Ukash-Tojaner entfernen
Während dem Surfen vorher ging plötzlich ein Pop-Up im Vollbildmodus auf. Ich dachte mir nichts dabei und wollte es wegklicken, doch leider funktionierte dies nicht. Dann erst habe ich mir das Pop-Up genauer angeschaut. Es war im XP-Design von “Windows Security Center” gehalten. Folgende Meldung stand dort:
“Achtung! Ihr Computer wurde gesperrt!!! Bei der Überprüfung der Echtheit von Windows wurde festgestellt, dass auf Ihrem Computer nicht lizensierte Software installiert wurde! Die Microsoft Corporation verbietet es ausdrücklich, unlizenzierte Software zu benutzen.”
Leider habe ich davon kein Foto geschossen. Per Ukash sollte ich dann 100 Euro bezahlen, um eine gültige Lizenz zu erwerben. Bullshit. Mit der Tastenkombination “ALT+STRG+ENTF” konnte ich zwar das Windows 7 Auswahlmenü aufrufen, aber das wars auch schon. Der Taskmanager wurde nicht angezeigt und beim Versuch zum Herunterfahren hat sich mein PC aufgehängt. Nach einem Neustart per Resetknopf ist direkt wieder das Pop-Up zu sehen.
Also kurz im Internet recherchiert. Bei dem Pop-Up handelt es sich um einen ganz frischen Trojaner. Wohl eine etwas abgewandelte Version des BKA-Trojaners von letztem Jahr. Aktuell gibt es zwei Wege den Trojaner zu entfernen. Falls die Möglichkeit besteht ein anderes Windows zu booten (über CD oder USB-Stick) reicht es die aktuellste Version von Malwarebytes Anti-Malware scannen zu lassen. Das Programm findet den Trojaner und löscht alle Dateien und Verweise. Ansonsten kann der Trojaner aber auch ohne viel Aufwand von Hand entfernt werden:
- Entfernt das Netzwerkkabel von eurem PC
- Startet Windows im “Abgesicherter Modus mit Eingabeaufforderung“
- Löscht alle Dateien im Ordner “C:\Users\USERNAME\AppData\Local\Temp\“
- Löscht alle Inhalte des folgenden Ordners “C:\Users\USERNAME\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\“
- Startet den Registrierungs-Editor mit dem Befehl “regedit” aus der Eingabeaufforderung heraus
- Löscht folgenden Eintrag “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja“
Nach einem Neustart ist der Trojaner vollständig entfernt.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
Patentlösung: Sich so was gar nicht erst einfangen.
Ja, ich weiß, der kam von ganz allein, ohne dass du irgendwas fragwürdiges gemacht hättest…
Du hast es erfasst ;-)
Spaß beiseite. In diesem Augenblick habe ich einen anderen Blog besucht und mich über die viele Werbung gewundert.
… die von gaaaanz allein auftauchte.
Hallo Tux. Du wirst lachen, aber mir ist voriges Jahr das Gleiche passiert. Ich wollte den IE aufrufen, schon hatte ich diesen UKASH auf meinem PC. Ich habe es geschafft, diesen Störenfried los zu werden, aber Spaß machte es nicht.
Nö – da lache ich nicht. :)
Der IE ist Teil des von Tux favorisierten Betriebssystems Windows. Evident, dass ihm das Lachen im Halse stecken bleibt.
Mich hat es auch gerade eben beim surfen mit firefox erwischt. Hatte auch java installiert. Firefox 10 und alle win7 updates inkl. Security essentials. Ich war nur auf wordpress blogs unterwegs…
So wars bei mir auch. Höchstwahrscheinlich eine Sicherheitslücke in Java 6. Habe gleich mal alle Java-Plugins im Firefox deaktiviert.
Ich habe nichts willentlich ausgeführt oder runtergeladen. Ich war auch nicht als admin eingeloggt. Sowas ist mir noch nie passiert…
Konkretisierung der Patentlösung: Linux nutzen.
