Ukash-Tojaner entfernen

Während dem Surfen vorher ging plötzlich ein Pop-Up im Vollbildmodus auf. Ich dachte mir nichts dabei und wollte es wegklicken, doch leider funktionierte dies nicht. Dann erst habe ich mir das Pop-Up genauer angeschaut. Es war im XP-Design von “Windows Security Center” gehalten. Folgende Meldung stand dort:

“Achtung! Ihr Computer wurde gesperrt!!! Bei der Überprüfung der Echtheit von Windows wurde festgestellt, dass auf Ihrem Computer nicht lizensierte Software installiert wurde! Die Microsoft Corporation verbietet es ausdrücklich, unlizenzierte Software zu benutzen.”

Leider habe ich davon kein Foto geschossen. Per Ukash sollte ich dann 100 Euro bezahlen, um eine gültige Lizenz zu erwerben. Bullshit. Mit der Tastenkombination “ALT+STRG+ENTF” konnte ich zwar das Windows 7 Auswahlmenü aufrufen, aber das wars auch schon. Der Taskmanager wurde nicht angezeigt und beim Versuch zum Herunterfahren hat sich mein PC aufgehängt. Nach einem Neustart per Resetknopf ist direkt wieder das Pop-Up zu sehen.

Also kurz im Internet recherchiert. Bei dem Pop-Up handelt es sich um einen ganz frischen Trojaner. Wohl eine etwas abgewandelte Version des BKA-Trojaners von letztem Jahr. Aktuell gibt es zwei Wege den Trojaner zu entfernen. Falls die Möglichkeit besteht ein anderes Windows zu booten (über CD oder USB-Stick) reicht es die aktuellste Version von Malwarebytes Anti-Malware scannen zu lassen. Das Programm findet den Trojaner und löscht alle Dateien und Verweise. Ansonsten kann der Trojaner aber auch ohne viel Aufwand von Hand entfernt werden:

  1. Entfernt das Netzwerkkabel von eurem PC
  2. Startet Windows im “Abgesicherter Modus mit Eingabeaufforderung
  3. Löscht alle Dateien im Ordner “C:\Users\USERNAME\AppData\Local\Temp\
  4. Löscht alle Inhalte des folgenden Ordners “C:\Users\USERNAME\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\
  5. Startet den Registrierungs-Editor mit dem Befehl “regedit” aus der Eingabeaufforderung heraus
  6. Löscht folgenden Eintrag “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja

Nach einem Neustart ist der Trojaner vollständig entfernt.

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter und Facebook folgt.

104 Antworten

  1. tux. sagt:

    Patentlösung: Sich so was gar nicht erst einfangen.
    Ja, ich weiß, der kam von ganz allein, ohne dass du irgendwas fragwürdiges gemacht hättest…

    • Tobi sagt:

      Du hast es erfasst ;-)
      Spaß beiseite. In diesem Augenblick habe ich einen anderen Blog besucht und mich über die viele Werbung gewundert.

    • tux. sagt:

      … die von gaaaanz allein auftauchte.

    • Kaitara sagt:

      Hallo Tux. Du wirst lachen, aber mir ist voriges Jahr das Gleiche passiert. Ich wollte den IE aufrufen, schon hatte ich diesen UKASH auf meinem PC. Ich habe es geschafft, diesen Störenfried los zu werden, aber Spaß machte es nicht.

    • tux sagt:

      Nö – da lache ich nicht. :)

    • Didi sagt:

      Der IE ist Teil des von Tux favorisierten Betriebssystems Windows. Evident, dass ihm das Lachen im Halse stecken bleibt.

  2. Helle sagt:

    Mich hat es auch gerade eben beim surfen mit firefox erwischt. Hatte auch java installiert. Firefox 10 und alle win7 updates inkl. Security essentials. Ich war nur auf wordpress blogs unterwegs…

    • Tobi sagt:

      So wars bei mir auch. Höchstwahrscheinlich eine Sicherheitslücke in Java 6. Habe gleich mal alle Java-Plugins im Firefox deaktiviert.

  3. Helle sagt:

    Ich habe nichts willentlich ausgeführt oder runtergeladen. Ich war auch nicht als admin eingeloggt. Sowas ist mir noch nie passiert…

  4. Didi sagt:

    Konkretisierung der Patentlösung: Linux nutzen.

  5. Mr. Crous sagt:

    Meine “Sicherheitslösung”: Browser in einer Sandbox starten! :) Sandboxie for the win! *yay*

  6. thomas_ sagt:

    das teil durfte ich vor ein paar wochen auch bei einem verwandten beseitigen
    es hat aber gereicht den autostart link zu löschen, dann war er deaktiviert
    nach einem update von MSE wurde er auch erkannt und gelöscht…

    mfg thomas

  7. andrea sagt:

    hallo, ich hab eine frage, im abgesicherten modus wie muss man das eingeben um das zu löschen? wir sind jetzt in einem schwarzen fester mit weisser schrift
    wie eght das ganz detailliert, wir haben sowas noch nie gehabt vorher.

    das wäre lieb danke :)

    • Tobi sagt:

      Genau, das ist die Eingabeaufforderung. Dort könnt ihr die Datei direkt mit dem Befehl “del C:\Users\USERNAME\AppData\Local\Temp\0.7309702442055994.exe” löschen.

      Alternativ könnt ihr mit dem Befehl “explorer” den Windowsexplorer starten und dort wie gewohnt über die Ordneransicht zu der Datei navigieren und diese löschen.

  8. Arno sagt:

    Vielen Dank! Ich hatte mir diesen Mist auch eingefangen und war kurz davor, mein System neu aufzusetzen, weil ich nirgendwo etwas vernünftiges finden konnte. Bis ich diese Seite sah… hat perfekt geklappt! Nochmals besten Dank!

  9. Philipp sagt:

    Hallo,
    habe seit heute das gleiche Problem und habe die Anweisungen ausgeführt bis zum Punkt 6. Dort kann ich kein Verzeichnis dieser Art finden!

    Habe dann den Computer neu gestartet, dass markante Fenster mit der Systemsperrung erscheint zwar nicht mehr aber die Anzeige der Symbolleisten sind deutlich anders und zudem komme ich nicht mehr ins Internet, da ich keine Wlan Verbindung angezeigt bekomme in der Taskleiste!

    vllt. hat jmd das selbe Problem oder man kann mir so weiter helfen! Sitze gerade an einer Studienarbeit und da is dieser Ausfall sehr unpassend!

    MFG Philipp

    • Tobi sagt:

      Ich hatte aus Versehen die Kurzschreibweise “HKCU” verwendet. Es muss aber “HKEY_CURRENT_USER” lauten. Nun solltest du den Eintrag finden!

  10. tobi sagt:

    mich hats jetzt gerad auch erwischt : ( bin mit lappi on

    wenn ich im abgesicherten modus mit eingabeaufforderung bin wie lösch ich denn da ne datei? kenn mich da nich so aus ;) hab halt die cmd.exe auf aber kann damit auch nich viel anfangen

  11. stefan pickdel sagt:

    Grüß dich…super dargestellt….
    hättest du das gleiche auch für XP? So großartig dürfte sich das doch nicht unterscheiden..?

    • Tobi sagt:

      Lediglich bei 3. und 4. lautet der Pfad anders. Ansonsten sollte es gleich sein.

      3. C:\Dokumente und Einstellungen\USERNAME\Lokale Einstellungen\Temporary Internet Files\
      4. C:\Dokumente und Einstellungen\USERNAME\Anwendungsdaten\Sun\Java\Deployment\cache\6.0

  12. stefan pickdel sagt:

    Dankeschön – Probiere ich nachher aus.

