Infizierte “explorer.exe” unter Windows XP ersetzen

Einige Versionen des BKA-Trojaners infizieren die “explorer.exe” unter Windows XP. Dies hat zur Folge, dass beim Start von Windows nicht die Taskleiste erscheint, sondern direkt die Zahlungsaufforderung des BKA-Trojaners mit der Ukash/Paysafecard-Anzeige.

In diesem Fall müssen Sie die infizierte “explorer.exe” mit einer originalen ersetzen. Wir zeigen Ihnen hier, wie Sie die infizierte “explorer.exe” durch eine Originale ersetzen.

1.) Starten Sie den Rechner neu und booten Sie mit Hilfe der F8-Taste in den “abgesicherten Modus mit Eingabeaufforderung”.

Die “erweiterten Windows-Startoptionen”

2.) Geben Sie folgendes in die Kommandozeile ein:

cd\

dir explorer.exe /s

3.) Der Befehl zeigt Ihnen alle Aufenthaltsorte der “explorer.exe” auf Ihrer Festplatte. Vergleichen Sie hierbei die Größe der Dateien. Die infizierte “explorer.exe” liegt im Verzeichnis c:\windows und hat in der Regel eine viel kleinere Dateigröße als die originale “explorer.exe”. Wie in der Abbildung zu sehen, hat der Schädling nicht nur die “explorer.exe” im Hauptverzeichnis c:\windows infiziert sondern ebenfalls in c:\windows\system32\dllcache. Die originale “explorer.exe” erkennen Sie an der Dateigröße von ca. 1 MB.

Die infizierte “explorer.exe” wird durch eine originale ersetzt

4.) In unserer Version liegt z.B. eine originale “explorer.exe” im Verzeichnis c:\windows\servicePackFiles\i386. Um die originale Datei wiederherzustellen wechseln Sie in das jeweilige Verzeichnis.

cd c:\windows\servicePackFiles\i386 (Aufenthaltsort kann variieren, siehe Abbildung)

5.) Kopieren Sie nun die originale “explorer.exe” in die Verzeichnisse, in denen sich die infizierte Datei befindet. In unserem Beispiel:

copy explorer.exe c:\windows

copy explorer.exe c:\windows\system32\dllcache

6.) Die Sicherheitsabfrage zum überschreiben bestätigen Sie mit der Taste “Y”.

7.) Starten Sie den Rechner neu:

shutdown -r -t 00

8.) Nach dem Neustart sollte der BKA-Bildschirm verschwunden sein. Denken Sie daran Ihr System nach diesem Vorgang ausgiebig zu scannen, da sich immer noch die Reste des Schädlings auf dem System befinden! Wir empfehlen Ihnen dazu Malwarebytes Anti-Malware oder Superantispyware.

 Hinweis: Sollten Sie Hilfe bei der Entfernung des BKA-Trojaners benötigen, registrieren Sie sich kostenlos in unserem Support-Forum.

35 thoughts on “Infizierte “explorer.exe” unter Windows XP ersetzen”

  1. Liebe Leute,

    vielen Dank für diese Anleitung. Ich habe mich fast zwei Tage lang mit dem BKA-Trojaner herumgeschlagen und *endlich* komme ich wieder in mein System.

    Viele Grüße
    Uli

  2. ich bin ein andere Elias^^ bei mir sind nachdem ich alles gemacht hab nach dem neustart keine startleiste und keine icons mehr. Sie sind nicht gelöscht nur nicht zu auf dem desktop zu sehen. Wisst ihr was man da machen kann? und danke es hat wunderbar geklappt^^

  3. wo muss man zum bestätigen das Y eingeben?
    bei mir wird nur angezeigt: Dateien kopiern (JA,NEIN,ALLE):

  4. Im Forum will mir auch keiner helfen bei mir werden keine Infizierten Dateien angezeigt sondern nur die Originalen Explorer.exe dateien

    1. Hallo Elias,

      wir helfen Dir dort schon weiter. Allerdings haben wir einiges zu tun, so dass wir ab und an mal etwas länger brauchen (insbesondere an WoE).

