Bundespolizei Trojaner/Virus/Fake-Meldung

Wer auf diese Webseite hereinfällt ist fast schon selbst Schuld, momentan wird vor einem Trojaner/Virus gewarnt, welcher eine Fake-Meldung der Bundespolizei anzeigt.

Wer genau hinschaut erkennt ein paar Fehler ansich:

  • Email: bundeskriminalamtes@yahoo.de –> Yahoo? Warum nicht GMX? Oder Web.de? 😉
  • Schreibfehler: „dazu verflichtet“ –> Ist man nicht zu etwas „verpflichtet?“

Also ganz so so schlau in der Umsetzung waren die Programmierer hierbei nicht.

Was macht den der Trojaner?

Den Erkenntnissen von AV-Test zufolge blockiert der Schädling sämtliche Zugriffe auf das System. Der Trojaner niste sich an mehr als 30 Stellen in der Registry ein, um immer direkt nach dem Systemstart ausgeführt zu werden. Außerdem verhindere er den Zugriff auf die Registry Tools und den Task Manager. Derzeit werde der Schädling nicht von allen Antivirus-Programmen erkannt, doch seien die Hersteller informiert worden. Sollte der PC bereits befallen sein, empfehlen die Sicherheitsexperten den Einsatz einer Rettungs-CD.
(quelle: heise.de)

Die Hunde werden immer Lukrativer!

Es scheint, als ob der Virus momentan immer akuter wird, hier gibt es ein paar Lösungen wie Ihr den Virus entfernt.

Die einfachste Möglichkeit ist eine Systemwiederherstellung von ein paar Tagen, aber Achtung – Dateien in diesem Zeitraum, welche auf dem PC gespeichert wurden, sind dann nicht mehr vorhanden!

Lösungswege wie Ihr den Virus entfernt (danke an die Kommentatoren):

  • 1.)(Abgesicherter Modus) Direkt nach dem Login –> Taskmanager starten –> jashla.exe beenden. –> Explorer starten (Windows+E) –> %appdata% eintippen –> jashla.exe löschen.
  • 2.) Bei Anzeige des Bildes –> Rechtsklick –> Namen und Dateispeicherort raus finden –> danach im Abgesicherten Modus –> löschen.
  • 3.) Über die Rescue CD von Avira zu booten und dort den Virus löschen lassen –> http://www.avira.com/de/support-download-avira-antivir-rescue-system
  • 4.) Registry: Der Trojaner verbirgt sich in den folgenden Schlüsseln:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Dort müsst Ihr schauen, wo sich die „jashla.exe“ verbirgt.
Zur Info: Ihr kommt nur im Abgesicherten Modus (F8 beim Booten des PCs) in den Registry-Editor „Ausführen –> regedit“ da Euer PC durch das Bild ja gesperrt ist.

[Update] Mittlerweile hat der Virus keinen namen mehr, wie mahmud oder jaschla, es kann sich jetzt auch hinter einer Zahl verstecken.
z.B.: 02009101053194351.exe oder 0.2869720675772 | total unterschiedlich 🙂

[Update: Oktober 2013]
Ist das Problem mit dem Bundespolizei Trojaner/Virus wieder aktuell?

118 Kommentare

Thomas Behrendt 15. April 2011

Hmm… Was soll man dazu sagen. Da trifft es wohl die, die es verdient haben…

Matze 15. April 2011

Die Idioten? 😉

Michael Reinecke 24. April 2011

Kumpel von mir hatte sich das eingefangen. Mit ner Avira-Live-CD konnte ich das ding dann zwar erwischen aber danach kam der Explorer nich mehr hoch 😀
Konnte dann aber XP einfach nochma drüber installieren, dann war alles wieder so wie es gehört und verloren war auch nix.
Drecks ding da 😀

Matze 24. April 2011

Drüber installiert oder Repariert?
Das Teil sitzt wohl ziemlich gut im System fest – wenn es sich mal eingenistet hat 😀

Wie kann man sich sowas überhaupt einfangen?
Achso, die Fraktion – wir klicken immer und überall drauf 😀 – ist das 😉

Ahmetkaya2 28. April 2011

hallo wo kann ich mir die avira live cd besorgen? danke

bl0ndie 29. April 2011

Schau mal hier http://www.avira.com/de/support-download-avira-an

Das Avira AntiVir Rescue System ist eine linux-basierte Applikation, die es erlaubt auf Rechner zuzugreifen, die nicht mehr gebootet werden können. Auf diese Weise ist es möglich, ein beschädigtes System zu reparieren, Daten zu retten oder eine Überprüfung des Systems auf Virenbefall durchzuführen. Das Rescue System kann nach dem Herunterladen per Doppelklick auf eine CD/DVD gebrannt werden. Dieses CD/DVD kann dann benutzt werden, um einen Rechner zu booten. Das Avira AntiVir Rescue System wird mehrmals täglich aktualisiert, so dass immer die aktuellsten Sicherheitsupdates zur Verfügung stehen.

