Neue Version des BKA-Trojaners im Umlauf

Es erreichen uns Meldungen über eine neue Variante des bekannten BKA-Ukash-Trojaners aus den letzten Monaten. Die neue Version zeigt eine etwas überarbeitete Oberfläche mit der Warnung der Bundespolizei (National Cyber Crimes Unit) und fordert Sie auf den Betrag von 100 Euro per Ukash oder Paysafecard zu bezahlen.

Die Einblendung erfolgt durch den Browser über die IP-Adressen:

  • 184.82.101.64
  • 91.217.90.50
  • 193.105.240.239
  • 212.124.121.66
  • 95.57.120.161
  • 87.255.73.58
  • 91.217.200.62

Der Taskmanager wird auch hier komplett deaktiviert.

Warnung: Zahlen Sie auf keinen Fall den angegebenen Betrag per Ukash oder Paysafecard! Diese Meldung ist nicht von der Bundespolizei.

Anscheinend verwendet der neue BKA-Trojaner nicht die üblichen Methoden über veränderte Registryeinträge im Winlogon oder Run-Verzeichnis. Auch die “explorer.exe” wird in diesem Falle nicht infiziert.

Sollten Sie ein Sample dieses Exemplars besitzen, schicken Sie es uns bitte per Kontaktformular.

Hinweis: Lösungsansätze diskutieren wir in unserem kostenlosen Support-Forum. Registrieren Sie sich und diskutieren Sie mit!

129 thoughts on “Neue Version des BKA-Trojaners im Umlauf”

  1. Hi, ich habe den artikel gelesen. wisst ihr wie der trojaner im verzeichnis heißt und wo ich ihn finden kann? mein rechner ist ebenfalls betroffen. weiß nicht ob es glücksfall war,d ass ich noch ein zweites fenster öffnen konnte. was habe ich bislang für optionen? av lässt er nurnoch in einer endlosschelife fahren und nicht ausführen =(

    1. Hallo Nadine,

      Momentan diskutieren wir im Forum gerade einige Loesungsansaetze und Laden Dich gerne ein uns dabei zu unterstützen. Registriere Dich hierzu einfach kostenfrei unter http://forum.botfrei.de und versorge uns mit allen Infos, die Du uns geben kannst.

      Grüße,
      TK, ABBZ

    2. Also bei war eine Exe datei mit folgendem Ziel im Autostart verknüpft.

      C:\Windows\System32\rundll32.exe C:\Users\[USER] \AppData\Local\Temp.3368337679799246.exe,SuppS

      einfach einen anderen Benutzer wählen und in meinem fall wars Kaspersky einen komplettscan ausführen lassen.

      ich habe zuvor noch den Administrator über die Eingabeaufforderung aktiviert.

  2. Echt nervig das Ding. Bei mir haben auch die Rescue CDs nichts bewirken können leider.
    Hoffe Ihr findet schnell ne Lösung.
    LG aus Düsseldorf

    1. Habe den Trojaner jetzt auch besiegt. Im abgesicherten Modus einfach Malwarebytes laufen lassen.
      Der bereinigt das Problem ganz einfach.
      Schönen Abend noch

    2. Ich habe seit heute auch das ding eingefangen. Kann weder den task manager noch den rechner auf abgesicherten Modus laufen lassen. Weis nicht mehr weiter. Brauche dringend hilfe. Neue formatierung kommt für mich nie in frage, hab zu viele daten die ich täglich brauche.
      Vielen dank im voraus für jeden tipp den ich bekommen kann.Grüße
      Adrian

  3. Scheint bei mir auch zu funktionieren. Danke für diese einfache Lösung, obwohl ich nur die 30 tätige Testversion von Maleware runter geladen habe. Empfehlenswert !!!

  4. Hay Frank,
    erstmal danke für die Lösung, aber bei mir gings nicht im abgesicherten Modus.Nach dem der Startbildschirm erschien drückte ich Alt,Strg Entf um den Task Manager zu öffnen,dann schob sich die BKA Seite wieder vor und blockierte ich drückte nochmal Alt,Strg,Entf wieder blockiert, nun drückte ich den Ausschalter der Rechner fährt herrunter es erscheinen die zubeendenden Tasks ( dunkler Bildschirm) jetzt auf Abbrechen (Rechts) gedrückt und der Rechner fährt wieder hoch und war wieder frei.Der Trojaner fuhr sich selbst in den ruhe zustand,sodass das Betriebsystem wieder funktionierte auch Internet so lud ich Malwarebytes 30 Tage gratis und lies es laufen danach Mac Affee ( oder ein anderes) komplett scann von beiden 2 Vervolgungs Cookies und der Tojaner gefunden und entfernt. Der Rechner wurde mehrmals hoch und runter gefahren und laüft ohne Probleme noch mal alles gescannt und nichts gefunden. Betriebsysten Windows 7 64 Bit.

  5. Hallo,
    ich habe auch diese Version auf meinem Netbook. Seit gestern ist diese komplett lahmgelegt, der Task Manager geht nicht etc.
    Eine Suche in den üblichen Registryeinträgen etc verlief ebenfalls fruchtlos.
    Was könnt ihr empfehlen? Soll ich im abgesicherten Modus Malwarebytes laufen lassen oder gibt es schon eine neuere Lösung?
    Wenn ersteres, wie mach ich das genau?
    Vielen Dank vorab.

    1. Hallo MM,

      gerne helfen wir Dir individuell weiter. Melde Dich hierzu kostenfrei in unserem Support-Forum unter: http://forum.botfrei.de an und erstelle in der entsprechenden Kategorie einen Themenstrang zu Deinem Problem.

      Bis dahin,
      TK, ABBZ

  6. habe das problem wie folgt gelöst war auch die neue version von BKA
    1. versuch abgesicherter modus systemwiederherstellung datum vor der infizierung soweit auch geklappt nur alles desktop symbole verschwinden.
    2. versuch abgesicherter modus und vom usb stick malwarebytes laufen lassen nach neustart alles beim alten lasse grad noch 3 virusprogramme durchlaufen ob die noch was finden.
    3. wäre sicher ratsam win neu drauf zu spielen nach sichern aller benötigten daten um 100% sicher zu sein.

  7. Hi miteinander,
    ich hatte die neue Version des Trojaners und habe ihn erfolgreich gelöscht bekommen.
    Zu finden ist er im Autostart-Menü. Über den Pfad kommt man dann zur Exe-Datei im Temp Ordner. Löschen und noch Anti-Malware drüber und die Sache war geritzt. In der regedit war in der Tat nichts zu finden. Egal welche Möglichkeiten ich durchgespielt habe.
    Vorgehensweise ist sonst die Gleiche. In den abesicherten Modus und dann löschen. Die .exe datei hat och keinen bestimmten Namen wir Mahmud, sondern war eine Anneinanderreihung vieler Nummern.
    Hoffe ich konnte ein wenig helfen.

