• Home ·
  • Allgemein ·
  • UPDATE Bundespolizei oder Bundeskriminalamt Trojaner/Virus – Wie bekomm ich den Virus wieder weg?
  • 02Jan

    UPDATE Bundespolizei oder Bundeskriminalamt Trojaner/Virus – Wie bekomm ich den Virus wieder weg?

    Immer häufiger taucht bei diversen Personen eine Meldung der angeblichen Bundespolizei oder des Bundeskriminalamtes auf. Was steckt dahinter? Und, was uns am meisten interessiert, wie bekommen wir diese Meldung wieder weg?


    UPDATE 13.08.11: Erweiterte Lösung hinzugefügt.

    UPDATE 19.08.11: Erweiterte Lösung + neue Möglichkeiten hinzugefügt.

    UPDATE 26.08.11: Weitere Namen des Virus hinzugefügt.

    UPDATE 13.09.11: Gültige Lizenz/Key Norton Boot CD/Bootable Recovery Tool hinzugefügt.

    UPDATE 12.11.11: Solltet ihr vom GEMA-Virus/Trojaner betroffen sein, dann findet ihr HIER eine genaue Anleitung zur Entfernung des neuen Virus/Trojaner

    UPDATE 02.01.2012: Tipps zur Beseitigung von Problemen nach der Entfernung des Bundespolizei/Bundeskriminalamt Virus hinzugefügt.

    Manch ein verängstiger User dürfte sich in den letzten Tagen oder Wochen über einer dieser Meldungen gewundert haben:

     

    Angebliche Meldung des Bundeskriminalamtes“Die offizielle Mitteilung des Bundeskriminalamtes – Ein Vorgang illegaler Aktivitäten wurde erkannt.”

    oder auch

     

    Angebliche Meldung der Bundespolizei

    “Bundespolizei – Es ist die ungesetzliche Tätigkeit enthüllt! Ein Vorgang illegaler Aktivitäten wurde erkannt.”

     

    Keine Panik! Es handelt sich nicht wirklich um eine Meldung der Bundespolizei oder des BKA. Ganz im Gegenteil! Hierbei handelt es sich um eine gefälschte Meldung von Internetkriminellen!

    Bevor wir euch sagen, wie ihr diese Meldung, bzw. diese Viren/Trojaner wieder entfernen könnt:

    Die goldene Regel! NIEMALS BEZAHLEN!

    Das bezahlte Geld ist unwiderruflich verloren, doch die Meldung bzw. der Virus bleiben!

    Wie kann ich die Meldung bzw. den Virus/Trojaner wieder entfernen?

    Hiefür gibt es leider keine Patentlösung, da es mittlerweile einige verschiedene Abwandlungen des Trojaner gibt. Es gibt aber Möglichkeiten, mit denen man gute Chancen hat, den Trojaner zu entfernen und somit die Meldung weg zu bekommen.

    Prävention und Ursachenklärung:

    Als erstes sollte man sich kurz überlegen, wir man den Virus bekommen haben könnte, bzw. ob man überhaupt ausreichend Geschützt ist und sich deshalb diesen Virus eingefangen hat. Hat man zum Beispiel keinen oder nur einen kostenfreien Antivirenschutz (Avira AntiVir, AVG Free Antivirus etc.) installiert, kann man sich die Frage schon selbst beantworten. Ein kostenfreier Schutz reicht heutzutage einfach nicht mehr aus (über garkeinen Virenschutz müssen wir glaube ich nicht reden, das ist ein NOGO)! Die häufigste Infizierungsgefahr bei diesen Viren/Trojanern sind die sogenannten Drive-by-Downloads. Was heisst, ein Virus installiert sich bereits durch den reinen Besuch einer Seite.Hiefür wird eine Sicherheitslücke im Browser ausgenutzt – Man muss also nur eine Internetseite anschauen, schon wird im Hintergrund, ohne unser Wissen, der Virus oder Trojaner heruntergeladen und installiert – Ein kostenpflichtiger Schutz ala Norton Internet Security kann uns hier in vielen Fällen bereits Schützen, da dieser alle Webseiten bereits vor unserem Besuch auf Gefahren überprüft und uns bei einer Gefahr davor warnt und die Seite blockiert. Ein Free Antivirus wird solche Attacken in den meisten Fällen nicht erkennen – Der Virus wird also einfach installiert.

    Das können wir versuchen:

    Als aller erstes, sollten wir mal versuchen, den PC oder das Notebook im Abgesicherten Modus von Windows zu starten. Solltet ihr euer Gerät aufgrund der Meldung nicht ausschalten können, haltet einfach 5 – 6 Sekunden lang den Einschaltknopf gedrückt. Der Strom wird komplett vom Gerät getrennt und das Gerät ist dann ausgeschaltet. Nun schalten wird unseren Computer wieder ein und drücken immer wieder die “F8″-Taste. Im normalfall sollte nach einer Weile ein Auswahlmenü erscheinen , weiße Schrift mit schwarzem Hintergrund. (Solltet ihr ein blauen Menü angezeigt bekommen, dann handelt es sich hier warscheinlich um das Bootmenü. Drückt einfach auf die “ESC”-Taste und wiederholt das Tippen auf “F8″.) Wir haben mehrere Auswahlmöglichkeiten, entscheiden uns hier für den Abgesichertenmodus mit Netzwerktreibern. (Es ist für den späteren Verlauf wichtig, den Modus mit den Netzwerktreibern zu verwenden, da wir einen Zugang zum Internet benötigen werden). Wartet bis Windows mit einem schwarzen Desktophintergrund geladen wird und bestätigt alle Meldungen zum Abgesichertenmodus mit Ja oder OK. (Sollte hier nun auch die Meldung des Bundestrojaners auftauschen, dann springt bitte zum nächsten Punkt Viren und Trojanerentfernung via Boot CD.)

    Als erstes müsst ihr euch nun ein spezielles Tool von Norton herunterladen – Den Norton Power Eraser. Das Tool ist selbstverständlich kostenfrei.

    Speichert das Programm am besten auf den Desktop eures Computers, damit ihr den Download wieder findet. Führt das Tool aus, bei Windows Vista und Windows 7 startet ihr das Programm mit einem rechtsklick und wählt “Als Administrator ausführen”. Akzeptiert die Lizensbedingung, anschliessend wählt ihr “Scan for risks”. Beim nächsten Fenster wählen wir “Exclude Rootkit Scan” und Klicken auf “Continue”. Der Norton Power Eraser scannt nochmal kurz nach Updates und startet dann den Scanvorgang des Computers. Dieser Vorgang kann je nach Leistung eures Computers/Notebooks variieren. Von zwei, drei Minuten, bis zu einer halben Stunde oder mehr. Also – Geduldig sein! Hat der Power Eraser nun einen Schädling entdeckt, dann klickt auf “FIX”, der Power Eraser löscht den Virus/Trojaner nun von eurem Computer.

    (Sollte das Programm wieder erwarten nichts gefunden haben, oder der Virus taucht nach einem Neustart immer noch auf, dann haben wir hier noch folgende Tipps für euch: Installiert im Abgesichertenmodus eine Testversion zum Beispiel von Norton IS 2011. Zusätzlich solltet ihr nun noch das Programm “Malewarebytes Antimaleware” und führt einen Scan durch.)

    Eine Testversion von einer Internetsecurity ala Norton oder Kaspersky ist zudem empfehlenswert, damit noch weitere Schädlinge, die der Power Eraser nicht löscht, entfernt werden. Der Power Eraser löscht lediglich nur hartnäckige und schwerwiegende Trojaner und Viren.

    Viren und Trojanerentfernung via Boot CD

    Haben die ersten Punkte auch hier nicht funktioniert oder ihr konntet die ersten Schritte nicht durchführen, da auch im Abgesichertenmodus die Meldung auftaucht, dann haben wir hier noch eine letzte Möglichkeit via einer Boot CD den Virus zu entfernen. Zum Erstellen und Brennen einer solchen Boot CD wird sowohl ein funktionierender Computer, als auch ein Brenner vorausgesetzt.

    Hierfür gibt es folgende Boot CDs von verschiedenen Herstellern die zu empfehlen sind:

    Norton Bootable Recovery Tool -> Benötigt wird eine originale Norton Lizens, ansonsten kann die Boot CD nicht ausgeführt werden. Wir haben für euch einen abgelaufenen, aber für die BootCD funktionierenden Lizenzcode besorgt.

    Lizenz/Key Norton Boot CD/Bootable Recovery Tool: J78C3-9VMG6-JTM6V-CTBBH-J4T27

    Avira Rescue System Boot CD -> kostenfrei, keine Lizens benötigt. Ein Brennprogramm wie zum Beispiel Nero oder ImageBurn werden benötigt um die Boot CD zu brennen.

    Kaspersky Rescue Disk 10 auf CD -> kostenfrei, es wird keine Lizens benötigt. Ein Brennprogramm wie zum Beispiel Nero oder ImageBurn werden benötigt um die Boot CD zu brennen.

    Kaspersky Rescue Disk 10 auf USB-Stick -> kostenfrei, es wird keine Lizens benötigt.

    Solltet ihr hierbei auch erfolglos bleiben, dann solltet ihr euch ernsthaft gedanken über eine Neuinstallation von Windows machen. Alternativ könnt ihr ein paar Tage warten und hoffen, dass die Hersteller Updates für ihr Produkte veröffentlichen, welche diese Version des Virus/Trojaner erkennen und löschen können.

    UPDATE 13.08.11: Erweiterte Lösung für findige User

    Hier haben wir für euch noch eine erweiterte Lösung, die einiges an Erfahrung und Mittel erfordert. Benötigt wird ein funktionierender Rechner oder eine BootCD ala Knoppix, welche man sich kostenlos Herunterladen kann. Zudem braucht ihr eine orgininale Windows CD oder zumindest eine CD mit einem originalen Image.

    Als erstes bauen wir die Festplatte aus und schliessen diese an unseren funktionierenden Computer an. Hierfür gibt es auch USB-Adapter, welche ihr hier oder bei eurem Fachhändler ums Eck bekommen könnt. (Alternativ Bootet von eurer Linux Live CD). Startet den Rechner und fahrt in euer “gesundes” Windows. Öffnet das Laufwerk eurer infizierten Festplatte über den Arbeitsplatz/Computer. Dort müsst ihr alle Temporären Dateien, Sowie temporäre Internetdateien Löschen. (der Virus legt sich hier ab)

    Der Virus versteckt sich voraussichtlich in einer Datei namens “jashla.exe” oder auch “mahmut.exe/mahmud.exe” (danke an Karsten für den Hinweis).

    Die Pfade sind folgende:

    (x steht für euren Laufwerksbuchstaben, es kann sein, dass es notwendig ist, versteckte Dateien Sichbar zu machen -> Ordneroptionen und Haken setzten.)

    Für Windows XP User:

    x:\Dokumente und Einstellungen\EuerBenutzername\Lokale Einstellungen\Temporary Internet Files -> Löscht den kompletten Inhalt in diesem Ordner, der Virus verbirgt sich warscheinlich in Content.IE5, löscht trotzdem alles.