Meine “Sicherheitslösung”: Browser in einer Sandbox starten! :) Sandboxie for the win! *yay*
das teil durfte ich vor ein paar wochen auch bei einem verwandten beseitigen
es hat aber gereicht den autostart link zu löschen, dann war er deaktiviert
nach einem update von MSE wurde er auch erkannt und gelöscht…
mfg thomas
hallo, ich hab eine frage, im abgesicherten modus wie muss man das eingeben um das zu löschen? wir sind jetzt in einem schwarzen fester mit weisser schrift
wie eght das ganz detailliert, wir haben sowas noch nie gehabt vorher.
das wäre lieb danke :)
Genau, das ist die Eingabeaufforderung. Dort könnt ihr die Datei direkt mit dem Befehl “del C:\Users\USERNAME\AppData\Local\Temp\0.7309702442055994.exe” löschen.
Alternativ könnt ihr mit dem Befehl “explorer” den Windowsexplorer starten und dort wie gewohnt über die Ordneransicht zu der Datei navigieren und diese löschen.
Vielen Dank! Ich hatte mir diesen Mist auch eingefangen und war kurz davor, mein System neu aufzusetzen, weil ich nirgendwo etwas vernünftiges finden konnte. Bis ich diese Seite sah… hat perfekt geklappt! Nochmals besten Dank!
Hallo,
habe seit heute das gleiche Problem und habe die Anweisungen ausgeführt bis zum Punkt 6. Dort kann ich kein Verzeichnis dieser Art finden!
Habe dann den Computer neu gestartet, dass markante Fenster mit der Systemsperrung erscheint zwar nicht mehr aber die Anzeige der Symbolleisten sind deutlich anders und zudem komme ich nicht mehr ins Internet, da ich keine Wlan Verbindung angezeigt bekomme in der Taskleiste!
vllt. hat jmd das selbe Problem oder man kann mir so weiter helfen! Sitze gerade an einer Studienarbeit und da is dieser Ausfall sehr unpassend!
MFG Philipp
Ich hatte aus Versehen die Kurzschreibweise “HKCU” verwendet. Es muss aber “HKEY_CURRENT_USER” lauten. Nun solltest du den Eintrag finden!
mich hats jetzt gerad auch erwischt : ( bin mit lappi on
wenn ich im abgesicherten modus mit eingabeaufforderung bin wie lösch ich denn da ne datei? kenn mich da nich so aus ;) hab halt die cmd.exe auf aber kann damit auch nich viel anfangen
Habe ich bereits weiter oben beschrieben:
https://www.antary.de/2012/02/01/ukash-tojaner-entfernen/#comment-9991
Grüß dich…super dargestellt….
hättest du das gleiche auch für XP? So großartig dürfte sich das doch nicht unterscheiden..?
Lediglich bei 3. und 4. lautet der Pfad anders. Ansonsten sollte es gleich sein.
3. C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temporary Internet Files\
4. C:\Dokumente und Einstellungen\USERNAME\Anwendungsdaten\Sun\Java\Deployment\cache\6.0
Dankeschön – Probiere ich nachher aus.
In der Zwischenzeit konnte ich über ein Boot-System den Malwarebytes laufen lassen.
Folgendes kam heraus:
Exploit.Drop2, Kategorie: File
C:\Dokumente und Einstellungen\USERNAME\Lokale Einstelllungen\Temp.1012326659016961.exe
Exploit.Drop2, Kategorie: Registry Value
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja
Exploit.Dropper, Kategorie: File
C:\Programme\Mozilla Firefox.55669477474217.exe
Was sagt uns das?
Ausserdem wurden zwei Disable Notifier in der Registry entdeckt.
(PUM.Disabled.SecurityCenter)
Die haben sich ganz schön Mühe gegeben.
Woher die Infizierung kam ist übrigens gänzlich unbekannt.
Alle Seiten waren komplett harmlos
@Mr. Crous
Ist FF in einer Sandbox nicht langsam bzw. der ganze Flow zu lahm?
Theorie…
Tolle Anleitubg und vielen Dank fuer das kurzfristige Einstellen. Heute morgen hat es mich erwischt und eine Stunde spaeter kann ich wieder arbeiten!
