[ckjthedogmaster]

Ein Mal hätte gereicht.... Dazu wäre es sinnvoll, seine Post's ne gewisse Struktur zu verpassen damit andere es besser lesen können. Von Schreibfehlern mal abgesehen.

Aber was mir garnicht gefält, ist das mit der Telefonnummer.


Mfg

[donnelly]

Hallöchen zusammen, im Thread #150 habe ich eine Anleitung geschrieben um den BKA zu entfernen. Jetzt ein neues Problem:

Rechner gestartet - F8 gedrückt und Abgesicherte Modus mit Eingabeaufforderung ausgewählt - jetzt kommt das Anmelde Fenster und dort stehen 3 User -

Egal welchen User ich auswähle auch beim Admin Konto kommt trotzdem die Vorschaltseite.

Einer von euch eine Idee woran das liegt und wie man den BKA jetzt entfernt mit fällt nur spontan eine Neuinstallation ein.

Grüße

[pablo.rodriguez]

Zitat:

Zitat von donnelly

Hallöchen zusammen, im Thread #150 habe ich eine Anleitung geschrieben um den BKA zu entfernen. Jetzt ein neues Problem:

Rechner gestartet - F8 gedrückt und Abgesicherte Modus mit Eingabeaufforderung ausgewählt - jetzt kommt das Anmelde Fenster und dort stehen 3 User -

Egal welchen User ich auswähle auch beim Admin Konto kommt trotzdem die Vorschaltseite.

Einer von euch eine Idee woran das liegt und wie man den BKA jetzt entfernt mit fällt nur spontan eine Neuinstallation ein.

Grüße

Probier doch einfach Threat #110 aus... und achte dabei auf den Part mit HKCU

Good Luck

[donnelly]

Dies ist mit bekannt aber bringen tut es nichts.

Die Vorschaltseite ist ja da im Abgesicherten Modus mit Eingabeaufforderung also wird die Konsole nicht angezeigt da die Seite ja da vor ist und versucht man den Task Manager zu öffnen wird dieser sofort beendet.

[pablo.rodriguez]

@donelly:

negativ...

"Abgesicherter Modus mit Eingabeaufforderung" hat sich bei meinen Fällen immer im Vordergrund gestartet. Bist Dir sicher dass das bei Dir anders ist?

[donnelly]

Moin, also ich habe die Vorschaltseite nicht, ich halte mein System immer Aktuell wie W7 und alle Programme ;-)

Eine Freundin von mir hatte das Problem aber bei ihr hat es sich jetzt erledigt, Backup sei Dank.

Ich habe gedacht das einer eine Idee hat wie man ihn jetzt entfernt, im Netz schwieren jetzt neue Einträge rum das es die Vorschaltseite jetzt auf Spanisch und Russich gibt und die eine neue möglichkeit gefunden haben das die Vorschaltseite auch im Abgesicherten Modus mit Eingabeaufforderung kommt.

[pablo.rodriguez]

Zitat:

Zitat von donnelly

... und die eine neue möglichkeit gefunden haben das die Vorschaltseite auch im Abgesicherten Modus mit Eingabeaufforderung kommt.

Oha, dann ist es ein fieses Ding ei ei ei

[delhoven]

Hatte ich auch gehabt habe bei der Bundespolizei angerufen.Das ist der Größte Betrug der je gab.Blos nicht Zahlen.Du wirst nicht Freigeschaltet.Reine Abzocke.Ich habe Vista und habe beim Start auf die taste F 9 laufend gedrückt .Es öffnet sich ein Fenster Vista Reparieren Ok es öffnet wieder ein Fenster Vista im Auslieferrungszustand bringen.Ok So wurde alles wieder neu Formatiert.Und Windows neu Aufgespielt.Anschliessent habe ich mein Acronis Intalliert.Und von meiner Externe Festplatte ein Backup erstellt.So war die Festplatte wieder sauber und habe wieder alle Programme wieder.Eine Zeit von ca .30 Min.