    Führt diesen Vorgang für alle Benutzerkonten durch, auch für den Administrator. Baut die Platte wieder in den alten Rechner ein.

    Startet den Rechner. Er wird jetzt hochfahren und der Virus startet sich NICHT mehr. Allerdings öffnet sich auch euer Desktop nicht mehr richtig, es wird lediglich der Desktophintergrund angezeigt. Keine Problem, auch das beheben wir jetzt.

    Hier habt ihr nun zwei Möglichkeiten.

    Möglichkeit 1:

    Wir löschen die veränderten Registryeinträge des Virus und setzten die Werte wieder auf den Standart. Öffnet den Taskmanager mit STRG + ALT + ENTF. Gebt in “neuer Task” den befehl “regedit” (ohne “”) ein.

    Ändert folgenden Registryeintrag mit folgenden Werten:

    Pfad: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    “Shell”=”Explorer.exe” (warscheinlich steht hier die jashla.exe/mahmut.exe/mahmud.exe drin)

    Schliesst den Regeditor und startet neu.

    Entweder es hat jetzt funktioniert, wenn nicht, dann fahrt mit Möglichkeit Nr. 2 fort.

    Möglichkeit 2:

    Bootet von der Windows XP CD. Im ersten Fenster gehen wir weiter mit dem Betätigen der Entertaste. Lizensvereinbarung mit F8 bestätigen. Im nächsten Fenster sucht Windows nun nach vorhandenen Windows Installationen, habt ihr die passende Windows CD zu eurer Windowsinstallation eingelegt, dann sollte hier nur mittels der Taste “R” die Möglichkeit bestehen, eine Reparaturinstallation durchzuführen. Kontrolliert bitte ob eure CD zu eurem Windows wirklich passt (XP Home und Xp Professional).

    Nach der Reparaturinstallation wird der Rechner hochfahren und warscheinlich beim Bildschirm “Bitte Warten” stehen bleiben. Schaltet den Rechner einfach aus und wieder an. Jetzt fährt der Rechner komplett hoch und wird eine Aktivierung für Windows  fordern. Diese wird sich sehr warscheinlich aber nicht öffnen und wir haben wieder den leeren Desktophintergrund. Sollte bei euch Windows doch normal starten – Wunderbar, dann seid ihr schon fertig. Alle Anderen lesen hier weiter – Schaltet den Rechner wieder aus und startet im Abgesicherten Modus OHNE Netzwerktreiber – Wichtig, da in diesem Modus keine Aktivierung erforderlich ist! – Hier sollte sich jetzt euer Desktop ganz normal öffnen. Ladet euch von eurem funktionierenden Computer die Installationdatei für den Internet Explorer 8 herunter – Download – Übertragt die Installationsdatei via USB-Stick oder CD auf den Rechner mit dem Abgesicherten Modus. Installiert den iE8, entfernt in der Installation das Häkchen für “Updates”. Nach erfolgreicher Installation startet ihr den Rechner neu (normaler Windows Modus).  Windows schreit wieder nach der Aktivierung, diesesmal wird sie sich aber öffnen. Aktiviert Windows via Telefon oder Internet und – voila – Der Desktophintergrund erscheint wieder!!!

    Um eventuell noch andere Viren oder Trojaner zu entfernen, welche mit dem Bundeskriminaltamt Virus nichts zu tun haben, ladet euch eine Testversion von Norton oder vergleichbar herunter und lasst den nochmal scannen. Ich hoffe ich konnte euch helfen. :)

    Für Windows Vista und Windows 7 User:

    x:\User(oder Benutzer)\EuerBenutzername\appdata\roaming\jashla.exe -> Löschen

    x:\Users(oder Benutzer)\EuerBenutzername\AppData\Local\Temp -> Alles löschen.

    Führt diesen Vorgang für alle Benutzer durch, auch für den Administrator.

    Jetzt sollte Windows wieder hoch fahren, alternativ im Abgesicherten Modus eine Systemwiederherstellung durchführen oder per Windows Boot CD. Solltet ihr hier keinen Erfolg haben, dann bleibt euch eigentlich nur eine Neuinstallation, bei Windows Vista und 7 gibt es leider keine richtige Reparaturinstallation mehr wie bei WIndows XP.

    Sicher ist nur die Neuinstallation

    Einen 100% Schutz gibt es nicht, sicher ist nur das Löschen eurer Festplatte und das Neuinstallieren von Windows. Ihr könnt nur versuchen euch präventiv für das Nächstemal bestmöglich mit einem ordentlichen Antivirenschutz zu schützen.

    Hier könnt ihr die führenden Top-Produkte im Sicherheitsbereich kaufen:

    Norton Internet Security 2011: Norton Internet Security 2011 – 1 PC

    Kaspersky Internet Security 2012: Kaspersky Internet Security 2012

    G-Data TotalCare 2012: G DATA TotalCare 2012

    Ihr habt nach der Entfernung noch Probleme? Hier füge ich euch nach und nach immer neue Tipps zur Beseitigung von Problemen nach der Entfernung des Bundespolizei/Bundeskriminalamt Virus.

    Problem: Taskmanager und/oder Programme (.exe) lassen sich nicht mehr öffnen.

    Lösung: Fügt ein neues Benutzerkonto übder die Systemsteuerung hinzu. Solltet ihr hier Probleme haben, so fahrt den PC im Abgesicherten Modus hoch und meldet euch als Administrator an. Wenn ihr den neuen Benutz erstellt habt und das Problem behoben wurde, dann übernehmt eure Benutzerdaten eures alten Kontos auf euren neuen Benutzer. Die Daten sind in (Windows XP) x:\Dokumente und Einstellungen\(Benutzername) oder (Windows 7/Vista) x:\User(oder Benutzer)\Benutzername abgelegt. Löscht danach den alten Benutzer.

    Somit hoffe ich, ein paar armen Seelen geholfen zu haben. Ich freue mich natürlich über postivie Rückmeldung und konstruktive Kritik! Über ein Like auf Facebook würde ich mich ganz besonders freuen ;)

    Bis dann – Klar machen zum entern! Arrrgh!

    derBlogPirat!

    Ahoi!



    Um auf dem neuesten Stand zu bleiben und keine News zu verpassen, könnt ihr entweder unseren RSS Feed abonnieren, unserem Twitter Account folgen oder Fan auf unserer Facebook-Fanpage werden.

    Über den Autor: Dodo
    Hobby-Pirat und Klabautermann, berufener IT´ler... geboren mit der Maus an der Hand, interessierte ich mich bereits in jungen Jahren für Technik und IT. Meine Lebensphilosophie: Es gibt 10 Arten von Menschen auf dieser Welt. Die die Binär verstehen, und die die es nicht tun.

  • Pingback: Wie entferne ich den Bundespolizei/Bundeskriminalamt Virus | BlogPirat

    • Noob

      DANKE! habe zwar das meiste nicht verstanden da sehr viel in der fachsprache erzählt wird doch mit ner simplen system zurücksetzung hat alles wieder funktioniert! ein like auf facebook ist das mindeste … wurde am 13.03.12 infiziert

  • http://www.highlight-computer.de Techniker

    Top Beitrag.
    Wir haben hier gerade eine Modifikation diese Virus. Er ist mittlerweile Resistent geben Norten,Kaspersky, Avira AntiBot, SpayBot, Adaware. Jetzte läuft der letzte Test mit Malwarebytes. Wir werden sehen ob es eine lösung für das Problem gibt.

    • EnVidia7

      Morgen, habe gerade eben die 03.10.2011er Versionen dieses “VIrus” beseitigt.
      War nicht leicht, aber schaffbar.
      Hier die anleitung zum Entfernen.
      1.Ihr startet den Computer im Safe-Mode mit Commando-zeile.
      ->Jeder sollte wissen wie man dort rein gelangt.
      ansonsten googlet es.
      2.Windows wird nun gestartet OHNE das lästige Fenster vom VIrus.
      ->d.h. es wird nur die Zeile angezeigt.
      3.In der Kommando-zeile drükt ihr Enter und es wird sich ein Ordner öffnen..
      4.sucht nach folgender anwendung mahmud.exe/mahmut.exe zumeist im anwendungsdaten-ordner zu finden, auch bekannt als %appdata%
      5.löscht es.
      ->ZUM BESPIEL (!):
      C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mahmud.exe
      6. nun neu-startet ihr den computer . und das Viren-Fenster wird sich nicht mehr öffnen.
      7.jetzt drückt ihr STRG-ALT-ENTF um den task-manager zu öffnen.
      8.ihr geht auf Datei und gebt ein %systemroot%\system32\restore
      9.es öffnet sich ein ordner mit einer datei namens rstrui.exe drin.
      10.ihr doppelklickt diese und es öffnet sich die systemwiederherstellung. wählt dort einen zeitpunkt an dem ihr 100%ig sicher seid, dass der virus noch nicht exisiterte, auf eurem PC, und stellt euren PC zu diesem zeitpunkt wieder her.

      Bei mir hat es funktioniert,
      mein betriebssystem ist ein WinXP.

      PS: das ist meine Methode.
      UNd soweit ich das hier überblicken kann auch die einfachste, möchte ich mal vermuten ;)
      jedenfalls dauerte der ganze prozess keine 15 minuten :)))

      Viele Grüße Envidia

      • lulu

        da wo man den wiederherstellungspunkt wählen muss gibt es bei mir kein fett gedrucktes datum und den vorherigen monat kann ich auch nicht aufrufen

        • lulu

          hat sich schon geklärt

          • Hill of C T

            Hallo!

            Hatte mir heute auch diesen Virus auf einer Seite mit teils illegalen Downloads zugezogen (ich wollte natürlich nur das legale Winrar runterladen)

            Ich hab den Virus ziemlich sicher auf einfache Weise getötet.

            Wichtig hierfür ist allerdings das ihr das hier lest bevor ihr infiziert werdet, da die meisten Viren sich gerade erst nach dem neustart fester reinfressen und sich praktisch duplizieren und andere viren reinlassen.

            zuallererst habe ich strg+alt+entf gedrückt und dann ging ich auf benutzeranmelden.

            Daraufhin verschwand das Fenster und es folgte das Fenster von Windows das einige Programme länger brauchen, wobei ich den vorgang des benutzer abmelden wieder abbrach.

            Danach lief Windows wenn auch etwas zickig weil einige hintergrund programme bereits nicht mehr liefen.

            Danach habe ich die “msconfig” gestartet, diesen befehl kann man in der taskleiste einfach unten eingeben und dann kommt man in ein Programm was mehr oder minder die windows start programme festlegt.

            Dort habe ich mir alle Dateien rausgesucht die mir unbekannt waren (war in diesem falle nur mahmud.exe im ordner %appdata%).

            Ich habe diese Datei daraufhin gelöscht und habe die Registry nach eben genau diesem Dateinamen durchsucht und dort alle zeilen wo der dateiname drin vorkam raus genommen.

