Hier geht's zur Druckversion
Ransomware "Bundespolizei" sicher entfernen
© Wheasel 2012, Kurzanleitung in wenigen Schritten
Einleitung:
Zunächst sei Folgendes gesagt: Der oben gezeigte Bildschirm ist die Handschrift einer kriminellen Vereinigung und nicht im Geringsten die der Bundespolizei.
Nach dem Hochfahren des PCs (meist OS Win XP) erscheint die hier gezeigte Meldung und erpresst einen UKASH-Code über 100,00 € von dem Benutzer.
Auch wenn jedermann wissen sollte, dass dies nicht die rechtsstaatliche Vorgehensweise ist, fallen leider immer noch einige wenige auf die Masche herein, daher hier nochmal ein klarer Aufruf:
Bitte nicht bezahlen, es handelt sich hier um einen Erpressungsversuch und nicht um eine Meldung der Bundespolizei!
Interessanter Hinweis: Selbst das Einlösen eines richtigen Codes behebt die Sperre nicht!
Es gibt aber einen Weg, die Sperre zu lösen und den Trojaner dauerhaft zu entfernen. Die Systempartition muss dazu nicht formatiert werden und es gehen keine Daten verloren. Allerdings kann ich keine Garantie geben, dass der Weg funktioniert, da der Trojaner seit längerer Zeit existiert und es bereits verschiedene Signaturen gibt, welche evtl. einige Abwandlungen der folgenden Vorgehensweise erfordern.
Hier nun die Anleitung Schritt für Schritt (stark vereinfacht), die aber in den meisten Fällen funktionieren dürfte:
1: Den PC "hart" vom Internet trennen (Patchkabel aus Netzwerkkarte ziehen)
2: Rechner ausschalten
3: Rechner einschalten und mit wiederholtem Drücken von F8 die sog. "Erweiterten Windows-Startoptionen" aufrufen.
4: Auswählen von Abgesicherter Modus mit Eingabeaufforderung
Nun befinden wir uns in der DOS-Eingabeaufforderung
5: Den Befehl regedit eingeben
Nun befinden wir uns in der sog. Windows-Registry
6: Nun über Klicken auf kleines + durch das Verzeichnis klicken, bis man auf folgendem Pfad angelangt ist:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
7: Auf Winlogon klicken und rechts im Fenster das Wort Shell suchen
8: Hinter Shell unter Wert befindet sich der Pfad zum Trojaner, diesen handschriftlich auf einem Zettel notieren!
9: Nun per Doppelklick auf Shell diesen Pfad löschen und folgendes eintragen:
Explorer.exe
10: Fenster schließen und wir dürften uns nun wieder in der DOS- Eingabeaufforderung aus Schritt 4 befinden.
11: Explorer.exe eingeben und nun zu dem Virus navigieren (s. Pfad, den wir unter Schritt 8 notiert haben)
12: Die Datei löschen (in den ersten Versionen des Virus war der Name jashla.exe, teils auch etwas abgewandelt.
13: Nun Rechner neu starten und Antiviren-Software zulegen! Anschließend mit dieser Software den PC gründlich überprüfen lassen und immer schön auf Software-Updates achten (Sowohl Windows als auch diverser Software)
Eventuell die Quelle des soeben gelöschten Virus suchen, ist er vielleicht noch in einem Email-Anhang vorhanden?
Beliebte generelle Einfallstore sind u.a. Adobe, Java und jeder Internet Explorer, hier besonders regelmäßig Updaten!
Ich hoffe, die Anleitung konnte helfen!
Liebe Grüße,
Wheasel
Hinweis: Die Inhalte dieser Ausfertigung sind urheberrechtlich geschützt. Ihre Nutzung ist nur zum privaten Zweck zulässig. Jede Vervielfältigung, Vorführung, Sendung, Vermietung und/oder Leihe der Ausfertigung oder einzelner Inhalte ist ohne Einwilligung des Rechteinhabers untersagt und zieht straf- oder zivilrechtliche Folgen nach sich. Alle Rechte bleiben vorbehalten. Alle Durchführungen der hier genannten Verfahrensweisen erfolgen aus eigene Gefahr und unter Haftungsausschluss vom Verfasser.
Verfasser und verantwortlich für die Ausfertigung: Wheasel
|