Hiefür gibt es leider keine Patentlösung, da es mittlerweile einige verschiedene Abwandlungen des Trojaner gibt. Es gibt aber Möglichkeiten, mit denen man gute Chancen hat, den Trojaner zu entfernen und somit die Meldung weg zu bekommen.
Prävention und Ursachenklärung:
Als erstes sollte man sich kurz überlegen, wir man den Virus bekommen haben könnte, bzw. ob man überhaupt ausreichend Geschützt ist und sich deshalb diesen Virus eingefangen hat. Hat man zum Beispiel keinen oder nur einen kostenfreien Antivirenschutz (Avira AntiVir, AVG Free Antivirus etc.) installiert, kann man sich die Frage schon selbst beantworten. Ein kostenfreier Schutz reicht heutzutage einfach nicht mehr aus (über garkeinen Virenschutz müssen wir glaube ich nicht reden, das ist ein NOGO)! Die häufigste Infizierungsgefahr bei diesen Viren/Trojanern sind die sogenannten Drive-by-Downloads. Was heisst, ein Virus installiert sich bereits durch den reinen Besuch einer Seite.Hiefür wird eine Sicherheitslücke im Browser ausgenutzt – Man muss also nur eine Internetseite anschauen, schon wird im Hintergrund, ohne unser Wissen, der Virus oder Trojaner heruntergeladen und installiert – Ein kostenpflichtiger Schutz ala Norton Internet Security kann uns hier in vielen Fällen bereits Schützen, da dieser alle Webseiten bereits vor unserem Besuch auf Gefahren überprüft und uns bei einer Gefahr davor warnt und die Seite blockiert. Ein Free Antivirus wird solche Attacken in den meisten Fällen nicht erkennen – Der Virus wird also einfach installiert.
Das können wir versuchen:
Als aller erstes, sollten wir mal versuchen, den PC oder das Notebook im Abgesicherten Modus von Windows zu starten. Solltet ihr euer Gerät aufgrund der Meldung nicht ausschalten können, haltet einfach 5 – 6 Sekunden lang den Einschaltknopf gedrückt. Der Strom wird komplett vom Gerät getrennt und das Gerät ist dann ausgeschaltet. Nun schalten wird unseren Computer wieder ein und drücken immer wieder die “F8″-Taste. Im normalfall sollte nach einer Weile ein Auswahlmenü erscheinen , weiße Schrift mit schwarzem Hintergrund. (Solltet ihr ein blauen Menü angezeigt bekommen, dann handelt es sich hier warscheinlich um das Bootmenü. Drückt einfach auf die “ESC”-Taste und wiederholt das Tippen auf “F8″.) Wir haben mehrere Auswahlmöglichkeiten, entscheiden uns hier für den Abgesichertenmodus mit Netzwerktreibern. (Es ist für den späteren Verlauf wichtig, den Modus mit den Netzwerktreibern zu verwenden, da wir einen Zugang zum Internet benötigen werden). Wartet bis Windows mit einem schwarzen Desktophintergrund geladen wird und bestätigt alle Meldungen zum Abgesichertenmodus mit Ja oder OK. (Sollte hier nun auch die Meldung des Bundestrojaners auftauschen, dann springt bitte zum nächsten Punkt
Viren und Trojanerentfernung via Boot CD.)
Als erstes müsst ihr euch nun ein spezielles Tool von Norton herunterladen – Den
Norton Power Eraser. Das Tool ist selbstverständlich kostenfrei.
Speichert das Programm am besten auf den Desktop eures Computers, damit ihr den Download wieder findet. Führt das Tool aus, bei Windows Vista und Windows 7 startet ihr das Programm mit einem rechtsklick und wählt “Als Administrator ausführen”. Akzeptiert die Lizensbedingung, anschliessend wählt ihr “Scan for risks”. Beim nächsten Fenster wählen wir “Exclude Rootkit Scan” und Klicken auf “Continue”. Der Norton Power Eraser scannt nochmal kurz nach Updates und startet dann den Scanvorgang des Computers. Dieser Vorgang kann je nach Leistung eures Computers/Notebooks variieren. Von zwei, drei Minuten, bis zu einer halben Stunde oder mehr. Also – Geduldig sein! Hat der Power Eraser nun einen Schädling entdeckt, dann klickt auf “FIX”, der Power Eraser löscht den Virus/Trojaner nun von eurem Computer.
(Sollte das Programm wieder erwarten nichts gefunden haben, oder der Virus taucht nach einem Neustart immer noch auf, dann haben wir hier noch folgende Tipps für euch: Installiert im Abgesichertenmodus eine Testversion zum Beispiel von
Norton IS 2011. Zusätzlich solltet ihr nun noch das Programm “
Malewarebytes Antimaleware” und führt einen Scan durch.)
