Gesperrter PC durch kostenpflichtiges Upgrade: Anleitung zum Entsperren unter Windows 7

UPDATE vom 30. August 2012:

Bitte beachten Sie: Da es mittlerweile weitere Varianten des hier abgebildeten Schädlings gibt, welche optisch ein ähnliches oder identisches Erscheinungsbild haben, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.

Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter http://forum.botfrei.de wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.

Wir sind nun auf eine neue Art gestoßen, wie Cyberkriminelle Ihren PC durch eine Infektion sperren. Sollten Sie das folgende Bild, das wir auch auf unserer Übersichtsseite www.bka-trojaner.de haben, sehen, so folgen Sie dieser Anleitung unter Windows 7, um Ihren Rechner zu entsperren.

Abb. 1: Gesperrter PC

1.) Starten Sie den Rechner neu und booten Sie mit Hilfe der F8-Taste in den “abgesicherten Modus mit Eingabeaufforderung“.

Abb. 2: Abgesicherter Modus mit Eingabeaufforderung

2.) Melden Sie sich mit Ihrem Benutzernamen am System an und geben Sie das Passwort ein.

Abb. 3: Anmelden am System

3.) Geben Sie folgendes in der Kommandozeile ein:

cd /
cd users
cd “BENUTZERNAME
cd AppData
cd Roaming
cd Microsoft
dir
del svhcost.exe bzw. del torrent.exe , falls die Datei auch vorhanden ist!
shutdown -r -t 00

Wenn Sie sich nicht sicher sind welche Datei Sie mit del löschen sollten, können Sie uns auch in unserem Support-Forum fragen.

4.) Nach dem Neustart sollte das Schadprogramm, in unserem Fall das Sperrbild nicht mehr mitgeladen werden. Denken Sie daran Ihr System nach diesem Vorgang ausgiebig zu scannen, da sich immer noch Reste des Schädlings auf dem System befinden! Wir empfehlen Ihnen für die Bereinigung entweder Malwarebytes Anti-Malware oder Superantispyware.

Hinweis: Sollten Sie Hilfe benötigen, registrieren Sie sich kostenlos in unserem Support-Forum.

116 thoughts on “Gesperrter PC durch kostenpflichtiges Upgrade: Anleitung zum Entsperren unter Windows 7”

  1. Danke für eure Hilfe!
    Bin jetzt schon zwei verschiedenen Versionen des BKAs begegnet, bisher habe ich es immer geschafft die Software zum Absturz zu bringen, so konnte ich sogar ohne Abgesichertenmodus vorgehen.. als reproduzierbar hat sich erwiesen:
    1. Netzwerkkabel ziehen
    2. Mit Zweitrechner auf Youtube nach Ukash oder PaySafeCard Generator suchen (je nachdem welche Zahlung “akzeptiert” wird) – DIE SOFTWARE NICHT LADEN
    in den Videos sind generierte Keys zu sehen.
    3. Key ins Viruseingabefeld eintragen und bestätigen – jetzt überprüft die Software den Key. Oft hängt sie sich dabei auf, wenn man es nur oft genug probiert. Oder aber, sobald der Hintergrund schwarz wird mit ctrl+shift+escape den Taskmanager öffnen und den betroffenen Prozess abknallen.

    Übrigens ist es nicht unbedingt svhcost.exe, heute bin ich einer “hostrun.exe” im AppData Roaming Microsoft begegnet..
    (-> http://virusscan.jotti.org/de/scanresult/bb410fed613b8c8c4670edd742c6e060017faf18)
    Habe die Datei archiviert, falls Interesse besteht.

    Danke euch nochmal, und alles Gute

  2. Sollte eventuell erwähnen, dass Super Anti Malware, awsMBR, eset online, NPE und TDSSKiller nicht angesprungen sind, bevor ich noch mehr testen musste, hatte ich es selbst gefunden..

  3. Hallo ich habe das gleiche Problem wie oben beschrieben das mir der Pc gesperrt wurde und die verlangen Paysafe wie kann ich das beseitigen ohne dem Erpresser zu Zahlen? Das Passwort für mein Pc hab ich. Vergessen und weiß net weiter bin im Moment über iPhone im Internet

  4. Auch von mir herzlichen Dank für die Hilfe!
    Den GEMA Virus bekam ich nur durch eure hilfe weg.
    Bei dem hier beschriebenen Virus war meine vorgehensweiße etwas anders.
    Ich habe wie beim GEMA Virus den abgesicherten Modus gestartet und den Administrator aktiviert. Bin dann nach einger suche auf die hostrun.exe gestoßen und habe die gestartet um fest zu stellen das es sich um das “böse” Programm handelt.
    mußte dann wieder neu starten. 😉
    Da das System verhindert hat die hostrun.exe zu löschen weil das programm über die Systemregistrierung bereits beim booten aktiviert wurde habe ich in der regedit nach Einträgen mit der hostrun.exe gesucht und den schlüssel unter RUN gelöscht und noch mal neu gestartet. Nun lies sich die hostrun.exe ohne weteres löschen. Zum Abschluß noch ein Vierenscann und nun scheint das Sytem wieder tatellos zu laufen.

    nochmals vielen Dank für die Wertvollen Anweisungen und Tips die man hier finden kann.

