Der UCash- oder auch BKA-Virus

  • Plötzlich sehen Sie nur noch einen weißen Bildschirm, auf welchem Sie aufgefordert werden, einhundert Euro mit UCash zu bezahlen, um den Computer wieder "freizuschalten".
  • Auf den ersten Blick sieht es so aus, als wenn das Bundeskriminalamt sich Ihres Computers bemächtigt hätte. Nach dem ersten Schrecken fallen aber ein paar Dinge auf, welche die Herkunft der seltsamen Meldung eher auf kriminelle Machenschaften hindeuten lassen als auf das BKA als Urheber.
  • Die Zahlung der "Freigabegebühr" soll per UCash oder Paysafe-Card erfolgen, was wohl kaum der Vorgehensweise des Bundeskriminalamtes entsprechen dürfte.
  • Es handelt sich hier schlicht und einfach um einen Virus, welcher sich nach der ersten Panik auch von Ihnen entfernen lässt.

So werden Sie den Trojaner wieder los

  1. Zunächst muss der Computer im abgesicherten Modus gestartet werden. Dazu drücken Sie die Resettaste oder schalten den PC zunächst komplett ab. Nach dem Einschalten drücken Sie jede Sekunde die Taste F8, um die Startoptionen aufzurufen. Dies müssen Sie tun, bevor das Windowslogo erscheint.
  2. Wählen Sie den abgesicherten Modus aus und lassen Sie den Computer hochfahren.
  3. Klicken Sie nun auf Start und Ausführen und geben Sie den Befehl "regedit" ein und drücken Sie die Entertaste.
  4. Nun müssen Sie im Registrierungseditor folgenden Pfad durch Anklicken der Pluszeichen aufrufen: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\\Winlogon". Klicken Sie danach Winlogon direkt an.
  5. Im rechten Bereich sehen Sie einen Eintrag namens "Shell". Hier sollte als Wert "Explorer.exe" eingetragen sein. Sollte dies nicht der Fall sein, so schreiben Sie sich den genauen Pfad der eingetragenen Datei auf (z.B. C:\Verzeichnis\jashla.exe oderähnlich). Klicken Sie dann das Wort "Shell" doppelt an und tragen als Wert "Explorer.exe" (natürlich ohne die Anführungszeichen) ein. Anschließend klicken Sie auf Ok und schließen den Registrierungseditor.
  6. Der Pfad, welchen Sie sich notiert haben, ist das Verzeichnis, in welchem sich der Virus befindet. Diese Datei müssen Sie nun im Windowsexplorer löschen (die Datei heißt meistens jashla.exe oder auch mahmud.exe).
  7. Danach sollten Sie unbedingt noch mit einem Antivirenprogramm Ihren Rechner komplett überprüfen.