In diesem Beitrag möchten wir gerne die Problematik zum Polizeivirus (oder auch Polizeitrojaner oder UCash) unter Verwendung von mehreren Varianten erörtern. Die Symptomatik dieses Virus ist, das der Computer durch ein Fenster "gesperrt" wird. Dieses Fenster kann weder geschlossen noch Umgangen werden. Es wird angegeben, das durch die Zahlung von Betrag x das Fenster verschwindet und die Dateien auf dem Computer wieder entschlüsselt werden. Keine Sorge: Sie brauchen NICHT ZU BEZAHLEN! Folgenden Sie der Anleitung, um den Polizeivirus von Ihrem Computer zu entfernen. Bitte beachten Sie, die Laufzeit des Polizeivirus so gering wie Möglich zu halten. Denn je mehr Zeit die Software auf Ihrem PC verbringt, desto mehr Dateien werden veschlüsselt!

Sollte keine der angeführten Varianten funktionieren, oder Sie eine einfachere Lösung parat haben, so zögern Sie nicht, mit uns in Kontakt zu treten!

Inhalt

  1. Variante 1 - Abgesicherter Modus mit Systemdateiprüfung und Autostartprogramme
  2. Variante 2 - Abgesicherter Modus unter Verwendung von Tools
  3. Variante 3 - Abgesicherter Modus mit anschließender Systemwiederherstellung
  4. Variante 4 - Systemebene
  5. Durch welche Seiten kommt der Polizeivirus?
  6. WICHTIG!
  7. Seite Teilen

 

Sie brauchen professionelle Unterstützung beim Entfernen des Polizeivirus? Wir helfen Ihnen gerne weiter: » www.cmaxmedia.com

 

1) Variante 1 - Abgesicherter Modus Systemdateiprüfung und Autostartprogramme

Mit dieser Variante versuche Sie im ersten Schritt eine Prüfung mit Wiederherstellung eventuell beschädigter Windows Systemdateien. Hierzu führen Sie die folgenden Schritte aus:

  • Computer einschalten und mehrmals hintereinander die Taste F8 drücken. Es erscheint das Windows Startmenü
  • "Abgesicherter Modus mit Eingabeaufforderung" mit den Pfeiltasten auswählen und mit Enter bestätigen.
  • Im Anschluss müssen Sie sich eventuell mit Ihrem Benutzer anmelden. Nach erfolgtem Windowsstart erscheint ein schwarzes Eingabefenster.
  • Geben Sie hier den folgenden Beefehl ein: sfc /scannow und bestätigen diesen mit der Enter-Taste

Die Prüfung der Systemdateien kann einige Zeit in Anspruch nehmen. Ist die Prüfung fertiggestellt erscheint wieder die Eingabeaufforderung ( c:\ ). Prüfen Sie die Autostartprogramm, in dem Sie die folgenden Schritte ausführen:

  • In der noch geöffneten Eingabeaufforderung geben Sie folgenden Befehl ein: msconfig und bestestätigen mit der Enter-Taste
  • Überprüfen Sie nun speziell in der Registerkarte Systemstart, ob hier Programme aufscheinen, die Ihnen nicht bekannt sind. Grundsätzlich können Sie bis auf den Eintrag "Betriebssystem" alle deaktivieren.

2) Variante 2 - Abgesicherter Modus unter Verwendung von Tools

Wenn Sie diese Variante verwenden, so können Sie sich einen USB-Stick vorbereiten, in dem Sie die unten angeführten Tools herunterladen und darauf abspeichern:

 