    Gruß Edi!

  5. Man, man, man! Nimmt denn dieser Trojaner-Müll denn mal wieder irgendwann ein Ende. Augenscheinlich “lohnt” sich das “Geschäft” aber so sehr, dass es immer wieder neue Clone von diesem BKA-/ Bundespolizei-/ Gema-Trojaner gibt.
    Hatte bei mir im Blog auf redirect301.de auch schon über dieses Thema gepostet und sehe wie viele Leute hier jeden Tag nach Hilfe suchen.

  6. Hallo! Habe seit heute mittag ebenfalls dieses lästige Problem und wollte mal wissen ob es vielleicht auch noch andere Namen außer “svhcost.exe” oder “hostrun.exe” gibt, da beide bei mir nicht existieren.

  7. Hatte diesen Virus vor zwei Tagen drauf. Habe einfach den Rechner ausgeschalten und vom Netz abgekoppelt. Danach wieder gestartet und der Spuk war erst mal vorbei, konnte wieder normal arbeiten. Habe dann G Data Internet Security die halbe Nacht laufen lassen, aber nichts gefunden. Am nächsten Morgen Rechner wieder ans Netz gehangen, G Data Update durchgeführt und siehe da: hostrun.exe wurde entdeckt. Nachdem Löschen durch die Virensoftware nochmals kompletter Virenscan und noch 4 oder 5 weitere Viren gefunden, die sicher mit dieser hostrun.exe zusammenhingen.

    Meine Empfehlung an alle, die im Netz surfen: Tut dies nur mit einem eingeschränkten Benutzerkonto, so dass sich Schadprogramme nicht von selbst installieren können und auch keine wichtigen Einstellungen von Windows und den Programmen, insbesondere vom Viren-Scanner verändern können. Richtet ein zweites Benutzerkonto ein mit Admin-Rechten, das ihr mit einem Passwort schützt und was ihr nur nutzt, um Programme zu installieren/deinstallieren und ggf. mal irgendwelche Einstellungen zu ändern. Ich bilde mir ein, dadurch auch besser mit dieser hostrun.exe klargekommen zu sein. Zumindest war mein Rechner nicht permanent gesperrt und ich musste auch nicht im abgesicherten Modus usw. rein.

    1. Hallo Michael,

      Bitte beachte unsere Hinweise: https://blog.botfrei.de/2011/12/malware-entfernt-was-nun/ ! Es ist dringend anzuraten, dass Du Deinen Rechner auf Aktualität prüfst, und notwendige Sicherheitsupdates einspielst! Andernfalls läufts Du Gefahr Dich wieder mit dem Schädling zu infizieren, da die Lücke (über die er sich Zugang zu Deinem Rechner verschafft hat) noch offen ist!

      Scanne Deinen Rechner auch nochmals mit Malwarebytes und sicherheitshalber nochmals mit einem DE-Cleaner (z.B. dem von Avira)!

      Grüße,
      TK, ABBZ

      Facebook: http://facebook.com/botfrei

  8. Hi Leute,
    bin vorhin auf eben auf diesen doofen Trojaner gestoßen. Habe genau diesselben Symptome wie oben beschrieben an meinem Laptop, wenn ich im CMD Fenster allerdings den vorletzten Befehl: del svhcost.exe eingebe kommt die Meldung: C:\Users\Sabrina\AppData\Roaming\Microsoft\svhcost.exe konnte nicht gefunden werden

    Bitte helft mir! Hab mir via google schon alles mögliche durchgelesen, finde aber nicht heraus warum dieser Befehl nicht funktioniert 🙁

    Danke!

  9. Hallo zusammen,

    gibt es noch andere Alternativen neben dieser Lösung? Zum Beispiel wenn in AppData\Roaming\Microsoft\ keine svhcost.exe liegt…

    Grüße

    1. Hallo SC,

      wir helfen dir gerne in unserem Support-Forum weiter –> forum.botfrei.de
      Die Registrierung ist kostenlos.

      Grüße,
      CG (ABBZ)

  10. @TK

    ich habe das system (win 7, 64bit) mit einigen maleware scannern überprüft.
    es hat 3 tracing cookies gefunden ansonsten nix.

    beste grüße und ein schönes wochende wünsche ich

    hans

  11. habe alles nach der anleitung befolgt. allerdings sagt er immer: del svhcoast.exe konnte nicht gefunden.
    habe auch hostrun,exe ausprobiert, geht auch nicht….bitte um schnelle hilfe brauche den läpi fürs studium, sehr wichtig………danke…ps habe mich schon bei blogfrei angemeldet…name philipp69

  12. Ich habe die Anleitung oben befolgt und habe es sowohl mit der hostrun.exe als auch mit der svhcost.exe versucht, beide hat er nicht gefunden und es blockiert immernoch….HILFE!!!

    1. Hallo Toni,

      gerne möchte ich Dich zum individuellen Support in unser Forum unter: http://forum.botfrei.de einladen! Erstelle dort bitte unter Hilfe –> Windows einen eigenen Beitrag mit Deinem Problem und nennen uns in Deinem ersten Beitrag bitte:
      – das Betriebssystem, welches Du verwendest
      – die Nummer des Trojaners (siehe unter: http://www.bka-trojaner.de)
      – was hast Du bisher getan

      Grüße,
      TK, ABBZ

      Facebook: http://facebook.com/botfrei & Google+: http://gplus.to/botfrei

  13. Hi,
    ich hatte den Mist gestern auch auf dem Rechner. Bei mir hieß die Datei im angegebenen Verzeichnis anders, es war die dllhsts.exe. Diese habe ich gelöscht.

    Ich habe vor Finden dieser Lösung selbst getestet. Also im Folgenden der Workaround, wenn die Datei anders heißt:

    System im abgesicherten Modus starten. Dort habe ich dann alle Sachen aus dem Systemstart herausgenommen, anschließend kam die Meldung nach dem Hochfahren auch nicht. Zum Systemstart gelangt ihr über:
    Start –> ‘msconfig’ eingeben und Enter drücken –> Reiterkarte ‘Systemstart’ –> Dort war es bei mir das verschleierte Systemstartelement “Firefox”. Der Befehl verwies auf den bereits genannten Pfad, also {Userprofil}/AppData/Roaming/Microsoft/dllhsts.exe –> Den Haken rausnehmen und fertig. Danach normal neu starten.

  14. Hallo zusammen,
    auch mich hatte der BKA-Trojaner erwischt und zwar eine Version ähnlich der 3.02, aber mit Zusätzen am unteren Rand wie im Bild http://imageshack.us/photo/my-images/703/20111215174348.jpg/ , das Hans am 15.12.11 um 18:20 geschickt hat.
    Die Vorgehensweise im abgesicherten Modus war erfolgreich.
    Von den 3 Kandidaten mit unbekanntem Hersteller erwies sich opera.exe im Verzeichnis C.\users\\AppData\Roaming\Opera\opera.exe als Volltreffer. Dies wurde auch von McAfee Antivir und Malwarebyte bestätigt.

    Ich wünsche allen ein ruhiges, virenfreies Weihnachtsfest,
    Bernd

  15. Hey Ho,

    also ich hab auch im abgesicherten Modus einen Erfolg zu verzeichnen. Bei mir war es ebenfalls opera.exe – Haken raus und das System lässt sich ohne die Geldabzocke-Verars**e starten.

    Frohes Fest und Guten Rutsch 😉

  16. Hallo!

    Bei mir war es die AppData\Roaming\Microsoft\dllshts.exe
    Ich hatte schon schwierigere Viren, dieser war schon in der msconfig zu sehen.
    Ich bin einfach auf löschen gegangen danach den Prozess beenden und sofort das löschen bestätigen.

    Ich hatte in den letzten Tagen schon Versionen da konnte man nicht im Abgesicherten Modus starten –> Bluescreen mit Hinweis auf Viren.

  17. Hallo,
    ich habe mir den Trojaner 3.02 eingefangen und habe die Anleitung befolgt jedoch geht bei mir weder del svhcost.exe noch hostrun.exe, dllhsts.exe und opera.exe.
    Gibt es noch mehr Möglichkeiten?
    MfG

  18. Hallo, ich arbeite mit Windows 7. Ich habe leider keinen Zugriff auf meinen Benutzerordner. Die Benutzer sind auf D: angelegt, sie werden jedoch als [C:\HDD\Benutzername] angezeigt, und auf C: habe ich generell keinen Zugriff, weil system-reserviert. Auch ein “net user administrator …” oder ein “attrib …” hilft nichts, ich komme einfach nicht auf C: um die “svhcost.exe” zu löschen.

    1. Hallo Eric,

      gerne helfen wir Dir im Support-Forum unter http://forum.botfrei.de individuell weiter. Registriere Dich einfach kostenfrei und erstelle einen eigenen Thread in der Kategorie “Hilfe” –> “Windows Systeme”!

      Grüße,
      TK, ABBZ

  19. Bei mir hatte er sich unter C:\Users\BENUTZERNAME\AppData\Roaming\Microsoft\Internet Explorer\iexplorer.exe eingenistet. Datei entfernt u. alles wieder o.k. 🙂

  20. Hallo,

    ich habe von meinen Kumpel den Rechner hier, wo dieser Trojaner drauf ist.
    Die hier aufgelisteten Datei habe ich nicht auf den Rechner oder Registrie gefunden.
    Aber diesen Eintrag C:\Users\Home\AppData\Roaming\Firefox\firefox.exe habe ich gefunde. Was mir komisch vorgekommen ist, das die firefox.exe unter Datei-Eigenschaften den Hersteller Unbekannt stehen hatte und in der msconfig.exe hier auch “Unbekannt” stand. Ich habe dieses Verzeichnis und den msconfig-Eintrag gelöscht.

