BKA-/Bundespolizei-/SUISA-/GEMA-/BSI-/GVU-Trojaner: So entfernen Sie die Schädlinge

Es ist der Albtraum jedes Internetnutzers. Urplötzlich stoppt der Computer, der Bildschirm zeigt nur noch eine bedrohliche Seite: „Ihr Rechner wurde wegen illegalen Aktivitäten deaktiviert.“ Entsperren angeblich nur durch Strafzahlung möglich.

Immerhin ist der unter vielen Namen auftretende Trojaner, der dieses Unheil auslöst, inzwischen einem weiten Nutzerkreis bekannt. Dennoch: Wenn man ihn sich eingefangen hat, ist guter Rat teuer.

Zunächst einmal ist zu bemerken: Die geforderte Zahlung ist natürlich auf gar keinen Fall zu leisten. Dahinter stecken Kriminelle, die so illegal Geld erpressen wollen. Inzwischen gibt es sogar grobe Hinweise auf die Identität der Hacker. Im Zuge der Untersuchungen zum BKA-Trojaner stiessen die deutschen Ermittler der Staatsanwaltschaft Verden zufällig auf eine Datenbank, die 16 Millionen E-Mail-Adressen deutscher Nutzer enthielt.

Recherchen des Nachrichtenmagazins „Der Spiegel“ hätten ergeben, dass die beiden Verfahren zusammenhängen. Hinter dem Diebstahl der E-Mail-Adressen stehen offenbar Hacker aus dem Baltikum. Hat der „Spiegel“ Recht, so könnten diese auch für die in verschiedensten Gewändern daherkommenden Schreckenstrojaner verantwortlich (business24 berichtete) sein.

So entfernen Sie den SUISA-Trojaner

Da der eigene Rechner gesperrt ist, hat man keine Möglichkeit ihn ohne externe Hilfe wieder zu entfernen. Was man braucht, ist ein zweiter Computer. Gehen Sie dann wie folgt vor:

  1. Starten Sie den infizierten Rechner neu.
  2. Sobald Sie nach der Anmeldung einen Desktophintergrund sehen, drücken Sie die Tastenkombination „Strg + Alt + Entf“. Tun Sie dies ruhig mehrmals hintereinander, bis sich der Taskmanager öffnet. Bei Windows 7 müssen Sie auf „Task-Manager starten“ klicken.
  3. Klicken Sie bei den Karteikartenreitern „Prozesse“ an.
  4. Der Trojaner verbirgt sich hinter exotisch klingenden, zufällig generierten Namen wie eloxor.exe oder jashla.exe. Stoppen Sie alle solchen verdächtigen Anwendungen (Anwendungen erkennen Sie an der Dateiendung .exe), indem Sie sie markieren und auf „Prozess beenden“ klicken.
  5. Danach starten Sie die Systemwiederherstellung von Windows. Damit setzen Sie Ihr System auf einen Zustand vor der Infektion mit dem Trojaner zurück. Dazu gehen Sie wie folgt vor:
  6. Klicken Sie im Taskmanager auf „Datei“ und dann auf „Neuer Task (ausführen)“. Wählen Sie nun die Schaltfläche „Durchsuchen“ und finden Sie die Datei „rstrui.exe“. Sie befindet sich unter Windows 7 normalerweise unter C:\Windows\system32, in Windows XP unter C:\Windows\system32\Restore. Wenn Sie sie gefunden haben, markieren Sie den Dateinamen, klicken Sie auf „Öffnen“ und dann auf „OK“.

So sieht er Sperrbildschirm des SUISA-Trojaners aus. (Bild: bka-trojaner.de)

Folgen Sie nun den Anweisungen des Systemwiederherstellungsassistenten.

Wenn Sie keine Systemwiederherstellung durchführen können oder wollen, können Sie alternativ auch den Virus über ein spezielles Antivrenprogramm entfernen. Gehen Sie dazu wie folgt vor:

  1. Laden Sie sich den kostenlosen DE-Cleaner von Avira herunter und installieren Sie das Programm auf einem USB-Stick.
  2. Öffnen Sie den Windows Explorer (explorer.exe) im oben beschriebenen Verfahren über den Taskmanager.
  3. Greifen Sie über den Windows Explorer auf das Antivirenprogramm auf dem USB-Stick zu und installieren Sie es. Nach dem Suchlauf sollte der Schädling entfernt sein.

