Sie sind auf Seite 1von 12

Windows-Zugriff ohne Lsegeld

Sptestens, wenn Sie eines dieser Bild statt dem Windows-Desktop sehen, ist klar: Hier hat Malware der belsten Sorte zugeschlagen. Egal, ob sie sich als BKA-, GVU, GEMA-Trojaner oder Bundespolizei-Virus ausgibt - hinter den Namen steckt ein und dieselbe Trojaner-Art: Sie sperrt den Windows-Zugriff, zapft Webcams an und verschlsselt Daten. Nur gegen eine Gebhr verspricht die Malware, Ihren PC wieder freizugeben - das tut sie aber selbst dann nicht, wenn Sie tatschlich Geld berweisen. Erpresserische Trojaner gibt es mittlerweile in zahlreichen Ausgaben (Fotostrecke: Alle Varianten im berblick) und dementsprechend keine Musterlsung zur Entfernung. Wir zeigen alle Mglichkeiten, um den Trojaner Schritt fr Schritt loszuwerden - von der schnellen Lschung per Windows Explorer bis hin zur Neuinstallation des Systems.

Entfernungs-Mglichkeiten 1: Lschen im abgesicherten Modus Sobald einer der Sperrbildschirme auf Ihrem Rechner auftaucht, ist Ihr System bereits infiziert. Sie haben jetzt weder Zugriff auf den Desktop noch auf den Task-Manager. Da sich zunchst nicht feststellen lsst, wie tief sich der Schdling im System eingegraben hat, beginnen Sie am besten mit der schnellsten Entfernungs-Mglichkeit: Dazu schalten Sie Ihren PC aus, indem Sie den Netzschalter gedrckt halten. Anschlieend entfernen Sie - falls vorhanden - das Netzwerkkabel und schalten den Rechner wieder an. Whrend des Hochfahrens drcken Sie mehrmals die Taste [F8], bis die erweiterten Startoptionen von Windows erscheinen. Hier whlen Sie mit den Pfeiltasten und [ENTER] schlielich den Eintrag

"Abgesicherter Modus" aus.

Entfernung per Explorer Erscheint der Sperrbildschirm auch im abgesicherten Modus, sollten Sie direkt mit Bild 10 fortfahren. Erhalten Sie jedoch Zugriff auf den Desktop, knnen Sie den Trojaner nun relativ einfach entfernen. Dazu ffnen Sie zunchst ein beliebiges Explorer-Fenster und doppelklicken dann auf das Windows-Laufwerk C:\.

EXE-Dateien nach Datum sortieren Ist die Suche abgeschlossen, rechtsklicken Sie in einen leeren Bereich und whlen "Sortieren nach" und "nderungsdatum". Anschlieend rechtsklicken Sie erneut und wechseln zur Ansicht "Details". So werden alle gefundenen EXE-Dateien nach Datum sortiert und die neuesten ganz oben angezeigt.

Verdchtige Dateien berprfen Nun beginnt die Suche nach verdchtigen Dateien, die sich wie folgt auszeichnen: (1) Die Datei trgt in der Spalte "nderungsdatum" ungefhr das gleiche Datum wie der Zeitraum, in dem der Sperrbildschirm erschienen ist (2) Die Datei enthlt weder einen richtigen Namen noch eine Abkrzung, sondern kryptische Bezeichnungen wie "xaoaznqm" (3) Die Datei trgt nur das Standardicon (4) ber einen Rechtsklick und "Eigenschaften" lassen sich im Tab "Details" kaum Informationen wie Hersteller oder Produktname herausfinden Treffen alle vier Kriterien auf eine Datei zu, sollten Sie diese per Rechtsklick lschen. Unter Umstnden hat der Trojaner auch gleich mehrere solcher Dateien im Systemverzeichnis abgelegt.

Verdchtige Dateien berprfen Zum Vergleich eine Datei, auf die die Kriterien nur teilweise zutreffen: Zwar trgt auch "MpSigStub" kein eigenes Datei-Icon (1), der Dateiname deutet aber bereits auf eine Abkrzung hin (2). Sptestens ber die Dateieigenschaften wird klar, dass es sich um eine sichere Datei von Microsoft handelt (3).

