Windows-Zugriff ohne Lösegeld Spätestens, wenn Sie eines dieser Bild statt dem Windows-Desktop sehen, ist klar: Hier hat Malware der übelsten Sorte zugeschlagen. Egal, ob sie sich als BKA-, GVU, GEMA-Trojaner oder Bundespolizei-Virus ausgibt - hinter den Namen steckt ein und dieselbe Trojaner-Art: Sie sperrt den Windows-Zugriff, zapft Webcams an und verschlüsselt Daten. Nur gegen eine Gebühr verspricht die Malware, Ihren PC wieder freizugeben - das tut sie aber selbst dann nicht, wenn Sie tatsächlich Geld überweisen. Erpresserische Trojaner gibt es mittlerweile in zahlreichen Ausgaben (Fotostrecke: Alle Varianten im Überblick) und dementsprechend keine Musterlösung zur Entfernung. Wir zeigen alle Möglichkeiten, um den Trojaner Schritt für Schritt loszuwerden - von der schnellen Löschung per Windows Explorer bis hin zur Neuinstallation des Systems. Entfernungs-Möglichkeiten 1: Löschen im abgesicherten Modus Sobald einer der Sperrbildschirme auf Ihrem Rechner auftaucht, ist Ihr System bereits infiziert. Sie haben jetzt weder Zugriff auf den Desktop noch auf den Task-Manager. Da sich zunächst nicht feststellen lässt, wie tief sich der Schädling im System eingegraben hat, beginnen Sie am besten mit der schnellsten Entfernungs-Möglichkeit: Dazu schalten Sie Ihren PC aus, indem Sie den Netzschalter gedrückt halten. Anschließend entfernen Sie - falls vorhanden - das Netzwerkkabel und schalten den Rechner wieder an. Während des Hochfahrens drücken Sie mehrmals die Taste [F8], bis die erweiterten Startoptionen von Windows erscheinen. Hier wählen Sie mit den Pfeiltasten und [ENTER] schließlich den Eintrag "Abgesicherter Modus" aus. Entfernung per Explorer Erscheint der Sperrbildschirm auch im abgesicherten Modus, sollten Sie direkt mit Bild 10 fortfahren. Erhalten Sie jedoch Zugriff auf den Desktop, können Sie den Trojaner nun relativ einfach entfernen. Dazu öffnen Sie zunächst ein beliebiges Explorer-Fenster und doppelklicken dann auf das Windows-Laufwerk C:\. Erpresser über die Suche aufspüren Anschließend klicken Sie in das Suchfeld rechts oben und geben "*.exe" ohne Anführungszeichen ein. Auf diese Weise werden alle ausführbaren Dateien im Systemlaufwerk gesucht. Dieser Vorgang kann einige Minuten dauern EXE-Dateien nach Datum sortieren Ist die Suche abgeschlossen, rechtsklicken Sie in einen leeren Bereich und wählen "Sortieren nach" und "Änderungsdatum". Anschließend rechtsklicken Sie erneut und wechseln zur Ansicht "Details". So werden alle gefundenen EXE-Dateien nach Datum sortiert und die neuesten ganz oben angezeigt. Verdächtige Dateien überprüfen Nun beginnt die Suche nach verdächtigen Dateien, die sich wie folgt auszeichnen: (1) Die Datei trägt in der Spalte "Änderungsdatum" ungefähr das gleiche Datum wie der Zeitraum, in dem der Sperrbildschirm erschienen ist (2) Die Datei enthält weder einen richtigen Namen noch eine Abkürzung, sondern kryptische Bezeichnungen wie "xaoaznqm" (3) Die Datei trägt nur das Standardicon (4) Über einen Rechtsklick und "Eigenschaften" lassen sich im Tab "Details" kaum Informationen wie Hersteller oder Produktname herausfinden Treffen alle vier Kriterien auf eine Datei zu, sollten Sie diese per Rechtsklick löschen. Unter Umständen hat der Trojaner auch gleich mehrere solcher Dateien im Systemverzeichnis abgelegt. Verdächtige Dateien überprüfen Zum Vergleich eine Datei, auf die die Kriterien nur teilweise zutreffen: Zwar trägt auch "MpSigStub" kein eigenes Datei-Icon (1), der Dateiname deutet aber bereits auf eine Abkürzung hin (2). Spätestens über die Dateieigenschaften wird klar, dass es sich um eine sichere Datei von Microsoft handelt (3). Autostart per Registry überprüfen Nach dem Löschen verdächtiger Dateien empfiehlt es sich, die einschlägigen Registry-Verzeichnisse auf ungewollte Autostarts zu überprüfen. Auch von hier aus kann der Befehl gegeben werden, den Sperrbildschirm anzuzeigen. Öffnen Sie daher die Registry mit einer Suche nach "regedit". Über die Navigation links klicken Sie sich dann zum Verzeichnis "HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\" und prüfen die untergeordneten Verzeichnisse Run RunOnce RunServices auf verdächtige Einträge, die Sie mit einem Rechtsklick löschen. Anschließend wechseln Sie zum Schlüssel "HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\" und prüfen dort die Ordner Run RunOnce RunOnceEx RunServices RunServicesOnce Erster potentieller Erfolg Nach dem Löschen verdächtiger Dateien und Einträge starten Sie Ihren PC einmal neu, ohne den abgesicherten Modus zu aktivieren. Ist der Sperrbildschirm verschwunden, haben Sie im vorherigen Schritt die richtigen Dateien entfernt und können nun zumindest wieder auf den Desktop zugreifen. Da das System jedoch weiterhin infiziert sein oder verschlüsselte Dateien enthalten kann, scannen Sie Ihren Rechner am besten mit einem Virenscanner wie Avast und fahren dann mit Bild 28 fort. Entfernungs-Möglichkeit 2: Systemwiederherstellung Sollte der Sperrbildschirm weiterhin den Windows-Zugriff blockieren, können Sie zur Systemwiederherstellung greifen. Sie funktioniert nur, wenn in der Vergangenheit mindestens ein Systemwiederherstellungspunkt angelegt wurde. In den folgenden Schritten setzen Sie Windows auf diesen Zeitpunkt zurück. Da Sie über die Windows-Oberfläche nicht auf die Wiederherstellung zugreifen können, starten Sie Ihren Rechner neu, drücken beim Booten mehrmals [F8] und wählen den "Abgesicherten Modus mit Eingabeaufforderung". Systemwiederherstellung starten Nachdem alle wichtigen Systemdateien geladen wurden, erscheint ein blinkender Cursor auf dem Bildschirm. Hier geben Sie nun "rstrui.exe" ein, um die SystemwiederhersteWiederherstellungspunkt auswählen Sobald der Wiederherstellungs-Assistent gestartet ist, klicken Sie auf "Weiter" und wählen den gewünschten Wiederherstellungspunkt aus. Dieser sollte logischerweise vor dem Datum liegen, an dem Trojaner das erste Mal den Windows-Zugriff gesperrt hat. Mit einem Klick auf "Weiter" und "Fertig stellen" wird das System dann auf den Zeitpunkt des Wiederherstellungspunkts zurückgesetzt. Persönliche Dateien gehen dabei nicht verloren. Entfernungs-Möglichkeit 3: WindowsUnlocker Im Erfolgsfall ist der Sperrbildschirm nach einem Windows-Neustart verschwunden. Falls nicht, sollten Sie jetzt auf eine Freeware zurückgreifen, die auf die Entfernung erpresserischer Trojaner spezialisiert ist. Wir empfehlen für diesen Einsatz den WindowsUnlocker von Kaspersky. Nachdem Sie die Software auf einem Zweit-PC heruntergeladen haben, muss sie entweder auf eine CD oder einen USB-Stick geschrieben werden. Entscheiden Sie sich für die erste Variante, rechtsklicken Sie unter Windows 7 auf die ISO-Datei und wählen "Datenträgerabbild brennen". WindowsUnlocker auf CD brennen Fehlt der Eintrag im Rechtsklick-Menü, wählen Sie stattdessen "Öffnen mit". Erscheint der Abbildbrenner auch hier nicht, klicken Sie auf "Standardprogramm auswählen",... WindowsUnlocker auf CD brennen ...markieren ihn hier und klicken auf "OK". Unter Windows XP und Vista müssen Sie auf eine Freeware wie ISO Recorder zurückgreifen, um den WindowsUnlocker auf eine CD zu brennen. WindowsUnlocker auf USB-Stick kopieren Der WindowsUnlocker lässt sich alternativ auf einen USB-Stick kopieren. Dazu laden Sie am besten den Kaspersky USB Rescue Disk Maker herunter. Einmal entpackt, geben Sie im oberen Feld den Speicherort der WindowsUnlocker-Datei an und im unteren Auswahlmenü den zu verwendenden USB-Stick. Bootmenü aufrufen Nach dem Brennen auf CD oder einen USB-Stick legen bzw. stecken Sie den Datenträger an den befallenen PC ein und starten ihn neu. Der Rechner sollte außerdem wieder mit dem Internet verbunden werden. Beim Hochfahren müssen Sie dann die richtige Taste drücken, um in das Boot-Menü oder BIOS zu kommen (meist: [F8], [F10], [F11], [F12] oder [ENTF]). Anschließend wählen Sie aus, dass Ihr PC von der CD oder dem USB-Stick starten soll. Kaspersky Rescue Disk starten Konnte Ihr Rechner erfolgreich vom USB-Stick oder der CD starten, erscheint der grüne Kaspersky-Bildschirm, den Sie mit einer beliebigen Taste innerhalb von zehn Sekunden bestätigen müssen. Sprache auswählen Im zweiten Schritt stellen Sie die Sprache mit den Pfeiltasten auf "Deutsch" um. Lizenzbestimmungen akzeptieren Nach einigen Augenblicken erscheinen die Lizenzbestimmungen, denen Sie mit der Taste [1] zustimmen. Grafikmodus auswählen Danach entscheiden Sie sich für den Grafikmodus. Jetzt lädt die Kaspersky Rescue Disk - in der der WindowsUnlocker steckt - die eigentliche Oberfläche. Das kann je nach Geschwindigkeit des CD-Laufwerks oder USB-Sticks eine Weile dauern. Virenscan durchführen Auf dem Rettungs-Desktop angekommen, nehmen Sie zunächst das Angebot zum Virenscan in Anspruch. Zuvor sollten Sie über den Reiter "Update" dafür sorgen, dass die Rescue Disk die neuesten Virendefinitionen herunterlädt. Terminal starten Im Optimalfall findet die Rescue Disk bereits beim Virenscan den Trojaner und entfernt ihn. Sicherheithalber klicken Sie dennoch auf das KDE-Icon in der linken unteren Ecke und starten das Terminal. WindowsUnlocker öffnen Im neuen Fenster geben Sie dann den Befehl "windowsunlocker" ein und drücken die Taste [1] für "Windows freischalten". Registry wird gesäubert Der WindowsUnlocker verrichtet nun seine Arbeit und versucht, die manipulierten Registry-Einträge zu entfernen, wiederherzustellen und schließlich darauf zuzugreifen. Sobald Sie die Meldungen "[...] wurde erfolgreich geöffnet" sehen, hat der WindowsUnlocker seine Arbeit beendet. Bestätigen Sie den Abschluss des Vorgangs mit der Taste [0] und dem Befehl "exit". Persönliche Dateien sichern Zurück auf dem Desktop können Sie nun wichtige Dateien sichern, auf die Sie durch die Windows-Sperre nicht zugreifen konnten. Dazu klicken Sie auf die Verknüpfung "Dateimanager" und wechseln für Ihr Windows-Konto beispielsweise zu "C:\Dokumente und Einstellungen\[Ihr Benutzername]\Eigene Dateien". Per Rechtsklick können Sie dann beliebige Dateien auf eine andere Partition oder ein externes Laufwerk kopieren. Rescue Disk beenden Anschließend starten Sie den PC über einen Klick auf das KDE-Icon herunter, entfernen die Rescue Disk und starten ihn erneut. Konnte der WindowsUnlocker die Sperre aufheben, haben Sie jetzt wieder vollen Zugriff auf Ihren Rechner. erschlüsselte Dateien wieder öffnen Besonders raffinierte Varianten der Trojaner sperren aber nicht nur den Windows-Zugriff, sondern verschlüsseln auch persönliche Dateien. Haben Sie trotz Aufhebung der Windows-Sperre weiterhin keinen Zugriff auf bestimmte Ordner und Daten, empfehlen wir den Kaspersky RannohDecryptor. Über "Change parameters" können Sie detailliert angeben, auf welchen Laufwerken nach verschlüsselten Dateien gesucht werden soll. Die Notlösung: Windows neu installieren Die erpresserischeren Trojaner werden ständig weiterentwickelt, um ihre Entfernung immer schwieriger zu gestalten. Haben Sie sich eine brandneue Version des Schädlings eingefangen, können sowohl manuelle Entfernungsversuche als auch Entfernungs-Tools scheitern. Doch auch, wenn Sie die Windows-Sperre aufheben konnte, kann der Schädling weiterhin auf dem System vorhanden sein - und unter Umständen Wochen später erneut zuschlagen. Die einzige Möglichkeit, Ihren Rechner komplett von der Malware zu befreien, ist deshalb die Neuinstallation von Windows. Dazu laden Sie ein Original-Image des Betriebssystems auf einem Zweit-PC herunter und brennen dieses wie in den Bildern 13 bis 15 beschrieben auf eine DVD. Infizierten Datenträger formatieren Anschließend legen Sie den Datenträger am infizierten Rechner ein und starten ihn neu. Beim Hochfahren lassen Sie den PC dann wie in Bild 17 beschrieben vom Datenträger starten, worauf das Windows-Setup geladen wird. Bei der Auswahl des Installationslaufwerks formatieren Sie dann die bisherige Windows-Partition. Damit wird nicht nur der Trojaner gelöscht, sondern auch alle anderen enthaltenen Daten. Ein Klick auf die frisch formatierte Partition legt sie anschließend als Speicherort für das neue Windows fest. Alle weiteren Infos zum Setup finden Sie in der