Für das Avira Rescue System benötigen Sie einen PC/ Notebook mit:
Arbeitsspeicher: mindestens 512 MB, 750 MB empfohlen CD ROM Laufwerk oder einen freien USB Slot Tastatur (Maus empfohlen)
Auflösung: mindestens 800×600 Pixel

*le me* 24. März 2012

Das funktioniert auch mit einer einfachen Systemwiederherstellung. Einfach im Abgesicherten Modus mit Eingabeaufforderung rstrui.exe eintippen dann auswählen auf welchen system punkt man zurücksetzen will. Zack der PC startet neu alles läuft dann AV-Programm alles scannen lassen alle verdächtige daten werden gefunden löschen und fertig

Daniel Koschi1 28. April 2011

Clever gemacht aber dumm geschrieben …

QuestBreaker 1. Mai 2011

Huhu,
nicht verzweifeln, Live CD ist nicht notwendig! Mit flinken fingern ist das Teil ganz schnell neutralisiert!
1. Rechner starten
2. Benutzeranmeldung Kennwort eingeben
3. Gleich nach der Kennworteingabe str+alt+entf ->TaskManager starten
4. in der Maske Prozesse Datei -> null0.#######.exe Prozess beenden
(Achtung Punkt 3 und 4 muss zz gemacht werden, um die Blockierung aufzuheben)
5. Auf dem Desktop hat sich die Datei null0.######.exe abgelegt(versteckt)
6. Bezeichnung der Datei merken
7. Regedit öffnen, F3 Taste für schlüssel suchen (null0.########.exe)
8. gefundene Schlüssel z.B. hkcu://->winlogon -> null0.#####.exe löschen
9 weitersuchen und fertig

damit ist das Grobe weg und der Rechner lässt sich wieder normal starten

Poggi80 31. Juli 2011

das was du da schreibst passt nicht ich finde die datei oder den prozess null0.#######.exe nicht in der liste und ich hab den virus auch drauf
lieben gruß

Gast 11. Juni 2011

Habe versucht den Schritten zu folgen, doch ich kann nach Punkt 4 den Desktop nicht mehr erreichen. Habe einfach nur einen schwarzen Bildschirm. Gibt es da Hilfe?

Gast 22. Juli 2011

Mistkerle -.- Würden die eig den Rechner nach der Zahlung freischalten, das würde mich mal interessieren.^^

Matze 22. Juli 2011

Würdest du das machen, wenn du damit Geld verdienen könntest? 😉

Nitens 2. August 2011

Hat geklappt mit einer heruntergeladenen CD Avira Antivir Rescue

MM 3. August 2011

Vielleicht mal zur Verteidigung von denen die es verdient haben, so wie ich!

> Ich klicke generell nirgends drauf oder rum, aber dass teil hat sich hinter einem andern Bild versteckt und ging einfach auf.

> Danach habe ich sofort die Verbindung getrennt und den PC neu gestartet.
Trotzdem geht kein Destop mehr, Windowsleiste ist weg, etc.
PC läuft aber über Explorerleiste.

Hatte also keine Chance irgendwie was zu verhindern, trotz Virenschutz.

Gruß MM

Matze 3. August 2011

Hallo MM,

was bedeutet: "hinter einem andren Bild versteckt?"

the doc harley 7. August 2011

ich muß mit diesem shice rechner arbeiten und ich war nur auf facebook ….ich fahre jetzt zur polizei und erstatte erstmal strafanzeige. und dann steck ich den shice rechner an . schön sonntag euch :((((( und warum ich hier monate komentare lese ohne das ich hier von der polizei mal lese das sie dieses arschloch haben versteh ich nicht …. diese vögel gehören in den bau wegen schwerer wirtschaftskriminalität.

lanz 25. April 2012

ja ich war erst mal bei den polizisten die sagten das das nicht von denen sei dann machte ich ne Strafanzeige die sagten das es da keine changze gebe die zu finden die sparten sind die polizei ******* noch mal die sollen was machen

Frank0867 7. August 2011

Mich hat es gestern auch erwicht . Wenn dieses Bild vom BKA mit der Zahlungsaufforderung offen ist ,rechte Maustaste drücken und auf Eigenschaften gehen ,dann wird der Ort der Datei angezeigt .Nun den Rechner neu Starten im Abgesicherten Modus .In der Systemsteuerung freigeben das im Explorer auch versteckte Dateien angezeigt werden .Jetzt den Pfad aufsuchen der duch klicken der rechten Maustaste bei dem Bild vom BKA angezeigt wurde ,und die Datei löschen .In meinem Fall nannte sie sich jashla.exe.
PC lässt sich nun wieder normal starten ohne das der Mist von selber startet .

Axi81 7. August 2011

hatte gerade echt hoffnung, durch deinen beitrag. nur: ich kann keinen rechten mausklick auf diese verdammte bild machen, selbst darauf reagiert nichts … plan b?

Matze 7. August 2011

Plan B wäre die Avira CD, welche bl0ndie gepostet hat.

🙂

Frank0867 7. August 2011

Ich hab da bestimmt bald 100 mal rumgeklickt auf dem Bild ,bis aufeinmal das Kontextmenü öffnete .
Bei mir hatte sich die exe unter C:Users……..(Anmeldename) AppDataRoaming
versteckt .

Micha_kroll 7. August 2011

jup, bei hieß sie auch jashla.exe . hab´ sie gerade gefunden

Axi81 7. August 2011

ich bin dir so dankbar, bei mir hats jetzt auch geklappt! puuuuuuh …

Anonymous 7. August 2011

ich habe dies auch gefunden, aber selbst im abgesicherten modus kommt bei mir dieses bescheuerte bild und es geht nichts mehr, wie komme ich da bitte in die systemsteuerung oder in den explorer?