    In der Zwischenzeit konnte ich über ein Boot-System den Malwarebytes laufen lassen.
    Folgendes kam heraus:

    Exploit.Drop2, Kategorie: File
    C:\Dokumente und Einstellungen\USERNAME\Lokale Einstelllungen\Temp.1012326659016961.exe

    Exploit.Drop2, Kategorie: Registry Value
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja

    Exploit.Dropper, Kategorie: File
    C:\Programme\Mozilla Firefox.55669477474217.exe

    Was sagt uns das?

    Ausserdem wurden zwei Disable Notifier in der Registry entdeckt.
    (PUM.Disabled.SecurityCenter)

    Die haben sich ganz schön Mühe gegeben.

    Woher die Infizierung kam ist übrigens gänzlich unbekannt.
    Alle Seiten waren komplett harmlos

    @Mr. Crous

    Ist FF in einer Sandbox nicht langsam bzw. der ganze Flow zu lahm?
    Theorie…

  13. Guido sagt:

    Tolle Anleitubg und vielen Dank fuer das kurzfristige Einstellen. Heute morgen hat es mich erwischt und eine Stunde spaeter kann ich wieder arbeiten!

  14. chris sagt:

    Hallo,

    ich habe alles so ausgeführt wie es verlangt war, pc funktioniert wieder allerdings ist im internet der Hintergrund überall weiß…. außerdem erinnert das design der Symbolleisten eher an Windows 98,….. hab ich vll zuviel glöscht,….. Oder wie kann ich das beheben….?

    MfG
    chris

    • Tobi sagt:

      Nein von meiner Anleitung kann das nicht sein. Eventuell hast du noch ein anderes Problem. Installier mal Malwarebytes Anti-Malware und lass es scannen.

  15. su sagt:

    Vielen vielen Dank,
    ich habe mir vor 2 Tagen einen neuen Laptop gekauft und hatte gerade dieses Problem und obwohl ich absolut keine Ahnung von Pcs habe, konnte ich alles wieder beheben! In diesem Sinne: Vielen Dank nochmal

  16. Pc ler sagt:

    He, hat prima geklappt, auf dem Rechner meiner Freundin war das auch. Das mit dem “Explorer” war n guter Tipp! Danke!!! Sie wußte ihren Username nicht mehr ;)

  17. spielmatz sagt:

    Hallo,

    komme nicht in den Abgesicherten Modus, Bild schwarz, Cursor blinkt.
    Gibt es dafür vielleicht eine Lösung?
    Habe auch schon diverse Rescue CD`s durchlaufen lassen.
    Der Scan wird nach kurzer Zeit abgebrochen und das Live-System der CD runter gefahren.
    Danke schonmal im Voraus.

    • Tobi sagt:

      Höchstwahrscheinlich hast du dann ein anderes Problem. Falls die Möglichkeit besteht, würde ich die Festplatte ausbauen und an ein anderes System zum Scannen hängen.

  18. Oliver sagt:

    Hi! Ein Schreck zur Abendstunde. Auch ich hatte mir diesen Trojaner gefangen, aber dank der klugen Tipps ging er auch unter Windows XP leicht wieder zu entfernen.

    • Oliver sagt:

      Kleiner Hinweis noch: Im Explorer hat der PC mir einige Ordner gar nicht erst angezeigt. Der Weg über die Dos-Eingabeaufforderung war daher nötig. Hätte nicht gedacht, dass sich die MS-Dos-Kenntnisse irgendwann nochmal so auszahlen ;-)

  19. Fabian sagt:

    Hallo!

    Bei mir ist es folgendermassen gelaufen: Konnte mit Eingabeaufforderung punkt 3 und 4 nicht durchführen und habe die Ordner auch nicht im Explorer gefunden… Es kam immer der hinweis, dass der Ordner entweder nicht vorhanden sei oder ich den Befehl falsch schreibe. Punkt 6 konnte ich jedoch durchführen und diese Datei löschen. Habe den Laptop neu gestartet und jetzt funktioniert alles wieder. Ist der Trojaner jetzt trotzdem entfernt oder hat er sich immer noch eingenistet??

