Auch bei mir hab ich durch die msconfig die Datei mahmut.exe ausfindig machen können. Funktioniert alles wieder hervorragend, kann diese Methode nur empfehlen, vor allem da sie auch nur ein paar Minuten Zeit in Anspruch nimmt.

    Ich hoffe dass diese Seite noch einigen anderen Usern mit diesem Problem weiterhilft.
    LIebe Grüße, Lars

  5. Hallo, vielen Dank,
    Habe meinen Rechner erstmal wieder am laufen.
    Es hing eine wirre Zahlenkombination an.
    Werde meinen Systembetreuer informieren.

    MfG
    Dirk

  6. Hi,

    habe einen ähnlichen Fall. Nur bei mir kommt die Meldung, dass meine Windows Kopie nicht echt ist.. und auch die Aufforderung zur Zahlung mit paysafe card.

    Leider komme ich selbst bei Klicken auf den abgesicherten Modus mit Eingabeaufforderung nur zu dem besagten Startbildschirm. Also ich habe nicht die Möglichkeit irgendwo msconfig aufzurufen. Mittlerweile komme ich selbst bei Drücken der F8 Taste nicht mehr in das Menü, wo man in den abgesicherten Modus wählen kann?!?! Wenn Ihr noch Ideen habt danke, wenn nicht such ich mir schon mal nen gescheiten Informatiker 😀

    beste Grüße!!

    (und nehmt ma die Animationen von der Seite 🙂 der Rechner an dem ich grad sitze schafft das nur sehr schwer 😛 )

  7. evtl mag mich ja einer von den “chefs” im skype adden. da können wir das zeitnah besprechen 🙂 meine email adresse habt ihr ja da würd ich euch dann den nick mitteilen um das zu klären.. sry bin leider kein pc crack 🙁

  8. Hi. Hab hier denLappi von nem Kumpel, der wohl auch mit der neuen Mutation wie bei Tobi infiziert ist. Die läßt einen nicht in den abgesicherten mit Eingabeaufforderung. Da bootet immer das Desktop mit und dann natürlich gleich der Virus mit. Jemand ne Idee bevor ich die ganze Kiste platt mache?

    Danke schonmal im voraus.

    MfG Marc

  9. Hallo Leute,

    bin soeben über eine weitere Version gestolpert, die nicht von Antivir erkannt wurde. Die Datei lautete vvifm424 im Verzeichnis /Users/../AppData/Roaming/ . Problem durch Löschen hoffentlich behoben

  10. vielen liebe dank für die (einfache, idiotensichere, super!) hilfe! es hat sofort funktioniert.

  11. Vielen, vielen Dank für die Hilfe!! Ihr habt mir den Tag gerettet!
    Hat gleich geklappt. Bei mit wars auch ne Zahlen- und Buchstabenkombination mit unbekanntem Hersteller. Werd jetzt noch ein paar Scans durchlaufen lassen und über ne Neuinstallation nachdenken.

    Liebe Grüße,
    Sandra

    1. Hallo Sandra,

      überprüfe auf jeden Fall die Aktualität der Software auf Deinem Rechner. Auch wenn Du den Trojaner nunmehr von Deinem System entfernt haben solltest, ist die Sicherheitslücke über die er auf Deinen Rechner kam vermutlich noch offen. Wir bieten auf einem Blog unter: https://blog.botfrei.de/2011/06/ist-ihr-system-aktuell-hier-konnen-sie-ihren-windows-rechner-testen/ einen Online-Check an, welcher Dich über fehlende Updates informiert!

      Grüße,
      TK, ABBZ


      Folge uns auf Facebook: http://facebook.com/botfrei

  12. Hallo,
    Bei mir Klappt es zwar Immer… Aber kaum Surfe ich 2-3H im internet kommt der wieder ging Jetzt ne Woche gut aber dann jetzt wieder 2 Tage hintereinander. Kennt jemand guten (Kostenlosen) Viren Schutz??? Oder kommt der Trojaner durch alle Schutz Programme?
    (BKA Trojaner/Virus)
    Gruß

  13. Hallo zusammen,

    als Laie mache ich es kurz – VIELEN DANK für diese tolle Hilfe, mein Rechner läuft wieder.

