Aufhebung der Sperre auf PCs, welche mit Schadsoftware infiziert

Informatikstrategieorgan Bund ISB
Nachrichtendienst des Bundes NDB
Melde- und Analysestelle Informationssicherung MELANI
www.melani.admin.ch
Aufhebung der Sperre auf PCs, welche mit
Schadsoftware infiziert wurden, die zu einer
Zahlung auffordert.
Version 1.1
Die Melde- und Analysestelle Informationssicherung MELANI wurde in den letzten Tagen
mehrmals darauf Aufmerksam gemacht, dass eine Schadsoftware Computer sperrt. Dabei
erscheint ein Fenster mit einer Nachricht, welche scheinbar vom Eidgenössischen Justizund Polizeidepartement stammt. In dieser Nachricht wird der Computerbenutzer aufgefordert
150 Franken Busse zu bezahlen, da sich auf seinem PC scheinbar Kinderpornografischesund anderes illegales Material befinde.
Nachfolgend wird beschrieben wie diese Sperre aufgehoben werden kann und wie die darauf
befindlichen Daten gerettet werden können.
Trotz einer erfolgreichen Entsperrung wird empfohlen, nach der Sicherung der Daten,
das System neu zu installieren.
Beachten Sie bitte, dass die Entsperrung auf eigenes Risiko erfolgt. MELANI kann keine Haftung für Schäden übernehmen, die aufgrund dieser Anleitung entstanden sind.
Auch leistet MELANI keinen Support.
2/4
Schritt 1:
Starten Sie Ihren Computer neu und drücken Sie dabei die Taste F8 bis das „Menu Erweiterte Startoptionen“ eingeblendet wird. Wählen Sie anschliessend den Menupunkt „Abgesicherter Modus mit Eingabeaufforderung“:
Schritt 2
Das zu startende Betriebssystem wählen. Beispielsweise: „Microsoft Windows XP Home
Edition“
3/4
Schritt 3
Eventuell ist noch eine Anmeldung (am besten als Administrator) erforderlich und es öffnet
sich danach ein Konsolenfenster. Hier gibt man „regedit“ ein.
Schritt 4
Es öffnet sich der Registrierungseditor. Im Editor müssen folgende Einträge gesucht werden:
„HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon“
„HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon“
Zu den Einträgen gelangt man durch Aufklappen der einzelnen Unterordner auf der linken
Seite zum entsprechenden Eintrag. Ein Klick auf „Winlogon“ öffnet die gesuchten Einträge
auf der rechten Seite. Ein Doppelklick auf den Eintrag „Shell“ auf der rechten Seite öffnet ein
weiteres Fenster. In diesem Fenster wird ein Wert angezeigt, der mit dem String „new.exe“
endet. Dieser gesamte Eintrag muss durch „explorer.exe“ ersetzt werden. Die Änderung
muss danach noch mit „OK“ bestätigt werden und der Registrierungseditor geschlossen werden.
Schritt 5
Computer mit dem Befehl „shutdown –r“ neu starten. Geben Sie hierzu diesen Befehl an der
Konsole ein. Warten Sie anschliessend bis der 30 Sekunden Timer abgelaufen ist. Das System sollte nun wieder ohne Blockierung starten.
Trotz einer erfolgreichen Entsperrung wird empfohlen, nach der Sicherung der Daten,
das System neu zu installieren.
4/4