    Lgs

    • Tobi sagt:

      Vermutlich ist er noch auf der Platte, er wird nur nicht mehr automatisch geladen. Am besten du installierst Malwarebytes Anti-Malware und lässt deine Festplatte scannen.

  20. Paul sagt:

    Hallo ich bin auch betroffen und ich habe das problem, dass ich nicht im abgesicherten modus starten kann da wenn ich die f5 taste gedrückt habe und das bild erscheint ich die pfeiltasten nicht benutzen kann was nun?

  21. spielmatz sagt:

    Hallo,

    ich bin auch nicht in den abgesicherten Modus gekommen.
    Hab dann ERD Comander genommen und wie oben angegeben den Inhalt vom Temp und Cache Ordner gelöscht.
    Den besagten Eintrag in der Registry gab es bei mir nicht.
    Der Rechner lies sich nach dem Löschen wieder hochfahren.
    Hab dann Malewarebyts drüber laufen lassen und nun ist alles wieder ok.

  22. Marcel sagt:

    Hi ich hab ein großes Problem! Habe mir den Virus eingefangen und der Abgesicherte Modus funktioniert nicht!!! Bitte um schnelle antwort

    • Tobi sagt:

      @Marcel
      Im Prinzip hast du viele Möglichkeiten. Falls die Möglichkeit besteht, würde ich die Festplatte ausbauen und an ein anderes System zum Scannen hängen. Alternativ kannst du von einer Rescue-CD booten und die besagten Dateien löschen. Gibts zuhauf im Internet.

  23. Paul sagt:

    welche rescue cd könntest du denn empfehlen?:)

    • Tobi sagt:

      Beispielsweise “BitDefender Rescue CD”, “AntiVir Rescue System” oder “Kaspersky Rescue Disk”. Alternativ könntest du auch “Ultimate Boot CD” nutzen. Die Download Links kannst du dir selbst googeln ;-)

  24. Vicky sagt:

    Hallo Tobi
    hab gerade hier deine Webseite gefunden. Du hast ja richtig Ahnung.
    Hab ein Problem mit dem Computer. Da ist ein Virus drauf, ich verstehe nicht warum. Ich kann mich mit meinem Benutzerkonto nicht mehr anmelden. Dann kommt immer die Aufforderung zu zahlen, weil Windows gesperrt ist.
    Ich kann mich aber noch mit einem anderen Benutzerkonto noch anmelden, ohne daß die Meldung kommt.

    Ich kenne mich nicht mit Computern aus und nutze fast nur Facebook und Messenger um mich mit Freunden zu unterhalten.

    Kannst du mir bitte helfen! Wenn ich das Problem nicht wieder loswerde bekomme ich Ärger.

    Ich habe versucht deine Anweisungen umzusetzen, komm aber damit nicht zurecht.
    Das liegt aber sicher an mir, weil ich keine Ahnung habe von Computern.

    Da ich ja noch mit einem anderen Benutzerkonto anmelden kann, gibt es da nicht einen einfachen Weg für mich?

    Vielen Dank für deine Hilfe.

    Gruß
    Vicky

  25. Vicky sagt:

    Hallo Tobi,
    hatte noch vergessen zu sagen: Auf dem Computer ist Windows 7 und ich benutze Internet Explorer 7
    Vicky

  26. Tobi sagt:

    Hallo Vicky, vermutlich ist es schwer die Anweisungen umzusetzten, wenn man sich nicht so gut damit auskennt. Leider kann ich es nicht viel besser beschreiben.

    Am einfachsten wäre es du holst dir jemanden einen Freund oder Bekannten, der sich mit PCs auskennt.