    Guten Rutsch den Helfern

  14. Guten Tag, ich habe es geschaft noch waehrend der infektion ins Internet zu kommen und lese diese riesen Hilfe hier! Ich habe einen Win7 Betriebssystem, begebe mich gleich in die Hoehle des Loewen, starte also den Rechner neu. Wenn es geklappt hat schau ich hier nochmal vorbei und erstatte bericht, wenn nicht dann auch.

    MfG Marcel
    PS. wuenscht mir Glueck 😉

  15. Hallo,
    wie kann ich im Support-Forum ein neues Thema eröffnen?
    ich habe mich registriert, werde auch als angemeldet bezeichnet, bei dem klick auf ‘Thema erstellen’ bekomme ich die Meldung, daß ich dafür nicht die erforderlichen Rechte hätte. ???

    das Problem, das ich schildern wollte, ist folgendes:
    ich hatte gestern auch diesen BKA Trojaner auf dem Rechner. er sah aus wie die Version 1.02 – war allerdings nicht 100% identisch. irgendwie stand auf der rechten Seite, daß man auch bei Rossman zahlen könne – oder so ähnlich.
    ich habe reflexartig den task Manager aufrufen wollen,was allerdings nicht funktionierte. daraufhin habe ich den Rechner mit der On / Off Taste runtergefahren.
    an einem 2.Rechner habe ich dann Eure genialen Hilfen angeschaut & die jeweiligen Schritte im abgesicherten Modus befolgt (für Version 1.02). allerdings wiesen die Shell Einträge keine fehlerhaften Einträge auf. daher habe ich danach versucht über die msconfig Version den Fehler zu finden. auch hier schien irgendwie alles ok zu sein. kein iexploer.exe oder ähnliches….
    da ich dann nicht mehr sicher war, welche Version des Trojaner’s ich mir eingefangen hatte, habe ich den Rechner runtergefahren, neu gestartet, um mir die Version nochmal anzuschauen. und oh Wunder – der Sperr-Bildschirm erschien nicht mehr… sehr seltsam. ich konnte ganz normal mit dem Rechner arbeiten. habe daher sofort Malware Byte laufen lassen. nach gut 2h hat der Scan folgende Bedrohung gefunden & gelöscht.

    Infizierte Speicherprozesse: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien: 1
    C:\Users\xxxxx\AppData\Local\Temp\wpbt0.dll (Trojan.Zbot.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    ich weiß nicht, ob dieser Fund etwas mit dem BKA Trojaner zu tun hat, außerdem bin ich unsicher, ob ich den “Mistkerl” tatsächlich los bin.

    was soll ich als nächstes tun?
    wie gesagt – der rechner scheint zu funktionieren – ich traue dem Braten aber nicht..

    Vielen Dank vorab,
    Michimann

    1. Hallo Michimann,
      um ein Thema im Forum zu erstellen, musst du die Registrierung abschließen mit der Email die du bekommen hast. In der Email ist ein Link enthalten, den du aktivieren musst. Hier im Blog können wir deine Logdatei nicht analysieren. Das würde den Rahmen des Blogs sprengen.