Hallo,
ich habe alles so ausgeführt wie es verlangt war, pc funktioniert wieder allerdings ist im internet der Hintergrund überall weiß…. außerdem erinnert das design der Symbolleisten eher an Windows 98,….. hab ich vll zuviel glöscht,….. Oder wie kann ich das beheben….?
MfG
chris
Nein von meiner Anleitung kann das nicht sein. Eventuell hast du noch ein anderes Problem. Installier mal Malwarebytes Anti-Malware und lass es scannen.
Vielen vielen Dank,
ich habe mir vor 2 Tagen einen neuen Laptop gekauft und hatte gerade dieses Problem und obwohl ich absolut keine Ahnung von Pcs habe, konnte ich alles wieder beheben! In diesem Sinne: Vielen Dank nochmal
He, hat prima geklappt, auf dem Rechner meiner Freundin war das auch. Das mit dem “Explorer” war n guter Tipp! Danke!!! Sie wußte ihren Username nicht mehr ;)
Hallo,
komme nicht in den Abgesicherten Modus, Bild schwarz, Cursor blinkt.
Gibt es dafür vielleicht eine Lösung?
Habe auch schon diverse Rescue CD`s durchlaufen lassen.
Der Scan wird nach kurzer Zeit abgebrochen und das Live-System der CD runter gefahren.
Danke schonmal im Voraus.
Höchstwahrscheinlich hast du dann ein anderes Problem. Falls die Möglichkeit besteht, würde ich die Festplatte ausbauen und an ein anderes System zum Scannen hängen.
Hi! Ein Schreck zur Abendstunde. Auch ich hatte mir diesen Trojaner gefangen, aber dank der klugen Tipps ging er auch unter Windows XP leicht wieder zu entfernen.
Kleiner Hinweis noch: Im Explorer hat der PC mir einige Ordner gar nicht erst angezeigt. Der Weg über die Dos-Eingabeaufforderung war daher nötig. Hätte nicht gedacht, dass sich die MS-Dos-Kenntnisse irgendwann nochmal so auszahlen ;-)
Hallo!
Bei mir ist es folgendermassen gelaufen: Konnte mit Eingabeaufforderung punkt 3 und 4 nicht durchführen und habe die Ordner auch nicht im Explorer gefunden… Es kam immer der hinweis, dass der Ordner entweder nicht vorhanden sei oder ich den Befehl falsch schreibe. Punkt 6 konnte ich jedoch durchführen und diese Datei löschen. Habe den Laptop neu gestartet und jetzt funktioniert alles wieder. Ist der Trojaner jetzt trotzdem entfernt oder hat er sich immer noch eingenistet??
Lgs
Vermutlich ist er noch auf der Platte, er wird nur nicht mehr automatisch geladen. Am besten du installierst Malwarebytes Anti-Malware und lässt deine Festplatte scannen.
Hallo ich bin auch betroffen und ich habe das problem, dass ich nicht im abgesicherten modus starten kann da wenn ich die f5 taste gedrückt habe und das bild erscheint ich die pfeiltasten nicht benutzen kann was nun?
Hallo,
ich bin auch nicht in den abgesicherten Modus gekommen.
Hab dann ERD Comander genommen und wie oben angegeben den Inhalt vom Temp und Cache Ordner gelöscht.
Den besagten Eintrag in der Registry gab es bei mir nicht.
Der Rechner lies sich nach dem Löschen wieder hochfahren.
Hab dann Malewarebyts drüber laufen lassen und nun ist alles wieder ok.
was ist denn der erd commander und wie geht das? :D sorry hab überhaupt keine ahnung
Falls du eine andere Tastatur hast würde ich erst einmal diese versuchen. Ansonsten siehe mein Kommentar weiter unten.
Hi ich hab ein großes Problem! Habe mir den Virus eingefangen und der Abgesicherte Modus funktioniert nicht!!! Bitte um schnelle antwort
@Marcel
Im Prinzip hast du viele Möglichkeiten. Falls die Möglichkeit besteht, würde ich die Festplatte ausbauen und an ein anderes System zum Scannen hängen. Alternativ kannst du von einer Rescue-CD booten und die besagten Dateien löschen. Gibts zuhauf im Internet.
welche rescue cd könntest du denn empfehlen?:)
Beispielsweise “BitDefender Rescue CD”, “AntiVir Rescue System” oder “Kaspersky Rescue Disk”. Alternativ könntest du auch “Ultimate Boot CD” nutzen. Die Download Links kannst du dir selbst googeln ;-)
Hallo Tobi
hab gerade hier deine Webseite gefunden. Du hast ja richtig Ahnung.
