Polizeivirus entfernen

Im Internet kursiert seit geraumer Zeit ein Virus, der den kompletten Rechner sperrt indem er ein Bild mit einer Zahlungsaufforderung anzeigt.

(Bundespolizei Trojaner)

Um sich den Virus einzufangen, hilft z.B. ein falscher Klick auf eine Webseite. Mit Hilfe von JAVA oder anderen "aktiven Inhalten" gelangt der Virus dann auf den Rechner.

Varianten:

Den Virus gibt es in verschiedenen Varianten:

 

"Der Computer ist f√ľr die Verletzung der Gesetzte der Republik √Ėsterreich blockiert worden Achtung!!! Ergab folgende Verst√∂√üe: ..."

 

"Polizei: Control Department gegen Cyberkriminalität Ihr Computer wurde gesperrt!"

 

".LPD BM.I LANDESPOLIZEIDIRECTION Bundes Ministerium f√ľr Inneres"

ACHTUNG! Ihr Computer ist aus einem oder mehreren der unten aufgef√ľhrten Gr√ľnde gesperrt.

 

  (3 österreichische Varianten des Viruses)

Einige Varianten verschl√ľsseln auch bestimmte Dateien auf dem Computer: hab ich aber selbst noch nicht gesehen.

je nach Variante des Viruses hilft folgende Vorgehensweise:

alle Netzwerkverbindungen trennen,

die meisten Varianten starten zwar mit dem Rechner, werden aber ev. erst aktiv, wenn einen Netzwerkverbindung besteht: Also: Netzwerkkabel aus stecken und WLAN sowie mobiles Internet deaktivieren.

im abgesicherten Modus starten / Systemwiederherstellung

Ist die Systemwiederherstellung auf dem Rechner aktiv, kann der Virus mit Hilfe eines fr√ľheren Wiederherstellungspunktes entfernt werden.

dazu¬†den Rechner neu starten und bevor das Windows Logo kommt: F8 dr√ľcken

dann "Abgesicherter Modus" ausw√§hlen und Systemwiederherstellung (Computer zu einem fr√ľheren Zeitpunkt wiederherstellen: keine Angst: pers√∂nliche Daten gehen dabei nicht verloren) Als Wiederherstellungspunkt ein Datum w√§hlen bei dem der Computer noch funktioniert hat.

ist es nicht mehr möglich im abgesicherten Modus zu starten (der Virus könnte das ev. verhindern) hilft bei Windows Vista / Windows 7 / 8 die Setup CD mit deren Hilfe eine Systemwiederherstellung gemacht werden kann.

wenn der abgesicherte Modus geladen werden kann folgenden Registry Key kontrollieren,

dazu regedit starten und :

 

unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

muss die "explorer.exe" hinterlegt sein.

Computer reparieren

kommt im abgesicherten Modus, ein weißer Bildschirm der uns an einer Systemwiederherstellung hindert, hilft wie bereits erwähnt die Windows Setup DVD oder aber die Option "Computer reparieren",

also den Computer starten und bevor das Windows Logo kommt: F8 dr√ľcken, dann "Computer reparieren": Systemdateien werden denn anhand eines Systemwiederherstellungspunktes repariert.

wurde die Systemwiederherstellung nicht aktivert, m√ľssen wir h√§ndisch nach dem Virus suchen:

Abgesicherter Modus: Suchen nach .exe √Ąnderungsdatum

ist es m√∂glich den PC im abgesicherten Modus zu starten und den Explorer zu √∂ffnen, k√∂nnen wir¬† nach .exe Dateien mit neuem √Ąnderungsdatum suchen. Mitunter lassen sich somit verd√§chtige Dateien ausfindig machen und umbenennen in z.B. Datein.exe.txt : eine Textdatei kann nicht gestartet werden. Falls der abgesicherte Modus nicht mehr m√∂glich ist kann auch mit einer Linux-Live CD gestartet werden und darin nach neuen .exe Dateien gesucht werden, z.B.:Ubuntu Live

msconfig öffnen

häufig trägt sich der Virus auch unter den Systemstartprogrammen ein. Um die Startprogramme anzuzeigen: im abgesicherten Modus (wie bereits beschrieben F8 beim Starten des PCs) den Befehl msconfig eingeben:

wenn msconfig ohne Problme startet, einfach bei msconfig weiterlesen ...

falls es nicht mehr möglich ist msconfig oder die cmd zu starten, werden diese Dienste durch den Virus beendet bevor das Fenster richtig starten kann, dann hilft folgender Workaround:

den Editor starten: eine Textdatei mit folgendem Inhalt:

tasklist > tasks.txt

unter "start.cmd" abspeichern und diese dann starten. (wichtig sind die Anf√ľhrungszeichen, da ansonsten eine Textdatei abgespeichert wird)

 

die Datei generiert dann eine weitere Textdatei mit dem Inhalt der aktiven Dienste:

 

verdächtige Dienste können dann mit einer weiteren cmd Datei beendet werden:

 

 

msconfig verdächtige Programme aus dem Systemstart ausnehmen

nach erfolgreichem Start von msconfig können verdächtige Programme die mittels "Run" gestartet werden (c:\Benutzer\??USERNAME??\AppData\ ...) deaktiviert werden.