      Gruß ABBZ

  16. Hi,
    das ist seltsam. ich habe den link in der e-mail aktiviert. danach bekam ich die Bestätigungsmail, daß die Registrierung abgeschlossen sei.
    ich kann mich ja auch im Forum einloggen – allerdings bei der Erstellng des Themas unter FAQ.. bekomme ich folgende Meldung:

    michimann, Sie haben keine Rechte, um auf diese Seite zuzugreifen. Folgende Gründe könnten z.B. dafür verantwortlich sein:

    Sie versuchen, den Beitrag eines anderen Benutzers zu ändern oder auf administrative Funktionen zuzugreifen. Überprüfen Sie bitte in den Forenregeln, ob Sie diese Aktion ausführen dürfen.
    In diesem Forum darf auf einen bestehenden Beitrag nur der Themenersteller oder die Moderatoren antworten. Erstellen Sie bitte ein neues Thema.
    Wenn Sie versucht haben, einen Beitrag zu schreiben, kann es sein, dass Ihr Benutzerkonto deaktiviert wurde oder noch aktiviert werden muss.

    Man sieht auch, daß ich eingeloggt bin, da ich direkt angesprochen werde.
    muß ich etwas anderes machen, um ein Thema zu eröffnen?

    Danke & Gruß,

  17. Hallo!!! Ich brauche dringend Hilfe…
    Ich hab auch grade das Glück so einen Virus zu besitzen….mehr oder weniger…
    Ich habe diese Schritte befolgt und habe ihn immernoch drauf….
    Was ich schon merkwürdig fand war das ich keine komischen zahlen buchstaben hatte wie z.B. “os24fcsw.exe” oder auch “mahmud.exe”. Ich fand an den anderen programmen nichts merkwürdiges und hab trotzdem ein paar weggeklickt und trotzdem erscheint beim neustart diese meldung…
    hat jemand eine ahnung was ich falsche mache oder dasselbe problem gehabt? vielen dank im vorraus!!!

    1. Hallo VR,
      schau mal auf die Seite http://www.bka-trojaner.de suche deine Infektion und arbeite die Anleitung ab. Wenn du Hilfe brauchst, melde dich kostenfrei in unserem forum.botfrei.de an, dort werden Experten bei der Lösung helfen.

      Gruß ABBZ

  18. Tach auch, ich konnte das schädliche Programm mit Hilfe des “maleware antimale” Programms entfernen. Ich lud es im “abgesicherten Modus mit netzwerktreiber” runter.
    Dann führte ich es auch dort aus.

  19. hallo,

    habe alle aelteren beitraege durchgesucht und bin schon seit 5 stunden am googeln und finde immer noch keine loesung su meinem problem.
    es errschein wie bei den anderen die gleiche meldung mit dem paykontomist!
    habe bei der msconfig die problemdatei nicht gefunden und einfach alles deaktiviert und neu gestartet.nun bleibt zwar der urspruengliche bildschrim mit dem gemamist aus jedoch haengt der desktop bei einem weisen bild mit “keine internet verbindung”!kann den taskmanager nicht starten und nichts oeffnen
    wenn ich den pc auschalten will dan kommt vollgende meldung:
    aerhy5e4u verhinder das herunterfahren!!!

    waere super wenn ihr mir schnell helfen koennten!habe eine seminararbeit fertig zu schreiben:(

    gruss josef

    1. Hallo Josef, wenn du ein neues Thema im Forum erstellt hast, wird dir zeitnah geholfen.
      Bitte um Geduld.

      Gruß ABBZ

  20. Hallo,

    habe mir die von euch beschriebene Version 3.04 der BKA Trojaner Abwandlung eingefangen. Allerdings öffnet sich das Fenster nur bei einer bestehenden Internetverbdingung mit Firefox.
    Habe nicht auf das bezahlen Symbol geklickt, sondern die Internetverbindung sofort gekappt und PC ausgeschaltet. Danach konnte ich bei weiterhin gekappter I-Net Verbindung den PC ganz normal hochfahren (also ohne Abgesicherter Modus).

