Gestern hatte ich mal wieder Spaß. Auf dem Rechner meiner Eltern hatte sich der so genannte “BKA Virus” breit gemacht. Es poppte immer direkt nach dem Start ein Fenster auf, dass den ganzen Bildschirm einnahm und sich nicht verkleinern lies. Auch ein Wechsel in den Task-Manager war nicht mehr möglich. Um das ganze wieder los zu werden sollte man auf der linken Seite eine Ãœberweisung per Ukash machen. Selbstverständlich hilft das aber gar nichts sondern macht nur die Autoren der Scareware reicher.

Ich habe dann einfach folgendes gemacht um das Programm los zu werden:

  1. Rechner starten.
  2. Während des Bootens die F8-Taste mehrmals drücken um in die Bootauswahl von Windows zu gelangen.
  3. Dort dann den abgesicherten Modus mit Eingabeaufforderung starten (der normale abgesicherte Modus war auch “infiziert”).
  4. Nach dem Starten von Windows sieht man dann nur ein schwarzes Eingabefenster. Man kann aber trotzdem die Tastenkombination STRG+ALT+ENTF drücken und der Tastmanager öffnet sich.
  5. Im Taskmanager auf “Datei” und dann “Neuer Task (Ausführen…)” klicken.
  6. “msconfig” eingeben und mit ENTER bestätigen.
  7. Jetzt auf den Reiter “Tools” wechseln
  8. Dort nach unten scrollen und die “Systemwiederherstellung” auswählen und auf “Starten” klicken.
  9. Jetzt muss man schauen, ob es einen Wiederherstellungspunkt gibt, der sicher vor der Infizierung des Rechners lag (min. 1-2 Tage)
  10. Gibt es einen Wiederherstellungspunkt dann sollte man diesen auswählen und die Wiederherstellung starten. Nach erfolgtem Neustart (dauert etwas) sollte das System wieder funktionieren. Anschließend sollte man auf jeden Fall alle Microsoft Updates aufspielen sowie Virenscanner updaten und überlegen, ob nicht ein Programm wie “Spyware Terminator” oder ähnliches Sinn macht.

Sollte diese Vorgehensweise nicht funktionieren kann man noch folgendes probieren:

  • Im abgesicherten Modus starten wie oben beschrieben. Statt msconfig gibt man den folgenden Befehl bei “Neuer Task” ein (alles auf eigene Gefahr):
    reg add “hklm\Software\microsoft\Windows nt\currentversion\winlogon” /v shell /t REG_SZ /d explorer.exe /f 

 

Tags: , , , ,

Leave a Reply