Trittbrettfahrer des Ransom UKASH – Trojaner (BKA- Trojaner)

bundespolizei

UPDATE vom 30. August 2012:

Bitte beachten Sie: Da es mittlerweile weitere Varianten des hier abgebildeten Schädlings gibt, welche optisch ein ähnliches oder identisches Erscheinungsbild haben, möchten wir darauf hinweisen, dass diese Anleitung u.U. veraltet sein kann.

Wir raten daher dringend dazu, dass Sie sich zur Bereinigung an unsere Experten im Support-Forum unter http://forum.botfrei.de wenden. Diese werden Sie bei der Bereinigung Schritt-für-Schritt durch den Säuberungsprozess begleiten und im Bedarfsfalle neue, bisher unbekannte Varianten an unsere Partner aus der Anti-Viren-Industrie weiterleiten.

Nachdem wir uns im Glauben wiegten, den Ransom – Trojaner (BKA- Trojaner) im Griff zu haben, legten die Cyberkriminellen mit einem veränderten BKA- Trojaner 2.0 nach. Diese Version 2.0 bietet zusätzlich die Zahlmöglichkeit per paysafecard und hat oben die schwarz-rot-goldenen Streifen hinzu bekommen. Wie auch die alte Version weist der Text zahlreiche Rechtschreibfehler auf. Die wesentlichen Änderungen des BKA- Trojaners 2.0 fanden jedoch in der Programmierung statt. So nistet sich diese Version 2.0 tiefer im Betriebssystem und in der Registry ein.

Ransom UKASH – Trojaner (BKA- Trojaner 2.0)

Wenn wir die alte Malware noch manuell per Eingriff in die Registry am Start hindern konnten, arbeitet der BKA- Trojaner 2.0 mit zufallsgenierten Namen z.B. jashla.exe und versteckt sich an anderen Stellen der Registry:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run…

Wir zeigen Ihnen wie Sie auch die neue Variante mit dem DE-Cleaner von Avira entfernen können.

In dieser Anleitung erfahren sie zunächst, wie Sie den DE-Cleaner von Avira auf einen USB-Stick kopieren und wie Sie ihn im Abgesicherten Modus über die Eingabeaufforderung starten können. Sie brauchen dafür einen Computer mit Internetanbindung, einen USB-Stick und den Avira DE-Cleaner. Laden Sie sich den Avira DE-Cleaner von hier  herunter und speichern diesen auf den Desktop. Stecken Sie den USB-Stick in den vorgesehenen USB-Anschluß.

Abb.1

Starten Sie, mit einem Doppelklick auf die Datei “Avira-DE-Cleaner.exe” (Abb.1). Nun lädt der DE-Cleaner automatisch die aktuellen Virusdefinitionen herunter und zeigt zunächst die Lizenzbedingungen an. Diese müssen Sie mit “OK” bestätigen.

Abb.2

Wie in Abb.2 zu sehen ist, klicken Sie oben auf die Option “Auf USB-Gerät kopieren“. Nun erscheint ein neues Fenster „DE-Cleaner auf externes USB-Gerät kopieren“. Dort wählen Sie ihren USB-Stick aus und klicken auf kopieren. Die Daten des DE-Cleaners werden auf den USB-Stick kopiert. Wenn der Vorgang beendet ist, schließen Sie den DE-Cleaner und entnehmen den USB-Stick.

Starten Sie den Computer, der mit dem BKA-Trojaner infiziert ist. Beim Startvorgang drücken Sie die F8-Taste, um in ein spezielles Menü zu kommen. Dort werden verschiedene Modi zum Start Ihres Computers aufgelistet.

Mit F8 in die erweiterte Windows Startoptionen

Wählen Sie hier bitte den “Abgesicherten Modus mit Eingabeaufforderung“. Der Rechner bootet in einem eingeschränkten Modus , d.h. es werden nur dringend benötigte Treiber und Programme geladen. Das kann z.B. zufolge haben, dass Funktastaturen und Mäuse nicht funktionieren, des Weiteren wird die Grafik nur im Standartmodus (VGA) geladen usw.
Wie gewohnt erscheint die Loginmaske. Nach dem Sie Ihr Passwort eingegeben haben, startet nicht der Desktop, sondern es erscheint die Eingabeaufforderung (Dosbox).

Abb.3

Wie in Abb.3 zu sehen,  geben Sie hier explorer.exe ein und bestätigen mit der “Entertaste“.
Nach einigen Sekunden erscheint der Windowsexplorer. Dort klicken Sie wie in Abb. 4 zu sehen, auf den Arbeitsplatz und wählen den USB-Stick (hier TOSHIBA E:) aus.

Abb.4

Wenn sie den USB-Stick gewählt haben, erscheint im rechten Fenster der Inhalt des USB-Sticks.

Abb.5

Nachdem Sie die Datei, wie Abb.5 zu sehen, mit Doppelklick gestartet haben, erscheint eine Meldung. Diese besagt “Leider konnte kein Internet….Diese Meldung bestätigen Sie mit “OK“, da im eingeschränkten Modus der Computer die nötigen Treiber dazu nicht geladen hat. Der kopierte DE-Cleaner auf dem USB-Stick hat jedoch alle aktuellen Dateien, um den Rechner damit zu scannen. Sinnvoll ist es eine vollständige Überprüfung duchzuführen(Checkbox)! Der Cleaner beginnt anschließend mit seiner Arbeit. Je nach Größe der Festplatte, kann dies einige Zeit dauern.

Abb.6

Wie in Abb. 6 und 7  zu sehen wurden 2 Objekte gefunden.

Abb.7

Klicken Sie auf “Ausgewählte entfernen” und beenden Sie den DE-Cleaner und den Windows Explorer nach der Bereinigung und fahren den Computer mit dem Befehl: shutdown -s -t 00 herunter.

Abb.8

Ist der Computer ausgeschaltet, entnehmen Sie den USB-Stick und starten denn Computer neu. Die UKASH Vorschaltseite des BKA-Trojaner sowie die ausführende Datei sollten nun entfernt sein. Um sicher zu gehen, scannen Sie den Computer mit mindestens zwei weitern Onlinescannern.

Anmerkung:
Sie sollten bei der Anmeldung an Windows im “abgesicherten Modus mit Eingabeaufforderungen”  immer das Konto wählen, das über Administrationsrechte verfügt.
PC erfahrene User haben nach dem Start des Windows Explorers (Abb.4) die Möglichkeit, auch andere Programme zu starten bzw. zu installieren, um mit diversen Programmen wie z.B. (OTL, HJT), Informationen Ihres Rechners zu sammeln.

Beachten Sie weiterführende Artikel zum UKASH – BKA Trojaner in Update 1 und Update 2!

Wenn Sie individuelle Hilfe benötigen, können Sie sich auch gerne an unsere Experten im Support-Forum unter http://forum.botfrei.de wenden! Wir helfen Ihnen dort gerne kostenfrei weiter!

About TB

The Quest

310 Thoughts on “Trittbrettfahrer des Ransom UKASH – Trojaner (BKA- Trojaner)

  1. Ausführlicher Beitrag, vor allem der Zusatz unten, für den BKA 2.0. Ist natürlich nicht umbedingt für PC-Laien geeignet :). Da man schon die ein oder andere Datei in den Run- Verzeichnissen überprüfen sollte und schauen zu welchem Programm sie gehört.

    Zu erwähnen ist noch, das man die Inhalte in den temp Verzeichnissen alle löschen sollte,
    Anleitung: http://virus-protect.org/temp.html

    Für Laien bietet sich der CCleaner an. Diesen einfach mit auf den USB- Stick speichern und im abgesicherten Modus m. Eingab. ausführen.

    Gruß Speedy

    • Lies on 10. März 2012 at 18:34 said:

      Ich hatte den Trojaner, in einer offenbar brandneuen Oesterreichversion, mit unserem Bundesadler, sonst alles wie in eurer Galerie. Bin ihn dank AviraDE losgeworden, heissen Dank dafuer! Ab sofort bin ich nur noch mit Firewall im www unterwegs, auch wenns manchmal muehsam ist! Mein stets aktualisierter CCleaner hat die Malware uebrigens ebenso wenig erkannt wie mein normales AviraProgramm. Liebe Gruesse aus Wien!

    • Alex on 22. April 2012 at 09:03 said:

      Danke für die Hilfe,
      hat wunderbar mit Avira DE Cleaner funktioniert (Win 7).
      Nach dem Neustart Wollte RunDLL den temporären Übeltäter
      wieder unter c:\Users\(mein Name)\AppData\Local\Temp\seti0.exe
      öffnen. Einfach die nicht mehr vorhandene Verknüpfung mit TuneUp Utilities 2011 bereinigt, fertig.

      Alles super, Alex

  2. Peter on 5. August 2011 at 11:12 said:

    Ich habe diesen Virus und versuche ihn gerade mit der Anleitung zu entfernen.
    Leider hatte ich mein Smartphone an den PC angeschlossen während ich mir den Virus eingefangen habe, zwar nur im Modus „Nur laden“, jedoch befürchte ich nun, dass er Trojaner auch auf mein Telefon übergegriffen hat. Ist diese Angst berechtigt und wenn ja, was kann ich dagegen tun?

    Für jegliche Hilfe bin ich sehr dankbar!

    • Hallo Peter, in diesem Fall wurde Ihr Smartphone nicht befallen. Wenn Sie Ihr Smartphone aber sichern möchten, verbinden Sie sich mit dem Marketapp und laden Sie sich mal das kostenfreie Antiviren App von AVG herunter.

      Gruß ABBZ

  3. Jens on 5. August 2011 at 18:41 said:

    Ich haba alles wie folgt gemacht…. mit dem Virenscanner.
    habe ihn drüber laufen lassen jedoch wurde nur ein “schädling” gefunden den ich dann gelöscht habe,
    jedoch ist dieser Virus immernoch da und mit dem manuell bereinigen verstehe ich nicht weil ich mich damit nicht auskenne…..

  4. Jens on 6. August 2011 at 15:47 said:

    Hallo,
    Nochmal vielen Dank für die Anleitung.
    Habe es zwar mit Desinfect und dem bereitgestellten Avira De-Cleaner versucht, jedoch zeigten beide 0 Schädlinge an und das Bild war beim Start immernoch da.
    Erst beim zurücksetzen mit rstrui.exe konnt ich wieder auf alles zugreifen..habe dann auch nochmal Spybot, Avira usw. drüber laufen lassen und siehe da 3 Viren gefunden.
    Nur hoffe ich nun das der Virus beseitigt wurde,jedoch werde ich es nochmal mit ihrem Link versuchen. Vielen Dank =)
    Nur wollte ich wissen, ob durch diesen Trojaner auch Daten gestohlen werden können, da ich an meinem Pc online banking betreibe.
    Über informationen würde ich mich sehr freuen.
    Gruß jens

  5. Jens on 6. August 2011 at 18:55 said:

    Also mir wurde von einem guten Freund geraten das es natürlich sicher ist,jedoch garnicht von nöten ist,da der Virus nur einige Einträge ändert (genau weiß ich nicht mehr alles)
    und nachdem man es Kompromittiert hat der virus kein Problem mehr für Avira ist aufzufinden und zu löschen. Da ich meinen Pc auch ein Aldi Pc ist habe ich ihn mit bereits instaliertem Betriebsystem erhalten und habe eine Lizens jedoch keine Vista cd womit es alles nochmal erschwert :/
    jedoch würde ich trotzdem gerne wissen ob dieser Virus “nur” diese Erpressung hervorruft oder auch Datendiebstahl, da ich einen Tag bevor alles passiert ist noch online meine Kontodaten usw. gecheckt habe…ich kenne mich nicht sogut damit aus und deshalb würde ich mich über die Beantwortung der Frage sehr freuen,da es mich sehr beunruhigt

    mit freundlichen Grüßen,
    jens

  6. Carsten Kohlmeier-Beckmann on 7. August 2011 at 00:12 said:

    Hallo,

    erstmal vielen Dank für eure Arbeit – eine Riesenhilfe, auch psychologisch.
    Als heute morgen der UKASH 2 bei mir hochpoppte, war ich ziemlich verzweifelt. Glücklicherweise habe ich einen Zweitrechner, und beim Suchen im Netz bin ich gleich auf diese Seite gestoßen

    Ich habe mich strikt an die Anleitung gehalten. Bis auf die F8, die bei mir F1 ist, war alles wie beschrieben und der Scan im abgesicherten Modus funktionierte auch.

    Dennoch hat der DE-Cleaner NICHTS gefunden.

    Mit dem Tip, per Wiederherstellungspunkt aus DOS heraus (hatte ich noch nie gemacht) bin ich aber weitergekommen:
    Der Rechner läuft wieder, allerdings mit einem mulmigen Gefühl, denn drei Onlinescans (Avira, Kaspersky und McAfee) haben danach auch nichts entdeckt.

    Was kann ich noch tun gegen diesen Fiesling?

    Bye

    Carsten

  7. Sylvia on 7. August 2011 at 03:01 said:

    habe mir diesen Trojaner auch eingefangen und habe versucht die Anleitung abzuarbeiten!
    Antivir habe ich schon auf dem USB Stick
    wenn ich den befallenen PC im Abgesicherten Modus mit Eingabeaufforderung starte dann öffnet sich ein kleineres Fenster mit C\ cmd.exe
    dort steht dann C:\Dokumente und Einstellungen\Administrator.XXX000>

    was muß ich nun eingeben um auf den USB Stick zugreifen zu können ???? mit explorer.exe komme ich nicht weiter
    PS: habe WN XP SP3

    danke

  8. Jörg on 7. August 2011 at 10:49 said:

    Vielen Dank für diese hilfreiche Seite.
    Mich würde interessieren, ob ernsthaft etwas gegen die Macher speziell dieser Schadsoftware getan wird.
    Grüße, Jörg

  9. Heike on 7. August 2011 at 22:29 said:

    Hallo Leute,

    meine Tochter hat auch seit gestern diesen BKA-Trojaner auf ihrem Rechner. Ich habe schon die AVIRA Notfall-CD ausprobiert, den AVIRA CD Cleaner eingesetzt, das System auf einen früheren Zeitpunkt zurückgesetzt, aber alles vergeblich. Nichts funktioniert. Gibt es irgendeine andere Möglichkeit dieses Ding loszuwerden außer ihr System wieder neu aufzubauen? Bitte helft, denn ich weiß jetzt auch nicht mehr weiter.

    Gruß,
    Heike

    • Hallo Frau Specht, laden Sie diese Tool Superantispyware herunter und legen es dann auf den USB- Stick. Starten Sie das Tool im Abgesicherten Modus mit Eingabeaufforderung vom USB- Stick und lassen Sie das System damit scannen und evtl bereinigen.

      Gruß ABBZ

  10. Kristina on 7. August 2011 at 23:01 said:

    Erstmal danke für die Hilfe. Ich konnte meinen Rechner wieder zum Laufen bringen, aber ich bin immer noch unsicher, weil ich nicht weiß, wie ich mir den Trojaner überhaupt “eingefangen” habe. Mein Rechner hängt am Router, der AV Guard läuft immer mit, Firewall ist installiert und zu dem Zeitpunkt als ich mir das Ding eingefangen habe, war ich “nur im Internet” (mit Firefox 5.0) auf einer Seite auf der ich schon 100te Male war, ohne mir was einzufangen und habe auch nichts downgeloadet oder installiert. Wie kann ich also verhindern, dass mich noch mal so ‘nen Trojaner erwischt?

    • Grundsätzlich ist es so, dass es “leider” keine 100% Sicherheit davor gibt. Schadsoftware kann auch beim gelegentlichen Surfen auf Internetseiten auf Ihren Rechner gelangen, durch sogenannte Drive-By Downloads. Sie können dem entgegen wirken, indem Sie darauf achten, dass Ihre AV-Software stehts die neuesten Signaturen geladen hat und dass alle Ihre Programme auf dem neuesten Stand sind, speziell Java und Flash sind hier sehr anfällig. Verwenden Sie hierfür z.B. den Online Scanner von Secunia , der Ihr System und die installierten Programme auf fehlende Updates überprüft. Schädlinge nutzen die Schwachstellen im System aus, je mehr Sie davon haben desto grösser ist die Chance sich einen einzufangen.

      Gruß
      ABBZ

  11. andre on 8. August 2011 at 03:57 said:

    Hallo botfrei team!

    Danke für die ausführliche infoseite!ich befürchte jedoch das zum wirklichen sichergehen einzig und allein eine neuinstallation hilft!ich habe mir ebenfalls diesen trojaner eingefangen und habe nun bei bestimmten websiten ständig verdächtige aufrufe zu fremden ip adressen und immer über port 50000 – wenn ich diese blocke bekomme ich zu den seiten keine verbindung! Malewarebytes hat ihn gefunden und ich habe ihn auch gelöscht jedoch wie gesagt ich bin mir fast sicher das er sich noch tiefer ins symstem grät und eventuell einige dll’s infiziert oder ähnliches!

    Vorsicht ist also geboten und auf JEDEN FALL nach dem neuaufsetzen ALLE passwörter ändern, wirklich alle wo man angemeldet ist, diese daten sind vermutlich bereits im besitz der cracker!

    Mfg andre

  12. Rolf on 8. August 2011 at 07:35 said:

    Ich habe mir gestern das Teil eingefangen. Leider bin ich erst heute auf diese Seite gestoßen.
    Ich habe alle vorgegebenen Hilfen im Netz ohne Erfolg probiert. Mit Kaspersky Rescue, konnte ich meine Daten retten und dann habe ich mein Betriebssystem neu aufgespiel.

    Leider wusste ich von dem Restore über das DOS Fenster nichts :( Andererseits, bin ich das Ding nun 100% los. Vielen Dank für die Tipps hier.

    Rolf

  13. Julia on 8. August 2011 at 12:32 said:

    Hallo, habe gestern mal das Programm durchlaufe lassen, aber bei der vollständigen Überprüfung erreicht es höchstens 5 %, bis es schließlich nicht weitergeht. Habe dann mal ohne die vollständige Überprüfung durchlaufen lassen, aber es wurde nichts gefunden. Was nun?
    Gruß

    • Hallo Frau Tsubaki, versuchen Sie wie in der Anleitung unten steht, die Systemwiederhertstellung!!

      Gruß ABBZ

      • Julia on 8. August 2011 at 17:27 said:

        Hallo, vielen Dank für die schnelle Antwort. Nach mehrfachem Versuch ist das Programm nun doch durchgelaufen, hat aber keine Schadprogramme gefunden. Wollte nun die Systemwiederherstellung anweden, aber beide in der Anleitung angegebenen Befehle führt der Rechner nicht aus, da er den Pfad nicht findet.
        Gruß

  14. Hallo,

    bei der manuellen Entfernung unter Win XP sollte der Eintrag jashla.exe auch unter

    HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

    gelöscht werden.

    Grüße Uwe

  15. Sorry,

    hab vergessen zu erwähnen, falls man schnell genug ist, kann man gleich nach dem Starten von Windows (nach dem TumDiDumDöderöh) STRG+ALT+ENTF (Affengriff) den Taskmanager aufrufen und unter Prozesse die jashla.exe stoppen und ihn dann aus der Registry löschen. Danach, wie schon gesagt, einen ordentlichen Virenscan durchführen-

    Grüße Uwe

    • Hallo Uwe, danke für den Tip, funktioniert aber nur wenn man das File kennt. Jemand der keine Erfahrung hat, kann nicht bei bis zu 60 Prozessen, das File herraus suchen, was nicht dazu gehört!

      Gruß ABBZ

      • Hallo TB,

        diese Anweisung war an erfahrene Anwender gerichtet. Ich werde mal versuchen Schritt für Schritt vorzugehen:

        1. wenn Sie das gefakte Bild der Kripo sehen, machen Sie oben einen Rechtsklick, dann auf Eigenschaften. Hier können Sie den Namen und den Pfad (die Stelle, wo er gespeichert ist) des Übeltäters sehen.Bitte merken oder aufschreiben!!!

        2.Neustart über Reset- oder Einschalter(evtl. lange gedrückt halten)

        3.wie schon gesagt, gleich wenn Sie den blauen Bildschirm sehen die Tasten STRG+ALT+ENTF gleichzeitig gedückt halten, bis der Taskmanger aufgeht.

        4.JETZT SCHNELL auf den Reiter Prozesse, dann die gemerkte datei.exe (in diesem Fall jashla.exe) mit Rechtsklick dann Prozess beenden stoppen.

        5.PUH, geschafft. Jetzt können Sie sich Zeit lassen.

        6. Drücken Sie im Taskmanager auf Datei dann Neuer Task (Ausführen…) dann Durchsuchen dann wählen Sie im aufgegangenen Fenster bei Dateityp Alle Dateien

        7.Ganz schön viel, oder? Aber keine Angst, Sie können nun im Verzeichnis Startmenu den Internet Explorer oder Ihren bevozugten Browser finden und können diesen auch aufrufen, diese Website aufrufen um die weiteren Schritte zu lesen.

        8.Im ersten Schritt haben Sie sich den Pfad zu der jashla.exe gemerkt oder besser aufgeschrieben. Zu dieser Stelle gehen Sie nun, und löschen den Übeltäter indem Sie ihn makieren und die Tasten SHIFT(Hochstelltaste)+ENTF gleichzeitig drücken.

        9.Gehen Sie wieder zum Taskmanager>Datei>Neuer Task (Ausführen…) und geben Sie regedit ein. Dort suchen Sie die beiden hier schon erwähnten Einträge in der Registry und befolgen die erwähnten Schritte.

        10. Jetzt sollten Sie Ihre Ruhe haben. Vorsichtshalber befolgen Sie alle hier schon gesagten weitere Schritte, um auf Nr. Sicher zu gehen.

        Grüße Uwe

        • In den wenigsten Fällen heisst die Malware jashla.exe, also …
          Wenn Sie es ist, gibt es bequemere Vorgehensweise, z.B. mit dem portablen Superantispyware auf dem USB- Stick :)

          Gruß TB

  16. Hallo,

    ich habe ein Problem beim Beheben des Virus:

    Und zwar komme ich bei Abbildung 3 nicht mehr weiter. Immer wenn ich “explorer.exe” eingeben soll kommt bei mir die Meldung, dass es keine zulässige Win32-Anwendung ist, was auch immer das ist.

    Bei mir steht auch nicht nur ein C:/> wie in der Abbildung 3 davor sondern bei mir steht immer schon C:/windows/system32>

    Komme hier an diesem Punkt nicht mehr weiter, Ratschläge nehm ich gerne an!

    Danke

    • Klaus on 8. August 2011 at 20:11 said:

      Versuchen Sie mal folgendes bei mir hats geklappt:
      booten Sie den PC neu drücken Sie bevor das Windows Startlogo kommt STRG,ALT und ENTF.gleichzeitig(gedrückt halten).
      Es müßte sich jetzt der Task-manager öffnen, hier gehen Sie so schnell es geht auf Prozesse klicken Sie jashla.exe an und beenden Sie den Prozess.
      Danach klicken Sie im Task-Manager auf Datei-> Neuer Task-> regedit ->ok.
      Es öffnet sich die Registry nun wie folgt durchgehen:
      H Key_local_Maschine -> Software -> Microsoft->Windows NT -> Current Version -> Winlogon hier doppelklicken rechts im großen Abschnitt können Sie alle Eintragungen sehen:
      Hier nach dem Eintrag ->Shell <- suchen
      Darauf doppel klicken hier sollte explorer.exe stehen !!
      Sie werden hier allerdings einen Eintrag mit jashla.exe am ende finden !
      dieser muß gelöscht werden und durch Explorer.exe ersetzt werden!
      danach ok. klicken.
      7. Registry schließen und über den Task-Manager unter Herunterfahren den PC Neu Starten.
      Jetzt müßte der PC wieder laufen, jagen Sie nun den DE-Cleaner drüber,ich habe noch zusätztlich malware + spyboot-scanner eingesetzt.
      Ich bin noch dabei die weitere Registry zu checken, sollte ich nochmehr finden informiere ich alle hier.
      Gutes Gelingen!

  17. Hallo Max,
    Versuchen Sie mal in der Eingabeaufforderung taskmgr.exe einzugeben und bestätigen mit Enter. Es sollte sich der Taskmanager öffnen. Nun gehen Sie auf Datei, neuer Task und geben dort explorer.exe ein.

    Gruß ABBZ

    • Habe ein weiteres Problem.

      nach der vollständigen Überprüfung (Abbildung 6) kommt bei mir die Meldung dass ich kein Virus auf dem Laptop habe. Das allerdings kann ja nicht sein weil die Virusmaske im normalen Modus wieder auftaucht…

    • hallo TB,
      ich habe das selbe Problem wie Max, nur dass bei mir auch die selbe fehlermeldung kommt, wenn ich die explorer.exe über den taskmanager starten möchte.

      gibts weitere tips ?!

      lg

      • Hallo Kalle, versuchen Sie mal im Taskmanager-> Datei->neuer Task: c:

        Gruß Abbz

        • hallo,

          also, mit c: komm ich jetz in den explorer. vielen dank schonmal dafür !!
          jetz habe ich aber ein neues problem. mein USB-stick wird nicht gefunden und erscheint also nicht im explorer.

          und 2te frage: was muss ich im eingabefeld eingeben um den computer neu zu starten oder herunter zu fahren?

          • ok, USB-stick hab ich jetz gefunden.
            ich mache das ganze gerade nach dem UPDATE2 also mit dem SUPERantispyware. wenn ich also meine SAS_ datei auswähle erscheint folgender fehler:
            “G:\SAS_972C.COM ist keine zulässige Win32-Anwendung.”

            lg

          • Also bei mir ging der befehl mit c: nicht aber ich konnte vom Taskmanagerdurchsuchen und gleich auf USB Stick zugreifen und Avira DE-Cleaner starten. Ich hoffe das hilft dem einen oder anderen

  18. Heike on 9. August 2011 at 00:06 said:

    Hallo TB,

    vielen, vielen Dank. Mit dem Superantispy hat’s dann funktioniert.

    Danke Dir.

    Gruß
    Heike

  19. Rolf on 9. August 2011 at 10:17 said:

    Hallo TB,

    erstmal vielen Dank für Deine ausführlichen Hinweise!

    Auch mein Netbook hatte (?) diesen Trojaner. Die Tips aus anderen Foren führten nicht zum Erfolg, weil die entsprechende Seite alles blockierte – selbst im abgesicherten Modus ging nur etwas, wenn man sich als Administrator anmeldete.
    Dann hat das normale Avira Antivir Personal edition nicht gefunden, auch der Avira DE Cleaner brachte keinen Erfolg. Erst die Superantispyware konnte 19 Funde vermelden und in Quratäne stellen. Der Computer läßt sich wieder normal starten.
    Was kann bzw. sollte ich jetzt noch tun ?

    Bis dahin aber nochmal danke; ich binn echt erleichtert.

    Viele Grüße

    Rolf

  20. Jessica on 9. August 2011 at 14:46 said:

    Was soll man den tun wenn der PC nun gar nicht mehr reagiert? Ich hab diesen Cleaner aufn Stick aber mein PC startet ja nicht mal ein Hochfahren…und nun?

    • Hallo Jessika, ziehen Sie den Stick aus dem Rechner und starten den Rechner nochmal neu. Wenn Sie den Anmeldebildschirm sehen stecken Sie den USB- Stick wieder ins Gerät.

      Gruß ABBZ

  21. John on 10. August 2011 at 08:59 said:

    Hallo.
    Ich habe sowohl den cleaner als auch die superantispyware auf den USB-Stick gezogen, aber:
    Mein Problem ist, dass ich zwar den “abgesicherten Modus mit Eingabeaufforderung” (über F5/F8 [vista]) anklicken kann, danach aber keine dosbox kommt, sondern sich vielmehr der (normale) Desktop aufbaut, bevor nach ca. einer halben Minute wieder der weiße “BKA-Bildschirm” auftaucht.

    Wie kann ich hier Abhilfe schaffen?
    Muss der Rechner während der Aktion an das Internet angeschlossen sein?

    Danke vorab!

    • Hallo Herr Hippmann, also im abgesicherten Modus mit Eingabeaufforderung, startet immer nach dem Login die Eingabeaufforderung(Dosbox). In diesem Modus werden die nötigen Treiber für die Netzwerkkarte usw. nicht geladen, also kein Internet.

      P.S. Wenn sie wie Sie schreiben eine halbe Minute Zeit haben, starten Sie doch mal den Taskmanager (Start->Ausführen->taskmgr.exe und beststätigen mit OK)und suchen unter Prozessen die Datei Jashla.exe, wenn diese auftauchen sollte, rechte Maustaste drücken und den Prozess beenden. Wenn das geschafft ist, erscheint der der “BKA-Bildschirm” nicht mehr und Sie können weiter verfahren mit dem USB-Stick.

      Gruß ABBZ

  22. Michael on 10. August 2011 at 09:31 said:

    Mich hat es am Sonntagabend erwischt (Betriebssystem Windows 2000). Habe viele beschriebene Lösungsansätze (Virenscan De und Kaspersky 10 bis hin zum letzten Mittel – Neuinstallation) versucht. Mein Rechner verweigert sich total. Den Virenscan DE Cleaner habe ich mit einer CD versucht. Nach einer Stunde scannen gab es die Meldung, dass nun alles o.k. sei. Nach dem Neustart war die “Bundespolizei” wieder auf dem Bildschirm. Die Kaspersky CD bekomme ich nicht an Laufen. Ich sehe den Begrüßungsbildschirm. Egal welche Taste ich drücke, er zählt von 10 auf 0 hinunter und dann startet er normal und ich bin wieder am Anfang. Wenn ich im abgesicherten Modus starten will oder auch eine Neuinstallation in Erwägung ziehe, werden mir noch die verschiedenen Optionen angezeigt – aber ich kann nichts auswählen und der Rechner reagier auf keine Taste. Ich würde einfach nur noch gerne meine eigenen Daten retten wollen und bin für jede Hilfe dankbar!
    LG
    Michael

  23. Frank on 10. August 2011 at 13:20 said:

    Hallo, und danke für die bisherigen Infos.
    Ich habe seit dem 07.08.11 mit diesem Teil zu kämpfen.
    Bei mir ist es aber so, daß ich den Rechner nach der Bundespolizei Meldung sofort ausschaltete. Seit dem komme ich bis zur Anmeldemaske XP wo ich unter meinem User Namen das Passwort eintrage. Es erscheint dann wie gewohnt, das meine Benutzerdaten geladen werden. Gleich darauf erscheint der Hinweis, daß die Benutzerdaten wieder gesicehrt werden, und die Prozedur will von vorne gestartet werden.
    Ich komme also erst garnicht auf meinen Rechner drauf. Dto. im abgesicherten Modus.
    Starte ich im abgesicherten Modus, komme ich nicht zur Dos Box.
    Ich versuche seit 2 Tagen nun mit unterschiedlichsten Start Tools und Antiviren – Malware Programmen dieses “Jashla” Teil zu entfernen.
    Teilweise gelang es mir auch manuell. Aber auf meinen PC komme ich trotzdem nicht mehr.

    • Hallo Herr Walter, versuchen Sie im abgesicherten Modus mit Eingabeaufforderung, dort erscheint die “Dosbox”

      Gruß AbbZ

  24. Frank on 10. August 2011 at 13:58 said:

    Hallo AbbZ,
    habe ich schon getan,
    “abgesicherter Modus mit Eingabeaufforderung”.
    Ich bekomme keine Dos Box (leider)
    Ich wähle den abgesicherten Modus mit Eingabeaufforderung und mein Rechner führt nur den abgesicherten Modus aus, welcher am Ende dann aber die Eingabeforderung Admin oder User Name am PC verlangt. Sprich “abgesicherter Modus” mit Windows Eingabe.

    Beste Grüsse

    • Hallo Frank,

      wenn XP nach dem User frägt, müssen Sie Administrator wählen, dann sollte die Dos Box kommen

      Grüße Uwe

      • Frank on 10. August 2011 at 16:20 said:

        Hallo Uwe,

        Admin wie User Name und entsprechendes PW führen mich nicht weiter. Werde heute Abend mit einer knoppix CD noch versuchen,
        die Möglichkeiten auszuschöpfen.

        Danke und beste Grüsse.

        • Hallo Frank,

          Sie geben Ihre Nutzerdaten ein, dann halten Sie die Tasten STRG+ALT gedrückt. Jetzt drücken Sie die Entertaste und gleich darauf ENTF. Muss ein bißchen schnell gehen. Es erscheint ein neues Fenster bei dem Sie ein paar Dinge zur Auswahl haben (Herunterfahren, Computer sperren usw.). Unten in der Mitte können Sie dann den Taskmanager aufrufen und mit dem hier Gesagten fortfahren.

          Gruß Uwe

  25. Frank on 11. August 2011 at 11:56 said:

    Hallo Uwe,

    danke für diesen Tipp, welchen ich leider erst heute lesen kann.
    Ich habe mein Backup aus 2010 eingespielt, da wirklich alles zuvor genannten nicht funktionierte. Habe anschliessend die hier beschriebenen Sicherheitsprogramme laufen gelassen und war erstaunt über die weiteren Funde.

    Davon ausgehend, dass andere evtl. mehr Glück haben und doch noch auf Ihr System kommen, so kann ich folgende Softwareauswahl nur empfehlen.
    ( Und zwar alle zusammen nutzen )

    DE CELANER https://www.botfrei.de/decleaner.html
    KASPERSKY 10 http://support.kaspersky.com/de/viruses/rescuedisk
    MALWAREBYTES wie obe beschrieben
    SUPERANTISPYWARE

    Beste Grüsse und nochmals Dank ans Forum
    Frank

  26. VanillaCoke on 11. August 2011 at 15:47 said:

    Hallo,

    super Anleitung, der ich wirklich gut folgen konnte und das obwohl ich absolut keine Ahung von sowas hab.

    Allerdings hat diese Variante leider nicht funktioniert, bei mir wird nach dem Suchvorgang angezeigt, dass keine Schadenssoftware gefunden wurde.
    Habe ich irgendwas falsch gemacht?

  27. Jassy on 11. August 2011 at 18:35 said:

    Hallo,

    danke für die super Anleitung ich bin soweit, obwohl ich null Computerkenntnisse habe, gut zurecht gekommen.

    Ich habe nur das Problem das ich nicht weiß, wie ich meinen PC nach dem entfernen der Schädlinge ausschalte, da ich noch nie im abgesicherten Modus gearbeitet habe und ich habe nur einen Schädling gefunden. Was soll ich jetzt machen?

    • Hallo,

      Sie fahren den PC wie gewohnt herunter: Start > Beenden bzw. Herunterfahren
      Befinden Sie sich in der Konsole (Eingabeaufforderung), können Sie den PC mit dem Befehl shutdown -s herunterfahren.

      Gruß

      ABBZ

  28. Victoria on 11. August 2011 at 20:27 said:

    Hi,

    ich hab ein kleines problem ich komme nähmlich nicht weiter.
    nachdem ich avira-de-cleaner gestartet hat und ich bei “Leider konnte kein Internet….” ok gedrückt hab macht er nichts mehr bzw. sagt das beim herunterladen der produktinformationnen ein fehler aufgetaucht ist.

    Wie komme ich weiter?

    • Hallo,

      bitte beachten Sie die Mindestanforderungen: “- Internetverbindung zum Update und erstmaligen Download”

      Gruß

      ABBZ

      • Victoria on 12. August 2011 at 14:37 said:

        entschuldige ich hab vergessen zu sagen das ich bei abb.5 bin

        • Hallo Frau Gissbrecht,
          Sie müssen ersten den DE- Cleaner an einem nicht infizierten DE- Cleaner mt Internetverbindung herunterladen und Starten! Dann erstellen Sie die Kopie auf den USB-Stick, es werden alle Informationen für die Funktion des Avira DE- Cleaner auf den Stick geladen. Wenn der Stick erstellt wurde, stecken Sie den Stick an den infizierten Rechner…

          Gruß ABBZ

  29. Felix on 13. August 2011 at 22:06 said:

    Hi,
    Wie auch viele Andere ist mein pc seit heute vom BKA-Trojaner befallen. Daher sitze ich schon fast den ganzen Tag daran diesen wieder zu entfernen. Dazu lasse ich zurzeit wie oben beschrieben den Avira cleaner durchlaufen. Jedoch frage ich mich zurzeit, ob ich alles richtig gemacht habe, denn mein pc ist seit nun über 7 stunden immernoch damit beschäftigt die Schadesoftware zu finden. Daher ist nun meine Frage ob diesese lange Zeiet normal ist, und ich einfach zu ungeduldig, oder ob wirklich ein Fehler vorliegt. Mir ist auch aufgefallen, dass das Durchsuchen von teilweise einer einzigen Datei bis zu etwa einer halben Stunde dauert.
    Auf einer Lösung hoffend,
    Felix

  30. Felix on 14. August 2011 at 14:46 said:

    Vielen Dank für die schnelle Antwort. Ich glaub ich werde es einmal mit dem von ihnen emphohlenen superantispyware versuchen. Avira ist zur zeit ca 3 std. mit der selben datei beschäftigt, die nicht einmal 100mb groß ist. Ich würde ja so mehrere Tage mit einem scan verbringen. Oder ist die dauer normal?

  31. Andrea on 15. August 2011 at 10:56 said:

    Hallo,
    der DE Cleaner läuft seit ca. 18 Uhr gestern Abend. Seit ca. 20 Uhr hält er sich an gezippten Backup-files auf. Da er, wenn auch sehr langsam, weiterläuft, möchte ich ungern abbrechen, wundere mich jedoch über die lange Dauer. Auf dem laptop befinden sich größtenteils Fotodateien, die allerdings bei dem Backup noch nicht vorhanden waren. Kann mir jemand sagen, ob die Dauer normal ist? Bisher sind 3 Schadsoftware gefunden worden, die soweit ich das richtig verfolgt habe aber nicht in den backup-files vorhanden waren.

    • Hallo,
      die Dauer ist durchaus normal, da der DE-Cleaner versucht das komplette Archiv zu scannen. Je nach Größe kann dies über mehrere Stunden gehen. Ich empfehle Ihnen den Scan abzubrechen, die Backup Dateien vom Scan auszuschließen bzw. auf ein Laufwerk zu verschieben, der nich gescannt wird und anschließend den Scan erneut zu starten.

      MfG
      ABBZ Team

  32. Lars on 15. August 2011 at 12:16 said:

    Hallo,

    habe von einem Freund den Rechner gesäubert.

    Die Software “Superantispyware” ist goldwert.
    Habe mit dieser weitere 198 gefährliche Einträge, Viren, Trojaner usw… gefunden.
    System läuft nun wieder stabil…

    Dennoch kann ich nur raten, wenn man auf Nummer Sicher gehen möchte…wichtige Daten sichern und System komplett entfernen und den Rechner neu aufsetzen.

    Gruss,
    Lars

  33. Angela on 27. August 2011 at 11:24 said:

    Hallo,

    auch ich möchte von meiner schrecklichen Erfahrung erzählen..
    Gestern hatte ich diesen Ransom Trojaner plötzlich auch auf meinem PC (Win XP). Ich habe an Ihre Empfehlung gefolgt, in abgesichertes Modus die vollständige Systemprüfung durchgeführt ( dauerte ca 3 Std) und konnte den Schädling (TR/Ransom.DU.25) mit DE-Cleaner von Avira entfernen.
    Leider war das gefälschte Bild der Kriminalpolizei in dem normalen Windows noch zu sehen. So habe ich Ihre Empfehlung aus Update1 gefolgt, um jashla.exe zu löschen.
    Versteckt hat er sich auch hier und wurde manuell gelöscht: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
    Zur Sicherheit will ich den Computer mit Ad Aware und Mc Fee vollständig scannen. ich bedanke mich herzlich bei Ihnen und das Forum für Ihre Tipps und Hilfe.

    viele Grüsse
    Angela

  34. peter on 29. August 2011 at 09:57 said:

    Ich hatte auch den BKA Trojaner UCASH 2 mir eingefangen.
    2 Wochen habe ich mich damit herumgeplagt.
    Mit der obigen Software habe ich ihn jetzt “beseitigt” , zumindest habe ich wieder Zugang auf meinen PC.
    Software von nicht infiziertem PC auf USB-Stick laden, und damit im abgesicherten Modus starten.
    Das ging relativ einfach, dank der guten Unterweisung durch das ABBZ-Team.
    Man sollte lediglich ein bisschen Zeit einplanen, am besten eine Nacht.
    Großen Dank an alle ABBZ´ ler !
    peter

  35. Julia K. on 30. August 2011 at 14:05 said:

    Guten Tag,

    auch mein PC (Windows Vista) wurde am 28.8. vom Ukash-Virus infiziert. Ich hab ganz normal gesurft und auf einmal kam der Bildschirm. Mir war natürlich sofort klar, dass das ein Virus oder dergleichen sein musste. Als ich über mein Laptop (nicht infiziert) auf dieser Seite gelandet bin, war ich echt erleichtert.

    Zuerst habe ich im abgesicherten Modus mit Eingabehilfe den DE-Cleaner laufen lassen. Ich habe die Anweisungen genau befolgt. Doch das dauerte mir dann doch zu lange, da er nach 3 Stunden vielleicht 5% gescannt hatte und noch keinen Befund festgestellt hat.
    Ich bin dann in die Registry rein und habe, wie beschrieben, nach jashla.exe gesucht, der bei mir tatsächlich auch so hieß. Den Pfad habe ich mir gemerkt, den Eintrag gelöscht und dann jashla.exe selber auch gelöscht.

    Danach habe ich den PC normal hochgefahren. Der Screen zeigte sich nicht mehr. Mit meinem Avira Antivir habe ich den Computer durchgescannt – nichts. Dann habe ich mir die Superantispyware über meinen Laptop heruntergeladen, weil ich ein wenig Angst vor dem Benutzten des Browsers bei dem vermutlich noch infizierten PC hatte. Habs dann laufen lassen und der hat tatsächlich jede Menge Befunde gehabt!
    Zum Schluss habe ich dann noch Malwarebytes rüberlaufen lassen und der hat dann auch noch paar Befunde gehabt.

    Der PC benimmt sich normal. Gibt es noch etwas was ich tun kann, oder kann ich meinen PC jetzt relativ normal nutzen? Dann noch prinzipiell die Frage: Lohnt sich die Kaspersky Internet Security? Beugt die solchen Extremfällen vor? Oder kann ich bei meinem stets aktualisietren Avira Antivir bleiben?

    Mit freundlichen Grüßen

    • Hallo,

      grundsätzlich gibt es keine 100% Sicherheit, egal welches Programm Sie nutzen. Sie haben selbst gesehen, dass der Scan mit mehreren Tools weitere Befunde zu Tage gebracht hat. Ob Sie dann Kaspersky, Avira oder Symantec etc. verwenden spielt dabei eigentlich keine grosse Rolle, hauptsache es ist überhaupt ein AV-Scanner installiert. Ein zusätzlicher Scan mit Malwarebytes oder Superantispyware erhöht zudem den Schutz.

      In der Regel sollten Sie bei einem befallenen PC immer eine Neuinstallation in Betracht ziehen, da Sie nie sicher sein können, dass der PC auch wieder 100% “sauber” ist.

      Viele Grüße,
      CG (ABBZ)

  36. Ludmilla on 31. August 2011 at 11:02 said:

    Habe den BKA heute morgen eingefangen. Da ich 2 Accounts aufm Laptop habe, bin ich in den anderen rein und bin dann auf diese Seite gestoßen. Vielen vielen Danke dass es sie gibt!

    Im Task-Manager under Prozessen waren weder elexor.exe noch jashla.exe zu finden, somit weiß ich nicht, wie sich der Virus bei mir auf dem PC versteckt hat. ghabe eine Systemwiederherstellung durchgeführt und erst überhaubt damit einen Zugriff auf den infizierten Account bekommen, vorher war es einfach nicht möglich, egal wie schnell ich den Task-Manager gestartet habe.

    In Kommentaren haben ich gelesen, dass danach noch über Online-Virusscanner überprüft werden sollte, ob der Trojaner weg ist – nichts wurde gefunden. Malwerbytes hat dann den Trojaer in 4 Formen auf dem PC entdeckt, ich habe sie entfernen lassen. Nun lasse ich eine vollständige Überprüfung noch mal laufen. Kann ich noch etwas tun, um sicher zu sein,dass der Virus weg ist?

    MfG und ein großes Danke,
    Ludmilla

    • Hallo Ludmilla,

      lassen Sie zu Ihrer eigenen Sicherheit zusätzlich den Superantispyware durchlaufen. Eine Anleitung dazu finden sie hier. Eine 100% Sicherheit gibt es allerdings nicht. Wenn Sie Online-Banking o. Ä. auf dem Rechner machen, sollten Sie eine Neuinstallation in Betracht ziehen. Eine Änderung Ihrer Passwörter ist in jedem Fall durchzuführen.

      Viele Grüße,
      CG (ABBZ)

      • Ludmilla on 31. August 2011 at 12:38 said:

        Hallo :)

        Vielen Dank für den Rat, Superantispyware zu benutzen. Es hat bei mir 72 cookie tracker gefunden, Gott sei Dank kein BKA oder andere Viren. Neuinstallation ist in Betracht gezogen und wird auch durchgeführt. Danke für die Hilfe!

        Alles Gute,
        Ludmilla

  37. Xenia Langosch on 3. September 2011 at 18:49 said:

    Hey!
    Ich hab den Virus schon länger und hab es heute erst meinen Eltern gesagt. Die waren natürlich sauer (weil ich ja mal wieder das falsche angeklickt hab) und wollten zur Polizei. Jetzt ist die Frage: Macht die Polizei was dagegen?

    Xenia

    • Ja, es gibt ein Sammelverfahren bei der Polizei! Ich würde Dir also empfehlen Deinen Fall dort vorzubringen!

      Grüße,
      TK, ABBZ

  38. Xenia Langosch on 3. September 2011 at 18:54 said:

    wenn man das geld bereits bezahlt hat, kann man es zurückholen?

    • Hallo Xenia,

      Du wirst dieses Geld wahrscheinlich abschreiben müssen. Dennoch rate ich zu einer Strafanzeige bei der Polizei.

      Grüße,
      TK, ABBZ

  39. halo, ich habe folgendes problem das ich nicht mit F8 in das spezielle menü
    von meinem notebook komme. betriebssystem windows 7, gibt es noch ne andere möglichkeit in das menü zu kommen?

  40. hi
    ich habe ein problem.
    und zwar wenn ich bei der Eingabeforderung explorer.exe eingebe dann erscheint ein Fenster wo es heißt ” C:\Windows\system32\explorer.exe ist keine zulässige Win32-Anwendung.”
    kann mir bitte jemand weiter helfen.
    mfg

  41. Bei mir haben unter Windows Vista sämtliche hier genannten Programme rein gar nichts gebracht! Auch die Kaspersky Rescue-CD hat versagt…

    Letztenendes konnte ich nach mehrmaligen Versuchen den Prozess “jashla.exe” im Taskmanager ausfindig machen und beenden. Hier empfiehlt sich den Taskmanager sofort zu starten, irgend einen Prozess zu markieren und so lange immer wieder auf die Taste “J” zu drücken, bis der Prozess geladen ist… Sobald er markiert ist, heisst es schnell sein und auf Beenden klicken!

    Dann kommt die Systemwiederherstellung:

    Klicken Sie im Taskmanager auf Datei und wählen Neuer Task (ausführen). Klicken Sie auf die Schaltfläche Durchsuchen und hangeln Sie sich über das Suchfenster zur Datei rstrui.exe durch (unter Windows 7 in der Regel unter C:\Windows\system32; in Windows XP unter C:\Windows\system32\Restore). Bestätigen Sie die Eingabe mit einem Klick auf Öffnen und OK.

    Folgen Sie den Anweisungen auf dem Bildschirm, wählen Sie einen Wiederherstellungszeitpunkt der definitiv vor der Infizierung des PC liegt (notfalls unten den Haken bei [...]die älter als 5 Tage sind[...] setzen und lassen Sie die Wiederherstellung durchlaufen.

    Danach habe ich sofort HijackThis drüber laufen lassen (einfach mal danach googeln!) – Dieser hat mir dann die Datei “sdra64.exe” mit einem gelben Fragezeichen markiert – Dabei handelt es sich um ZBot, also eine hochgefährliche Onlinebanking Malware. Diese Datei im HijackThis markieren und sofort löschen!!!

    Es empfiehlt sich, auch die anderen Dateien, die das Programm so auswirft mal zu googeln und zu schauen,was dahinter steckt!

    Danach dann wie oben beschrieben weiter verfahren – Mehrere Antivirenprogramme und co. laufen lassen – Daten sichern – ggf. System neu aufsetzen!

    Viel Glück an alle “infizierten”…

  42. Peter Steyer on 6. September 2011 at 13:03 said:

    Vielen Dank für Ihre Hilfe, endlich hat es dann mit dem Kaspersky Cleaner geklappt und das in ca. 15 Min.

  43. ich habe alles so gemacht, wies oben steht, aber da hat avira nix gefunden!

    also bin ich zu meinem konto. da hab ich “jashla” sofort gefunden und gelöscht. avira hat 1 schadsoftware gefunden. dann hab ich den laptop ausgemacht und normal gestartet. er ist immer noch gesperrt, nur jetzt kommt nicht mehr das “BKA”-bild, sondern das bild, das ich als hintergrund hab. ich kann immer noch nix machen! ich hab noch mal im abgesicherten modus im explorer gesucht und hab noch was anderes gelöscht, das keinen richtigen namen, sondern nur irgendwelche zahlen und buchstaben hat (die anderen programme haben einen extra ordner, aber dieses und jashla waren einfach so drin).

    IMMER NOCH GESPERRT!! soll ich vielleicht noch Superantispyware oder was anderes drüberlaufen lassen?

  44. Svenioi on 7. September 2011 at 15:21 said:

    Hallo,

    ich habe es endlich geschafft den Manager zu öffnen und das Booten zu verhindern.

    Klasse Anleitung und es freund mich sehr das sich jemand für Umsonst so viel Mühe gibt.

    Erstmal Fünf Sterne PLUS.

    So meine Frage, kann ich meine ganzen Dateien alle auf eine Externe Platte machen ohne das die auch gleich befahlen wird oder sollte ich erst alles Durchsuchen lassen.

    Es geht immerhin um sehr Wichtige Daten meiner Schule.

    Danke schon mal im Voraus für die Hilfe.

    Gruß Sven

    Ach ja es läuft auch gerate noch nebenbei “Malwarebytes” aber ob das jetzt alles in meinen Daten findet ist jetzt die Frage.

    • Hallo,

      es freut uns, dass Ihnen die Anleitung weiter geholfen hat. Eine Infektion der privaten ist unwahrscheinlich bzw. eine Infektion bei der Übertragung der privaten Daten auf einen externen Datenträger. Auf alle Fälle würde ich einen AV-Scanner im Hintergrund laufen lassen (einen fest installierten) und nach der Übertragung die Daten nochmals mit z.B. Malwarebytes überprüfen. Für eine weitere Diskussion lade ich Sie herzlich in unser neues Forum ein: forum.botfrei.de

      Grüße
      ABBZ

  45. Christian on 9. September 2011 at 13:40 said:

    Hi!

    erstmal ein großes danke an euch und das tutorial!

    Jedoch hab ich ein Problem…

    Wenn ich am anmeldebildschirm bin und er nach dem Passwort fragt, klicke ich enter und er fährt wieder von alleine runter…

    was mach ich falsch oder was hab ich vergessen???

    Hab den decleaner verwendet, alles entfernt und neu gestartet

    Grüße

    • Hallo Christian,

      schauen Sie doch mal in unserem Forum vorbei. Dort können wir Sie gezielter und übersichtlicher supporten und Sie nehmen gleichzeitig auch die Erfahrung anderer Nutzer, der botfrei-Community in Anspruch.

      Grüße,
      TK, ABBZ

  46. Am besten gegen den Trojaner soll die Kasperski Rescue Disc 10 Notfall CD sein. Die kann man kostenlos bei Kasperski runterladen.

    LG Ina

    • Hallo Ina,

      wir haben hierzu in unserem Blog auch eine Anleitung. Das Problem dabei ist allerdings, dass wir mittlerweile unterschiedliche Varianten haben (mindestens 13 Stück), und diese nicht alle gleichermaßen entfernt werden können!

      Grüße,
      TK, ABBZ

  47. Hallo,
    habe das Procedere von Klaus am 8.9 beschrieben mit (STRG,ALT und ENTF.gleichzeitig gedrückt halten…..hier gehen Sie so schnell es geht auf Prozesse klicken Sie jashla.exe an und beenden Sie den Prozess usw.)…. gemacht , hat auch geklappt, der Rechner ist hochgefahren, aber alle Programmsymbole auf dem Destop sind verschwunden und ich kann sie nicht vom Taskmanager als Verknüpfung herunterziehen.
    Wie kann ich das lösen?
    Danke, Karlo

  48. Hallo,
    habe den Explorer geöffnet, unter Desktop liegen alle Verknüpfungen, die ich aber nach Markierung nicht auf den Desktop ziehen kann.
    Auch die Taskleiste mit dem Startbutton sollte wieder auf den Desktop.
    Was mach ich falsch?
    Gruß Karlo

  49. Ich habe diesen Virus seit gestern abend und hab heute diese seite gefunden und versucht es mit dem DE Cleaner runter zu bekommen aber der Cleaner bleibt immer bei C:\$Recycle.Bin\…\$R0HIU5J.ipa stecken gibts dafür einen Grund? Oder gibt es noch ein anderes Programm das ich über meinen USB-Stick laufen lassen kann um den Virus zu entfernen?

    lg Andre

  50. annika on 25. September 2011 at 20:41 said:

    hallo

    haben den mist auch auf unserem rechner…… hab mich auch schon mit cd, etc. daran versucht, aber nix. jetzt habe ich den rechner im gesicherten modus…blablabla gestartet, aber es kommt keine dosbox. was soll ich tun????
    dreh noch am rad

  51. murmel on 4. Oktober 2011 at 07:25 said:

    Hallo,

    und es geht weiter! … Ziemlicher Schreck gestern Abend als plötzlich diese merkwürdige Seite auftauchte und sich nicht mehr abschalten ließ.

    Hatte dann aus Not versucht mir selber zu helfen und dabei entdeckt das über die rechte Maustaste ein Kontextmenü abzurufen ist. Damit war dann noch offensichtlicher, daß es sich hierbei um eine Schadsoftware handeln mußte. …

    Das Eigenschaftsfenster gab einen Hinweis auf die verursachende Datei. In meinem Fall war das mahmut.exe. Uber den Abgesicherten Modus mit Eingabeaufforderung habe ich die Datei umbenannt und konnte dann Windows auch erstmal wieder ohne die Sperrmeldung hochfahren. Allerdings hatte ich es gestern Abend noch nicht wieder geschafft meinen Windows Desktop zurück zu bekommen, da ich noch nicht bis in die Registry vorgestoßen bin.

    Werd jetzt mal den DE-Cleaner probieren.
    Daumen drücken … ;)

  52. Hallo,

    ich habe jetzt eine UKASH Variante, in der beim Booten direkt ein UKASH code verlangt wird. Man soll 50 Euro wegen unlizensierter Software bezahlen. Helfen die oben beschriebenen Loesungen bei dieser Variante auch?

    Vielen Dank und Gruss
    Joe

  53. Murmel on 4. Oktober 2011 at 15:30 said:

    Hallo nochmal,

    und danke für den obigen Link. Der manipulierte Registry-Schlüssel ließ sich dadurch schnell finden und “ausschalten”.

    Übrigens stand hier als Deklaration für …Shell eindeutig die über das Eigenschaftsfenster (Klick-rechts) identifizierte EXE-Datei (mahmut.exe). Somit … wenn man’s weiß … noch relativ einfach auch ohne umständliche Downloads und Neuinstalltionen zu reparieren.

    Danke jedenfalls für diese umfangreiche und Rettung bringende Seite!

    PS: Ich hab den Überltäter noch unter Quarantäne stehen. Macht es evl. Sinn den irgendjemanden zur weiteren Analyse zu schicken?

  54. Andre on 10. Oktober 2011 at 17:33 said:

    Hi ich habe mir ebenfalls den Virus eingefangen und mich strickt an die Anleitung gehalten bis Abb.5 habe ich mich auch ohne Probleme vorarbeiten können. Leider wird nun seit knapp einer halben stunde angezeigt dass sich das Programm zunächst installiert, der Ladebalken verändert sich ebenfalls nicht. Habe den Vorgang auch schonmal abgebrochen und neugestartet bin ich nur zu ungeduldig oder dauert es wirklich solange?

  55. Natascha on 10. Oktober 2011 at 18:49 said:

    Hallo! diese Seite ist wirklich sehr hilfreich und informativ dankeschön dafür!

    Meine frage ist jetzt ob der Trojaner auf USB-Sticks festsetzt und sich da drüber verbreitet?

    Danke im Vorraus

  56. Wander-falke on 11. Oktober 2011 at 20:37 said:

    Hallo Gemeinde, die GEMA mischt nun auch mit ; für 50 Euros darf ich wieder in meinen Rechner.
    Melde vollzug wenn gekillt :-)

  57. Stephen on 14. Oktober 2011 at 13:39 said:

    Hallo,
    habe mir ebenfalls den BKA-Trojaner eingefangen. Leider konnte ich durch keine der hier beschriebenen Methoden einen Erfolg erzielen. Zugriff auf einen USB Stick ist leider nicht möglich, da ich nach Starten der explorer.exe im abgesicherten Modus mit Eingabeaufforderung wieder bei besagtem BKA Bildschirm lande. Wäre über Hilfe sehr dankbar!

    • Hi Stephen,

      gerne helfen wir Ihnen in unserem kostenfreien Support-Forum (http://forum.botfrei.de) weiter! Im direkten Dialog können wir, oder die Community freiwilliger Helfer weitaus individueller auf Ihr Problem eingehen, als es hier in den Blog-Kommentaren mgl. ist!

      Grüße,
      TK; ABBZ

  58. Felix H. on 15. Oktober 2011 at 15:19 said:

    Hallo ABBZ,
    ich hab diesen Virus auch.
    Problem ist folgendermassen ich bin absoluter PC Laie, und schreibe gerade mein Bachelor Thesis ich hatte noch nicht alles gesichert. hab dann den Pc nochmal mit dem USB Stick dran hochgefahren um die Daten zu retten. Hat natürlich nicht geklappt

    Frage ist jetzt kann der Virus auch auf den USB Stick wandern und einen MAc Computer ohne Windows Programme befallen?
    Weil ich diesen Stick dann an den Mac von meinem Freund angeschlossen hab um die Schritte hier durchführen zu können.

    Über eine Antwort würde ich mich sehr freuen.

    MFG Felix

  59. Hallo

    Schreck in der Mittagsstunde:
    Mein Problem:
    Wenn ich im abgesicherten Modus die explorer.exe starte erscheint sofort wieder das unerwünschte Bild.
    Somit komme ich nicht in den Taskmanager und nicht auf den USB-stick.

    Kann jemand dieses Phänomen lösen?

    Danke

  60. Hecheltjen on 6. November 2011 at 11:27 said:

    Gegen den “Bundespolizei-Ukash-Virus”, den ich mir am 4.11.11 eingefangen habe, hilft der Avira DE-Cleaner super. Auch als einfach gestrickter User kriegt man die notwendigen Schritte hin. Alle anderen Tipps aus dem Internet z.B. von chip.de oder redirekt.de waren erfolglos + kompliziert. Dass mein mit Geld bezahltes Abo-Anti-Virusprogramm von McAfee mich nicht geschützt hat, ärgert mich am meisten.
    Die besten Tipps gabs hier bei botfrei.de.
    Danke!!!!

  61. Hi, wieso werden solche Spinner die Trojaner programmieren nicht Lebenslänglich in den Knast gesperrt? Man müsste gegen diese Ideoten eine Hexenjagt im Internet organisieren! Gruß! Jaro

    • Sony_2 on 20. Februar 2012 at 13:52 said:

      ich bin ganz der gleichen Meinung. Kann das botfrei Team die Leitung uebernehmen?
      Danke!

      • Es sind bereits Verfahren bei den Landeskriminalämtern am Laufen. Das Problem hierbei ist allerdings, dass die Kriminellen in der Regel in Ländern zuhause sind, wo deutsche Behörden keinen Zugriff haben!

