(12)
Artikel
bewerten
(70% positiv)
(28)

Anleitung - Trojaner Polizeivirus entfernen

dreiste Abzocke: Zahlungsaufforderungen für Verstöße im Internet

Inhalt dieses Artikels:

    Im Internet kursiert seit geraumer Zeit ein Virus, der den kompletten Rechner sperrt indem er ein Bild mit einer Zahlungsaufforderung anzeigt.

    (Bundespolizei Trojaner)

    Um sich den Virus einzufangen, hilft z.B. ein falscher Klick auf eine Webseite. Mit Hilfe von JAVA oder anderen "aktiven Inhalten" gelangt der Virus dann auf den Rechner.

    Varianten:

    Den Virus gibt es in verschiedenen Varianten:

     

    "Der Computer ist für die Verletzung der Gesetzte der Republik Österreich blockiert worden Achtung!!! Ergab folgende Verstöße: ..."

     

    "Polizei: Control Department gegen Cyberkriminalität Ihr Computer wurde gesperrt!"

     

    ".LPD BM.I LANDESPOLIZEIDIRECTION Bundes Ministerium für Inneres"

    ACHTUNG! Ihr Computer ist aus einem oder mehreren der unten aufgeführten Gründe gesperrt.

     

      (3 österreichische Varianten des Viruses)

    Einige Varianten verschlüsseln auch bestimmte Dateien auf dem Computer: hab ich aber selbst noch nicht gesehen.

    je nach Variante des Viruses hilft folgende Vorgehensweise:

    alle Netzwerkverbindungen trennen,

    die meisten Varianten starten zwar mit dem Rechner, werden aber ev. erst aktiv, wenn einen Netzwerkverbindung besteht: Also: Netzwerkkabel aus stecken und WLAN sowie mobiles Internet deaktivieren.

    im abgesicherten Modus starten / Systemwiederherstellung

    Ist die Systemwiederherstellung auf dem Rechner aktiv, kann der Virus mit Hilfe eines früheren Wiederherstellungspunktes entfernt werden.

    dazu den Rechner neu starten und bevor das Windows Logo kommt: F8 drücken

    dann "Abgesicherter Modus" auswählen und Systemwiederherstellung (Computer zu einem früheren Zeitpunkt wiederherstellen: keine Angst: persönliche Daten gehen dabei nicht verloren) Als Wiederherstellungspunkt ein Datum wählen bei dem der Computer noch funktioniert hat.

    ist es nicht mehr möglich im abgesicherten Modus zu starten (der Virus könnte das ev. verhindern) hilft bei Windows Vista / Windows 7 / 8 die Setup CD mit deren Hilfe eine Systemwiederherstellung gemacht werden kann.

    wenn der abgesicherte Modus geladen werden kann folgenden Registry Key kontrollieren,

    dazu regedit starten und :

     

    unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

    muss die "explorer.exe" hinterlegt sein.

    Computer reparieren

    kommt im abgesicherten Modus, ein weißer Bildschirm der uns an einer Systemwiederherstellung hindert, hilft wie bereits erwähnt die Windows Setup DVD oder aber die Option "Computer reparieren",

    also den Computer starten und bevor das Windows Logo kommt: F8 drücken, dann "Computer reparieren": Systemdateien werden denn anhand eines Systemwiederherstellungspunktes repariert.

    wurde die Systemwiederherstellung nicht aktivert, müssen wir händisch nach dem Virus suchen:

    Abgesicherter Modus: Suchen nach .exe Änderungsdatum

    ist es möglich den PC im abgesicherten Modus zu starten und den Explorer zu öffnen, können wir  nach .exe Dateien mit neuem Änderungsdatum suchen. Mitunter lassen sich somit verdächtige Dateien ausfindig machen und umbenennen in z.B. Datein.exe.txt : eine Textdatei kann nicht gestartet werden. Falls der abgesicherte Modus nicht mehr möglich ist kann auch mit einer Linux-Live CD gestartet werden und darin nach neuen .exe Dateien gesucht werden, z.B.:Ubuntu Live

    msconfig öffnen

    häufig trägt sich der Virus auch unter den Systemstartprogrammen ein. Um die Startprogramme anzuzeigen: im abgesicherten Modus (wie bereits beschrieben F8 beim Starten des PCs) den Befehl msconfig eingeben:

    wenn msconfig ohne Problme startet, einfach bei msconfig weiterlesen ...

    falls es nicht mehr möglich ist msconfig oder die cmd zu starten, werden diese Dienste durch den Virus beendet bevor das Fenster richtig starten kann, dann hilft folgender Workaround:

    den Editor starten: eine Textdatei mit folgendem Inhalt:

    tasklist > tasks.txt

    unter "start.cmd" abspeichern und diese dann starten. (wichtig sind die Anführungszeichen, da ansonsten eine Textdatei abgespeichert wird)

     

    die Datei generiert dann eine weitere Textdatei mit dem Inhalt der aktiven Dienste:

     

    verdächtige Dienste können dann mit einer weiteren cmd Datei beendet werden:

     

     

    msconfig verdächtige Programme aus dem Systemstart ausnehmen

    nach erfolgreichem Start von msconfig können verdächtige Programme die mittels "Run" gestartet werden (c:\Benutzer\??USERNAME??\AppData\ ...) deaktiviert werden.

     

    in unserem Fall: buuv.exe oder WcsPlugInService.exe

    Solange die exe aktiv ist, aktiviert sich diese immer wieder automatisch unter Systemstarts: falls das passiert bist du dem Ziel schon ziemlich nahe.

    Grundsätzlich ist der Computer auch lauffähig wenn "Alle deaktivieren" ausgewählt wurde: im Zweifelsfall also alle deaktivieren auswählen und neu starten. Normalerweise aktiviert sich ein Programm dann nicht wieder von selbst.

    mittels taskkill in der Eingabeaufforderung (cmd) kann der Virus beendet werden:

    die Datei löschen:

     

    Neustarten

     nach dem Reboot nochmal mit msconfig alle Anwendungen kontrollieren.

    Virenscanner

    unbedingt den Virenscanner aktuell halten und eine vollständige Prüfung auf dem Computer laufen lassen.

    letzte Änderung dieses Artikels: 30.09.2013 21:38



    Feedback: