Autostarteinträge unter Windows XP mit Hilfe von “msconfig” entfernen

autostart-icon

Viele Schadprogramme nisten sich im Autostart von Windows ein und werden bei jedem Neustart mitgeladen. So zum Beispiel auch einige Versionen des BKA-Trojaners, die mit dieser Möglichkeit die Vorschaltseite beim Windows-Start einblenden und somit die Eingaben des Anwenders blockieren.

Wir zeigen Ihnen hier, wie Sie mit Hilfe des Programms “Microsoft Systemkonfiguration” die lästigen Einträge aus dem Autostart entfernen können und den Start dieser Programme verhindern:

1.) Starten Sie den Rechner neu und booten Sie mit Hilfe der F8-Taste in den “abgesicherten Modus mit Eingabeaufforderung“.

Die erweiterten Startoptionen von Windows XP

2.) Melden Sie sich als Administrator am System an und geben Sie das Passwort ein.

Der Windows-Anmeldebildschirm

3.) Geben Sie folgendes in die Kommandozeile ein:

cd\
cd windows
cd pchealth
cd helpctr
cd binaries
msconfig.exe

4.) Es öffnet sich die Systemkonfiguration von Microsoft. Klicken Sie auf den Reiter “Systemstart“. Hier sehen Sie nun die Programme, die beim Systemstart geladen werden. Überprüfen Sie die Einträge! Sie erkennen solche Schadprogramme oftmals schon an der Namensgebung. Meistens haben sie eine konfuse Kombination aus Zahlen und Buchstaben, manchmal tarnen Sie sich jedoch mit ähnlich klingenden Namen von Systemprogrammen. Wenn Sie sich bei einem Eintrag nicht sicher sind, überprüfen Sie auch den Hersteller! Wenn dieser “Unbekannt” ist, sollte Sie das stutzig machen. Unter “Befehl” steht der Pfad zum Programm. Diesen sollten Sie sich gut merken, weil hier die ausführbare Datei liegt.

5.) Entfernen Sie jetzt den Haken beim Schadprogramm und klicken Sie unten auf “OK”.

In unserem Beispiel mit einer Version des BKA-Trojaners heisst der Plagegeist “os24fcsw.exe”. (Achtung, der Name beim BKA-Trojaner kann hier variieren!)

Die Systemkonfiguration mit den Startprogrammen

6.) Setzen Sie den Haken bei “Diese Meldung nicht mehr anzeigen” und klicken auf “Neu starten”.

7.) Nach dem Neustart sollte das Schadprogramm, in unserem Fall die Startseite des BKA-Trojaners, nicht mehr mitgeladen werden. Denken Sie daran Ihr System nach diesem Vorgang ausgiebig zu scannen, da sich immer noch Reste des Schädlings auf dem System befinden! Wir empfehlen Ihnen für die Bereinigung entweder Malwarebytes Anti-Malware oder Superantispyware. Sollte nach dem Scanvorgang das Schadprogramm in dem angegebenen Pfad aus der Systemkonfiguration (s.o.) nicht gefunden werden, löschen Sie dieses manuell.

Hinweis: Sollten Sie Hilfe benötigen, registrieren Sie sich kostenlos in unserem Support-Forum.

152 Thoughts on “Autostarteinträge unter Windows XP mit Hilfe von “msconfig” entfernen

  1. Heinrich on 6. Dezember 2011 at 12:17 said:

    Nach F8-Taste kann ich anschließend zwar den Abgesicherten Modus mit Eingabeauforderung auswählen, danach die Auswahl bzw. die Bestäting des Betriebsystems (in meinem Fall XP), danach läuft aber der Laptop nur bis zur SafeBoot Anmeldemaske (auf dem Laptop ist SafeBoot installiert), nach der Anmeldung wieder der Abgesicherte Modus mit Auswahlmöglichkeiten.., eine Art Endlosschleife.
    Gibt es eine Lösung?

  2. Genervter on 14. Dezember 2011 at 18:11 said:

    Hallo !

    abgesicherter Modus und msconfig ,alles schön, aber einige BKA-Trojaner kommen auch im abgesicherten Modus und dann hilft nur die Recovery-Neuinstallation.
    Ging mir auch so, obwohl selbst ADMIN !

    • Hallo Genervter,

      das stimmt so nicht. Der BKA-Gema Trojaner, der auch im abgesicherten Modus hochkommt, kann mit der Kapsersky Rescue CD beseitigt werden. Hier gibt es eine Anleitung dafür.

      MG
      ABBZ

  3. Wolfgang Stwerka on 19. Dezember 2011 at 13:11 said:

    ich habe mir einen trojaner eingefangen der windows blockiert,wer kann mir denn helfen habe windows xp danke im vorraus

  4. Wolfgang Stwerka on 19. Dezember 2011 at 13:12 said:

    ich brauche hilfe

  5. Wolfgang Stwerka on 19. Dezember 2011 at 13:14 said:

    wie erfolgt denn die Freischaltung mache dies zum ersten mal

    • Hallo Wolfgang,

      die Kommentare auf unserem Blog werden manuell freigeschaltet. Dies machen wir um Spam oder Kommentare mit anstößigen Inhalten zu vermeiden. Schau bitte zuerst auf unserer Überseite welchen Trojaner du hast. Dann wählst du die passende Anleitung aus. Natürlich helfen wird dir auch in unserem Forum weiter. Erstell dann dort einfach ein neues Thema.

      MG
      ABBZ

  6. kann man damit auf den trojaner 3.02 entfernen?

    • Hallo Caro,

      gerne laden wir Dich in unser Support-Forum ein. Registriere Dich hierzu bitte kostenfrei unter http://forum.botfrei.de und erstelle in der Kategorie “Hilfe” –> “Windows Systeme” einen Beitrag zu Deinem Problem! Wir helfen Dir gerne dabei Deine Rechner zu säubern!

      Grüße,
      TK, ABBZ

  7. Stergios on 9. Januar 2012 at 08:12 said:

    hallo ich brauche hilfe wie kann ich mein pc freischalten ?

    • Hallo Stergios,
      leider sind das sehr wenige Informationen die Sie da angeben. Bitte melden Sie sich in unserem kostenfreien Forum an und beschreiben Sie ihr Problem bzw. die Infektion ganz genau. Experten und die Community werden Ihnen bei der Lösung helfen.
      http://forum.botfrei.de/forum.php
      Gruß ABBZ

  8. Sebastian on 10. Januar 2012 at 17:47 said:

    Guten Abend,

    ein (älteres) Familienmitglied hat sich die o.g. Variante eingefangen.
    Ich soll morgen vorbeikommen und das ganze i.O. bringen.

    Bevor ich auf diese Seite gestoßen bin, hab ich es natürlich selbst versucht.
    Ebenfalls im abgesicherten Modus. Dabei stellte sich folgende Problematik ein:
    Der Besitzer weiß das Passwort für das Administrator-Konto nicht. Laut ihm wurde der PC vor 5-6 Jahren eingerichtet (bitte keinen Kommentar….).

    Wie soll ich morgen an das besagte Problem rantreten?

    Mein Notfallplan wäre folgender:
    1. Ubuntu-Live-System von CD booten
    2. Daten sichern
    3. Formatieren und Windows neu aufspielen

    Problem hierbei ist, das die ganzen Emails gesichert werden müssen und ich mir nicht sicher bin, wie ich per Linux an diese rankommen soll (Speicherort, Client etc.).

    Grüße!

  9. Guten Tag, eine frage: wie gebe ich den, dass bei dem 3. Punkt die Daten in die Kommandozeile ein???

    • Hallo Cem,
      wenn du im abgesicherten Modus mit Eingabeaufforderung den Rechner hoch fährst, dich mit dem Adminkonto angemeldet hast, öffnet sich die eine Art “Dosbox“(Kommandozeileninterpreter). Dort gibst du die Befehle ein und bestätigt mit Enter.

      cd\ ->Enter
      cd windows ->Enter
      cd pchealth ->Enter
      cd helpctr ->Enter
      cd binaries ->Enter
      msconfig.exe ->Enter

      Gruß ABBZ

  10. Danke, bin jetzt bis zu dem 4-5. Punkt gekommen. Hier kann ich aber leider nicht erkennen welche Einträge die Schadprogramme sind. Bei mir zeigt der oben in der Leiste keinen Hersteller nur Systemstartelemen, Befehl und Pfad. Kannst du mir da irgendwie weiterhelfen?