Hab ein Problem mit dem Computer. Da ist ein Virus drauf, ich verstehe nicht warum. Ich kann mich mit meinem Benutzerkonto nicht mehr anmelden. Dann kommt immer die Aufforderung zu zahlen, weil Windows gesperrt ist.
Ich kann mich aber noch mit einem anderen Benutzerkonto noch anmelden, ohne daß die Meldung kommt.
Ich kenne mich nicht mit Computern aus und nutze fast nur Facebook und Messenger um mich mit Freunden zu unterhalten.
Kannst du mir bitte helfen! Wenn ich das Problem nicht wieder loswerde bekomme ich Ärger.
Ich habe versucht deine Anweisungen umzusetzen, komm aber damit nicht zurecht.
Das liegt aber sicher an mir, weil ich keine Ahnung habe von Computern.
Da ich ja noch mit einem anderen Benutzerkonto anmelden kann, gibt es da nicht einen einfachen Weg für mich?
Vielen Dank für deine Hilfe.
Gruß
Vicky
Hallo Tobi,
hatte noch vergessen zu sagen: Auf dem Computer ist Windows 7 und ich benutze Internet Explorer 7
Vicky
Hallo Vicky, vermutlich ist es schwer die Anweisungen umzusetzten, wenn man sich nicht so gut damit auskennt. Leider kann ich es nicht viel besser beschreiben.
Am einfachsten wäre es du holst dir jemanden einen Freund oder Bekannten, der sich mit PCs auskennt.
Hallo, wie frustrierend. Ich stolper schon beim ersten Schritt! Wie komme ich in den Abgesichteren Modus mit Eingabeauffoerung? Wenn ich beim booten f12 drücke, kommen verschieden englische Optionen wie Boot utility partition oder so…
Danke für deine Antwort! Sabine
Du meinst wohl den zweiten Schritt. Während dem Booten mehrmals F8 drücken, bis ein Auswahlmenü erscheint, welches die Eingabeaufforderung anbietet. Wenn das Windows-Logo erscheint ist es zu spät. Eventuell muss man es mehrmals versuchen, bis das Menü erscheint.
so weit, so gut, aber jetzt steht dort c:\dokumente und einstellungen\username.
dort den befehl zum Löschen einzugeben hat nichts gebracht ‘Pfad nicht gefunden’.
Mit c: oder c:\ komme ich auch nicht auf die ‘C_Ebene’. Waskann ich noch versuchen (verzweifelt)?
@ Sabine Gams
mit cd\ kommt man ins root verzeichnis
cd.. eine Ebene nach oben
vielen dank. schon blöd, wenn man so gar keine Ahnung hat… leider ist die Antwort meines PCs auch diesmal: Pfad nicht gefunden. Auch wenn ich im Explorer suche, findet er diese datei nicht. Was nun?
Falls du noch Windows XP hast lautet der Pfad so: https://www.antary.de/2012/02/01/ukash-tojaner-entfernen/#comment-10001
Ansonsten am besten im Explorer zu dem Ordner navigieren und von dort aus löschen. Eventuell musst du noch die versteckten Ordner einblenden lassen. Das ist hier beschrieben.
Hallo Tobi,
gibt es nicht irgendein Programm, das automatisch den Virus entfernt?
Oder reicht es wenn ich einfach das Benutzerkonto lösche und ein neues Benutzerkonto anlege? Ist der Virus dann komplett weg?
Danke für deine Unterstützung.
Sorry habe ganz überlesen, dass du dich mit einem anderen Nutzer noch anmelden kannst. Dann reicht es wenn du Malwarebytes Anti-Malware installierst und den PC scannen lässt.
Danke sehr, werde das mal versuchen.
Danke für die super Anleitung!
Hat alles bestens geklappt und jetzt funktioniert alles wieder, wie es soll!