    Ich hoffe das ich hier den Trojaner erwischt habe. Bis jetzt ist wenigsten die Meldung nicht mehr gekommen

    Gruß
    dlh

  21. Bei uns hieß der Störenfried (höchstwahrscheinlich) loadhst.exe
    nachdem wir das runtergeworfen haben, hat es wieder funktioniert.

  22. Hi,
    Bei der Kommandozeile nimmt er bei mir den Benutzername nicht an…
    Und auch nachdem ich den Netzwerkstecker gezogen und ein Vierenscann durchgeführt hatte, bei dem nichts gefunden wurde, tauchte die Meldung mit eingeschaltetem Internet wieder auf…
    Die exe findet er nicht..
    Was kann ich tun?

  23. Hi leute!
    6ab auch dieses problem! Hab wie in der anleitung alles in die kommandozeile eigegeben nur beim del svhcost.exe hängt es! Da steht der befehl konnte nicht gefunden werden!? Weiß jemand wie man da weiter kommt?
    danke im voraus!
    lena

    1. Hallo Lena,

      gerne helfen wir Dir in unserem Support-Forum unter (http://forum.botfrei.de) individuell und kostenfrei weiter! Hier im Blog ist es uns leider wg. mangelnder Übersicht leider nicht mgl.!

      Grüße,
      TK, ABBZ

    2. echt tk 1mal posten reicht ich lese mir hier die posts durch und dein gespamme geht einem echt auf die eier und als ich dann dort gefragt habe kam keine antwort und nix….

    3. ??? Ich verstehe nicht worauf Du hinaus willst! Was für ein “gespamme”?

      Grüße,
      TK, ABBZ

  24. Habe Windows 7 und Bild. 3.02. Läßt sich aber nach obiger Anleitung nicht entsperren.
    Hebe bereits “svhcost.exe” und “hostrun.exe” probiert, aber es funktioniert nicht.
    Gibt es noch andere Möglichkeiten?

    Vielen Dank im voraus für Ihre Hilfe.

    1. Hallo Junggeburth,
      gerne helfen wir Dir in unserem Support-Forum unter (http://forum.botfrei.de) individuell und kostenfrei weiter! Hier im Blog ist es uns leider wg. mangelnder Übersicht leider nicht mgl.!

      Gruß ABBZ

  25. Hallo,
    ich hatte gestern auch Version 3.04 auf meinem Windows 7 laptop.
    Mit oben beschriebener Methode kam ich allerdings nicht weiter, da sowohl “svhcost.exe” und “hostrun.exe” nicht gefunden wurden.
    Bin dann erneut in den gesicherten Modus mit Eingabeauffoderung und habe mit msconfig die Systemstartdateien durchgeschaut.
    Die verantwortliche Datei war auch bei mir wahrscheinlich “firefox.exe”. Hersteller war unbekannt.
    Seit ich diese Datei deaktiviert habe, scheint der Virus weg zu sein.
    Ein vollständiger Suchdurchlauf von malwarebytes und superantyspy haben auch keine infizierten Dateien mehr gefunden.
    Hoffe, das Problem ist damit behoben!

    1. Hallo sinbu,
      wie du schon sagtest, den Start der Datei deaktiviert…
      Die eigentliche Datei ist aber noch auf dem Rechner. Du hast nur den Start verhindert. Schau nochmal in die msconfig dort sollte im Reiter Systemstart immer noch die deaktivierte Verknüpfung stehen. Unter Befehl kannst du sehen wo die eigentliche Datei liegt. Diese solltest du löschen.

      Gruß ABBZ

    2. Hallo ABBZ,
      danke für die Antwort.
      Ja, du hast Recht. Die Datei war noch weiterhin bei msconfig im Reiter Systemstart sichtbar, nur deaktiviert.
      Habe nun die infizierte Datei wie oben beschrieben geslöscht. Allerdings taucht sie nach einem Neustart bei msconfig/ Systemstart immer noch auf. Sie scheint jedoch gelöscht zu sein, da ein erneutes Löschen nicht möglich ist (in diesem Fall wird die Datei nicht mehr gefunden).
      Ist das normal? Ist der Virus damit weg?

    3. Wir helfen Dir gerne weiter! Allerdings ist uns hier, auf einem Blog mit allgemeinen Anleitung, nicht für jeden Einzelfall mgl.! Ich möchte Dich bitte, dass Du Dich in unserem Support-Forum (http://forum.botfrei.de) registrierst! Dort helfen wir Dir gerne weiter!