      Grüße,
      TK, ABBZ

  5. Hallo,
    leider habe ich mir auch so einen Trojaner eingefangen und die o.g. Anleitung befolgt.
    Nach der Aufforderung Dir, gibt er mir aber an, dass er keine Dateien findet. Was soll ich tun?
    Muss ich mich im gesichterten Modus als Administrator anmelden?

    Danke

  6. Guten Tag,

    mein XP wurde gestern leider auch vom GEMA-Trojaner infiziert. Das Problem bei mir liegt jetzt daran, dass ich kein Safe Mode starten kann. Es gibt immer eine Fehlermeldung und nur normaler Start ist möglich..
    Kann mir bitte jemand helfen?

    Grüße
    Jelena

    1. Hallo Jelena,

      melde dich bitte kostenfrei in unserem forum.botfrei.de an, dort werden dir die Community und Experten bei der Lösung helfen.

      Gruß ABBZ

  7. Hallo,
    ich habe auch diese Trojaner aufm Netbook. Das steht allerdings nichts vom BKA. Nur ukash. Die Schritte, die oben genannt wurden habe ich durchgeführt, aber leider kommt das Fenster weiterhin beim Start des PCs. Könnt ihr mir bitte helfen? Vielen Dank!

    1. Hallo Susanne,

      wenn Du Hilfe bei der Entfernung des Trojaners benötigst schau am besten in unserem Support-Forum forum.botfrei.de vorbei.

      Grüße,
      CS, ABBZ

  8. hi leider habe ich eure site zu spät entdeckt .
    ich habe formatiert und neu installiert und leider mit dem verlust einiger daten und einer menge zeit.
    aber nun weiss ich an wen ich mich wende wenn mal wieder sowas startet.
    vielen dank für diese site und die hilfe für die betroffenen.
    es beweist mal wieder das es für jede dunkle seite auch eine helle gibt. jing und jang.

    liebe grüsse mathias

  9. Hallo,
    ich bin dem beschriebenen Pfad gefolgt um Ukash zu entfernen, doch leider bin ich nicht so PC bewandert und komme nicht weiter.

    Hilfe wäre super.

  10. hi habe eine frage , nachdem ich das gemacht habe , sind dann noch alle meine dateien die im eigenen ordner etc. waren noch da oder sind sie danach gelöscht , weil es sind viele wichtige dateien in den ordnern
    wäre nett schnelle antwort zu erhalten 🙂

  11. Den BKA-Virus hatte ich heute morgen drauf. Ich schloss das Internet und aufeinmal kam diese: Warnung, ihr Computer ist gesperrt.
    Vor lauter Schreck habe ich erstmal nichts angeklickt und den Computer so ausgeschaltet. Dann ihn wieder angeschaltet, sofort mein Antivirenprogramm G-Data drüber laufen lassen, der hat ihn dann gefunden und in die Quarantäne geschickt. Muss ich noch irgendwas machen?

    1. Hallo Katzenvieh,
      Lade die mal das Tool von Malwarebytes und scanne deinen Rechner nach Anleitung. Danach überprüfen deinen Rechner mal nach veraltete Software bei secunia.com

      Gruß ABBZ

  12. Ach der ist übrigens nicht im Windows32 sondern in Java/Deployment/Cache76.0/32 gelandet

  13. Hallo, danke erstmal für eure Hilfe 🙂
    Mein Problem ist aber gerade, dass ich bei Punkt 4 hänge. Ich weiß nicht, wie man das Verzeichnis wechselt. Bitte um Hilfe.
    Danke im Voraus 🙂
    lg. Thomas

  14. Hallöchen,
    seit gestern muss ich mich nun auch mit diesem Müll befassen-.- Habe alle schritte soweit befolgt, allerdings wenn ich in der cmd nach der explorer.exe suchen will bekomm ih jedesmal die Meldung “Datei nicht gefunden” oder er rückt in die nächste zeile, der cursor blinkt zwar aber ich kann nichts mehr eingeben. Was mach ich falsch?

  15. Um festzustellen ob es sich um die originale explorer.exe handelt, empiehlt sich der Vergleich der Checksumme mit dem Original.

    1. Hallo Eitz,

      schau mal in unseren Workshop zu HitmanPro und erstelle dir den USB-Stick, damit kannst du die Infektion auf deinem Rechner entfernen.

      Grüße,
      TB, ABBZ

Kommentare sind geschlossen.