Bundespolizei Trojaner entfernen
“Notfalleinsatz in der Nachbarschaft wegen einem Windows-Trojaner!” – so der erste Hilfeschrei direkt am Gartenzaun. Der Tatort: Ein infizierter Windows XP Rechner, der zwar noch startet, dann aber nur noch eine vermeintliche Meldung von der Bundespolizei zeigt. Bundespolizei?! Was für ein Quatsch. Ich traue den Beamten des BKA ein besseres deutsch als “Es ist die ungesetzliche Tätigkeit enthüllt” zu! Und ein Freikauf in Höhe von 100 € via Ukash ist auch nicht so ganz die deutsche Gesetzeslage.
Die ersten Maßnahmen
Ruhe bewahren! Es ist nicht die Bundespolizei (das BKA gibt entsprechende Warnmeldung aus) die hier einen Virus auf den Rechner installiert hat, sondern “nur” eine kriminelle Vereinigung, die versucht, an schnelles Geld heran zu kommen.
Beweise sichern! Am besten ein Foto von der Meldung anfertigen. Bitte nicht direkt auf den Monitor das Blitzlicht halten, das wird so nichts. (Optional, dem Virus ist diese Aktion egal)
Bei der örtlichen Polizeidienststelle anrufen und Anzeige erstatten. (ebenfalls Optional, dem Virus ist auch diese Aktion egal)
Der Rechner muss nicht neu installiert werden und es gehen auch keine Daten verloren.
Etwas Zeit nehmen und diese Anleitung zum Entfernen des Bundespolizei Trojaners beachten. Ich versuche die Schritte ganz einfach zu beschreiben; das bekommt man auch als Laie wieder hin.
Anleitung zum Löschen des Bundespolizei Virus
1. Windows im abgesicherten Modus (Mit Eingabeaufforderung) starten [F8]
Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
2. Den Befehl “regedit” eingeben und [Enter] drücken
Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
HIER AUFPASSEN UND NICHTS ANDERES MACHEN ALS HIER STEHT!!
Hier muss man sich durch das Verzeichnis klicken. Ziel der “Reise” ist HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon (immer auf das [+]-Symbol klicken und am Ende Winlogon direkt auswählen).
Hier gibt es einen Schlüssel (auf der rechten Fensterseite) namens Shell. Der Wert dieses Schlüssels ist der Pfad zum Trojaner z.B. “C:verzeichniszurjashla.exe“. Den Pfad unbedingt notieren, hier muss später die Datei noch gelöscht werden.
Ein Doppelklick auf Shell, den kompletten Pfad zum Virus löschen und
durch “explorer.exe” ersetzen.
[OK] klicken und das Registry-Fenster schließen.
Der Start des BKA-Trojaners wird somit schon mal verhindert. Jetzt muss dieser aber auch noch von der Festplatte gelöscht werden.
Wenn das DOS-Eingabefenster noch geöffnet ist, dann “Explorer.exe” eingeben. Windows sieht jetzt fast schon wieder wie gewohnt aus, oder!? Nun entweder zur jashla.exe navigieren oder die Windows-Suche nutzen, um die jashla.exe auf der Festplatte zu finden. Die Datei nun löschen.
Ansonsten kann man auch die Tasten [STRG] + [ALT] + [ENTF] einmal drücken und im sich öffnenden Fenster unter Anwendungen auf Neuer Task klicken. Jetzt sich zum zuvor notierten Pfad durch klicken und die jashla.exe löschen.
Nachtrag am 22.11.2011 (UPD.EXE) Trojaner entfernen:
Hier kann sich der Trojaner auch verstecken…
Einfach “msconfig” im abgesicherten Modus aufrufen und den Haken beim Systemstart des Programms “upd.exe” entfernen.
Auch “Shifty bmw booth sinew boats” deutet auf den Übeltäter (Vasja)
Hier hatte der Trojaner eine Größe von 185.344 Byte und hatte folgende Eigenschaften:
Danach das Programm hier (c:Users[username]AppDataLocalTempupd.exe) einfach löschen (evtl. muss die Ordneroption “Versteckte Dateien anzeigen” eingeschaltet werden.
Eine weitere Variante des Bundespolizeitrojaners wurde jetzt aktiv:
Die Meldung ist dieselbe. “Achtung: Es ist die ungesetzliche Tätigkeit blah blah..”
1. Windows im abgesicherten Modus (Mit Eingabeaufforderung) starten [F8]
Der Bildschirm sieht nun nicht wie gewohnt aus. Es öffnet sich die DOS-Eingabeaufforderung (schwarzes Fenster mit Texteingabemöglichkeit).
2. Den Befehl “regedit” eingeben und [Enter] drücken
Es öffnet sich die Windows-Registry, wo eine Änderung vorzunehmen ist.
HIER AUFPASSEN UND NICHTS ANDERES MACHEN ALS HIER STEHT!!
Hier muss man sich durch das Verzeichnis klicken. Ziel der “Reise” ist “HKEY_CURRENT_USERSOFTWAREMicrosoftCurrentVersionRun”
(immer auf das [+]-Symbol klicken und am Ende Run direkt auswählen).
Der gesuchte Trojaner nennt sich “VASJA” und wird im Verzeichnis C:Dokumente und Einstellungen[Benutzername]Lokale EinstellungenTemp .5584882337187803.exe
gestartet.
NUR Diesen!!!! Eintrag mit der [DEL] Taste löschen.
Anschliessend sollte die Datei “C:Dokumente und Einstellungen[Benutzername]Lokale EinstellungenTemp .5584882337187803.exe” auch gelöscht werden.
In diesem Fall hieß die Datei “0.5584882337187803.exe” und war 180.224 Byte groß.
-
Neueste Beiträge
Neueste Kommentare
Archive
Kategorien