BKA-Trojaner 1.03 entfernen (Windows 7/ Windows Vista)

UPDATE vom 30. August 2012:

Bitte beachten Sie: Diese Anleitung ist u.U. veraltet. Da es mittlerweile weitere Varianten des hier abgebildeten Schädlings gibt, welche optisch ein ähnliches oder identisches Erscheinungsbild haben, möchten wir Sie bitten das Bereinigungs-Tool unter http://www.bka-trojaner.de herunterzuladen.

Wenn Ihr Rechner durch den BKA-Trojaner wie folgt gesperrt ist, können Sie mit dieser Anleitung Ihren Rechner wieder säubern:

BKA-Trojaner 1.03

Anleitung:
1. Bereiten Sie Ihren Rechner nach dieser Anleitung vor.
2. Wenn Sie den Sperrbildschirm vor sich haben, drücken Sie STRG+ALT+ENTF. Klicken Sie auf “Benutzer wechseln” . Klicken Sie unten links auf den Button für Eingabehilfe. Es sollte sich jetzt eine Konsole öffnen.

Abb. 1

3. Geben Sie net user administrator /active ein, um den windowseigenen Administrator zu aktivieren. Danach loggen Sie sich mit shutdown -l aus.

4. Melden Sie sich als Adminstrator an. In der Regel ist hierzu kein Passwort nötig.

Abb. 2

5. Klicken Sie unten links auf Start und geben Sie bei “Programme/ Dateien durchsuchen” cmd ein. Klicken Sie auf cmd. Es sollte sich die Konsole öffnen.

Abb. 3

6. Geben Sie “taskmgr.exe” ein. Haken Sie “Prozesse aller Benutzer anzeigen” an. Beenden Sie die Prozesse des Benutzers, der bei der Infektion angemeldet war: Rechte Maustaste auf den Prozess und dann “Prozess beenden” klicken. Handelt es sich bei dem Prozess um einen Virenscanner, so kann dieser in manchen Fällen nicht beendet werden. Nachdem Sie die Prozesse beendet haben, schließen Sie den Taskmanager.

Abb. 4

7. Geben Sie in der Konsole “regedit” ein. Es öffnet sich der Registrierungseditor. Klicken Sie in der Menüleiste auf “Bearbeiten” und dann auf “Suchen”. Geben Sie “DisableTaskmgr” ein. Klicken Sie auf den gefundenen Eintrag doppelt und geben Sie als Wert eine 0 ein. Setzen Sie den Haken bei “Dezimal”. Anschließend können Sie den Registrierungseditor schließen.

Abb. 5

8. Geben Sie nun in der Konsole cd \ ein. Geben Sie dir /a /s *.dll.lnk ein.

Abb. 6

9. Wechseln Sie nun in das Verzeichnis, in dem sich die gefundene Datei befindet:
cd Users\Benutzername\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Geben Sie nun notepad Dateiname.dll.lnk ein. Notepad öffnet nun die Datei.

Abb. 7

10. Suchen Sie nun in Notepad den Pfad mit der dll-Datei, deren Name mit der gefundenen .dll.lnk-Datei identisch sein sollte. Merken Sie sich den Pfad.

11. Wechseln Sie unter der Konsole in das Verzeichnis, in dem die Virusdatei liegt: Geben Sie zunächst cd \ ein.
Danach cd Ordner1/Ordner2/… (Pfad aus der Notepad-Datei)
Löschen Sie die Datei mit. In diesem Beispiel heißt der Virus virus.dll. Die Namen können bei den Schädlingen variieren.

Abb. 8

12. Geben Sie nun  shutdown -r -t 00  Der Rechner startet neu.

13. Melden Sie sich als der Anwender an, der sich mit dem BKA-Trojaner infiziert hatte. Es erscheint folgende Fehlermeldung:

Abb. 9

14. Klicken Sie auf Start, dann “alle Programme” und schließlich auf Autostart. Löschen Sie über die rechte Maustaste den Eintrag zum Virus.

Abb. 10

15. Melden Sie sich ab und dann nochmal an. Nun sollte keine Fehlermeldung mehr erscheinen.

16. Nun sollten Sie noch den Administrator deaktivieren: Melden Sie sich hierzu ab und klicken Sie auf den Button unten links für die Eingabehilfen. Es öffnet sich wieder die Konsole. Geben Sie net user administrator /active:no ein. Schließen Sie die Konsole, indem Sie exit eingeben.

17. Scannen Sie schließlich Ihren Rechner mit Malwarebytes.

Sollten Sie Hilfe benötigen oder noch Fragen haben, wenden Sie sich bitte an unser Support-Forum.

322 thoughts on “BKA-Trojaner 1.03 entfernen (Windows 7/ Windows Vista)”

  1. Hallo,
    ich hatte bis heute auch den Virus aus der Ukraine Bundespolizei auf meinem PC.

    Mein Laptop hat ein Windows 7 Betriebssystem. Starten Sie Ihren PC und drücken Sie im Sekundentakt oder schneller die F8 Taste, melden Sie sich jetzt mit Ihrem Kennwort an.

    Das „Eingabefenster“ früher DOS Fenster wird gezeigt. Sie sind jetzt im abgesicherten Modus. Erst werden Treiber angezeigt und unten steht: Bitte warten…
    Dann kommt das Eingabefenster: C:\windwos\system32> (geben hier msconfig ein)

    In der Registy ist kein schädlicher Schlüsselcode.

    Jetzt öffnet sich nach einem Augenblick die Systemkonfiguration. Gehen Sie dort auf das Register Systemstart, sehen Sie sehr genau hin auf die Überschriften.
    Befehl: Hier steht C:\Windows\System32 und Ort: entweder „unbekannt“ oder wie bei mir Gloom Hums GmbH. Das ist die schädliche Software.
    Deaktivieren Sie mit löschen des Häkchens den Trojaner, dann Übernehmen und starten Sie den

    PC jetzt im normalen Modus.

    Mein Pfad war: C:\ Windows\System32\rundll32.exe C:\Users\[Benutzername]\AppData\Local\Temp.7961660280630244.exe,Supps

    Downloaden Sie sich umgehend mailwarebytes 14 Tage Testvision herunter, der findet den Übeltäter bei Durchlauf. Ich habe dann meine Avira Anitvir durchlaufen lassen, der in Mozilla noch zwei Viren gefunden hat. –
    Ich hoffe, geholfen zu haben

    1. Muss ich administrator sein um den virus zu deaktivieren.
      habe mir den trojaner als “gast” eingefangen. wenn ich unten auf die eingabehilfe drücke öffnet sich kein DOS fenster sonder ein fenster mit hinweisen zu sprachsteuerung etc.

    2. Hallo Manuel,

      gerne helfen wir Dir weiter in unserem Support-Forum weiter. Erstelle dort bitte ein neues Thema unter “Hilfe” –> “Windows Systeme”!

      Grüße,
      CS, ABBZ

    3. ich habe das selbe problem: die konsole lässt sich nicht öffnen.. es lassen sich lediglich nur häkchen zur sprachsteuerung etc ankreuzen

    4. Danke für die Hilfe, hat prima geklappt. Hatte vorher schon andere Hilfen probiert, ohne Erfolg.

      Grüße aus Northeim
      Klaus

    5. Hallo Regina
      auch für mich eine sehr gute Anleitung …wer damit nicht zurecht kommt ist selber schuld vielen dank
      Klaus

    6. Hallo Regina,

      für die (in Anlehnung an Ihren Vornamen) königliche Anleitung sage ich ‘vielen Dank’. Sie ist einfach, kurz, effektiv, kurzum: Prima!!!

      Viele Grüße
      Rainer

    7. Sehr geehrte Frau Utesch!
      “well spotted”, ich kann mich an dieser Stelle nur bedanken.
      Da ich schon den ganzen Tag, mit verschiedenen .iso live Dateien versucht habe den Schädling loszuwerden, kam Ihre “Einfache Methode” gerade recht.
      Aus meiner Sicht kam ich auch hier bei ab Pos.2 hier nicht weiter, da er den Strg+Alt+Entf nicht annehmen wollte. Ferner ging bei mir die Maus aus “Rechner vorbereiten” mit den Software Parted Magic nicht mehr, warum auch immer. Später habe ich eine andere externe Maus angeschlossen und diese ging.
      Ferner kann ich die Kasperksy Methode nicht empfehlen, zu umständlich und nicht ausreichend beschrieben.
      Herzlichen Gruß
      Jan

    8. Hallo Regina
      auch ich wurde ein Opfer des BKA Trojaners Dein Tip war Super
      Vielen Dank-hat sofort funktioniert

    9. Hallo Regina!

      besten Dank für deine Hilfe !!
      einfach und schnell hatte ich durch deine anweisung
      den Virus vom PC.
      Gott sei Dank gibt es solche Menschen wie Dich !!
      nochmal tausend Dank!!

    10. Besten Dank, hat funktioniert.

      Viele andere Sachen (z.B. avira DE cleaner) haben nicht funktioniert oder waren super kompliziert.

      Gruss,

      Andreas Boden

    11. Mach ich, danke. Hier noch zur Info der Auszug von Malwarebytes:

      \Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig

      C:\Users\DICE\AppData\Local\Temp.9692543905616053.exe (Trojan.Ransom.BP)

      C:\temp\explorer.exe.back (Heuristics.Reserved.Word.Exploit)

      Andreas Boden

    12. Hallo Regina,
      nach x Versuchen nach allen Möglichkeiten habe ich dein einfaches System versucht und schau an, es klappt.
      1000 Dank dafür♥

    13. 1000 Dank, hat prima funktioniert, im Gegensatz zu allen anderen Lösungen!!! Einfach und auch für mich als Computerdepp verständlich! Ich hoffe, dass ich nun meine Ruhe hab vor dem blöden Trojaner.
      Viele Grüße von einem glücklichen Internetjunkie :-)))

    14. geht es auch bei windows vista? bei mir klappt es leider nicht bin voll verzweifelt :(((((((

    15. Hallo Regina,

      super vielen Dank für Deine Anleitung! Damit hat es nun endlich geklappt!
      Bei der botfrei Anleitung bin ich schon bei Bild 1 gescheitert, bei “Button für Eingabehilfe”!
      Vielen Dank nochmal!!!

      Viele Grüße
      Karin

    16. Hallo Regina,
      danke für die Tipps. Hat super, schnell und unkompliziert funktioniert.
      So müssten alle Hilfestellungen sein!

    17. Reginaaa!! Ich liebe dich! Dankeee 🙂 du hast mir gerade mein leben gerettet, ich bin dir so dankbar!

    18. Danke, das Problem war so auch bei Vista sofort zu lösen!
      Die Nachsorgetipps habe ich schon ausgedruckt.

    19. Für die Leute die bei Schritt 8 die *.dll.lnk nicht finden. Versucht mal dir /a /s *.exe.lnk
      Hat bei mir funktioniert. Sollte vielleicht auch oben im tut erwähnt werden. Desweiteren konnte ich Schritt 7 überspringen, da ich DisableTskMgr nicht gefunden habe.
      mfg
      David K.

