„Der Zugang zu Ihrem Computer wurde gesperrt. Auf Ihrem Computer wurden illegal heruntergeladenen Musikstücke („Raubkopien“) gefunden.“ Was nach einem heftigen Vorwurf klingt, versetzt viele ahnungslose Computernutzer zunächst in Schockstarre. Unter dem Vorwand einer Nachricht der Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte (GEMA) werden Computernutzer zu einer Zahlung aufgefordert, um den Computer zu entsperren.

 

Malware: Was ist das?

Facts 

Hierbei handelt es sich jedoch nicht um eine legitime Strafzahlung aufgrund von Urheberrechtsverletzungen, sondern um einen Erpressungsversuch von Cyber-Kriminellen. Ist der GEMA-Virus einmal auf den Computer gelangt, kann dieser nur schwer wieder entfernt werden. Im Vorfeld ist zu sagen, dass der Virus nicht im Auftrag der GEMA auf dem Computer gelangt. Auch wird eine Zahlung des geforderten Betrags den Computer nicht wieder entsperren, sondern lediglich die Geldtaschen der Cyber-Gangster füllen.

Der GEMA-Virus kann auf verschiedenem Wege auf den PC gelangen, etwa durch das Öffnen eines infizierten Anhangs aus einer unbekannten E-Mail, den Download einer Datei aus einer unsicheren Quelle oder das Aufrufen einer Webseite, in welche der Virus im Vorfeld eingeschleust wurde.

GEMA-Virus entfernen und Windows wiederherstellen

Wird über Windows regelmäßig ein Wiederherstellungspunkt angelegt, lässt sich der GEMA-Virus leicht entfernen. Da der Virus jedoch alle Funktionen unter Windows blockiert, muss die Wiederherstellung über einen Umweg durchgeführt werden. Beim Hochfahren des PCs wird mehrfach die Taste „F8“ gedrückt, bis sich das Fenster zum Auswählen der Windows-Startoptionen öffnet. Hier wird der Eintrag „Abgesicherter Modus mit Eingabeaufforderung“ ausgewählt. Nach einer kurzen Einrichtungszeit gibt man nun den Befehl „rstrui.exe“ ein. Nun sollte sich ein erstellter Wiederherstellungspunkt vor der Infizierung mit dem GEMA-Virus auswählen lassen, auf welchen der PC zurückgesetzt werden kann. Nach dem Zurücksetzen des Betriebssystems sollte zur Sicherheit ein kompletter Virusscan durchgeführt werden, um sicherzustellen, dass eventuelle Rückstände des GEMA-Virus entfernt werden. Dabei reicht im Normalfall bereits ein kostenloses Antivirenprogramm wie avast! Free Antivirus aus.

Bilderstrecke starten(11 Bilder)
Phishing: Die fiesesten Tricks der Betrüger

GEMA-Virus mit Antivirus-Freeware löschen

Da die Hacker den GEMA-Virus ständig ausbauen, kann es jedoch sein, dass der Zugriff auf den „abgesicherten Modus mit Eingabeaufforderung“ unterbunden wird. Ist dies der Fall, kann man auf die Antiviren-Freeware Kaspersky WindowsUnlocker zurückgreifen. Diese Anwendung sollte zunächst auf einem zusätzlichen, virenfreien Computer heruntergeladen und auf einen USB-Stick kopiert werden. Alternativ kann das kostenlose Antivirenprogramm zur Beseitigung des GEMA-Virus Kaspersky WindowsUnlocker auch auf eine CD gebrannt werden. Nun wird das Speichermedium an den infizierten PC angeschlossen und der Computer mit dem GEMA-Virus gestartet. Beim Hochfahren wird die Taste für das Boot- bzw. BIOS-Menü gedrückt. Die Taste hierfür unterscheidet sich, in der Regel ist dies eine der hinteren F-Tasten (F8, F10, F11) oder „Entf“. Welche Taste bei eurem System das BIOS öffnet, wird während des Boot-Vorgangs sichtbar. Hier wird in den Einstellungen das CD-Laufwerk, bzw. der USB-Stick als primäres Boot-Device ausgewählt. Über „Exit“ werden die Einstellungen gespeichert und das Boot-Menü wieder verlassen.

Kaspersky Unlocker Screenshot

Nun fährt der Computer erneut hoch und sollte auf das gewählte Boot-Laufwerk mit dem Kaspersky WindowsUnlocker zum Entfernen des GEMA-Virus zugreifen. Folgt man den Anweisungen auf dem Bildschirm, erreicht man den Rescue Desktop. Bei angeschlossener Internetverbindung können die Virusinformationen des WindowsUnlockers zunächst auf den neuesten Stand geupdatet werden. Nun kann ein Virenscan durchgeführt werden. Im Idealfall wird hier bereits der berüchtigte GEMA-Virus gefunden. Um einen ordnungsgemäßen Zugriff auf Windows wiederherzustellen, öffnet man über das Icon in der linken unteren Ecke das „Terminal“. Jetzt erscheint ein neues Fenster, in welches der Befehl „windowsunlocker“ eingegeben wird. Ein Druck auf die Taste „1“ lässt den Unlocker nun Registry-Einträge überprüfen, die durch den GEMA-Virus manipuliert wurden. Nach der erfolgreichen Behebung der Registry-Manipulation kann der Computer über einen Klick auf das Symbol links unten neu gestartet werden. Vorher sollte die CD, bzw. der USB-Stick entfernt und die ursprünglichen Einstellungen im BIOS (Hochfahren von Festplatte) eingestellt werden.

Kaspersky Windows Unlocker Screenshot

Hat man sich eine besonders bösartige und hartnäckige Variante des GEMA-Virus eingefangen, hilft im letzten Schritt nur noch eine komplette Neuinstallation des Systems. Diese kann durch das Einlegen einer Window-Installations-CD oder über das Aufspielen einer Recovery-Partition nach dem Betätigen von „F8“ während des Hochfahrens aufgespielt werden. Persönliche Daten und Einstellungen werden auf diese Art jedoch unwiederbringlich gelöscht, jedoch ist dies eine sichere Methode, um den GEMA-Virus vollständig zu löschen.

Klebst du deine Kameras ab?