Hallo Tobi, danke für deine Hilfe. Hab den Virus beseitigt.
Aber sag mal, woher hast du so viel Ahnung? Machst du das beruflich oder bist du ein Super-Hacker?
Das hat mit Hacken überhaupt nichts zu tun ;-)
Interessiere mich privat für alle möglichen Sachen rund um den PC und auch beruflich bin ich in dieser Ecke tätig.
Hallo,Danke für deine Ausführliche Erklärung zum Entfernen des “UKASH”.
Habe auch die letzten Tage nichts runtergeladen oder installiert.
DANKE
Hi, habt ihr nachdem ihr die Trojaner entfernt habt eure Desktop und Taskleiste zurück? Ich habe auch ein Trojaner mit ähnliche Symptome erhalten (bei mir kam noch dazu, dass mir erzählt wurde meine HDD ist kaputt) hab’s erfolgreich entfernt aber mein Desktop und Taskleiste sind immer noch leer , ne idee?
Ich komme nur zur Eingabeaufforderung und dort steht das sie durch den administrator deaktiviert wurde. Mh :l
Huhu … hab mir den trojaneer auch eingefangen… hab dann über strg+alt+entf das Windows7-Menü geöffnet und wollte herunterfahren, wobei sich der PC wie oben beschrieben aufhing. Da wuurde ich gefragt herunterfahren eerzwingen oder aabbrechen… nun hab ich auf abbrechen geklickt und kann den pc nun – nach einem neustart des explorers – normal verwenden … bis zum nächsten start
wer so nicht weiter kommt der kann im abgesicherten modus ihn erstmal blocken und dann mit virus scanner löschen und es geht so . abgesicherter modus hoch fahren beim start f8 drücken auswählen und er fährt hoch dann start und msconfig eingeben und enter, dann öffnet sich ein fenster wo system start steht da denn hacken wo steht vasja weg machen und der pc startet wieder normal dann virus scanner durchlaufen lassen und alles ist ok, der mircosoft virus scanner findet in nur bei vollständer scann, mfg Andreas
Danke Andreas, mein Computer läuft wieder.
Nachdem ich eine Rescue CD gebrannt habe und der Compi nicht darüber gestartet ist, habe ich im Bios herumgesucht und bin gescheitert. Habe im abgesicherten Modus auf der DOS Ebene die Befehle von Tobi eingegeben und bin nicht weiter gekommen.
Durch Deinen Tipp läuft der Computer wieder normal und ich lasse gerade den Virenscanner durchlaufen.
Nochmals vielen Dank, mfg Martin.
Hey Tobi was mache ich wenn ich den eintrag Run in der reg nicht finde? Vielen dank für diesen Beitrag
Wenn du die anderen Schritte befolgen konntest und der PC wieder funktioniert dann ist der fehlende Eintrag egal.
Hallo,
Nach langem Suchen habe ich endlich mal eine klare Vorgehensweise gefunden. Vielen dank dafür. Konnten das System wieder zum laufen bringen.
Grüße
in meinem “Temp” ordner gibt es zwei dateien, die sich nicht löschen lassen.
Eine davon heißt “FXSAPIDebugLogFile” und das andere ist eine .TMP datei.
Wenn ich das System wieder normal starte geht es eine kurze zeit bis die Meldung wieder kommt. Ansonsten bin ich wie in der Anleitung vorgegangen.
Windows 7, 64Bit, Internet Explorer7
Hoffe du kannst mir helfen
Die erste Datei gehört zur Anwendung “Windows-Fax und –Scan” und stellt ebenso wie die zweite Datei kein Problem dar.
Ansonsten empfehle ich dir mal das Programm Malwarebytes Anti-Malware zu installieren und deinen PC scannen zu lassen, wenn er funktioniert.
Hallo Tobi
Gibt es auch für Windows Vista eine Möglichkeit, den ukash-Trojaner zu entfernen?
Da funktioniert Deine Vorgehensweise nicht, da die jew. Ordner gar nicht in der Form existieren. Weißt du da eine Lösung? Würd mich freuen wenn du antwortest.