  8. Hi Dominik,
    vielen Dank für Deinen Tipp. Kannst Du mir noch ein bißchen genauer erläutern was Du genau meinst mit “Autostart Menü”?? So für Dummies ?? 😉
    Wenn ich nicht über den Command “regedit” reinkomme, wie dann genau?
    Merci!!
    Gruß,
    MM

  9. Hallo zusammen,
    nachdem es mich gestern auch erwischt habe, bin ich heute erfolgreich gewesen und habe den Virus (scheinbar) losgeworden. Habe Win XP drauf.
    Habe eine Systemwiederherstellung gemacht von vor 10 Tagen, und danach 2 Virenprogramme über alles laufen lassen. Virus wurde gefunden, hatte den üblichen Namen nur aus Zahlenkombinationen und befand sich in den temporären Firefox-Dateien.
    Seitdem läuft alles wieder wunderbar, auch das Problem mit den fehlenden Desktop-Datein trat nicht auf. Werde jetzt eine Datensicherung durchführen und dann den Rechner platt machen. Man weiss ja nie, sicher ist sicher.

    Grüße und allen anderen viel Erfolg!

  10. Guten Tag,

    auch ich musste einen Treffer verkraften. Nachdem die “Desinfektion”-Versuche über Bot-Sektor und Virus-Suche vergeschlagen waren, konnte ich über den abgesicherten Modus und CCleaner den vermutlichen Übertäter einkreisen und deaktivieren – auch bei mir war es ein Link im Autostart, allerdings mit Verweis in Richtung rundll32.exe.
    Es scheint aber, als hätte das Kerlchen selbst oder die Nebenwirkungen der Therapie mir nach und nach die gesamte Treiberstruktur zerlegt.
    Da der Rechner jetzt wahrscheinlich sowieso eine Grundreinigung benötigt, werde ich mir den Burschen jetzt mal näher anschauen, vielleicht findet sich ja noch der eine oder andere Hinweis. Ich hoffe, ich kann ihn isolieren und einschicken.

    1. Können Sie mir vielleicht erläutern (for Dummies) wie ich Links bei Autostart finde? Ich habe XP und finde unter Start->Programme->Autostart im abgesicherten Modus nur eine Sache für Bluetooth.

      Vielen Dank.

    2. Hallo!

      Ich habe den probleme auch gehabt. Besser gleich den program löschen den findest du unter den Temp ordner

      laufwerk c:\Dokumente und Einstellungen\deine account name\Lokale Einstellungen(diese ordner ist verschteckt kannst du unter windows explorer extras->ordner optionen->ansicht->verschteckte dateien und Ordner->alle Dateien und Ordner anzeigen hier eine hacken und übernehmen dan siehst du den ordner)\Temp hier den müll löschen bei mir hat den program disen name gehabt 0.38824125528251574.exe wenn es gelöscht dann neustarten und in der Startmenü->Alle Programme->Autostart von hier muss du noch den verknüpfung lössen und fertig. Wichtig den papierkorb auch leeren.

      Die ganze sache ist maximale 10 Minute.
      Ich hoffe das ich geholfen hab.

      Es tut mir leid für meine schlekste deutsch ich bin Ungar.

    3. Danke, werd ich mal probieren!! Bei mir befindet sich im Autostart nämlich nur ein BT (Bluetooth) Tray, sonst nix???
      Ich werd mal im Lokale Einst-Ordner schauen.

    4. Hallo MickeyM

      hab das selbe Problem wie MM, dass bei mir nur Bluetooth im Autosart drin ist, hab deine Version versucht kann aber leider meinen Accout im abgesicherten Modus nicht aufmachen ist gesperrt! Und wo genau finde ich windows explorer extras? Bitte von anfang an bin absoluter rooky;-) hoff Du kannst mir oder irgendjemand anders helfen

  11. Hallo,
    ich bin ihn gerade losgeworden. Bin diesbezüglich kein wirklicher Fachmann, und lasse mich deshalb gerne korrigieren, wenn ich was falsches sage. Habe folgendes unternommen:

    1. Suche im abgesicherten Modus (vor dem booten PF8 drücken):
    In der registry war nichts zu finden. Im Startmenü (Autosstart!!!) fand ich eine Verknüpfung, die als .exe getarnt war, mit Namen “0.nnnn.exe” (nnnn = 16stellige Ziffernfolge). Als Ziel der Verknüpfung (Rechtsklick -> Eigenschaften -> Verknüpfung -> Ziel:) war erst die C:\…\rundll32.exe angegeben (die man nicht löschen darf (kann?)!), dahinter stand dann der Übeltäter: “C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp.nnnn.exe”, mit folgendem Parameter: “X11”. Alles in einer .txt-Datei gepeichert bzw. gemerkt.
    2. Säubern:
    Als erstes habe ich den Autostart-Eintrag gelöscht. Dann im “gemerkten” Verzeichnis die Datei gelöscht, bzw. geshreddert. Ich hätte sie natürlich besser vorher per mail an botfrei geschickt… Dann – ganz wichtig! – habe ich die History/Chronik im browser (in welchem auch immer) untersucht. Die Einträge mit den hier oben genannten IP-Adressen sollte man natürlich keinesfalls aufrufen, sondern löschen; ich habe den gesamten Verlauf, alle Cookies und temp. Internetdateien gelöscht. Evtl. kann man vorher noch herausfinden, welche website den Trojaner installiert hat?! Ich habe leider nicht mehr so genau geschaut 🙁
    3. Prüfen:
    Zur Sicherheit habe ich mir eine rescue-CD (Avira) ausgeliehen und mit dieser gebootet. Dann habe ich als erstes Virendefinitionsdateien aktualisiert (Update-Funktion) und dann den gesamten PC gescannt.

    Nun scheint alles wieder ok zu sein. Als erstes werde ich mir jetzt eine solche CD erstellen.

    Interessant erschien mir, dass die Datei von Agnitum Ltd. “kommt”….

    Gruß, K.

    1. Hallo, habe den Trojaner dank “K” anscheinend los. Habe den PC zunächst im abgesicherten Modus gestartet (für Dummis wie mich: während des Hochfahrens so oft die F8-Taste drücken, bis abgesicherter Modus startet), die Datei mir den vielen Zahlen und exe im Autostart gefunden und gelöscht. Auch im Papierkorb.
      Allerdings fand ich in der Browser-History keinen Hinweis auf den Trojaner. Eine rescue-CD habe ich auch nicht, aber der PC läuft momentan trotzdem wieder. Ich hoffe, das bleibt so.
      Danke “K”!

    2. Da unter Windows 7 noch andere Accounts vorhanden waren, hat es genügt, sich unter einem nicht infizierten account anzumelden und dann nach der Anleitung von K zu verfahren. D.h. Autostart und exe im Temp-Verzeichnis entfernen.