 

in unserem Fall: buuv.exe oder WcsPlugInService.exe

Solange die exe aktiv ist, aktiviert sich diese immer wieder automatisch unter Systemstarts: falls das passiert bist du dem Ziel schon ziemlich nahe.

Grundsätzlich ist der Computer auch lauffähig wenn "Alle deaktivieren" ausgewählt wurde: im Zweifelsfall also alle deaktivieren auswählen und neu starten. Normalerweise aktiviert sich ein Programm dann nicht wieder von selbst.

mittels taskkill in der Eingabeaufforderung (cmd) kann der Virus beendet werden:

die Datei löschen:

 

Neustarten

 nach dem Reboot nochmal mit msconfig alle Anwendungen kontrollieren.

Virenscanner

unbedingt den Virenscanner aktuell halten und eine vollst√§ndige Pr√ľfung auf dem Computer laufen lassen.

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE f√ľr deine Bewertung!

Aktualisiert: 30.09.2013 von Bernhard |ūüĒĒ | Kommentare:9

‚ě® Ask Toolbar entfernen | ‚ě¶ Sicherheit

Top-Artikel in diesem Bereich


Warum? Der angeforderte Vorgang erfordert erhöhte Rechte.

Bestimmte Aktionen erfordern in Windows erhöhte Rechte. Aber was sind erhöhte Rechte?


Sternchen Passwort sichtbar machen: BulletsPassView vs. Pantsoff

Als Passwort zeigen Programme, einmal eingegeben, oft nur Sternchen anstelle des Passwortes an: *******. Abgesehen von einigen Ausnahmen kann das hinter den Sternchen hinterlegte Passwort mit dem Tool BulletsPassView sichtbar gemacht werden. Ob das Tools funktionieren, hängt von den Sicherheitsmaßnahmen der jeweiligen Programme ab.


Windows: Anwendungen blockieren oder erlauben: Softwareeinschränkung

Den Start von bestimmten Anwendungen verhindern oder nur bestimmte Anwendungen erlauben: Viren, Malware oder Ransomware gar nicht erst ausf√ľhren:¬†Mit Hilfe der Softwareeinschr√§nkung k√∂nnen nur erlaubte ausf√ľhrbare Dateien gestartet werden. Erlaubt werden kann der Hash-Wert der Dateien oder bestimmte Pfade.¬†Die Softwareeinschr√§nkung ist ab den Windows Versionen Professional enthaltenen. Windows Enterprise bietet mit¬†Applocker zus√§tzlich eine etwas bess...

Fragen / Kommentare


(sortiert nach Bewertung / Datum) [alle Kommentare(neueste zuerst)]

‚úćanonym
23.06.2013 13:42
User: felix 
danke is gegangen hab scho voll die panik griagt !

‚úćanonym
29.04.2013 19:25
User: alex 
Vielen vielen Dank!

‚úćanonym
19.01.2013 07:07
User: beep 
danke hat geklappt!

‚úćanonym
14.01.2013 18:51
User: bruno 
Danke hat mir geholfen, etwas Zeit investiert und 100 gespart

‚úćanonym
03.07.2013 17:56
User: max 
hat Super geklapt! Danke

‚úćanonym
12.01.2013 14:42
User: Edna 
Hallo! Bis zum 2. Schritt lfts problemlos, kann den Computer aber nur mit abgesicherten Modus mit Eingabeaufforderung fnen, da mit den anderen Optionen (abgesicherter Modus/ abgesicherter Modus) sofort die Meldung kommt. Ab den 3. Schritt wirds problematisch, da ich den Editor nicht fnen kann, da ja mein Startmennicht angezeigt wird. (cmd.exe ist bereits offen, aber start.cmd finde ich nicht?) Bin leicht am Verzweifeln, da es nicht mein Computer ist! Hilfe!
mfg
↳
‚úćBernhard
gepostet am 12.01.2013 14:42
versuche mal notepad in der Eingabeaufforderung

Beitrag erstellt von Bernhard

‚úćanonym
10.01.2013 21:33
User: adi 
perfekt, vielen DANK!

‚úćanonym
01.11.2013 02:12
User: mo 
Ist der virus dann auch ganz weg?

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu Mehr Details