  • Schalten Sie den Computer aus und trennen Sie die Internetverbindung, das Netzwerk, externe Datenträger, Drucker, Scanner, Kameras, Telefone und Co.
  • Starten Sie den Computer in den abgesicherten Modus: Schalten Sie den Computer aus, in dem Sie ca. 5 Sekunden auf den Einschalt-Knopf drücken. Wenn Sie den Computer erneut einschalten, drücken Sie mehrmals hintereinander die Taste “F8″. Wenn Sie die F8 Taste oft genug gedrückt haben, erscheint das Startmenü von Windows. Wählen Sie nun mit den Pfeiltasten den Punkt “Abgesicherter Modus” aus und drücken Sie die Taste Enter. In Einzelfällen müssen Sie nun das zu startende Betriebssystem auswählen. In den meisten Fällen können Sie nun das Konto auswählen, mit dem Sie sich anmelden. Bitte wählen Sie das Konto aus, auf dem der Polizeivirus aufgetreten ist. Sollten Sie über mehrere Benutzerkonten verfügen, so führen Sie die nächsten Schritte für jedes einzelne Konto aus.
  • Virtuelle Laufwerke sichtbar machen, um die Schadprogramme sichtbar zu machen: Verwenden Sie das Programm Defogger, um versteckte Laufwerke sichtbar zu machen, in dem Sie das Programm auf Ihren Computer ausführen und die Schaltfläche “Disable” auswählen.
  • Auf Rootkits prüfen: Verwenden Sie die Software “gmer“, um Ihr System auf etwaige Rootkit-Software zu prüfen. Diese spezielle Art von Software ist schwierig zu entfernen und kann im Extremfall ausschließlich von solcher spezialisierter Software erkannt und entfernt werden! Starten Sie den Suchlauf, in dem Sie auf die Schaltfläche Scan drücken.
  • Intensivscan durchführen: Verwenden Sie die Software von Malwarebytes, um einen Intensivscan durchzuführen. Hierzu installieren Sie sich Anti Malware Bytes und führen entweder einen Quickscan oder einen vollständigen Suchlauf durch. Mit dieser Methode werden die meisten Schadprogramme entfernt. Da Sie das Internet getrennt haben, kann die Signaturdatenbank nicht aktualisiert werden. Beachten Sie daher unbedingt den nächsten Schritt:
  • Computer neu starten und Intensivscan erneut durchführen: Starten Sie die zuvor installierte Software Anti Malware Bytes und führen Sie den Intensivscan erneut für alle relevanten Benutzerkonten durch. Aktualisieren Sie hier unbedingt die Signaturdatenbank!

 

3) Variante 1 - Abgesicherter Modus mit anschließender Systemwiederherstellung

Die folgende Variante ist sehr einfach und hat einem Internetuser geholfen, konnte noch nicht getestet bzw. bestätigt werden. Bitte beachten Sie, dass bei einer Systemwiederherstellung von einem Wiederherstellungspunkt unter Umständen zu Datenverlusten führen kann!

  • Computer einschalten und mehrmals hintereinander die Taste F8 drücken. Es erscheint das Windows Startmenü
  • "Abgesicherter Modus" mit den Pfeiltasten auswählen und mit Enter bestätigen. Zur Auswahl stehen hier auch "Abgesicherter Modus mit Eingabeaufforderung" sowie "Eingabeauforderung mit Netzwerk und Internet". Diese nicht auswählen
  • Der Computer startet in den abgesicherten Modus. Es kann sein, dass sich der Polizeivirus dennoch startet. Dieser kann jedoch über den Taskmanager mit der Tastenkombination STRG+ALT+ENTF beendet werden.
  • Im Anschluss sollte eine Systemwiederherstellung möglich sein. Wählen Sie der reihe nach die jüngsten Wiederherstellungspunkte, so lange, bis sich der Polizeivirus bei einem normalen Windows-Start nicht mehr startet

Sollte diese Variante erfolgreich sein, so wird trotzdem nach dem erfolgten Windows-Start der Einsatz eines Virenscanners oder Malwaretools empfohlen

4) Variante 3 - Systemebene

Einmal den Virus eingefangen haben Sie abgesehen vom Neu-Aufsetzen des Betriebssystemes die folgenden Optionen:

 