    20. Zusatz: Hab ganz vergessen mich für diese Hervorragende Anleitung zu bedanken (: Vielen dank!
      mfg
      David K.

    21. Hallo Regina,

      Sie sind die erste, die dieses Problem analytisch an der Wurzel packt. Ich danke Ihnen für Ihre Tips, die eigentlich stärker verbreitert werden sollten.
      Wer mit dem Antivir von Avira arbeitet sollte den Avira DE-Cleaner installieren und anschließend den PC mit diesem Programm säubern. Danach ist alles wieder ok.

    22. Hallo,

      besten Dank hat funktioniert. Bis jetzt ist er zumindest nicht mehr aufgetaucht.

      Gruß ML

    23. Vielen dank Regina…!! Hat geklappt. Ich habe Malware installiert und hat der Trojan gefunden, ich benutze jetzt auch Avira.
      Noch mal danke!!

    24. danke regina, nach etlichen versuchen habe ich deine version gefunden,
      innerhalb von 5 minuten hat alles wieder funktioniert. super erklärung.
      danke nochmals
      Liebe Grüße

    25. Vielen Dank für den Tipp mit dem kostenlosen Programm auf Mailwarebytes! Das Programm hat bei mir den Trojaner sofort entdeckt und erfolgreich gelöscht. Vielen Dank 🙂 !

    26. hallo zusammen, ich hab mir den trojaner als “gast” auf einem windows 7 professional eingefangen.
      kann ich ihn auch als gast bereinigen oder brauche ich dazu die administratorenrechte?
      und was passiert dann wenn man windows als admin. betritt? ist dort auch der trojaner oder ist nur der ” gast ” infiziert?
      Für Antworten wäre ich sehr dankbar.

    27. Hallo Romu,
      wende Dich bitte an unser Forum unter forum.botfrei.de
      Schildere im Forum bitte genau, was Du bisher unternommen hast.
      Hast Du den Virenscan durchführen können und was war das Ergebnis?
      Wurde Malware gefundern und konnte diese gelöscht werden?
      Hast Du Dir den Namen der gefundenen Malware notiert?
      Netten Gruss
      Max

  2. Vielen Dank für die Anleitung! Hat nen Freund von mir echt geholfen, der war schon echt verzweifelt.

    Liebe Grüße aus Leipzig

  3. Hallo,
    ich hab heute plötzlich auch diese Version des BKA-Trojaners erwischt. Es kam ohne dass ich etwas heruntergeladen hätte und ich musste auch nichts über das Win7 “erlauben” Popup genehmigen welches sonst immer kommt wenn man etwas installieren möchte. Ich hab allerdings malwarebytes direkt im abgesicherten modus gestartet und mein system gescannt. Dieser konnte dann die oben beschriebene Datei entfernen. Jetzt funktioniert augenscheinlich alles wieder. Und weder Avast noch Malwarebytes konnten bislang etwas finden. Ich frage mich warum mein upgedatetes Avast Antivirus diesen Trojaner nicht verhindern konnte? Und ich würde gerne wissen, wie schnell es bei diesem Virus zu der vollständigen Sperre bzw. zu dem Popup kommt? Damit ich weiß ob ich den schon länger drauf hatte oder nicht. Vielen Dank.
    PS: ich konnte in eurem Forum nicht auf den Thread zum BKA-Trojaner 1.03 antworten, wollte aber auch keinen neuen Thread eröffnen.

  4. hey, jemand aus meiner famy hatte den per e-mail gekrigt…glaub ich zumindestens, das es der oder ein ähnlicher war

  5. Hi,

    benutze Win7. Hatte ebenso Erfahrungen mit der “Bundespolizei” sammen dürfen. Da ich mich eigentlich nur als normalen User ( muss ja auch nicht die techn. Finessen eines Kfz wissen, um fahren zu können ) bezeichnen darf, war ich zunächst ratlos.

    Habe denn im abgesicherten Modus aus die Möglichkeit einer Sysemwiederherstellung genutzt. Klar dass einige Installationen nach dem gewählten Wiederherstellungdatums neu gemacht werden mussten, aber mein System lief wieder.

    Jetzt nur die Frage, ob im meinem System weiterhin ein Problem schlummert?

    Gruss

    scotty

  6. Hallo
    Bin Win7-Nutzer und hab seit gestern auch diesen netten Trojaner!
    Hab nun versucht, nach dieser Anleitung alles wieder zu säubern, bis Schritt7 auch alles schön und gut, nur konnte mein reg-editor keinen “DisableTaskmgr” finden. Auch die nächsten Schritte hat mein PC dann nicht mehr mitgemacht, keine Dateien gefunden im cmd mit jenem Namen.
    Bin jetzt leider ratlos, kann ich es noch anders versuchen?

    Grüße, Nils

  7. könnt ihr mir bitte weiter helfen….komme bei schritt 6 nicht weiter. ich weiß nähmlich nicht welche prozesse ich beenden soll. danke!

  8. Super Tipp – in 5 Minuten war der Drecksack erledigt. Er hieß allerdings anders, aber ich hab ihn trotzdem schnell erkannt. Muchissimas Gracias!

  9. Guten Tag,

    zunächst vielen Dank für eure Hilfestellung.
    Da ich auf einem anderen Wege eine Lösung fand, möchte ich diese gern mit anderen Usern teilen.

    Ich konnte die Aktivierung des Trojaners unterbinden, indem ich via msconfig einen Startprozess namens “Don xxxx” deaktivierte.
    Danach einfach neu starten und Malewarebytes drüber laufen lassen und gut wars.

    Hoffe ich konnte helfen.
    Liebe grüße,
    Mika

  10. Hallo,
    Ich habe auch den Trojaner, habe mir auch die iso-Datei des Linux-Systems Parted Magic herunter geladen. Wenn ich jetzt die CD einlege und den PC neu starte, dann erscheint “‘boot from AHCI cd- rom'”
    Ich habe schon etwas herum gesucht wegen BOOten usw. aber versteh leider nichts davon. wie kann ich von der CD aus starten und dann weiter vorgehen?
    Danke im voraus!

  11. hallo ich habe genau die selben problem wie ihr hier auch aber ich habe win.vista und was auf diesen bilder und beschreibungen sind alles für win.7 könnt ihr mir bitte helfen.

    Ich bedanke mich jetzt schon

    MFG. Dilan

  12. Geht aber noch einfacher! Den PC runterfahren ihm im abgesicherten Modus wieder starten um dort dann mit der Systemwiederherrstellung das System auf ein Stand zurückzusetzen bevor sich der Trojaner fest gesetzt hat!

  13. Mich hat es heute früh erwischt. Ich hoffe das passiert mir nie wieder.
    Danke an alle die sich damit beschäftigen um andere bei solchen Problemen zu helfen.
    Gruß Matthias

  14. Hallo, ich hab Windows 7 und genau diesen Trojaner. Aber mir ist Schritt 2 der Hilfestellung nicht klar, denn bei mir öffnet sich wenn ich unten links klicke die einfache Bedienung anstatt der Konsole? Hilfe?

    Liebe grüße, Maren

    1. Hallo Maren,

      gerne helfen wir Dir in unserem Support-Forum individuell weiter! Melde Dich hierzu bitte einfach kostenfrei unter http://forum.botfrei.de an und erstelle einen Themen-Strang in der Kategorie “Hilfe” –> Windows Systeme”!

      Grüße,
      TK, ABBZ

  15. Moin
    Gestern hat mein Nachbar um Hilfe gerufen. Er hatte Besuch von o.g. Verdächtigen aus der Ukraine. Mit der Lösung vom Regina Utesch wa das Problem in ein paar Minuten gelöst. Allerdings hieß die *.exe etwas anders, der Pfad war aber auch:C:\ Windows\System32\rundll32.exe C:\Users\[Benutzername]\AppData\Local\Temp.7*****.exe. Als Startprozessbezeichnung standen mehrere Russische Worte.
    Malewarebytes konnte die Datei löschen. In der Registry habe ich dann noch nach der EXE gesucht und den gefundenen Eintrag gelöscht so das er auch in “msconfig”, unter Systemstart nicht mehr angezeigt wird.
    bye
    Schlafmuetze

  16. Noch ein Nachtrag zu meinem Beitrag von heute morgen:
    Folgende Einträge waren beim Nachbarn auch noch vorhanden und wurden von mir manuell entfernt. Ich weiß jetzt aber nicht, ob die auch zu diesem Schädling gehören.
    Zumindest wurden sie beim Systemstart ausgeführt.
    {Userprofil}/AppData/Roaming/Microsoft/dllhsts.exe als vorhandene Datei und einem Eintrag in der Registry über die rundll32.exe. Den genauen Eintrag weiß ich leider nicht mehr.
    Ein Eintrag in der der Registry (Datei war nicht mehr vorhanden) C:\Windows\temp.bat
    bye Schlafmuetze

  17. Hallo,

    brauche dringend Hilfe!
    Ich glaube, ich habe mir am Rechner den BKA 1.03 Trojaner eingefangen!
    Habe alles versucht wie oben beschrieben! Aber leider sehe ich den Trojaner im abgesicherten Modus im Systemkonfiguration-Systemstart immer noch!
    Was soll ich machen??? Bitte gibt mir Bescheid…Malwarebytes Anti Malware und Spyware Terminator2012 wurden auch durchgeführt…Ich bedanke mich im voraus

    Grüße

    1. Was heißt du siehst ihn in “Systemkonfiguration-Systemstart immer noch”?
      Wenn Du deinen PC startest, wird er da immer noch gestartet?
      Wenn Du “msconfig” im abgesicherten Modus mit Eingabeauffordeung eingibst und gehst auf Systemstart, welche Einträge stehen da und welche davon haben kein Häkchen davor?
      bye

    2. Hallo Schlafmuetze,

      ich glaube das Problem ist gelöst!
      Hatte im abgesicherten Modus ein Häcken mit einem russischen Schrift abgewählt (C:\ Windows\System32\rundll32.exe C:\Users\[Benutzername]\AppData\Local\Temp.(irgendwelchenummern).exe…!
      Habe mich dann als Administrator angemeldet und habe den Hacken wieder reingesetzt und per Mailwarebytes Anti-MAlware noch einmal gescant! Und das Programm hat den Trojaner dann gefunden. Müsste jetzt beseitigt sein.
      Danke nochmals für eure Hilfe!

      Grüße

  18. Liebe Leute, habe seit ner Stunde einen rechnerunerfahrenen Freund am Telefon.
    Eure Anleitung weisst leider EINIGE Ungenauigkeiten auf…

  19. Hallo Alle zusammen,

    ich habe noch eine Frage!
    Ich habe die oben gennannte Anleitung befolgt. Jetzt will ich aber wieder meinen alten Anmeldebildschirm ohne den Benutzter”Administrator”! Wie kann ich das Rückgängig machen ohne was anderes zu verändern.