            Danach Rechner neugestartet und alles läuft wieder einwandfrei, der Virus wurde bei mir übrigens mit Avira nicht erkannt.

            PS: Kostenpflichtige und Kostenlose Antiviren Tools haben in der erkenntnis keine Unterschiede, Kostenpflichtige nutzen nur Präventive Funktionen die auch beim AV Hersteller selbst Daten vom Server abrufen was dazu führt das eure Kiste zwar MINIMAL sicherer werden KANN aber mit sicherheit wird eure Kiste etwas mehr als Minimal langsamer.

            Ausserdem gibt es keine free Viren Datenbanken, selbst Avira ist ein kostenpflichtiges Programm wenn man alle Funktionen nutzen will, die Viren und Bot Datenbank ist aber in beiden Versionen die selbe, genauso wie übrigens bei 80% der Antiviren Software hersteller.

            Bis auf Norton und wenige andere, arbeiten eben alle Firmen gemeinsam an der Erkennung von Viren.

            Ich weiss nicht wie der Virus sich nach einem Neustart (wo sich viren meist schneller ins Internet einklinken als es eine Firewall verhindern kann) aber bei der methodik die ich gottseihdank anwenden konnte kann ich nur sagen das ich bei weitem aufdringlichere und schwerer zu bewältigende Viren hatte.

            PS: Ich nehme an das dieses Tool deshalb nicht als Virus erkannt wurde, weils evtl. gar keiner ist.

            Bis auf das man aus dem fenster nicht rauskam hat es bei mir scheinbar nichts angestellt….

    • kpm

      klassehilfe, hat bei mir super geklappt,
      bka trojaner ist weg!
      danke!

  • http://www.highlight-computer.de Techniker

    Ich hab die Datei gefunden. Sie heisst “jashla.exe”.

    • helper

      PC meines Nachbarn mit (XP Pro) und italienisch *grmpf*
      Kaspersky Rescue Disk 10 hat (wie schon erwähnt hast) nichts gefunden, aber mit dem dort zu findenden Linux-Desktop war der Übertäter unter
      c:\Documents an Settings\\Application Data\jashla.exe
      zu finden und zu löschen. Man muss die Festplatte also nicht unbedingt ausbauen.
      Nur löschen von jashla.exe brachte noch nichts, weil nach dem Hochfahren der Desktop nicht gestartet wird.
      Warte noch bis er mir die Install-CD bringt, dann geht es weiter.

    • helper

      .. geht auch ohne Install-CD

      PC starten
      Windows bootet
      Hintergrund ist da
      mit Strg+Alt+Del Taskmanager starten
      Anwendungen -> Button Neur Task
      regedit.exe starten
      in Baum zu folgendem Ast gehen
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

      zwei der Einträge müssen wie folgt aussehen
      “AutoRestartShell”=dword:00000001
      “Shell”=”Explorer.exe”

      wenn nicht dann ändern

      PC neu starten … fertig

      Und mein Nachbar sagt er nennt mich ab jetzt nur noch ‘Dottore’ :-)

  • Pingback: Wie entferne ich den Bundespolizei/Bundeskriminalamt Virus | BlogPirat

  • Dodo

    Boah, meine Finger sind jetzt wundgeschrieben :)

  • Dodo

    Habe eine erweiterte Lösung für das Problem hinzugefügt

  • slafochmed

    Ich habe 2 Virenscanner von CD, die booten, ausprobiert, ohne Erfolg: Kaspersky Rescue Disk und Bitdefender Rescue Disk. Es sind die neuesten ISOs aber ich habe kein Internetupdate gemacht.

    Ich nutze XP Professional. Der Safe Mode funktioniert nicht. Nun habe ich festgestellt, dass das Löschen der Temporary Internet Files auch nichts bringt. (für eine Weile Desktop-Hintergrund, dann erscheint der Virus wieder).

    Ich nutze Clonezilla Live CD um mit Linux Tools das Filesystem zu mounten und die schadhaften Dateien zu löschen. Ich habe jetzt jashla.exe gefunden, gelöscht, und die Temp auch gelöscht.
    Nun erscheint der Desktop Hintergrund, der Virus scheint jetzt seine Anzeige aber nicht mehr zu laden.

    Jetzt probiere ich den Windows Repair…

    • Dodo

      Hi slafochmed,

      das ist genau der richtige Weg, nach der Reparaturinstallation und dem drüber installieren des IE8 wird dein Windows wieder laufen. Ich würde mich freuen wenn du kurz mitteilst, wenn du erfolgreich warst.

      Grüße
      Dodo

      • slafochmed

        Ich habe es geschafft. Uff!
        Also, das Löschen von jashla.exe hat dazu geführt, dass der Desktop ohne Taskleiste und Icons geladen wurde, auch im Safe Mode.

        Jetzt kommt das Neue:
        Man kann den Taskmanager starten mit STRG+ALT+DEL und über den kann man Programme starten in Datei oder File > Run Task
        Windows Explorer: “explorer”
        Registry Editor: “regedit”

        Ich habe dann mittels regedit in
        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
        den Verweis auf jashla.exe in der Shell Variable gefunden.
        => Da muss der explorer.exe rein!
        Ausserdem habe ich in
        [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
        komische Einträge mit Pfaden wie
        Windows\IME\
        Windows\System32\IME
        gefunden und 3 gelöscht.
        => Nach Neustart kann ich jetzt wieder den Desktop nutzen.

        ***************
        Zu Clonezilla:
        Ein bootfähiges Linux Live System zum erstellen von kompletten Images.
        Ausserdem besitzt es das ntfs-3g zum mounten von Windows Festplatten.
        Damit kann man dann auf Kommandozeilenebene (Shell) das Filesystem von Windows durchsuchen.

        Hier die nötigen Infos:
        Clonezilla CD brennen und booten, auf Shell-Ebene wechseln (dafür kann man sich nach dem Booten entscheiden)
        => Erstellen eines temporären Ordners
        sudo mkdir /media/export
        => Mounten der ersten SDA-Platte
        sudo ntfs-3g /dev/sda1 /media/export
        => falls es nicht geht, dann mit force-mount
        sudo mount -t ntfs-3g /dev/sda1 /media/export -o force
        => pwd, ls, cd, ls .., und die Tabulator Taste für das Auffüllen von Dateinamen beim Tippen, damit navigieren zu der Windows Platte, z.B.:
        cd /media/export
        ls
        Dann gibt es den schönen find command:
        sudo find /media/export -name jashla.exe
        Dann dorthin navigieren und das Teil löschen mit
        sudo rm ./jashla.exe
        Gesamte Unterverzeichnisse und Dateien löschen:
        sudo rm -r ./Temporary\ Internet\ Files

        Bemerkung:
        sudo für Adminkommandos immer voransetzen
        ./ ist das aktuelle Verzeichnis, darstellbar über pwd
        \ ist ein Zeichen um ein Folgezeichen zu maskieren (z.B. ein Leerzeichen im Pfad)

        Viel Erfolg.

        • Calle

          Danke für den Tipp. Vorgehensweise hat bei mir auch geklappt. Die Datei hieß mahmut.exe

          • Piraten Ahoi

            Ich hab schon ein paar Maschinen gesäubert und da ist nur der Name “mahmud.exe” aufgetreten. Ich denke, dass es eine “mahmut.exe” gar nicht gibt. Die Nennungen hier waren entweder falsch geschrieben oder falsch in Erinnerung….die waren sich wohl selber nicht sicher.

            Einzig die “jashla.exe” und die “mahmud.exe” sind verifiziert.

  • Karsten Kunibert

    Hallo,
    danke für den guten Tipp, den “Bundespolizei” – Troyaner zu entfernen. Hat geklappt. N.B. bei mir hiess die Datei “mahmut.exe” oder so.
    Jetzt gehts wieder.
    Ich habe Bullgard auf meinem PC – der hat zwar einmal gequiekt, dann sollte ich den Rechner neu starten und die Probleme gingen los.

    Gruss
    Karsten

    • Dodo

      Hallo Karsten,
      Super dass es geklappt hat. Werde die Info mit der Mahmut.exe gleich dem Artikel hinzufügen, danke dafür ;)

  • kevin h.

    ich hab ein win7. also ich hab es das problem so gelöst.
    wenn dieses fenster kommt sollte man denn taskmanager öffnen.
    dann steht sperren, abmelden usw.
    dann meldet man sich ab, aber kurz bevor man sich abmeldet, abbrechen. dann wird der dektop angezeigt. da steht dann dektop reagiert nicht, dann wird da die problembehandlung ausgeführt.
    die muss man dann abbrechen. dann ist erstmal alles normal, aber beim neustart wird der virus wieder ausgeführt.
    dann müsst ihr unten links 1. start 2. %appdata% eingeben.
    da findet ihr die jashla datei. die müsst ihr löschen .
    zur sicherheit solltet ihr mit einem antivirus nochmal das system checken.

  • Matze

    Endlich mal ein Beitrag der das Problem sauber beschreibt. Nicht so blödes Blabla wie in den ganzen Foren. Danke!

  • Robert

    Genialer Beitrag!! Danke!
    Ich habe mir auf der Avira-Seite die Rescue CD heruntergeladen und den Scan stundenlang laufen lassen – KEIN ERGEBNIS!

    Aber dann habe ich in VISTA den abgesicherten Modus gestartet und dann wie beschrieben alles geslöscht:

    x:\User(oder Benutzer)\EuerBenutzername\appdata\roaming\jashla.exe -> Löschen

    x:\Users(oder Benutzer)\EuerBenutzername\AppData\Local\Temp -> Alles löschen.

    Und TADAAA! Alles lief wieder rund. Und es war kein zweiter Rechner, Linux oder Windows CD nötig.

    VIELEN DANK! Ich bin begeistert!

  • Thomson

    Habe die Methode mit dem Norton Power Eraser ausprobiert und es hat sofort wieder funktioniert, bei mir hieß die Datei auch jashla.exe.
    Vielen Dank für die Anleitung.

  • domi

    servus, hatte das gleiche problem, die meldung kam bei mir auch im abgesicherten modus, habe dann windows normal gestartet und so schnell es geht den taskmanager gestarten, habe dann den prozess “jashla.exe” schnellstmöglich beendet, bevor er gestartet werden konnte. muss innerhalb weniger sekunden passieren. dann hab ich wie von helper am 13. august bereits beschrieben regedit gestartet und besagten eintrag geändert, dann neustart und fertig. schöne grüße!

  • starke

    Danke
    mein schöner neuer Vaio und schon nen trojaner
    hätt ich alleine nicht weggekriegt
    wenns möglich wär würd ich dir dir 100€ geben die sie verlangt haben

    • Dodo

      Freut mich, dass ich dir helfen konnte ;) die 100€ darfste aber behalten. Kannst dafür ja mal auf den Like Button drücken :D

      grüße
      Dodo

      • birgit

        Puh….nach Stunden Arbeit ist es endlich geschafft!
        Bei mir hat folgendes die Lösung gebracht:
        mahmud.exe suchen, löschen.
        regedit (Pfade wie bei Euch angegeben) ebenfals die exe löschen.
        Neustart…und endlich Ruhe!
        Alle Anwendungen sind voll funktionsfähig, Desktop alles da.

        Danke für Eure Hilfe!

        Alles Gute…
        Birgit

  • http://pc-hameln.de valera

    windows xp
    abgesicherte modus-keine chance.
    war im explorer.exe
    musste explorer.exe austauschen ,
    abgesicherter modus mit eingabeaufforderung (oder windows live cd)
    dann,explorer.exe umbenennen und
    von cd mit expand ….kopieren

  • sus

    Hallo zusammen,

    hab mir vor kurzem diesen trojaner eingefangen.
    meine vorgehensweisse war denk ich mir einbisschen leichter als hier beschrieben. und zwar ich benutze einen freeantivir nur net die die hier benannt worden sind. dank reaktion meinen antivir habe ich noch sehen können wie der trojaner heisst. und so ging ich vor: pc ausgemacht dadurch durfte ich in den windows abgesicherten modus ohne jegliche treiber. durch msconfig konnte ich einen neuen eintrag in meinem systemstart sehen was mahmud.exe heisst da hab ich den hacken rausgenommen fürs erneuertes systemstart das auch anzeigt wo man den trojaner ausfindig machen kann und manuel löschen kann.

    Danke an die Die uns helfen!

  • alles opfer

    hi leute…dieser virus basiert auf einer schlichten exe datei die sich im autostart von windows befindet und sämtliche funktionen blockiert!
    umd diesen virus zu entfernen benötigt man keine programme. ihr startet euren PC im abgesicherten modus und geht dann auf euer Laufwer C dann auf benutzer dann auf euren benutzernamen und dann auf AppData (vorher versteckte ordner in der systemsteuerung sichtbar machen) nachdem ihr appdata geöffnet habt sucht ihr nach mahmud.exe. habt ihr diese gefunden löscht ihr sie mit rechtsklick und wiederholt dasselbe im papierkorb. danach startet ihr euren pc neu und lasst ein gutes virenprogramm drüberlaufen! der virus erscheint schon nach neustart nicht mehr.

    • Dodo

      Leider ist das nur bei einer Abwandlung des viruses so, bei manchen kommt der Virus auch im abgesicherten modus

  • BangBangla

    Yoyo!
    Bei mir kam eine fehlermeldung des skripts mahmud.exe als das ding aufging, das stand wo sich mahmud.exe befindet.

    C:/Users/yourname/AppData/Roaming/mahmud.exe

    Habe neugestartet, im abgesicherten modus und die mahmud.exe gelöscht. Die meldung is jetz weg :)

    • Tommy

      Hallo zusammen!

      Bevor hier jeder “hurra, ich bin das Ding los” schreit, eine kurze Anmerkung meinerseits.

      Sollte ich in den bisherigen etwas überlesen haben, sorry ;)

      Habe eben einen Rechner *remote* geprüft und musste feststellen, dass dieser ebenfalls von der “mahmud.exe” befallen war. Prima: “Task abschiessen, Datei löschen, Registry nach dieser Datei durchsucht” und schaue da … ****/run –> der Eintrag für Avira-Update wurde auf die “mahmud.exe” umgeleitet. Nachdem ich das Avira-Verzeichnis näher unter die Lupe genommen hatte, musste ich feststellen, dass Avira nur noch ein Zombie ist, da alle “Updates”, die bis zu dem Zeitpunkt angeblich gemacht wurden (konnte dies auf einem anderen Windows-Konto beobachten), keine Dateien im Avira-Verzeichnis ergeben haben. Das letzte Änderung war tatsächlich mit dem Zeitstempel versehen, als Mahmud.exe auf den Rechner kam. Demnach ist davon auszugehen, dass mittlerweile andere unbekannte Dateien durch die “Avira-Updates” nachgeladen wurden und man diese höchstwahrscheinlich nicht mehr (so schnell) wiederfinden wird.

      Im Übrigen ist es dasselbe Vorgehen wie bei einem der Facebook-Trojanern, die ebenfalls Antiviren-SW in Zombies “umwandeln” und freundlicherweise weitere “Freunde einlädt”. Auf dem Rechner, der über Facebook–>YoutTube–>Flashplayer infiziert worden war, waren unzählige weitere “ungebetene Gäste” aktiv…

      Darum soll mein Schlusswort und Anekdote wie folgt (bzw. wie im Beitrag oben) lauten …

      …Sicher ist nur die Neuinstallation

      Einen 100% Schutz gibt es nicht, sicher ist nur das Löschen eurer Festplatte und das Neuinstallieren von Windows. Ihr könnt nur versuchen euch präventiv für das Nächstemal bestmöglich mit einem ordentlichen Antivirenschutz zu schützen….

      Einen schönen Abend noch und Gruß
      Tommy

  • Blackikun

    Bei mir hat sich der Virus in explorer.exe versteckt, und ich habe bereits mit den lösungen rumprobiert, aber kam bisher nicht zum erfolg…
    Benutze immer noch Windows XP

    Abgesicherter Modus funzt nur mit der Komandozeile (immerhin etwas ^^ so konnte ich rausfinden das explorer.exe befallen ist) aber sonst nichts… ich werde einfach mal weiter versuchen ansonsten muss ich mir was anderes überlegen…

  • Hansi

    Hab auch einen eingefangen war in User/AppData (versteckt)/ mahmud.exe hab das gelöscht und PC Tools rüberlaufen lassen

  • weiteres opfer

    hallo,

    bei mir ist dieser virus auch im abgesicherten modus aufgetaucht.
    ich konnte aber den task-manager noch starten und habe dort als neuen task die avcenter.exe von avira aufgerufen. dort einen neuen suchlauf veranlasst. dabei wurde der virus in 3 dateien gesichtet und in die quarantäne verschoben.
    danach neustart und alles hat wieder ordentlich funktioniert.
    voraussetzung ist natürlich, dass man antivir auf seinem system hat.

  • Stefan

    Vielen Dank für die Ratschläge. Hat ausgezeichnet geklappt!

  • Jan Meßmer

    Ein riesen Dankeschön für das Tutorial… leider habe ich keine Ahnung aus welchem Grund ich mir diesen Virus eingefangen habe, da ich keinen Browser geöffnet hatte…

  • Argh!

    Super, habe das Drecksding jetzt auch…habe übrigens auch Mahmud.exe gefunden. Werde meinen Pc jetzt formatieren.
    Hatte bis vorhin noch avira drauf, was dann aber plötzlich verschwunden war. Also zumindest aus der Taskleiste. Konnte es aber auch im Manager nicht ausschalten. Habe jetzt AVG. Der findet aber irgendwie keinen Virus. Auch nicht, wenn ich ihn mahmud.exe checken lies.

    • Argh!

      Ist es notwendig die Passwörter zu ändern???

      Was kann der Trojaner überhaupt? Also kann der mehr, als sich einfach nur auf den Bildschirm zu legen und Anwendungen zu blockieren?

      Und welche Behörde kümmert sich eingentlich um solche Sachen?

  • Florian

    Haha ich hab ganz oben mit der rechten Maustaste auf Drucken und Quellcode anzeigen geklickt bis die .exe abgeschmiert is xD

    Sollte ihn aber trotzdem lieber mal entfernen

  • Helo

    Bei mir hat sich der Bösewicht ins avupdate geschrieben.

    (Hab Avira Gratis version und Win 7)

  • Magic88

    Hallo!

    Also bei mir kommt das fenster ständig nach dem anmelden!!!
    Ich komme nicht in den safemodus und habe auch keine möglichkeiten mehr auf den Desktop oder in den Taskmanager zu gelangen. Mein gefühl sagt mir nur sehr schlechtes…..format C……meine Frage jetzt noch, kann mir der Virus in irgend einer weitern Form gefährlich werden bezüglich meiner Kennwörter: facebook, google konten etc????
    Als der Virus das erstemal auftauchte habe ich sofort den Wlan abgeschalten und seit dem ging mein Notebook nie wieder online!! Was kann der Virus trotzdem noch anstellen??

    DANKE im Voraus.

    • http://www.blogpirat.de/ Dodo

      Soweit bekannt ist, sammelt der Virus keine Daten. Allerdings gibt es mittlerweile verschiedenste Ausführungen des Trojaners, weshalb es auch möglich wäre dass Daten übermittelt wurden. Um sicher zugehen kann man die Kennwörter ändern.

  • emil

    ich habe den mahmud in appdata gefunden. Brauchte ihn nur zu löschen und der virus war weg.

  • houzy

    Bei mir wurde die Datei im Autostart-Ordner der Registry gestartet:
    HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Run
    Dort musste ich den Wert “AVUPDATE” mit den Daten “Mahmut.exe” löschen.
    Kann auch gegebenenfalls unter Windows anstatt WindowsNT auftauchen.

  • hans

    bei mir funktioniert keine dieser lösungen
    könnte mir vielleicht jemand helfen :(

  • http://keine Alex-xes

    Geht viel einfacher ;-)

    wenn ihr das habt einfach windows neustarten vor dem windows ladebalken F8 drücken und in den abgesicherten Modus dann locker flockig in den c:\users\Dein Name\AppData\Romaning und dort ganz unten ist die mahmud.exe einfach löschen Computer Neustarten Weg ist er ;-)

    Kleiner Tipp er wird um adaversy Werbung verteilt, Firefox, Googlechrome Opera user sollten sich addblock plus installieren ;-) die werbung ist geblockt und kann nicht einfach irgendetwas herunterladen

  • poci

    hatte heut in den autostart dingern drin:

    c:\users\….\appdata\local\temp\upd.exe

    gelöscht und fertig

  • ich

    malewarebytes im abgesichterten modus klappt

  • Dave

    Also bei meinem Kumpel bin ich auch gerade dabei es zu entfenen. Hier mal kurz die Eckdaten:

    Datei: mahmud.exe in AppData/Roaming
    Sämluiche Antivirenprogramme haben versagt.

    Wichtig und neu: die Datei trägt sich im Systemstart als avupdate von Avira ein!

    LG, Dave

  • xoron

    thx <3

  • Christoph

    danke für die guten Tipps, hat alles wunderbar geklappt!
    LG

  • jarek

    Wie finde ich den appdata ordner?
    habe den nicht unter c:
    Bitte um hilfe

    • http://www.blogpirat.de/ Dodo

      welches betriebssystem hast du? Hast du versteckte Dateien und Ordner anzeigen lassen?

      • jarek

        XP,ordner kann ich alle sehen

  • Chriz

    Vielen vielen Dank… Nach ein paar versuchen und schweisperlen auf der Stirn konnte ich den Trojaner von meinem Laptop entfernen… muhamed.exe des war des drecksding…. wahh grüzze chriz

  • king

    Hab quasi alles erwähnte probiert, aber bei mir scheitert es an der Tatsache, daß ‘er’ mich nicht den Registrierungseintrag ändern läßt !
    Und als Admin kann ich den taskmgr nicht starten !

  • Dodo

    Danke hat echt geholfen

  • Dodo

    Bei mir hieß die exe mahmud.exe dachte im ersten mom wo hab ich die Windows cd gelassen wollt schon formatieren ;)

  • Andreas

    Servus an alle,

    dieses mistding lernt dazu, am Anfang konnte ich noch den Taskmanager starten und programme installieren, nach und nach blockiert er alles!

    Leider tatsächlich nur Neuinstallation möglich.

    Mfg Andreas

  • Philippe

    In der schweiz nennt sich das Programm
    upd.exe und befindet sich
    c:\Users\*****\AppData\Local\Temp

  • brako

    Hallo, ich habe ne ganz einfache Lösung – Zu erst startet ihr den Rechner im abgesicherten Modus und geht startet Systemwiederherstellung auf einen Tag bevor ihr euch den Trojaner eingefangen habt, das hat bei mir geholfen.

  • flow

    Vielen Dank, war eine große Hilfe!

  • joerg

    System XP
    Wollte nochmal danke für die Hilfe sagen. Bei mir war Explorer-datei schon verändert – mußte also drüberinstalliern.
    Habe mir o.g. Datei bei einem anderen PC auf SD-Karte heruntergeladen (hatte kein USB zur Hand aber Kartenslot) – funktioniert auch über solches Speichermedium.

    Vereinfachte Vorgehensweise ohne Recovery-CD:
    Windows im Abgesicherten-Eingabemodus starten (F8 Drücken bei PC-Start. Auswahl erscheint).
    Hatte nur eine Festplattenpartition und CD-Rom – somit liegt dann die Karte als Laufwerk E:\ hinterlegt
    einfach Kommando
    cd e:
    eingeben
    danach Dateinamen vollständig eingeben

    und gemäß Möglichkeit 2 wie oben Beschrieben fortfahren

    Empfehle danach aber auch zumindest kompletten Virusscan.

    Gruß Joerg

  • Jenny

    Hat super geklappt! Vielen vielen Dank für die Hilfe!!

  • Eritsch

    Hallo,

    vielen Dank für die super Tipps,
    ich hab Windows 7 und Strg-Alt-Entf funktioniert zwar, aber nicht der Task Manager. Wenn man dennoch auf “Abmelden” geht wartet Windows bis alles geschlossen wird, drückt man hierbei auf “Abbrechen” ist zumindest wieder der Desktop sichtbar, welcher zwar nicht reagiert, dafür kann man aber nun wieder den Taskmanager öffnen. Mit dem lässt sich dann in der Registry mithilfe von “regedit” mahmud suchen und entfernen, genauso auch die Exe unter Roaming. Dankeschön nochmal!

  • tom

    Ich habs heute so gelöst (Ohne Boot CD, ohne Abgesicherter Modus, XP und etwa 7 Minuten):

    -> Booten und direkt F8 drücken
    -> Anstatt “Abgesicherter Modus”, “Protokollierung aktivieren” auswählen
    -> Bei nun angezeigtem Trojaner-Fenster konnte ich mittels STRG + Alt + Entf den Taskmanager öffnen
    -> Im Menü auf “Datei” und “Neuer Task” klicken
    -> In das Textfeld “explorer” eingeben und Ok klicken
    -> Den Trojaner löschen: C:Dokumente und Einstellungen/MeinBenutzername/Anwendungsdaten/mahmut.exe
    -> Neustart ausführen… (Keine Taskleiste wird angezeigt)
    -> Browser (Firefox z.B.)im Explorer suchen und starten (Liegt entweder unter Programme oder Desktop)
    -> Folgenden Link in die Adresszeile eingeben, downloaden und ausführen. Alle Hinweise bestätigen:
    http://ul.to/6tdwtvuh
    -> Neustart
    -> Fertig!

    Grüße

    • Stefan

      Hallo, versuche gerade nach dieser Anleitung vorzugehen da alle anderen nicht funktionieren. Wenn ich den Task-Manager öffne und unter Datei explorer eintippe anschl. OK drücke wie muß ich dann weiter gehen?

      Vielen Dank im Voraus. MfG

  • Jack

    Vielen dank für die Hilfe mit dem Programm, wusste sofort das es ein virus ist aber hatte natürlich keine Ahnung wie man den weg bekommt.
    Ich habs mir etwas leichter gemacht ;P

    Win7
    Strg. Alt. Entf. -> abmelden -> Meldung kommt, ob Programme im Hintergrund geschlossen werden sollen -> Abbrechen -> explorer prozess beenden und als Task neu starten. Schon hat man zugriff aufn Pc ohne abgesicherten Modus

    (konnte ich zumindest so machen)

  • Mary

    hat alles super geklappt :)

    Danke…

  • Sebastian

    Danke für die hilfreichen Tipps und Anregungen, ich kann wieder normal auf Windows und Co. zugreifen.
    Bei mir war es jedoch nicht ein mahmud oder ein mahmut, sondern die datei, welche den bka virus verursacht hat, war eine “zahl.exe” .. in etwa der Form “0.71156…. . exe”. Hab sie mit Malwarebytes im AppData Ordner gefunden.

  • Perlhuhn2000

    bei mir hat alles nicht geholfen…
    hab dann des Rätsels Lösung hier gefunden:

    die schritte haben bei mir einwandfrei geklappt.. hab dann am ende den ganz oben beschriebenen Norton Power Eraser geladen und damit den PC gescannt.. dann hat er auch endlich mahmud.exe gefunden (welcher durch die windows suche oder sonstigen pfad-kram nicht gefunden wurde).. dann hab ich mahmud.exe mit dem Power Eraser gelöscht und jetzt ist wieder alles gut :)

    • http://www.blogpirat.de/ Dodo

      Hättest genauer lesen müssen, die Lösung mit dem Norton Power Eraser ist hier ebenfalls aufgeführt, ist sogar der erste empfohlene Schritt.

      mfg dodo

  • Gummo

    yeah! norton power eraser hat es geschafft! danke! seit tagen habe ich alles mögliche ausprobiert und mit dem tipp nun war es ganz einfach! toll!

  • der Rumaene

    Es geht auch ohne boot CD und virenscanner!
    Ich musste die Loesung finden weil ich kein boot cd bei mir habe… wie doof…

    Also:
    1.starte PC.
    2.Duecke F8
    3.Waehle safe mode mit command prompt
    4.loesche mahmud.exe aus c:\documents and settings\username\application data … auf deutsch.. findet ihr es..
    5.starte regedit
    6.suche nach mahmud.exe (mehrere treten auf. ignorieren)
    7.wenn du mahmud.exe im SHELL mit regedit findest loesche das ganze wert. ersetze mit explorer.exe

    Fertig. tadaaaa!

    …. kann sein das safe mode with command prompt nur bei XP Professional edition als bootoption vorhanden ist. dann pech gehabt. boot cd wie von kollegen beschrieben.

    be well!
    und finger weg vom porn! :P

  • Nathalie

    Moin!
    Die aktuelle Version des Viruses ist 0.8366676986808483.exe und hatte es sich ebenfalls bei WIN 7 proffesional ebenfalls in AppData/local/Temp gemütlich gemacht, nur dort. ein löschen dieser datei war soweit ausreichend. in der registry war nix verändert. grüße

    • Ralf

      Wenn man nicht gerade grundsätzlich als “Administrator” arbeitet…

      strg-alt-entf
      Benutzer wechseln
      Anmelden als Admin
      Taskmanager starten
      Prozesse aller User anzeigen lassen
      den *.exe mit viel CPU-Last suchen
      (dann hat man den diesmal verwendeten Dateinamen)
      Prozess abschiessen
      Im Explorer Dateinamen suchen => löschen
      In Regedit Dateinamen suchen => löschen
      Admin abmelden
      User anmelden und weiter arbeiten

  • habsgleich

    hab den Dreck mit Systemzurücksetzen runter bekommen und dann nochmal “suchen” lassen…war auch weg..((freu))

    - kommt man irgendwie an den Urheber solcher Software ran???
    hab mich mit solchen Sachen schon soviel rumgeärgert, dass der, den ich erwisch wohl ziemlich Scheiße aussehen würde, wenn ich Ihn treffe. :-)

  • Herold

    Wirklich lästig dieser Trojaner. Habe ihn mir gestern Abend eingefangen. Plötzlich ging nichts mehr. Glücklicherweise wird man ihn in wenigen Minuten los – zumindest mit Windows 7.
    Einfach im abgesicherten Modus starten, in der Systemsteuerung den letzten Wiederherstellungspunkt auswählen und die Systemrücksetzung starten. Dauert nur wenige Minuten und hat wunderbar funktioniert. Super auch: Persönliche Daten wie Fotos, Dokumente bleiben erhalten. Aber man kann im abgesicherten Modus natürlich vorher auch wichtige Daten sichern, um auf Nummer sicher zu gehen.

    • Dennis

      Woooow!!
      Vielen Dank für deine Information!!!! :D
      -> Gefällt Mir!

  • Pit87

    Servus kenne mich mit pc nich so gut aus und habe mir heute Morgen diesen scheiß virus eingefangen…
    werde das jetzt ma probieren mit euren tipps bin ich zuversichtlich das es klappt ich besitze mehere pc´s und würde gerne wissen welche programme ich kaufen soll so das ich einen bestmöglichen schutz habe!
    Habe überall avira gratisversion drauf und auf einen noch mc afee so wie ich eure beiträge gelesen habe bringen die ja nich viel sicherheit.. und da wäre noch was installiert sich der scheiß direkt nach dem “Herunterladen” oder kann bis zum Knall Tage vergehen?
    grüße und danke

    • http://www.blogpirat.de/ Dodo

      Der Virus installiert sich eigentlich sofort oder spätestens nach einem Neustart. Der reine Besuch einer Seite reicht, oder das offnen eines Links. Auch denkbar ist eine infizierung via Mail.
      Den ultimativen Schutz gibt es leider nicht. Produkte wie Norton, Kaspersky oder auch GData bieten allerdings durchweg immer eine gute Leiszung. Von Jahr zu Jahr kann der ein oder andere Hersteller auch mal besser sein. Mein persönlicher Favorit ist Norton. Ich repariere täglich Computer und entferne auch dementsprechend viele Schädlinge. Mit Norton erzielt man eine sehr hohe Erfolgsquote. Was den Norton auch stark auszeichnet ist der sogenannte Sonar-Schutz. Dieser kann (unter Umständen) auch unbekannte Viren erkennen aufgrund Ihrer Arbeitsweise und schütz somit auch oftmals präventiv auch wenn ein neuer Virus auf dem “Markt” ist.

      lg dodo

  • LXSmith

    Hey, vielen Dank!! Alles wieder ok bei minimalem Aufwand. TOP!!

  • Pit87

    Dodo dank dir
    sehr schnelle antwort das liebt man werd mir dann auch das Norton holen die frage is welches das 2012er oder besser das 360er? habe den parasit mit systemwiederherstellung auf den 29.11 erledigt is damit das Problem gelöst? oder schlummert der parasit noch ufm rechner?

    lg pit87

    • Wejherowo112

      Den Parasiten kann man auch im Abgesicherten Modus killen!
      100% schutz ist das aber nicht 100% nur wenn du den Rechner neu Aufsetzt!

      werde mal versuchen eine USB-Stick Anwendung zu Basteln die diese Sau von Parasititus Killt!

  • Ysiin

    Echt klasse von dir!! Vielen herzlichenk dank :))

  • anonym

    Hey!
    Vielen Dank, hast mir echt geholfen!
    Endlich ist das weg!Hat zwar etwas gedauert, aber Norton hats gefunden!”mahume..” oder sowas, so hiess die Datei.

  • http://- Mc

    Hallo Leutz
    Mich hats heute auch erwischt.(Windows 7 Ultimate 64 Bit) Aber es war weder Mahmud.exe / mahmut.exe / jashla.exe (schreibe das mal als Summe) meiner nannte sich 0.6916125049243116
    Dies bringt mich zu einer neuen Lösung des Problems :
    Alle Punkte, welche bisher zur Lösung angeboten wurden sind korrekt, aber was tun wenn die genannten Namen nicht vorhanden sind?
    • Wir starten wie beschrieben den abgesicherten Modus mit Eingabeaufforderrung
    • Dann jedoch drücken wir STRG+ALT+ENTF (auch CTRL+ALT+DEL)
    • Auf der blauen Seite dann Task-Manager wählen
    • Dann auf DATEI und NEUER TASK gehen
    • Als TASK msconfig eingeben und unbedingt den Haken bei „Diese Aufgabe mit Administratorrechten erstellen“ machen
    • Wir sind nun in der Systemkonfiguration und wählen dort „Systemstart“ Hier stehen alle Proggis die beim Systemstart Automatisch gestartet werden. Die meisten kennt ihr bereits, jedoch war bei mir ein Eintrag drinnen der 0.6916125049243116.exe hieß. Ich kenne kein reguläres Programm welches sich so nennen würde. Also Haken davor raus.
    • Nach einem Neustart wäre das Problem erst mal beiseite, aber der „Virus“ oder das „Er press erpr ogra mm“ (ich schreib das Wort absichtlich gestreckt) noch nicht entfernt. Da wir nun schon mal Tasks starten können, warum nicht auch gleich den Explorer.exe . Wie bei msconfig aber nicht vergessen den Haken bei „Diese Aufgabe mit Administratorrechten erstellen“ machen. Nun können wir dir den PC surfen und die wie schon bei meinen Vorrednern angegebenen Ordner suchen und die Datei eliminieren.

    x:\User(oder Benutzer)\EuerBenutzername\appdata\roaming\jashla.exe -> Löschen
    x:\Users(oder Benutzer)\EuerBenutzername\AppData\Local\Temp -> Alles löschen.
    • Nun den Rechner einfach wie gewohnt neu starten.
    • Vergesst nicht den Papierkorb zu leeren und den Rechner mit einem Antiviren Programm zu überprüfen

    Wir wissen bereits das es viele Wege nach Rom gibt, jedoch denke ich das dieser Weg einer mehr ist das Schadprogramm zu finden und generell bei jedem neuen Namen wie Mahmut alias Mahmud etc. funktionieren sollte.

    In diesem Sinne, fröhliche Jagdt

    • nik95

      Hi,
      das war wirklich alles sehr hilfreich und es hat soweit auch alles funktioniert
      daumen hoch ;-)
      aber ich kann leider nicht die folgenden Dateien finden:
      x:\User(oder Benutzer)\EuerBenutzername\appdata\roaming\jashla.exe -> Löschen
      x:\Users(oder Benutzer)\EuerBenutzername\AppData\Local\Temp -> Alles löschen.

      bei mir kommt nach appdata der Ordner “microsoft” und nicht roaming oder Local.

      kann mir jemand weiterhelfen?

      danke im vorraus

      • http://- Mc

        Du darfst die Ordner nicht im CMD (Commandfenster) per cd AppData aufrufen. Meist findest Du dort nur Appklikations Data.
        Wenn du die Ordner und Dateien im Explorer suchst, stelle sicher das versteckte Ordner und Dateien mit angezeigt werden.

        gehe dazu im Explorer wie folgt vor:
        • unter Windows 7 : klick auf dem Pfeil neben Organisieren und wähle Ordner und Suchoptionen aus – dann Ansicht – und scroll bei Erweiterte Einstellungen bis zu der stelle wo steht : versteckte Dateien und Ordner. Klicke auf “Ausgeblendete Dateien, Ordner und Laufwerke anzeigen” sodass dort der Punkt drinnen ist.
        spätestens nach einem Neustart des Explorers solltest Du nun die versteckten Dateien auch finden. Diese sind nicht selten ein wenig ausgegraut oder transparenter als die anderen. Die Einstellung selbst in den Eigenschaften hat keinen Einfluss auf die Systemintegrität, achte aber dennoch darauf was Du wo löscht.

        • Für Vista gilt das gleiche, nur findet man hier die Einstellungsmöglichkeit für die Ordneroptionen im Drop down Menu „Extras“ Rest ist wie unter Windows 7

        • Wenn Du es aber doch über die Command Ebene versuchen willst, ist der Befehl zum listen der versteckten Dateien : Dir *.* /a: h /p
        Dir ist der Befehl für Directory
        *.* steht für alle Dateien und Ordner
        /a: dafür das ein Attribut folgt (beachte den Doppelpunkt)
        H steht für HIDDEN, also versteckt
        /p sorgt dafür das wenn die Liste zu lang ist, diese auf Tastendruck immer nur den Bildschirm füllt und dann eine Pause macht.

        • So solltest du gegebenenfalls auch versteckte Dateien finden. Die Verzeichnisse wechselst du mit z.B. : cd Windows – um jedoch eine Verzeichnisebene nach oben zu gehen gibst du cd.. (cd mit 2 punkten ohne Leerzeichen) ein.

        • Beim Löschbefehl wird es allerdings komplizierter. Um alles zu löschen würde ein del *.* reichen. Dann ist aber alles weg und im Gegensatz zu Windows kennt das CMD keinen Papierkorb.
        Wenn Du also die Schadhafte Datei lokalisiert hast empfiehlt es sich diese Datei absolut zu löschen indem Du – del 0.6916125049243116.exe – als kompletten Befehl eingibst.
        Selbstverständlich kann es auch – del muhad.exe – heißen.
        Bei älteren Systemen wie Windows XP mitunter kann es sein das Verzeichnise und Dateien nur mit 8.3 Zeichen angegeben werden. Der ordner C:/Anwendgungsdaten kann dann schon mal als c:/Anwend~1 dargestellt werden. Das „~“ erreichst du dann über AltGr und das „*+~“ rechts neben dem Ü.

        Ich hoffe dies löst dein Problem

  • Stefan

    Das Ding ist trotz G-Data durchgerutscht. Allerdings ist mit der Anleitung die Entfernung kein Problem gewesen. Nach 20 Minuten war alles wieder in Ordnung.

    Daher:
    D.A.N.K.E.

  • Stefan

    P.S.: Bei mir hieß das Mistding: 0.56833933369557.exe

    Und das Tool von Norton hat zwar die Exe-Datei vernichtet, nicht aber darauf verweisende Verknüpfungen. Über die Suchfunktion (*.exe) sind alle Programmdateien zu finden und auch die entsprechenden Verknüpfungen. Am besten nach Datum sortieren, dann stehen die neuesten Dateien oben. Und schon könnt Ihr auch die zugehörigen Verknüpfungen manuell entfernen.

  • Herman

    Hatte diesen miesen Pisser gestern bei mir auf dem Rechner! Mit malewarebytes habe ich ihn super weggekriegt!

    Danke an all die Infos von Euch!!!

  • paul

    Wichtiger Hinweis:
    Ich konnte auf einem System die Herkunft nachweisen, also nachvollziehen, wie sich das Ding einschleusen konnte.

    Laut der AntiVir-Datenbank heißt der Trojaner
    “TR/Crypt.ULPM.Gen”
    Andere Antiviren-Hersteller können ihn auch anders nennen.

    Gefunden habe ich ihn im Ordner
    Dokumente und Einstellungen\*benutzername*\Anwendungsdaten\Sun\Java\Deployment\cache\*undhierweitereZahlen*

    Das Ding hat sich also über JAVA eingeschlichen.

    In diesem Fall hätte man also den Befall recht einfach durch das Verwenden des Add-Ons “NoSript” verhindern können!!
    -> https://addons.mozilla.org/de/firefox/addon/noscript/

    Antiviren-Software alleine hätte hier nicht geholfen.
    Ich kann jedem nur raten “NoScript” zu installieren,
    besonders wenn ihr auf Warez- und Porn-Seiten geht.
    Und immer nur das zulassen, was absolut nötig ist.

  • Stefan

    Hallo,

    Habe den Bundeskriminalamt-Trojaner, trotz Trendmicro Titanium (ist das ein schlechtes Antivir-Programm?).
    habe die “BKA-Seite” allerdings nur 1x gesehen, nämlich als ich ihn mir einfing. Wenn die Explorerseite aufgeht und man gar nichts mehr machen kann, taucht bei mir nur “kann nicht angezeigt werden” statt BKA auf.
    Bin vielleicht noch ganz gut wegkommen, da ich vorher ganz kurz den Desktop sehe und so die Taskleiste aufrufen kann. Habe dann wie hier beschrieben alles in der Datei x:\Dokumente und Einstellungen\EuerBenutzername\Lokale Einstellungen\Temp gelöscht – hat sich alles löschen lassen, außer der Datei wpbt0.dll – die habe ich umbenannt – seither kommt zwar beim Hochfahren die Fehlermeldung “Pfad zu dieser Datei nicht gefunden” aber sonst funktioniert alles prima. Wenn ich der Datei den richtigen Namen gebe ist der virus offensichtlich wieder aktiv.
    Norton Power Eraser und Trendmicro Titanium finden nichts.

    Wie kann ich den Virus endgültig runterbekommen?

    Wäre für Hilfe dankbar (Bitte leicht verständlich – bin kein Computer crack)

    Danke, auch an die Betreiber des Forums – hat mir viel geholfen.

    Stefan

  • Stefan

    Ergänzung:
    Malwarebytes hat im Gegensatz zu den anderen genannten AntiVir-Programmen tatsächlich den Trojaner in der Datei wpbt0.dll entdeckt, in Quarantäne gesteckt und so die Datei löschen lassen.

    Jetzt bleibt aber noch die Fehlermeldung beim Hochfahren “Pfad zu der Datei wpbt.dll nicht gefunden” – wie bekomme ich die weg?

    Übrigens hat der Trojaner offensichtlich andere Viren hereingelassen oder selbst folgendes bewirkt: er hat von meinem Web-Account aus, ohne dass ich diesen in der Zwichenzeit benutzt hätte eine dubiose Mail mit penetranter Aufforderung zu Vertragsabschluss an alle Email-Empfänger in meinem “Gesendet Postfach” versandt.

    Ist es ratsam noch irgendetwas weiter zu unternehmen?

    Danke Stefan

  • Barrios

    Habe das selbe Problem.
    Nur jetz habe ich “Shell” gelöscht und komm nicht weiter.
    Kann mir bitte jemand weiterhelfen ?

    • http://www.blogpirat.de/ Dodo

      Der Schlüssel “Shell” darf in keinem fall gelöscht werden. Nur der Eintrag Explorer muss eingetragen werden

  • Barrios

    Mist…könnte man es denn wiederherstellen??
    Also mein pc funktioniert wieder dank Norton Power eraser… Aber mein braucht ziemlich lange zu starten…

  • Elisa

    Ich habe ein Problem mit dem Norton Power Eraser:
    ICh gehe wie beschrieben in den Abgesichertenmodus mit Netzwerktreiber, habe dort auch weder ein Problem mit dem Virus noch mit dem Internet. ICh kann den Norton Power Eraser auch gut herrunterladen, wenn ich ihn benutzen möchte, zeigt er mir aber folgenden Text;

    “Norton Power Eraser konnte die Internetverbindung nicht wiederherstellen. Führen sie Norton Power Eraser im abgesicherten Modus von Windows mit aktivierter Option “Netzwerk” aus”
    Also genau das, was ich mache und Internetzugiff habe ich ja eigentlich auch…

    Wäre toll, wenn mir jemand behilflich sein könnte,
    Freundliche Grüße

  • http://www.schottenland.de Der Lehmann

    Anstatt jashla.exe oder mahmud.exe fand er bei mir das Teil unter appdata\roaming\appconf32.exe.
    Also ruhig auch danach in der Registrie suchen bzw. das Teil direkt entfernen. Datei hat Status “Versteckt – System und ist geladen” lässt sich also nur schwer im Betrieb löschen.
    Der Norton Power Eraser, in der aktuellen Version, findet sie aber und kann sie entfernen.
    Zugriff zum Rechner habe ich wie folgt erhalten.
    Neues Gerät an den Rechner gesteckt und Windows Herunterfahren gedrückt. Das Herunterfahren wurde verhindert, so bekam ich Zugriff zum Task-Manager. Dann wie oben beschrieben – suchen.
    Ich hoffe das hilft ein wenig weiter.

  • http://www.festnetzzentrale.de Klaus.K

    Hallo, ich habe das Programm nun unter neuen Namen erhalten. 0.043584690992153674.exe als Eintrag in der Autostart.
    War zum Glück einfach zu entfernen Dank Bart PE

  • Stefan

    Jetzt wird das Ding langsam nervig. Zum zweiten Mal in einer Woche. Trotz aktuellstem G-Data-Virenscanner.

    Leider funktioniert dieses mal der Norton-Power-Erase nicht. Nach dem Neustart ist die Meldung sofort wieder da.

    Allerdings hat´s Malwarebytes trotzdem hingekriegt.

    Neue Dateinamen:
    hostrun.exe (unter Dokumente und Einstellungen/Besitzer

    /Anwendungsdaten/microsoft/hostrun.exe)
    +
    /lokale Einstellungen/temp/0.8863878264291232.exe

    Das file 0.8863878264291232.exe hat außerdem ein Symbol eines Pinguins mit dem Namen “Pidgin” der Firma “The Pidgin developer community”, Dateiversion 2.10.0.0

    Außerdem noch 3 .tmp Dateien die nahezu zeitgleich mit dem Viren-File erstellt wurden, vom Scanner aber nicht identifiziert werden. (fla14.tmp, fla15.tmp, fla17.tmp)

    Ein Ordner hsperfdata_Besitzer, auch zeitgleich erstellt mit einer Datei ohne Endung.
    Ein weiterer Ordner plugtmp-6, auch zeitgleich erstellt ohne Dateien.

    Außerdem 6 veränderte/neu eingetragene Registry-Einträge.

  • UserX

    Lösungs- weg/ Möglichkeit:

    Beim Hochfahren (Internetverbindung getrennt), sorfort (noch bevor Windowszeicvhen erscheint) Taskmanager
    aufrufen. Danach sofort und so schnell wie möglich unter Prozesse “chlllhost…” suchen und Prozess beenden.
    Somit, wird das Fenster mit der Internetseite nicht aufgerufen.
    Jetzt mit “AVG 2012 Virenschutz” den PC scannen (unter der Bedingung, Scan-Optionen verändert: Programm
    öffnen, links auf “Scan-Optionen” klilcken, dann unter gesamten Computer scannen, “Scan-Einstellungen ändern”
    anklicken, hinter jedes der 8 Kästchen ein Häckchen machen [es seidenn, das Risiko besteht noch andere
    Viren auf dem Pc zu haben, welche mit Löschen, der infizierten Datei, Schäden hervorrufen könnten, in diesem Fall:
    Infektion automatisch heilen/entfernen auslassen], danach auf “Zusätzliche Scan-Einstellungen” klicken und
    Option “Alle Dateitypen” auswählen.
    (AVG 2012 darum, weil er den Virus im gegensatz zu Avira Antivir findet und ich keine Zeit hatte ein
    anderes zu Testen)
    [falls das Programm “AVG 2012 Virenschutz” nicht vorhanden ist, Internet verbindung herstellen und bei
    Chip.de downloaden.
    Scan durchlaufen lassen, bis zum schluss und die Anweisungen des Programms befolgen!

    Ich hoffe ich konnte helfen, hatte das Problem und musste selbst ausprobieren -.-’ !

    • Matzee

      Bei mir hat leider nichts der obrigen Lösungen gebracht.

      Ist der Trojaner evnt. verändert worden?

      habe im abgesicherten Modus(Win 7) sämtliche oben genannte Virenscanner drüber laufen lassn.
      -> 2 Funde
      wurden beide gelöscht nach dem neustart hat sich allerdings nicht geänder sofort kommt die Meldung wieder…

      Bitte um Hilfe brauche meinen Rechner dringent fürs Studium.

  • Gigi Hooper

    Ich hatte ihn zwar auch, aber bei mir hat sich dann immer automatisch mein Ordner geöffnet, mit dem ich alle meine Programme öffnen konnte, auch Firefox oder Spiele. Nur die Leiste war eben weg. Und nach ein paar Tagen hab ich wieder angemeldet und dann war plötzlich wieder alles normal. Aber bei mir tauchte dieses Schild auch nur 1-3 mal auf. Als ich mich danach wieder einloggte, kam gar nichts, ausser mein Ordner, also meine Dokumente. Ich weiß es auch nicht, auf jeden Fall hab ich nichts ausser einen Virenscan gemacht. Ich hab entdeckt, dass er mir zwischendurch immer wieder eine Warnung geschickt hat, die ich ignoriert hab. Echt naiv von mir! Passiert garantiert nicht noch mal!

  • Stefan

    Hi zusammen, also mich hats auch erwischt gehabt. Hatte Ihn in dem Zeitraum zwischen dem 10. und 13. Januar bekommen. Nehme an durch die automatischen Windowsupdates, da ich sonst nicht wirklich viel am PC war.

    Wie habe ich Ihn gelöscht?: Einfach nen Wiederherstellungspunkt vor ( hier ) dem 10. nehmen und neu starten

    Wie schütze ich mich?: Windowsupdates manuell laden, vorher nach Viren checken und dann erst installieren.

    • Horst

      Hallo zusammen,

      mir ging es wie Stefan. Hab ihn im gleichen Zeitraum bekommen. Aber bei mir geht gar nichts mehr. Komme nicht mal in den abgeschirmten Modus. Kann auch nicht per CD (Kaspersky) starten.

      Kann mir jemand helfen?

  • Madya

    hi, ich habe das mit dem NPE versucht. das fenster öffnet sich nun nicht mehr, aber auch alle desktopsymbole und Start-button sind verschwunden. was hab ich falsch gemacht? lg madya

    • Puffy

      Madya,

      schau doch mal fast ganz oben auf dieser Seite nach dem Abschnitt “UPDATE 13.08.11: Erweiterte Lösung für findige User” und lese Dir da die “Möglichkeit 1″ durch. Die sollte sich genau mit Deinem Problem beschäftigen.

  • Puffy

    Moin,
    vielen Dank für die super Infos auf dieser Seite. Haben mir sehr geholfen, denn dieses “Ding” gibt´s auch im Ausland, und da dann nicht vom Bundeskriminalamt sondern in Italien beispielsweise von der Finanzpolizei.
    Ich habe die o.a. Tipps befolgt, meinen Rechner (Win7) im Safemodus mit Netzwerktreibern gestartet. Dann in der msconfig im Startmenu den Eintrag für dieses Drecksprogramm deaktiviert. Die Datei hieß bei mir übrigens 0.15181170038126812.exe
    Nach normalem Neustart hat dann übrigens mein Avira Free das Schadprogramm gefunden (TR/Offend.KD.520466) und nach Bestätigung entfernt. Anschließend noch die Registry nach dem netten Trojaner durchsucht, Eintrag gelöscht und jetzt läuft alles wieder wie verrückt.
    Wenn ich bedenke, dass ich die 100 Euronen schon bezahlen wollte und nur durch technische Probleme daran gehindert wurde, freue ich mich echt über diese Lösung. Hätte aber früher mal googlen sollen um diese Seite zu finden…
    Nochmal vielen Dank an alle für die tollen Infos!!!

  • Pingback: what is serotonin

  • Butterbread

    Hallo alle miteinander,
    ich habs nach Möglicheketi #1 versucht und hat bei mir leider nich wirklich geklappt, mein Problem: ich find in der Registry nicht den Shell- Eintrag, auch eine Suche nach jashla oder mahmut brachte leider keine Ergebnisse.

    Sind diese Einträge auf XP überhaupt schon, hab ich mich gefragt, aber nach den Beiträgen von Helper hat mich dann etwas die Hoffnung verlassen. Ich hab den Virus ungefähr seit gestern sprich dem 15.2. Habe auch schon den Temporary Internet Files Ordner gelöscht.

    Bei mir ist es allerdings so, dass ich ganz normal Windows starte, zirka 20 Sekunden sieht alles Top aus und dann kurz nur mein Hintergrundbild, dann sieht meine Taskleiste verändert aus (kein Avira, etc. mehr nur noch Soundeinstellungen), Taskmanager lässt sich nich mehr öffnen und Internet Explorer möchte die Site laden was zum Glück nich klappt da er im Offlinemodus läuft.

    Falls irgendwer weiß wie man mein Problem beheben kann (möglichst ohne Windows CD) Waäre ich sehr dankbar!

    LG Butterbread

  • Butterbread

    Hallo ich nochmal,
    ich hab nach langem durch Foren- Gewühle mir so gedacht: Hey, Moment mal, der startet doch AUTOmatisch, vielleicht bringt der Autostartordner Licht ins Dunkel? Nachgeguckt und – Tatsache, OpenOffice und eine Datei mit Namen 0.8(und haufenweise andere Zahlen) diese gelöscht, Neustart und zack alles in bester Ordnung!

    Aber trotzdem Danke falls sich schon jemand eine Lösung überlegt hat!

    LG Butterbread

  • Janka

    Erstmal ein riesiges Dankeschön an euch für den Beitrag! Weil ich allerdings alles Mögliche ausprobiert habe und nichts funktioniert komme ich langsam zu der Annahme das ich eine neue, abgewante Version des Virus runtergeladen habe. Hier die Fakten: hat Antivir zunächst lahm gelegt über Sicherheitslücke im Internet Explorer, anschließend nach 2 Tagen Zahlungsmeldung und eine pseudo-Polizeimeldung der französischen Kripo. ( wohne in Frankreich und der Virus ist dort ebenfalls tätig, genau das selbe nur in Französisch) Taskmanager, Bios Abgesicherter Modus, Kaspersky rescue CD, Linux Boot CD alles gecheckt, nix passiert. Mein Hauptproblem ist das die Tastatur seit dem zweiten Hochfahren nicht mehr funktioniert sprich ich kann mein Bios nicht auf die Boot funktion umstellen oder überhaupt die kleinzte Programmzeile schreiben. Lampe an der Tastatur leuchtet nicht mehr und die Ports bzw Tastaturen habe ich nun auch mehrere Male gewechselt. Schwebe zwischen Verzweiflung und ” wo soll ich 500 Euro für den Infomatiker herkriegen? “. Wer auch immer mir helfen kann kriegt eine riesiges virtuelles Dankeschön von mir und eine offizielle Genie-urkunde.

  • Oliver

    Hallo ich habe mir so einen Virus auf meinen Rechner mit Windows 7 als Betriebssystem eingefangen und kriege ihn nicht mehr weg. Der PC bootet überhaupt nicht mehr.
    Da steht dann nur
    “A disk read error occurred
    Press Ctrl+Alt+Del to restart”
    Da ich keinen Weg finde den Virus zu entfernen, wollte ich mir Windows 7 mit der install DVD einfach neu drauf spielen, aber selbst die blockiert er. Ich kann zwar von der DVD booten, aber bei “Setup wird gestartet” hängt er sich dann auch schon auf. Dann habe ich versucht über einer Ubuntu Live Cd zu booten um von dort irgentwie ins Bios zu kommen, aber auch das wird blockiert. Nun habe ich leider keine Ahnung mehr wie ich meinen PC wieder ans laufen kriege. Gibt es irgentein Programm was ich auf eine CD oder USB-Stick packen kann um diesen Scheiß wieder zu entfernen oder sonst irgent eine Möglichkeit? Würde mich über eine Antwort freuen, danke.

  • http://meine UrAGAn

    Hab entlich gefunden wo dieses miststück sich versteckt hat:
    Ist eine Systemdatei. d.h. in Ordneroptionen Häckchen wegmachen, damit man diese sehen kann.

    In diesem Ordner:
    C:\ProgramData\Local Settings\Temp\mscmfu.cmd (windows 7)

    hab diese nicht gelöscht, sondern einfach alle Rechte weggenommen.
    Rechtsklick -> Eingeschaften > Sicherheit > dort alle bearbeiten.

  • Max

    Hi, ich hab den Virus seit 04.03. ich konnte durch schnelles tippen der Windowstasten und kurz aufblitzender Schaltfläche herunterfahren und dann durch abbrechen das “Programm” schliessen.
    Habe dann meinen Rechner, Win7 mit neustem Antivir gescannt und 2Viren gefunden. Nach Neustart wieder das selbe Problem, also im abgesicherten Modus gescannt wieder keinen Treffer.
    Bin durch Google auf diese Seite gestossen. Mein Rechner konnte KEINE Wiederherstellungspunkte finden, später zeigte er mir 05.03. 20:45Uhr an, da war der Rechner aber schon knapp 24h infiziert. Ich konnte weder durch msconfig oder regedit im normalen oder gesicherten Modus eine verdächtige Datei bzw. Eintrag finden.
    Auch durch Sichtbarkeitmachung aller Datein und Durchsuchen aller bisher hier genannten Pfade konnte ich nichts finden!
    Anscheinend ist der Virus wieder einmal modifieziert worden und es wird immer schwerer ihn zu löschen :-( Gibt es neue Tipps? Bin für jede Hilfe dankbar

  • Thomas

    Hallo, habe das gleiche Problem wie mein Vorposter, ich habe mit einem Avira Tool einen Virus gelöscht, jetzt komm ich auf den Desktop aber kann keine Programme mehr öffnen, im abgesicherten Modus läuft der Rechner ‘normal’.

    • http://www.blogpirat.de/ Dodo

      mach mal ne systemwiedeerherstellung über Start -> Programme -> Zubehör -> Systemprogramme -> Systemwiederherstellung. Am besten einen Wiederherstelllungspunkt wählen VOR dem Virus. Wenns geklappt hat, würde ich mich über ein Like auf Facebook natürlich sehr freuen ;)

      LG Dodo

      • cian

        Huhu,

        habe das Problem seit gestern Abend. Aufeimal wurde der Bildschirm weiß mit dem Gema Text.

        Habe daruafhin bischen selber versucht es wieder hin zu bekommen, aber ohne Erfolg – was mich jetzt auch hier her führt. Habe alle Schritte befolgt, das lustige ist, ich komme nicht mal in den abgesicherten Modus, geschweigeden lässt sich der Taskmanager öffnen.

        Lass ich meinen Lap hochfahren bis zur Benutzerauswahl, sieht man dort zwar Symbole, aber keine beschriftung.

        Starte ich mit dem Abgesicherten Modus – Eigabeaufforederung, kommt zwar das schawarze Fenster, kann auch die befehle eingeben, aber es tut sich nicht. Zum Beispiel “explorer.exe” wird ausgeführt, läuft auch im hintergrund, kann es mit STRG+ TAB sehen, aber kann es nicht öffnen bzw auswählen. So läuft es auch mit den CD Progs ab, die zwar gestartet werden, aber dann im hintergrund laufen – kann die installation nicht ausführen.

        Ich weiß nicht mehr weiter :(
        Wenn ich Boot von CD mach bekomm ich den Fehler “operating system not found”

        was kann ich noch tun?
        Ich will Win7 nicht neu drauf scheißen – bzw wär kein Theman, aber ich hät vorher noch gern meinen wichtigen Dokumente gesicher, vorallem Bilder (ich trottel) :(

        bin für hilfreiche Antworten sehr dankbar…

        • Stefan

          Hallo, starte im abgesicherten Modus und starte windows mit netzwerktreibern…Dann holst du dir z.B. von der seite Chip.de das programm SPYBOOT, installiere es und füre SPYBOOT aus und siehe da erfindeinen COOKIE welches du dann entfernen solltest (ich glaube der Cookie nennt sich irgentwas mit Media… oder so). Wie gesagt das mast du alles im “abgesicherten modus mit netzwerktreibern”

          Versuchs mal.

          • Stefan

            Ich meine natürlich SPYBOT und nicht SPYBOOT…
            ach ja… wenn du den COOKIE gelöscht hast starte Windows neu und fahre es normal hoch…

            Gruss

  • hans

    Hatte das Problem heute auch. Komisch bei mir war nur, dass nach nem Neustart alles wieder funktioniert wie zuvor. Kann es an ner neuen IP durch den Router liegen oder muss ich mir dennoch Gedanken machen?

  • maddin

    also einfacher ist es so:
    1. Neustart
    2. beim Starten F8 drücken (wie oben auch)
    3. obersten Punkt “Windows reparieren” wählen
    4. Anweisung(Passwort eingeben usw.) folgen und dann
    5. zweiten Punkt wählen: “zu einem früheren funktionierenden Systempunkt wiederherstellen” (oder sinngemäß ähnlich)
    6. Systempunkt auswählen und dann einfach nur noch abwarten bis alles wiederhergestellt ist :) FERTIG!

  • hannes

    Microsoft Security Essentials ist das beste kostenlose Anti-Viren Programm, denn es ist leicht zu Bedienen und erkennt einen Virus sofort und man kann direkt über das Programm den Virus entfernen.
    Kann ich nur weiterempfehlen… http://www.chip.de/downloads/Microsoft-Security-Essentials_37024589.html

    • http://www.blogpirat.de/ Dodo

      ich wäre vorsichtig mit solchen aussagen, denn nur wegen einer leichten bedienung und weil das programm viren erkennt (was sie alle tun :D nur nicht immer so effektiv) ist es nicht das beste. man sollte schon diverse tests und vergleiche zu rate ziehen, da stellt sich schnell raus, dass msse nicht schlecht ist, aber sicher nicht “das beste”.

      lg dodo

  • Jan

    Habe mir gestern den Virus eingefangen, obwohl ich eine aktuelle Version von Microsoft-Security-Essentials drauf habe.

    Kann den Rechner nur noch fehlerfrei hochfahren, wenn der Router aus ist. Sobald ich ihn anstelle wird der Virus aktiv!

    Habe Microsoft-Security-Essentials komplett scannen lassen (ausführlich und schnell) und das Programm findet nichts!

    Aber schon mal danke für die Tipps auf dieser Seite!

    Grüße

    • Peter

      Schau mal nach arg314052.exe – das Programm war bei mir Verursacher

  • Peter

    Hatte den Virus auch (arg314052.exe) – auch gefunden. War die einzigste Datei, die am 2.4. neu war. Habe dieses aus regedit, msconfig und Autostart entfernt. Gefunden hat es bisher kein Virenprogramm, obwohl ich da nicht gespart habe. Jetzt bin ich mal gespannt

  • Markus

    Hallo,
    ich habe noch ne andere Möglichkeit gefunden den Virus außer Kraft zu setzen. Man muss den Pc in der Eingabeaufforderung öffnen. Dort in der msconfig die Autostartprogramme überprüfen. Bei mir war es so das da ein Programm aufgeführt war das nur aus Chinesischen Schriftzeichen bestand. Dieses deaktivieren!! jetzt würde euer Rechner wieder hochfahren allerdings würde er immer noch nicht richtig funktionieren =). Im weiteren solltet ihr unter der Eingabeaufforderung einen neuen Benuternamen anlegen. Unter diesem Benutzernamen könnt ihr den Virus dann ganz normal unter der normalen Windowsbenuteroberfläche weiterbekämpfen. Ich habe den alten Benutzername meistens gelöscht und die vorher im Autostart deaktivierte Datei in der Regedit gelöscht. Allerdings habe ich dann auch den Rechner neu aufgesetzt um komplett sicher zu gehen. Aber mit meiner Methode kann man die Eigenen Daten ganz einfach Retten.

    Viel Erfolg euch ;)

    Gruß Markus

  • Andre

    Klasse Anleitung !!!! Bei mir war es eine gewisse arg312052.exe – Hier steht auch alles http://www.bundespolizei-virus.de

    Ich frage mich jedoch, wo ich mir den Virus eingefangen haben soll ???

  • Pingback: Windows Update Trojaner entfernen und Daten entschlüsseln | BlogPirat

  • http://www.facebook.com/thomas.endres.1000 Thomas Endres

    Habe auch Virus is aber anderes Bild