    Ich bin ein völliger Laie auf dem Gebiet der Viren und habe instinktiv einfach mal den CCleaner angeschmissen um den Cache zu löschen. Komischerweise hat der den Firefox Cache nicht gelöscht, weil angeblich der Browser aktiv war. War er aber nicht! Habe dann im Task Manager einen Prozess namens Firefox helper gefunden und den geschlossen. Danach ging die Cache Bereinigung problemlos.
    Interessanterweise hatte ich das noch nie vorher, erst seitdem dieser Virus sich zum ersten Mal bemerkbar gemacht hat.

    Habe dann einen Autostart Prozess von Firefox über msconfig gesucht und auch gefunden. Die Datei ist folgendermaßen hinterlegt: C:\Users\Christian\AppData\Local\Mozilla\Firefox\firefox.exe
    Habe mir jetzt Norton gekauf (vorher Avira gratis) und diese Datei in die Quarantäne gesetzt. Seitdem ist der Autostart Prozess geblockt und der Virus hat sich nicht mehr gemeldet.

    Kann es sein, dass der Trojaner als diese Firefox Datei getarnt ist und man ihn deswegen nicht so leicht findet?

    Besten Gruß
    Christian

  21. Hallo,

    Ich habe diesen Trojaner gestern Abenr bekommen. Auf der Seite blog.Vorfreude habe ich dann die Anleitung wie beschrieben durchgeführt. Habe mir dann den Superantispyware heruntergeladen und er hat ziemlich viele Viren gefunden. 121. Danach habe ich auch wie auf der Seite empfohlen alles gelöscht. Kuh dachte dann wäre es somit erledigt. Bis ich vor ner halben Stunde im inet unterwegs war und diese Nachricht kam wieder. Dann habe bin ich hier drauf gestossen. Aber unter den autostart befindet sich nichts außergewöhnliches. Ich kenne mich mit PCs gar nicht aus. Im autostart befindet sich eine Datei die nennt sich ffdwnd. Keine Ahnung was das ist aber kommt mir suspekt vor. Kann mir jemand helfen?

  22. Ok. Die Nachricht kam wieder lasse jetzt superantispyware nochmal laufen. Im autostart habe ich die ffdwnd deaktiviert. Komme da irgendwie nicht weiter. Hoffe auf antwort. Sorry für die ganzen Mails.

  23. Vielen, vielen Dank!!!! Hab schon seit 2 Tagen versucht den Laptop meines Sohnes sauber zu bekommen – ohne jeglichen Erfolg! Weder mit der Kaspersky-CD noch mit der Rescue-System-CD. Dank Eurer Anleitung mit der ms config habe ich eine einzige Datei gefunden und deaktiviert. Seit dem läuft erwieder. Nun lasse ich noch Antivir durchlaufen und werde mal abwarten, was passiert. Bis jetzt noch kein Fund! Ebenso wie beim DE-Cleaner und beim Programm anti-Malware. Na mal abwarten.

  24. Hmmm, hab mir das auch eingefangen, komm aber nicht in den abgesicherten Modus rein mit Eingabeaufforderung rein. Was nun? :((

  25. Danke!
    ich hatte gestern abend das Problem mit einem dieser Trojaner der unter “Sonstige” aufgeführt ist.
    Dank meines iPads konnte ich mir die Fehlerbehebung per Systemkonfiguration aufrufen und alles Schritt für Schritt durchgehen.
    Es hat sofort funktioniert und der DE Cleaner von Avira hat im Anschluss nichts mehr gefunden.
    viele Grüße
    Claudia

  26. DANKE!!!!! Hab ungefähr den ganzen Nachmittag damit verbracht dieses Kackteil zu entfernen!!! Kein einziger Cleaner hat irgendetwas gefunden…. und dann ist es doch so einfach 🙂
    Der Trojaner hieß: lies puppy kiosk down
    Hersteller: Fearghus & Mitchel Co
    und war im skype.exe versteckt
    viele Grüße,
    Katja

