Sperr-Trojaner entfernen

Von Stefan | Unter Internet, IT, Schul-IT, Windows | Kommentar dazu?  | 14538 Hits.
TOP del.icio.us digg

14539 mal gelesen

BKA, Bundespolizei, GEMA, GVU: Wenn diese Namen auf dem Rechner erscheinen, hat man sich meist einen lästigen Ransomware-Trojaner eingefangen. Die gibt es in einer harmloseren und einer tückischen Variante: In beiden Fällen ist ein normales Arbeiten nicht mehr möglich, die tückische Variante verschlüsselt sogar die Dateien auf dem Rechner.

Das Prinzip von Ransomware ist einfach: Der Geschädigte soll durch einschüchternde Texte und Logos dazu gebracht werden, eine Bezahlkarte (z. B. der Firma UKash) zu kaufen und den Code in den Trojaner einzugeben. Das Geld ist weg, der Trojaner bleibt. Die genannten Firmen oder Behörden haben mit dieser Erpressung natürlich nichts zu tun.

Um den Schädling zu entfernen, kann man den Rechner neu installieren (Anleitungen für Windows XP, Win 7 oder Win 8)- dabei geht aber alles verloren, was bislang auf der Festplatte lag.

Also entfernt man den Trojaner. Dazu wird ein „sauberer“ zweiter PC und ein USB-Stick sowie die Programme „Hitman Pro“ und „AntiMalwareBytes“ benötigt. Hitman Pro kann man auch erwerben, und es finden sich überall „Kaufen“-Buttons, doch die Software läuft auch ohne Geld für 30 Tage – das sollte auf jeden Fall reichen. Und so geht’s (hier noch eine ausführlichere Anleitung):

  1. Ggf. vorhandene Daten vom USB-Stick auf den sauberen Rechner verschieben.
  2. Auf dem sauberen PC: Hitman Pro herunterladen und starten; das Programm aktualisiert automatisch seine Antivirensignaturen.
  3. Auf das kleine Kickboxer-Symbol rechts neben dem „Einstellungen“-Knopf drücken.
  4. Den USB-Stick nach Anleitung vorbereiten und dann vom sauberen PC entfernen.
  5. Den befallenen PC komplett ausschalten. Den USB-Stick anstecken und vom USB-Stick booten (i. d. R. F12-Taste).
  6. Beim Start die Option 1 – Bypass Master Boot Record – auswählen
  7. Nun startet das befallene System (was im Vergleich zu anderen Rettungs-Sticks etwas verwunderlich ist), umgeht aber den Virus.
  8. Den Rechner scannen und Viren automatisch entfernen lassen. Neustart.
  9. Sollte der Rechner immer noch befallen sein, den Rechner nochmal mit Stick und F12 booten; dann sofort und häufig die F8-Taste drücken, um Windows im „abgesicherten Modus mit Netzwerktreibern“ zu starten. Den Scan wiederholen.
  10. In mehr als einem Fall startete bei meinen „Kunden“ der Rechner zwar sauber neu, der Trojaner kam aber nach einiger Zeit wieder. Um dem vorzubeugen, sollte noch AntiMalwareBytes installiert und der Rechner damit gescannt werden.
  11. Rechner überprüfen: Läuft der Virenscanner? Ist die Firewall aktiviert? Wenn nicht, dann manuell flicken oder am besten Daten sichern und neu installieren – das geht oft schneller als die Flickerei und ist gründlicher.
    Tipps zum Flicken: Mit erhöhten Rechten sfc /scannow ausführen.

Sollten nun noch Dateien verschlüsselt worden sein, muss man sich noch an deren Entschlüsselung machen – oder man greift auf ein Backup zurück, das man ja sicher gemacht hat – oder…?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

CAPTCHA: Bitte folgende Rechenaufgabe lösen (blockiert Spam) - Ziffern eingeben! Danke! * Time limit is exhausted. Please reload CAPTCHA.