Autostart per Registry berprfen Nach dem Lschen verdchtiger Dateien empfiehlt es sich, die einschlgigen RegistryVerzeichnisse auf ungewollte Autostarts zu berprfen. Auch von hier aus kann der Befehl gegeben werden, den Sperrbildschirm anzuzeigen. ffnen Sie daher die Registry mit einer Suche nach "regedit". ber die Navigation links klicken Sie sich dann zum Verzeichnis "HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\" und prfen die untergeordneten Verzeichnisse Run RunOnce RunServices auf verdchtige Eintrge, die Sie mit einem Rechtsklick lschen. Anschlieend wechseln Sie zum Schlssel "HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\" und prfen dort die Ordner Run RunOnce RunOnceEx RunServices RunServicesOnce

Erster potentieller Erfolg Nach dem Lschen verdchtiger Dateien und Eintrge starten Sie Ihren PC einmal neu, ohne den

abgesicherten Modus zu aktivieren. Ist der Sperrbildschirm verschwunden, haben Sie im vorherigen Schritt die richtigen Dateien entfernt und knnen nun zumindest wieder auf den Desktop zugreifen. Da das System jedoch weiterhin infiziert sein oder verschlsselte Dateien enthalten kann, scannen Sie Ihren Rechner am besten mit einem Virenscanner wie Avast und fahren dann mit Bild 28 fort.

Entfernungs-Mglichkeit 2: Systemwiederherstellung Sollte der Sperrbildschirm weiterhin den Windows-Zugriff blockieren, knnen Sie zur Systemwiederherstellung greifen. Sie funktioniert nur, wenn in der Vergangenheit mindestens ein Systemwiederherstellungspunkt angelegt wurde. In den folgenden Schritten setzen Sie Windows auf diesen Zeitpunkt zurck. Da Sie ber die Windows-Oberflche nicht auf die Wiederherstellung zugreifen knnen, starten Sie Ihren Rechner neu, drcken beim Booten mehrmals [F8] und whlen den "Abgesicherten Modus mit Eingabeaufforderung".

Systemwiederherstellung starten Nachdem alle wichtigen Systemdateien geladen wurden, erscheint ein blinkender Cursor auf dem Bildschirm. Hier geben Sie nun "rstrui.exe" ein, um die Systemwiederherstellung zu starten.

Entfernungs-Mglichkeit 3: WindowsUnlocker Im Erfolgsfall ist der Sperrbildschirm nach einem Windows-Neustart verschwunden. Falls nicht, sollten Sie jetzt auf eine Freeware zurckgreifen, die auf die Entfernung erpresserischer Trojaner spezialisiert ist. Wir empfehlen fr diesen Einsatz den WindowsUnlocker von Kaspersky. Nachdem Sie die Software auf einem Zweit-PC heruntergeladen haben, muss sie entweder auf eine CD oder einen USB-Stick geschrieben werden. Entscheiden Sie sich fr die erste Variante, rechtsklicken Sie unter Windows 7 auf die ISO-Datei und whlen "Datentrgerabbild brennen".

WindowsUnlocker auf CD brennen Fehlt der Eintrag im Rechtsklick-Men, whlen Sie stattdessen "ffnen mit". Erscheint der Abbildbrenner auch hier nicht, klicken Sie auf "Standardprogramm auswhlen",...

WindowsUnlocker auf CD brennen ...markieren ihn hier und klicken auf "OK". Unter Windows XP und Vista mssen Sie auf eine Freeware wie ISO Recorder zurckgreifen, um den WindowsUnlocker auf eine CD zu brennen

WindowsUnlocker auf USB-Stick kopieren Der WindowsUnlocker lsst sich alternativ auf einen USB-Stick kopieren. Dazu laden Sie am besten den Kaspersky USB Rescue Disk Maker herunter. Einmal entpackt, geben Sie im oberen Feld den Speicherort der WindowsUnlocker-Datei an und im unteren Auswahlmen den zu verwendenden USB-Stick.

Bootmen aufrufen Nach dem Brennen auf CD oder einen USB-Stick legen bzw. stecken Sie den Datentrger an den befallenen PC ein und starten ihn neu. Der Rechner sollte auerdem wieder mit dem Internet verbunden werden. Beim Hochfahren mssen Sie dann die richtige Taste drcken, um in das BootMen oder BIOS zu kommen (meist: [F8], [F10], [F11], [F12] oder [ENTF]). Anschlieend whlen Sie aus, dass Ihr PC von der CD oder dem USB-Stick starten soll.

Kaspersky Rescue Disk starten Konnte Ihr Rechner erfolgreich vom USB-Stick oder der CD starten, erscheint der grne Kaspersky-Bildschirm, den Sie mit einer beliebigen Taste innerhalb von zehn Sekunden besttigen mssen.

Sprache auswhlen Im zweiten Schritt stellen Sie die Sprache mit den Pfeiltasten auf "Deutsch" um. Lizenzbestimmungen akzeptieren Nach einigen Augenblicken erscheinen die Lizenzbestimmungen, denen Sie mit der Taste [1] zustimmen. Grafikmodus auswhlen Danach entscheiden Sie sich fr den Grafikmodus. Jetzt ldt die Kaspersky Rescue Disk - in der der WindowsUnlocker steckt - die eigentliche Oberflche. Das kann je nach Geschwindigkeit des CDLaufwerks oder USB-Sticks eine Weile dauern Virenscan durchfhren Auf dem Rettungs-Desktop angekommen, nehmen Sie zunchst das Angebot zum Virenscan in Anspruch. Zuvor sollten Sie ber den Reiter "Update" dafr sorgen, dass die Rescue Disk die neuesten Virendefinitionen herunterldt. Terminal starten Im Optimalfall findet die Rescue Disk bereits beim Virenscan den Trojaner und entfernt ihn. Sicherheithalber klicken Sie dennoch auf das KDE-Icon in der linken unteren Ecke und starten das Terminal.

WindowsUnlocker ffnen Im neuen Fenster geben Sie dann den Befehl "windowsunlocker" ein und drcken die Taste [1] fr "Windows freischalten".

Registry wird gesubert Der WindowsUnlocker verrichtet nun seine Arbeit und versucht, die manipulierten RegistryEintrge zu entfernen, wiederherzustellen und schlielich darauf zuzugreifen. Sobald Sie die Meldungen "[...] wurde erfolgreich geffnet" sehen, hat der WindowsUnlocker seine Arbeit beendet. Besttigen Sie den Abschluss des Vorgangs mit der Taste [0] und dem Befehl "exit".

Persnliche Dateien sichern Zurck auf dem Desktop knnen Sie nun wichtige Dateien sichern, auf die Sie durch die WindowsSperre nicht zugreifen konnten. Dazu klicken Sie auf die Verknpfung "Dateimanager" und wechseln fr Ihr Windows-Konto beispielsweise zu "C:\Dokumente und Einstellungen\[Ihr Benutzername]\Eigene Dateien". Per Rechtsklick knnen Sie dann beliebige Dateien auf eine andere Partition oder ein externes Laufwerk kopieren. Rescue Disk beenden Anschlieend starten Sie den PC ber einen Klick auf das KDE-Icon herunter, entfernen die Rescue Disk und starten ihn erneut. Konnte der WindowsUnlocker die Sperre aufheben, haben Sie jetzt wieder vollen Zugriff auf Ihren Rechner.

Verschlsselte Dateien wieder ffnen Besonders raffinierte Varianten der Trojaner sperren aber nicht nur den Windows-Zugriff, sondern verschlsseln auch persnliche Dateien. Haben Sie trotz Aufhebung der Windows-Sperre weiterhin keinen Zugriff auf bestimmte Ordner und Daten, empfehlen wir den Kaspersky RannohDecryptor. ber "Change parameters" knnen Sie detailliert angeben, auf welchen Laufwerken nach verschlsselten Dateien gesucht werden soll.

Die Notlsung: Windows neu installieren Die erpresserischeren Trojaner werden stndig weiterentwickelt, um ihre Entfernung immer schwieriger zu gestalten. Haben Sie sich eine brandneue Version des Schdlings eingefangen, knnen sowohl manuelle Entfernungsversuche als auch Entfernungs-Tools scheitern. Doch auch, wenn Sie die Windows-Sperre aufheben konnte, kann der Schdling weiterhin auf dem System vorhanden sein - und unter Umstnden Wochen spter erneut zuschlagen. Die einzige Mglichkeit, Ihren Rechner komplett von der Malware zu befreien, ist deshalb die Neuinstallation von Windows. Dazu laden Sie ein Original-Image des Betriebssystems auf einem Zweit-PC herunter und brennen dieses wie in den Bildern 13 bis 15 beschrieben auf eine DVD.

Infizierten Datentrger formatieren Anschlieend legen Sie den Datentrger am infizierten Rechner ein und starten ihn neu. Beim Hochfahren lassen Sie den PC dann wie in Bild 17 beschrieben vom Datentrger starten, worauf das Windows-Setup geladen wird. Bei der Auswahl des Installationslaufwerks formatieren Sie dann die bisherige Windows-Partition. Damit wird nicht nur der Trojaner gelscht, sondern auch alle anderen enthaltenen Daten. Ein Klick auf die frisch formatierte Partition legt sie anschlieend als Speicherort fr das neue Windows fest. Alle weiteren Infos zum Setup finden Sie in der