      Grüße,
      TK, ABBZ

    4. Hallo sinbu,
      Schön gemacht, dann sollte die Schaddatei jetzt gelöscht sein.
      Der Eintrag in der msconfig sollte kein Problem darstellen (deaktiviert). Um diesen auch weg zu bekommen, musst du schauen wo dieser Eintrag steht bzw. herkommt…
      Das kann Global Startup: sein, also aus verschiedenen Bereichen herkommen (Registry oder den Autostartordnern). Lade dir mal Hijackthis herunterladen und schau wo dieser Eintrag herkommt.

      Hast du noch weitere Fragen, melde dich kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten helfen.

      Gruß ABBZ

  26. Diese ganzen Viren nerven mich tierisch.
    Ich habe genau diesen Virus auf meinem zweiten PC, allerdings unter Win XP SP3. Gibt es dafür auch eine Anleitung, um den Schädling loszuwerden?

    Gruß

    1. Hallo Marc,

      gerne helfen wir Dir in unserem Forum unter http://forum.botfrei.de weiter! Registriere Dich bitte einfach kostenfrei und erstelle einen Thread unter “Hilfe” –> “Windows System”! Die freundlichen Helfer werden Dir schnellstmöglich mit Rat & Tat zu Seite stehen!

      Grüße,
      TK, ABBZ

  27. Hallo,
    Vielen Dank für die Hilfe! Bei mir war es auch Firefox.exe und die antispyware hat auch einiges gefunden. Hoffe,es ist nun alles weg.
    LG

  28. Hallo,
    diese Anleitung scheint für jeden verständlich, das finde ich wirklich super! Wie schon ein anderer Nutzer oben würde mir auch eine Anleitung für XP helfen. Könnte das hier vielleicht kommentiert werden? Es scheint ja doch mehrere mit diesem Problem zu geben.
    MfG

  29. habe auch diesen gesperrten pc habe es schon versucht mit der anleitung wieder zu entfernen aber erfolglos… kann mir bitte jemand weiterhelfen?

  30. Bei mir war es auch die firefox.exe im ordner Mozilla der im oben mehrfach beschriebenen Verzeichnis app data…usw. lag

    EIN GANZ WICHTIGER HINWEIS DEN ICH BISHER BEI KEINEM LÖSUNGSVORSCHLAG, AUCH NICHT ZUM BKA VIRUS GELESEN HABE:

    -MERKT EUCH UNBEDINGT DIE EXKATE UHRZEIT, BIS AUF DIE MINUTE GENAU, BEI DER DAS PROBELM AUFTRAT UND SUCHT DANN BEIM LÖSCHEN VERDÄCHTIGER DATEIN IN DEN OBEN BESCHRIEBENEN ORDNERN GEZIELT NACH DIESER ZEIT!!!

    Das hat mir extrem geholfen !

    1. abgesehen davon und da schleisse ich eingigen vorrednern an sollte an bei vista und windows sieben immer ein richtigen Admin account haben, wie man den aktiviert dazu findet ihr anleitungne in Foren und dann aber zum surfen GRUNDSÄTZLICh den nicht-Admin account nutzen. Dann kann man so wie ich grade beim bka virus und seinen clones gechillt in dem Admin Internet nutzen, lösungen wie hier finden und direkt auf die app data verzeichnisse zugreifen und sachen löschen, was mit dem normalen benutzerkonto ja nicht so wirklich klappt( allerdings müsst ihr hiezur bei ordneroptionen verstecke dateien einblenden lassen um das app ordner dings überhaupt zu sehn)

    2. Hallo gefunden,

      das kann sein, muss aber nicht. 1.: Viren können sich aus Archiven entpacken, und haben dann nicht zwangsläufig das Datum des “aktiv Werdens” … 2.: Viren können als Schläfer auf dem System rumlungern und erst zeitversetzt aktiv werden!

      Grüße,
      TK, ABBZ

    1. Die Aussage von nino kann ich bestätigen!

      Prozess: firefox.exe*32 bit
      Pfad: C:\Users\USERNAME\AppData\Local\Mozilla\Firefox

      In der Prozess-Beschreibung im Taskmanager steht auf jeden Fall nicht “Firefox”, wie beim Original.

      Wie entfernen?
      Bei mir hat es gereicht in das obige Verzeichnis zu gehen und die Firefox.exe mit Admin-Rechten zu löschen – ggf. im Abgesicherten Modus über die Eingabeaufforderung versuchen. Danach neu starten und auf jeden Fall nochmal das System scannen!

    2. Durch das Löschen der Datei hast Du natürlich noch nicht den Verweis darauf in der Registry gelöscht. Das kann zu Fehlermeldungen führen! Gerne helfen wir Dir dabei diese zu fixen. Registriere Dich hierzu bitte in unserem Support-Forum unter http://forum.botfrei.de!

      Darüber hinaus solltest Du natürlich unbedingt Dein System updaten, da das System weiterhin anfällig ist; die Sicherheitslücke noch nicht geschlossen wurde! Auch hierbei unterstützen wir Dich in unserem Forum!