    Danke nochmals

    Grüße

    1. Hallo Schueler,

      gib mal in die Konsole folgendes ein:
      net user administrator /active:no
      Starte darauf hin deinen PC neu. Sollte weg sein.

      Gruß
      MG, ABBZ

  20. Sonntag 28.01.12 Danke für alle Kommentare. Auch mich hat es erwischt und ich habe es (scheinbar) allein geschafft. Läuft alles wieder. Das dieser Vorgang nicht vom BKA kam, war mir im ersten Augenblick noch nicht klar. Nur konnte ich mir überhaupt nicht erklären, wie diese Betrüger auf meinen Rechner gekommen sind. Vielleicht durch mein E-Mail Programm? Keine Ahnung. Natürlich war ich erschrocken und habe gedacht, jetzt ist alles aus. Alle deine Daten weg? Doch nach einiger Zeit des Überlegens und ausprobieren habe ich folgendes gemacht.

    1. WLAN, Internet getrennt.
    2. Ausprobiert im Abgesicherten Modus den Computer zu starten. Ich war froh, meine Daten wieder zu sehen. – Dann Neustart! Und WLAN wieder eingeschaltet.
    3. Wieder im Abgesicherten Modus. Jetzt konnte ich auch ins Internet, ohne dass es vom BKA Trojaner blockiert wurde.
    4. In Googel Suche eingeben. „BKA sperrt Betriebssystem“ oder ähnliches. Und siehe da, meine Vermutungen wurden bestätigt, dass diese BKA Trojaner schon lange und hartnäckig und vielseitiger gab.
    5. Verschiedene Internet-Ratschläge, wie man den BKA Trojaner wieder los wird, habe ich befolgt. Aber ohne Erfolg.
    6. Dann habe ich mir das kostenlose Testprogramm von „KASPERSKY ANTI- VIRUS 2012“ heruntergeladen und den PC voll scannen lassen. Hat einige Stunden gebraucht!
    Ergebnis: 2x hatte ich den „Trojan-Dropper.Win32.Injetor.ckzb“ und 26x „Trojan-Spy.HTML.Fraud.gen“
    auf meinem PC. Nach der Säuberung und einem normalen Neustart war alles weg und klar.
    Vielen Dank an alle, die im Internet ihre Erfahrungen und Berichte mitteilen, wie man mit solchen Problemen umgehen kann.
    Hoffen wir, dass man solchen Betrügern bald das Handwerk legt!

    Wahrscheinlich werde ich nach den 30 Tagen Testzeit das neue Anti- Viren Programm für ca. 30 € kaufen.
    Bin bist heute immer mit einer kostenlosen Version eines ANTI VIREN PROGRAMM ausgekommen, aber ich denke durch diese Erfahrung ist man klüger und vorsichtiger geworden.
    Gerd

  21. Ja hallo bei mir klappt das mit der console nciht !
    Da kommt ” Erleichterte Bedienung”
    Was soll ich machen ?,
    Schhreiben sie bitte an meine Email adresse wd zurück : )

  22. Ich danke dir von ganzen herzen hat super geklappt.mir ist mein herz in die hose gerutscht als ich das gesehen habe.ich küsse deine füsse.
    Dachte schon ich bin jetzt ein schwerverbrecher:-)

  23. Hallo,
    ich hatte auch diesen Trojaner auf meinem Laptop, habe meinen Nutzer-Account gelöscht und habe mir einen neuen gemacht (da ich von dieser Seite nichts wusste, schien mir das als die einzige Lösung…). Wenn ich jetzt meinen Antivirus laufen lasse, findet dieser aber immer infizierte Dateien, ich schätze mal, dass das mit dem Trojaner zusammenhängt… Kann ich auch nach so langer Zeit den Trojaner löschen? Das Problem liegt natürlich bei der Suche nach der Datei, da das vor zwei Monaten passiert ist…
    Danke!

    1. Hallo,

      gerne helfen wir Dir bei der Bereinigung Deines Rechners weiter. Registriere Dich hierzu bitte in unserem Support-Forum!

      Grüße,
      TK, ABBZ

  24. Hilfeee!
    Ich habe mir auch den blöden Virus eingefangen:(
    Hab Windows Vista und ich kann noch nicht einmal die Konsole öffnen,da bei mir bei” Benutzer wechseln” unten links gedrückt keine “Eingabehilfe” ist,sondern sich ein Fenster mit “Erleichterte Befienung” öffnet.
    Bitte helfen Sie mir,meine Präsentation zu Dienstag ist da drauf:(
    Danke

    1. Hallo Hacer,

      gerne helfen wir Dir weiter. Melde Dich bitte dazu in unserem Support-Forum forum.botfrei.de !

      Grüße,
      CS, ABBZ

  25. Also ich habe das für einen Freund entfernt,und da hab ich nur mit Systemwiederherstellung gearbeitet und das hat 100% geklappt (irgendwie einfacher)

  26. ich habe das problem wenn ich im Registrierungseditor nach DisableTaskmgr suche findet er nix!!
    bitte um Hilfe danke im Voraus…!!!

    1. Hallo breece,

      registriere Dich bitte in unserem kostenlosen Hilfe-Forum unter forum.botfrei.de – Dort können wir Dir am besten weiterhelfen.

      Gruß,

      CS,ABBZ

  27. Hallo,
    Ich hatte mir natürlich auch diesen Trojaner eingefangen und versucht ihn nach dieser Anleitung zu entfernen. Aber genau wie Nils habe ich das problem, dass jetzt ab Schritt 7 nix mehr geht. Und ich habe mich auch im forum angemeldet aber ich Kann komischerweise kein Thema verfassen und wäre nun echt erleichtert, wenn mir jetzt hier geholfen würde, da ich den pc für mein Abitur brauche und jetzt nix mehr geht. Ich finde auch nicht den “DisableTaskmgr” und ich habe die Befürchtung, dass das daran liegt, dass ich bei Schritt 6 nicht alle Prozesse hätte beenden dürfen. Ich wäre wirklich unglaublich dankbar wenn mir jetzt auch mal außerhalb des forums geholfen werden könnte.

    Schon mal vielen vielen dank im voraus.
    Mfg Wiebke

    1. Bitte habe Verständnis dafür, dass wir außerhalb des Forums keine Einzelfälle behandeln. Wir können das nicht, alleine schon aufgrund der Unübersichtlichkeit und auch aufgrund der Tatsache, dass es sich hierbei um einen Einzelfall handelt!

      Grüße,
      TK, ABBZ

    2. Hallo Wiebke,

      leider können wir hier im Blog keinen Support leisten, wenn du dich im Forum angemeldet hast, bekommst du eine Email zugeschickt. Diese musst du durch (klick) bestätigen, erst dann wird die Registrierung abgeschlossen und du kannst im Forum ein “Thema” erstellen.

      Gruß ABBZ

  28. Ja das habe ich Ja. Aber es ging doch nicht… Und da es sich hier Ja anscheinend doch nicht um einen Einzelfall handelt (s. Nils/ breece) wäre es möglich gewesen… Aber Danke dann werde ich noch wohl Anderweitig umgucken. Aber Danke für die Hilfestellung 🙁

    1. Hallo Wiebke,

      @Aber es ging doch nicht… …
      Was ging nicht, hat das Anmelden im Forum nicht funktioniert?

      Gruß ABBZ

  29. Habe auch den BKA-Trojaner 1.03. Leider kann ich das Admin Passwort nicht eingeben, weil diese Maske im Schritt 1 schon nicht aufgeht. Im abgesicherten Modus mit eingabehilfe, kann ich nichts eingeben, Da kommt dann eingabepegel und das wars. Wer kann mir helfen

  30. Hallo Regina,

    deine Anleitung war sehr hilfreich und ich danke dir für deine Einstellung ins Netz.
    Hat beim ersten mal sofort funktioniert.
    Danke.
    Severine

  31. ich hatte mir heute auch den BKA-Mist eingefangen und bin ziemlich unbedarft, aber mit den Tips vom Forum und von Regina bin ich den Mist wieder losgeworden.
    Vielen herzlichen Dank auch!
    LG
    Willi

  32. Die Anleitung von Regina war gut erklärt auch für den Laien nach voll ziehbar – und es hat funktioniert ! Vielen Dank! 🙂

  33. Hallo,

    danke euch recht herzlich, nach 5 Stunden Suche endlich etwas gefunden was funktioniert.

    MfG Typ

  34. Hallo Regina,

    besten Dank. Sogar für mich verständlich 🙂 und hat einwandfrei funktioniert!

  35. Erst mal vielen vielen dank an Regina! Ohne Sie hätte ich noch alles wiederhergestellt… Aber ich hab trotzdem eine Frage… Und zwar hat bei mir AntiVir auch zwei Sachen im FireFox gefunden und jetzt weiß ich nicht wie und was ich mit den Viren machen kann/soll.
    Würde mich über eine Antwort sehr freuen

    LG Dieter

  36. Regina,
    Du/Sie bist/sind die Beste. Nach etlichen erfolglosen Versuchen, konnte ich der Anleitung folgend, meinen Computer endlich wieder starten. Perfekt beschrieben und für mich als Laien ohne Probleme nachvollziehbar.
    DANKE

  37. Ich hatte nun auch eine Variante dieser V1.03 zu entfernen.
    Leider hat keine der beschriebenen Methoden funktioniert.
    Letztlich entfernen konnte ich wie folgt:
    – PC vom Netzwerk trennen
    – Neu booten, von “Kaspersky Rescue Disk” (es geht auch mit anderen Rettungs-CDs von anderen Herstellern). Hierbei wird der PC mit einem anderen Betriebssystem gestartet, welches aber dennoch auf alle vorhandenen Laufwerke zugreifen kann.
    – Folgendes auf Schadsoftware durchsuchen lassen:
    > Bootsektoren
    > Versteckte Autostart-Objekte
    > Windows-Verzeuchnis (normalerweise unter c:\windoes)
    > Benutzerverzeichnisse (C:\users\…)

    Man kann auch den ganzen PC durchsuchen lassen. Das dauert aber hier sehr lange.

