Ich habe hier ein Netbook von einem Freund stehen (Windows XP, kein optisches Laufwerk). Leider hat sich eine Scareware installiert: Beim Systemstart kommt stets eine Meldung mit Bundesadler und schlechtem Deutsch, wo steht, dass das BKA festgestellt hätte, dass der User Kinderpornos und Sodomiepornos runtergeladen hätte. Nun soll man soundsoviel bezahlen, damit die Klage fallen gelassen wird. :smile:

Die Meldung lässt sich nicht per Taskmanager beenden, das System ist vollends blockiert. Die Meldung kommt auch im abgesicherten Modus.

Ich vermute, dass es sich um ein simples Programm handelt, das per Autorun-Eintrag gestartet wird. Wie werd' ich das wieder los? Folgende Ideen kommen mir:


Im abgesicherten Modus (nur Eingabeaufforderung) starten. Kann man von da aus was machen?
Irgendein Live-Linux auf 'nen USB-Stick, damit booten. Komm' ich von da aus an die Registrierung?
Windows PE auf 'nen USB-Stick, damit booten. Komm' ich von da aus an die Registrierung, womöglich sogar mit Autoruns? Ein PE hab' ich allerdings nicht da, und auch noch nie eins erstellt. Bißchen viel Aufwand für so 'ne Kleinigkeit, oder?
DOS mit NTFS-Treiber vom USB-Stick booten. Registrierung?


Hab' schon mal so'n Boot-System auf 'nen USB-Stick gepackt, das Viren entfernen soll. Das läuft zwar durch, das Problem bleibt aber bestehen.

Starten, per Taskmanager den IE abschießen, danach per Hand explorer.exe starten.
Danach am besten per HijackThis den Eintrag aus der Registry entfernen (auf irgendeine kriptische Datei im Temp-Ordner vermutlich).

Alternativ unter Linux nach dieser Datei suchen, dann startet Windows normal mit einer einzelnen Fehlermeldung und dann kannst du den Start entfernen.

Ich hatte genau das gleiche Problem und kein Virenscanner hat irgendetwas gefunden.

Neu aufsetzen ist natürlich die einzige Methode um sich 100% sicher sein zu können das wirklich alles weg ist, ich habs bisher aber nicht gemacht.

Versuch mal das: http://www.redirect301.de/bundespolizei-trojaner-entfernen.html

Hat bei mir vor einiger Zeit geklappt. Virenscanner hatte auch nichts gefunden, bzw. trotz aktueller Virendatenbank die Infektion nicht verhindert.

Edit: Falls es nicht genau derselbe Virus/Trojaner ist, trotzdem mal im Abgesichterten Modus mit Eingabeaufforderung den Registryschlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", Eintrag "Shell" prüfen und ggf. korrigieren ("explorer.exe" sollte drin stehen).

http://support.kaspersky.com/viruses/rescuedisk?level=2 > USB-Stick, half bei meinen Pappenheimern -> http://blog.botfrei.de/2011/07/anleitung-zum-entfernen-der-bka-ransomware-mithilfe-der-kaspersky-rescue-disk-krd/

Das Ding hat hier zwischen den Jahren die Runde gemacht. Meistens die Variante (http://www.bka-trojaner.de/screenshots/bka-trojaner7.png)mit dem Text das der Pc durch übermäßigen download pornografischer Inhalte einen kritischen Zustand erreicht hätte(!) und man doch bitte das nicht-rückbuchbare Zahlmittel zücken solle um diesen Zustand wieder aufzuheben.

Sehr amüsant wer alles schamesrot mit dieser Ransomware ankam :freak:

Hier gibts die ganze Gallerie für De:
http://www.bka-trojaner.de/

Vielen Dank für Eure Antworten, Ihr seid wie immer die Größten. :smile:(y)
Besonders das hat mir geholfen:


http://www.redirect301.de/bundespolizei-trojaner-entfernen.html