      Grüße,
      TK, ABBZ

    1. Hallo Ale,

      schau mal hier www-bka-trojaner.de und suche zu deiner Infektion die XP Schritt für Schrittanleitung heraus.

      Gruß ABBZ

  31. Bei mir war es die Datei saletoc.exe auf dem Betriebssystem Windows 7.

    Diese Befand sich unter C:\Users\Benutzername\AppData\Roaming\Microsoft

    Die Datei konnte nur bei gezogenem Lan-Kabel und bei Start im “abgesicherten Modus mit Eingabeaufforderung” gelöscht werden.

    Außerdem musste über regedit die Registrierungsdatei nach “saletoc.exe” durchsucht und der gefundene Schlüssel komplett gelöscht werden.

    Dann noch ein Scan mit dem Virusprogramm.

    1. Bei mir war es ebenfalls die Datei saletoc.exe auf dem Betriebssystem Windows XPP Sp3.

      Diese Befand sich unter
      C:\Dokumente und Einstellungen\”Benutzername”\Anwendungsdaten\Microsoft

      auch hier war beim Systemstart und gezogenem LAN-Kabel keine Aktivität, also scheinbar normaler Betrieb des Rechners möglich.
      TrendMicro hat keine Bedrohungen gefunden.

      Alleine das umbenennen der Datei hat ausgereicht, um den Rechner mit Verbindung zu Router stabil zu halten !!!!! ist aber nicht die Lösung !!!!!

      Wie schon von sebola beschrieben:
      1) die betroffene Datei löschen
      2) alle Schlüssel in der Registry bezügl. der unter 1) bereinigen.

    2. Hallo pied,

      ich würde zur Sicherheit einen Vollscan mit Malwarebytes durchführen. Hier findest du den Download sowie eine Anleitung.

      Gruß
      MG

    3. Mittlerweile hat auch TrendMicro die Bedrohung und das Muster erkannt!
      – aber nur die Datei gelöscht!

  32. Erstmal danke für die super Anleitung 🙂
    Bei mir hatten sich beide unterm HP-Kram versteckt. Einmal war es HPAdvisor.exe (Hersteller Unbekannt) und außerdem noch DelayedAppStarter.exe (ebenfalls Hersteller unbekannt). Habe beide über die Systemkonfiguration deaktiviert – nur gelöscht krieg ich sie nicht. Hab jetzt aber auch SuperAntiSpyware drüber laufen lassen, das findet auch nichts mehr. Ist jetzt also alles gut oder muss ich noch etwas machen?
    Danke 🙂

  33. Meine Schwester hat dieses Problem an ihrem Laptop.
    Die Anleitung ist sicher gut, wobei aus einem (von mir) unerklärlichem Grund, das System den Benutzername im abgesicherten Modus nicht annimmt. Es ist nur ein Benutzerkonto drauf und ich habe schon alle Varianten mit und ohne Anführungszeichen… ausprobiert.
    Ich bedanke mich im Voraus für Hilfe.

  34. Hallo zusammen!

    Vielen Dank für den Guide hier, damit bin ich den Mist los geworden. Anti-Malware hat auch noch etwas gefunden und entfernt.

    Was mich nun allerdings beschäftigt ist, ob tatsächlich alles weg ist oder ob es wegen Online-Banking & co nicht ratsam ist, Windows vollständig neu zu installieren…

    1. Hallo Tillseeker,

      100%ige Sicherheit bekommt man nur bei einer Neuinstallation!! Evtl. solltest du über eine Livesystem fürs Onlinebanking nachdenken (z.B.Ubuntu,Knoppix). Diese werden von CD gestartet und es wird nichts lokal auf die Festplatte gespeichert.
      https://blog.botfrei.de/2011/09/datensicherung-und-mehr-mit-dem-livesystem-knoppix/).

      bitte lese im Anschluss folgenden Beitrag.
      https://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/

      Gruß ABBZ

  35. Hallo,

    also so langsam aber sicher … würd ich diesen Typen, der dieses Dingen verbreitet, wirklich gerne mal persönlich kennenlernen … wegen meiner “freundlichen Worte” an selbigen …

    Aktuell hänge ich als Laie fest wie folgt:

    1. Habe Windows XP Pack 3.
    2. alle bekannten exe.Dateien und registry-infos (hostrun, salotec,dhll … usw.) erfolglos abgegraben. Auch FF-Dateien unauffällig. Abgesicherter Modus bzw . selbiger mit Eingabeaufforderung rauf und runter – ergebnislos (muss dazu sagen, den Bundespolizei-Trojaner konnte ich so vor ca. zwei Monaten entfernen).
    3. Auffällig: Wenn ich mich ins Netz einwählen wollte, hatte ich sofort die bekannte Meldung “Achtung! …” am Start. Nachdem ich den CC-Cleaner vorwärts und rückwärts habe drüber draufen lassen, hakte dieser mehrfach beim FF. Habs mehrfach drübert laufen lassen … und plötzlich funzte alles.
    4. Darauf konnte ich “Malwarebytes” über´s Netz aktualisieren. Netzverbindung getrennt – Programmverlauf: Keine Fehler.
    5. Avira aktualisiert – Netzverbindung hielt.
    6. Dann versucht mir Kaspersky runterzuladen – und platsch, hatte ich das bekannte Nerven-Ungetüm wieder drauf.