Eine Testversion von einer Internetsecurity ala
Norton oder
Kaspersky ist zudem empfehlenswert, damit noch weitere Schädlinge, die der Power Eraser nicht löscht, entfernt werden. Der Power Eraser löscht lediglich nur hartnäckige und schwerwiegende Trojaner und Viren.
Viren und Trojanerentfernung via Boot CD
Haben die ersten Punkte auch hier nicht funktioniert oder ihr konntet die ersten Schritte nicht durchführen, da auch im Abgesichertenmodus die Meldung auftaucht, dann haben wir hier noch eine letzte Möglichkeit via einer Boot CD den Virus zu entfernen. Zum Erstellen und Brennen einer solchen Boot CD wird sowohl ein funktionierender Computer, als auch ein Brenner vorausgesetzt.
Hierfür gibt es folgende Boot CDs von verschiedenen Herstellern die zu empfehlen sind:
Norton Bootable Recovery Tool -> Benötigt wird eine originale Norton Lizens, ansonsten kann die Boot CD nicht ausgeführt werden.
Wir haben für euch einen abgelaufenen, aber für die BootCD funktionierenden Lizenzcode besorgt. Lizenz/Key Norton Boot CD/Bootable Recovery Tool: J78C3-9VMG6-JTM6V-CTBBH-J4T27
Avira Rescue System Boot CD -> kostenfrei, keine Lizens benötigt. Ein Brennprogramm wie zum Beispiel Nero oder ImageBurn werden benötigt um die Boot CD zu brennen.
Kaspersky Rescue Disk 10 auf CD -> kostenfrei, es wird keine Lizens benötigt. Ein Brennprogramm wie zum Beispiel Nero oder ImageBurn werden benötigt um die Boot CD zu brennen.
Solltet ihr hierbei auch erfolglos bleiben, dann solltet ihr euch ernsthaft gedanken über eine Neuinstallation von Windows machen. Alternativ könnt ihr ein paar Tage warten und hoffen, dass die Hersteller Updates für ihr Produkte veröffentlichen, welche diese Version des Virus/Trojaner erkennen und löschen können.
UPDATE 13.08.11: Erweiterte Lösung für findige User
Hier haben wir für euch noch eine erweiterte Lösung, die einiges an Erfahrung und Mittel erfordert. Benötigt wird ein funktionierender Rechner oder eine BootCD ala Knoppix, welche man sich kostenlos Herunterladen kann. Zudem braucht ihr eine orgininale Windows CD oder zumindest eine CD mit einem originalen Image.
Als erstes bauen wir die Festplatte aus und schliessen diese an unseren funktionierenden Computer an. Hierfür gibt es auch USB-Adapter, welche ihr [ame="http://www.amazon.de/gp/product/B000Q2YBOI/ref=as_li_qf_sp_asin_tl?ie=UTF8&tag=blog0e5-21&linkCode=as2&camp=1638&creative=6742&creativeAS IN=B000Q2YBOI"]hier[/ame] oder bei eurem Fachhändler ums Eck bekommen könnt. (Alternativ Bootet von eurer Linux Live CD). Startet den Rechner und fahrt in euer “gesundes” Windows. Öffnet das Laufwerk eurer infizierten Festplatte über den Arbeitsplatz/Computer. Dort müsst ihr alle Temporären Dateien, Sowie temporäre Internetdateien Löschen. (der Virus legt sich hier ab)
Der Virus versteckt sich voraussichtlich in einer Datei namens “jashla.exe” oder auch “mahmut.exe/mahmud.exe” (danke an Karsten für den Hinweis).
Die Pfade sind folgende:
(x steht für euren Laufwerksbuchstaben, es kann sein, dass es notwendig ist, versteckte Dateien Sichbar zu machen -> Ordneroptionen und Haken setzten.)
Für Windows XP User:
x:\Dokumente und Einstellungen\EuerBenutzername\Lokale Einstellungen\Temporary Internet Files -> Löscht den kompletten Inhalt in diesem Ordner, der Virus verbirgt sich warscheinlich in Content.IE5, löscht trotzdem alles.
Führt diesen Vorgang für alle Benutzerkonten durch, auch für den Administrator. Baut die Platte wieder in den alten Rechner ein.
Startet den Rechner. Er wird jetzt hochfahren und der Virus startet sich NICHT mehr. Allerdings öffnet sich auch euer Desktop nicht mehr richtig, es wird lediglich der Desktophintergrund angezeigt. Keine Problem, auch das beheben wir jetzt.
Hier habt ihr nun zwei Möglichkeiten.
Möglichkeit 1:
Wir löschen die veränderten Registryeinträge des Virus und setzten die Werte wieder auf den Standart. Öffnet den Taskmanager mit STRG + ALT + ENTF. Gebt in “neuer Task” den befehl “regedit” (ohne “”) ein.