    Nun sollten Schad-Dateien gefunden werden (und entfernt werden)

    – PC ohne die Rescue-Disk und immernoch ohne Netz normal starten
    – Nach der Anmeldung ist alles OK (dann sind wir fertig!), ODER: es erscheint statt des BKA-Bildschirms nur eine leere Seite, “Seite konnte nicht geladen werden”
    – Abmelden, als Administrator anmelden
    – mit msconfig (s.o.) auf verdächtige Autostart-Objekte durchsuchen (bringt ggf. nichts, kann aber helfen)
    – Benutzer wechseln, als betroffener Benutzer einloggen
    – mit Regedit unter HKU den betroffenen User suchen (leider wird hier nur die SSID angezeigt, nicht der richtige Name). Z.B. der betroffene User heißt Adam, dann unter HKU nach Adam suchen.
    – in diesem Zweig unter …Run die Einträge auf mahmud.exe, 7961660280630244.exe, oder Ähnliches durchsuchen und den entsprechenden Key löschen
    – PC neu starten und als betroffener Benutzer anmelden.
    – Es erscheint eine Fehlermeldung (Objekt nicht gefunden, oder Der angeforderte Schlüssel konnte nicht erzeugt werden o.ä. ) -> kann man wegklicken. Nun sollte der installierte Virenscanner eine Meldung bringen, dass ein Schadobjekt gefunden wurde. Dieses Desinfizieren, löschen oder nach Quarantäne verschieben lassen.
    – Fertig.

    Ich weiß, das ist nicht alles logisch in der Reihenfoklge, aber bei mir hat es (nur) so funktioniert. Hat 2h gedauert, hat mir aber eine Einladung ins Kino gebracht.

    Immerhin.

  38. Hallo ich hatte mir gestern auch den BKA Virus eingefangen.
    Nun habe ich über den abgesicherten Modus meinen Antivirenscanner auf das Ding losgelassen und danach meinen Rechner per Systemwiederherstellung auf den 24.02. wieder zurückgesetzt.

    Reicht das aus? Oder kann der Virus sich noch igrendwo verstecken und wenn ja was muss ich noch machen?

    Vielen Dank schonmal im vorraus!

    Gruß
    basti

    1. Ich würde an Deiner Stelle auf jeden Fall einen Scan mit Malwarebytes machen & auch ein Update Deines Systems! Gerne schauen wir mal über Deine Kiste! Registriere Dich hierzu bitte im Forum zu botfrei unter: http://forum.botfrei.de

      Grüße,
      TK, ABBZ

  39. Hallo,

    ich hatte den BKA-trojaner schonmal vor ein paar Monaten und hab ihn jetzt plötzlich wieder…
    Damals hab ich den Antivirenscanner drüber laufen lassen,Systemwiderherstellung gemacht und bin sogar noch mit Malware drüber gegangen.
    Hättet Ihr einen Tipp was ich machen kann,damit ich den Virus endgültig loswerde und auch nichtmehr bekomme?

    Vielen Dank schonmal 🙂

  40. hi ich hab den 1.0.3 und habe vista ultimate 64 bit da funktionert die anleitung leider nicht habe alles so gemacht wie beschrieben nur gibt es die in der anleitung genannten regedit einträge nicht und wenn ich im cmd fenster 8. Geben Sie nun in der Konsole cd \ ein. Geben Sie dir /a /s *.dll.lnk ein. eingebe kommt nur die meldung keine datei gefunden…. hat jemand eine idee ???

  41. Hallo,

    bei mir klappt bis Punkt 5 alles super, aber jetzt gerate ich etwas ins stocken, da laut Taskmanager unter meinem Benutzernamen keine Prozesse ausgeführt werden. Aufgelistete Benutzernamen: System/ Administrator / Lokaler Dienst/ Netwerkdienst.

    Was mache ich jetzt?

  42. hi, bei mir klappt alles bis zu punkt 7.
    ich besitzte allerdings den pfad “DisableTaskmg” nicht in der registry…
    Unter dem Pfad “Policies” existiert nur der Ordner “Explorer” der ordner “System” fehlt, und damit eben wie gesagt auch der zu ändernde Pfad “DisableTaskmg” auch.

    1. Hallo Blub,

      versuche mal im Registryeditor. oben im Menü unter Bearbeiten->Suchen nach DisableTaskMgr. Wenn kein Erfolg, dann melde dich bitte im http://forum.botfrei.de an , dort werden Experten weiter helfen.

      Gruß ABBZ

  43. Ich hab schon im zweiten Schritt das Problem, dass sich keine Konsole öffnet wenn ich auf den Eingabehilfebutton klicke. Es wird dann nur eine Erleichterte Bedienung angezeit. z.B: text auf dem Bildschirm laut vorlesen oder Elemente auf dem Bildschirm vergrößern etc.

    Kann mir da jemand weiterhelfen?
    Vielen Dank

  44. hallo zusammen,

    ich habe gerade den virus erfolgreich entfernen können.

    ich ging analog der anleitung von regina utesch vor.

    nur nannte sich die schädliche software nicht “Gloom Hums GmbH” wie bei frau utesch, sonder “Versandhilfe”

    nach dem deaktiveren des häkchen, einem neustart mit anschließendem quickscan mit malwarebytes konnte die exe-datei lokalisiert und gelöscht werden.

    grüße

  45. Hallo!

    Ich habe hoffentlich alles so gemacht, wie es hier steht.

    Aber:
    – in meiner reg gibt es keinen Eintrag “Disable Taskmgr”
    – nirgendwo findet sich die *.dll.lnk Datei

    der Trojaner bleibt.

    Irgendwelche Ideen?

    Ich wäre dankbar….

    1. Also ich hatte den Trojaner heute auch und das selbe Problem. Schau mal ob
      Du ne Datei mit ner Menge Zahlen findest, die mit .exe.lnk endet. Das war er bei mir (ich hab nach dem Datum geschaut) Ne Datei mit der Endung .dll.lnk hat er bei mir auch nicht gefunden. Mein System läuft wieder 🙂

  46. Hey,
    Ich habe alle Anweisungen befolgt. Ich finde auch den Virus und deaktiviere den, aber wenn ich neustarte erscheint er wieder. Außerdem wenn ich den Virus mit der Malware ( oder wie das heißt ) finde und lösche, erscheint er beim Neustart schon wieder.

  47. Hallo,
    wenn ich beim Anmeldescreen bin und auf erleichterte Bedienung klicke kommt da nicht diese Eingabeauforderung sonderen so ein Fenster indem steht z.B. : Text Vorlesen, Bildschirmlupe und änliches. Kann mir einer helfen???

    Mfg,
    Michael

  48. Guten Tag,

    leider habe ich mich über Ihre Hilfe zu früh gefreut und mich ärgerts schon !!! Hab hier wlan auf dem Rechner und sogar aktuelles Kaspersky, auf dem Lan Homepc nur Antivir, tja unter der Eingabehilfe kommt auf beiden Rechner unter Windows 7 nur “Erleichterte Bedienung” und keine Eingabehilfe, dass hier Kapersky nichts bemerkt hat, ich bin stinkestinkesauer, liebe Grüße Ralf

  49. Wer in den letzten tagen nichts fundamental wichtiges getan hat kann auch im abgesicherten modus anmelden und dann einfach auf des letzte datum zurück setzen ;D

  50. hallo, kann mir jmd weiterhelfen.
    ich hänge bei schritt 7, bei der sucheingabe, erscheint ncihts
    danke schon im vorraus

  51. ich bedanke mich auch recht herzlich ich hoffe derjenige der das verursacht hat wird lebenslänglich eingesperrt

    Schöne Grüße aus Bayern =)

  52. Hallo.

    Ich habe diesen virus mit hilfe des regedit fenster voraussichtlich gelöscht, habe allerdings dass problem, dass meine taskleiste verschwunden ist :/
    Ich kann ansonten alle programme auf meinem pc starten.

    Können sie mir bitte weiterhelfen?

  53. Hallo.Habe das auch.was passiert mit allen meine datei(z.b Fotos,musik)gehen die verloren?

    1. Hallo kanke,

      eine Datensicherung kannst du mit verschiedenen Programmen durchführen. Als besonders leicht hat sich PartedMagic heraus gestellt. Hier gibt es eine Anleitung: . Deine Daten sollten alle noch verfügbar sein, obwohl der BKA Bildschirm beim hochfahren kommt.

      MG ABBZ

  54. Hi benötige Hilfe, hab mir das Scheissteil eingefangen habe allerdings über den abgesicherten Modus wieder Zugriff erlangt, mehrere Progis drüberlaufen lassen und siehe da “Trojan.Ransom.BP zweimap, einmal in der Windows Load Registry, in welcher auch der Wert steht der zur zweiten Datei im Temp Ordner einer sogenannten msvbmj.cmd verweist. Mein Problem ist, das ich nicht weis wie ich diese Dateien nun erfolgreich löschen soll, da es sich ja um eine Registry Datei handelt.
    Um Hilfe wäre ich dankbar!
    Mfg >Daniel<

  55. Danke für eure Anleitung habe ihn erfolgreich löschen können.

    Anscheinend habe ich eine “einfachere” Version des Trojaners gehabt. Nach dem Löschen im Autostart leid das Programm bereits nicht mehr. Habe keine infizierte Datei mehr erhalten, als ich den Befehl dir/ a/ s * eingegeben habe. Die Datei wurde im Anschluss von Malewarebytes entfernt nun scheint wieder alles zu laufen.

  56. Ich möchte mich auch ganz herzlich bei euch, und besonders bei Regina für die leichte und verständlich Variante, diesen Mist zu entfernen bedanken.
    Ich habe mir direkt gedacht das es sich um einen Schädling handelt, habe mir aber schon die schlimmsten Szenarien bis zum Kauf eines neuen Lappis ausgemalt.
    Also vielen vielen Dank

  57. hallo leute, bräuchte mal hilfe , hab mir gestern den trojaner eingefangen und hätte versucht ihn mit der anleitung wegzubekommen. aber bei punkt 2 war schon schluss, weil unten links kein feld erschiehn mit eingabehilfe sondern nur ein feld erleichterte bedingungen. was soll ich machen?

  58. Hallo, habe bei Vista Home Edition keinen Button unten links für Eingabehilfe. Wie komme ich hier nach dieser Anleitung weiter. Bitte um Hilfe.

  59. Auch ich wurde heute ein Opfer des BKA Trojaners.Super Aneitung, Danke für die Mühe doch ich habe da ein Problem:

    Ich habe den blauen Sperrbildschirm vor mir und drücke STRG+ALT+ENTF, et passiert jedoch nichts. Ich kann den “Benutzer” nicht wechseln.

    Was ist zu tun?

  60. scheint eine neue Version des Trojaners zu geben seit kurzem, sieht aus wie 1.03, ist es aber nicht. Anleitung hat nicht funktioniert.
    Das hat funktioniert: Hochfahren im abgesicherten Modus incl. Netzwerk, Malwarebytes runtergeladen und installiert. 5 infizierte Objekte damit elliminiert.
    Neustart. System geht wieder. Klasse.

  61. Hab leider auch so einen “Trojaner der Bundespolizei” gefangen, aber was tun, wenn beim anklicken von der Hilfe nach dem Ummelden ein anderes Bild erschein wie bei der Angabe des BKA?
    Komme nicht mehr weiter.
    Wer kann mir helfen?
    Danke!!!
    Wiko

  62. Ich habe mir am 14.03.2011 den BKA-Trojaner eingefangen und gestern abend mit dieser Anleitung versucht zu entfernen. Gelungen ist den Admin-Account zu nutzen und somit den PC zu benutzen. Die Punkte 7 bis 11 dieser Anleitungen hatten jedoch keine Auswirkung und nach einem Neustart mit dem ‘normalen’ Benutzer erschien der BKA-Trojaner erneut. Auch ein Start von Avira DECleaner im Administrator-Account hat keine Abhilfe geschaffen.