        Grüße,
        TK, ABBZ

  62. Sebastian on 8. November 2011 at 10:10 said:

    Hallo,
    ich habe ein Problem, nachdem ich jetzt endlich den BKA-Trojaner entfernt habe (hoffe ich jedenfalls :) ).
    Meine Taskleiste und der der komplette Desktopinhalt sind verschwunden, ich sehe lediglich das Desktophintergrundbild. Kann mir da jemand weiterhelfen?
    LG,
    Sebastian

  63. Hallo. Ich hab das heute mit dem programm versucht aber wenn ich dann auf “suchlauf” klicke kommt kurz danach ne meldung “das der scanner unerwatet beendet wurde” und “das die software oberflächlich nicht erkannt wurde” was soll ich tun ?

    • Hallo Mark,

      gerne helfen wir Dir in unserem kostenlosen Support-Forum weiter. Registriere Dich hierzu einfach kostenfrei unter http://forum.botfrei.de und erstelle für Dich ein eigenes Thema. Aufgrund der schlechten Übersicht hier auf dem Blog, ist uns leider nicht mgl. hier individuell weiterzuhelfen.

      Grüße,
      TK, ABBZ

  64. kuulachi on 12. November 2011 at 10:15 said:

    “bundespolizei es ist die ungesetzliche tätigkeit enthüllt”

    The procedural information in the above-mentioned blog is perfectly working well!
    We followed like the above procedure after starting the computer in “safe mode”.
    Hopefully this will be useful for those with infected PC.

    Good luck

    Note: If you have already bought the UKash money, you could call the customer complaint number and block the “UKash PIN”. Also, this merchant is not authorised for UKash. So, do not worry!

    • Hi Kuulachi,

      Thank you so much for your comment and the hint with the UKASH hotline, to get the PIN and the money transaction blocked.

      Best Regards,
      TK, ABBZ

  65. Claudia P on 12. November 2011 at 21:10 said:

    Zunächst DANKE für die ersten Hoffnungen die mir wieder gemacht wurden, dass ich das DING wieder von meinem PC krieg. Ich hab nun folgendes Problem, habe mir dieses Avira und dieses Supervir-zeug herundergeladen und auf einem usb-stick gespeichert.

    Ich habe es zunächst manuell versuchen wollen, da ich nicht wusste, welches Exemplar ich von diesen netten Geschöpfen auf meinem pc hab. Mein Problem. Ich drücke beim Hochladen F8, komme auch zur Option Abgesicherter Modus mit Eingabeaufforderung, manchmal kommt da noch eine nächste Seite (windows standart) und DANN: Das wars. NICHTS passiert. Es fährt nie hoch. Da verändert sich nichts! Ich würde gerne zur Anwendung der Programme kommen, die ich soeben heruntergeladen habe, aber ich komm nicht dazu. Ich hab das schon tausendfach bei google eingeben, ich hab keine Idee was ich machen solll. (Zur Erklärung, nachdem mir diese Bundespolizeianzeige aufkam, habe ich den Pc heruntergefahren und auf recovery gedrückt,..Wiederherstellung des Zustands um 16h oder so,.. seitdem fährt das Ding gar nicht mehr hoch. Bitte um Hilfe, mein Pc steht seit 3 Tagen…

    Lieben Gruß, ein Trottel

  66. Claudia P on 12. November 2011 at 21:23 said:

    Eure Seite ist DIE BESTE! Habe soeben vom zeroacessvirus gelesen und habe WIndows 7. Ich schlag mich schon irgendwie durch….

    PS: sorry dass ich den Tread überlesen hab, ich versuchs mal so

  67. Peter Pan on 13. November 2011 at 15:06 said:

    Also ich glaube den hatte ich genau. Verlangen die da sogar 200€?

    Also ich habe sofort den PC ausgemacht und I-Net Stick abgezogen.
    Neustart per Reset.
    Dananch als erstes cCleaner gestartet und Cache/Temp gelöscht und dann nach Fehlern in der Registry gesucht – es wurden ertaunlicherweise sehr viele gefunden –
    und diese dann erst als .reg gesichert und dann sofort gelöscht.
    Danach habe ich Firefox offline gestartet und dann die schädliche Seite geschlossen und dann bin ich wieder online gegangen und habe den Stick reingesteckt.

    Bisher läuft alles so wie immer. Habe ich Glück gehabt und ist mein System jetzt sauber?
    Allerdings habe ich im Taskmanger viele Prozesse am laufen und ich denke das sind zu viele. Aber keine .exe dabei die aktiv ist und auf nen Virus hindeutet.
    Also Glück gehabt und richtig verhalten oder soll ich noch was machen?

    • Hallo Peter Pan,

      gerne helfen wir Dir weiter. Registriere Dich doch einfach kostenfrei in unserem Support-Forum (http://forum.botfrei.de) und wir schauen uns Dein System gerne mit Dir zusammen noch einmals genauer an!

      Grüße,
      TK, ABBZ

  68. Sandra Albi on 14. November 2011 at 11:58 said:

    Hallo

    ich habe Windwos 7 und auch diesen Trojaner.Nun habe ich den Cleaner auf einen Stick gezogen…den abegsichtern Modus gestartet.Dann wurden die Windows Datein geladen,dann erscheint Administrator.cmd
    C:\Windows\systhem32 dort habe ich dann explorer.exe eingebene dann kam nochmal dass selbe,hab da dann explorer eingegeben und versucht den cleaner anzumachen.Stand dass keine Internetverbindung da wäre Status beim herunterladen der Produktinformation ist ein Fehler aufgetreten.Hilfe und nun:-((

    • Hallo Sandra,

      gerne helfen wir Dir bei Deinem Problem individuell weiter. Wende Dich dazu bitte einfach an unser kostenfreies Support-Forum: http://forum.boftfrei.de! Hier in diesem Blog ist es uns leider aufgrund der Vielzahl an Einträge nicht mgl., die Übersicht zu wahren!

      Grüße,
      TK, ABBZ

    • Hallo Sandra,

      Sie haben nur den Loader, der ca. 850kb groß ist auf den Stick geladen. Wenn Sie den Loader auf einem nicht infizierten PC starten, können Sie oben in der Software auswählen: “Auf USB-Gerät kopieren”. Damit können Sie dann Ihren infizierten PC im abgesicherten Modus mit Eingabeaufforderung starten.

      Gruß
      MG
      ABBZ

  69. Danke, der beste Tip den ich bis jetzt gelesen hab, diesen USB Stick zu erstellen.
    Bei meinem Rechner waren aus unerfindlichen Grund keine Systemwiederherstellungspnkte vorhanden. Und die einzige funktionierende Variante war diese.

  70. Daniel on 17. November 2011 at 14:13 said:

    Hallo, auch von mir vielen dank für die tolle Anleitung. Ich hab noch sone frage und zwar ich hab den cleaner gestartet nur der braucht ne ewigkeit es läuft über 2 1/2 Stunden und er ist noch immer nicht fertig und über ne 1 stunde bewegt sich der balken nicht mehr. Deshalb ne frage wie lange hat es bei euch gedauert ?

    • Hallo Daniel,
      welchen Cleaner benutzen Sie zum scannen? Normalerweise sollte es nicht so lange dauern. Eventuell starten Sie den Scan erneut und falls wieder so lange dauert einen anderen wie z.B. Malwarebytes

      Gruß
      MG
      ABBZ

  71. hey,hatte den virus vor 3 tagen entfernt (dachte ich jedenfalls) der pc ging wieder wie gewohnt,gestern abend war der virus aber wieder da,und jetzt habe ich dieselbe lösung wieder versucht (wie oben beschrieben,hat ja beim ersten mal auch schon funktioniert) nur leider haut es jetzt nicht mehr hin. kann mir jemand helfen?! würde mich freuen. liebste grüße.

  72. Gesche on 23. November 2011 at 15:06 said:

    Bin ebenfalls versklavt worden.
    F8 funktionierte nicht, aber über das Startmenü kam ich über –> Ausführen–> Durchsuchen–> Arbeitsplatz –> Wechseldatenträger an die Avira-Software.

    Hoffe auf Besserung

  73. Reubold on 23. November 2011 at 20:17 said:

    Viiiiiiiiiiielen Dank. Das war meine letzte Rettung. Ansonsten hat bisher nichts geholfen!

  74. Hägar on 26. November 2011 at 09:40 said:

    Bei mir hat folgendes funktioniert.

    Bei mir ist unter Windows 7 die Taskleiste standardmäßig ausgeblendet.
    Haken an :Taskleiste im Vordergrund.
    Bei erscheinen des Trojaner Fensters die Windows Taste auf der Tastatur drücken.
    Taskleiste erscheint.
    Windows explorer öffnen.
    STRG+Alt+Entf drücken
    Taskmanager aufrufen
    Prozesse aller Benutzer aufrufen.
    Bei mir hieß der Trojaner: mahmoud.exe 178 KB groß
    Exe löschen
    Danach konnte ich alles wieder benutzen.
    Zu guter letzt natürlich nochmal diverse Scanner drüberlaufen lassen.
    Viel Erfolg

  75. Daniel on 27. November 2011 at 08:05 said:

    Ich hatte gerstern/heute den BKA oder UKash Trojaner auf meinem PC (grad bereinigt). Zum Schluss sollte man dden PC mit shutdown -s -t 00 schließen aber dieser Befehl klappt nie….
    Deshalb hab ich den PC durch langes halten des Power Buttons ausgemacht. Im Boot Menü drückte ich F8 und dann auf Windows normal starten.
    So der Trojaner war weg UND DAZU NOCH ALLE MEINE DESKTOP SYMBOLE UND MUSIK DIE ICH HATTE!!!
    Ich will alles zurückhaben aber wie?

  76. Habe den Avira Cleaner rüberlaufen lassen, aber nur einen Schädling gefunden.
    Jetzt will ich meine Eigenen Dateien etc. auf eine externe Festplatte kopieren (über den Explorer im abgesicherten Modus) und dann das System neu aufsetzen.

    Was muss ich beachten? Ist es möglich, dass ich dabei den Trojaner wieder mitkopiere?

  77. Ich habe den BKA Trojaner versucht mit de-Cleaner zu beseitigen. Der cleaner hat keine Viren gefunden. Dennoch habe ich wieder einen grauen Bildschirm.

    Hallo
    Ich komme auch nicht über F8, F5 oder F7 zum abgesicherten Modus.
    Geschafft habe ich den Start des de-cleaners über Start – Ausführen – Arbeitsplatz – Durchsuchen, wie oben beschrieben.Leider ohne Erfolg

    Allerdings werde ich seit geraumer Zeit kurz nach dem Start zur Betätigung der F1 Taste aufgefordert, ehe der Botvorgang fortgesetzt wird.

    gruß Uli

  78. Christine on 29. November 2011 at 18:51 said:

    Hallo,

    ich habe mir den BKA-Trojaner eingefangen. Als dies passierte war gerade mein ipod an den Rechner angeschlossen, kann dieser nun auch infiziert sein und wenn ja was kann ich machen ohne den PC nach der wiederherstellung vom ipod aus wieder zu infizieren?

    Gruß und vielen Dank schon mal, Christine

  79. Josephine on 30. November 2011 at 21:07 said:

    Hallo, ich hab das Problem auch seit gestern. Ich habe über meinen Laptop den Avira DE-Cleaner runter geladen . Haben ihn jetzt schon 3 mal durchsuchen lassen, aber er findet nichts. und wenn ich ihn normal starte ist die Seite immer noch da`?! Warum?! was kann ich tun? Hiiiiiiilfe.
    Er findet nichts und ich komme aber auch so an ein normales Virenprogramm nicht dran, weil man ja im Abgesichertem Modus nicht ins Internet kann.
    Was soll ich tun? Bitte schnellstens um Hilfe.

    Gruß Josy

  80. Ich hab wie gefolgt die Anleitung beachtet aber wenn ich F8 drücke komme ich in das Menü aber wenn ich versuche etwas auszuwählen bzw. mit der Tastatur hoch oder runter mit dem Pfeil gehen möchte geht das nicht von daher kann ich auch den Pc im abgesicherten Modus mit Eingabeaufforderung nicht starten.

    Kann mir einer helfen ???

    mfg

  81. Linda83 on 3. Dezember 2011 at 23:53 said:

    Hallo,

    ich habe gerade den Avira C-Cleaner über meine Laptop laufen lassen, hat knappe 2 Stunden gedauert und genau nach Anweisung dann alle (bei mir) 5 gefundenen “Schädlinge” entfernt. Genau nach Anweisung habe ich dann alles beendet und den Laptop runtergefahren. Dann habe ich den USB-Stick entfernt und alles wieder hochgefahren, allerdings habe ich auch Wirelss mit dem Knopf an meinem Laptop wieder aktiviert, um zu sehen ob sich diese vermeintliche BKA-Meldung wieder zeigt. Leider war es auch so und ich weiß nicht, ob ich etwas falsch gemacht habe oder ob ich die ganze Prozedur noch einmal wiederholen soll.
    Bitte helft mir! Bin verzweifelt, weil ich meinen Laptop für meine Bewerbungen dringend brauche!!!
    Vielen Dank schonmal!

  82. Tobird on 7. Dezember 2011 at 05:25 said:

    Hallo,
    Ich habe den “BKA-Virus” im abgesicherten Modus gelöscht. Alles lief wieder einwandfrei. Auch der taskmanager. Jetzt jedoch nicht mehr nach einigen Stunden im standby. Und ich habe recht oft den zugriff auf sicherheitsrelewante Anwendungen und Freigaben unteranderm für “aspnet”.
    Ich weiß nicht was das ist und wie ich damit umzugehen habe. Ich will jetzt mei. System neu draufziehen, jedoch würde mich interessieren, warum der taskmanager nicht mehr funktioniert und ob ich den “Virus” somit endgltig los werde weil ich habe Gerüchte Weise was gehört, dass sich nach dem formatieren der “Virus” wieder “einschleicht”. Bitte um Hilfe und Rat!
    Gruß tobird

  83. Julian on 11. Dezember 2011 at 22:15 said:

    Hallo!

    Habe gerade den DE Cleaner von antivir in Benutzung, doch leider läuft das Programm nicht :( er hängt seit ner Stunde bei der Prüfung einer einzigen Datei, ist das normal?

    Viele Grüße
    Julian

  84. Julian on 12. Dezember 2011 at 13:12 said:

    HiHo
    Danke für die Antworten :)
    Nunja, über die eine Datei ists hinweg, läuft jetzt seit 16 Stunden und ist ca. bei 40 %.
    … und das bei ner 500 GB Platte im Rechner^^
    Hat dafür schon 4 Funde, wenns hilft, darfs auch noch n Tag laufen :)

  85. Julian on 13. Dezember 2011 at 01:37 said:

    Ich nochmal… sind jetzt in stunde 28 (!!!) ist das normal, dass es sooo lange braucht?

  86. Hallo
    auch erstmal danke für die ganzen infos
    ich habe mit verschiedenen virenscannern versucht den virus loszuwerden und es hat auch größtenteils funktioniert
    also ich kann nach dem anmelden wieder auf alle meine daten usw zugreifen und auch antivirenprogramme starten aber ich glaube das ich den virus trotz allem noch nicht komplett losgeworden bin
    zum beispiel passiert nichts wenn ich versuche den task manager zu öffnen
    meine frage ist ob es sinnvoll wäre meinen laptop auf einen früheren zeitpunkt zurückzusetzen mithilfe der systemwiederherstellungspunkte?

