Der Nutzer bekommt von der Infektion seines Betriebssystems häufig nichts mit. Erst nach einem Neustart des Computers erscheint eine Meldung, dass die Bundespolizei "ungesetzliche Tätigkeiten" auf dem Rechner des Opfers aufgedeckt habe.
Weiter wird Benutzer dazu aufgefordert mittels Ukash einen Betrag von mindestens 100 € zu begleichen, damit die Ermittlungen gegen ihn eingestellt werden. Natürlich handelt es sich hierbei um ein Fake, da solche Forderungen in Deutschland gesetzlich gar nicht möglich wären. Um den hartnäckigen Trojaner/Virus wieder los zu werden, müssen ein paar grundlegende Schritte befolgt werden.
Besonders wichtig ist es in so einem Moment Ruhe zu bewahren und den betroffenen Rechner vom Internet zu trennen. Dazu muss einfach das Netzwerkkabel herausgezogen werden. Schon hat der Virus keine Möglichkeit mehr, mit der Außenwelt zu kommunizieren. Der Computer muss auch nicht formatiert werden und es sollten keine Daten verloren gehen, wenn der Virus entfernt wird. Gerade das gut überlegte Vorgehen in dieser Situation kann vor viel Ärger schützen. Daher sollte der infizierte Computer so lange ausgeschaltet bleiben, bis genügend Zeit zur Verfügung steht, den Virus in aller Ruhe entfernen zu können. Besonders Laien können hier etwas mehr Zeit benötigen und können einen Experten um Rat fragen. Wer sich jedoch selber helfen möchte, muss in der Regel nur diese Schritte befolgen.
1. Im ersten Schritt muss der Computer im abgesicherten Modus gestartet werden. Dazu muss während des Startvorganges mehrmals die F8-Taste gedrückt werden.
2. In dem dann erscheinenden Interface muss die Option "Abgesicherter Modus mit Eingabeaufforderung" ausgewählt werden. Die Auswahl wird mit der Eingabetaste (Enter) bestätigt. Nun startet Windows im abgesicherten Modus, der nur die Grundfunktionalität des Betriebssystems zur Verfügung stellt.
3. In der DOS-Eingabeaufforderung (dies ist ein schwarzes Fenster mit einem weißen blinkenden Balken) muss nun der Befehl "regedit" eingegeben werden. Zum Ausführen des Befehls muss wieder die Eingabetaste gedrückt werden. Anschließend öffnet sich ein Editor, mit dem die Windows-Registry bearbeitet werden kann.
4. Hier kann man sich wie gewohnt durch verschiedene Verzeichnisse klicken. Ziel ist jedoch der Ordner "Winlogon", der sich hinter dem Pfad "HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows NT->CurrentVersion->Winlogon" versteckt.
5. In der rechten Seite der Ansicht befindet sich der Eintrag "Shell". Normalerweise wird über diesen Eintrag der Explorer gestartet und es können bequem Ordner geöffnet oder andere Arbeiten an dem Computer durchgeführt werden. Der Bundespolizei Trojaner/Virus ersetzt diesen Eintrag jedoch und blockiert somit den Start des Windows-Explorers. Der Schlüssel hat also nicht mehr den Pfad zum Explorer als Wert, sondern den Pfad zum Virus. Diesen Pfad sollte man sich merken oder aufschreiben, da er später zum Entfernen benötigt wird.
6. Um wieder den Windows-Explorer zu starten, muss der Wert entfernt werden. Dazu genügt ein Doppelklick auf den den Wert des Schlüssels. Der Pfad zum Virus muss durch den Eintrag "Explorer.exe" ersetzt werden. Nach einem Klick auf "OK" kann der Registry-Editor geschlossen werden.
7. Die DOS-Eingabeaufforderung sollte noch geöffnet sein. Hier muss nun ebenfalls "Explorer.exe" eingegeben werden, um durch die Dateien auf der Festplatte navigieren zu können. Jetzt muss der in Schritt 5 herausgefundene Pfad verwendet werden, um den Virus zu entfernen. Ist die Datei vom Computer entfernt worden, kann der Rechner ganz normal neu gestartet werden und das Schlimmste ist überstanden.
8. Es empfiehlt sich jedoch herauszufinden, woher der Bundespolizei Virus auf den Computer gekommen ist und ob noch andere Dateien infiziert worden sind. Dazu muss der Computer mit einem Anti-Viren-Programm überprüft werden. Es sollten spätestens jetzt auch alle Browser aktualisiert oder der Wechsel auf ein neues Betriebssystem in Betracht gezogen werden.