4.1) Geräte und Computer vom Internet trennen

Trennen Sie Ihren Computer vom Netzwerk und trennen Sie die Verbindung zu Netzlaufwerken, externen USB-Festplatten, Druckern, Scannern, USB Stick oder zu weiteren angeschlossenen Geräten

 

4.2) Start des Trojaners verhindern

Verhindern Sie den Start des Polizeivirus: Im Falle eines Virenbefalles des PCs ist kein weiteres Arbeiten mehr möglich, weil sich das Fenster immer wieder über den Bildschirm legt und diesen so sperrt. Zudem werden diverse Tastenkombinationen, wie zb. STRG+F4, ALT+STRG+ENTF, Windows+E oder die Ausführung von Systemrelevanten Windowskomponenten, wie zb. den Taskmanager oder MS-Config verhindert.

 

Verwenden Sie beim nächsten Systemstart den Abgesicherten Modus mit Eingabeaufforderung. Diesen erreichen Sie, wenn Sie beim Windowsstart mithilfe der F8-Taste in das Startmenü von Windows wechseln und den Punkt "Abgesicherter Modus mit Eingabeaufforderung" auswählen. Um den Start des Virus zu unterbinden, geben Sie in der Eingabeaufforderung den Befehl "regedit" ein. Navigieren Sie im Regedit auf der linken Seite zu den folgenden Pfaden:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Entfernen Sie hier Ihnen unbekannte Softwareeinträge auf der rechten Seiten des Fensters

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Prüfen Sie hier den Eintrag "Shell". Dieser muss den Wert "Explorer.exe" beinhalten. Sollte das nicht der Fall sein, ändern Sie diesen Wert, in dem Sie mit einem Doppelklick auf den Namen diesen ändern. Ist hier der Wert bereits auf "Explorer.exe" und der Trojaner wird bei einem normalen Systemstart trotzdem gestartet, so wird dieser vermutlich aus einem der obigen Registryschlüssel heraus gestartet. Bei einigen Trojaner-Varianten kann es vorkommen, das die ausführbare Windows-Datei Explorer.exe im Windowsverzeichnis selbst ausgetauscht wurde. Hier empfiehlt sich die Originaldatei, je nach Betriebssystem, wieder herzustellen.

 

Schließen Sie den Registrierungs-Editor und geben Sie in der Eingabeaufforderung "explorer" ein. Navigieren Sie in den folgenden Ordner:

  • C:\Dokumente und Einstellungen\Benutzername\Startmenü\Programme\Autostart
  • C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

bzw. unter Windows Vista/Windows 7

  • C:\Benutzer\Benutzername\Startmenü\Programme\Autostart
  • C:\Benutzer\All Users\Startmenü\Programme\Autostart

 

Vergewissern Sie sich, das hier kein Programm gestartet wird, das Sie nicht kennen

 

Sind diese Schritte durchgeführt, so sollte ein erneuter Systemstart ohne den Polizeivirus möglich sein.

4.3) Die Tools

Entfernen Sie den Virus mit einem Virenscanner. Hier ein Tipp, sollten Sie keinen Virenscanner zur Hand haben: Während der Installation von Bitdefender wird Ihr System zur Gänze geprüft und das System gesäubert. Stellen Sie ggf. sich, das sich der Virus nicht mehr am System befinden indem Sie mit den folgenden Tools einen Scan durchführen (Keine Gewähr):

 

Nun sollte das System soweit sauber sein. Nun kann es allerdings vorkommen, das dieser Polizeivirus Dateien auf der Festplatte zur Gänze verschlüsselt, oder nur den Dateinamen ohne Dateiendung ändert. Diese können wie folgt aussehen:

  • locked-JeNsAkWjDnKyS
  • AJaIeWNysSjsKaNEK

 

Stellen Sie nun fest, wie der Virus Ihre Dateien verschlüsselt hat. Navigieren Sie in einen Ordner, wo Sie wissen, das zb. Bilddateien mit der Dateiendung .jpg abgespeichert wurden. Wenn Sie eine solche Datei umbenennen, also den Dateinamen von "AJaIeWNysSjsKaNEK" ändern in "AJaIeWNysSjsKaNEK.jpg" und Sie können die Datei öffnen, so wurde nur der Dateiname manipuliert.