  27. Sabine Gams sagt:

    Hallo, wie frustrierend. Ich stolper schon beim ersten Schritt! Wie komme ich in den Abgesichteren Modus mit Eingabeauffoerung? Wenn ich beim booten f12 drücke, kommen verschieden englische Optionen wie Boot utility partition oder so…

    Danke für deine Antwort! Sabine

    • Tobi sagt:

      Du meinst wohl den zweiten Schritt. Während dem Booten mehrmals F8 drücken, bis ein Auswahlmenü erscheint, welches die Eingabeaufforderung anbietet. Wenn das Windows-Logo erscheint ist es zu spät. Eventuell muss man es mehrmals versuchen, bis das Menü erscheint.

  28. Sabine Gams sagt:

    so weit, so gut, aber jetzt steht dort c:\dokumente und einstellungen\username.
    dort den befehl zum Löschen einzugeben hat nichts gebracht ‘Pfad nicht gefunden’.
    Mit c: oder c:\ komme ich auch nicht auf die ‘C_Ebene’. Waskann ich noch versuchen (verzweifelt)?

  29. spielmatz sagt:

    @ Sabine Gams

    mit cd\ kommt man ins root verzeichnis
    cd.. eine Ebene nach oben

  30. Sabine Gams sagt:

    vielen dank. schon blöd, wenn man so gar keine Ahnung hat… leider ist die Antwort meines PCs auch diesmal: Pfad nicht gefunden. Auch wenn ich im Explorer suche, findet er diese datei nicht. Was nun?

  31. Vicky sagt:

    Hallo Tobi,

    gibt es nicht irgendein Programm, das automatisch den Virus entfernt?

    Oder reicht es wenn ich einfach das Benutzerkonto lösche und ein neues Benutzerkonto anlege? Ist der Virus dann komplett weg?

    Danke für deine Unterstützung.

  32. Vicky sagt:

    Danke sehr, werde das mal versuchen.

  33. iPadportal.net sagt:

    Danke für die super Anleitung!
    Hat alles bestens geklappt und jetzt funktioniert alles wieder, wie es soll!

  34. Vicky sagt:

    Hallo Tobi, danke für deine Hilfe. Hab den Virus beseitigt.

    Aber sag mal, woher hast du so viel Ahnung? Machst du das beruflich oder bist du ein Super-Hacker?

    • Tobi sagt:

      Das hat mit Hacken überhaupt nichts zu tun ;-)

      Interessiere mich privat für alle möglichen Sachen rund um den PC und auch beruflich bin ich in dieser Ecke tätig.

  35. micha3601 sagt:

    Hallo,Danke für deine Ausführliche Erklärung zum Entfernen des “UKASH”.
    Habe auch die letzten Tage nichts runtergeladen oder installiert.

    DANKE

  36. benny sagt:

    Hi, habt ihr nachdem ihr die Trojaner entfernt habt eure Desktop und Taskleiste zurück? Ich habe auch ein Trojaner mit ähnliche Symptome erhalten (bei mir kam noch dazu, dass mir erzählt wurde meine HDD ist kaputt) hab’s erfolgreich entfernt aber mein Desktop und Taskleiste sind immer noch leer , ne idee?

  37. Dawid sagt:

    Ich komme nur zur Eingabeaufforderung und dort steht das sie durch den administrator deaktiviert wurde. Mh :l

  38. Opfer sagt:

    Huhu … hab mir den trojaneer auch eingefangen… hab dann über strg+alt+entf das Windows7-Menü geöffnet und wollte herunterfahren, wobei sich der PC wie oben beschrieben aufhing. Da wuurde ich gefragt herunterfahren eerzwingen oder aabbrechen… nun hab ich auf abbrechen geklickt und kann den pc nun – nach einem neustart des explorers – normal verwenden … bis zum nächsten start