    Für meine Begriffe muss sich dieses Nerven-Ungetüm irgendwie und irgendwo unmittelbar auf irgendwelche Dateien für den I-Net-Zugang draufsetzen. Vielleicht hat jemand Tipps für mich, wo ich – bei XP – suchen könnte? Aktuell läuft Avira bei aktuell knapp 25% bis jetzt ergebnislos drüber – und ich brauch jetzt erst mal mindestens 4 Stunden Schlaf.

    LG + schonmal schönen Dank für hilfreiche Tipps
    Marui

  36. So, dann doch die Erfolgsmeldung – das Nerven-Ungetüm hatte sich als Skype-Datei getarnt – unter eigene Ordner. Aufgefallen ist es, weil ich auf dem befallenen Rechner gar kein Skype habe.

    LG
    Marui

  37. Ich habe auch ein kleines Problem. Ab dem Schritt:

    del svhcost.exe bzw. del torrent.exe , falls die Datei auch vorhanden ist

    bei mir kommt die Meldung das er weder svhcost.exe noch torrent.exe findet.

  38. Hallo,

    habe mir auch diesen Wurm eingefangen. Leider komme ich bei der Anleitung nicht bis Schritt 3. Ich starte den Rechner mit F8 und wähle den “abgesicherten Modus mit Eingabeaufforderung”. Ich kann aber nichts im Kommandofeld eingeben, denn meine Tastatur läßt sich nicht mehr bedienen!! Irgendeine Idee?!?

    Beim hochfahren in den abgeschierten Modus pfeift es und ich sehe kurz die Meldung “keyboard failure”. Mache ich irgendwas falsch?

    Danke!

    Danke

    EMMELL

  39. Hallo zusammen,
    wie von vielen bereits beschrieben funktionierte auch bei mir der loesungsvorschlag nicht.
    ich habe dann msconfig im abgesicherten modus gestartet.
    Die beschriebenen exe files hatte ich nicht.
    Ich habe dann erst mehrere dienste deaktiviert, half alles nicht.
    Dann habe ich hier etwas von skype.exe gelesen und siehe da, die wars.
    Dachte eigentlich ich hab skype drauf…habe es aber nach dem letzten neuaufsetzen vergessen zu installieren.
    Zu finden: c:\users\benutzername\local\skype\skype.exe, bei msconfig haken bei systemstart raus.
    Dann malwarebytes und regcleaner laufen lassen, windows updates installiert & siehe da,
    System laeuft wieder..
    Gruesse

  40. Moinsen habe mich nun auch mit dem BKA _Trojaner 3.04 infiziert.

    Lösung

    Combofix download, abgesicherter Modus starten und laufen lassen
    Im Autorun Tool von http://tcpmonitor.altervista.org/
    auch was von Skype plötzlich drin stehen,Naja weg damit.
    Combofix hat wie bei patster den gleichen Erfolg c:\users\benutzername\local\skype\skype.exe
    und weg is er nu ohne viel Aufwand und neuaufsetzen.

    Have fun

  41. Ich habe die anleitung bis schritt 3 befolgt und des hat auch alles gut geklappt bis bei der eingabe “cd “BENUTZERNAME” ” die Meldung kam “Das System kann den angegebenen Pfad nicht finden.”
    Was soll ich jetzt tun?

  42. Moinsen habe mich nun auch mit dem BKA _Trojaner 3.04 infiziert.

    Lösung

    Combofix download, Netzwerk getrennt
    PC abgesicherter Modus starten und Combofix laufen lassen
    Im Autorun Tool von http://tcpmonitor.altervista.org/ download
    steht plötzlich was unter Reg User von Skype drin,Naja weg damit.
    Combofix hat auch das gelöscht c:\users\benutzername\local\skype\skype.exe
    und weg is er nu ohne viel Aufwand und neuaufsetzen.
    Glück gehabt. Überprüfung alles sauber laut Malware e.t.c.

    Have fun

    1. I’d need to take a look at with you right here. That’s not something I nolmraly do! I get enjoyment in looking at a publish that will make individuals feel. In addition, many thanks for permitting me to comment!