Gruß
Hallo :)
ich habe alle schritte die oben gennant wurden befolgt , der Bildschirm wurde sogar wieder entsperrt jedoch funktioniert die Internet verbindung nicht mehr. Kann mir bitte jemand mal helfen :)
Hi Tobi,
danke für deine gute Anleitung. Das Ding ist heute 31.03. wohl immer noch unterwegs. Mich würde einmal interessieren wo es herkommt. Werbebanner? War eigentlich nur auf normlen Seiten unterwegs.
Vielen Dank und Grüße,
cmks
Leider kann ich dir das nicht genau sagen. Vermutlich ist aber eine Sicherheitslücke in Java schuld.
Hi,
habe das Ding ebenfalls aus unerklärlichen Gründen. Jetzt meine Frage, da ich mit sowas noch nie zu tun hatte und die Eingabeaufforderung irgendwie überhaupt nicht funktioniert:
In dem schwarzen Fenster steht C:\windows\system32>
Was muss ich jetzt genau eingeben, ich meine, nochmal C: oder nicht, Leerzeichen ja/nein?
Danke!!
Hier habe ich es bereits beschrieben: https://www.antary.de/2012/02/01/ukash-tojaner-entfernen/#comment-9991
ja das habe ich gesehen. Aber irgendwas stimmt da nicht. Kann nicht gefunden werden.
Klappt die Methode mit dem Explorer starten auch nicht?
Hatte das Ding auch heute bei mir drauf. Deine Anleitung hat super funktioniert. Jetzt läufts wieder. Besten Dank.
Aber wie kommt man darauf, so eine Lösung zu finden?
Indem man selbst das Problem hat und sehr lange und intensiv nach einer Lösung sucht.
Danke für die gute Anleitung, Befehle musste ich zwar googeln aber hat gut geklappt ;) und das per Telefoninstruktionen an nen Kollegen der ein DAU ist :P
gute Arbeit
Oh man Hilfe hab dem gleichen mist aufm lappi( win 7) wenn ich angesicherten Modus starte hängt er sich auf…… Ich kenn mich jetzt auch nicht super aus aber ich brauch den pc heute Hilfe
Hier habe ich bereits weitere Lösungsmöglichkeiten aufgezeigt.
Falls du das auch nicht schaffst musst du wohl einen Freund holen, der sich ein wenig auskennt.
Jetzt wenn ich den pc lappi wie auch immer hoch fahre und f8 drücke kommt Windows normal starten oder Windows starthilfe ( empfohlen)
Wenn ich das mit der cd mach stürzt et die ganze Zeit ab
Hey,
danke für die Beschreibung zum Entfernen!
Man kan das Ding auch mithilfe von ccleaner relativ einfach entfernen, indem man einfach bei Autostarts den Trojaner bzw. vasja raushaut.
Dann sind alle Ordner gelöscht die damit zusammen hängen.
lg
Hallo,
ich habe auch diesen Trojaner.
Und leider so gar keine Richtige Ahnung von PC´s.
Ich habe so Angst einen Fehler zu machen, da sonst alle Kinderbilder weg wären.
Von 10 Jahren :-(
Ich habe versucht nach der Anleitung zu verfahren. Klappt aber nicht. Kann zwar Regedit eingeben, aber der Teil davor nicht. Bzw. stehen die zu löschenden Sachen nicht so in den Ordnern….
Bitte um Hilfe
hi
bei mir ist das gleiche bei windos xp gekommen also ich meine da wo mann 100 euro zahelen müssen wenn wir es nicht zahelen dan dan kommt das ins gericht in den blog steht ja das ich das abgesicherte modus starten muss abeer wie geht das das ich das abgesicherte modus starte ich habe in goggle geschaut da steht das ich dem computer einschaltensoll dan auschalten soll und dan während den ausschalten soll ich f8 taste drücken aber ich kann ihn dan nicht ausschalten weil dann gleich die meldung kommt dan komm ich auch nicht mal zum task manager
ich danke euch schon ihn voraus
mfg tobi
hi
jetzt habe ich den abgesicherten modus hingekriegt oben steht das ich den Ordner “C:\Users\USERNAME\AppData\Local\Temp\“ alle dateien löschen soll aber wo kann ich den ordner finden ich hb schon den namen eigegeben aberich glaube an der falschen seite könnt ihr mir bitte helfen wo ich dan eingeben muss bitte!!!!!!
mfg
tobi
“USERNAME” musst du natürlich durch deinen Windows-Usernamen ersetzen.