  27. huhu Leute,
    bin am ende mit meinem Latein.
    eigentlich bin ich der Meinung das ich ein wenig was kann, hab auf jeden Fall bisher immer alles was meinen Pc betrifft alleine gemacht oder mit der Hilfe von Foren.
    kome aber diesmal echt nicht weiter….
    habe auch den BKA Trojaner version 1.03
    nutze das Betriebssystem Windows Vista Ultimate.
    habe mir bei botfrei den de.cleaner besorgt und auch mein avira laufen lassen.
    hatte 6funde die auch erfolgreich gelöscht worden sein sollen. Habe gestern den Pc normal runtergefahren und heute nachmittag beim hochfahren gibgs wieder los.
    wollte es nach der anleitung machen,habe mir ein gastkonto erstellt alles, aber konnte den wert des Taskmgr.exe nicht auf 0 stellen da sie in der registry nicht gefunden wurde.
    bin nun in der cmd eingabe aufforderung und suche mir seid stunden einen wolf, aber ich finde nichts 🙁
    weder in den verzeichnissen die bei botfrei angegeben sind noch hier z.b. diese mahmud.exe
    bin grad echt am verzweifeln.
    Weiß jemand von Euch eine Lösung???
    wäre über jeden Strohalm dankbar.
    Lg Patrick

  28. Nachdem ich meinen Schrecken los war und auf gut Glück mit meinem Smartphone geguckt habe was ich machen kann habe ich alles befolgt. Das einzige unbekannte entfernt und neustarten. Nun sehe ich zunächst meinen homebildschirm und es öffnet sich ein Fenster, dann Dunkelheit und dauerladen

  29. Hallo zusammen,

    der BKA-Trojaner 3.04 hat mich den kompletten Sonntag gekostet. Größtenteils mit dem Lesen von Unmengen an Tipps und Hinweisen, sowie den Versuchen sie anzuwenden. Zum Glück habe ich dabei auch eure Seite getroffen und bin danach verfahren.
    An dieser Stelle vielen Dank für euer Engagement!!!
    Mein Norton Internet-Seciurity hat versagt und nichts gefunden :((
    Das fiese Teil hat sich unter C:\Users\……..\AppData\Local\Skype\SkypePM.exe eingenistet.
    Verbrecher….., übrigens ich nutze auf diesem Rechner kein Skype!
    Ich hoffe, dies hilft noch anderen Betroffenen weiter.
    Ciao und einen angenehmen Tag noch!

  30. Ich danke euch. 48 stunden habe ich gebraucht um dieses ding loszuwerden. Nun habe ich nach euren Tipps gehandelt und er scheint weg zu sein. Lasse jetzt noch das entfohlene anti virus programm laufen und dann werde ich wohl mal schlafen gehen.
    Vielen Dank eure Tipps sind toll

  31. hi
    und zwar folgendes ich habe alle Schritte brav befolgt als ich dann den reiter systemstart offen hatte und den bka trojaner gefunden hab bei mir ( igfxtray ) hab ich den haken weg gemacht wie vorgegeben auf ok geklickt und wunderte mich, dass danach nichts geschah dann hab ich es mir nochmal angeschaut und der haken war wieder da und das ganze hab ich mehrfach wiederholt der haken kam immer wieder hat jemand eine ahnung was ich jetzt machen kann?
    danke im voraus
    david

  32. Auch mich hat´s erwischt :o(
    PC aus und gesichert hochgefahren!
    Hatte Gottlob noch`n 2.PC zum Lösungsuchen euch gefunden und
    nun von mir besten Dank für den Tipp mit msconfig
    hab dort den Eintrag unter C:\user\….\cgs8h0.exe gefunden und deaktiviert.
    Nach dem Suchlauf mit “Malwarebytes Anti-Malware Free” die dann nix mehr gefunden hat (dauerte 1Stunde) war dann Ruhe ;o)

  33. hallo ich komme bei punkt 2 nicht weiter habe diesen trojana auf mein windows vista laptop finde diesen kommandboten nicht?