  43. Leute…
    ich habe meinen schwesters pc (win7) mit diesem dreckstrojaner infiziert und bin auf diese Site her gestossen…
    ich hab alle methoden ausprobiert und hab alle kommentare von a – z durchgelesen und es hat verdammtnochmal NICHTS gebracht!

    danach wurde ich auf einer anderen site drauf aufwerksam gemacht mal eine systemwiederherstellung durchzufürhren (in meinem falle waren es 4tage)…

    ZUR SYSTEMWIEDERHERSTELLUNG:
    -ABGESICHERTEN MODUS AKTIVIEREN
    -START
    -PROGRAMME
    -ZUBEHÖR
    -SYSTEMPROGRAMME
    -SYSTEMWIEDERHERSTELLUNG
    (und dann halt einpaar tage zurückstellen, wann das letztemal ein update oder so gemacht wurde)

    BEI MIR FUNKTIONIERTE DANACH ALLES WIE VOR 4 TAGEN HALT^^
    VIEL SPASS UND VIEL ERFOLG!
    <3

    DIE SYSTEMWIEDERHERSTELLUNG UNTER:
    ABGESICHTERTER MODUS-
    PRO

    1. Hallo euer Retter,

      danke für deine Information, aber aufgepasst, die Schadsoftware ist noch auf dem System!!
      Durch das zurücksetzten des Systems wird Sie nur vor dem Start gehindert!!

      Gruß ABBZ

  44. Hatte das Problem auch. War Skype.exe (hatte aber kein Skype drauf).
    Hab im abgesicherten Modus gerstartet, Anti-Malware drüberlaufen lassen und fertig.

  45. wir hatten heute das gleiche problem. netzwerkkabel rausziehen hat geholfen, Microsoft Security Essentials hat dann die Datei erfolgreich identifiziert. Die Datei heiß SkypePM.exe und wurde immer nur als Verdächtig erkannt, wenn es als Prozess ausgeführt wurde.

    Weiß jemand, ob dieser Trojaner auch einen Keylogger o.ä. beinhaltet oder ist es wirklich nur Scareware?

  46. Hi, bei mir kam heute auch diese Meldung allerdings sah die etwas anders aus. Da stand nur mein System wurde blockiert und der Bezahlen-Button war drunter.
    Als das passiert ist hat sich mein Spybot gemeldet und ich habe die Aktion verweigert und weil dann nichts mehr ging den Pc neugestartet.
    Allerdings ist bis jetzt nichts passiert, die Meldung ist nicht wieder gekommen oder so.
    Hat der Trojaner es vll garnicht erst draufgeschafft oder wird er blockiert?

    Habe jetzt angst das er trotzdem da ist obwohl er nichts macht.

    1. Hallo,

      vermutlich ist das Schadprogramm noch auf Deinem Rechner, es kann durchaus sein, dass es eine Weile nicht auffällig wird. Um sicher zu gehen, solltest Du den Rechner noch einmal gezielt überprüfen. Gerne helfen wir Dir in unserem Forum individuell weiter. Registriere Dich hierzu bitte unter http://forum.botfrei.de & erstelle ein Thema unter “Hilfe” –> “Windows Systeme”.

      Nach der Beseitigung bitte auch die Nachsorge nicht vergessen, damit sich nicht gleich der nächste Schädling einnistet.
      https://blog.botfrei.de/2011/12/malware-entfernt-was-nun/

      Grüße,
      CS, ABBZ

  47. Gott-sei-Dank, er ist vermutlich weg! Jetzt nur noch schnell AntiVir Scan und aus die Maus! Ich hatte schon Skype drauf gehabt, aber eine Microsoft Datei die ich unter msconfig.exe gefunden habe (sie hieß Microsoft SQL Server) hatte als Befehl irgendwas mit Skype zu tun und das kam mir dann verdächtigt vor. Also für alle bei denen es vieleicht genauso ist:
    c:\ Users\ >>Benutzername<.<
    Übrigens viiiiiielen Dank für diese wundervolle Seite ohne die ich es wahrscheinlich nicht so schnell geschafft hätte!
    LG, Annyra

  48. Hallo habe versucht wie Ihr es vorschreibt den Trojaner runter zu bekommen nur leider kommt dieses Bild immer noch. ich weiß nicht was ich noch machen kann. Ich bitte euch um hilfe

  49. Stand vom 2.4.12:
    Es ist die Datei “SkypePM.exe”.
    Kann man prima in msconfig (Reiter: Systemstart) deaktivieren und dann später löschen (C:/Benutzer/Eigener Name/AppData/Local/Skype).

    Danke für alle Tips und Infos.

    1. Danke !

      Mir ist auch dann erst aufgefallen das ich 2 mal “Skype” im Systemstart habe und das eine war Unbekannt – sollte man drauf achten.

  50. Hallo
    Vielen Dank für Eure Hilfe. Ich habe gerade ein Laptop hier das auch so einen Bezahltrojaner drauf hatte.
    In [Benutzername]/Appdata/Roaming habe ich ein Verzeichnis Namens “Lmhmjrbs” gefunden. Dort befand sich die Datei “52070A92E0BE5D4477DA.exe”. Diese Datei wurde auch beim Systemstart gestartet und zeigte auch einen dieser “Windows-Update”-Bildschirme.

Kommentare sind geschlossen.