    • Hallo Cem,

      wir helfen Dir gerne in unserem Support-Forum unter http://forum.botfrei.de! Eine individuelle Hilfe ist uns hier auf dem Blog nicht mgl.!

      Grüße,
      TK, ABBZ

      • Tut mir leid, dass ich nochmal schreibe, aber ich habe in Moment dort kein Account in dem Forum und hab nur eine Stunde Zeit für den Netbook könnten sie mir kurz hier durch antworten?

        • Nein, bitte akzeptiere, dass wir hier keinen Support leisten! Das Anlegen eines Accounts ist problemlos & ohne großen Zeitverlust mgl.!

          Grüße,
          TK, ABBZ

          • So, ich bin jetzt im Forum angemeldet, kann ich dich da irgendwie Privat anschreiben oder wie komm ich da voran, um mein Problem zu lösen??

          • Hallo Cem,
            eröffne bei Hilfe -> Windows-Systeme -> links oben ein “neues Thema” und beschreibe dein Problem ganz genau.

            Gruß ABBZ

        • Schmodderpuppe on 31. März 2012 at 20:44 said:

          Hey Cem. Ich habe leider genau das selbe Problem wie du. Ich habe auch im Forum nach deinem Beitrag gesucht. Konnte ihn aber nicht finden. Hast du denn Antworten gekriegt? und könntest du mir vllt hier den link zu deinem Thread schicken?
          Ich hoffe du siehst meinen kommentar hier überhaupt, ist aj schon eine weile her das du diesen beitrag gepostet hast. Würde mich aber sehr freuen wenn du mir antwortest.
          …Oder jemand anderes. :)

          • Kaputnika on 25. Juli 2012 at 11:31 said:

            Das mit dem Anmelden im Forum ist wenig hilfreich, für mich, da ich jedesmal zwischen dem PC hier und meinem PC hin und her fahren müßte, die sind nämlich nicht am selben Ort und nicht jeder will, dass man seinen Rechner zu ihm mit anschlept oder gar seinen Rechner mit nimmt. Mit dem betroffenen Rechner komm ich mit meinem ISDN-Modem nicht ins Internet, dafür bin ich einfach zu blöd. Auch bei mir wird nicht der Hersteller angezeigt und ich denke, dass wenn ihr ´ne Liste machen würdet, mit den einzelnen Anleitungen, dann würdet ihr euch sehr viel Arbeit ersparen. Schade, dass man hier also kaum eine Chance hat an Hilfe zukommen, werd dann mal an anderer Stelle weitersuchen. :-( E-Mails lesen kann ich übrigen erst wieder wenn mein Rechner wieder läuft, da der Eigentümer dieses Rechners weder selber E-Mail nutzt noch wünscht, dass man auf seinem Rechner ´n Mailprogram instaliert. Auch was das angeht bin ich zu dumm, um Mails ohne Outlock zu empfangen.
            Grüßchen

  11. kusti on 15. Januar 2012 at 21:53 said:

    Hallo,
    ich habe ebenfalls den Trojaner auf einem XP-Rechner und bekomme den nicht mehr weg. Der sitzt im “eingeschränkten Nutzerkonto” und ich komme beim abgesicherten Modus nur als ADMIN an die Systemstartprogramme ran und nicht an die vom betroffenen Konto. Wie komme ich dahin ?
    Bin auch schon im Forum angemeldet + habe die Frage dort gestellt.
    leider brennt mir die zeit unter den Fingernägeln.
    Danke+Gruß, Martin

    • Hallo Kusti,
      sorry, wir können hier keinen Support geben, dir wird schnellst möglich im Forum geholfen.

      Gruß ABBZ

  12. hatte den trojaner auch, eben gerade erst (vor 1-2h).

    hab mir allerdings, da ich, was solche ‘programme’ angeht, ein bisschen ahnung habe, und die unprofessionalität erkannt habe (es wurde nur 1 benutzerkonto ‘gesperrt’, eine behörde empfängt kein geld per ukash etc), sofort den rechner ausgeschaltet.

    danach hochgefahren, mit dem 2ten adminkonto angemeldet, das infizierte konto gelöscht (dateien behalten) und neu erstellt -> trojaner weg.

    war sicher nicht der beste weg (der über den abgesicherten modus ist viel schöner), ist mir aber als erstes eingefallen und hat scheinbar geklappt (werde nachher noch vscanner drüber laufen lassen).

    welche internetseite das war weiß ich nicht mehr, da ich ein schnellklicker bin und vor dem klicken nicht in die statusleiste gesehen habe. ich weiß aber noch, dass dort stand, die seite wird neu geladen, und kurz danach eine java applikation entweder geladen wurde oder etwas heruntergeladen hat. hab den tab sofort geschlossen, war aber wohl zu spät.

    naja, jetzt gehts hoffentlich. gruß, TI

  13. larissa on 19. Januar 2012 at 13:16 said:

    hallo!
    hab jetzt die anleitung befolgt und beim 2. mal sogar alle programme für den start deaktiviert. der trojaner ist aber immernoch da. es ist vom bild her genau der, der hier beschrieben wird.
    lg

    • Hallo larissa,
      melde dich bitte kostenfrei in unserem forum.botfrei.de an, dort werden dir die Community und Experten bei der Lösung helfen.

      Gruß ABBZ

  14. jule-gismo on 19. Januar 2012 at 17:59 said:

    Hallo habe jetzt im Systhemstart nach und nach alle Einträge einmal deakriviert und dann das ganze Prozedere wieder und wieder.
    Der erfolg war das Schadprogramm wie es hier genannt wir nicht dabei war.
    Oder gibt es eine andere erklärung warum 3.02 immer wieder auchtaucht .
    Was aber zu sehen ist das er nicht sofor da ist, Dauert ungefähr 1 Minute.
    Was nun Sprach ????
    Gruß Jens

    • Hallo Jens,

      melde dich bitte kostenfrei in unserem forum.botfrei.de an, dort werden die Experten bei der Lösung deines Problems helfen.

      Gruß ABBZ

  15. Olli on 20. Januar 2012 at 10:07 said:

    super diese Anleitung gefunden zu haben, aber ich komme leider nicht mal bis punkt 1. Bei mir öffnet sich , wenn ich F8 drücke ) ein Fenster auf dem steht :
    Please select boot device:

    1st Floppy drive
    CDROM:PM-HL-DT-STDVD-RAM GH22NP
    HDD:3M-SAMSUNG HD501LJ
    Network: Atheros Boot Agent

    Egal welche der vier Möglichkeiten ich jetzt wähle geht der Computer nicht in den abgesicherten Modus, sondern will normal hochfahren und dann kommt die blöde BKA Maske und nichts geht mehr.
    Gibt es noch andere Möglichkeiten um in den abgesicherten Modus zu kommen?
    Fragt Olli

  16. LiquidEx on 26. Januar 2012 at 12:54 said:

    Nur Zur Info der Trojaner Tarnt Sich auch als Firefox … Heute Entdeckt auf einem Firmen PC

  17. Max B on 1. Februar 2012 at 17:13 said:

    Bei mir ist der virus nach einer zeit einfach weggegangen

    • Bitte führe nun einen Scan mit Malwarebytes aus (Eine Anleitung findest Du hier auf dem Blog); denke auch daran Dein System upzudaten! Gerne helfen wir Dir individuell hierbei im Forum weiter. Registriere Dich hierzu bitte unter: http://forum.botfrei.de!

      Grüße,
      TK, ABBZ

  18. Wolle on 6. Februar 2012 at 17:09 said:

    Moin.

    Ich habe einfach das Internet gekillt und neu gestartet. Dann konnte ich eine Systemwiderherstellung machen und nun läuft mein System wider Erwarten seit ein paar Stunden reibungslos.

    Mir soll das erst mal reichen.

    Gruß.

    • Hallo Wolle,

      Du solltest auf jeden Fall noch Dein System updaten; und ferner nochmals mit Malwarebytes drüberscannen! Gerne helfen wir Dir individuell in unserem Forum weiter!

      Grüße,
      TK, ABBZ

      • Wolle on 7. Februar 2012 at 00:17 said:

        Korrekt.

        Der Idee bin ich auch schon nachgekommen. Malwarebytes hat vier Troja-Dateien gefunden.

        Gruß.

        • Astrein. ;) Dann Updates noch ziehen. Insbesondere die hier: http://www.mozilla.org/de/plugincheck/

          Grüße,
          TK, ABBZ

          • Wolle on 9. Februar 2012 at 07:54 said:

            Ich Held.
            Bin ohne darüber nachzudenken wieder auf die (mir eigentlich altvertraute, wenn auch nicht allzu souveräne) Seite gegangen, wo es mich dass erste mal erwischt hat und habe mir das Ding direkt wieder eingefangen.
            Diesmal reichte keine Systemwiederherstellung.

            Internet gekillt. Neu gestartet. Im Autostart restlos alles deaktiviert. Neu gestartet. Autostart gecheckt. Hier waren wieder zwei Haken aktiv. 1.firefox 2.NvCpl
            Firefox hatte ich schon vorher verdächtigt, da die Datei im Autostart nichts zu suchen zu haben scheint. Hatte die Datei nach Auffindung über die Pfadangabe gelöscht, was offensichtlich nichts gebracht hat.
            Darf sich NvCpl trotz meiner zuvorigen Deaktivierung reaktivieren, oder ist das auch verdächtig?
            Da das manuelle Löschen erfolglos war, habe ich wieder den Malwarescanner laufen lassen. erfolgreich. Ein Fund. Firefox ist nun nicht mehr im Autostart.
            Außerdem läuft der Rechner wieder länger stabil als er es mit aktivem Virus getan hat…

            Gruß!

          • Hallo Wolle,

            danke für deinen Beitrag. Schau dir mal den Blog an.
            http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/

            Gruß ABBZ

  19. ebby on 7. Februar 2012 at 13:11 said:

    hallo,

    hatte auch diesen lästigen virus aufm pc.
    hab ihn jetzt mit der anleitung wie beschrieben deaktiviert und manuell gelöscht (da avira ihn nicht gefunden hat).
    bleiben noch zwei probleme:
    1.) is der taskmanager immer noch gesperrt und
    2.) wurden mir bei der deaktivierung zwei pfade zu dieser datei angezeigt. wie gesagt, die eine hab ich gelöscht aber die andere liegt im system 32 und heißt rundll32.exe muss ich die auch löschen oder wäre das eher kontraproduktiv?

    danke im voraus ebby

    • Hallo ebby,

      gerne helfen wir Dir in unserem Support-Forum unter http://forum.botfrei.de individuell weiter! Registriere Dich hierzu einfach kostenfrei & erstelle einen Thread mit allen Informationen hier unter “Hilfe” –> “Windows Systeme”. Ein individueller Support ist uns hier im Blog nicht mgl.! Bitte habe dafür Verständnis!

      Grüße,
      TK, ABBZ

      • Kaputnika on 25. Juli 2012 at 11:57 said:

        Auch hier zu antworten wäre viel schneller gegangen, als den Verweiß an den Support zu schreiben. Woran liegt´s, seid ihr Datensammler oder gibt´s dafür ´nen Nachvollziebaren Grund?

        • Hallo Kaputnika,

          aus Gründen der Übersichtlichkeit, sollten solche Anfragen im Forum gestellt werden, da hierfür eine individuelle Analyse durchgeführt werden muss. Möglicherweise sind noch andere Manipulationen am System durchgeführt worden, die der Anwender (noch) nicht gesehen hat. Zudem ist es mit der manuellen Bereinigung noch nicht getan, die Sicherheitslücken bestehen immer noch und sollten geschlossen werden.

          Gruß,
          CS, ABBZ

  20. Philipp Falge on 9. Februar 2012 at 07:54 said:

    Guten Tag.
    Bei mir scheint der Trojaner Open office zu heißen, zumindest nehm ich das an weil der Hersteller unbekannt ist… den Haken hatte ich rausgenommen und dann neu gestartet komischer weise habe ich das Problem immer noch… weiß jemand weiter

  21. Alessandro on 13. Februar 2012 at 23:22 said:

    Guten Abend, habe auch seit 3 St. die Meldung “Achtung! Aus Sicherheitsg…” mit Logo Avira Kaspersky etc. Erst konnte ich nicht alle Dateien sehen, Grund: war in HKEY_LOCAL_MACHINESOFTWAREMicrosoft… Registry SHOWALL Schlüssel geändert 0 statt 1. In Systemstart anscheinend “firefox.exe” verursacht das Problem. Es lässt sich aber nicht auschalten und auch nicht per explorer löschen. Gibt es hier eine Idee/Lösung? Danke

  22. Kunibert Hurtig on 14. Februar 2012 at 10:05 said:

    Hallo und guten Tag,
    den Pornobeklager hatte ich auch, bin ihn folgendermaßen losgeworden.
    Erläuterung:
    1. Schritt
    Der Trojaner mit dem obskuren Namen (z.B. wqz63gv.exe) kopiert sich in ein Directory im Bereich Temporary Internet File und endet auf EXE. Gleichzeitig wird ein .pf (prefind) File erzeugt, dessen Name mit wqz63gv WQZ63GV.EXE{ein paar Zahlen}.pf
    2. Schritt
    Netzkabel ziehen, Router ausschalten, Rechner wieder booten.
    Arbeitsplatz -> LW C:
    Option Suchen
    Datei: wqz63gv*.*
    Die beiden Dateien löschen (geht als Admin)
    3. Schritt
    Rechner wieder booten
    mit dem Netz verbinden
    Einschalten
    explorer starten
    nach einigen Momenten kommt wieder die Meldung
    Rechner ausschalten
    Netzkabel ziehen, Router aus
    LW C. -> wieder suchen
    Diesmal aber Datum aktuell eingeben
    suchen lassen
    Es müsste jetzt eine Datei
    FIREFOX.EXE{0358DF98}.pf oder so ähnlich im DIR prefind stehen
    Diese Datei in den Editor ziehen, sie öffnet sich als Textdatei
    Irgendwo in dieser Datei (ist abhängig von Volumeeinträgen) steht dann:

    \DEVICE\HARDDISKVOLUME1\DOKUMENTEUNDEINSTELLUNGEN\USER\LOKALEEINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\FIREFOX.EXE

    in dem DIR steht der Trojaner

    LOKALEEINSTELLUNGEN und ANWENDUNGSDATEN sind verdeckte DIRs
    MOZILLA nicht verdeckt
    FIREFOX verdeckt und dort findet man denn:
    FIREFOX.EXE

    Das besondere ist:
    DIR MOZILLA: erstellt: aktuelles Datum
    DIR FIREFOX: ein älteres Datum (bei mir: früher als der Rechner alt)
    FIREFOX.EXE: wie DIR FIREFOX

    4. Schritt
    Taskmanager aufrufen
    Prozessliste anwählen
    firefox.exe suchen
    Prozess aus der Taskliste löschen (muss bestätigt werden)
    dann aus dem prefetch den FIREFOX.EXE{0358DF98}.pf löschen
    danach aus

    \DEVICE\HARDDISKVOLUME1\DOKUMENTEUNDEINSTELLUNGEN\USER\LOKALEEINSTELLUNGEN\ANWENDUNGSDATEN\MOZILLA\
    den Ordner Morzilla löschen; Papierkorb sofort danach leeren!!!

    dieser firefox.exe hat nur 57 kB !!!

    Netzkabel einstecken
    Router einschalten u n d

    wech isser

    Gruß Kunibert Hurtig

    Die jeweiligen Bilder sind offenbar in
    FIREFOX.EXE{0358DF98}.pf
    versteckt, der Trojaner ist immer identisch:

    VS_VERSION_INFO½ïþ?p
    StringFileInfoL040904B0<
    CompanyNameTomaszPawlakl"
    FileDescriptionUntoShinyBarryGleamElroyBean*
    FileVersion7,2Z
    InternalNameMoltenHogWiryClausePointB
    LegalCopyrightDick1998-2005: OriginalFilenameEdit.exeX
    ProductNameMarineNopeMiserLustKiss,
    ProductVersion7.2D
    VarFileInfo$
    Translation

    • Hallo Kunibert,

      danke für die detaillierten Informationen zu deiner Infektion. Ich denke das wird vielen Benutzern helfen.

      Gruß
      MG, ABBZ

      • Kunibert Hurtig on 14. Februar 2012 at 11:21 said:

        Keine Ursache.
        Man beachte das LegalCopyright: 1998 – 2005
        Wahrscheinlich wurde das Prg. einmal entwickelt um Zahlungsverkehr abzuwickeln und ist dann in der Zeit in falsche Hände geraten.
        Das Prg. selber ist in Assembler geschrieben, deshalb wohl auch so klein. Es nutzt:

        KERNEL32.DLL
        ADVAPI32.DLL
        ICMP.DLL
        OLE32.DLL
        USER32.DLL

        LoadLibraryA
        GetProcAddress
        VirtualProtect
        VirtualAlloc
        VirtualFree
        ExitProcess
        CreateRestrictedToken
        IcmpCloseHandle
        OleLoadFromStream
        EndDialog

        diese System und Lib-Module, welche Funktionen … tja, da müsste man das Programm deassamblieren. Ob das der Mühe lohnt?
        Gruß

        • Micha on 14. Februar 2012 at 15:32 said:

          Ich hab mir das Teil auch am Sonntag eingefangen. Habe 2 Monitore, Warnhinweis gab es nur auf dem ersten Monitor, der zweite war weiterhin aktiv. Maus war allerdings gefangen. Zum Glück habe ich eine G15 Tastatur (Logitech) habe da NMonitor drauf laufen, das hat einen Taskmanager, den man über den Tastaturmonitor bedient. Habe darüber erstmal Firefox wegen der Performance kicken wollen – stellte sich raus, dass ich damit per Zufall den Trojaner gekillt habe. Habe dann nach allen Firefox.exe gesucht und eine gefunden, die in den Eigenschaften “unto shiny barry gleam elroy bean” stehen hatte und sehr alt war. Die stand zusammen mit einer anderen Datei im Autostart. Ich habe früher schoneinmal beobachten können, dass die Teile sich wie eine Hydra verhalten, wenn man sie löscht, generiert ein unsichtbares Bestandteil des Schädlings neue aktive .exe Dateien. Habe also aus Vorsicht fplgendes gemacht: Die Frefox.exe habe ich schnell in c:\users\meinUsername\AppData\Local\Mozilla\Firefox\Firefox.exe gefunden und gegen eine leere textdatei getauscht (umbenannt in firefox.exe). Die andere Stelle (im Autostart als Adobe Update Scheduler getarnt) verwies auf c:\Users\meinUsername\Temp\1ecw8jscmgfaa.exe – dort lag allerdings nichts. Ich denke mal hier wird diese Datei möglicherweise nur temporär während des Systemstarts liegen. Habe hier auch eine leere Textdatei hingelegt. Alle Autostarteinträge habe ich aktiv gelassen.
          Rette jetzt alles was ich brauche aus dem angeschlagenen System (offline seit Infizierung) und werde es wohl neu aufsetzen.

  23. Also ich habe es einfach über die systemwiederherstellung gemacht, dabei hab ich ein datum ausgesucht was vor dem besagten tag lag, und dann auf system wiederherstellen, jetzt lasse ich grad ein paar virenscanns durchlaufen

  24. Nick4394 on 22. Februar 2012 at 17:27 said:

    Hallo TB
    Ich habe das gleiche Problem was oben genannt ist, mit dem BKA-Trojaner aber diese befehle funktionieren bei mir nicht
    “cd\
    cd windows
    cd pchealth
    cd helpctr
    cd binaries
    msconfig.exe”

    es erscheint immer nach der Enter eingabe “Das System kann den angegebenen Pfad nicht finden.”
    Was ist zu tun??

    • Gerne helfen wir Dir individuell in unserem Forum unter: http://forum.botfrei.de weiter! Hier im Blog ist uns diese leider aufgrund fehlender Übersicht nicht möglich! Ich bitte um Dein/Ihr Verständnis!

      Grüße,
      TK, ABBZ

      • wallace on 28. Februar 2012 at 17:14 said:

        Ich habe auch so einen BKA-Virus. Aber bei mir passiert nach F8-Taste folgendes: ich sehe auf dem Bildschirm “Windows konnte leider nicht erfolgreich gestartet werden. Dies kann durch vor kurzem erfolgte Hardware- oder Softwareänderung verursacht worden sein.
        Wählen Sie “Letzte als funktionierend bekannte Konfiguration “, um die letzten funktionierenden Einstellungen wiederherzustellen, wenn der Computer nicht reagierte, unerwartet neu startete oder automatisch heruntergefahren wurde , um die Dateien und Ordner zu schützen.

        …..”

        Was kann man da machen?

    • Kaputnika on 25. Juli 2012 at 12:27 said:

      Wenn du die Pfade bei der Instalatsion geändert hast mußt du eben diese an den stellen eingeben. Wenn du die Pfade nicht mehr weißt dann schreib:
      Dir
      rein, dann kannst du aus der Liste der Dateien und Ordner die du dann zusehen bekommst in der Regel raussuchen, wie du den entsprehenden Ordner genannt hast, also mußt du dann z.B. an Stelle von:
      CD Windows
      “CD Win” oder “CD WindowsXP”
      eingeben.

  25. NNN on 3. März 2012 at 21:22 said:

    Hallo,
    ich habe wie unter Punkt 5 ALLE Häkchen weggeklickt, allerdings kommt das Fenster von dem Trojaner 3.04 bei Neustart immer noch. Was kann ich tun? Ach ja, der bei Punkt 6 angeführte Verweis “Setzen Sie den Haken bei “Diese Meldung nicht mehr anzeigen” ” kann ich nicht ausführen, weil eine solche Meldung bei mir nicht erscheint.
    Danke für die Hilfe.

  26. Tania on 4. März 2012 at 13:30 said:

    Habe auch das Problem mit dem BKA Trojaner! Die von oben angegebenen Anweisung im abgesicherten modus kann auch bei mir den angegebenen Pfad nicht finden.. Kennt jemand die Lösung? Vielen dank im vorraus!

    • Hallo Tanja,
      bitte registriere Dich in unserem kostenlosen Support-Forum: http://forum.botfrei.de und erstelle dort eine neues Thema unter “Hilfe->Windows-Systeme”! Dort können wir Dir weiterhelfen.

      Grüße,
      CS, ABBZ

  27. Krampfgarten on 4. März 2012 at 23:58 said:

    Hallo !

    Ich hatte auch den netten 3.04. Kaspersky Emergency Disc 10 hat mir nicht weitergeholfen, die hat beim Scan nichts gefunden. Habe dann wie oben beschrieben die msconfig durchforstet. Die sah bei mir sauber und übersichtlich aus.

    Es blieb nur Avira übrig – deaktiviert und siehe da, der Trojaner erscheint nicht mehr.

    Ich habe dann Avira komplett entfernt und neu aufgespielt, jetzt ist Ruhe. Das wird echt immer bekloppter ^^

    Vielen Dank, die Seite hat mir echt weitergeholfen !

  28. Ich hatte am Wochende Stress mit diesen Bundestrojaner. Der Hatte die gesamte Festplatte blockirt. Ich konnte zuerst nicht mal mehr denn PC Herunterfahren.
    Dann hatte ich beim Start menü denn Besitzer gewechselt dann konnte ich denn PC Herunterfahren, und habe ihn kurze Zeit spätter wider raufgefahren. Dann war nichts mehr von dem Bka Trojaner zu sehen, dann habe ich das Ativiren Pogramm Microsoft security essentials Virengesannkent dann war der Trojaner verschwunden. Jetzt leuft wider alles normal am PC.

    Gruß JL

  29. Moritz on 6. März 2012 at 20:19 said:

    Hi, mir ist es gelungen, den Trojaner über diese Anleitung zu beseitigen. Leider öffnet der Computer aber wieder unmittelbar nach dem Neustarten die virusbehaftete Internetseite. Wie kann ich das stoppen? Gruß Moritz

  30. steff311 on 10. März 2012 at 10:55 said:

    Hallo,

    mein Freund hat diesen BKA Virus. Ich hatte vor einiger Zeit auch einen allerdings nicht diesen. Ich konnte meinen entfernen. Bei diesem funktioniert es leider nicht, da ich in den Autostartprogrammen nach der obigen Anleitung leider keine ungewöhnlichen dateien finden kann. hatte zwar ein paar Häkchen rausgenommen, allerdings fand ich heraus nach googeln, dass diese wohl ungefährlich sind und zu windows gehören. Also setzte ich die Häkchen wieder rein. Was mir auffällt, ist dass nach dem Start des Computers eine Verbindung zum internet explorer hergestellt wird zu einer IP Adresse. Kurz darauf erscheint der Bildschirm des BKA Viruses. ich konnte keinen Pfad zum Internet explorer finden. Kann mir jemand einen Tipp geben? Ich wäre sehr dankbar. Habe mich auch so eben im Forum angemeldet.

    Gruß Steff

  31. steff311 on 11. März 2012 at 09:42 said:

    Hallo, ich konnte das Schadprogramm jetzt endlich entfernen. Allerdings über den Usernamen nicht über Administrator. Im Autostart beim Administrator wurde mir das Schadprogramm nicht angezeigt, nur im Userprofil. Jemand ne Ahnung woran das liegt? Es wurde startup und FUN.exe benannt.

  32. Andreas on 13. März 2012 at 15:49 said:

    Hallo,

    hatte eben diese Version des Trojaners auf einer Kundenmaschine.
    Allerdings war diesem nicht über die Methode msconfig.exe ode autoruns.exe beizukommen.

    Dieser hatte im Autostartordner des Nutzers eine vesteckte Verknüpfung angelegt, welche dann auf die entspr. exe (fun.exe) im Verzeichnis für temporäre Internetdateien verlinkte.

  33. Alex on 14. März 2012 at 16:39 said:

    Hallo zusammen.
    Ich bin jetzt das lästige Teil auch los, aber erst nach dem hilfreichen Tip von steff311.

    Also die Anleitung, wie oben beschrieben, allerdings nicht als Administrator einloggen sondern unter dem Benutzernamen. Erst hier zeigt sich der Fiesling im Autostart und läßt sich deaktivieren.
    Angenehmer Nebeneffekt: der Autostart wurde mal wieder gründlich entrümpelt und alles läuft wieder flotter :-)
    Viel Erfolg euch allen !

  34. Franz Zs on 14. März 2012 at 17:40 said:

    Hallo ,
    ich habe mir einen trojaner eingefangen der windows blockiertsowie die 1-03 Version mit BKA Österreich,wer kann mir denn helfen habe windows xp .
    msconfig habich schon probiert, bei mir gibt es keinen Befehl Umbekannt .danke im vorraus

  35. Simon on 14. März 2012 at 23:09 said:

    Ich brauche immernoch Hilfe es gibt wohl eine neuere gemeinere Version die nicht weg geht habe alles Versuch was hier steht und das Bild am Anfang sah etwas änderst aus naja hilfe

  36. Justin on 15. März 2012 at 17:40 said:

    Hllo miteinander,
    ich komme in den abgesichterten Modus mit Eingabeaufforderung, ABER er erkennt cd binaries nicht, kann deshalb nicht weiter achen und meinen extrem störenden Trojaner los werden. Danke schon mal :)
    lg Justin

  37. Stephie on 15. März 2012 at 18:41 said:

    Hallo ich bin zwar jetzt bis auf die Anzeige gekommen, wo ich beim Administrator etwas eingeben soll. Aber keins dieser Kommandos führt er aus. Kann mir da irgendjemand weiterhelfen.

    Danke Stephie

    • Gerne helfen wir Dir in unserem Support-Forum weiter. Registriere Dich hierzu bitte einfach kostenfrei unter http://forum.botfrei.de und erstelle in der Kategorie “Hilfe” –> “Windows Systeme” einen eigenen Thread!

      Grüße,
      TK, ABBZ

  38. MasterXxX on 16. März 2012 at 14:09 said:

    Moin!

    Ich war gerade auf der Suche nach der Anleitung für den BKA-Trojaner 3.04 (laut der Gallery).
    Leider verweist der Link für Windows 7 nur ins Forum und da habe ich auch keine Anleitung gefunden.

    Ich habe das Problem nun schon selber gelöst! Es waren folgende Dateien:

    Infizierte Dateien: 5
    C:\Users\Benutername\AppData\Local\dplaysvr.exe
    C:\Users\Benutername\AppData\Local\llaakngxnu.exe
    C:\Users\Manu\AppData\Local\mueiuke.exe
    C:\Users\Benutername\AppData\Local\sashz.exe
    C:\Users\Benutername\AppData\Local\tflmumaek.exe

    und noch ein Registrierungswert der Registry:

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dplaysvr (Trojan.FakeMS) -> Daten: C:\Users\Benutzername\AppData\Local\dplaysvr.exe

    Habe diese mit Malwarebytes Anti-Malware gelöscht und werde nun zur Sicherheit diverse Scans durchführen!

    Ich hoffe ich konnte euch weiterhelfen.

    PS an das Botfrei Team: Macht doch bitte eine Anleitung für den Bka-Trojaner 3.04.
    Die Suche nach den infizierten Dateien habe ich euch ja jetzt schon erspart!

    MfG
    MasterXxX

    • MasterXxX on 16. März 2012 at 14:28 said:

      Verdammt!

      Das war es doch nicht… das Fenster kam wieder.. waren wohl andere Viren ;)

      Ich melde mich sobald ich das Problem gelöst habe!

  39. Felix B on 18. März 2012 at 14:36 said:

    Danke die ausführliche Anleitung, hat perfekt funktioniert. Aber mal eine andere Frage … betreibt ihr einen Bot der die zahllosen identischen Fragen von dau’s beantwortet die sich standhaft weigern zwei Zentimeter weiter nach unten zu scrollen? Wenn nicht … Respekt für die Ruhe.

  40. so, hab den jetzt schon zum zweiten Mal gehabt.
    Allerdings war es ein anderer. Er hatte zwar dasselbe Bild, aber er wollte das Geld via PaySafeCard statt Ukash, und er war wesentlich schwieriger wegzubekommen.
    - alle Benutzerkonten waren befallen
    - abgesicherter Modus (egal welcher) und letzte als funktionierend bekannte Konfiguration etc. startete alles nicht
    - hat ein falsches Datum verwendet (eigentlich logisch, leider)
    - Kaspersky Rescue Disk hat nicht geholfen, Windowsunlocker auch nicht

    Ich habe zum Glück einen Bekannten gehabt, der hat das Ding in der Registry in Nullkommanix aufgespürt. Das Verzeichnis war glaub ich in dieser Lokal Machine: Microsoft\Windows\CurrentVersion\Run oder so. Da war ein Eintrag ‘Update’, der auf eine seltsam benannte .exe verwiesen hat (sah aus wie eine md5-summe). Den namen habe ich mir leider nicht notiert.

    Habe einen Screenshot, sowie diese Datei, auf die in der Registry verwiesen wurde (allerdings umbenannt, weil mir nichts besseres einfiel in ‘fake.aaa’).

    Seit dem wir den Eintrag entfernt und die Datei umbenannt haben, funktioniert wieder alles. Falls ihr Interesse an dem Screenshot und dieser Datei habt, sagt bitte Bescheid, ich stelle sie gerne zur Verfügung, falls man daraus irgendwas ableiten kann. Habe auch noch die Internetadresse, woher der Trojaner per Java im Drive-By-Verfahren heruntergeladen wurde. (aber schreibt bitte keine Email, sondern fragt hier im ‘Gästebuch’, ich werde von Zeit zu Zeit reinschauen.

    Grüße, …

    • Hallo TI,

      dass du den Trojaner zum zweiten Mal auf deinem Computer hast deutet darauf hin, dass entweder große Sicherheitslücken in deinem System vorhanden sind oder du wirklich unseriöse Seiten wiederholt aufsuchst. Das erste kannst du überprüfen mit dem Secunia Online Scanner z.B.

      MG, ABBZ

      • Hm… Ich hatte nach dem ersten Mal mein System neu aufgesetzt, allerdings ist meine Antiviren-Software seit einiger Zeit abgelaufen und ich habe sie vergessen, rechtzeitig zu updaten…

        Danke erstmal für den Link!

        Wie seriös die Seite ist, weiß ich nicht, aber sicherlich hochgradig unseriös, wenns da so einen Virus gibt. Bin auch durch Zufall draufgekommen, weiß gar nicht genau wie, nur, dass sie noch in der Chronik steht. Vielleicht kann man die ja melden oder sowas, dann geb ich dir/euch den Link…

  41. Fabian on 25. März 2012 at 14:53 said:

    Hallo zusammen.
    Folgendes Problem:
    Ich hab mir den BKA-Vieh jetzt schon zum zweiten Mal gefangen… Ich weiß nicht mal, wie.
    Beim letzten Mal hat mir ein Freund geholfen, das Teil loszuwerden, nur hab ich keine Ahnung, wie der das gemacht hat. Ich möchte aber selber wissen, wie’s funktioniert, nur für den Fall… Außerdem möchte ich ehrlich gesagt nicht so dastehen, als hätte ich keine Ahnung von Computern, nur weil ich den jetzt schon zum zweiten Mal drauf habe.
    Problem ist, ich hab versucht, den Rechner im abgesicherten Modus usw… hochzufahren, aber der reagiert überhaupt nicht. Wenn ich F8 drücke, passiert gar nichts, der fährt ganz normal hoch, lädt Windows, sogar meine Anti-Viren-Software meldet sich, und dann schlägt das Teil zu. Mein Rechner sagt mir irgendwas von nem Boot-Menü auf F12, aber abgesehen davon, dass da nichts von “Abgesicherter Modus” oder sowas steht, reagiert der dann gar nicht mehr, weder auf Mausklick noch auf Tastendruck -> einzige Lösung ist der Reset-Knopf.
    Ich weiß echt nicht, was ich da machen soll…

  42. murat görengül on 25. März 2012 at 15:52 said:

    Also ich hatte das Problem vor zwei Tagen auch und da bin ich einfach per “START” auf “PROGRAMME” gegangen, dann auf “AUTOSTART”, das Programm mit der seltsamen Nummer gelöscht (exe und ne richtig lange Zahl dahinter), dann auf “PAPIERKORB” und das Ding nochmal da gelöscht, dann NEUSTART und weg war er.
    Hatte natürlich erstmal Panik, aber war wohl unbegründet. Jetzt ist alles wieder ok, aber eine Neuinstallation des Systems werde ich vorsichtshalber trotzdem vornehmen, aber funktionieren tut alles wieder.

  43. murat görengül on 25. März 2012 at 15:55 said:

    Eigentlich hatte ich diesen Blog aufgesucht, weil ich mir mehr Info über diesen Trojaner besorgen wollte bzw. herausfinden, wie gefährlich er ist. Was kann passieren, wenn ich mein System einfach so lasse, also funktionieren tut ja alles wieder. Können die Leute auf meinem PC rumschnüffeln oder worum geht es bei diesem Trojaner?

  44. Sascha on 27. März 2012 at 01:44 said:

    War eben erst am Verzweifeln, nach tausenden Neustarten kam dann endlich die Startleiste bevor der BKA Trojaner aufleuchtete, konnte somit schnell auf Start > Alle Programme > Autostart und dann eine Datei mit vielen komischen Zahlen.exe aus dem Autostart löschen. Somit war ich schonmal soweit, das er meinen PC nicht mehr blockierte.
    Lasse grad Ad-Aware und Avira durchlaufen, Papierkorb hab ich geleert, noch irgendwelche Tipps, oder hab ich den schon beseitigt?

    Mit F8 in den Abgesicherten Modus klappte nicht.

  45. Vielen, vielen Dank!!!
    Hatte mir auch gerade den Virus auf meinem Rechner eingefangen und dank eurer Tipps in 1/2Std. wieder beseitigt!

  46. Peter on 28. März 2012 at 19:29 said:

    Gibt es für Windows 2000 auch eine Möglichkeit diesen Trojaner wieder loszuwerden?

  47. Peter on 28. März 2012 at 20:05 said:

    Hatte ich vergessen… Ich habe mir den Trojaner 3.04 auf meinem Windows 2000 Rechner eingefangen… ich kann den Rechner im abgesicherten Modus starten.

  48. anti-trojaner on 29. März 2012 at 11:03 said:

    Danke für eure Anleitung. Konnte damit den Trojaner aufspüren.
    Bei mir gab es noch Reste im C:\Windows\pss Dateiordner
    mit dem Namen 0.64211……exe.InkStartup.
    Habe diese durch eine einfache Windows-Suche gefunden (Suche nach 0.64211*.*)

  49. Marvin on 30. März 2012 at 14:55 said:

    Hallo,

    ich habe den Trojaner schon zum zweiten mal, wobei ich mir nicht ganz sicher bin ob ich ihn das erste mal überhaupt weg bekommen habe. Ich habe alles so gemacht wie es oben steht. Habe ein paar Dienste aus dem Systemstart genommen und dann ging es wieder. Dann habe ich mit Malwarebytes Anti-Malware geprüft. Es hat nichts gefuden. Seid dem habe ich nichts mehr gemacht, ist abern icht lange her. Und jetzt gestern zack kam er aufeinmal wieder.
    Ich bin jetzt am PC weil ich einfach alle Systemstarts und Dienste (einen Reiter davor) deaktiviert habe (ausser die von Microsoft)

    Zusätzlich habe ich das oben beschriebene zweite Programm benutzt. Auch das findet nicht. Genau so wie Free Anti Virus. Aber es ist noch drauf der scheiß.

    PS: In der msconfig.exe bei ystemstarts habe ich bis heute noch kein Programm gefunden das seltsam klingt oder unseriös ist. Alles was da drin ist kenne ich.

    Wenn ich aber der msconfig jetzt sage das ich Windows wieder normal Starten möchte dann kommt dieser Scheiß Trojaner wieder.

    Heißt das ich muss jetzt HDD formatieren und Windows neu drauf und wie sieht es mit meinen Daten aus? Die könnte ich alle auf die Externe HDD meines Bruder tun, aber was ist wenn der Trojaner in einer Privaten Datei von mir sitzt, aber meine scheiß Viren Programme es nicht erkennen.

    Vllt. hatte ja jemand das selbe problem wie ich.

  50. Schmodderpuppe on 31. März 2012 at 20:10 said:

    Hey, bei mirgibt es da ein kleines problemchen. Bei mir erscheint nicht das wie oben angezeigte Feld namens “Systemkonfiguration” sondern das “Systemkonfigurationsprogramm”. das ähnelt dem feld von da oben zwar aber unter Startsystem werden bei mir Systemstartelement,Befehl und Pfad angezeigt. Nicht aber Hersteller. :/ Außerdem werden in der oberen Leiste bei mir ; Allgemein,SYSTEM.INI,WIN.INI,BOOT.INI,Dienste,Systemstart und Tools angezeigt. Das ist also irgendwie ien anderes Fenster. Und Ich weiß jetzt nicht bei welchem Programm ich den Haken entfernen soll.
    Kann ich mir den Hersteller dennoch irgendwie ansehen?

  51. mat on 2. April 2012 at 14:48 said:

    Soweit, so gut…
    Habe den Trojaner anhand der Screenshots identifiziert. Mein Vorteil: Ich habe zwei Betriebssysteme auf dem Rechner installiert wobei nur das eine befallen ist. Leider hab ich noch keine Anti-Malware Software entdeckt die den Virus identifizieren und entfernen kann!!!
    Bisher hab ich den AVIRA DE Cleaner, den Kaspersky DE Cleaner und den Malwarebytes Anti Malware über das nicht befallene Betriebssystem das System checken lassen, allerdings ohne Erfolg…
    Momentan läuft jetzt ein suchlauf mit dem Clamwin… vllt tuts ja der???
    Oder muss der Suchlauf unbedingt vom “befallenen” System ausgeführt werden?
    Bei einer älteren Version des u kash vor ca. ein paar Monaten hat das ganze vom “nicht befallenen” System aus funktioniert und der DE Cleaner von Avira hat den Virus auf dem “befallenen” System entdeckt und gekillt!!!
    Hoffentlich gibts hier paar nützliche Tipps?!

  52. dominik on 3. April 2012 at 10:48 said:

    hallo, ich habe die oben stehenden Schritte gemacht, aber mein Computer sagt mir er kann sich nich im abgesicherten modus mit Eningabefunktion hochfahren was mach ich jetzt? Danke für die hilfe!

  53. Hallo,

    es ist teilweise viel einfacher, als man glaubt. Man kann den Rechner ganz normal starten lassen, muss dann aber, sobald er startet auf ausführen klicken und “msconfig” (ohne “) eingeben und auf Enter klicken. Dann startet der PC die Konfigurationsassistenten automatisches. Dann erscheint wieder die Meldung des BKA-Trojaners, aus dem man sich nicht entfernen kann, da der Taskmanager deaktiviert ist – Das macht nichts, denn dadurch, dass der Konfigurationsasstist schon aufgerufen wurde, kann man mittels der Kombination: ALT + TAB (Das Ding mit den zwei entgegengesetzten Pfeilen) den Assistenten in den Vordergrund rufen. Dort bei Systemstart alles entfernen, was einem nicht geheuer ist und neustarten. Beim Neustart nochmals msconfig aufrufen und dort schauen, wo sich die Datei versteckt (Pfad) – meist ist das eine Ablage im Windows eigenem Ordner, versteckt im TEMP Bereich. Diese Datei löschen und dann sollte auch alles wieder in Ordnung sein. Das Scannen dieser Dateien bringt in den meisten Fällen nicht viel, da viele Anti-Virendienste solche dateien als simple Programme für Webseiten erkennen und sie nicht als potentiell gefährlich einstufen.

    Kleiner Tipp: Wenn man vor den besagten Schritten die Verbindung zum Internet trennt, erscheint das Fehler-Diagnose-Programm vom Internetexplorer. Dort kann man dann sogar auf Eigenschaften klicken und findet heraus, welche IP-Adresse sich hinter diesen Seiten verbirgt, sofern es einem hilft und man mittels dieser eine Anzeige starten möchte

  54. Domi on 6. April 2012 at 13:15 said:

    wenn ich nach cd/ -> enter cd windows eingebe sagt der pc mir dass er den pafd nicht findet was kann Ich da machenn??

    • Gerne helfen wir Dir im Support-Forum individuell weiter. Registriere Dich hierzu bitte kostenfrei in unserem Support-Forum unter: http://forum.botfrei.de und erstelle unter Hilfe –> Windows Systeme!

      Grüße,
      TK, ABBZ

  55. Martin on 8. April 2012 at 23:59 said:

    Habe leider auch den BKA-Trojaner auf meinem XP-System. Der Hinweis von P mit config hat leider nicht geklappt. Mit Alt + Tab tut sich leider nichts. Das Eigabefenster zu Systemsteuerung erscheint erst, wenn man den Ausknopf drückt. Dann reagiert aber das Programm nicht mehr, da es runtergefahren wird.
    Gibt es vielleicht noch einen anderen Trick oder hat sich der Trojaner da schon wieder etwas dagegen einfallen lassen.
    Wenn der Trick von P nicht klappt, gibt es eine Alternative?
    Die Hinweise mit F8 und Windows in abgesicherter Version mit Eingabefunktion funktioniert leider auch nicht mehr. Kommt immer wieder Eingabeaufforderung.
    Gruß Martin

  56. Wuserl on 9. April 2012 at 00:32 said:

    Leider hat beim meinem BKA-Trojaner 1.03 im Windows XP der Trick von P mit msconfig nicht geklappt. Ich konnte die Eingabe in “Ausführen” zwar machen, bevor der BKA-Trojaner am Bildschirm erscheint, aber das mit Alt+Tab hat dann nicht funktioniert. Erst wenn man auf den Ausschaltknopf drückt, geht das BKA-Bild weg und die Eingabemaske für die Systemsteuerung kommt, kann dann aber nicht mehr bearbeitet werden, da das Programm schon runterfährt. Das Miststück hat sich da schon wieder was neues einfallen lassen. Leider klappt auch die Maßnahme mit F8 und Windows im abgesicherter Version mit Eingabefunktion nicht, da dann immer wieder der Bildschirm mit der Eingabeaufforderung kommt. Gibt es eine andere Lösung, die in der Praxis funktioniert?
    Gruß Wuserl

    • Hallo Wuserl,

      die Lösungen sind sehr unterschiedlich, weshalb wir ein Forum eingerichtet haben. In unserem Forum helfen wir dir gerne weiter. Bitte registrier dich unter http://forum.botfrei.de und erstell ein neues Thema in der Kategorie Hilfe -> Windows-Systeme.

      MG, ABBZ

  57. Andi on 13. April 2012 at 15:47 said:

    Ich entschuldige mich für meine schlechten Deutschkenntnisse; auf meinem Laptop ist ein englisches Windows XP installiert, ich kenne deshalb die deutschen Ordnernamen nicht.

    Anscheinend hatte ich eine andere Version von 1.03, die leichter zu entfernen ist:

    Bei der “Systemkonfiguration” waren keine illegalen Programme zu finden. Stattdessen hat der Trojaner im Ordern “start/All Programs/startup” die Datei hj8ol0.exe hinterlegt.

    Beim Neustart des Rechners im “safe mode” blieb mir genug Zeit, das Fenster “start/run” zu öffnen. (Ich glaube beim deutschen XP heißt dieser Befehl “Ausführen”). Daraufhin habe ich zuerst manuell “startup” geleert, und dann in “run” mit dem Befehl msconfig “System Configuration Utility” (Systemkonfiguration) geöffnet. Mit der Schaltfläche “Launch System Restore” lässt sich das Windows-System auf einen früheren “restore point” (“Wiederherstellungspunkt”?) mit dem Befehl “Launch System Restore” zurücksetzen kann. Windows läuft wieder einwandfrei.

    Ich hoffe mein Erfahrungsbericht kann Ihnen weiterhelfen.

  58. über msconfig (autostart) entfernen ging es leider nicht.
    entfernt durch Malwarebytes Pro im Abgesicherten Modus

    Nach Neustart dann im W7 erneut gescannt /entfernt

    Virus Name Seti0.exe,H9922

    Bildschirmfoto
    http://img708.imageshack.us/img708/9357/bkatrojaner.jpg

  59. David on 25. April 2012 at 01:45 said:

    Hab mir das scheißteil auch eingefangen (Windows XP) und wieder losbekommen und wollte kurz erzählen wie:

    Es handelte sich um ein Virus das den Bildschirm schwarz werden lässt, in der Mitte erscheint eine Meldung unter den Deutschen Nationalfarben dass das System überlastet sei wegen runterladen pornografischen Materials und man nun 100 Euro zur Entfernung des Trojaners zahlen soll per Ukash. Drunter sind noch die Logos von Antivir, Kapersky usw.