Matze 7. August 2011

Kannst du mit der Windows Taste + R ein "Ausführen" Fenster öffnen?
Falls ja, darüber einfach "c:" eingeben, damit biste im Explorer.

Windows + E kannste auch mal probieren.

Anonymous 7. August 2011

bzw … wie kann ich die rescue cd auf usb bringen? habe keinen brenner hier am laptop

Matze 7. August 2011

Du kannst es via Unetbootin auf USB bringen. http://unetbootin.sourceforge.net/

bähmm 7. August 2011

Vielen Dank, habs auch geschaft das Ding loszuwerden, ein Glück

Massiv4life94 7. August 2011

Bin im Abgesicherten modus aber kenne mich da nich aus kann mir das einer erklären habe XP

Matze 7. August 2011

Entweder du versuchst nach der Datei: jashla.exe zu suchen, oder du machst folgendes:

Wer möglichst schnell auf die Konfigurationsdaten zugreifen möchte,
kann eine elegante Abkürzung verwenden. Hierzu geben Sie im
Explorerfenster einfach in die Adresszeile das Kürzel

%appdata%

ein und bestätigen mit [Return/Eingabe] – schon landen Sie im richtigen
Konfigurationsordner. Der versteckte Befehl funktioniert sowohl unter
Windows XP als auch unter

Massiv4life94 7. August 2011

wie suche ich im abgesicherten modus xD

Oldman67227 7. August 2011

also das jashla habe ich erstmal los … danke.
allerdings ist mein problem mittlerweile die tatsache, das ich kein startmenue und nichts mehr habe .
komme nur mit taskmanager, anwendung , neu , durchsuchen und explorer an meine daten – wie bekomme ioch mein startmenue und meine daten wieder *grübel*

Frank0867 7. August 2011

Bin froh wenn ich helfen konnte ,war wahrscheinlich nur Glück das ich das Ding so schnell lokalisieren konnte .Seitdem diese bescheuerte exe weg ist ,läuft bei mir alles normal .

Matze 8. August 2011

Ich werde den Beitrag Morgen überarbeiten und eure Lösungsmittel und Wege dokumentieren.

Johndell 8. August 2011

Super, danke Leute es hat wirklich
geklappt. Ich habe gleich nach dem ich im Windows war, ganz schnell
den Task aufgerufen und habe den Prozess von jashla.exe beendet. Im
Anschluss bin ich mit den explorer in und dem Kürzel“%appdata%“
in den Ordner gelangt, in dem auch die exe war, und habe sie
gelöscht. Ich hoffe das was jetzt auch. Auf allen anderen
Plattformen wird einem geraten das System neu auf zu setzten….

Diane Lamb 8. August 2011

Bei mir hat die Version mit der rechten Maustaste auf das Bild von der Bundespolizei, und den Namen der Datei rauszusuchen., um sie dann im abgesicherten modus zu löschen, auch funktioniert 🙂 ich bin euch sehr dankbar, vorallem weil es keiner von meinen „männlichen“ Freunden bis jetzt hinbekommen hat 😉 da sag ich nur: selbst ist die Frau 😉

Matze 8. August 2011

Scheint ja nicht verkehrt zu sein ✔ — ツ

markus 8. August 2011

lösung 1. funktioniert inzwischen nicht mehr würde mich über eine genauere anleitung im abgesicherten modus freuen habe nähmlich keine ahnung wie ich da was lösche

mfg markus

Rian 8. August 2011

Wenn du im abgesicherten Modus bist, kannst du deinen Arbeitsplatz öffnen?
Entweder das Symbol anklicken oder mit der Windowste + E  (E für Explorer).

Danach gibts du oben %appdata% ein – solltest dann, laut den anderen eine "jashla.exe" finden.
Die Datei kannst du ganz normal löschen – Markieren und auf "Entf" drücken oder ein rechtsklick und dann löschen.

Grüße

Markus 8. August 2011

Der virus ist weg aber wie oldman habe ich kein startmenü der desktop is frei :S

Matze 8. August 2011

Neu gestartet hast du? [nicht mehr im abgesicherten Modus]
Du kannst mal den Task-Manager starten –> dann auf Datei –> Neuer Task –> Explorer.exe eintippen und sagen was dann passiert?

Matze 8. August 2011

Falls das Problem weiterhin besteht:

Taskleiste fehlt bei Anmeldung bei Windows
Start- Ausführen – Regedit:

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer

Dort herunterscrollen bis zu StuckRects2 und diesen Eintrag löschen – Neustart

Link:

http://support.microsoft.com/kb/318027/de

Frank0867 8. August 2011

Hallo,
ich würde nachdem die exe eliminiert ist über die normale Datei-Suchfunktion nach erstellten Dateien suchen die genau zur gleichen Uhrzeit angelegt wurden wie die yashla.exe ,und diese dann zur Vorsicht löschen .Da gibt es nämlich die ein oder andere .