[donnelly]

Hallöööööööö, so ich habe die Lösung gefunden um die BKA Trojaner Vorschaltseite zu entfernen wenn die Eintrage wie hier mehrmals beschrieben sind nicht da sind.

Schaut einfach mal hier nach:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

So hier habt dann dort ein Eintrag der sich AAV Antivir Update bla bla nennt aber wenn ihr weiterlest steht dort was von jushud.exe (oder so ähnlich) dies bitte löschen. Danach wie hier beschrieben in der Konsole shutdown -r -t 0 eingeben und siehe da die Vorschaltseite ist weg.

[pablo.rodriguez]

Zitat:

Zitat von donnelly

Hallöööööööö, so ich habe die Lösung gefunden um die BKA Trojaner Vorschaltseite zu entfernen wenn die Eintrage wie hier mehrmals beschrieben sind nicht da sind.

Schaut einfach mal hier nach:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

So hier habt dann dort ein Eintrag der sich AAV Antivir Update bla bla nennt aber wenn ihr weiterlest steht dort was von jushud.exe (oder so ähnlich) dies bitte löschen. Danach wie hier beschrieben in der Konsole shutdown -r -t 0 eingeben und siehe da die Vorschaltseite ist weg.

Das wage ich zu bezweifeln...
1. Wenn Du diese zwei Regeinträge entfernst hast Du nur den Vorteil dass Du Dir die Dinger nicht gleich wieder beim nächsten Start einfängst... Besser gesagt hättest Du... Weil
2. Du wahrscheinlich jusched.exe meinst. Diese ist für Deine Java-Update (J(ava)U(pdate)SCH(eduler)) zuständig.
3. Würden nur das entfernen dieser von Dir genannten, sich im Autostart (run) befindlichen Einträge nicht gleichbedeutend für den betroffenen Explorer-Eintrag sein....

[donnelly]

Hallo, Java Update nennt sich nicht im Run AAV Antivir du Schlumpf :-)

Noch einmal:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

Dort gibt es einen Eintrag der anfängt mit AAV Antivir/AVUpdate kann aber auch anders heißen.

So: wenn man aber weiterlist steht da Jashla.exe kann aber auch heißen wie ich schon mal geschrieben habe. Dazu kommt das bei Wert steht: c:/Dokumente usw./Konto/appdata/roaming

Das man damit nicht die Bedrohung löscht muss jedem klar sein das ist nur dafür das die Vorschaltseite nicht mehr erscheint.

[pablo.rodriguez]

Zitat:

Zitat von donnelly

Hallo, Java Update nennt sich nicht im Run AAV Antivir du Schlumpf :-)

Noch einmal:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

Dort gibt es einen Eintrag der anfängt mit AAV Antivir/AVUpdate kann aber auch anders heißen.

So: wenn man aber weiterlist steht da Jashla.exe kann aber auch heißen wie ich schon mal geschrieben habe. Dazu kommt das bei Wert steht: c:/Dokumente usw./Konto/appdata/roaming

Das man damit nicht die Bedrohung löscht muss jedem klar das ist nur dafür das die Vorschaltseite nicht mehr erscheint.

wieder falsch... Die Vorschaltseite entfernst Du nur wenn Du den Wert "Shell" wieder in "explorer.exe" ändere... Die Bedrohung wird durch das entfernen der runeinträge verhindert... sonst hast Ihn beim nächsten Neustart gleich wieder...

So... zum nächsten Punkt mit Deinem %appdata%. Da steh in Deinem Fall die Exe-Datei, weil Sie gleich nach dem Download ausgeführt wurde und somit nur in Deinem Temp-Verzeichnis zwischen gespeichert wurde. Hättest beim betätigen des Downloads der Infizierten Datei (schätzungsweise durch einen Drivebydrive) Dein Desktop als Speicherort ausgewählt, dann würde Sie dort rumliegen.