    • Hallo Karlo,
      dass du den Taskmanager nicht öffnen kannst liegt daran, das der Trojaner einen RegistryKey in der Registry eingefügt hat. Bitte komm in unser Hilfe-Forum und erstell ein neues Thema. Wir helfen dir dort weiter.

      MG
      ABBZ

  87. Hey :)
    ich habe mir diesen scheiß virus leider auch eingefangen.. habe zuerst probiert den taskmanager zu öffnen (mehrere male) aber das hat nicht funktioniert. Wenn ich jetzt aber den USB stick, mit dem programm in meinen infizierten laptop stecke und F8 drücke und alles auswähle, mich anmelde..erscheint die trojaner-meldung (bundespolizeri, etc) immernoch und nicht wie versprochen das fenster, in dem ich meinen USB stick auswählen und das programm starten kann :(
    was nun?

    • Hallo Sina,

      ich würde Dich gerne in unser Support-Forum einladen. Dort können wir Dir individuell weiterhelfen. Registriere Dich hierzu bitte einfach kostenfrei unter: http://forum.botfrei.de und erstelle unter Hilfe –> Windows einen eigenen Thread zu Deinem Problem. Damit wir Dir schnell weiterhelfen können, schaue bitte vorher auf http://www.bka-trojaner.de vorbei und nenne uns in Deinem Case die Version des Trojaners, die Du drauf hast.

      Grüße,
      TK, ABBZ

  88. Hallo bei mir hat es so wie es aussieht funktioniert mit dem usb stick ,prüfe jetzt nochmal das system mit Avira und hoffe das dann alles palletti ist.
    Vielen Dank nochmal an alle die hier mitwirken

    Gruß pavmi

  89. Selbes Problem, habe die Schritte bis zum Neustart im abesicherten Modus mit Eingabeaufforderung befolgt. Allerdings startet der PC sofort neu, sobald ich die Option auswähle, ohne dass ich bis zur Login-Maske komme.

  90. Hey. habe versucht wie beschrieben, den virus zu entfernen. leider hält der scan mit dem avira de-cleaner bei einer bestimmten datei an und läuft nicht weiter. was soll ich tun? vielen dank im voraus.

  91. Jonathan on 23. Dezember 2011 at 16:54 said:

    Hallo Leute, ich hatte glaube ich, die alte Version des BKA-Trojaners. Aber die Lösung, mittels msconfig den Virus aus den Startprogrammen zu entfernen hat nicht funktioniert. Also habe ich etwas anderes ausprobiert: Im abgesicherten Modus ein neues Benutzerprofil mit Administratorrechten anlegen. Der Virus speichert sich nämlich nur auf dem einen Profil ab. Wenn man dann ins neue Profil geht kann man über /:C/Benutzer alle wichtigen Dateien ins neue Profil ziehen. Dann das alte Profil einfach löschen. Zur Sicherheit habe ich auch noch mal nen Scan laufen lassen, aber das wäre eigentlich nicht nötig.
    Also ich denke das können auch Laien wie ich ganz gut hinkriegen, einfach ein neues Nutzerprofil anlegen und das alte löschen. Die Daten kann man ja retten.

    Viele Grüße,

    Jonathan

  92. mangabott on 26. Dezember 2011 at 07:38 said:

    hallo,
    sieben Stunden hat der DE Cleaner gebraucht. hat dann 13 Dateien Schadsoftware gefunden.
    habe wie vorgegeben alle gelöscht.
    dann neustart. es kam nicht die “bundespolizei”. statt wie im autostart vorgesehen, firefox und thunderbird zu laden, installierte sich 2 mal internet explorer, und die “bundespolizei” war wieder da. wechseln konnte ich nicht zu firefox und thunderbird.
    “sind in betrieb, erst abmelden oder pc neu starten” heißt es.
    Auch kann ich die lizensierte avira antivir software nicht starten.
    den task manager kann ich auch nicht starten.

    jetzt lass ich nochmal den de cleaner über den rechner laufen.

    grüße

    mangabott

  93. mangabott on 26. Dezember 2011 at 12:37 said:

    es wurden wieder 13 fehler gefunden.

    nun kann ich aber den pc mit shutdown -s -t 00 nicht runterfahren.

  94. mangabott on 26. Dezember 2011 at 12:46 said:

    kein erfolg,

    2 mal wurden 13 fehler gemeldet, 2 mal auch wie vorgegeben gelöscht.

    beim neustart aber wieder die “bundespolizei”
    was kann ich noch tun?

  95. mangabott on 26. Dezember 2011 at 14:45 said:

    Ausschliesslich in meinem thunderbird verzeichnis werden schadsoftware gefunden.
    hilft es, wenn ich alle meine vorhandenen mails lösche?????

  96. Hallo,
    erstmal danke für die Hilfe.
    Bei mir ist der DE-Cleaner über eine Stunde lang drüber gelaufen und hat auch 4 Schadsoftwares gefunden. Diese hab ich enfernt und wie beschrieben neu gestartet. Der Trojaner ist allerdings immernoch da. Leider bin ich ein ziemlicher Laie und weiß nicht was ich sonst noch machen kann damit der Trojaner entgültig weggeht. Für Hilfe wäre ich sehr dankbar,da mein PC erst ein paar Monate alt ist.

  97. Hallo,
    danke für alle Hinweise!
    Superantispy hat geholfen, allerdings hat es 5 Stunden gedauert.
    Das letzte Backup aufspielen wäre wesentlich schneller gegangen, für alle die regelmaßig Sicherheitskopien machen.

    Grüße

  98. Rigo Helbig on 28. Dezember 2011 at 17:16 said:

    Vielen,vielen Dank für Eure Hilfe.Ich habe genau so gehandelt und danach noch die Superantispyware drüber laufen lassen.Was da alles so zum Vorschein kommt ist ja krass.

    Viele Grüße und nen guten Rutsch
    wünscht Rigo

  99. Sebastian on 2. Januar 2012 at 17:27 said:

    Hallo,
    Ich habe mir den Trojaner 2.0 eingefangen und lasse schon seit einer Stunde den Avira DE-Cleaner laufen aber es passiert nichts was kann ich jetzt tun ?
    MfG

  100. mangabott on 3. Januar 2012 at 23:23 said:

    hallo,
    zum 4.male habe ich nun den DE Cleaner laufen lassen.
    Es werden immer 13 Dateien Schadsoftware gefunden.
    habe wie vorgegeben alle gelöscht.

    Es heißt aber 0 dateien gelöscht.

    dann neustart. statt wie im autostart vorgesehen, firefox und thunderbird zu laden, installierte sich 2 mal internet explorer, und die “bundespolizei” war wieder da. wechseln konnte ich nicht zu firefox und thunderbird.
    “sind in betrieb, erst abmelden oder pc neu starten” heißt es.
    Auch kann ich die lizensierte avira antivir software nicht starten.
    den task manager kann ich auch nicht starten.

    was kann ich als laie sonst noch tun?

    grüße

    mangabott

  101. Pingback: So entfernen Sie den Ukash-Trojaner (BKA-Trojaner) - Virus Hilfe

  102. mangabott on 7. Januar 2012 at 08:13 said:

    nun habe ich schon 7 mal den DE cleaner laufen lassen, es erscheinen nach wie vor in der inbox von thunderbird die 13 Schadsoftware. diese Dateien können aber wohl nicht gelöscht werden.
    Mittlerweile erscheint die BKA Seite nicht mehr, weil ich direkt nach dem Start mit Strg, Alt und Ent mehrfach den PC neu gestartet habe. (War ein Tip eines Bekannten)
    Nur an mein Mailfach Thunderbird komme ich nicht ran, weil es heißt, Thunderbird ist in Nutzung, PC neu starten usw.
    Wer hat hier eine Idee??

    Grüße

    Mangabott

  103. Organics on 9. Januar 2012 at 11:02 said:

    Super Erklärung so hätte ich sie auch gerne bei dem 1.03 Trojaner weil nach der Anleitung wo zwar alles so geklappt hat wie beschrieben ist die Sau also der Trojaner noch drauf!hat mir leider nichts gebracht!danke trotzdem für die Super Anleitung!

  104. Krueger on 9. Januar 2012 at 15:04 said:

    Habe das Avira-Programm auf einen USB-Stick geladen und dann die Vollsystemprüfung laufen lassen. Beim 15 Mal !! hat es mit dem Trojaner-Fund geklappt – nach ca. 6 Stunden Scan. Der Schädling wurde vom Programm auch gesäübert.
    Allerdings zeigt das Fenster die RUNDLL-Fehlermeldung Fehler beim Laden von C:\Dokume-1\Lenovo\LOkale1\Temp\wpbt0.dll an und der Cursor lässt sich nicht mehr exakt steuern (Info: Ich hatte mehrere Scans im abgesicherten Modus laufen. Dort wurde vorab bemerkt, dass möglicherweise diverse Anwendungen wie z.B. die Mausfunktion nicht funktionieren würden.)
    Fragen: Gerne hätte ich Tipps und Informationen darüber, was der Fehler ist und wie dieser korregiert werden kann. Danke und viel Glück denjenigen, die noch mit dem Schädling kämpfen…

  105. Wagner on 14. Januar 2012 at 20:50 said:

    hilfe erbeten ! auch mein lap-top ist betroffen,habe versucht mit antivir programm lt.anweisung(siehe oben) über stick und cd in meinen lap-top programm zu kommen.leider tut sich überhaupt nichts.wer kann mir helfen ?

    • Hallo Wagner,
      schau mal bitte auf die Seite http://www.bka-trojaner.de, suche deine Infektion und arbeite die Anleitung ab.
      Wenn du Probleme hast, kannst du dich kostenfrei im forum.botfrei.de anmelden, dort werden Experten bei der Behebung helfen.

      Gruß ABBZ

  106. Wagner on 16. Januar 2012 at 21:07 said:

    HalloTB
    vielen Dank für Deine Nachricht!
    Ich habe es geschafft den Trojaner zu Löschen,hatt etwas gedauert,bin erleichtert alles wieder supi :-)
    Habe mir jetzt Microsoft Security Essential runter geladen,das ist super,findet alles und Blockiert die Vieren,meine Freundin hat das schon lange!
    Habe mich Angemeldet bei http://www.bka-trojaner.de,
    Vielen Dank für deine Hilfe!!
    Gisi

  107. Nike on 18. Januar 2012 at 14:34 said:

    Hab mich angemeldet und gestern doch noch geschafft, BKa Ver.2.0 Xp loszuwerden.
    Am oberen Rand der Zahlungsaufforderung Ctrl Alt Del drücken, ist meist noch erfolgreich. Prozesse überprüfen. Mir fiel ein ellenlanger Prozess auf, der nur aus Zahlen bestand: 0.47358785246361756.exe, das Beenden war allerdings völlig unmöglich. Also auf anderem Adminkonto schwarzes Dosfenster auf, mit tasklist die Prozesse auflisten, da taucht er auf und taskkill/F /IM Trojanername.exe
    Neustart und freien Desktop geniessen! Danach hab ich mein AVG deinstalliert, weil ich den Eindruck habe, da hat sich was eingenistet, hab jetzt Avira. Alle tmp. temp und Mülleimer leermachen! Danach hab ich alles an Virenscannern was ich habe darübergejagt. Nichts gebracht haben: Avira DE Cleaner, Kaspersky Secure10 und Kaspersky Virus removal Tool, erst eine aktuelle Malwarebytes hat 3 Datein und Einträge an s Licht gebracht. Das Ding heißt Trojan.RansomP.Gen, der Eintrag in der Registry heißt bei mir nicht jashla sondern vasia. Und nochmal getestet, ich hoffe jetzt herrscht Ruhe. Malwarebytes werd ich in Zukunft jeden Tag nutzen, das hat mir echt den A**** gerettet. Wurde in mehreren Zuschriften hier auch empfohlen, schließe mich an. Alles Gute, Nike

  108. Nike on 18. Januar 2012 at 14:48 said:

    Nike nochmal. Sorry hab mich verschrieben,meinte natürlich nicht Neustart sondern Zurückanmelden auf das befallene Konto und da weitermachen, bei Neustart wär der ganze Dreck wieder da…..:-(

  109. Anni Schöbel on 18. Januar 2012 at 16:12 said:

    Hallo, vielen Dank für eure Tipps.
    Leider hat bei mir vieles anfangs nicht funktioniert. Alles probiert, alles gemacht. Irgendwann fand ich dann doch noch die mahmud.exe… was tun? Natürlich gelöscht. Jetzt ist alles weg. Aber mein Laptop ist nun ziemlich langsam und Firefox öffnet sich auch nicht mehr.
    Kann mir bitte jemand helfen? Ich weiß nicht weiter. Ich ärgere mich seit 2 Tagen mit dem blödem Trojaner rum :(

  110. Thekla on 19. Januar 2012 at 11:41 said:

    Taag zusammen…

    ich hab mal noch ne Frage, habe seit gestern der “BKA Trojaner” auf meinem Netbook. Habe den Avira Cleaner 8 stunden drüber laufen lassen mit der Info: keine Schadsoftware gefunden!!!!
    Und nun? hat jemand nen Tipp?
    Achso, bin ja echt technikaffin, aber 80% der Anleitungen sind echt nix für “normale!” User.;). also freue mich über verständliche Hilfe!!

    Viele Grüße
    Thekla

  111. Hey very cool site!! Man .. Beautiful .. Superb .. I’ll bookmark your web site and take the feeds additionally?I am glad to find so many useful information right here in the put up, we want develop extra strategies in this regard, thank you for sharing. . . . . .

  112. Hallo zusammen,

    ich hatte diesen BKA-Trojaner auch eingefangen und möchte Feedback geben und mir auch Hilfe einholen.
    Habe Windows 7 und mein Bildschirm war lahmgelegt durch den Trojaner, so dass ich den Task Manager auch nicht aufrufen konnte.

    Habe die Anweisungen dieses Threats befolgt, mit einem Avira De-Cleaner ca. 10 Stunden laufen lassen, hat dann allerdings nichts gebracht.
    In einem anderen Threat von Botfrei las ich, dass man

    1. Mindestens zwei weitere Anti-Viren-Programme auf dem Rechner drauf haben sollte. Eines habe ich schon drauf gehabt (Avira Free Antivirus), was mir auch absolut nichts gebracht hat.
    Also habe ich mir kostenfrei AVG 2012 und Malwarebytes Anti-Malware runtergeladen über das Administrator-Konto.

    2. Der Trojaner braucht etwas Zeit bis er den Bildschirm lahmlegt.
    So hat man doch Zeit den Taskmanager aufzurufen. Habe es nach der Anmeldung mit STRG + ALT + Entf Methode probiert und es klappte. Ich konnte über den Taskmanager den Virus stoppen und zum anderen hat das Antivirprogramm von AVG den Virus innerhalb Sekunden erkannt und unter Quarantäne gestellt, so dass ich ihn später mit Malware bytes entfernt habe.

