Einer Vielzahl von Internetnutzern dürfte der bekannte BKA-Trojaner ein Begriff sein. Dieser Schädling schafft es immer wieder in vermeintlich sichere Systemen einzudringen und dort für Chaos sorgen. So wird beispielsweise der Nutzer dazu aufgefordert, einen bestimmten Betrag via uKash zu bezahlen, um den Computer wieder zu entsperren. Aktuell befinden sich zwei weitere Varianten dieser erpresserischen Software im Umlauf: der GEMA- und GVU-Trojaner.
Diese beiden Abkömmlinge des BKA-Trojaners gehen nach dem gleichen Prinzip des Originals vor und blockieren alle Eingabemöglichkeiten für den Benutzer. Unter dem Vorwand man habe herausgefunden, dass von diesem Computer aus Raubkopien heruntergeladen worden seien, fordert der Trojaner den Nutzer zur Zahlung eines bestimmten Geldbetrages auf. In diesem Fall ist es eine Aufforderung die angeblich von der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen e.V. (GVU) stammt und den Nutzer dazu auffordert, 50 € an die GVU zu überweisen.
Wie üblich für diese Form von Trojanern soll die Zahlung über so genannte Paysafe-Guthabenskarten erfolgen, die beispielsweise an Tankstellen oder in Supermärkten erworben werden können. Wohin die Codes nach der Eingabe geschickt werden und wer letztlich Geld mit dieser Masche verdient, lässt sich nur schwer zurückverfolgen. Nach Angaben der GVU soll sich der Trojaner über Porno-Werbung verbreiten. Passenderweise wird diese Werbung häufig auf Seiten angezeigt, die illegale Kopien zum Download bereitstellen. Nichtsdestotrotz sorgt eine Bezahlung nichts dafür, dass der Rechner wieder entsperrt wird. Man sollte also auf keinen Fall den geforderten Geldbetrag überweisen, da man so die kriminellen Entwicklern hinter diesen Trojaner unterstützt und damit unter Umständen weitere Varianten des Schädlings finanziert.
Da bereits unzählige Varianten dieses Trojaner existieren, ist es nur schwer eine pauschale Anleitung zur Entfernung bereitzustellen. Es gibt jedoch einige wesentliche Schritte, die in den meisten Fällen zu einem Erfolg führen.
Starten im “Abgesicherten Modus mit Kommandozeile”
Hierzu wird das infizierte System im “abgesicherten Modus mit Kommandozeile” gestartet. Diesen erreicht man, wenn vor Systemstart mehrfach auf die Taste F8 gedrückt wird. Es erscheint anschließend ein Menü, das verschiedene Stadtoptionen zur Auswahl bietet. Hier muss nun der Eintrag “Abgesicherter Modus mit Kommandozeile” ausgewählt werden.
Anschließend führt man den Registrierungseditor “regedit” mit dem Befehl “regedit” aus und hangelt sich zudem Eintrag “HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows
NT->CurrentVersion->Winlogon->Shell” durch. Nun setzt man den Wert des Eintrags “Shell” auf “explorer.exe” und speichert die Änderung. Mit etwas Glück führt dieses Vorgehen bereits seinem ersten Erfolg. Sollte das System wieder normal starten, sollte unbedingt ein Virenscan durchgeführt werden.
Norton Power Eraser
Wer über mehrere Benutzerkonten verfügt hat einen entscheidenden Vorteil. In den meisten Fällen beschränkt sich die Verbreitung des Virus lediglich auf das Benutzerkonto, das zum Zeitpunkt der Infektion aktiviert gewesen ist. Um den Virus erfolgreich mit dem Norton Power Eraser zu entfernen wird ein zweites Konto mit Administratorrechten benötigt, das zu den Zugriff auf das Internet hat.
Hierzu muss wieder im abgesicherten Modus gestartet werden. Dieses Mal wählt man jedoch die Variante “Abgesicherter Modus mit Netzwerktreibern” aus, damit Norton Power Eraser Zugriff auf das Internet hat und die aktuellen Signaturen zur Erkennung von Trojanern und Viren herunterladen kann. Ist das Programm gestartet, muss unter den Optionen noch der Haken “Rootkit-Scann durchführen” entfernt werden, da die Software sonst zu einem Neustart des Systems auffordert. Nach einem erfolgreichen Virenscan sollte der Trojaner entfernt und die Einträge in der Registrierung wieder korrekt sein.