Daher kommen wir zum nächsten. Der Name der Exe ist Irrelevant, weil Sie auch verschiedene Quellen hat.

Fazit: Ohne dem Ändern der Shell-Value wird sich nix bessern UND Du bist der Schlumpf

Edit:
P.s: Weißt Du denn überhaupt für was der Run-Folder in der Registry zuständig ist?

[donnelly]

Möp Falsch. Es gibt Varianten vom BKA Trojaner und dann ist kein Eintrag im Shell.

[pablo.rodriguez]

okay... dann ist es aber eine leichte Form des BKA und dann dürfte das Vorschaltbild wohl auch leicht wegzukriegen sein... auch während dem laufenden Betrieb... oder???

[donnelly]

Wenn man schnell ist, wenn man die Vorschaltseite hat kann man auch den Task Manager starten und dieser wird auch angezeigt und dort sieht man dann unter Prozesse die Infektion. "Man könnte den Prozess beenden" aber der Task Manger verschwindet wieder und das relativ schnell. Ob der Task Manager beendet wird oder hinter der Vorschaltseite verschwindet weiß ich nicht.

Es muss nicht immer ein Eintrag in der Shell sein unter Current User oder HKEY Local Maschine. Wenn man die Vorschaltseite hat und man hat beide Pfade überprüft und der Shell eintrag ist ok weil dort Explorer.exe steht dann ist die Infektion unter RUN.

[kampfgumi]

Man kann doch auch eine Linux-Live-DVD/CD verwenden, oder?
Um so die Platte einmal zu scannen. Kaspersky bietet sowas, glaube Ich, an.

[Slluxx]

Zitat:

Zitat von masse01

1.stecker ziehn! 2.beim hochfahren fragt der PC automatisch nach einer systemwiederherstellung muss man par mal probieren! hatte schon 2 fälle wo es geklapt hat !!!!! wer ein laptop hat akku raus und ans netzteil anschliesen dan hochfahren und netzstecker ziehn netzstecker wieder dran und neu starten....dan fragt das setup nach neustart euch ob normal starten oder starten mit systemwiederherstellung das 2. führt ihr aus ( systemwiederherstellung) das ganse ging bei 2 rechnern die win 7 drauf haben! bei xp hat i den fall noch nicht ! viel spass aber es geht zu 100% bei win 7 weil die systemwiederherstellung vom setup augefürt wirt und nicht unter dem betiebssystem was der virus ja blockt!!!! und habt geduld ihr müst es mermals probireren ...das setup zeigt die otion nicht gleich bein ersten mal an warum ist mir auch ein rätzel wen noch fragen sind ne mail an mich und i geb euch meine nummer und ich erklär euch das schritt für schrit am tel: wie ihr vor gehn müsst: MFG rene´

HAHA .. vorallem kan die festplatte ja auch garkeinen schaden nehmen xDD

-----------------



also.

das das ein"virus" ist, dürfte wohl eigentlich jedem klar sein
da er nichts weiter macht, als dein explorer zu blocken und sich als unschließbaren popup bei jedem systemstart vor dein pc zu setzen, müsste die lösung ja recht simpel sein
Für die die das einfach nur weghaben wollen ohne n backup zu laden oder sonstwas

1. schnell sein und Strg+Alt+Entf drücken (Taskmanager)
2. prozesse
3. ( bei mir war es die ) "info[1].exe" beenden
( optional, falls icons,desktop, etc. nicht geladen werden )
4. "Neuer Task" -> explorer.exe

jetzt habt ihr schonmal die macht über euren pc wieder

5. Start -> Hilfe und Support -> (eingeben) systemstart
6. "Ausführen eines benutzerdefinierten Systemstarts mithilfe der Systemkonfiguration"
7. offnen und "Dienste" auswählen

ich habe die häkchen rausgenommen bei :

Anwendungserfahrung
Gateawaydienst auf Anwendungsebene
Microsoft ISCSI-Initiator -Dienst

Dh. wenn ihr eines von denen bei euch stehen habt, nehmt den haken raus und speichert.
um sicher sicher zu gehen könnt ihr überall den haken rausnehmen was merkwürdig erscheint.

ABER: bevor ihr wahllohs häkchenrausnehmt und speichert, vergewissert euch, das es wirklich unerheblich für das booten oder windows allgemein ist !!!!!!!!


Das ist meine lösung für die die einfach nur weiter arbeiten wollen .. der virus ist undschädlich gemacht und richtet auch keinen schaden mehr an .

wer ihn allerdings komplett weghaben möchte, sollte sich von kompetenten membern bearaten lassen wie sie die übrigen files oder reg. daten löschen können !





MfG
Slluxx

[HPöppel]

Zum ersten Mal hab ich mir einen Schädling eingefangen, der auch tatsächlich zuschlagen konnte. War geschickt getarnt. Allerdings hab ich im entscheidenden Moment auch geträumt und der Webseite manuell Javas***** erlaubt, obwohl es Anzeichen gab ...

Unter anderem mithilfe dieses Boards bin ich ihn losgeworden, daher hier mein relativ unproblematischer Lösungsweg:

Windows XP SP3

A. Platt machen und System neu aufspielen ist natürlich der 100prozentige Weg. Konnte/wollte ich aus verschiedenen Gründen nicht machen.
B. Ich bin mir recht sicher, dass ich alle schädlichen Komponenten los bin. Garantie gibt's nie.

So ging's:
Ich konnte sehr genau eingrenzen, wann ich mir das Ding eingefangen habe und somit zugehörige Dateien recht genau identifizieren.
1. Per PartedMagic BootCD alle verdächtigen Dateien entfernt. Insbesondere fiel mir eine .exe unter (user)/LokaleEinstellungen/Anwendungsdaten auf, die dort garantiert nicht hingehörte. Alle Temps/Cache etc. Ordner geleert.
2. Per BartPE die Registry gegen eine "saubere" alte aus der Sytemwiederherstellung ersetzen. (Geht natürlich nur, wenn das zuvor in XP aktiviert war). Anleitungen dazu überall im Netz. Im Grunde muss man nur 5 Dateien austauschen und umbenennen.
3. System starten. Voila.
4. CCleaner, aktuelles Antivir, Avira-Rettungs-CD, HiJackThis, RootKitRevealer und was man sonst noch im Repertoire hat laufen lassen. Kommt das alles zu einem sauberen Ende, sollte man das Ding los sein.
5. Zur Sicherheit nach dem nächsten Onlinegehen alle Prozesse begutachten. Ansatzweise Verdächtiges prüfen.

Ich scheine sauber zu sein.

Und nochmal: zur absoluten Sicherheit neu installieren. So ein aktuelles Image ist was Schönes (wenn man's hat).

[Fine86]

Hallo Leute,
habe mir leider auch den fiesen BKA-Trojaner eingefangen
Hab da nun mal eine Frage:
bin auch wie schon beschrieben vorgegangen:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

doch leider giebt es die Datei "Shell" dort nicht, habe dann das hier probiert:

"Achte genau auf die Folge des Eintrages. Klicke nicht auf das Kreuz vor Winlogon sondern auf den Eintrag Winlogon.

Solltest du dort nun keinen Shell - Eintrag stehen haben, dann lege dort eine neue Zeichenfolge mit dem Namen

Shell und dem Wert Explorer.exe an. Nun sollte nach nem Neustart der Explorer wieder automatisch geladen werden."

Hatt leider auch nicht Funktioniert muss ich dabei noch etwas besonderes beachten?
Mein BS ist Vista, will eigentlich nur meine Daten retten bevor ich Vista neu drauf mache...

würd mich über Hilfe echt freuen

[ckjthedogmaster]

Hast du Zugriff auf die Registry?

Dann schaue bitte in folgende Pfade nach auffälligen Exen.


HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run


Mfg

[diewes]

Hi gibt es für win7 auch eine Hilfe ohne Rescue, Vielen Dank im voraus

[xiAnoNyMouZ]

Kann der Virus die Festplatte eigentlich wirklich formatieren (evtl sogar unbrauchbar?) machen oder ist das nur Teil der 'Taktik' die Leute noch mehr zu verunsichern?

[pablo.rodriguez]

Ein Virus könnte das... (gibt da richtige Erpresserviren welche täglich, stündlich eine gewisse anzahl von zufälligen dateien löscht)

... dieser Virus ist reine Panikmache

[sarve]

Guten Tag.
Ich habe eine Frage.
Ich habe mir gestern auch den BKA Virus eingefangen.
Hab Übrigens Windows 7
Jedoch war ich nur halb beschränkt.
Konnte noch jedes mal 5 min auf dem Desktop gehen bis die Meldung kam.

Hab dann eine Systemwiederherstellung von vor 10 Tagen gemacht und auch jetzt keine Probleme mehr. PC is flott und ich bin auch nicht beschränkt.

Wie soll ich fortfahren ?
Ist der Virus weg ?
Oder sollte ich weitere Maßnahmen einleiten ?

Vielen Dank im Voraus

[-»B~Tů®«-]

Also ich würd da ne Ubuntu CD einlegen und davon booten. Alle meine Dateien auf ein Externe drauf schieben und Systemwiederherstellung machen.

[Tensaiga]

Hallo,
habe seit gestern leider auch diesen verflixten Virus.
Naja, jedenfalls habe ich die Anleitung aus Post 110 angefangen, da auch die Kasperky Rescue CD nichts half, aber leider schon bei folgendem Punkt streikt mein Computer:

Zitat:

Zitat von pablo.rodriguez

4. Um anschließend das Tempverzeichnis zu säubern (oder auch zu löschen)
rmdir /s /q %temp%

Folgendes Problem tritt auf: "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird."

Würde mich über eine schnelle Antwort freuen.
Gruß

[pablo.rodriguez]

okay dann überspring den Punkt einfach. Das Tempverzeichnis beinhaltet nie System-wichtige-Komponenten, daher hab ich es in #110 verallgemeinert und geraten es einfach mal komplett zu löschen. Viren verstecken sich dort gerne, da Sie

1. Unabhängig von der Benutzeranmeldung schreibrechte haben

und

2. wenn man beim downloaden des Virus nicht "speichern unter" sonder "ausführen" gedrückt hat, wird er auch dort abgelegt.

[Paddy...]

Ne Freundin hatte den auch!
Abgesicherter Modus, neuen Benutzer anlegen und darüber anmelden! Daten sichern und altes Profil löschen! Geht schnell und du hast deine Daten sicher!

MfG

Edit: Natülich Benutzer mit Admin Rechten erstellen damit du auf das andere lokal gesicherte Profil zugreifen kannst

[pablo.rodriguez]

@paddy

guter Lösungsansatz

aber bitte dabei bedenken dass dies nur funktioniert, solange sich der Virus nicht in HKLM in der Registry einträgt... Ist das der Fall, dann betrifft das jeden User

[Gihon]

Zitat:

Zitat von Slluxx

das das ein"virus" ist, dürfte wohl eigentlich jedem klar sein
da er nichts weiter macht, als dein explorer zu blocken und sich als unschließbaren popup bei jedem systemstart vor dein pc zu setzen, müsste die lösung ja recht simpel sein
Für die die das einfach nur weghaben wollen ohne n backup zu laden oder sonstwas

1. schnell sein und Strg+Alt+Entf drücken (Taskmanager)
2. prozesse
3. ( bei mir war es die ) "info[1].exe" beenden
( optional, falls icons,desktop, etc. nicht geladen werden )
4. "Neuer Task" -> explorer.exe

Also ich kann nur beipflichten ..
so konnte ich den Virus auch stoppen ohne das System neu aufzuspielen ..
dann nur sorgfältige nach dem Virus die Registry durchforsten (ich habe ihn an vielen Stellen gefunden)

[XIII]

ich hatte heute plötzlich diese "bka" Meldung. Allerdings lies sich bei meinem System (Windows 7) nach betätigen des Netzschalters ohne Probleme der abgesicherte Modus öffnen und die Systemwiederherstellung ausführen.
Momentan lasse ich diverse Antiviren und Antispyware-Software laufen, bisher ohne Befund.

Wenn ich mir die Posts hier durchlese drängt sich mir irgendwie der Verdacht auf, dass es mehrere Version gibt, unterschiedlich schwer zu entfernen. Immerhin gibts auch bei sowas immer Trittbrettfahrer. Was meint ihr?

[rider660]

Ich hatte das selbe Problem, habe einfach SP3 installiert, der war vorher noch nicht drauf, seitdem fuktioniert alles wieder...
Ich hoffe es bleibt so...

[JinTonicz]

Ein Kumpel von mir hat es sich vor ein paar Tagen geholt...aber nich auf irgendeiner P0rn seite...er war auf Facebook, und hatte grad ein Pic upgeloadet...
Naja, ich poste erst jetzt weil ich auf Malle war...*PARTY*

Der arme hatte mich ganz aufgeduselt angerufen.. Ich meinte nur: Das isn' Virus...denk doch mal nach, warum sollte dir das BKA eine online-zahlung anbieten wenn die dir grad das Internet abgetrennt haben?

Ich hatte es persönlich noch nich, aber ein paar meiner freunde..

[WOOSH]

Ich hab den Virus jetzt auch. War nur auf 9gag.com unterwegs und hab dort Bilder angeguckt und auf einmal kam das Bild von wegen BKA... sehr seriös wirkt das ganze. Ich hab mir jetzt ein paar Threads zu dem Thema durchgelesen, aber keine der Lösungen, die ich ausprobiert hab, haben funktioniert.

Ich kann den Taskmanager öffnen, aber der wird nicht nach ein paar Sekunden, sondern sofort wieder geschlossen. In den abgesicherten Modus komme ich auch nicht, da beim Auswählen meine Tastatur nicht mehr reagiert und somit Windows normal startet.

Ich hab jetzt versucht Windows neu zu installieren, aber das hat auch nicht geklappt. Nachdem ich von der CD starten ausgewählt hab, kam noch ein Bildschirm mit "Beliebige Taste drücken, um von der CD zu starten", aber danach ist Windows auch wieder normal hochgefahren. (Hab Windows hier runtergeladen und auf ne CD gebrannt. Die CD hat aber an dem PC, an dem ich jetzt sitze die Installation einwandfrei gestartet.)

Ich hab noch ne Original-CD von Windows, die ich aber verliehen hatte. Mit der würd ich es nochmal probieren, wenn ich sie zurück hab.
Hättet ihr vielleicht noch ne andere Lösung oder irgendeine Hilfe? Bin etwas verzweifelt, da ich nicht so viel auf die Original-CD setzte, wenn die Kopie auf dem andren Rechner funktioniert hat und auf dem PC mit dem Virus nicht.

[Buddy38]

ich habe auch dieses Virus gehabt und habe Bilder die E-Mail ist in allen Fällen immer eine andere und ich denke man sollte deffinitiv nicht zahlen, zur Polizei gehen anzeige machen , dann mit der Handycam ein foto schießen und sie als Beweissfotos der Polizei übergeben, dann sollte man seine Festplatte mit seiner Windows cd formatieren und wieder komplett neu bespielen ist der sicherste weg, denn die Info von der Polizeui hat nicht viel gebracht und das Virus war immernoch vorhanden, also Festplatte plattmachen und gut ist dann hat man das Virus entgültig los...so wie bei mirhttp://www.bilder-upload.eu/show.php...1313067205.jpg