  34. hallo bei mir geht das nicht…. bei mir kommt das nicht wo steht meldung nicht mehr anzeigen

    1. Hallo,

      gerne helfen wir Dir weiter in unserem Support-Forum weiter. Erstelle dort bitte ein neues Thema unter “Hilfe” –> “Windows Systeme”!

      Grüße,
      CS, ABBZ

  35. Vielen Dank!!
    Hat auch bei mir sehr gut funktioniert. Ich danke für das Tutorial und hoffe, dass es noch vielen anderen helfen wird.
    LG Deniz

  36. Martin aus Siegen.
    Hatte mir gestern auch den BKA Trojaner eingefangen.
    Aber meeiner hat eine neue Seite.Anscheinend etwas überarbeitet aber alles nach dem gleichen Schema wie bei dem anderen.
    Dank der Super Anleitung hat alles geklappt und er ist wohl wech.
    Der Virenscanner Malware hat noch die besagten 2 Dateien (Trojaner)gefunden und elemeniert.
    VIELEN DANK
    Lg aus dem Siegerland

  37. Ich habe gerade noch eine Datei gefunden, wo der Trojaner drin ist.
    Sie heißt: jxylfodb.exe und jekfmzta.exe und liegt bei mir in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 🙂 hoffe ich habe euch damit geholfen

    1. Hallo Stefan,

      Im forum.botfrei.de sind Experten, die dir bei er Lösung unverbindlich geholfen hätten…

      Gruß ABBZ

  38. Vielen Dank für Eure Tipps. Mit Eurer Hilfe (msconfig…) gelingt es, den Schädling zu entfernen.

    Meine Frau hatte gestern 11.7.12 den BKA Trojaner UKASH mit einer neuen Variante der Bildmaske, die aufploppt, wenn man Windows hochfährt und somit den Blick auf den Desktop am Screen verstellt. der Task-Manager ging auch nicht mehr aufzurufen-
    Im Autostart versteckte sich nach Prüfung folgende Datei: »WcnNetsh.exe« . Der Pfad war wie folgt: C:\User\ [Dein Benutzername] \ AppDate\Local\Microsoft\Windows\1438\WcnNetsh.exe
    Nachdem dort das Häkchen entfernt wurde, konnte der PC wieder benutzt werden. Nächste Schritte waren: Deep scan mit der neuesten Variante von Malwarebytes (Dauer 3 Std. 40 Min). Das Progranmm fand lediglich 4 infizierte Datein. Ob das alle waren?
    Weitere Maßnahmen: Die neusten Sicherheitsupdates von Microsoft Win7 aufgespielt, den Virenscanner Avast-free aktualisiert. Die Datei wcnNetsh.exe musste denn manuell gelöscht werden. Erst dann kam eine Meldung von Avast, dass siue diesen Trojaner nicht in den Papierkorp löscht, sondern gelich zertsört.
    Das Perfide an der “wcnNetsh”-Kennung ist, dass es eine gleichlautende Datei als “-.dll”, also als »wcnNesh.dll« im Windows\System32 Ordner gibt.

    Das Java-Update als Autostart habe ich übrigens auch deaktiviert.

    So, vielleicht habe ich mit meinem Bericht einigen Mitbetroffenen weiter helfen können. Also, nicht verzweifeln, es gibt taugliche Lösungen!