Mit den oben beschriebenen Methoden lässt sich leider nur ein Teil der „Behörden“-Trojaner. Falls sie keinen Erfolg haben, müssen Sie den etwas umständlicheren Weg mit einer Rescue Disk gehen:

  1. Laden Sie das Programm Kaspersky Rescue Disk auf den zweiten Rechner herunter.
  2. Die heruntergeladene Datei (Format ISO) muss nun auf eine CD gebrannt werden. Windows 7-Nutzer finden eine Anleitung dazu hier. Wer (noch) Windows XP nutzt, sollte lieber ein Programm eines Drittanbieters verwenden, z.B. CD Burner XP. Aufgrund des fehlenden Supports sollten Sie in jedem Fall über eine Aktualisierung Ihres Betriebssystems nachdenken, da dieses sonst zu anfällig für Schadsoftware ist. Windows 8-Nutzer gehen wie hier beschrieben vor.
  3. Legen Sie die gebrannte CD ein. Diese ist nun eine sogenannte Boot-CD, d.h. der Computer kann die dort gespeicherten Daten zum Hochfahren benutzen, ohne auf die Festplatte zuzugreifen.
  4. Schalten Sie den Computer aus (durch langes Drücken des An-/Aus-Knopfes).
  5. Starten Sie den Rechner neu. Sobald ein Bild auf dem Monitor erscheint, drücken Sie F9. Dies startet den Boot-Manager. Dort müssen Sie dann das CD-Laufwerk auswählen. Anmerkung die beim Start zu drückende Taste kann abweichen – bei Dell-Geräten ist es z.B. F12. Falls Sie keinen Erfolg haben, versuchen Sie es mit mehreren Tasten der F-Reihe hintereinander.
  6. Wenn das Booten von CD klappt, wählen Sie als Sprache Deutsch, akzeptieren Sie die AGB und starten Sie den Grafik-Modus.
  7. Was nun folgt, hat die Webseite trojaner-board in einer akribischen Anleitung zusammengestellt. Folgen Sie dieser einfach.
  8. Wenn der Befehl „windowsunlocker“ seine Arbeit getan hat, können Sie Ihren PC neu starten, diesmal allerdings ohne CD.

Jetzt sollte wieder alles ganz normal funktionieren. Auf jeden Fall sollten Sie jetzt einen ordentlichen Virenscanner installieren. Eine Freeware wie Avira Home Free reicht für die meisten Anwender sicher aus, wer es noch sicherer haben möchte oder muss, sollte zu kostenpflichtiger Software wie Kaspersky Internet Security greifen. Besonders Unternehmen sollten hier nicht am falschen Eck sparen, da sonst wertvolle Zeit (die ja bekanntlich Geld ist) verloren geht, wenn nicht sogar noch grösserer Schaden entsteht.

Sicherheitshalber sollten auch alle Kennwörter für E-Mail, die sozialen Netzwerke, Online-Banking etc. geändert werden. Meist hat man sich den Virus durch eine Phishing-Attacke eingefangen, in deren Zuge die Cyberkriminellen auch durchaus Zugriff auf sensible Daten bekommen haben könnten. Nicht umsonst stehen offenbar die Ermittlungsverfahren zum Datenklau und den Behörden-Trojanern in Verbindung.

Ob BKA-, Bundespolizei-, SUISA-, GEMA-, GVU- oder BSI-Trojaner: jeder hat seine Besonderheit, und zwischenzeitlich sind eventuell die bisherigen Versionen auch wieder angepasst worden. Falls Sie mit keiner der obigen Anleitungen weiterkamen, empfiehlt sich ein Besuch der Seite botfrei.de, wo Sie detaillierte Anweisungen zu jeder bisher aufgetretenen Form des Virus finden.

 

Oberstes Bild: © jeffy11390 – shutterstock.com

jQuery(document).ready(function(){if(jQuery.fn.gslider) {jQuery('.g-22').gslider({groupid:22,speed:10000,repeat_impressions:'Y'});}});