Markus 8. August 2011

mit diesen eintrag meinste den ordner oda was drin ist?
habe dort 2 dateien Standard REG_ST (wert nicht gesetz)
                                Settings  REG_BINARY 28 00 00 00 ff ff ff ff 02 00 00 00 03 00 00 u.s.w. ^^

Matze 8. August 2011

Mach folgendes:
Erst gehste auf Datei/Exportieren, legst die Datei irgendwo ab, wo du sie wieder findest.
Danach löscht du den Wert "Settings" –> Rechtsklick – löschen. –> dann einen Neustart 🙂

Falls das nicht klappt, haben wir immer noch eine Sicherung der Registry =)

Markus 8. August 2011

wo finde ich Datei/exportieren?
tut mir leid kenne mich net so gut aus mit dem computer ^^

Rian 8. August 2011

Schau mal Links oben im Regestrie-Editor dort gibts "Datei" dann auf "Exportieren" =D

Markus 8. August 2011

regestrie-editor und wo ist der :DD?

Markus 8. August 2011

habs ^^

Markus 8. August 2011

geklappt hat es nicht hab mir gradeben ein neues konto erstellt aber selbst dort das selbe problem 🙁

Rian 8. August 2011

Methode 3: Windows XP reparieren
Führen Sie eine direkte Reparatur von Windows XP durch. Starten Sie die Installation von Windows XP, aber wählen Sie die Option zum Reparieren des vorhandenen Systems aus. Dadurch werden sämtliche Windows-Dateien entfernt, installierte Programme und Daten bleiben hiervon jedoch unberührt.

Versuch mal ob das noch klappt

Massiv4life94 8. August 2011

ok habs endlich geschafft
danke matze und alle anderen 🙂

Johndell 8. August 2011

Hallo Leute, ich habe das Ding nun auch
gestern entfernen können, und mein Rechner läuft wieder normal. Nur
sind diese 30 Einträge in der registry
auch damit behoben ? Vielleicht hat jemand noch eine Lösung(nach dem
das System wieder normal läuft) eine finale Reinigung durch
zuführen, ohne das System neu aufsetzen zu müssen. Auch wenn für
einige dies natürlich die optimale Lösung wäre, wäre dies auch
irgend wie ein ein großer Erfolg für die Viren-Schreiber, da so was
sehr zeit intensiv ist und auch mit einem schaden verbunden ist.

1974silke 8. August 2011

ich habe die Rescue-Disk von Kaspersky laufen lassen, er hat auch ein trojanisches Programm gelöscht den Virus HEUR.Trojan.Win32C in Quarantäne verschoben… aber beim starten kommt immer noch das Bild 🙁 Was nun?

1974silke 8. August 2011

yeah, so wie es aussieht hat im Anschluss das löschen von jashla was gebracht 🙂

Hulle100 9. August 2011

Hallo, ich habe auch das olle Teil bei mir drauf(XP). Egal wie ich mein Rechner hochfahre kommt immer diese Seite,und kann nix machen.Wer ist ist für Fenster auf und raus? Oder hatt noch einer ein Plan?

Matze 9. August 2011

Dann mach doch mal das, was in den Lösungswegen steht 😉

ct a l 9. September 2011

Hallo Zusammen!

Ich habe mir das Teil auch eingefangen. Bei mir hat es mit dem löschen der jashla funktioniert. Was den einen oder anderen aber vielleicht interessieren dürfte – zumindest für die Datensicherung. Ich konnte mich über einen anderen Benutzer (der vorher schon eingetragen war) anmelden. Dort kam dieses sch…. Bild der Bundespolzei nicht und ich konnte sicherheitshalber die Daten retten.

ct aus l

Jenniferluebke91 9. August 2011

Hatte dieses Ding auch habe es auch erfolgreich beseitigt 🙂
Habe nun ein Setup von windows durchgeführt sind jetz alle meinen Datein weg?
Bitte um Schnelle Antwort

Matze 9. August 2011

Sofern du eine Reparatur deines Betriebsystems gemacht hast sind sie noch da 🙂
Falls du es aber neuinstalliert hast – ja dann sind die Daten weg, sofern du nicht eine separate Partition hast – auf dem du deine Daten hattest 🙂

Jens89 9. August 2011

Hallo,
es gibt noch eine andere Lösung. Ohne CD und ohne Tastenkombination. Beim Hochfahren des Rechners einfach ganz oft hintereinander F9 drücken. Dann erscheint ein Fenster. Dort auf Wiederherstellen klicken. Der Rechner löscht nun nach bestätigung alles was sich darauf befindet – Auch den Virus. Das kann ca. 15min dauern. Aber Achtung: Wichtige Dateien auf USB-Stick sichern! Ich habe vor kurzem einem Kumpel geholfen, bei ihm hat es funktioniert. Da ich gerade meine Ausbildung bei der Bundespolizei abgeschlossen habe, kann ich sagen, dass eine Anzeige, wie es oben schon gepostet wurde, garnicht so verkehrt ist… der leitende Beamte wird dir da aber noch Auskunft geben. LG

Matze 9. August 2011

Danke für die Info, eine Systemwiederherstellung von vor ein paar Tagen ist natürlich auch eine Lösung 🙂

Verrate mir aber doch mal, was es bringt, eine Anzeige zu schalten?
Vorallem – gegen wen? Mehr als gegen Unbekannt kann ich in dem Fall doch nicht machen.
Und selbst dass, bringt mich keines wegs weiter oder? 😉

Grüße

Jens89 11. August 2011

Hallo Matze,
du hast Recht – dennoch würde ich, wenn ich betroffen wäre, eine Anzeige gegen Unbekannt erstatten falls es doch eine Möglichkeit gibt, den "Urheber" des Trojaners ausfindig zu machen. Denn nach §303 StGB gilt dies unter anderem als  Sachbeschädigung und nach Paragraph 303a als illigale Datenveränderung. Sollte es gelingen den Schuldigen der diesen Virus erstellt hat ausfindig zu machen, drohen ihm eine Freiheitsstrafe bis zu  2 Jahren oder eine Geldstrafe – Dies liegt allerdings immer noch im Ermessen des jeweiligen Richters. 😉

Thomas 11. August 2011

Halli Hallo!