  39. Andreas sagt:

    wer so nicht weiter kommt der kann im abgesicherten modus ihn erstmal blocken und dann mit virus scanner löschen und es geht so . abgesicherter modus hoch fahren beim start f8 drücken auswählen und er fährt hoch dann start und msconfig eingeben und enter, dann öffnet sich ein fenster wo system start steht da denn hacken wo steht vasja weg machen und der pc startet wieder normal dann virus scanner durchlaufen lassen und alles ist ok, der mircosoft virus scanner findet in nur bei vollständer scann, mfg Andreas

    • martin sagt:

      Danke Andreas, mein Computer läuft wieder.
      Nachdem ich eine Rescue CD gebrannt habe und der Compi nicht darüber gestartet ist, habe ich im Bios herumgesucht und bin gescheitert. Habe im abgesicherten Modus auf der DOS Ebene die Befehle von Tobi eingegeben und bin nicht weiter gekommen.
      Durch Deinen Tipp läuft der Computer wieder normal und ich lasse gerade den Virenscanner durchlaufen.
      Nochmals vielen Dank, mfg Martin.

  40. Daniel sagt:

    Hey Tobi was mache ich wenn ich den eintrag Run in der reg nicht finde? Vielen dank für diesen Beitrag

  41. Seb sagt:

    Hallo,
    Nach langem Suchen habe ich endlich mal eine klare Vorgehensweise gefunden. Vielen dank dafür. Konnten das System wieder zum laufen bringen.
    Grüße

  42. ali sagt:

    in meinem “Temp” ordner gibt es zwei dateien, die sich nicht löschen lassen.
    Eine davon heißt “FXSAPIDebugLogFile” und das andere ist eine .TMP datei.
    Wenn ich das System wieder normal starte geht es eine kurze zeit bis die Meldung wieder kommt. Ansonsten bin ich wie in der Anleitung vorgegangen.
    Windows 7, 64Bit, Internet Explorer7
    Hoffe du kannst mir helfen

    • Tobi sagt:

      Die erste Datei gehört zur Anwendung “Windows-Fax und –Scan” und stellt ebenso wie die zweite Datei kein Problem dar.
      Ansonsten empfehle ich dir mal das Programm Malwarebytes Anti-Malware zu installieren und deinen PC scannen zu lassen, wenn er funktioniert.

  43. Sebastian sagt:

    Hallo Tobi
    Gibt es auch für Windows Vista eine Möglichkeit, den ukash-Trojaner zu entfernen?
    Da funktioniert Deine Vorgehensweise nicht, da die jew. Ordner gar nicht in der Form existieren. Weißt du da eine Lösung? Würd mich freuen wenn du antwortest.
    Gruß

  44. Alina sagt:

    Hallo :)
    ich habe alle schritte die oben gennant wurden befolgt , der Bildschirm wurde sogar wieder entsperrt jedoch funktioniert die Internet verbindung nicht mehr. Kann mir bitte jemand mal helfen :)

  45. cmks sagt:

    Hi Tobi,

    danke für deine gute Anleitung. Das Ding ist heute 31.03. wohl immer noch unterwegs. Mich würde einmal interessieren wo es herkommt. Werbebanner? War eigentlich nur auf normlen Seiten unterwegs.

    Vielen Dank und Grüße,

    cmks

  46. Gitti sagt:

    Hi,

    habe das Ding ebenfalls aus unerklärlichen Gründen. Jetzt meine Frage, da ich mit sowas noch nie zu tun hatte und die Eingabeaufforderung irgendwie überhaupt nicht funktioniert:

    In dem schwarzen Fenster steht C:\windows\system32>
    Was muss ich jetzt genau eingeben, ich meine, nochmal C: oder nicht, Leerzeichen ja/nein?

    Danke!!

  47. Gitti sagt:

    ja das habe ich gesehen. Aber irgendwas stimmt da nicht. Kann nicht gefunden werden.

  48. Bernd sagt:

    Hatte das Ding auch heute bei mir drauf. Deine Anleitung hat super funktioniert. Jetzt läufts wieder. Besten Dank.