      Danke und Gruß, Martin

  12. Dieser möchtegernvirus hat sich auch grad bei mir nach besuch einer Webseite eingenistet.

    ich konnte ihn folgendermaßen entfernen (windows 7):

    1. im abgesicherten modus starten
    2. auf start drücken und in das kleine schnellstart/suchfenster msconfig eingeben und enter drücken
    3. es öffnet sich ein weiteres fenster, hier nun auf den Reiter Systemstart gehen
    4. der virus hieß bei mir wie folgt:
    Systemstartelement – tattle posts donor balm alec
    Hersteller – Agnitum Ltd.
    5. Häkchen von diesem Eintrag wegmachen, OK drücken und neu starten
    6. danach konnte ich wieder normal neu starten , malwarebytes 14 tage testversion
    gesaugt und dies hat den rest erledigt.

  13. Danke Mickym!
    Hab den Virus heute drauf gehabt und deine Anweisungen befolgt. Ist jetzt alles wieder ok…

  14. Hallo alle zusammen,

    ich hab mir den Virus gestern eingefangen. Kaspersky hat nicht wirklich was gebracht. Ich hab beim Neustart F8 gedrückt und dann das System auf einen frühreren Zeitpunkt zurückgesetzt. Jetzt geht es wieder. Allerding habe ich noch Angst, dass er noch irgendwo drauf ist, daher lasse ich gerade Malwarebyte scannen. Meine Virenschutzprogramme haben nichts gefunden. Ich möchte ungern meinen PC crashen :C Ich hoffe Malwarebyte macht ihn endlich platt, drei infizierte Objekte hat er schon gefunden.

    1. Hallo Zuri,

      ich möchte Dich herzlich in unser Support-Forum einladen. Dort helfen wir Dir gerne individuell weiter! Registriere Dich hierzu einfach kostenlos unter: http://forum.botfrei.de und erstelle dort einen entsprechenden Beitrag mit Deinen Wünschen!

      Grüße,
      TK, ABBZ

  15. Ihr seid da ganz wild drauf darüber zu diskutieren? Das macht mich stutzig.

    Steckt da etwa von euch jemand dahinter?

    1. Hallo Hyundai-Hans,

      da der Trojaner in Deutschland sehr stark verbreitet ist, und auch immer wieder in neuen Varianten auf den “Markt” kommt, ist das auch notwendig. Als zentrale Anlaufstelle in Deutschland, ist es daher für uns eine Pflicht hier weiterzuhelfen und Aufklärung zu leisten. Insbesondere mit dem Fokus, dass hier keine irgendwelche Voucher kauft und den Kriminellen Geld transferiert!

      Grüße,
      TK, ABBZ

  16. hallo, mich hat es auch erwischt, habe m alle hier vorgeschlagenen Vorgehensweisen versucht, leider ohne erfolg. Habe im Forum einen Threat eröffnet, würde mich über hilfreiche Kommentare sehr freuen………
    lG aus Berlin
    der Traumbazar

  17. Ich habe den Trojaner inzwischen auch gefunden: war wie bei einigen anderen hier beschrieben unter Programm->Autostart im abgesicherten Modus zu finden…
    Hat bei mir nur etwas gedauert, da ich zwei Accounts habe. Nachdem ich die Datei Namens “wpbt0.dll” entfernt hatte aus dem Autostart Menu, ging das Netbook wieder ganz normal.
    Habe dann Malwarebytes laufen lassen und Anti Vir und plötzlich satte 12 weitere Trojaner gefunden!!! Ziemlich übel. Die meisten befanden sich in den Ordnern Lokale Einstellungem->Temp oder Temp Internet Files.

  18. Hey,
    es ist wichtig ich glaub ich habe die lösung.
    Heute den bekommen und durch 1-2 h rumprobieren “entfernt” bekommen.
    (nicht ganz… aber sie öffnet sich net mehr einige stück sind noch da)
    ich weis wo die exe ist und sie ist in autostart drinn.
    so nun möchte ich nur noch wissen was Malware-Sample is
    den schick ich euch dir whatever das
    (das einzige was noch weg muss ist das ich es aus der autostartliste löschen kann)
    weil jedes mal Kommt die fehlermeldung das …..exe nich geöffnet werden kann, wen ich den pc hochfahre

  19. Hallo, habe den Übeltäter aufm Rechner unter Win 7 Ultimate x64.
    Er infiziert sowohl ieframe.dll, als auch explorer.exe.
    Einträge in der Registry sind in Ordnung und sowohl das Kaspersky, als auch das Avira linuxbasierte Removal-Tool konnten nicht helfen.
    Wenn ich die Explorer.exe oder ieframe.dll ersetzen oder löschen
    möchte, will eine andere explorer.exe dies verhindern und fragt nach der Berechtigung. Unter Infos sagt er mir nur <3AD05575… usw.
    Im Taskmanager ist keine suspekte Datei zu finden und auch in Hijackthis und in MSconfig konnte ich nichts ausfindig machen.
    Jedes mal wenn ich denke alle Reste entfernt zu haben schreibt sich das Biest wieder in die Explorer.exe.

    1. Hallo anon,

      das heißt dann, dass noch Reste irgendwo im System oder Run Pfad liegen. In unserem Forum können wir dir weiter helfen.

      MG
      ABBZ

  20. Update, von allen getesteten Antivir Softwares hat NUR Malwarebytes die neue Version gefunden und beseitigt. Lass grad mal OTL drüberlaufen und guck ob sich noch was eingenistet hat.

  21. Hallo!
    hatte mich gestern auch mit dem trojaner infiziert.
    Weiß nicht ob ich ihn jetzt los bin, aber er wird mir im Moment nicht angezeigt.
    Ich wollte den Task Manager starten, was bis zum Fenster wo man Benutzer wechseln, auf den Task Manager gehn,… oder auch Abmelden,Herunterfahren und Neustarten kann.
    Da bin ich dann auf Neustart gegangen, worauf ich wieder beim normalen Bildschirm gelandet bin, da mein PC erst noch alle Programme, die im Hintergrund gelaufen sind, schließen musste. Da bin ich dann einfach auf abbrechen gegangen und seit dem bin ich wieder im normalen Zustand.
    Seit dem war nichts mehr von dem Virus; hab natürlich gleich Antivir checken lassen, was jedoch keine Viren finden konnte.
    Jetzt meine Frage, bin ich den Trojaner wirklich los, oder ist der noch i-wo im hintergrund?

  22. Versucht Task-Manager zu Starten. Fehlermeldung das der Task-Manager deaktiviert ist. Solange die Fehlermeldung nicht weg geklickt wurde, hatte ich zugriff auf den PC. Systemwiederherstellung gestartet und alles war gut.

  23. Also ich hab den bei mir heute gelöscht bekommen 😀 Habe “exe” bei “Start” eingegeben und da kam dann die Datei: 0.5730333395161681.exe (hoffe ich hab sie richtig aufgeschrieben) Diese habe ich geöffnet und da spielte sich dann mal wieder der selbe Scheiß ab. Nach dem Neustart hab ich sie gelöscht, Papierkorb geleert und nochmal Neustart. Bis jetzt ist noch alles in Ordnung.

  24. Hi zusammen,
    hatte auch den BKA-Virus im neuen Format, hatte durch dummen Glück noch ein Fenster geöffnet (Windows7), konnte dann mit den oberen Anleitungen alles erledigen, hatte nur das Problem, dass meine Rechte für die Systemsteuerung verflogen waren… folglich dessen konnte ich anfangs den Ordner APPData nicht öffnen, weil dieser noch ausgeblendet war.Hatte sich aber nach nem Neustart erledigt, und danke für die super Erklärungen für Leihen, die eigentlich nur mit dem PC arbeiten und nicht am PC

  25. Hallo Leute,
    Infizierung: 10.12
    habe den Virus wie folgt beseitigt (windows 7 ultimate 64 bit) :
    1. Pc im abgesicherten modus starten
    2. startbutton unten links anklicken (zurück-zu-windows-taste)
    3. “msconfig” in die suchleiste eingeben und msconfig öffnen (erste suchergebnis)
    3. Systemstart anklicken nun sieht man die liste der programme/anwendungen, die beim systemstart automatisch starten. Da der Virus beim PC-start auch automatisch startet, muss er sich in dieser liste befinden.
    4. Liste nach verdächtigen programmen auschecken diese version des virus besteht aus vielen zahlen.exe (meistens ist der virus mit einem decknamen und seriösem hersteller getarnt oder es ist direkt eine lange zahlenfolge.exe zu sehen; bei mir hieß das programm blair beech tower von packard)
    5.Nun das verzeichnis merken, welches in der spalte “Befehl” ablesbar ist (beachte: der virus befindet sich nicht unter dem ersten pfad, welcher zur rundll32.exe[[[die lässt sich sowieso nicht löschen]]] führt, sondern unter dem zweiten.
    6. das häckchen vor dem virus entfernen und “übernehmen” drücken
    7. pc im normalen modus neu starten. wenn der virus immer noch startet habt ihr das falsche häkchen rausgenommen.
    8. nun habt ihr wieder zugriff auf euren pc
    9. mit rechtsklick auf das windowszeichen unten links
    10. windowsexplorer öffnen
    11. nun unter Extras (oben links) ordneroptionen öffnen
    12.Oben auf “Ansicht” gehen
    13.erweiterte einstellungen nach unten scrollen und unter “versteckte dateien und ordner” einen haken bei ” ausgeblendete dateien, ordner und laufwerke anzeigen” machen, denn der zielordner des viruses ist versteckt.
    14. nun in den zielordner gehen und den virus löschen (unbedingt auch den papierkorp leeren oder noch besser: die .exe zerstören mit tune up shredder z.b)
    15 nie wieder auf die seite gehen bei der plötzlich diese bundespolizei-scheiße kam 😉

    gruß

  26. Ich habe mir diesen Fiesling auch eingefangen.

    Nach meinen Recherchen ist dem Ding aber beizukommen. Antivir in der Grundausführung entdeckt den Schadcode leider nicht.

    Wie es scheint, wird bei dieser Variante ein Drive-by-Download mit dem Schadcode über ein Java-applet initialisiert und so eine schadhafte namensgenerierte EXE-Datei in Appdata (Vista) kopiert, die per Autostarteintrag aktiviert wird. Taskmanager wird zwar grds. gesperrt, ebenso wie Bildschirm, aber:

    1. Ich konnte dem mit ALT&F4 drücken sowie Strg, Shift und ESC-Drücken erstmal so beikommen, dass wieder Kontrolle über das System erhätlich war. Klappt aber anscheinend nicht immer, kann ich noch nicht nachvollziehen.
    2. Im abgesicherten Modus wird das ganze nicht mit gestartet. Mit Malwarebytes können 3 Funde ausgemacht werden: Exe-Datei, Autostarteintrag sowie die schadbelastete JAVA-Datei, allesamt im Appdata-Ordner (Vista).
    3. Veränderungen der Registry sind bis dato nicht erkennbar.
    4. Hijackthis ist nach Erstsäuberung unauffälig, ebenso OTL – keine sichtbare auf den Befall zurückzuführende Infektion erkennbar.
    5. Antivir findet bis jetzt leider nichts und kann auch per Echtzeitwächter eine Infektion nicht verhindern / auch per Heuristik nicht.

    Ich teste jetzt frisches Java mit aktiviertem Schutz per Malwarebytes, ob dies Schutz vor Neuinfektion bietet.

  27. Dem Anschein nach kommt die Malware durch das neue Java nicht mehr durch.

    Daher die dringende Empfehlung, Java 6.29 zu installieren!

  28. Hab mir den kleinen Sch****** auch eingefangen.

    Der Taskmanager war unzugänglich.

    antivir und win7 prof waren aktuell. bei mir war wohl auch eine alte java-version verantwortlich.

    danke an perfomance und krassdaniel:

    alt+f4 beendet den gekaperten ie. bei mir lief dann (aufm 2. monitor 😉 ) noch ein explorer, k.a. warum. Über den konnnte ich erkennen, dass sich das Mistviech im Autostart festgebissen hatte und von dort auf eine Datei in C:\Users\[DeinName]\AppData\Local\Temp verwiesen hatte (0.09227147455182771.exe).

    Hab die beiden da mitm Klappspaten rausgetrieben und in einen extra Ordner kopiert. Löschen kann man die .exe Datei zu dem Zeitpunkt nicht so einfach, weil irgend ein Prozess anscheinend noch drauf zugreift.

    Nach einem reboot verhält sich der Rechner wieder normal und man kann der .exe-Datei entgültig den Gar ausmachen.

  29. hallo leute … ich bin auch befallen von den trojanern… weis irgendjemand eine lösung für windows xp????ß ich finde keine
    lg gerhard

    1. Ich hatte das Ding auch unter XP.
      Meine Lösung (improvisiert, weil ich mir ja keine Hilfe holen konnte):
      Rechner neu gestartet, dabei gesehen, dass kurz bevor der Bundespolizei-Bildschirm kommt, der IE aufgeht.
      Nochmal gebootet, diesmal ohne Netzwerkkabel/WLan.
      Sobald ich Kontrolle über die Maus hatte, sofort Malwarebytes angeklickt.
      Da der Rechner keine Internetverbindung hatte, kam nur ein leerer IE-Bildschirm, der aber trotzdem den Rechner blockte. Malewarebytes hat sich davor gelegt und ich konnte damit arbeiten. Netzwerkkabel angestöpselt, Update der Datenbanken durchgeführt und dann via Malewarebytes den Schädling entfernt.

      Ich hoffe, das hilft.

  30. Hilfe! Wie kann ich meinen PC von diesem Vieren befreien. Mein Taskmaneger wurde deaktiviert, ich habe kein gewönliches Deskstop, das stört… Habe Avira, Programm scant PC seit lange Zeit, wurde aber bis jetzt noch nichts gefundedn… Ich möchte schnellmöglich passende Lösung finden.
    Für Ihre Hilfe danke ich Ihnen im Voraus.

    A.G.

    1. Hallo Asya Gont,

      wir möchten Dich gerne zu einer individuelle Beratung in unser Support-Forum einladen. Bitte registriere Dich hierzu einfach kostenfrei unter http://forum.botfrei.de und erstelle unter Hilfe –> Windows Systeme einen eigenen Thread.

      Grüße,
      TK, ABBZ

  31. Habe mir gerade eben zum 2ten mal diesen Mist eingefangen, nur dieses mal startet mein rechner nichtmehr im abgesicherten modus! nach durchlaufen einer textliste erscheint nur noch ein blinkender _
    jemand dasselbe Problem???

  32. ich bin ihn wie folgt losgeworden:
    1) während der rechner noch hochfährt, also noch nicht ganz hochgefahren ist, aber man schon ein bisschen rumdrücken kann (ihr wisst was ich meine) ganz schnell bei Start-> Autostart, die seltsame nummerierte, euch wahrscheinlich fremde datei löschen. und evtl sich öffnende Internet-Explorer schließen… dann startet der Virus schonmal nicht mehr beim Systemstart.
    2) Dann (Windows Vista): In eure Eigenen Dateien (alle Ordner sichtbar) : EuerName–> AppData (versteckter Ordner) –> Local –> Temp… und dann im Temp Ordner die .exe-Datei (Anwendung) löschen, die genau so heißt wie die aus dem Autostartregister. Diese Dateien haben ein Format von “0.xxxxx.exe” wobei die xxxx für beliebige mehrstellige Zahlen stehen, beginnend mit führender Null und einem Punkt.
    Gelingt dieses löschen nicht, weil die datei “gerade verwendet wird” einen Neustart machen und bevor der PC komplett hochgefahren ist so schnell es geht in das verzeichnis gehen und die datei rauslöschen…
    Lacht mich nicht aus, ich bin Ingenieur und kein Informatiker, aber so hat das bei mir geklappt! (Kaspersky halft nicht!) Evtl auch nur weil mein PC so überladen ist und daher ewig zum hochfahren braucht und der Virus dadurch recht spät gestartet wird wenn andere Teile des Systems (Windows Explorer) schon funktionieren.

    1. Hallo NailedIT!

      wir lachen Dich nicht aus. 😉 Herzlichen Dank für Deinen Erfahrungsbericht!

      Grüße,
      TK, ABBZ

  33. Habe diesen neuen Virus auch auf dem Pc. Habe Pc im gesichterten Modus gestartet und Avira durchlaufen lassen. Das hat nicht gebracht. Kann mir jemand helfen????

  34. Bei mir war es dann auch recht “simpel”. Nach 2 Besuchen in einem PC Fachladen in der Vergangenheit wollte ich es diesmal auf eigene Faust bewerkstelligen, schließlich hat man ja nicht immer Geld für professionelle Hilfe übrig.

    Schlussendlich hat sich der Übeltäter bei mir auch im abgesicherten Modus unter Start -> Autostart versteckt. Die auffällige .exe einfach entfernen (auch aus dem Papierkorb!), per CC Cleaner alle “nutzlosen” Dateien und Co. löschen und dann den Rechner normal starten. Der Trojaner bootet nun nicht mehr automatisch und man kann sein Virenprogramm drüberlaufen lassen.

    Danke für diesen Hinweis. 🙂

  35. Hallo TK,

    Vielen Dank für den Hinweis, da gehe ich gleich mal gucken.
    Bei Facebook habe ich schon “like” gedrückt. 🙂

    Liebe Grüße
    Ly

  36. Meine Mutter wurde von BKA1.03 befallen … in C:/Dokumente und Einstellungen/Bentzer/Lokale Anwendungsdaten/Temp/ befand sich eine “ominöse” .exe datei deren namen … aus einer (willkürlichen) Zahlenfolge bestand … im abgesicherten modus konnte man diese datei aufspüren und löschen (ist ein Versteckter Ordner … also bereits im /Benutzer/ Ordner über Extras/ordner optionen “versteckte dateien” anzeigen lassen … um sich voran zu hangeln … ich empfehle den inhalt des Ordners gesamt zu löschen … großartig schaden kann es nicht 😉

    jedoch ist damit nicht das Problem behoben, beim Neustart kommt eine Fehler Meldung dass eben diese Datei nicht geöffnet werden konnte, was darauf schließen lässt, dass sich irgendwo noch irgendwas in den Registry-Files auffinden lassen sollen müsste …

    ich werde meiner Mum in kürze Linux installiere (nach dem ihre Daten gesichert sind) ich Empfehle Ubuntu 10.04 lts … die Gnome 2 Oberfläche ist für den Windows-Benutzer glaube ich eine überstehbare Umstellung und was unterm Strich dabei raus kommt ist in meinen Augen die “Mühe” wert 😉

    Liebe Grüße
    “Max Mustermann”

    ich hoffe dass es bald ein besseres “Heil mittelchen” gegen solcherlei Bedrohungen gibt und ggf eine angemesserene Fandung und Bestrafung bei Verursachern …

    1. ich hoffe dass es bald ein besseres “Heil mittelchen” gegen solcherlei Bedrohungen gibt und ggf eine angemesserene Fandung und Bestrafung bei Verursachern …

      Wird sich prinzipiell bei Architekturen wie Windows NT ab 4.x und Linux (?BSD?) nicht unterbinden lassen. Die möglichen Angriffsvektoren sind einfach technisch bedingt.

      Willst Du Dich effektiv dagegen schützen, musst Du andere BS als Grundlage Deines Rechners einsetzen.

      Gruß adamsh

  37. Erkennungsraten entsprechend Virustotal:

    http://www.virustotal.com/file-scan/report.html?id=7b7096bf972368b98d760bd8b5b73ef319449101fefab6a8a726b8ab6b199674-1322100978,

    Stichtag 24. November 2011: 2/32, gut 5%

    http://www.virustotal.com/file-scan/report.html?id=7b7096bf972368b98d760bd8b5b73ef319449101fefab6a8a726b8ab6b199674-1322100978

    Allerneueste Analyse, Stichtag 05. Dezember 2011: 30/43, gut 2/3.

    Dies zeigt wiedereinmal, dass man von der Tatsache, dass AV-/AM-Software nichts findet, man niemals schließen darf, dass da nichts ist.

    Erinnert adamsh

  38. Hey. 😉
    Hatte ihn heute auch…bei mir war das nur i.wie ganz lustig. Erst kam ne Meldung von Kaspersky, dass was gefunden und verboten wurde, dann kam allerdings noch eine, und bevor ich die genauer lesen konnte kam der nette Bildschirm. Ich hab wohl (laut einigen anderen Foren) dem Ding den Garaus gemacht indem ich einfach eiskalt den Aus-Knopf auf dem Rechner gedürckt hab. (Gut, dass man schnell reagieren kann, wenn man von dem Ding schon gehört hat :D). Allerdings nich so lange, dass er kalt runtergefahren ist, sondern nur, dass er das herunterfahren erzwungen hat- oder wie das bei Wondows Vista heißt. Hat sozusagen alle Vorgänge abgebrochen. Hab den PC dann sofort wieder hochgefahren…und schon beinahe befürchtet, dass der Buildschirm wieder kommt…aber nichts. :DD PC läuft wieder einwandfrei. Mag daran liegen, dass Kasperksy die beiden Dateien plötzlich in der Quarantäne stecken hatte…und ich hab sie dann vollkommen aus dem BackUp verschwinden lassen. Jedenfalls läuft jetz alles wieder (und das ohne große Umstände).
    Ob er nun wirklich weg is…naja, in dem Ordner, wo er zuvor angeblich war, ist er laut Kaspersky jedenfalls nicht mehr, ich lass aber grad noch ne ganze Sytsemprüfung durchlaufen und werd mir gleich noch Malwarebtyes runterladen, um das nochmal durchlaufen zu lassen.
    Ich hoffe, der ist dann wirklich weg, ich hab keinen Bock, Windows nochmal neu drauf zu ziehen, das is immer so ne Prozedur. :/
    Weiß hier jemand, ob das Benutzen meiner Backup-CD sinnvoll wäre oder ob ich das ganze echt nochmal neu amchen sollte?(die war bei dem PC so dabei, stellt PC wieder in den Auslieferungszustand her, das heißt, meine Dateien wären zwar weg, aber ich müsste Windows nicht mehr selbst installieren, da das ja im Auslieferungszustand schon vorinstalliert war.)

  39. Hey Leute,

    Da will man abends nur mal gemütlich im Internet surfen und dann hat man so einen Mist auf seinem Rechner. Zum Glück hat man genügend gesunden Menschenverstand um gleich zu verstehen, dass es hier wirklich nicht mit rechten Dingen zugeht und noch ein anderes Notebook neben sich liegen um wiederrum im Internet nach einer Lösung zu suchen.
    Danke an die ganzen Posts, es hat total geholfen die ganzen Erfahrungen zu lesen und sich selbst mit dem Thema vertraut zu machen.

    Habe ihn erstmal wie folgt entfernt:
    Im abgesicherten Modus unter der Suche von “msconfig” im Startbefehl den Übeltäter ausgemacht, der wie so oft 0.irgendwas hieß. Häkchen entfernt und beim nächsten Neustart die Datei im entsprechenden Ordner gelöscht. Jetzt konnte ich den Rechner wieder normal starten, lasse aber grade die ein oder andere Virensoftware das ganze nochmal abgrasen.

    Ich hoffe nur, dass diese Zeug keine Überhand nimmt, sonst macht das Surfen ja wirklich keinen Spaß mehr….

    Liebe Grüße
    Dennis

    1. Hallo Dennis,

      danke für Deinen Erfahrungsbericht. Bitte auf jeden Fall nochmals Malwarebytes (https://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/) über Deinen Rechner laufen lassen und auch unseren Beitrag hier (https://blog.botfrei.de/2011/12/malware-entfernt-was-nun/) durchlesen.

      Die Sicherheitslücke über die sich das Ungeziefer eingenistet hat, ist auf jeden Fall noch da und offen … und sollte so schnell wie möglich geschlossen werden!

      Grüße,
      TK, ABBZ

      Facebook: http://www.facebook.com/botfrei

    1. Hallo markus,

      hierzu brauchen wir nähere Angaben von dir. Am besten du gehst auf unsere http://bka-trojaner.de Übersichtsseite und wählst die zu dir passende Anleitung aus. Für weitere Fragen stehen dir unsere Experten im Forum zur Verfügung.

      MG
      ABBZ

  40. Hey!

    Um das “Try an Error” vefahren etwas einzuschränken:

    Bei mir hat die “malewarebytes”-Methode geklappt!

    – Malewarebytes heruntergeladen
    – auf USB-Stick gespeichert
    – infizierten Rechner im abgesicherten Modus MIT NETZWERKTREIBERN gestartet
    – Malewarebytes installieren und updaten
    – Quicksacan starten
    – infizierten Dateien löschen über “Auswahl entfernen”
    – Windows wieder normal starten
    – Freude!

    …Vielen Dank für Eure Hilfe

  41. Hey Community, ich hatte heute auch mit den Bundestrojaner fake Virus zu kämpfen und kann für künftige Fälle nur sagen, dass der Tipp, den der Chris etwas weiter oben gegeben hat ausreicht. Also in den abgesicherten Modus gehen ( beim booten F8 drücken) auf Start>Programme>Autostart> und die merkwürdige Datei mit Namen 0. ……. löschen und CC Cleaner drüber laufen lassen, lief alles easy , und der Virus sollte somit nicht mehr beim starten hochfahren.

  42. Hallo,
    ich hab mir auch durchs surfen diesen Virus eingefangen. Zack, nix ging mehr. Beim Neustart natürlich auch nicht.

    Habe dann im abgesicherten Modus gestartet und dort Malwarebytes ausgeführt. Es wurde ein Eintrag gefunden – diesen habe ich entfernt – danach konnte ich Windows normal starten.
    Es kam allerdings eine Fehlermeldung, dass ein Programm nicht ausgeführt werden könne – war ja klar, weil sich der Virus-Eintrag noch in der Registry versteckte.

    Habe dann mit der Systemwiederherstellung von Windows meinen Laptop auf ein Datum VOR der Infizierung zurück gesetzt – seitdem läuft er wieder.

    Habe zur Sicherheit nochmal AntiVir und den DE-Cleaner drüberlaufen lassen!

    Hoffe,dass es jetzt weiterhin rund läuft und ich das Ding endlich los bin!
    LG

    1. Hallo Moritz,

      gerne laden wir Dich für eine individuelle Beratung in unser kostenfreies Support-Forum ein! Registriere Dich unter http://forum.botfrei.de und erstelle unter “Hilfe” –> “Windows” einen Thread mit Deinen Fragen!

      Grüße,
      TK, ABBZ

  43. ich bin den wie folgt losgeworden: Beim Hochfahren immer wieder auf F8gedrückt, den abgesicherten” Modus mit Eingabeaufforderung” gestartet, dort \windows\system32\restore\rstrui.exe eingegeben.Wiederherstellungspunk,t der bei mir 4 tage früher lag, gewählt. Dann habe ich McAffe gestartet. der hat tatsächlich nochmals was gefunden ( obwohl da stand, dass der PC sicher ist) und dann habe ich mir die Datei gesucht und obwohl der Ordner angeblich leer war(!!!), habe ich beschlossen den zu schreddern ( eine Möglichkeit von Mc Affee) und oh wunder ,da waren da noch 44 elemente versteckt.Jetzt läuft der PC wieder einwandfrei.Meine laienhafte Vermutung ist, dass der sich hinter der Eingabefenster “Wollen sie , dass Internetexplorer zu ihrem Standard Browser wird” versteckt, denn nachdem wir da versehentlich ja gedrückt haben, fingen die Probleme an ( wir könnten es anhand der Zeit feststellen)

  44. Oh, genau dieses Teil habe ich mir auch gerade eingefangen. Allerdings sieht das Bezahlfenster etwas anders aus – kleiner, ohne die Tankstellen-logos und nur mit paysafeCard als Zahlungsmöglichkeit. Wie schon geschrieben sind die “…/currentVersion/Run”-Registry-Einträge sauber, auch antivir hat im Komplettscan nichts gefunden… Den Virus hab ich mir unter meinem (nicht Admin) Benutzerkonto eingefangen, jetzt bin ich als Admin drin, ohne Virus. Geht das, oder muss ich mir sorgen machen, dass ich da bald auch nicht mehr drauf kann?

    1. Hi Greenlight,

      Du musst auf jeden Fall die Sicherheitslücke schließen, über die der Schädling reingekommen ist:
      https://blog.botfrei.de/2011/12/malware-entfernt-was-nun/

      Wenn Du möchtest, dass wir uns Dein System nochmals genauer anschauen, registriere Dich doch einfach kostenfrei in unserem Forum unter: http://forum.botfrei.de, und erstelle eine Thread mit allen Informationen zu diesem Schädling unter “Hilfe” –> “Windows Systeme”! Wir helfen Dir dann!

      Grüße,
      TK, ABBZ

  45. So zum zweiten mal hab ich den Trojaner vom Laptop meines Bruders geworfen. Das erste mal damals war noch ganz einfach. Abgesicherter Modus-Systemwiederherstellung… diesmal gab es keine Wiederherstellungspunkte. Komisch!!! Nach vielen Lösungswegen die ich hier gelesen habe, hab ich ihn unter Autostart gefunden auch unter 0. ……… .exe gelöscht 🙂 Malewarebytes durchgejagt und dieses hat den Rest erledigt 🙂

    Ich danke für die vielen Lösungswege.

    Grüße Easy

    1. Hallo Easy,

      Du musst auf jeden Fall die Sicherheitslücke über die der Schädling reingekommen ist schließen. Sonst wird er u.U. immer wieder auftauchen:
      https://blog.botfrei.de/2011/12/malware-entfernt-was-nun/

      Solltest Du darüber hinaus Unterstützung benötigen, laden wir Dich gerne in Suppport-Forum ein: http:/forum.botfrei.de ! Dort können wir gerne nochmals mit Dir zusammen über Dein System schauen!

      Grüße,
      TK, ABBZ

  46. Die Anleitung von NailedIT vom 12. Dezember hat bei mir (Vista) ebenfalls geholfen. Zumindest bis jetzt …;-)

  47. Hatte den BKA-Trojaner heute auch aber hab ihn danke eurer super Seite auch direkt wieder entfernt bekommen.

    Im abgesichterten Modus gestartet -> MalwareBytes über nen 2. PC geladen und auf nen USB-Stick gepackt -> auf infiziertem Rechner installiert und laufen lassen und alles infizierte enfernt und es läuft wieder !!!

    Vielen vielen Dank!!!

  48. mein PC war auch befallen ist es auch immernoch aber ich habe den trojaner/virus ausgetrixt indem ich einfach mei antivir erneuert habe. ausserdem habe ich nchd em laden meine benutzer profiels schnell ausgeloggt und in ein anderes eingeloggt . nun kommt immer wenn ich den pc starte eine nachricht das einen .dll dtei nicht gefunden werden konnte . nun ist mein pc nichtmehr gesperrt nur der taskmanager ist geblockt was nicht weiter schlimm ist , da ich einfach den taskmanager von TuneUp Utilities benutze . vielleicht habe ich geholfen….
    🙂

    1. Hallo Max,

      gerne helfen wir Dir im Forum individuell weiter. Registriere Dich hierzu bitte unter: http://forum.botfrei.de und erstelle einen Thread in der Kategorie “Hilfe” –> “Windows Systeme”!

      Grüße,
      TK, ABBZ

  49. Ich hab mich über den Aufruf der Seite sehr gewundert.
    Nach einer zusammenarbeit mit meinem Kumpel hat sich die Sachen in
    2h erledigt, jetzt bin ich noch dabei das System zu scannen und ggf. nochmal zu reinigen.
    Der verbesserte Process Explorer hat mir dabei der geholfen.
    Ich habe herausgefunden das sich etwas im Temp-Ordner festsetzt was mit ‘kn’ o.ä. beginnt und nicht zu löschen ist (außer Pocexp als Admin).

    1. Wenn der BKA-Trojaner keine Verbindung zum Server herstellen kann und die benötigten Komponenten nicht nachladen kann, so erscheint nur ein graues Bild. Der Trojaner selber blockiert aber weiterhin den PC und macht ein Arbeiten unmöglich.

      Gruß
      MG
      ABBZ

  50. Wir haben die V1.03 auf Windows XP.
    Wie lange kann es noch dauern bis es eine offizielle Anleitung zur Beseitigung gibt ?
    Sind PC-Laien ! Möchte nichts kaputt machen auf dem Rechner und auch wieder auf der sicheren Seite sein ! Was können wir tun ?

  51. Ich hatte diesen trojaner ebenfalls ! Win Xp SP 3
    einfach in den abgesicherten modus und malwarebytes fullscan machen!
    bei mir wurden 12 schädlinge erkannt
    10 files ; 1 registry Key ; 1 Registery Data
    Jetz geht mein Pc wieder einwandfrei!

  52. Habe mir auch das Ding eingefangen, unter WIN 7 – einzige Sicherung: MS Sec Essential.

    Lösung war aber einfacher als gedacht:

    Internetkabel abziehen – den Rechner ganz normal starten!
    In den ersten 4 – 8 Sekunden kann man WIN noch normal betreiben. Diese Zeit ausnutzen und die Systemsteuerung anwählen.
    Dann wird der Bildschirm mit der tollen BKA Mitteilung gesperrt.

    Jetzt einfach ALT+F4 , der BKA Bildschirm verschwindet und die Systemsteuerung wird sichbar.
    Zum Punkt Systemwiederherrstellung navigieren, einen Rücksetzungspunkt auswählen und fertig.

    So hat es bei mir geklappt – Rechner läuft seit dem (Befall war vor ca. 2 Tagen)
    wieder problemlos…

    Ohne Abgesicherten Modus und 23,431 AntiMaleWare Programme zu installieren.

  53. hi

    hatte diesen nervigen kram auch.. bzw hab den noch bin mir nicht sicher.. aber ich hab den vorteil das ich 2 monitore hab und das explorer fenster was sich mit dem internet explorer fenster öffnet schnell auf den anderen bildschirm ziehen kann bevor der bka scheiß alles sperrt.

    dann hab ich folgendes gemacht:

    1. cmd gesucht und geöffnet ist bei windows7/vista 64bit hier (c:\windows\syswow64\cmd.exe) bei windows XP und win7/vista 32bit hier: (c:\windows\system32\cmd.exe)

    2. dadrin “taskkill /im iexplore.exe eingeben das beendet schonmal die anzeige..

    3. dann den trojaner an sich gesucht bei mir war der im temp ordner also hier
    (c:\users\[username]\appdata\local\temp)

    4. da drin alles löschen kann relativ wenig kaputt machen bei denen wos nich geht meckert der schon rum.. da drin waren bei mir 2 dateien die ca. so aussahen: “0.7871726419030282.exe”.
    diese gingen nicht zu löschen, da sie mit dem “windows editor” geöffnet sind. Das hat mich schon gewundert also wieder cmd aufgemacht.

    5. in cmd dann folgendes eingeben “taskkill /im notepad.exe” solang bis der fehler kommt das das programm nicht geöffnet ist (2-3 mal machen am besten)

    6. danach konnte ich diese “0.7871726419030282.exe” dateien löschen

    7. direkt den papierkorb leeren! sicher ist sicher

    8. neustarten bzw abmelden und neu anmelden

    wenns geklappt hat, kommt jetzt ne fehlermeldung die ungefär so aussieht:
    “rundll konnte datei 323934829043.exe nicht finden”

    das kommt daher das die datei noch im autostart ordner ist, also im startmenü unter autostart nachschauen wenn vorhanden, löschen und fertig.

    Am besten nochmal mitm ccleaner drüber gehen und alles reinigen und nen virenscan/adware/malware scan machen.

    Hoffe ich konnte euch weiterhelfen 🙂

  54. Hallo Zusammen,

    ich habe mir das Ding heute auch eingefangen. Leider bin ich nicht sonderlich bewandert, was die technischen Facetten angeht. Ich hatte versucht in den Task-Manager zu kommen bzw. den Benutzer zu wechseln, wie ich es hier im oberen Bereich bereits gelesen hatte. Nun, beim Versuch den Benutzer zu wechseln hat mein Laptop ad-hoc den Geist aufgegeben und lässt sich auch nicht mehr anschalten. Just for you to notice!

    1. In diesem Fall war es wohl mal wieder ein DAU, der für falschen Alarm gesorgt hat. Hatte das Netzkabel wohl nicht eingesteckt. Also anschalten geht, Virus ist aber noch drauf.

  55. Hallo habe das Scheiß Ding auch habe es so wie bei t-online gemacht und den de- cleaner von avira auf einen ministick installiert und dann am infizierten pc über Angesichter Modus im Explorer gestartet nur kann ich jetzt nicht sagen ob es funz weil de cleaner seit 11std am suchen ist!hat auch anscheinend 3 Sachen gefunden wobei ich mir fast sicher bin das eine Sache davon die bf3. Exe ist also die battelfield3 exe!
    Kann jemand mal genau und detailliert beschreiben wie es jetzt geht das Scheiß Ding los zu werden hier stehen ja irgendwie 20 verschiedene Möglichkeiten das decks Ding los zu werden!vielen dank

  56. Will mich aber nicht dort anmelden kann man hier keine Beschreibung reinsetzen wo man als Anleitung nimmt?

  57. Ein Freund von mir hat sich diesen Trojaner eingefangen. Ich habe es nachdem ich die Kommentare hier gelesen habe mit der Bitdefender Rescue CD versucht und hatte Erfolg.
    Anleitung: ISO Image von der CD bei Bitdefender runtergeladen und auf CD gebrannt. Dann den Rechner von der Bitdefender Recue CD gestartet. Beim Starten hat Bitdefender sich über die Internetverbindung (per Kabel zum Router) die aktuellen Virendefinition geladen und dann beim Suchlauf 82 schädliche Einträge und Dateien gefunden. Diese wurden alle gelöscht. Danach ist der Rechner wieder problemlos gestartet.

  58. moin, danke für die vielen hilfestellungen…ich hatte mir das ding auch gerade eingefangen: es war unter start>programme>autostart als zahlenkolonne zu finden…
    nachdem im abgesicherten modus gar nichts ging, hab ich den rechner nochmal (auch vom netz getrennt) normal hochgefahren…die sperre war verschwunden und die datei leicht zu finden…mal sehen, ob es gereicht hat, sonst melde ich mich gleich nochmal…;)

  59. Hallo,

    dieses dämliche Stück Malware habe ich mir mehrmals in den letzten Monaten eingefangen; bei mir genügt ein zweimaliger Neustart des Rechners mit der Resettaste, danach kann ich die Verknüpfung zu “wpbt0.dll” im Autostartordner löschen, der Taskmanager und “Versteckte u. Systemdateien anzeigen” in den Ordneroptionen des Explorer funkionieren dann auch wieder.

    “Versteckte u. Systemdateien anzeigen” aktivieren, dann wird “wpbt0.dll” und noch eine dazugehörige .exe-Datei in

    C:\Dokumente und Einstellungen\WinXP\Lokale Einstellungen\Temp

    angezeigt. Den ganzen Rotz lösche ich aus dem Tempordner und das System läuft bei mir wieder rund. Danach kann man in aller Ruhe und soweit nötig, die Registry von eventuellen Einträgen des Trojaners säubern und einen Virenscan laufen lassen (ich machs nicht, geht bei mir auch ohne :-).

    1. bist ja ganz schlauer

      und wieso mehrmaliges neustarten – was soll das bringen

      einfach abgesicherten modus und die daten in autostart löschen

      geht zb mit msconfig

      blablabla

      also – wer ständig auf pornoseiten und so sich rumtreibt braucht sich auch nicht wundern das die scripte überall zuschlagen

Kommentare sind geschlossen.