Ich habe nun folgendes Problem: Habe die blöde jashla.exe über den Abgesicherten Modus gelöscht, aber nun fährt der Rechner nur noch bis zum "Willkommen" hoch… bzw. Task-Manager läuft, darüber kann ich auch Explorer und ergo auch alle anderen Programme starten – aber was kann ich machen, damit er wieder ganz normal hochfährt?

Vielen Dank im Voraus!  

Thomas 11. August 2011

…hat sich schon wieder erledigt – sorry. Habe mir über einen Rücksetzpunkt selber geholfen… 

Thomas_Domenica 13. August 2011

Bei mir hat's leider nicht geklappt. Hab alle Schritte befolgt, jedoch habe ich immer noch keine taskleiste! HILFE!!!

Skinny94 13. August 2011

Die Desktopsperre hat einen Neuen aufbau!!!!!!!!!
Habe ebenfalls dieses Problem ich werde es nun auf diese Weiße versuchen!!!!

Bernd_schmidt 13. August 2011

Unfassbar wieviele Leute mit dem Mist ein Problem haben…Ich gehöre jetzt auch dazu :/
Ich komme aber nicht in den abgesicherten Modus, weil er meinte, dass mein Passwort falsch ist (Firmenlaptop). Brauche eure Hilfe. Was mache ich jetzt?

Skinny94 13. August 2011

Ganz normal den Laptop starten und sofort Taskmanager starten!
Schnell sein! Ich musste es selbst 5 mal probieren, weil nach nicht mal 1min sperrt er sofort wieder den Bilschirm!!!
Dann rchtsklick auf  …………JASHLA.EXE……………………. und prozess beenden ansonsten vorgehen wie oben geschildert um ihn zu löschen!!!!!!!!!!!!
Danke nochmal für die Hilfe!!!!!!!!!!!!

PS:Die Bundespolizei nennt sich jetzt Einzahlung@Bundespolizei.net 😉 net oder???
 

Renegade 13. August 2011

bei prozesse steht kein jashla.exe
welchen prozess muss ich dann beenden
 

RomyMAUS 14. August 2011

na toll, jetzt hat meine Mum sich den scheiss auch auf ihren PC "eingefangen" – hab den Virus auch wie oben beschrieben geloescht. Jetzt nochmal fuer ganz langsame 😉 sie hat nun keine Taskleiste mehr und keine Desktop-symbole – ueber taskmanager neuer Task explorer komm ich aber rein – was kann ich tun, dass wieder alles normal funktioniert? Stehen oben ja schon verschiedene Dinge, aber um ehrlich zu sein mir ist das alles zu kompliziert "geschrieben" kanns mir mal jmd auf "Frau" erklaeren?? 🙂 danke

Gast123 14. August 2011

Bei mir kam das Bild, nachdem ich auf den bekannten facebook virus reingefallen bin.
Hab sofort den PC und Router neugesartet und alles hat ganz normal funktioniert.
Ich finde auche keine jashla.exe. Hab mehrere Virenprogramme durchlaufen lassen, aber die finden alle das übliche. Sollte ich trotzdem bedenken haben und das System reparieren?

Tevian 23. August 2011

Also mit F8 beim Start in den Abgesicherten Modus mit Eingabeaufforderung gehen. MS Dos suchfunktion dir/s jashla.exe eingeben dann sollte er das verzeichnis finden wo sich der Virus befindet. (bei Windows XP hat das funktioniert ). Dann einfach ins Verzeichnis wechseln und mit Erase die Datei löschen. Nach langen probieren und suchen hab ich so den Virus gefunden und gelöscht

Friedl 24. August 2011

Für alle, die den Virus beseitigt haben, aber keine Desktop-Icons und keine Taskleiste mehr haben:
Task-Manager über Strg+Alt+Entf starten, den Reiter "Herunterfahren" wählen, und den jeweiligen "Benutzer abmelden"
Nach dem nächsten Neustart ist der Desktop wieder o.k.

Übrigens läßt sich der Virenaufruf für Leute, die nicht so gerne in die Registry gehen, am einfachsten mit dem kleinen Tool "Autoruns" von Sysinternals entfernen.
Hier wird haarklein angezeigt, was beim Systemstart von wo geladen wird.
Mit einem Rechtsklick + anschließendem "Delete" lassen sich alle unerwünschten Mitstarter aus der Welt schaffen.
Zum Testen kann man vorab auch mal nur das Häkchen rausnehmen, um zu sehen, was passiert.

Ich hoffe, ich konnte einigen von euch helfen, und beherzigt auch den Tipp mit der Uhrzeit der Erstellung von Frank 0867 weiter oben.