  39. Leider nicht die ganze Wahrheit. Ich habe mir am 14.7.2012 diese Variante des BKA-Trojaners eingefangen. Die Entfernung klappt wie beschrieben, dann musste ich aber feststellen das der Trojaner zahlreiche Veränderungen an der Regsitry / den Gruppenrichtlinien vorgenommen hatte, die sich unter Windows 7 Home Premium nur schwer wieder beseitigen lassen, das die Gruppenrichtlinieneditor (gpedit) fehlt. Dies sind (kein Anspruch auf Vollständigkeit, da ich danach die Analyse abgebrochen habe):

    – Der Netzwerkadapter wurde auf permanente Verbindung gesetzt und lässt sich nicht mehr deaktivieren. (Über Gerätemanager deaktivieren und dann deinstallieren)
    – Der Windows Firewall Dienst wurde aus der Registry ausgetragen und erscheint nicht mehr unter den Diensten.
    – Die Gruppenrichtlinien für den Windows Firewall wurden geändert. Der Benutzer ist nicht mehr berechtigt den Windows Firewall zu starten.
    – Der Windows Update Dienst wurde aus der Registry ausgetragen und erscheint nicht mehr unter den Diensten.
    – Die Gruppenrichtlinien für den Windows Update wurden geändert. Der Benutzer ist nicht mehr berechtigt den Windows Updatezu starten.
    – Der Windows Wartungscenter Dienst wurde aus der Registry ausgetragen und erscheint nicht mehr unter den Diensten.
    – Die Gruppenrichtlinien für den Windows Wartungscenter wurden geändert. Der Benutzer ist nicht mehr berechtigt den Windows Wartungscenterzu starten.

    Die Änderungen werden nicht ohne weiteres sofort erkannt. da das Wartungscenter deaktiviert worden ist. Eine Korrektur mit Microsoft Fix It Routinen ist nicht möglich. Sie brechen jeweils mit der Meldung (sinngemäß). “Keine Berechtigung zur Ausführung dieses Dienstes” ab.

    1. Hallo Burkhardt,

      Danke für deinen hilfreichen Beitrag.
      Wenn Hilfe benötigt wird, melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ

  40. Dankeschön =)…hat bei mir auf anhieb geholfen ^^…hätte aber auch gereicht , wenn ich das Sytem zurückgesetzt hätte aber Ich hatte keinen letzten Speicherpunkt -.-…naja ich installiere Windows trt die Tage nochmal neu, nochmals vielen Dank =)

  41. Der Tip mit dem Autostart war einfach klasse. Mein Rechner funktioniert wieder bestens. Habe zusätzlich noch einmal ein Virenscanner durchlaufen lassen

  42. Was sagt man dazu – ich benutze meinen (2 Tage alten!!!!!) Laptop eh nur wegem dem Internet, und hatte jetzt diesesn trojaner drauf.
    Da ich keine Ahnung von Computern habe, haben mir viiiiele viele Seiten nicht weiter geholfen – jetzt ist aber alles wieder gut!

    Vielen Vielen herzlichen Dank!!!!!

  43. Vielen lieben Dank!!!! Hab soooo vieles versucht,nichts hat geklappt! Du bist der beste, nochmal daaaanke!!!!!

  44. 1000 Dank!!!
    Über Smartphone dank dieser Hilfestellung den Pc wieder geöffnet.
    War schon beinahe verzweifelt.
    Viele Grüße
    SimoneL.

  45. Gut,es hat geklappt,dass beim Computer hochfahren der Virus”tcpmoiu” nicht mehr erscheint. Jedoch bleibt der Virus auf dem PC,zwar ohne der er etwas anrichtet,aber vieleicht bricht er irgendwann wieder aus.Was soll ich jetzt tuhen?

  46. Das war die hilfreichste Info, die ich zu dem Virus ” Bundespolizei ” gefunden habe. Der Laptop läuft wieder !!!!!!!!!!!!!!!!!!
    Danke

  47. Vielen Dank erstmal an dieser Stelle
    Bei mir war es die Datei svvkvvrwmb
    komischer name aber dank euch ausfindig gemacht ;D

    1. Hallo Marco,

      wenn du weiterhin Hilfe benötigst, melde dich kostenfrei in unserem http://forum.botfrei.de an. Erstelle ein neues Thema mit Beschreibung deines Problems, die Experten dort helfen dir “Schritt für Schritt” bei der Lösung.