Ändert folgenden Registryeintrag mit folgenden Werten:
Pfad: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell”=”Explorer.exe” (warscheinlich steht hier die jashla.exe/mahmut.exe/mahmud.exe drin)
Schliesst den Regeditor und startet neu.
Entweder es hat jetzt funktioniert, wenn nicht, dann fahrt mit Möglichkeit Nr. 2 fort.
Möglichkeit 2:
Bootet von der Windows XP CD. Im ersten Fenster gehen wir weiter mit dem Betätigen der Entertaste. Lizensvereinbarung mit F8 bestätigen. Im nächsten Fenster sucht Windows nun nach vorhandenen Windows Installationen, habt ihr die passende Windows CD zu eurer Windowsinstallation eingelegt, dann sollte hier nur mittels der Taste “R” die Möglichkeit bestehen, eine Reparaturinstallation durchzuführen. Kontrolliert bitte ob eure CD zu eurem Windows wirklich passt (XP Home und Xp Professional).
Nach der Reparaturinstallation wird der Rechner hochfahren und warscheinlich beim Bildschirm “Bitte Warten” stehen bleiben. Schaltet den Rechner einfach aus und wieder an. Jetzt fährt der Rechner komplett hoch und wird eine Aktivierung für Windows fordern. Diese wird sich sehr warscheinlich aber nicht öffnen und wir haben wieder den leeren Desktophintergrund. Sollte bei euch Windows doch normal starten – Wunderbar, dann seid ihr schon fertig. Alle Anderen lesen hier weiter – Schaltet den Rechner wieder aus und startet im Abgesicherten Modus OHNE Netzwerktreiber – Wichtig, da in diesem Modus keine Aktivierung erforderlich ist! – Hier sollte sich jetzt euer Desktop ganz normal öffnen. Ladet euch von eurem funktionierenden Computer die Installationdatei für den Internet Explorer 8 herunter –
Download – Übertragt die Installationsdatei via USB-Stick oder CD auf den Rechner mit dem Abgesicherten Modus. Installiert den iE8, entfernt in der Installation das Häkchen für “Updates”. Nach erfolgreicher Installation startet ihr den Rechner neu (normaler Windows Modus). Windows schreit wieder nach der Aktivierung, diesesmal wird sie sich aber öffnen. Aktiviert Windows via Telefon oder Internet und – voila – Der Desktophintergrund erscheint wieder!!!
Um eventuell noch andere Viren oder Trojaner zu entfernen, welche mit dem Bundeskriminaltamt Virus nichts zu tun haben, ladet euch eine Testversion von Norton oder vergleichbar herunter und lasst den nochmal scannen. Ich hoffe ich konnte euch helfen.
Für Windows Vista und Windows 7 User:
x:\User(oder Benutzer)\EuerBenutzername\appdata\roaming\jashla. exe -> Löschen
x:\Users(oder Benutzer)\EuerBenutzername\AppData\Local\Temp -> Alles löschen.
Führt diesen Vorgang für alle Benutzer durch, auch für den Administrator.
Jetzt sollte Windows wieder hoch fahren, alternativ im Abgesicherten Modus eine Systemwiederherstellung durchführen oder per Windows Boot CD. Solltet ihr hier keinen Erfolg haben, dann bleibt euch eigentlich nur eine Neuinstallation, bei Windows Vista und 7 gibt es leider keine richtige Reparaturinstallation mehr wie bei WIndows XP.
Sicher ist nur die Neuinstallation
Einen 100% Schutz gibt es nicht, sicher ist nur das Löschen eurer Festplatte und das Neuinstallieren von Windows. Ihr könnt nur versuchen euch präventiv für das Nächstemal bestmöglich mit einem ordentlichen Antivirenschutz zu schützen.
Hier könnt ihr die führenden Top-Produkte im Sicherheitsbereich kaufen:
Norton Internet Security 2011: [ame="http://www.amazon.de/gp/product/B003Y65XCM/ref=as_li_qf_sp_asin_tl?ie=UTF8&tag=blog0e5-21&linkCode=as2&camp=1638&creative=6742&creativeAS IN=B003Y65XCM"]Norton Internet Security 2011 – 1 PC[/ame]
Kaspersky Internet Security 2012: [ame="http://www.amazon.de/gp/product/B00509YGAG/ref=as_li_qf_sp_asin_tl?ie=UTF8&tag=blog0e5-21&linkCode=as2&camp=1638&creative=6742&creativeAS IN=B00509YGAG"]Kaspersky Internet Security 2012[/ame]
G-Data TotalCare 2012: [ame="http://www.amazon.de/gp/product/B004NXUN9S/ref=as_li_qf_sp_asin_tl?ie=UTF8&tag=blog0e5-21&linkCode=as2&camp=1638&creative=6742&creativeAS IN=B004NXUN9S"]G DATA TotalCare 2012[/ame]