Gruß Friedl

Himann 25. August 2011

Hallo alle beisammen,
ich mich plagt nun auch die Bundespolizei… aber auf eine sehr heimtückische art… Ich habe nun sofort wenn ich starte diesen weißen Bildschirm und kann erstmal nichts machen. Ich kann wenn man geschickt am rand auf die rechte Maustaste drücke einiges auswählen (z.B. Quelltext anzeigen, Codierung, nach microsoft excel exportieren, Eigenschaften, etc.) aber das bringt mich auch nicht weit… ich kann dann per knopf druck meinen pc zum runterfharen bringen und da ich die quelltext datei offen habe fragt er mich ob ich sie speicher möchten, kann ich abbrechen und er fährt sich nicht mehr herrunter und ich kann taskmanager öffnen aber das weiße fenster ist weg und ich finde kein Prozess oder sonstiges der nach Virus ausschaut.
Ich kann genauso im abgesicherten Modus absolut nichts machen ich kriege in sekunden schnelle dieses weißes Bild (Ich möchte gerne das reaktionvermögen haben um den taskmanager zu öffnen :D) und bin genau wie im normalen Modus ausgesetz. Dazu kommt das mein pc nicht die Antivira cd als bootfähig ansieht , ich bin mir nun nicht sicher ob das am pc oder am virus liegt.

Jetzt meine Frage: was soll ich tuen?
ich bin echt am überlegen einfach mir eine neue Festplatte zu kaufen und den Schmarn ein Ende zu setzen

Himann 25. August 2011

Als zusatz Info: Unter Eigenschaften konnte ich entnehmen das es zur einer "Mahmut.exe" gehört

Asdf 14. September 2011

Hi hast du jetzt schon rausgefunden wie du das wegmachst?
 Bei mir ist es jetzt genau so ich kann den task manager nicht rechtzeitig öffnen -.-

Philipp S. 29. August 2011

Also ich hatte den Scheiß Virus auch heute. Hab lange gesucht (3 Stunden) bis ich was gefunden habe wie ich ihn wegbekomme. Hab ihn jetzt wegbekommen.

Also hab das wie folgend gemacht.
1. Windowns im normalen Modus starten
2. Direkt nach dem Start, Task-Manager öffnen und nach Namen sortieren
3. Dann nach jashla.exe suchen und diesen Prozess schließen (damit kann das Fenster erstmal vorerst nicht aufgehen)

Dann folgendes:
4. Öffnet den Registrierungseditor (bei Suche "regedit" eingeben, da findet man den)
5. Wenn er auf ist, F3 drücken (da kommt ein Feld zum suchen)
6. Gebt in dieses Feld "jashla.exe" ein und wartet bis es was gefunden hat
7. Bei mir fand es mehrere Sachen, aber bei einem stand im Pfad ganz hinten "jashla.exe", diesen Pfad aufschreiben und auch auch gleich im Regestrierungseditor löschen
8. Den aufgeschriebenen Pfad befolgen und dann dort auch löschen (jashla.exe)

Bei mir ging es danach wieder 🙂
Am Besten dann nochmal ein Virenprogramm drüberlaufen lassen. 😉

T.T 5. September 2011

 Vielen Dank.Es hat geklappt!!!!!

Boettcherws 6. September 2011

Hallo Philipp,
dank deiner sehr guten Führung ist es mir gelungen, das blöde Ding vom PC zu kriegen.
Wolfgang B.

Winne St 17. September 2011

funktioniert im ersten Teil, aber es läuft kein jashla.exe und nach einigen Sekunden startet dann das Bild trotz Taskmanager

Winne St 17. September 2011

auch in Registrierungsedtor ist kein jashla.exe

Wolfgang N. aus K. b 4. September 2011

Bei mir war es die Datei mahmud.exe.
Dank Eurer Ansätze habe ich als absoluter Computerdepp an nur einem verdorbenen Sonntagnachmittag das Teil entfernt.
Vielen Dank

Willnurmalgastsein 6. September 2011

Achja wenn jemand nicht weiß wie er beim bild in die Eigenschaften kommt dann einfach mal unten rechts oder oben links im bild klicken..da gehts 😉

Christopher 11. Oktober 2011

habs mit norton gemacht

lordmat 11. Oktober 2011

Es gibt viele varianten 🙂

Pfeffer55 2. November 2011

Hallo,
bei mir (Win7) war es der Mahmud.exe. Avira Rescue-Disk hat ihn nicht gefunden. Beim Hochfahren habe ich mit Strg-Alt-Entf Taskman gestartet und den Dienst Mahmud.exe beendet. Dann in der Registry den Eintrag gesucht und gelöscht. Die Datei fand sich unter …Appdata/Roaming/Mahmud.exe
Bei gezielter Suche hat Avast sie dann gefunden und gelöscht. Ich hoffe, das war´s!

Mike Possekel 15. November 2011

@1e7c2452c834406bcb6b64b960647828:disqus 

ich hatte das ding heute nacht auch drauf 🙁
also erstmal kann man ganz oben bei dem bild (fakemeldung) rechtsklick machen und da sieht man wie die .exe heißt und in welchem ordner die ist.habe mir dann im abgesicherten modus ( MIT netzwerk ) im i-net die iso von >>> http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/ <<< runtergeladen und gebrannt – danach neu gebootet und die live-cd von kaspersky suchen lassen. mit der cd habe ich dann auch einiges gefunden und löschen lassen.