    Gibt es scheinbar eine neue Version des Trojaners?
    Immerhin kann ich jetzt alle Daten sichern und den PC (notfalls) neu aufsetzen.
    Hoffe aber dennoch de Trojaner noch los zu werden.

    Auf jeden Fall vielen Dank für Eure Hilfe. Hätte ja sonst nicht einmal den Admin-Account nutzen können.

    Viele Grüße,

    Karl Jansen 🙂

    1. Hallo Herr Jansen,

      Es gibt einige Variationen des UKASH-Ransom Ware, leider können wir hier im Blog keinen Support leisten. Ich würde Sie bitten, sich in unserem kostenfreien http://forum.botfrei.de zu registrieren, dort werden Experten bei dem Problem weiter helfen.

      Gruß ABBZ

  63. hallo,

    das mit dem admin ist zwar schön und gut nur ich habe das problem das bei meinem admin account auch der virus erscheint was kann ich tun?

    gruß

  64. Bei Schritt 8 findet wird bei mir keine Datei gefunden. Was kann ich tun?
    Gruß
    Markus

  65. Sehr komisch, nachdem ich meinen Rechner wie in Schritt 1 beschrieben vorbereitet habe und mich nun für Schritt 2 in meinen Windows Acc. einlogge und auf den Sperrbildschirm warte kommt er nicht mehr.
    Kann das denn sein?

    Lediglich mein AntiVir hat kurz Alarm geschlagen das es Malware gefunden hat und das inter roaming/appdata adobeflash… ich hab es löschen lassen.

    Ich werd nun erstmal wieder die Verbindung zum Internet herstellen, AntiVir die neusten Updates holen lassen und dann sofort einen Systemscan starten.

    Den Sperrbildschirm hätte ich allerdings trotzdem noch erwartet. *kopfkratz*

    Mfg

  66. Habe das selbe Problem, bei mir findet der Computer weder disable taskmgr noch die viren datei *dll.lnk !

  67. Regina, wenn ich meinen infizierten Laptop (Windows 7) mit F8 gedrückt starte, erscheint einer schwarz-weißer Bildschirm mit “erweiterten startoptionen”. Wie geht es dann weiter?

    Gruß Tom

  68. hallo ich habe den sche…. auch seit heute
    leider bekomme ich den nicht weg weil
    wenn ich regedit eingebe und dann DisableTaskmgr suchen will findet er das nicht

    ka was ich falsch gemacht habe oder was das ist

    habe es xx mal versucht

    wer toll wenn mir da wer helfen kann

    lg thomas

  69. Ich hätte diese heut auch. Strg-alt-entf hat NICHT funtioniert ich habs gelöst dürch der rechner hart zu rebooten und beim aufstart eine der letzte F-tasen ein zu drucken um starthilfe zu starten und mit starthilfe auf gestart und danach hat’s wieder functioniert

  70. BKA Virus sowie Gemma Virus

    Ganz leicht, gerade bei win7 vista und xp selber gemacht, waren wirklich alle gleichzeitig infiziert. .
    Festplatte aus dem infizierten Rechner nehmen, und als Externes Laufwerk an einen Funktionierenden Rechner anschließen. Wichtig!! Vorher natürlich Antivirus updaten, sonst geht’s schief.
    Der nicht infizierte Rechner erkennt die infizierte Festplatte als weiteres Laufwerk an. Jetzt das aufgefrischte Antivirus starten, dort kann man die zu prüfende Laufwerke anklicken. Die infizierte Festplatte anklicken und Antivirus drüber laufen Lasen. Bei mir wurden einmal 22 Funde, einmal 28 Funde aufgezeigt.
    Antivirus schlägt nach durchgehlaufendem Prüfen weitere Vorgehensweise vor. Einfach folgen, und Ihr seid den Virus los.
    Wenn ihr nun die geprüfte Festplatte wieder in den Rechner einsetzt, bitte vorher Internetverbindung unterbrechen, weil Reste des Virussees wieder Verbindung suchen, um sich zu installieren, ihr bekommt als kurz ein weißes Bild, dann der Hinweis, Programm konnte nicht ausgeführt werden. Einfach über die Taskleiste schließen, Antivirus noch mal über die Festplatte laufen lassen, und ihr seid den Scheiß los. Viel Glück
    Mit Polizei hab ich auch gesprochen, die sagten, das es nicht möglich sei, den Geldfluss über Paysafe zu kontrollieren.
    Wie immer!

  71. Hallo! Ich habe alles GANZ genauso gemacht wie beschrieben. habe wie unter Punkt 1 steht, mein Netbook vorbereitet, dann bin ich weiter zu Punkt 2 – bis Punkt 4, als ich mich als Administrator eingeloggt habe. Doch dann: kam schon wieder der Bundespolizei/BKA Trojaner, fast so wie Abb. 1.03 ! Ich konnte nichts machen! Könnt ihr mir helfen?
    Ich habe ein Netbook von HP mit Win 7 Starter.

  72. Bei einem Freund hat es mit Systemzurücksetzen im abgesicherten Modus funktioniert und dann hab ich mit ccleaner den freien speicher gelöscht bzw. formatiert mal schauen obs hält eine woche hälts bereits

  73. DANKE Regina Utesch! Ein paar Kleinigkeiten bei der Prozedur liefen anders, aber im Großen und Ganzen ist der Weg sehr gut nachvollziehbar und das Ergebnis hervorragend! Danke! Habe einen Laptop Samsung R580 mit Win7 Home Premium, 64 Bit

    1. Hallo,
      ich habe auhc das windows7home premium wenn ich auf das “erleichterte bedienung”-feld gehe kommt bei mir nicht dieses fenster sondern ein komplett anderes mit dem ich nichts anfangen kann.kannst du mir da vllt helfen???wie hat das bei dir funktioniert?gibt es noch irgendwelche abweichungen?

  74. Hallo ! 🙂

    Ich hatte den BKA-Virus auch, und möchte euch einen etwas anderen Weg präsentieren, der vielleicht etwas Laienhaft wirkt, dennoch aber super geklappt hat.
    Das ganze fand auf einem Windows 7 Ultimate Rechner statt.

    Ich downloadete Combofix auf meinen Arbeits-USB-Stick und tat folgendes:
    Da der BKA-Virus sich in unserer Shell “eingenistet” hatte, und beim Abmelden des Rechners grundsätzlich ein Problem beim Beenden des Explorers stattfand, musste Windows das Beenden des Programms erzwingen, dies gab mir einige Sekunden Zeit, auf den “Abbrechen” Button unten Rechts in der Ecke zu klicken, somit landete ich auf dem Desktop des Rechners und hattesomit Zugriff auf den USB-Stick. Ich beendete alle Antiviren-Programme und startete Combofix. Nach einigen Minuten Wartezeit, war dieses Problem gelöst.

  75. Ich glaube, ich hatte eine andere Variante davon. In der Registry war nichts zu finden, allerdings konnte ich alles im Abgesicherten modus machen. So bin ich vorgegangen:

    Startet den Abgesicherten Modus. im autostartordner ist eine neue verknüpfung. davon guckt ihr euch die eigenschaften an und guckt unter ziel. dort müssten 2 links eingetragen sein. kopiert euch von dem link, bei dem etwas im temp ordner ist alles von “C:” bis zum letzten “\” gebt das in den browser ein. Dort müsste eine EXE sein, die genauso heisst wie der trojaner. wenn ihr die gefunden habt, müsst ihr nur noch beide löschen. Neustart und Virenscanner ausführen dürfte dann selbst verständlich sein. Symantec hat auch einen guten onlinescanner. 🙂

  76. Hallo,
    ich habe ein kleines Problem, es hat alles soweit geklappt doch ab Punkt 7 wo ich im Registrierungs Editor “DisableTaskmgr” suchen muss findet er nichts. Ich hab auch einfach nur “Disable” eingegeben doch da kommen dann nur 3 Auswahlmöglichkeiten : 1. (Standard) 2. LegacyDisable und das 3. ist SuppressionPolicy.
    Was kann ich tun?
    Gruß

  77. Wenn ich in die Konsole

    C:\> dir /a /s *dll.Ink eingebe werden keine eintrage gefunden :///

  78. Kommen irgendwelche kosten auf mich zu wenn ich mich in dem Forum registriere?
    Ist die beratung durch die Experten kostenlos??

  79. Habe mich nun Angemeldet es ist mir jedoch nicht möglich etwas zu schreiben…
    Wahrscheinlich muss ich einfach noch ein wenig warten…

    Mein Problem ist Schritt 1
    …Klicken Sie unten links auf den Button für Eingabehilfe. Es sollte sich jetzt eine Konsole öffnen…

    Es öffnet sich ein Fenster mit dem Namen “Erleichterte Bedienung” jedoch keine Konsole.
    Was ist zu tun um dieses Problem zu beheben?

    Würde mich über Antwort freuen

    1. Hallo Sven,

      der Aktivierungslink wurde an deine angegebene E-Mail Adresse versendet. Klicke diesen an, dann kannst du ein Thema erstellen.

      MG, ABBZ

  80. Wenn ich unten Links auf den Button drücke erscheint nicht das was angezeigt wird. (Abb.1) Wo kann ich den hier die Experten sofort anschreiben ??

  81. hallo,
    ich hab mal eine frage, da das oben beschriebene bei mir irgendwie nicht klappt. Also am Anfang öffnet sich das Fenster nicht. Könntet ihr mir vielleicht sagen was ich falsch mache ?
    Waere sehr nett. Danke schonmal im Vorraus.

  82. Hallo,
    Ich habe ein Problem nähmlich bei Schritt 2 komm ich nicht
    als Admin rein. Ich habe wie beschreiben das alles vorbereitet.
    Doch wenn ich beim Anmeldebereich STRG+ALT+ENTF passiert bei mir garnichts
    Kann mir jemand bitte helfen? Wenn ich den Schritt aus lasse komm ich auch nicht weiter
    Schonmal Danke im voraus

  83. guten abend
    bin heute auch opfer dieses bka-trojaners geworden.
    habe wie beschrieben mein bild der bka startseite mit euren anleitungen verglichen und bin den schritten gefolgt.
    jedoch hatte ich keinen schimmer welche prozesse ich nun beenden sollte.
    habe dann wieder vom administrator zu meiner benutzeroberfläche gewechselt und plötzöich konnte ich wieder internet nutzen jedoch ist die mail mit der http.//adreese noch immer in der taskleiste und es lässt sich auch nicht schließen.
    demnach ist der trojaner noch immer bei mir aktiv. ich habe mir dann erst von avira den DE cleaner gezogen und durchlaufen lassen allerdings ohne erfolg.
    danach von malwarebytes das programm hat 3 probleme gefunden und diese habe ich auch entfernt. nach dem neustart hat sich jedoch nichts verändert.
    ich würde wirklich sehr gerne bei euch ins forum allerdings müsste ich mich dazu anmelden und daten von mir eintippen. ich habe echt keinen schimmer was mit den daten passiert wenn der komische tjojaner noch geöffnet bei mir auf dem bildschirm vorhanden ist.
    könnt ihr mir helfen?

  84. Ich scheitere schon bei Punkt 7:
    habe auf der Konsole regedit eingegeben und im neuen Fenster über “Bearbeiten” in der Fkt “Suchen” den vorgegebenen Suchtext eingegeben: disable Taskmgr
    NICHTS PASSIERT
    Laut Anleitung sollte sich jetzt ein Eintrag finden, auf den ich doppelt klicken soll und dann ein im neuen Fenster den Wert:0 und Häkchen bei “Dezimal” setzen soll.
    Suche bleibt ohne Ergebnis – kein Eintrag – kein neues Fenster…
    Wie geht’s jetzt weiter?

    Wenn mein Rechner unter “disable taskmgr” nichts findet, heisst das, dass dieser Schritt schon “erledigt” ist? Kann ich das überspringen und dann bei Punkt 8 weiter machen?

    Wenn ich nur “taskmgs” eingebe, finde ich einen Eintrag. Da könnte ich den Wert 0 angeben aber kein Häkchen setzen… Soll ich?

    Danke für Eure Tips.

  85. Wenn ich mich beim administrator anmelde kommt trotzdem der virus
    ich weiß aber nicht wie man sich mit shutdown -l abmeldet

  86. es geht auch noch einfacher:

    -ihr geht auf autostart, wenn sich euer pc gestartet hat, also direkt nach der anmeldung.
    -dann schaut ihr euch die datei an, die ihr nicht kennt/nicht haben wollt oder die euch komisch vorkommt.
    -DANN LÖSCHT IHR DIE DATEI
    -DANN PC NEUSTARTEN
    -und alles läuft wieder <–

  87. 29.03.12 / Die Schilderung war auch für ungeübte User zu verstehen und hat meinen Virus offensichtlich gekillt. Hier steht C:\Windows\System32 und Ort: entweder „unbekannt“ oder wie bei mir: —stand ganz unten in der Liste — “Toshiba” und eine weitere lange Dateiangabe.
    Das ist die schädliche Software!!!
    Deaktivieren Sie mit löschen des Häkchens den Trojaner, dann Übernehmen und starten Sie den PC neu…
    Dann CC Cleaner programm und 2 x Antivir und zusätzlich “Malwarebytes” drüber laufen lassen, dann sind die letzten Viren (bei mir noch 15) auch weg…

  88. Hi schon mal sehr geil das es leute wie euch gibt die sowas zusammen tragen dafür schon mal danke ….

    aber ich habe leider auch mir so ein Trojaner eingefangen ….
    bin mit eurer anleitung auch ein Stück gekommen aber bei punkt 7 ist bei mir schluss ich finde (DisableTaskmgr) einfach nicht könnt ihr mir bitte schnell weiter helfen

  89. Guten Tag. ich hatte heute auch diese “Polizei meldung” jedoch habe ich es glücklicherweiße anders regeln können: und zwar ich habe den rechner unsauber heruntergefahren sprich den Startknopf gedrückt bis er ausging danach fragt er wie er den computer starten soll dort einfach auf abgesicherten modus gehen. danach habe ich einfach einen alten “Speicherpunkt” wiederhergestellt. wen das getahn ist Malwarebytes durch laufen lassen danach Avira. und siehe da sie fanden 4 viren die auch beseitigt wurden. sind die Viren ersteinmal erkannt wurden sollte zumindest diese art auch nicht so schnell wieder zugang bekommen.

    ich hoffe es war eine kleine hilfe:)

  90. Hallo Regina,
    Das war eine einfache und wirksame Hilfe. Gratuliere! Bei mir war der Hersteller unbekannt.
    Viele Grüße
    ewe36

  91. ich bleibe bei schritt 2 hängen weil sich bei mir nicht dieses Fenster öffnet sondern das mit erleichterter Bedienung.
    kann mir einer helfen?

  92. ich habe jetzt einfach den Pc durch langes drücken des Start-Knopfes heruntergefahren und ihn dann im ‘abgesicherten Modus’ neu gestartet und dann in der systemsteuerung eine SYSTEMWIEDERHERSTELLUNG gemacht und danach war der Trojaner weg 🙂
    ich hoffe dies hilft irgendjemandem 🙂

    1. Hallo martin,

      es können sich trotzdem noch Reste des Trojaners auf dem System befinden. Zudem sollten man seinen PC nach Sicherheitslücken untersuchen wie z.B. veraltete Plugins, Addons wie Java oder Flash. Oder fehlende Sicherheitsupdates für Windowd usw…. Siehe hier.

      MG

  93. hallo habe folgendes problem bei dem schritt in der reg. die datei disable Taskmgr zu suchen findet die suchoption nichts 🙁
    wie kann ich weiter vorgehn .. gruß mario

  94. Hatte den BKA Trojaner heute auch auf dem PC, dank meines zweiten Monitors und der Sidebar, wurde mir dort das entsprechende Fenster der .exe angezeigt und konnte diesen Prozess anhalten und den Taskmanager starten, dort dann neuen Task explorer.exe ausgeführt und nach die die entsprechene Trojaner exe in den Prozessen gesucht und mir den Speicherort anzeigen lassen und den Pfad gemerkt.

    Manuell die exe gesucht und gelöscht, Malwarebytes und Antivir scannen lassen, nun ist alles wieder sauber.

  95. hallo,hatte gestern auch das problem und habe einfach meinen internet gekappt(stecker raus und fertig).danach hab ich den rechner ausgeschaltet und neu hochgefahren.danach konnte ich mich erstmal wieder normal auf dem desktop bewegen ohne das der trojaner angezeigt wurde.danach hab ich eine systemwiederherstellung auf 5 tage vorher gemacht,und seit dem funktioniert wieder alles.jetzt die frage sollte ich dennoch eure tips befolgen und nach dem virus schauen(hab meine virusprogramm schon durschuchen lassen hatt nichts gefunden).

  96. Hallo,
    Meine Mutter hat auch den Trojaner drauf. Ist auch Alles nett und gut beschrieben aber bei mir öffnet er nicht die Konsole. Kann mir da jemand weiterhelfen?

  97. Hallo

    ich habe folgendes problem vieleicht kann mir jemand sagen wie bei windos vista ins eingabefeld komme.

    mg

  98. Hallo ich hab ein problem, denn wenn ich auf die Eingabehilfe klicke öffnet sich ein anderes Fenster, in dem ich z.B. die Sprachausgabe, Bildschirmlupe oder den Kontrast einstellen kann. Wie komme ich auf das Fenster in dem ich das eingeben kann,was in der Anleitugn steht?

  99. Hallo ! Ich hatte vor 2 Tagen auch den BKA Trojana auf meinem Laptop. Ich habe mir die Festplatte löschen lassen ( da ich selbst nicht so firm bin ) und das Betriebssythem (Windows7) neu aufspielen lassen . Zusätzlich habe ich mir G Data Internet Security gekauft und nun auch drauf ! Kann ich jetzt sicher sein , das nichts vom Trojana übrig ist ?

  100. Hallo zusammen
    ich schreibe jetzt mal meine Erfahrung mit diesem ÜBEL hier rein – möge es Leuten dienlich sein die auch betroffen sind:
    Step1) Um den Rechner wieder benutzen zu können, habe ich ihn im abgesicherten Modus gestartet und über msconfig den Task deaktiviert der nicht da rein gehörte, danach normal gestartet.
    Step 2) offenbar das einzige Programm dass den Dreck findet ist das malwarebytes, das hat zwei Dateien gefunden, die habe ich gelöscht
    Step 3) Wer jetzt denkt dass das Ding weg ist der hat sich getäuscht. Nicht umsonst wird in vielen Foren geraten den Rechner neu einzurichten. Ich habe es mit verschiedenen Rescue CDs probiert:
    – Antivir: kein Resultat
    – AVG: kein Resultat
    – F-Secure: kein Resultat
    – Kaspersky: trojanisches Programm gefunden und eliminiert.

    Noch eine Anmerkung zu Rescue CDs: Vielleicht stelle ich mich dumm an aber bei mir hat das mit WLAN nicht funktioniert. Die Rescue CDs brauchen eine Internetverbindung und ich musste dazu ein Kabel verwenden.
    Ich finde es schon seltsam, dass mein Virenprogramm (TrendMicro, welches angeblich auf den Datenbanken von Kasperskay operiert) den Trojaner nicht gefunden hat und auch die ersten drei Programm nix gefunden haben (?).
    Und: Kann man sich drauf verlassen dass der Kaspersky das nächste Mal (hoffentlich nicht) wieder etwas findet oder muss man jedesmal alle ausprobieren?
    Für das Scannen mit der Rescue CD viel Zeit einplanen (!)
    Grüße McCoy

  101. Hallo,
    mein PC ist mit dem Gema – Virus infiziert, die hier vorgeschlagene Lösung ist allerdings nicht erfolgreich, da ich auch als Administrator überhaupt erst nicht in den Explorer gelangen kann (Schritt 5), der Desktop ist blockiert.

  102. Daumen Hoch… Super Easy !!!!!!!!!!!!!!!!!!!!! EINFACHE ERKLÄRUNG !!!!!!!!!!!!!!!

    Dankeschön

  103. hallo leute.
    ich habe leider auch den bka trojaner eingefangen! und komme nicht mehr weiter weil bei mir nach der strg+alt+entf taste unten links zwei buttons gibt eins davon für die sprache und eins für die erleichterte bedienung. wenn ich aber auf erleichterte bedienung drauf klicke hab ich nicht was ich eingeben kann sondern nur ein paar möglichkeiten wie ich elemente vergrößern bzw text ohne tastatur eingebeb kann etc. ich brauche dringend hilfe! !!

  104. Hallo Regina,
    Sie sind die erste, die das Problem annalytisch angegangen hat. Herzlichen Dank für das Ergebnis. Es sollte in einem größeren Rahmen veröffentlicht werden. Noch ein Zusatz:
    Wer mit dem Avira Antivir arbeitet, der sollt den Avira DE-Cleaner installieren und damit anschließend den PC säubern. Danach ist alles wieder ok.

  105. Hallo habe mir auch einen bka Virus eingefangen komme aber nicht weiter habe windows Vista und habe Strg +alt+entf komme auch auf benutzer wechseln und komme dann nicht weiter weil sich unten links nich das richtige fenster öffnet.
    Bitte um Hilfe

  106. Ich habe jetzt auch diesen Trojaner auf dem Laptop.

    Bei mir öffnet sich so ein Fenster nicht.. und als ich dieses Fenster gefunden habe, nimmt er den Befehl nicht.. und Nu?

  107. Ich hab da schon ein paar Anleitungen versucht aber alle versuche sind bis jetzt fehlgeschlagen. Was kann ich noch machen das ich diesen Trojaner loswerde? Auch bei dieser Anleitung funktioniert es nicht da sich ein anderes Feld öffnet wie in der Anleitung vorgegeben ( erleichterte Bedienung unten links). Ich wäre ihnen sehr verbunden wenn sie mir helfen könnten.
    MfG Fred Strohm

  108. Ich hatte mir den BPOL-Trojaner heute auch eingefangen auf meinen Windows 7 Rechner.
    Ich hate eine Version von dem Ding erwischt, die sich nicht in der Registry einnistet, sondern ganz lapidar über den Menüpunkt Autostart im Start-Menü geht.

    Hatte erst auch einige Sachen ausprobiert, die nicht funktioniert haben.

    Ich habe einen Neustart gemacht und bin in den abgesicherten Modus. Danach habe ich durch Zufall in den Autosart des Startmenüs gesehen. Ich hatte beim normalen Systemstart beobachtet, dass mein Desktop erst normal angezeigt wird, dann öffnet sich der Internetexplorer und dann war erst mein System gesperrt.
    Es war lediglich nur eine exe-Datei mit einem ungewöhnlichen Namen im Autostart-Menüpunkt. Diese habe ich gelöscht, auch gleich aus dem Papierkorb.
    Neustart des PC und dann war die ganze Sache erledigt.

  109. Damn !
    Ich habe den neusten BKA Virus -.-
    Java Script . … Er verbirgt sich hinter csrss.exe etc und sogar Windows Media Player ist Auslöser. Er blockiert alles sogar fn Tasten …
    Habe meinen taskmanager wieder zum laufen bekommen, jedoch als ich wieder ins inet ging, hat er sich kurze zeit wieder an mein System zu schaffen gemacht. Ich konnte ihn aber schnell austricksen. Nun ist die Gefahr wenn ich ins Internet gehe, wird er seine exe ausbreiten und verteilen unter Decknamen wie : Explorer.exe und notepad.exe etc.
    Ich werde jetzt eine Systemwieserherstellung durchführen .

  110. ps: mein Mauszeiger zeigt dauernd an, dass er arbeitet ( Sanduhr Erscheinung )
    Csrss.exe springt in dem Moment auf CPU Last 02 ~ 4940 kb …

  111. Moin,Moin
    Regina

    vielen dank für die kurze und knappe ausführung; hat auf anhieb geklappt;

    gruss pn59

  112. Ich konnte mittels Rechtsklick “Diese Seite mit Bing übersetzen” auswählen. Somit konnte ich das Internet verwenden und Malwarebytes herunterladen und ausführen.
    Vielleicht hilft es ja jemandem!

  113. Ich hatte heute den Trojaner nach Bild 1.o3

    Zu Regina´s Anleitung aus Sicht eines Laien.
    Nach F8 den abgesicherten Modus wählen. Das Dosfenster bekommt man indem man unter Start cmd eintippt und bei C:\userx\ landet. Dann wechselt man mit alten Dosbefehlen cd enter, cd enter, cd windows enter, cd sysetm32 enter, nach C:\windows\system32

    Nachdem ich bei C:\programme\MS0045E772.dat\H992 den Haken entfernt habe war die Seite nach dem Neustart weg. Unter c\programme war allerdings nichts zu finden. Mit Malwarebytes wurden allerdings 4 Objekte entfernt.

    1. Hallo,

      gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem Support-Forum und erstelle ein Thema unter “Hilfe” –> “Windows Systeme”!

      Grüße,
      CS, ABBZ

  114. Ich gebe auch mal meine Erfahrung ab , wie ich ihn beseitigen konnte.

    Ich bekam 2 PCs , einmal XP und der andere Windows 7. Beide konnte ich vom Trojaner
    befreien, allerdings ging XP schwieriger. Die Version des Trojaners war relativ neu. Kein bekanntes Bild habe ich im Netz gefunden ( habe es aber abgelichtet ).

    Das Windows 7 System konnte ich mit der Rescue Boot Disk von AVIRA 05/2012 heilen, jedoch Windows XP nicht.

    Das Windows XP war kniffliger..hier half die aktuelle Kaspersky Rescue Disk 10, welcher unbedingt online die aktuelle Virendefinition nachladen musste. Leider brach das Programm immer mittendrin ab, sodass ich Blöcke von Verzeichnissen einzeln scannen musste.

    Gruß

  115. Leider funktionierte dies bei mir nicht so wie hier angegeben… Ich musste leider das ganze System Löschen, sämtliche Festplatten neu Formatieren mittels System-DVD Windows 7 und alles neu installieren…. wie es scheint müssen die Entwickler des BKA-Trojaners das Virus neu bzw weiter entwickelt zu haben…

    Allen Betroffenen viel Glück das ihr es hin bekommt….

  116. Wenn euer System total neu eingerichtet ist, alle Sicherheitsupdates aufspielen, entweder selber, oder durch einen Bekannten, der sich auskennt.
    Tip:nehmt HDguard als Schutz.
    Bei einer Infektion, die Reest Taste.
    Danach ist alles wieder rein.
    HDguard erstellt eine Art “Systemabbild”, das bei einen Restart egal, ob warm oder kalt den alten Zustand herstellt.
    so kann man den Trojaner auch lswerden.
    und zusätzlich mit Trend Micro Housecall auf Vollscan testen lassen!
    Trend Micro mit Google, oder Yahoo suchen, egal welche Suchmaschine, und dann je nach Sytem eine 32er oder den 64 BitScan ausführen.

  117. Bei mir erscheint die Konsole nicht nachdem ich auf die Eingabehilfe gedrückt habe .
    Wie kann das sein ? Was ist da für ein Problem ?

  118. Auf einem Kundenrechner meldete sich der Trojaner über die Datei D:USERSNAMEAPPDATAROAMINGULIMYAVJII.exe

    Ich bin diesem Schädling Herr geworden, indem ich den Rechner im abgesicherten Modus gestartet habe und anschließend über die Systemwiederherstellung den Rechner wieder auf den Stand vor der Infizierung brachte. Löschen der Datei und ein Scannen der Registry / des Systems mit einem aktuellen Virenscanner sollte dann das Übrige tun.

    Was mich dennoch immer wieder verwundert: Dies ist bereits der dritte Befall eines Kunden – obwohl die jeweils installierten Virenscanner aktuell waren (in einem Fall Avast, in beiden anderen Fällen TrendMicro Titanium Internet Security 2012). Offensichtlich umgeht dieser Trojaner sehr geschickt die Sicherheitsmechanismen. Also hilft hier nur “gesunder” Menschenverstand beim Auftauchen von Meldungen und Lesen von e-Mails…

    Viel Erfolg allen, die von diesem Trojaner befallen sind.

    Weitere Infos auch unter http://www.computer-akademie.com/trojaner-entfernung.php

    Bolzman

    1. Das Zurücksetzen des Rechners über die Systemwiederherstellung, sowie die Verwendung von VirenScannern schließt keine Sicherheitslücken. Vielmehr setzt man, mit der Systemwiederherstellung den Rechner in einen noch älteren Patch-Level und man sollte nach der Systemwiederherstellung auf jeden Fall seinen PC updaten.

      Auch Browser & Plugins (welche diesem Schädling als Einfallstore dienen), sollten mal Aktualität geprüft werden und ge-updated:
      https://www.botfrei.de/browsercheck <<<- am besten in die Favoriten und ab und an mal "besuchen". Grüße, TK, ABBZ

  119. Es war ganz einfach wegzubekommen!

    Hab den PC im abgesicherten Modus gestartet (mit Netzwerk) und mich dann hier durchgelesen, dann bin ich eben zu Benutzer/name/Appdata/Local/Temp.
    So dann hab ich 4 Dateien gesehen die mir komisch vorkamen und dann mal auf die draufgeklickt und da war wieder der weiße Bildschirm. Also einfach neugestartet, die Dateien gelöscht (am besten schauen dass die alle zur selben Uhrzeit erstellt wurden) und dann auf gut Glück den PC normal hochgefahren und tada, Virus war weg.
    Hatte ihn davor mit Malwarebytes durchgecheckt aber das hatte auch nix gebracht.
    Also einfach der Intuition folgen und probieren 😉

    1. Das kann aber auch ganz schön in die Hose gehen, wenn man “intuitiv” Dateien löscht … bei TEMP/TMP-Ordner ist das “unkritisch”, aber …
      Meldet Euch doch lieber in unserem Hilfe-Forum, dort helfen wir Dir gezielt weiter.

      Grüße,
      TK, ABBZ

  120. Ich hatte den BKA-Trojaner ebenfalls auf dem PC. Dank den Tipps hier konnte ich das Problem jedoch innerhalb einer Stunde lösen, obwohl ich keine Ahnung von PC’s habe.

    Durch das starten mit F8 im abgesicherten Modus konnte ich feststellen, dass die Datei explorer.exe nicht umgenannt war.
    Als ich nun aber msconfig in die Konsole eingegeben habe, konnte ich die Dateien, die beim Systemstart hochfahren, einzeln abwählen.

    Anschließend führte ich noch einen Virenscan mit AntiVir durch, wobei folgende Datei gefunden wurde:
    C:\Users\Marius\AppData\Local\Temp\glom0_og.exe
    [FUND] Ist das Trojanische Pferd TR/Drop.Injector.filw
    [HINWEIS] Die Datei wurde gelöscht.

    Nachdem das nun gemacht ist, klappt alles wieder.

    Danke also nochmal !

    1. Hallo Marius,

      schön gemacht…
      Lade dir mal das Tool von Malwarebytes herunter und lass deinen Rechner im Vollscan überprüfen. Bitte überprüfe mal deinen Rechner bei secunia.com auf veraltete Programme.

      Gruß ABBZ

    1. Hallo Julien,

      Ist das dein Rechner, versuche es mit deinem Passwort.
      Wenn du weiterhin Hilfe benötigst, melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ

  121. Hallo, vielen Dank für die hilfreiche Anleitung.

    Da ich den Registrierungsschlüssel nicht finden konnte und auch die *.lnk Datei nicht gefunden habe, musste ich etwas improvisieren, vielleicht hilfts anderen auch:

    Ich habe mich in den befallenen User normal eingeloggt, dann wurde ich ausgesperrt mit der BKA-Seite.
    Danach habe ich mit WINDOWS+L den Benutzer gesperrt und habe mir dort die CMD aufgerufen. Dort gebe ich taskmgr ein, und ich bekomme tatsächlich den Taskmanager mit allen Prozessen vom aktuellen User. Dort gibts dann auch den Schadprozess, erkennbar an der Auslastung (in meinem Fall die OHLI.exe, lag in C:\USERS\BenutzerName\AppData\Roaming\Mine\ohli.exe).
    Die habe ich im Taskmanager geschlossen. Dann konnte ich das Startmenü aufrufen, ohne geblockt zu werden. Mit Hilfe des Explorers hinnavigieren und löschen. Beim Neustart ist dioe Blockung zumindest raus.

    Danach natürlich den Rechner überprüfen…

    1. Super. Du solltest nun, nachdem Du Deinen Rechner wieder zurück hast, auf jeden Fall Updates einspielen:
      https://www.botfrei.de/browsercheck/ (Browser & Plugins)
      https://blog.botfrei.de/2011/06/ist-ihr-system-aktuell-hier-konnen-sie-ihren-windows-rechner-testen/ (der Rest)

      Es ist auch ratsam nunmehr mit Malwarebytes einen Vollständigen Scan drüberlaufen zu lassen:
      https://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/

      Solltest Du Hilfe brauchen, melde Dich einfach bei uns im Support-Forum!

      Grüße,
      TK, ABBZ

    1. Hallo anas,
      Wenn du möchtest, können wir uns im Forum deinen Rechner anschauen…
      Melde dich bitte in unserem kostenfreien http://forum.botfrei.de an, dort werden dir Experten “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ

  122. Ich kann nur sagen: Danke, das es leute gibt, die solche Seiten erstellen, um dem 08/15 User zu zeigen, wie man solche Probleme behebt.
    bei mir hat btw nach dem “vorbereiten” mit der Admin-Anmeldung ein einfacher “Quick-Scan” von Malwarbytes Anti-Malware gereicht.

    Gruß

  123. Hey,
    ich hab vor kurzem den Trojaner gekriegt und habe immer was(dieses zahlungsaufforderungsbild) sehen können aber ich sehe das nichtmehr seitdem ich mein Internetpasswort geändert habe…scheint mir so…kannst du mir da helfen?:/

  124. Hab den Trojaner beim ersten mal auf die Art und weise beim ersten mal vernichten können nachdem sich das Mistvieh aber ein zweites mal eingeschlichen hat und und ich den Virus wieder entfernt/zumindest deaktiviert hatte, ist beim hochfahren das Problem aufgetreten dass weder Ton noch Internet vorhanden ist und die Taskleiste sowie Sidebar grau bzw. in einer Art Standart / Windows 98 Design. weiß irgendwer woran das liegt oder was ich dagegen tun kann?

    1. Hallo TheDude,

      womöglich hat der Trojaner oder ein anderer Schädling dein System manipuliert. Für eine individuelle Hilfe kannst du dich kostenlos in unserem Support-Forum anmelden. Unsere Experten helfen dir “Schritt-für-Schritt” bei dem Problem.

      Grüße,
      CG (ABBZ)

  125. Ich hatte den Trojaner nach März 2012 heute zum 2.mal, Betriebssystem Vista.

    Nach Hochfahren im abgesicherten Modus (F8) habe ich mir mein Systen angeschaut.

    In der registry stand unter shell (bereits wieder oder immer noch) explorer.exe

    Dann habe ich mir die temp-Dateien von Windows angeschaut und vollständig gelöscht sowie die temporären Internetdateien. Danach die von meinem User unter user/appdata/local/temp, dort habe ich mt heutigem Datum erstellt die Datei g7i0ol_kaz.exe gefunden. Diese halte ich für das Problem.
    Nach Löschen aller Dateien und Leeren des Papierkorbes wieder Hochfahren im normalen Modus und bisher kein weiteres Problem.

    1. Hallo Wolfgang,

      wenn du bereits ein zweites Mal den Trojaner auf deinem System hattest, solltest du mal in unserem Support-Forum vorbeischauen. Unsere Experten helfen dir “Schritt-für-Schritt” bei der Reste-Bereinigung deines Rechners und der weiteren Absicherung.

      Grüße,
      CG (ABBZ)

  126. Ich hab den eigentlich total easy weggebracht:

    Abgesicherter modus (falls er sich starten lässt) C:\\User\%USERNAME%\AppData\
    hier alle 3 Ordner (Local, LocalLow, Roaming) löschen, PC neu starten und eventuell noch ne Systemwiederherstellung von vorgestern machen.

    Sollte es im Abgesicherten Modus nicht gehen hab ich es über den Abgesicherten Modus mit eingabeaufforderung per CMD gelöscht, PC neustart und Systemwiederherstellung

    Hat beides einwandfrei funktioniert.

    Lg, BerTLChief

    1. Hallo,

      die Systemwiederherstellung löst zwar das Problem mit dem Sperrbildschirm, löscht aber nicht zwangsläufig den Schädling. Zur Sicherheit kannst du dich kostenlos in unserem Support-Forum anmelden und unsere Experten schauen noch mal drüber.

      Grüße,
      CG (ABBZ)

  127. Servus,
    Ich habe den Bundespolizeitrojaner und nach einschalten u Setupmenu sowie einlegen der parted magic cd hat der Rechner die systemstartreparatur gestartet. Soll das so? Eigl doch nicht? Breche ich das lieber ab?
    VG

    1. Hallo,

      nein, das sollte nicht so sein. Möglicherweise hat der PC nicht von der CD gestartet, sondern aufgrund von Fehlern die Systemstartreparatur gestartet. Wenn du noch Hilfe benötigst kannst du dich kostenlos in unserem Support-Forum anmelden. Unsere Experten helfen dir “Schritt-für-Schritt” bei der Bereinigung deines Rechners.

      Grüße,
      CG (ABBZ)

  128. Hallo,

    hatte das “Vergnügen” mit der Bundespolizei am gestrigen Abend.

    Nach unzähligen Versuchen mit verschiedenen Anleitungen habe ich es mit Reginas Anleitung (2 Post vom Januar 12) geschafft, den Übeltäter ausfindig zu machen und zu eliminieren.

    Vielen Dank und LG

    Mikro

  129. Hallo ich komme nicht weiter.
    habe alles bis Punkt 3 so gemacht und es hat funktioniert.
    jedoch bei “shutdown -l” öffnet sich nicht ein 2 Anmeldefenster.
    Was kann ich tun.
    Danke schonmal im vorraus

    1. Hallo Florian,

      shutdown -l bewirkt eine Abmeldung des Users am Betriebssystem. Und es solltest die Willkommenseite von Windows erscheinen, wie unter Punkt 4 zu sehen ist.
      Brauchst du weiterhin Hilfe, melde dich in unserem http://forum.botfrei.de an, dort werden Experten bei der Lösung deines Problems helfen.

      Gruß ABBZ

  130. ich hatte die selben probleme. habe einfach mit der Windows7 instalation cd den letzten wiederherstellungspunkt installiert, und alles ist bestens. man sollte allerdings eine aktuelle sicherung vorliegen haben….. sonst fehlen eventuell instalierte sachen.

    1. Hallo Matzi,

      du solltest auf jeden Fall dein System mit einem Antivirentool gründlich scannen, bei der Systemwiederherstellung wird der Trojaner nur bei der Ausführung gehindert, aber befindet sich dennoch auf dem Rechner. Überprüfe den Rechner mal mit Malwarebytes.

      Gruß ABBZ

  131. Hallo zusammen. Ich konnte den PC ganz normal starten und siehe da, Karperski hat dem Virus den gar ausgemacht. Für die Reinigung hat er ganze
    10 min benötigt. Danach durchlief die vollständige Untersuchung und die dauerte 1 Stunde und 15 min.
    Bin ja mahl gespannt, ob noch irgendetwas auftaucht. Bis jetzt läuft er ohne Probleme.
    Was mich wunder nimmt, ob von Euch auch jemand mit dem Karperski arbeitet und er das Problem auch selber gelöst hat?
    MfG Brain

    1. Morgen Brain

      zZ. sind viele verschieden Infektionen im Umlauf, die zum Teil einen individuellen Bereinigungsplan benötigen. Trotzdem super, dass du mit der Kaspersky CD deine Infektion beseitigen konntest. Lese im Anschluss diesen Beitrag, wie du in Zukunft deinen Rechner absichern kannst.

      Grüße,
      TB, ABBZ

  132. Hallo,
    bei mir scheitert es bereits bei den ersten Schritten…nachdem ich den Benutzer wechseln will, steht da immer noch das ich als Stephi angemeldet bin. Wenn ich links unten klicke öffnet sich keine Konsole sondern nur das Fenster für erleichterte Bedienung?! Woran liegt das?Ist vielleicht nur ein Nutzer, nämlich ich eingestellt?

    Danke und Grüße

    1. Hallo Stephanie,

      Es gibt verschiedene Varianten des UKASH – Trojaner und andere Lösungswege dazu, bitte melde dich kostenfrei in unserem http://forum.botfrei.de an. Erstelle ein neues Thema mit Beschreibung deines Problems, die Experten dort helfen dir “Schritt für Schritt” bei der Lösung.

      Grüße,
      TB, ABBZ

  133. Ich habe bloß ein Netbook und bei mir reichte schon die Tatenkombi Strg+Alt+Entf aus um meinen Computer bei der nun geöffneten Seite rechts unten den roten Button zu klicken um meinen Computer Ordnungsgemäß Herunterzufahren.
    Als er wieder Hochfuhr bemerkte er das was nicht Stimmte und ging seine ganzen Dateien durch, bemerkte dabei etwas was da nicht hingehörte und löschte es gleich Automatisch.
    Danach ging zwar wider die Sperrseite an aber beim zweiten Mal mit demselben Vorgang (Strg+Alt+Entf richtig Runterfahren normal Hochfahren) war alles wieder in Ordnung.

    Das ist mir übrigens am 28.12.12 passiert.

  134. Hallo habe leider auch das Problem aber es passiert nix wenn ich Schritt 1…Strg ,alt, entf, Drücke ? Bitte um Hilfe.

    1. Hallo Jacob,

      das hat vielleicht bei alten UKASH-Trojanern mal funktioniert, aber heute benötigen diese Infizierungen eine individuelle Bereinigung. Melde dich bitte mal in unserem Support-Forum und erstelle ein neues Thema.

      Grüße,
      TB, ABBZ

  135. Hallo,

    Achtung es gibt eine neue Variante des Virus der sich in die “msconfig” einschreibt.
    Sobald man die msconfig ausführen will (zum Beispiel im abgesicherten Modus) wird der Virus aktiviert.

    Ich melde mich sobald ich mehr darüber weiß und weiß wie ich den Virus entfernen kann.

  136. Bei mir war der PC vollkommen blockiert, ein ausschalten ,bzw herunterfahren
    war nicht mehr möglich.

    Als Überschrift:
    Gesellschaft zu Verfügung von Uhrheberrechtsverletzungen e.V.
    Bild ähnlich wie Trojaner BKA 1.03.–Mit div. Gesetzen, Aufnahme oben mit Merkel
    und einem Polizisten,

Kommentare sind geschlossen.