    Aber wie kommt man darauf, so eine Lösung zu finden?

  49. Hendric sagt:

    Danke für die gute Anleitung, Befehle musste ich zwar googeln aber hat gut geklappt ;) und das per Telefoninstruktionen an nen Kollegen der ein DAU ist :P

    gute Arbeit

  50. dani sagt:

    Oh man Hilfe hab dem gleichen mist aufm lappi( win 7) wenn ich angesicherten Modus starte hängt er sich auf…… Ich kenn mich jetzt auch nicht super aus aber ich brauch den pc heute Hilfe

    • Tobi sagt:

      Hier habe ich bereits weitere Lösungsmöglichkeiten aufgezeigt.

      Falls du das auch nicht schaffst musst du wohl einen Freund holen, der sich ein wenig auskennt.

  51. dani sagt:

    Jetzt wenn ich den pc lappi wie auch immer hoch fahre und f8 drücke kommt Windows normal starten oder Windows starthilfe ( empfohlen)

  52. dani sagt:

    Wenn ich das mit der cd mach stürzt et die ganze Zeit ab

  53. Basti sagt:

    Hey,

    danke für die Beschreibung zum Entfernen!
    Man kan das Ding auch mithilfe von ccleaner relativ einfach entfernen, indem man einfach bei Autostarts den Trojaner bzw. vasja raushaut.
    Dann sind alle Ordner gelöscht die damit zusammen hängen.

    lg

  54. Nikola sagt:

    Hallo,
    ich habe auch diesen Trojaner.
    Und leider so gar keine Richtige Ahnung von PC´s.
    Ich habe so Angst einen Fehler zu machen, da sonst alle Kinderbilder weg wären.
    Von 10 Jahren :-(

    Ich habe versucht nach der Anleitung zu verfahren. Klappt aber nicht. Kann zwar Regedit eingeben, aber der Teil davor nicht. Bzw. stehen die zu löschenden Sachen nicht so in den Ordnern….

    Bitte um Hilfe

  55. tobi sagt:

    hi
    bei mir ist das gleiche bei windos xp gekommen also ich meine da wo mann 100 euro zahelen müssen wenn wir es nicht zahelen dan dan kommt das ins gericht in den blog steht ja das ich das abgesicherte modus starten muss abeer wie geht das das ich das abgesicherte modus starte ich habe in goggle geschaut da steht das ich dem computer einschaltensoll dan auschalten soll und dan während den ausschalten soll ich f8 taste drücken aber ich kann ihn dan nicht ausschalten weil dann gleich die meldung kommt dan komm ich auch nicht mal zum task manager

    ich danke euch schon ihn voraus
    mfg tobi

  56. tobi sagt:

    hi
    jetzt habe ich den abgesicherten modus hingekriegt oben steht das ich den Ordner “C:\Users\USERNAME\AppData\Local\Temp\“ alle dateien löschen soll aber wo kann ich den ordner finden ich hb schon den namen eigegeben aberich glaube an der falschen seite könnt ihr mir bitte helfen wo ich dan eingeben muss bitte!!!!!!
    mfg
    tobi

    • Tobi sagt:

      “USERNAME” musst du natürlich durch deinen Windows-Usernamen ersetzen.
      Also beispielsweise “C:\Users\Tobi\AppData\Local\Temp\”.

  57. Frederik sagt:

    Ich habe das selbe Problem, es sieht aber so aus (danke bill gates), dass ich win7 nicht im abgesicherten modus starten kann, weil der bei der datei classpnp.sys immer hängen bleibt. im normalen modus siehts so aus, dass ich kurz was machen kann und dann das fenster aufgeht. hat jmd eine lösung?