Balkan-rapper 3. November 2011

bringt des was wen ich den pc formartier

Matze 4. November 2011

Klar, aber dir sollte auch bewusst sein, dass dann deine Daten weg sind, so fern du nicht 2 Partionen hast.

Ergo C: und D: –> C fürs Betriebsystem und D für die Daten 😉

Mike Possekel 15. November 2011

http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/ live-cd image – runterladen, brennen, starten und reinigen – hat bei mir funktioniert

Arlinda D 27. November 2011

Aber bei geht weder das mit f8 noch mit dem rechtsklick nicht.. Bei mir ist es eine meldung von „federal department of justice and police“ und es steht der genau gleiche text wie oben. Auch die gleichen schreibfehler.. Was nun?

Matze 28. November 2011

Wie versuchst du das den mit dem F8?

Am einfachsten immer auf F8 drücken, so bald du den PC startest.
Dann sollte nach geraumer Zeit eine Auswahl erscheinen mit „Abgesicherter Modus“

Drostmel 28. November 2011

Hallo, bin ebenfalls von diesem BKA-Fake betroffen, habe auch sofort die Rechtschreibfehler entdeckt, und mir klar, dass das ein Fake sein muss. Kann es sein, dass dieser Virus auch Treiber angreift? Seit dem ich diese Seite zum 1. Mal auf meinem Rechner entdeckte, kann ich  meinen Drucker nicht mehr  über dem PC aktivieren. Das komplette Druckermenü ist verschwunden, und die Treiber lassen sich auch nicht mehr neu installieren.
Ich habe den „abgesichertern Modus“ versucht, aber die Seite kam trotzdem wieder. Es startet sich außerdem der IE, obwohl ich den gar nicht auf meinem Rechner installiert habe, und ihn auch in keinem Pfad auf dem Rechner finden kann  ( wollte ihn deinstallieren !), aber er öffnet sich trotzdem.

he now it! 6. Dezember 2011

was ich gemacht hab is alte system absicherung draufgespielt und alles lief wieder einwand frei ;D

Frank 30. Dezember 2011

Hallo Matze,
daß Du im Schwabenland lebst, mußt Du nicht betonen … und das ist auch nicht komisch, aber logisch – denn: Du bist unwissend.
Ich gehöre nicht der „Klick-auf-alles-Fraktion“ an.
Aber ich muß gezwungenermaßen ab und zu Seiten besuchen, die man gern aus polit.-ideolog. Gründen hackt.
Dir zu erklären warum, hieße einem Pferd etwas vom Schlachthof zu erzählen.
Und wieder wird das alte Klischee bedient: Unwissenheit verkauft sich ungeniert, unüberlegt und peinlichkeits-unbewußt !

Pypsilon 6. Januar 2012

Hatte gestern das zweifelhafte Vergnügen, den BKA-Trojaner wieder einmal zu erfahren. Eingehandelt habe ich ihn mir entweder über einen RSS-Feed einer Online-Zeitung oder über das Windows Media Center. Andere Programme liefen nicht.
Zuerst wollte ich, wie vorher schon mehrfach praktiziert, ein Backup aufspielen. Dann habe ich es doch erst mal so probiert. Meine Vorgehensweise unterscheidet sich jedoch etwas von den oben angezeigten Arten:
1. Erst mal im abgesicherten Modus neustarten (beim Booten F 8 drücken).
2. Den Ccleaner starten (Programm zum Entfernen von allen möglichen temporären Dateien sowie zur Reinigung von Registry von falschen und überflüssigen Einträgen). Sehr zu empfehlen!
Der Ccleaner hat unter Extras auch die Möglichkeit, Autostarteinträge zu überprüfen. Und siehe da: da war ein Eintrag für eine Datei 0.166580 usw. exe. Dateiort aufschreiben und anschließend den Autostarteintrag löschen. Das geht im Gegensatz zu msconfig auch.
3. Im Explorer zum Dateiort der 0.166580usw. gehen (Benutzer/Name/Appdata/local/temp ) und anschließend die exe-Datei auch löschen.
4. Neustart normal, BKA-Trojaner war weg.
Hurra!!!
5. Suche nach dem Trojaner mit BitDefender: ohne Ergebnis.
Weitere Suche mit der Kaspersky Rettungs-CD: ohne Ergebnis.
Dann Suche mit dem Standalone System Sweeper von Microsoft:
Fund Trojaner beim Deployment Cache von Sun Java.
Löschen, seitdem ist Ruhe.
Ich habe anschliessend die Registry rauf und runter abgesucht nach den ominösen 30 Einträgen, wo sich der Trojaner auch einnisten soll. Aber nichts gefunden.
Hoffe, es bleibt dabei.

Matze 6. Januar 2012

Schöne ausführliche Information 🙂

Dann passt das ja mit der Information, dass der Virus nicht mehr Jashla oder Mahmud heisst, sondern eben jetzt irgend eine random Zahl.

Fabio 10. Februar 2012

Hallo Matze ich komme einfach nicht mehr weiter es ist das dritte mal das es mir mit diesen Desktop sperren passiert als erstes dieser Bundes tojaner und ein halbes Jahr später die Nächsten ich habe alles probiert was es gibt wirklich alles nichts funktioniert !!! An den abgechierten Modus komm ich nicht rein und die ganzen tasten Kombination haben auch nicht geklappt ich habe genau 10 sek nach dem Start buss die sperre kommt ich versuche immer die Zeit zu nutzen in dem ich den abgesicherten Modus aufzurufe wenn er da ist kann ich nichts tun da nichts angezeigt wird was ich beenden könnte brauche Hilfe !!!

Matze 10. Februar 2012

Wie genau startest du den abgesicherten Modus?
Gleich nach dem Neustart – F8?

Fabio 12. Februar 2012

Ja oder die anderen Kombinationen

Fabio 12. Februar 2012

Ich konnte grad mein task Manager önnen und habe die Datei beendent vor lauter eile habe ich mir die datei nicht aufgeschrieben jetzt mich ich es wohl mit der Cd versuchen …

Cj 13. Februar 2012

Ich habe heute auch Bekanntschaft mit dem tollen Virus gemacht…..Schrecklich fies!!
Bin in den abgesicherten Modus gekommen doch nun stehe ich da mit meinen latain…bin kein pc Freak und hab grad kein Plan wie ich dieses Teil finde bzw. Löschen kann???.
Bitte um schnelle( in keinem Fachchinesisch)lol Hilfe!
Daaannnkkkeeee

Matze 13. Februar 2012

Du hast die Möglichkeit unter Start >> Ausführen >> msconfig – die „Systemsstart“ Programme dir anzuschauen.

Am besten schauste, nach einer .Exe datei – die kein Programmname ist. Z.b.: 1541512158510.exe – andernfalls kannst du auch einen Screenshot machen 🙂
Danach deaktivierst du die .Exe beim Start. Einfach den „Hacken“ entfernen.
Neustarten und kontrollieren, ob das Fenster weiterhin auftaucht.

Falls nein kannst du jetzt die Datei löschen 🙂

Cj 13. Februar 2012

Das einzigste mit was ich mit exe finde ist dies:lxdxmon.exe
Wäre dies möglich?

Matze 13. Februar 2012

Deaktivier die Datei einfach im Systemstart, Starte neu und schau ob es die ist.
Kann aber gut möglich sein 😉

Cj 13. Februar 2012

Super hat funktioniert…..vielen Dank!
Wie lösche ich es nun komplett heraus? Klappt nicht über die Suchfunktion und wie kann ich mich in Zukunft schützen?

Matze 13. Februar 2012

Unter msconfig >> systemstart sollte auch der Pfad zur Datei stehen – dort einfach die Datei löschen.
Um den Autostart Eintrag zu entfernen Start >> Ausführen >> Regedit >> HKLM(HKEY_LOCAL_MACHINE)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run >> dort sollte der Eintrag dann auch gelöscht werden.

Cj 13. Februar 2012

Klappt nicht :(((

Matze 13. Februar 2012

Du musst mir schon sagen, was nicht klappt 😉

Cj 13. Februar 2012

Das raus löschen ich kann das exe Teil nur aktivieren oder deaktivieren aber nicht loeschen

Matze 13. Februar 2012

Dann haste es vielleicht falsch verstanden, in dem Fenster in dem du Aktivieren und Deaktivieren kannst, dort siehst du unter „befehl“ den Dateipfad zur .Exe Datei. 🙂

Cj 13. Februar 2012

Ok ich geb’s auf….bleibts eben da trotzdem danke pc geht wieder

Vincent 26. Februar 2012

Hey Leute mir is das selbe passiert nach ner zeit bin ich auch auf die sache mim sicheren modus gekommen weil ich nich schnell genug war hab ich den pc ausgemacht und beim hochfahren zugeplappt dadurch hat er sich scheinbar aufgehängt dann wurde die windows system reperatur durchgeführt nun is der scheiß weg

Ritt79 25. März 2012

Hallo, habe ein Notbook mit Windows XP und auch diesen BKA Virus….nur kann ich nicht im abgesicherten modus starten noch reicht die zeit mit dem taskmanager( nur paar sekunden) aus um einen virus zu finden. da viele exe datein angezeigt werden. was kann ich nun machen um die systemwiedergerstellung oder ähnliches zu machen

Matze 26. März 2012

Kannst du den Grund nennen, weshalb der Abgesicherte Modus nicht geht?

LaTex 9. Juni 2012

Ich hab auch den Rechner eines Bekannten bekommen und konnte im (F8) Bootmenü nichts auswählen. Das lag daran das er mir nur den Rechner gebracht hat und ich meine usb Tastatur angeschlossen habe. Eine alte Tastatur dran und es ging. Allerdings reiche die Zeit im Abgesicherten Modus einfach nicht für den Task-Manager. Lösung -> F8 -> Abgesicherter Modus mit Eingabeaufforderung -> Virus startet nicht. über Task-Manager den Explorer starten und Antiviren-Programm starten lassen oder wie oben beschrieben vorgehen.

Kommentarfunktion ist deaktiviert

Wir haben Cookies, aber nicht fürs Krümelmonster. Nom Nom

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen", um Ihnen das beste Surferlebnis möglich zu geben. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen zu verwenden fortzufahren, oder klicken Sie auf "Akzeptieren" unten, dann erklären Sie sich mit diesen.

Schließen