    Man kann dann nichts mehr machen.

    Wenn man den Computer neu startet und das WLan ausmacht kann man allerdings arbeiten. wenn man das WLan dann wieder aktiviert kommt nach einigen Minuten wieder der Bildschirm mit der Meldung.

    Ich habe also mit Antivir einen Scan gemacht, da wurde allerdings nichts gefunden.

    Dann bin ich auf diese Website gegangen und hab mir aus dem Link im Artikel oben Malwarebites runtergeladen und Installiert. Auch da wurde beim ersten Suchlauf nichts gefunden. Erst nach in paar Stunden war ein neues Update des Virenprogramms verfügbar (ich habe das WLan immer wieder für ein paar sekunden angemacht ohne dass was passiert ist).

    Mit neuestem Update ist dann vor wenigen Minuten der Trojaner von Malwarebytes entdeckt und entfernt worden. Der name der Dateien war SkypePM.exe oder so, insgesamt 3 Stück.

    Jetzt ist alles wieder gut. War gar nicht schwer. Vielen Dank und viel Erfolg allen betroffenen.

  60. Chuck Norris on 4. Mai 2012 at 20:22 said:

    hey freunde, bei mir heist die zu killende datei:
    c:\windows\i386w\wuauclt.ex_
    c:\windows\system32\wuauclt.exe
    c:\windows\system32\wuauclt1.exe
    c:\windows\system32\wuauclt.exe
    c:\windows\servicepackfiles\i386\wuauclt.exe
    c:\windows\servicepackfiles\i386\wuauclt1.exe

    bei mir wollte windows die win cd haben um dateien wiederherzustellen nach der aktion. einfach cd einlegen und ausführen.

    viel erfolg, falls das nicht klappt: mit einem hammer den pc überreden zu laufen ;)

    • TK on 5. Mai 2012 at 11:37 said:

      Danke für Deinen Erfahrungsbericht! Bitte aktualisiere nun dringend die auf Deinem System befindliche Software, damit das auch so bleibt! ;)

      Grüße,
      TK, ABBZ

  61. technicssb440 on 15. Mai 2012 at 12:15 said:

    Leider kann die Anleitung nicht funktionieren. Selbst wenn der Virus aus dem Systemstart genommen wird, ist er noch lange nicht vom System entfernt.

    Um diesen Virus zu entfernen, ist folgende Vorgehensweise nötig:

    - System via F8 im abgesicherten Modus booten

    - C:\Dokumente und Einstellungen\[Benutzername]\Lokale Einstellungen\Anwendungsdaten\Skype
    -> LÖSCHEN (Die darin befindliche Datei SkypePM.exe ist der Virus!)

    - C:\Dokumente und Einstellungen\[Benutzername]\Lokale Einstellungen\temp
    -> Sämtlichen Inhalt löschen, hier werden Kopien der SkypePM.exe abgelegt.

    - C:\Dokumente und Einstellungen\[Benutzername]\Lokale Einstellungen\Temporary Internet Files
    -> Same here.

    - In der Registry (Start – Ausführen – “regedit” – Enter): HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    den Eintrag “SkypePM” löschen.
    Hierfür müsst ihr mit dem Benutzer angemeldet sein, mit dem ihr euch den Virus eingefangen habt. Dieser Schritt muss nicht zwingend im abgesicherten Modus durchgeführt werden, sofern die vorherigen Schritte erfolgreich durchgeführt wurden.

    Anschließend führt ihr einen Neustart durch und seid den Virus endgültig los.

  62. Kai on 18. Juni 2012 at 18:11 said:

    Hallo sehr interessant diese umfangreiche Tipp-Sammlung. allerdings hilft sie mir bei meinem BKA-Trojaner 1.03 nicht weiter. Jedesmal wenn ich wie empfohlen im “abgesicherten Modus mit Eingabeaufforderung” starten will, fährt der Rechner selbsttätig herunter und das Spiel beginnt erneut. Liegt hier eine alte Version mit neuer Funktion vor, hat das schon jemand beobachtet? Danke für jede Hilfe!

    Gruß kai

    • Hallo,

      sollte das Problem noch bestehen, helfen wir Ihnen diesbezüglich gerne weiter!

      Registrieren Sie sich hierzu bitte in unserem Support-Forum auf forum.botfrei.de und erstellen Sie ein Thema unter “Hilfe” –> “Windows”!

      Unsere Experten werden sich darum kümmern.

      CG, ABBZ

  63. Marlene Voss on 27. Juni 2012 at 19:31 said:

    wir haben uns den BKA Trojaner eingefangen.
    wenn ich den PC anschalte und F8 in sekunden Abstand drücke erscheint:
    Boot Menu
    == Select a Boot First device ==
    Removable
    Hard Disk
    CDROM
    beim anklicken von Removable erscheint folgendes
    Removable
    - Floppy Disks
    wenn ich jetzt enter drücke kommt mein Benutzerkonto und danach der Trojaner.
    Ich kann zwar noch auf Start klicken, danach aber geht nichts mehr.
    Was soll ich machen???
    Marlene

  64. linda on 4. Juli 2012 at 16:33 said:

    habe das selbe problem nur leider laesst mich der trojaner nicht ueber abgesicherten modus starten. nicht mit eingabeaufforderung netzwerkbetreibern od nur abgesicherter modus.

    was kann ich tun? wuerd mir gern noch meine fotos speichern bzw sichern.

    kann nur mit windows od letzte funktionierende konfiguration starten und dann kommt nach 1 min schon die bildschirmmaske v paysafe und geldaufforderung

    • TB on 4. Juli 2012 at 16:49 said:

      Hallo Linda,
      Hier im Bog ist das mit den Bildern auch schlecht, wir haben dazu ein kostenfreies http://forum.botfrei.de eingerichtet. Registriere dich dort, beschreibe genau deine Infektion (Bilder), dann werden Experten dir “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ

  65. Badewanne on 8. Juli 2012 at 21:11 said:

    Wo muss ich die Sachen bei Schritt drei eingeben?

    • TB on 9. Juli 2012 at 07:58 said:

      Morgen Badewanne :)

      Du sollst hierbei den Rechner im abgesicherten Modus mit eingabeaufforderung starten, nach dem Anmelden erscheint die Kommandozeile (schwarze Box), dort gibst du die Kommandos ein.
      Brauchst du Hilfe, melde dich kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten “Schritt für Schritt” bei der Lösung helfen.

      Gruß ABBZ

  66. Badewanne on 9. Juli 2012 at 09:32 said:

    Wo ist die Kommandozeile ?

    • Hallo Badewanne,

      meinst du das Terminal, welches sich im abgesicherten Modus öffnet?
      Wenn ja, dann hast du den falschen Modus gewählt, starte deinen PC neu und wähle “..mit Eingabeaufforderung”

      ABBZ

  67. Danke on 10. Juli 2012 at 19:28 said:

    Hallo,

    vielen Dank. Der Trick hat auf Anhieb funktioniert. Werde das System mal ordentlich scannen.

    DANKE DANKE DANKE

    • Hallo Danke,

      Danke für deine Info, du solltest dein System mal mit dem kostenfreien Tool von Malwarebytes scannen, damit evtl. noch vorhandene Schädlinge entfernt werden…

      Gruß ABBZ

  68. Badewanne on 10. Juli 2012 at 21:36 said:

    Ich weiß nicht welches das schadprogramm ist

  69. WALTER DEGLE on 3. August 2012 at 13:41 said:

    ich habe im Sysconfigurator alles gelöscht was mir supekt vorkam, allerdings ist der BKA Trojaner immer noch da

    • Hallo Walter,

      für eine individuelle Bereinigung kannst du dich kostenlos in unserem Support-Forum anmelden. Unsere Experten helfen dir “Schritt-für-Schritt” bei der Bereinigung deines Rechners und bei weiteren Fragen diesbezüglich.

      Grüße,
      CG (ABBZ)

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Post Navigation