 

Tipp: Schalten Sie die Detailansicht im Explorer ein und lassen Sie sich Dateinamenserweiterungen anzeigen (Im Explorer unter Menü "Extras" -> "Optionen" -> "Dateinamenserweiterungen bei bekannten Dateitypen ausblenden": Diese Option deaktivieren)

 

Tipp: Wenn Sie eine Datei vorfinden, wo Sie nicht wissen, welcher Dateityp, also welche Dateiendung Sie dieser zuordnen sollen, können Sie die Erweiterung .txt verwenden. Mit dieser Erweiterung wird die Datei im Windows Notepad geöffnet. In den meisten Fällen können Sie schon in der ersten kryptischen Zeile erkennen, um welchen Dateityp es sich handeln könnte. Hier stehen zb. ÿØÿà JFIF für JPG oder %PDF-1.5 für PDF oder word/webSettings.xmlPK für DOCX Dateien.

 

Können Sie die Datei gar nicht öffnen und ist die Dateinamenserweiterung auch aus dem Dateiinhalt nicht rückzuschließen, so wurde diese vermutlich zur Gänze verschlüsselt. Hier helfen Ihnen die folgenden Tools weiter:

Tools von Kaspersky:

 

In einigen Varianten kann es auch vorkommen, das System-, Konfigurations-, oder Treiberdateien umbenannt oder verschlüsselt wurden. Das macht sich dann zb. dadurch bemerkbar, dass Videos nur noch in Digitalen Zeilen wiedergegeben wird. Ist dass der Fall, so können Sie entweder versuchen, die beschädigten Treiber, Konfigurationen oder Systemdateien wiederherzustellen oder eben das System neu aufzusetzen. In beiden Fällen empfiehlt es sich aber vorher die Benutzerdateien, also Videos, Audio, Bilder oder andere Dokumente auf einen externen Datenträger zu sichern!

 

Sollten Sie weitere Fragen haben, so stehen wir Ihnen gerne telefonisch, per E-Mail oder per Anfrageformular zur Verfügung!

5) Durch welche Seiten kommt der Polizeivirus?

Man kann hier nur Vermutungen anstellen, durch welche Seiten sich der Polizeivirus einschleust. Die folgenden Varianten sind allerdings sehr wahrscheinlich:

  • Sehr wahrscheinlich wohl über Webseiten mit Pornographischen Inhalten oder
  • Download-, Torrent- und Streamingseiten
  • Eher Wahrscheinlich über Nachrichtenseiten mit Flash-Anzeigen oder
  • Spieleplatformen

Häufig werden Schwachstellen am Server ausgenutzt, wo Programmcode über Flash- oder Java-Applets (kleine Programme) eingeschleust werden, die sich wiederum auf den Besucher übertragen. Es empfiehlt sich auch hier wiederum, die Software auf Ihrem Computer, speziell Flash, Java oder Silverlight sowie Virenscanner und Firewalls am aktuellen Stand zu halten. Und selbst das schützt Sie nicht davor, denn sogenannte "Zero Day Lücken" werden rege im Internet gehandelt, ehe überhaupt der Softwarehersteller was von dieser Lücke mitbekommen.

6) WICHTIG!

Egal mit welchen Inhalten der Polizeivirus Ihnen droht, hat das nichts mit Imageverlust zu tun, da man Betroffene oft mit gesellschaftlich grenzwertigen oder gar verwerflichen Themen in Verbindung bringt. Zahlen Sie nicht und entfernen Sie diesen Virus, wenn es sein muß, mithilfe von Fachpersonal!

Selbst wenn Sie bezahlten, wird sich der Computer immer wieder sperren!

 

... Und verwenden Sie einen Virenscanner!

6) Seite Teilen