    Wie soll ich denn jetzt am besten weiter vorgehen? Was stellt denn sicher, dass ich jetzt keinen Virus habe? Blöde Frage aber mich irritieren die Antivirenprogramme sehr.
    Beim zweiten Durchlauf hat Malware nichts, AVG viele und Avira auch nichts entdeckt.

    Danke schon mal und Grüße!

  113. Johan on 30. Januar 2012 at 20:40 said:

    Dass hatt super funktioniert ! Danke !

  114. Hans-Georg B. on 10. Februar 2012 at 11:17 said:

    Hallo,
    Danke! Der Trojaner ist weg. Große Klasse.
    Gruß Hans-Georg

  115. wandtattoo king on 14. Februar 2012 at 16:44 said:

    Ich hatte heute auch die Nachfolgerversion des BKA Virus. Antivir hat ihn nicht entdecht.
    Das ist schon mein zweiter diesen Monat, zuvor war das der GEMA Virus.
    Diesmal war das einer der mit vorgaukelte ich hätte illigale Software von Microsoft auf dem PC.
    Zum Glück ging es den PC im abgesichrem Modus zu starten (ohne dass der Virus startete, bei GEMA-Virus ging es nicht) . Dann habe ich einfach mit der Suchfunktion (XP) mir alle ausführbaren Dateien *.exe (Stern steht für irgendeinen Namen der Datei) auf der Festplatte suchen und anzeigen lassen.
    Zuvor muss in der Ordneransicht “versteckte Dateien anzeigen ” aktiviert werden.
    Dann die liste der *.exe Dateien nach Datum sortiert und VOILA die heutige neueste detei in der liste heisst 0.61985264854 und liegt in dem Temp Ordner.
    Namen kopieren in der Registry suchen und Löschen. Die Datei (Virus ) natürlich auch Löschen.
    Habe noch extra zur Prüfung Antivir Virus-Datenbank erneuert und die gefundene Datei geprüft, hat nichts gefunden. Das war aber defenitiv der Virus.
    z.Z. geht Windows noch aber am besten danach Windows neu aufsetzen.

    Gruß

    • Sony_2 on 16. Februar 2012 at 16:50 said:

      Auch ich wurde von einer neuen Version befallen. Die neue Version taeuscht vor, Lizenzverstoesse zu ermahnen.
      Danke diesem Forum habe ich das auch enfernen koennen. Dickes Lob an die Gemeinschaft!

      Zur Info: Ich habe Vista premium home, und man kommt in der abgesicherten Modus mit F2 (nicht F8). Ich habe die regedit Loesung gewaehlt, wo man direkt den Virus aus der run directory raus loescht. Er heisst anders, jas… irgendwas. Leider habe ich mir den Namen und den Pfad nicht notiert, vor lauter Freude habe ich sofort geloescht. Nun muss ich noch die malware installieren und den Rest finden und loeschen.
      Uebrigens hat der Virus meine Avira disable, ich kann sie starten, aber sie stoppt gleich. Ich muss sie wohl neu installieren.

      Gruss

  116. Hi,
    ich hatte vor kurzem ebenfalls den sogenannten ukash-trojaner auf meinem neuen laptop. habe mit dem alten laptop, den ich noch rumstehen hatte, im internet nach lösungsmöglichkeiten gesucht, von denen leider keine bei mir funktioniert hat.
    Der Trick mit der Eingabeaufforderung ging nicht, weil diese shell-datei bereits explorer.exe hieß und sich somit nicht zurückverfolgen ließ.
    Daraufhin habe ich mir 2 rescue-cds auf meinen stick geladen und den Laptop vom Stick aus gebootet. Habe erst eine von kasperky und dann eine von avira ausprobiert. Habe die Anleitung befolgt, aber auch nach dem die cds durchgelaufen sind, konnte ich immer noch nicht auf meinen laptop zugreifen.
    Nach weiteren erfolglosen Versuchen habe ich ihn dann für ne gute Woche in die Ecke gestellt. Als ich den laptop dann die Tage wieder hochfahren wollte, ging er auf einmal wieder ganz normal. habe sofort den antivir de-cleaner rüberlaufen lassen und er hat auch ein paar Sachen gefunden und gelöscht. Mir ist allerdings immernoch ein wenig mulmig, z.B. wenn ich onlinebanking mache.
    Wie werde ich das Teil mit Sicherheit los?
    Danke
    Grüße
    MAx

  117. sony_2 on 19. Februar 2012 at 13:49 said:

    Jetzt habe ich endlich alles gesäubert (hoffentlich) und möchte hier meine Erfahrungen und Vorgehen zusammenfassen:
    Zur info: Habe Windows Vista HOME PREMIUM:
    Um in den abgesicherten Modus zu gelangen, habe ich wie folgt gemacht:
    1. Waehrend des Hochfahrens nach dem Einschalten F2(setup) drücken.
    2. Danach mit ESC, dann EXIT ohne Speicherung wählen, dann F8 drücken.
    (F8 gleich am Anfang hat bei mir nicht funktioniert)

    Danach wie hier beschrieben, explorer.exe in der command prompt eingeben.
    Dann taskmanager (ctrl+alt+del) aufrufen, dann task ausführen: regedit. usw.

    Das ist hier sehr gut beschrieben (habe von Eurem forum)
    1. Über abgesicherten Modus mit Eingabeaufforderung starten
    2. In die Kommandozeile “explorer.exe” eingeben ohne die ”
    3. Datenträger C auswählen
    4. Organisieren -> Ordner- und Suchoptionen -> Ansicht -> Versteckte Dateien und Ordner -> Ausgeblendete Dateien, Ordner udn Laufwerke anzeigen -> Übernehmen -> Ok
    5. C -> Benutzer -> Benutzername -> AppData -> Roaming
    6. mahmud.exe, adfshare34.exe, rdiut6i6d.exe, 54uhjseiu6rtjut.exe oder ähnlich gehören da nicht hin. Meine waren z.B. 304 Kb große Anwendungsdateien.
    7. Nochmal zur Kommandozeile und “regedit” eingeben. Wieder ohne ”
    8. HKEY_CURRENT_USER -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon
    9. Hier die “Shell” auswählen, “Rechtsklick” und “Ändern” drücken
    9. Den Wert dort in “Explorer.exe” ändern ohne ”
    10. Zurück zur Kommandozeile und dort “shutdown -r -t 00″ eingeben, dann wird der PC neugestartet.
    11. Jetzt sollte es zumindest wieder gehen, aber zur SIcherheit nochmal ein anständiges Antivirenprogramm nochmal drüberlaufen lassen

    Bemerkung:
    malwarebytes hat den Virus nicht gefunden. Man muss malwarebytes in abgesicherten modus laufen lassen, somst haengt er.
    Letztlich hat AVIRA DE cleaner den Virus gefunden in:
    \Users\xxxx\AppData\Locallow\Sun\Java\Deployment\cache\….
    Avira DE cleaner läuft aber nicht in abgesicherten Modus!

    Danke an Euch allen! ich finde es sehr gut daß wir uns helfen mit Informationen und Erfahrungen.

  118. Sebastian on 20. Februar 2012 at 10:58 said:

    Hallo, sehr guter Betrag. Habe lange gesucht um ein paar richtige Infos zu bekommen. Hier auf dem Blog komme ich demnächst öfters vorbei.

  119. klappt das alles auch ohne usb stick also wenn man den cleaner einfach vom computer aus startet?

    • Kann funktionieren, muss aber nicht! Daher bitte ich Dich darum Dich in unserem kostenfreien Support-Forum unter: http://forum.botfrei.de zu registrieren und eine entsprechende Anfrage unter “Hilfe” –> “Windows Systeme” einzustellen. Dort können wir individuell auf Dich & Deinen Rechner eingehen!

      Grüße,
      TK, ABBZ

  120. Sony_2 on 23. Februar 2012 at 11:21 said:

    Eine Bitte an das Support Team,

    kann es moeglich gemacht werden, dass man eine kurze Mitteilung bekommt, wenn jemand auf seinen Beitrag oder sein Thread in support-forum antwortet/kommentiert?

    Damit koennte man Ruekfragen/Kommentare an fruehere Beitragsverfasser richten. Viele sind leider nur fuer kurze Zeit dabei, bis ihre Fehler behoben sind. Aber ihr Wissen ist uns allen wichtig.

    Ich selber habe Problem mein eigenes Thread zu verfolgen. Das geht nur mit “search” und wenn ich weiss, nach welchem Kennwort.

    Danke!

    PS: Kann nicht genuegend wiederholen, dass dieser Forum ein Gold-Wert ist!

    • Hallo Sony_2,

      Du kannst ein Thema abonnieren und wirst dann bei neuen Beiträgen benachrichtigt. Die entsprechende Option findest Du in der obersten Zeile eines Themas unter “Themen-Optionen”->”Thema abonnieren….”

      Grüße,
      CS, ABBZ

  121. Noah Raissi on 27. Februar 2012 at 20:38 said:

    Also nochmal für alle… Ich habe 2 Accounts gehabt mit Administratoren Rechten. Daher würde ich allen empfehlen auch 2 acc. zu machen mit Admin Rechten. Also wenn man nun egal vom welchen Virus befallen, der ist nur auf einem Benutzeraccount, da es sozusagen eine Eigene Partiton erstellt wurde mit jedem einzelnen Benutzer. Also wenn ein Account befallen ist, einfach den Computer erst ausschalten indem man den Power Schalter hält. Danach wieder neu starten und den anderen Account wählen, dort habt ihr Internet Verbindung als auch keinen Befall. Nachdem ihr den Account gestartet habt, habt ihr 2 Möglichkeiten, einmal die von Oben mit dem Antivirusprogramm, da ihr jetzt ja Internet habt, oder eine einfachere Methode ohne Internet ist eine Systemwiederherstellung, welche ich auchg durchgeführt habe. Dazu gibt ihr unten beim Startzeichen vom Windows “Systemwiederherstellung” ein und drückt Enter. Danach sollte sich ein Fenster öffnen, dort klickt ihr auf “Systemwiederherstellung”, danach sollte sich wieder ein Fenster öffnen, wo ihr dann etwa den Zeitpunkt auswählt vor dem Befall, bei den angegeben Zeitpunkten handelt sich um Zeitpunkte, wo Software oder Updates Installiert werden, oder man selber eine Sicherung erstellt. Dann einfach einen Zeitpunkt auswählen und danach das System wiederherstellen. Danach neu startet der Pc und es funktioniert alles wieder einwandfrei bis zu diesem Zeitpunkt.

    Ich hoffe ich habe damit einigen weitergeholfen.

    Zudem finde ich es witzig, dass ich als 13 Jähriger sogar schlauer bin als eine Website :D Scherz :D

  122. nour on 5. März 2012 at 16:28 said:

    hallo,
    Ich hab alles wie folgt gemacht…. mit dem Virenscanner.
    aber leider in der letzte schritt ich komme nicht weiter,ich hab avira cleaner gestartet,und die Meldung bestätigt,aber mein laptob hat danach nicht reagirt ich weiss nicht woran es legt,koenten sie mir vielleicht helfen.
    danke

  123. nour on 6. März 2012 at 01:46 said:

    hallo,
    ich habe die anleitung ausgeführt,aber leider beim scannen wurde nichts gefunden.danach ich habe es mein laptob normal hochgefahren,aber leider mein pc ist immer noch gespert,und jetzt ich bin hilfflos konnten sie mir vielleicht weiter hilfen.
    danke

  124. janosch on 6. März 2012 at 14:48 said:

    Hallo…,
    habe alles so gemacht wie in der Anleitung. Der Virus wurde gefunden – ich habe die Löschung bestätigt. Der Notebook sollte wieder “neugestartet” werden u. jetzt verlangt er den Produkt-Key um überhaupt mit Windows weiter arbeiten zu können u. ich kann den Aufkleber mit den Schüssel nicht mehr entziffern…
    Was nun?? Bitte um HILFE!! Danke!

  125. Rene on 6. März 2012 at 15:16 said:

    Hallo,
    ich habe mir auch den UKASH – Trojaner (BKA- Trojaner) eingefangen.
    Bin aber an dem Versuch ihn zu löschen gescheitert. Ich habe die Anleitung 1.0 und Anleitung 2.0 durchgeführt. Es hat aber nichts gebracht. Deshalb bin ich der Vermutung, das es eine neue Version des Trojaners gibt. Allein schon die Oberfläche schaut bei mir ganz anders aus. z.B. ist rechts oben ein Beamter abgebildet.
    Ich hab auch ein Bild von der Oberfläche gemacht.
    Ich hoffe mir kann einer Helfen.
    Mfg Rene

  126. stupor mundi on 13. März 2012 at 16:10 said:

    hallo
    ich hatte den bka virus auch, im autostart. habe gelöscht. malwarebytes und DE Cleaner Kaspersky drüberlaufen lassen. dann alles gelöscht. dann registry nachgeschaut. Shell/run alle ok. explorer.exe ist auch ok. keine auffälligen prozesse.
    ist er jetzt weg oder? muss ich am ende dennoch neuinstallieren?
    Online Banking ist noch risiko oder?
    grüüs
    Stupor

    • Hallo stupor mundi,

      interessant wäre es zu wissen welche Infektionen von Malwarebytes entfernt wurden. Ich würde dich bitte dazu ein neues Thema in unserem Forum unter http://forum.botfrei.de zu erstellen. Dann schauen wir auch detaillierter nach, ob noch Reste auf deinem System vorhanden sind.

      MG ABBZ

  127. pascal on 15. März 2012 at 14:23 said:

    schaffe den schritt mit “auf usb stick kopieren” nicht, avira findet meinen usb stick nicht

  128. Thomas on 15. März 2012 at 22:00 said:

    Um sich vor dem Virus zu schützen, sollte man die neueste Version von Java
    runterladen und auf dem Rechner installieren. Ich weiß auch nicht genau warum
    aber es funktioniert.

    Gruß Thomas

    • Man sollte generell das System up2date halten, und auch einen Script-Blocker, wie NoScript einsetzen!

      Grüße,
      TK, ABBZ

  129. wuschel on 23. März 2012 at 17:06 said:

    Was bin ich froh, dass ich das Drama hinter mir habe. Bei mir wars aber nich so kompliziert wie hier. Ich bin im abgesicherten Modus mit Malwarebytes drüber, hatte da nen Trojaner gefunden…sorry, weiss den Namen nimmer….hab den gelöscht, hab AntiVir von der Festplatte gelöscht und hab mir dann im Internet ( da kam ich dann nämlich wieder rein ) nen anderen kostenlosen Virenscanner und noch ne zusätzliche Firewall runtergeladen. Ich denk mal, die Namen bzw. Websites darf ich hier nich nennen, daher lass ich es lieber auch :-)
    Ich hatte es erst nur bei mir auf dem Rechner drauf. Nachdem aber eins meiner Kinder Tage später den gleichen Kram drauf hatte, hab ich bei beiden das gleiche wie mit meinem Rechner gemacht. Seit ich das beides drauf hab, haben weder meine Kinder noch ich Probleme damit bekommen.

    Grüßle
    Anke

  130. Es geht auch anders: Ruhezustand einleiten (wenn man eine solche Taste zur verfügung hat)Computer wieder anmachen. Nun erscheint die Meldung das der betriebszustand nicht wiederhergestellt werden kann. Auf Wiederherstellung löschen und neustarten drücken. Jetzt hat man den Trojaner nicht mehr vor den Augen.Nun kann ihn wie beschrieben löschen ohne in den Abgesicherten modus zu gehen.