Also beispielsweise “C:\Users\Tobi\AppData\Local\Temp\”.
Ich habe das selbe Problem, es sieht aber so aus (danke bill gates), dass ich win7 nicht im abgesicherten modus starten kann, weil der bei der datei classpnp.sys immer hängen bleibt. im normalen modus siehts so aus, dass ich kurz was machen kann und dann das fenster aufgeht. hat jmd eine lösung?
So ich habs jetzt doch geschafft, und hab alles gemacht, bis auf den letzten punkt, ich komm bis zu Run dort ist aber kein -vasja- zu sehen…
Dann ist es vermutlich eine leicht abgewandelte Version. Der von mir beschriebene Version dürfte mittlerweile sowieso von allen Virenscannern erkannt werden.
ich hab die vasja datei zwar nicht gefunden, aber die lästigen XXXXXX die mich als angeblichen kinderpornographen hingestellt haben, haben dank dir mein nagelneues samsung netbook auf dem weg des papierkorbs verlassen. vielen dank für die hilfe, echt super! (-;
am ende habs ich es auch noch 2 mal neu starten lassen (man ist ja paranoid) aber niente keine spur mehr vom “seriösen bka”.
Hallo.
Ich habe alle Schritte befolgen können allerdings beim 6. Schritt “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja“ fehlt mir dieses “vajsa” am Ende zum löschen. Trotz, dass ich alle Schritte (außer Schritt 6) gemacht habe ist der Virus immer noch da. Wie soll ich hier weiter vorgehen?
Vermutlich handelt es sich um eine leicht abgeänderte Variante des Trojaners, der auch einen anderen Namen hat.
Ich würde vorschlagen du bootest von einer CD mit aktuellem Virenscanner drauf und lässt den Trojaner automatisch entfernen. In den Kommentaren habe ich bereits einige solcher möglichen CDs genannt.
Danke für die Antwort. Ich habe den Virus mit Hilfe des Programmes Malwarebytes Anti-Malware erledigt.
Es tut mir leid aber ich verstehe das alles irgendwie nicht ab dem zweiten Schritt. Ich bin kein Computer Fachmann. Könnte mir das vielleicht jemand Schritt für Schritt erklären. Und noch eine Frage: Löst sich der Virus nach 3 Tagen oder so wieder auf? Ich würde mich sehr über eine antwort freuen! Vielen Dank
Nein der Virus bleibt bestehen. Am besten frägst du einen Freund oder Bekannten, der dir helfen kann. Alles bis ins kleinste Detail zu beschreiben ist leider viel zu mühsam.
ich habe auch so einen trojaner u weiß nicht wie das eingeben muss im abgesicherten modus unter xp bitte um eine schritt für schritt beschreibung wie das eingeben muss u wo
danke für mühe
mfg christian
ps schreibe vom laptop mit win 7 nicht “festpc mit xp sp3
Wie oben erwähnt bitte einen Freund oder Bekannten fragen oder von einem Notfall-Medium booten. Habe ich in den Kommentaren auch schon zig Mal beschrieben.
Kann man das mit dem manuell löschen bei den ganz vielen angaben auch nicht im abgesicherten modus machen und wenn wie komme ich denn im win 7 home premium version in den abgesicherten modus im internet unter anleitung steht beim start ganz oft f8 drücken?
Habe übrigends den wierenscanner ohne internet einfach mal durchsuchen lassen und da sagte der mir dass er eine schwerwiegende bedrohung entdeckt die habe ich auch gleich gelöscht dann habe ich noch 2x neustart und da sagt der vierenscanner beim 2. mal daß die bedrohung entfernt wurde und jetzt geht computer auch wieder mit internet und alles wollte nur sicher gehen das der wirklich runter ist
Ja ist er dann. Die aktuellen Virenscanner entdecken den Trojaner mittlerweile ohne Probleme.