Erpresser im Netz – So lässt sich der Gema-Trojaner entfernen

Das Betriebssystem wird automatisch und unbemerkt nach Sicherheitslücken durchforstet.

Wer dann noch alte Versionen von Windows, Java und Adobes Flash Player auf dem Rechner hat, hat ein Problem. Ein speziell programmiertes Skript nutzt die Lücken aus und überträgt so den Trojaner.

Folgen für den User

In Windeseile werden Desktop, Taskmanager und Registry deaktiviert und die Systemsprache ermittelt. Doch wozu?

Um, wenn nötig, eine Warnmeldung vorzubereiten, in der dann auf den vermeintlichen Fund illegal heruntergeladener Musik-Dateien hingewiesen wird. Mit der Überweisung von 50 Euro käme alles wieder in Ordnung.

KEINE ÜBERWEISUNG TÄTIGEN

Doch nichts ist in Ordnung. Das System kann nur durch einen Neustart und einen Wiederherstellungspunkt, der im „abgesicherten Modus mit Eingabeaufforderung“ gewählt wird, reaktiviert werden.

Mit der Eingabe des Befehls „rstrui.exe“ stellt Windows die Wiederherstellungspunkte zur Auswahl, die danach den Neustart möglich machen.

Wer keinen Wiederherstellungspunkt angelegt hat, sollte den kostenlosen WindowsUnlocker von Kaspersky nutzen. Damit lässt sich sämtliche Erpresser-Malware nach einem Neustart entfernen.

Formatierung ist notwendig

Die Gefahr ist aber selbst dann nicht unbedingt gebannt. Deshalb empfiehlt es sich, direkt nach der Entsperrung die persönlichen Daten zu sichern und Windows neu aufzusetzen. Andernfalls kann es vorkommen, dass der Gema Trojaner erneut aktiv wird und den Zugang zum System blockiert.