  131. Warum geht der Trojaner eigendlich nur über internet explorer? Ich hab den explorer gelöscht und keine weiteren Probleme gehabt.

  132. Ochi on 30. März 2012 at 16:26 said:

    Hi

    vielen dank für die hilfe, ich habe die anweisungen gemacht und bin sehr zu frieden mir wurde echt viel damit geholfen…

    mfg

  133. A.R. on 30. März 2012 at 16:42 said:

    Hallo,

    Ich lasse momentan eure De Cleaner über meinen verseuchten Rechner laufen, jedoch handelt es sich bei mir dabei nicht um den BKA Trojaner, sondern einem sehr ähnlichen, der auch die Farben der deutschen Flagge oben im Fenster über das gesamte Fenster gestreckt hat. Es sieht quasi genauso aus wie auf Ihrem Screenshot, aber die Meldung ist nicht vom BKA sondern besagt, dass mein Rechner ja schwerwiegend verseucht wäre, daher mein System blockiert worden wäre um weitere Schäden zu verhindern, und ich kostenpflichtiges Update machen müsste, was mich 50 Euro kosten würde. Dieses Update wäre dann ebenfalls wie beim BKA Trojaner mit diesem UKASH zu machen.

    Meine Frage ist nun also: Lässt sich dieser Trojaner auch mit dem DE Cleaner entfernen? Denn im Grunde sind sich beide ja sehr ähnlich, beide blockieren das System und machen den Zugriff auf den Rechner unmöglich, lediglich der Inhalt des Fensters ist unterschiedlich.

    Danke im voraus und schöne Grüße,
    A.R.

    • Das ist eine gute Frage, die wir so – ohne weitere Info’s – nicht beantworten können! Bitte melde Dich bei uns im Support-Forum unter: http://forum.botfrei.de! Wir helfen Dir dort gerne kostenfrei & effektiv weiter!

      Grüße,
      TK, ABBZ

  134. Nighty on 2. April 2012 at 08:33 said:

    Hallo zusammen,
    der De cleaner ist schon einmal ein guter Ansatz.
    leider ist es so, das in der reg auf jeden Fall noch manuell Daten gelöscht werden müssen.
    Dazu komme ich später noch.
    Ich habe die Erfahrung gemacht,das sich Trojaner,Vieren und und und in der vorhandenen Sicherheitssoftware verstecken.
    Die muss zuerst runter.
    Außerdem sollter der vorhandene Browser gelöscht werden zb, “Mozilla”
    Das solltet ihr noch vor der Ausführung des De-cleaner machen.
    Nach dem löschen der beiden Dateien bitte den cc cleaner über das System laufen lassen.Das sollte man im übrigen immer nach dem löschen einer Datei machen !!! wichtig!!
    Dann den de- cleaner einsetzen.
    Im Anschluss noch das Programm http://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/.
    Jetzt sollte es den Anschein machen als sei alles wieder ok.
    Als letzte Sicherheit im Eingabefeld das eingeben “regedit” dort noch unter Software nach Einträge der letzen gelöschten Programme”Browser,Sicherheitssoftware” suchen.
    Die bitte löschen und nicht den cc cleaner vergessen.
    Sicherheitssoftware wieder drauf durchlaufen lassen,freuen weil fertig :-)

  135. Andreas on 19. April 2012 at 08:56 said:

    Hatte die 2.0 Version drauf gehabt aber anscheinend hat diese sich wieder mutiert. Kam weder im abgesicherten Modus noch sonst wo drauf blieb mir nix anderes über als den Kompletten PC abzubauen 43 euro zu latzen beim Computerhändler um die Ecke der hat den Trojaner mit einem anderen PC gekillt.

  136. Djérune on 4. Mai 2012 at 14:25 said:

    hey hey ich bin auch gerade am rumprobieren wie ich dieses verdammte ding von meinem pc bekomme aber ich verzweifle hier im moment darum bitte ich auch im moment weder auf meine rechtschreibung zu achten noch auf die zeichensetzung :-P
    ich habe über eine andere website einige dinge erfahren die helfen sollen das problm ist naja ich bin eigentlich nur der härte zocker soll heissen spiele spielen kein problem aber dann sowas mit der registry , da werd ich n bissl schwach da ich nix löschen will etc…aber nun zu meinem problem ich soll diesen pfad verfolgen in der registry :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    -gesagt getan problem ist nur in der shell datei(schlüssel) steht bereits explorer.exe obwohl eigentlich jashla.exe oder mahmud.exe (wert) stehen sollte
    nun soll ich die “explorer.exe” ersetzen und zwar so wie hier http://kunden.pp4it.de/bka-entfernung.php bei P02 erklärt wird aber ich verstehe diesen punkt nicht soll ich nun einen stick benutzen oder funktioniert dies auch anders und wenn ja wie soll ich es mit einem usb stick machen einfach von einem anderen pc den schlüssel + wert aufspielen und dann einfügen oder nur den stick anstecken diesen dann über seinen buchstaben ausführen oder wie ??? ich hoffe auf ihr/euer verständnis auch wenn dieser text sehr wirr klingt ergab er in meinem zermarterten hirn einen sinn…denke ich hoffe auf eine baldige antwort. danke im vorraus
    LG
    -LPH-Djérune

  137. Buratz on 19. Mai 2012 at 09:21 said:

    Hallo habe mir gestern auch den BKA-Trojaner eingefangen. Ich kann aber den PC, auf dem mehrere User eingerichtet sind, unter einem anderen User starten und nutzen. Was muss ich tun, um den betroffenen “User” wieder zum laufen zu bekommen ?
    Danke

    Buratz

  138. Laura on 9. Juni 2012 at 13:14 said:

    Hallo,
    ich habe mir diesen Virus ebenfalls eingefangen. Habe ihn auch schon beseitigt, allerdings sind nun alle meine privaten Dateien verschlüsselt und ich kann sie nicht mehr öffnen.
    Leider habe ich noch keinen sachdienlichen Hinweis finden können, der mir meine Dateien wieder beschafft.
    Kann mir vielleicht einer von euch helfen????
    Liebe Grüße

  139. Sabri on 15. Juni 2012 at 15:04 said:

    Hallo,
    ist der USB-Stick dann auch mit dem Virus befallen, wenn man über ihn den Avira-Cleaner auf den befallenen Laptop übertragen hat? Sollte man vermeiden, ihn wiederzubenutzen, bzw. an einen anderen sauberen PC anzuschließen, um beispielsweise weitere Cleaner herunterzuladen?
    Vielen Dank!

  140. Ben on 16. Juni 2012 at 10:30 said:

    Hi Leute,
    Ich habe den BKA-Trojaner jetzt seit 2 Tagen, aber ich habe folgendes Problem:
    Bei mir gibt es keine .exe mit den oben aufgeführten Namen und sobald ich versuche im Taskmanager etwas länger zu bleiben um nach der richtigen .exe zu suchen minimiert er sich automatisch und ich kann ihn nicht mehr öffnen bis die BKA Meldung kommt hat da jemand eine Idee.
    Bisher hat der DE Cleaner auch nichts gefunden und bei Shell steht schon Explorer.exe.

    Über eine Antwort würde ich mich freuen
    Ben

    • Hallo,

      sollte das Problem noch bestehen, helfen wir Ihnen diesbezüglich gerne weiter!

      Registrieren Sie sich hierzu bitte in unserem Support-Forum auf forum.botfrei.de und erstellen Sie ein Thema unter “Hilfe” –> “Windows”!

      Unsere Experten werden sich darum kümmern.

      CG, ABBZ

  141. Marcel on 19. Juni 2012 at 19:49 said:

    Ich habe nun im Abgesicherten Modus um eine Woche eine Systemwiederherstellung durchgeführt und dann Avira durchlaufen lassen. Er fand auch einiges, habe diese “Dateien” gelöscht. Reicht das aus?
    Vielen Dank

    • Hallo Marcel,

      unsere Experten im Support-Forum helfen Ihnen diesbezüglich gerne weiter und können sich den Rechner mal anschauen!

      Registrieren Sie sich hierzu bitte in unserem Support-Forum auf forum.botfrei.de und erstellen Sie ein Thema unter “Hilfe” –> “Windows”!

      CG, ABBZ

  142. Andreas on 4. Juli 2012 at 19:25 said:

    Bringe hier meinen Eintrag aus dem Forum von heute 10.28 Uhr (andreas-m), da offenbar so viel los ist gerade mit Viren und Trojanern, dass die Moderatoren wahrscheinlich gar nicht mehr hinterher kommen.

    Trotzdem auch hier Bitte um einen Rat:
    Habe mir gestern auf einem Notebook, Windows XP, den BKA-Trojaner eingefangen. Schaut fast so aus wie die Version 1.02 auf bka-trojaner.de, bzw. noch eher wie die Version hier auf chip.de (nur ist oben quer rüber schwarz-rot-gold in Streifen):

    http://www.chip.de//ii/grossbild_v2….%28%7DDownload

    Habe über den abgesicherten Modus mit Eingabefunktion den Avira-DE-Cleaner drüber laufen lassen: kein Erfolg. Dann auch die Superantispyware: nix (hat wohl 3 Sachen erkannt, aber beim Hochfahren war das Trojanerbild wieder da).

    Schließlich habe ich es über die Anleitung mit der Suche nach explorer.exe versucht, bei mir wurde nur eine Datei gemeldet (im richtigen Umfang), aber keine für cache\dll (… oder wie das heißt). Gemäß Eurer Anleitung habe ich dann den Systempunkt vom Tag vorher gewählt – ERFOLGREICH!

    Habe dann vorhin malwarebytes drüber laufen lassen: keine Meldung. Beim Kaspersky-Removal-Tool kam dann aber eine Meldung, er fand ein “Trojanisches Programm: Trojan.win32.Buzus.ltxv”. Die Datei gab er so an: C:\Dokumente und Einstellungen\winni\Lokale Einstellungen\Temp\roper0dun.exe
    Habe es reparieren lassen (den Ordner fand ich über den Arbeitsplatz nicht; temporärer Ordner?).

    Was muss ich jetzt noch tun? Denn da ist doch sicher noch irgendein Mist auf dem PC drauf? Danke Euch für eine Antwort.

    Antivirenprogramm normalerweise: McAfee Virus Scan Enterprise 8.7.0i, Virenschutz und Firewall wurden mit McAfee-Scan-Tool positiv bzw. intakt gemeldet.:

  143. Heribert32 on 12. Juli 2012 at 17:58 said:

    Bin seit heute früh “stolzer Besitzer” des BKA-Trojaners. Die Anleitungen zum Beseitigen des Problems sind allesamt sehr verständlich verfasst, und ich würde es wohl auch schaffen, wenn…

    Tja, wenn ich nicht einen Bluescreen bekommen würde, sobald ich Windows XP im abgesicherten Modus mit Eingabeaufforderung starten würde!

    *** STOP: 0x0000007B (0xF789E528,0xC0000034,0×00000000,ox00000000)

    Auch die anderen abgesicherten Modi klappen nicht, immer die gleiche Meldung. Da XP bis heute früh immer einwandfrei funktioniert hat, kann ich mir nur vorstellen, dass der Virus da was ruiniert hat.

    Wer weiß Rat?

    • Hallo Heribert32,

      Na, dass hört sich mal nicht gut an…
      Um uns ein Bild deines Rechners zu machen, würde ich dich bitten dich in unserem kostenfreien forum.botfrei.de anzumelden, damit Experten bei der Lösung helfen können.

      Gruß ABBZ

  144. Susanne Jupe on 23. Juli 2012 at 17:55 said:

    Hallo,

    seit gestern habe ich den BKA Trojaner ebenfalls auf meinem Laptop und kann gar nichts mehr damit machen. Es öffnet sich sofort großflächig das Fenster mit dem Fähnchen oben drin und nichts geht mehr. Auch finde ich dieses Bild nicht hier in den Anleitungen; das ist sehr schade. Habe aber ein Bild davon gemacht und würde es euch gerne mit dem Handy per Mail zusenden. Vielleicht könnt ihr mir dann helfen. Ist das möglich?

    Nette Grüße Susanne

  145. christof boensch on 5. August 2012 at 18:51 said:

    ich habe mir was von der Bundespolizei eingefangen Amt für Informatik..UKcash 100 € und so. Habe den Avira DE CLeaner laufen lassen aber erfindet keine schadhaften Datein. Könnt Ihr mir weiter helfen??

    • Hallo christof,

      für eine individuelle Bereinigung kannst du dich kostenlos in unserem Support-Forum anmelden. Unsere Experten helfen dir “Schritt-für-Schritt” bei der Bereinigung deines Rechners und bei weiteren Fragen diesbezüglich.

      Grüße,
      CG (ABBZ)

  146. Hallo Ja ich habe auch diesen Trojana und ich kann nicht mal den virus schliessen was soll ich den machen bitte helfen sie mir

  147. Chriss on 17. März 2013 at 14:47 said:

    Hallo ich hatte gestern beim surfen auch auf einmal die meldung vom BKA und mein Rechner wird gestoppt und gesperrt.
    Nix ging mehr und hatte echt Panic was jetzt passiert, obwohl ich mir keiner Schuld bewusst war. OK ich habe gewisse seiten wahlos im Internet angeschaut aber das waren in meinen Augen keine Verbotene seiten.

    Ich habe mit meinem Handy einpaar Fotos von der Nachricht des BKA geschoßen und dann den Rechner ausgemacht.

    Rechner neu gestartet und alles ging ganz normal wie immer, nix von einer Sperrung zu merken. Doch habe ich zur Sicherheit den vorgang mit Avira Defender (USB Stick ) und auch Online Scans gestartet, allerdings wurde nix gefunden :-(

    Was hat das jetzt zu bedeuten???
    Bin ich verseucht mit einem Trojaner?
    Werde ich erst noch gesperrt? bei mir stand etwas von 7 Tage.

    Würde mich sehr freuen wen mir jemand helfen könnte, da ich verunsichert bin..hilfe!

    Gruß Chriss

    • Hallo Chriss,

      evtl. hat dein Livescanner den Trojaner schon entfernt. Du solltest aber den Rechner noch mal mit dem kostenfreien Malwarebytes nach unserer Anleitung im Vollscan überprüfen. Anschließend noch den Onlinescanner von ESET um eine weitere Meinung zu bekommen. Sollte alles gut sein, lese folgenden Artikel, wie du nachhaltig deinen Rechner vor Infizierungen schützen kannst.

      Grüße,
      TB, ABBZ

  148. ich hatte den bka virus auch, im autostart. habe gelöscht. malwarebytes und DE Cleaner Kaspersky drüberlaufen lassen. dann alles gelöscht. dann registry nachgeschaut. Shell/run alle ok. explorer.exe ist auch ok. keine auffälligen prozesse.
    ist er jetzt weg oder? muss ich am ende dennoch neuinstallieren?
    Online Banking ist noch risiko oder?

    • Hallo ucuzukash.net,

      wenn du Gewissheit haben möchtest, kannst du dich gerne mal bei uns im Forum melden. Die Experten dort machen sich ein Bild deines Rechners und helfen bei auftretenden Problemen.

      Grüße,
      TB, ABBZ

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Post Navigation