      Gruß ABBZ

  48. Danke!! Nach langem Suchen in vielen Foren und mit nicht funktionierenden Removern hat es dank der Beschreibung geklappt…. Trojaner hatte sich unter C:\users\Username\appdata\roaming\microsoft… versteckt.. eine *.dll mit einer wirren buchstabenkombination…. virus entfernt.. hab das professionelle antivir gekauft (hat die datei sofort aufgespürt) und mit ccClean alle verläufe gelöscht..

    1. Morgen FlyingAustrian,

      interessant ist herauszufinden wie die Malware auf den Rechner gekommen ist, ein Weg sind nicht geschlossen Sicherheitslücken bei alter Software, schau mal in diesen Bericht, wie du den Rechner sicherer machen kannst.

      Grüße,
      TB, ABBZ

  49. HILFE!!!
    Hallo wir haben den BKA Trojaner auf unserem laptop und haben einen weißen bildschirm…. wenn wir im abgesicherten modus mit eingabaufforderung msconfig eingeben kommt immer “ist falsch geschrieben oder kann nicht gefunden” …..was können wir tun um in die Systemkonfiguration rein zu kommen um die schadlichen dateien zu löschen???
    Hoffe ihr könnt uns helfen….

    1. Morgen Nadine,

      in dem Fall, wie es auch im Beitrag steht, gilt das nur für Vista/W7. Bei XP musst du erst manuell in das Verzeichnis wechseln, wo sich die msconfig.exe befinden.

      ToDo:

    2. cd\ (Enter)
      cd \windows\pchealth\helpctr\binaries\ (Enter)
      msconfig.exe (Enter)
    3. Falls du mit deaktivieren in der msconfig nicht zum Erfolg kommst, lese mal bitte unseren Workshop zu HitmanPro und wie du damit deine Infektion entfernen kannst.
      HitmanPro Teil1
      HitmanPro Teil2

      Grüße,
      TB, ABBZ

  50. Guten Morgen….msconfig hat jetzt funktioniert, danach haben wir malwarebyts drüber laufen lassen, schädliche Daten wurden gefunden und entfernt, Laptop sollte dann neu gestartet werden…Windows Vista Symbol erscheint und dann nur noch n schwarzer Bildschirm….was ist zu tun?

    1. Morgen Nadine,

      ohne genaue Informationen über dein System, können wir hier leider nicht weiter machen. Melde dich kostenfrei in unserem http://forum.botfrei.de an. Erstelle ein neues Thema mit Beschreibung deines Problems, die Experten dort helfen dir “Schritt für Schritt” bei der Lösung.

      Grüße,
      TB, ABBZ

    2. ich habe mich eben registriert….wie mach ich den ein neues thema auf? ich find da nichts -.-

    3. Hallo Nadine,

      kein Problem, hier ein kleines going:
      Nachdem du dich im Forum registriert hast, bekommst du eine Aktivierungsmail, diese müssen du bestätigen. Danach loggst du dich im Forum ein und bist freigeschaltet, neue Themen zu erstellen.

      Forum Todo : Neues Thema erstellen
      1. Anmelden
      2. Hauptseite, Rubrik (blauer Rahmen) Hilfe und Schädlingsbekämpfung
      3. Windows (klick)
      4. links oben + Thema erstellen
      5. Problem genau beschreiben im weißen Kasten
      6. unter dem Kasten, Thema erstellen (klick)
      7. fertig, warten bis eine Email vom Experten kommt, dann wieder Anmelden und lesen.

      Grüße,
      TB, ABBZ

  51. Hallo,
    Bei mir hat alles wirklich super geklappt aber bei dem msconfig befindet sich nix mit C:\Users\…. Außerdem sind da 3 unbekannte Hersteller und bei dem Namen kann es wirklich fast jeder sein. Gibt vielleicht noch Anzeichen worauf ich achten sollte?

Kommentare sind geschlossen.