  58. Frederik sagt:

    So ich habs jetzt doch geschafft, und hab alles gemacht, bis auf den letzten punkt, ich komm bis zu Run dort ist aber kein -vasja- zu sehen…

    • Tobi sagt:

      Dann ist es vermutlich eine leicht abgewandelte Version. Der von mir beschriebene Version dürfte mittlerweile sowieso von allen Virenscannern erkannt werden.

  59. Frederik sagt:

    ich hab die vasja datei zwar nicht gefunden, aber die lästigen XXXXXX die mich als angeblichen kinderpornographen hingestellt haben, haben dank dir mein nagelneues samsung netbook auf dem weg des papierkorbs verlassen. vielen dank für die hilfe, echt super! (-;

  60. Frederik sagt:

    am ende habs ich es auch noch 2 mal neu starten lassen (man ist ja paranoid) aber niente keine spur mehr vom “seriösen bka”.

  61. Mateas sagt:

    Hallo.
    Ich habe alle Schritte befolgen können allerdings beim 6. Schritt “HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja“ fehlt mir dieses “vajsa” am Ende zum löschen. Trotz, dass ich alle Schritte (außer Schritt 6) gemacht habe ist der Virus immer noch da. Wie soll ich hier weiter vorgehen?

    • Tobi sagt:

      Vermutlich handelt es sich um eine leicht abgeänderte Variante des Trojaners, der auch einen anderen Namen hat.
      Ich würde vorschlagen du bootest von einer CD mit aktuellem Virenscanner drauf und lässt den Trojaner automatisch entfernen. In den Kommentaren habe ich bereits einige solcher möglichen CDs genannt.

  62. Mateas sagt:

    Danke für die Antwort. Ich habe den Virus mit Hilfe des Programmes Malwarebytes Anti-Malware erledigt.

  63. Hanna Laackmann sagt:

    Es tut mir leid aber ich verstehe das alles irgendwie nicht ab dem zweiten Schritt. Ich bin kein Computer Fachmann. Könnte mir das vielleicht jemand Schritt für Schritt erklären. Und noch eine Frage: Löst sich der Virus nach 3 Tagen oder so wieder auf? Ich würde mich sehr über eine antwort freuen! Vielen Dank

    • Tobi sagt:

      Nein der Virus bleibt bestehen. Am besten frägst du einen Freund oder Bekannten, der dir helfen kann. Alles bis ins kleinste Detail zu beschreiben ist leider viel zu mühsam.

  64. christian sagt:

    ich habe auch so einen trojaner u weiß nicht wie das eingeben muss im abgesicherten modus unter xp bitte um eine schritt für schritt beschreibung wie das eingeben muss u wo

    danke für mühe

    mfg christian

    ps schreibe vom laptop mit win 7 nicht “festpc mit xp sp3

    • Tobi sagt:

      Wie oben erwähnt bitte einen Freund oder Bekannten fragen oder von einem Notfall-Medium booten. Habe ich in den Kommentaren auch schon zig Mal beschrieben.

  65. LordofNet sagt:

    Kann man das mit dem manuell löschen bei den ganz vielen angaben auch nicht im abgesicherten modus machen und wenn wie komme ich denn im win 7 home premium version in den abgesicherten modus im internet unter anleitung steht beim start ganz oft f8 drücken?

  66. LordofNet sagt:

    Habe übrigends den wierenscanner ohne internet einfach mal durchsuchen lassen und da sagte der mir dass er eine schwerwiegende bedrohung entdeckt die habe ich auch gleich gelöscht dann habe ich noch 2x neustart und da sagt der vierenscanner beim 2. mal daß die bedrohung entfernt wurde und jetzt geht computer auch wieder mit internet und alles wollte nur sicher gehen das der wirklich runter ist

  1. 23. Mai 2014

    […] diesen im abgesicherten Modus zu entfernen. Hilfe gibt es auf den Seiten eine-anleitung.de und antary.de […]

  2. 3. Oktober 2014

    … [Trackback]

    […] Read More here: antary.de/2012/02/01/ukash-tojaner-entfernen/ […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert