Letzte Rettung… Systemwiederherstellung?
Die Systemwiederherstellung ist eine Funktion aus der Windows-Familie, die es dem Anwender ermöglicht, den Zustand des Betriebssystems auf ein bestimmtes Datum zurückzusetzen, ohne dabei die persönlichen Daten zu ändern. Diese Funktion ist seit Windows ME bei allen Windows-Versionen für Heimanwender verfügbar.
Die Systemwiederherstellung setzt sogenannte Wiederherstellungspunkte, die den Zustand des Systems abspeichern und für eine Wiederherstellung verfügbar machen. Diese Punkte werden, sofern die Funktion nicht manuell deaktiviert worden ist, unmittelbar vor wesentlichen Systemereignissen automatisch gesetzt. Das kann z.B. eine Programminstallation sein, die Ausführung von Windows-Updates oder Treiberaktualisierung. Wiederherstellungspunkte können bei Bedarf auch manuell gesetzt werden.
Die Wiederherstellung wirkt sich auf Windows-Systemdateien, Programme und Registrierungseinstellungen aus. Persönliche Daten sind hiervon nicht betroffen. Die eigenen Dateien bleiben also auch beim Zurücksetzen erhalten.
Besonders hilfreich ist die Wiederherstellungsoption, wenn Sie durch einen Fehler keinen Zugriff mehr auf das System haben, z.B. durch eine fehlerhafte Treiber- oder Programminstallation.
Empfehlung: Auch bei einem durch Schadcode infizierten System kann die Systemwiederherstellung von Nutzen sein, um einen “funktionsfähigen” Zustand wiederherzustellen. Achten Sie aber bitte in diesem Fall darauf, danach ihr System einem ausgiebigen Scan zu unterziehen, um mögliche Reste des Schadprogramms zu beseitigen.
Wie kann ich die Systemwiederherstellung starten?
Es gibt mehrere Möglichkeiten eine Systemwiederherstellung zu aktivieren:
- Über “Computer reparieren” in den “erweiterten Startoptionen” (nur Windows 7)
- Über den “abgesicherten Modus mit Eingabeaufforderung“
- Aus dem laufenden Betrieb unter Windows
Hinweis: Die Anleitungen und Screenshots beziehen sich auf Microsoft Windows 7, können aber auch für Windows XP und Vista verwendet werden.
1. Systemwiederherstellung über den Menüpunkt “Computer reparieren” in den erweiterten Startoptionen
Achtung: Die Schritte 1.3 – 1.6 sind nur unter Windows7 möglich, da der Menüpunkt “Computer reparieren” in den vorherigen Windows-Versionen nicht verfügbar ist!
1.1 Starten Sie den Rechner neu.
1.2 Drücken und halten Sie die F8-Taste bevor der Windows-Ladebildschirm erscheint.
1.3 Sobald das erweiterte Startmenü angezeigt wird, wählen Sie “Computer reparieren”.
Das erweiterte Startmenü
1.4 Bei der Tastatureingabe wählen Sie “Deutsch”.
Auswahl der Tastatureingabemethode
1.5 Wählen Sie den Administrator aus und geben Sie das Passwort ein.
Passworteingabe
1.6 Wählen Sie in den Optionen die Systemwiederherstellung.
Systemwiederherstellungsoptionen
1.7 In der Liste mit den Wiederherstellungspunkten selektieren Sie einen Zeitpunkt vor der Infizierung.
Achtung: Unter Windows XP sieht die grafische Oberfläche etwas anders aus. Die eigentliche Funktionsweise der Systemwiederherstellung bleibt allerdings die gleiche wie bei Windows 7.
Auflistung der Wiederherstellungspunkte
1.8 Bestätigen Sie die Sicherheitsmeldung mit “Ja”.
Hinweis auf die Systemwiederherstellung
1.9 Nach Abschluss der Systemwiederherstellung erhalten Sie eine Meldung.
1.10 Klicken auf die Schaltfläche “Neu starten”.
1.11 Das System fährt nun automatisch herunter und startet neu.
Hinweis auf eine erfolgreiche Systemwiederherstellung
1.12 Nach dem Neustart und einer Anmeldung an Windows erhalten Sie noch eine kurze Meldung über die erfolgreiche Systemwiederherstellung.
Das System wurde erfolgreich zurückgesetzt.
Der Zustand des Systems sollte jetzt wieder auf dem Stand des ausgewählten Zeitpunktes sein.
2. Die Systemwiederherstellung über den abgesicherten Modus starten
2.1 Starten Sie den Rechner neu.
2.2 Drücken und halten Sie die F8-Taste bevor der Windows-Ladebildschirm erscheint.
2.3 Sobald das erweiterte Startmenü angezeigt wird, wählen Sie “Abgesicherter Modus mit Eingabeaufforderung”.
Das erweiterte Startmenü
2.4 Wählen Sie den Administrator aus und geben Sie das Passwort ein.
Der Windows Anmeldebildschirm
2.5 Starten Sie das Programm zur Systemwiederherstellung mit dem Befehl “rstrui” im DOS-Fenster.
Achtung: Unter Windows XP müssen Sie vorher in das Verzeichnis “c:\windows\system32\restore” wechseln und dann “rstrui.exe” ausführen.
Die Eingabeaufforderung im abgesicherten Modus
2.6 Es erscheint die Liste mit den Wiederherstellungspunkten.
2.7 Verfahren Sie weiter wie in Punkt 1.7.
3. Die Systemwiederherstellung aus dem laufenden Betrieb in Windows starten
3.1 Starten Sie den Rechner neu.
3.2 Melden Sie sich als Administrator am System an.
3.3 Öffnen Sie das Startmenü und auf Programme – Zubehör – Systemprogramme – Systemwiederherstellung.
Die Systemwiederherstellung im Startmenü
3.4 Es erscheint die Liste mit den Wiederherstellungspunkten.
3.5 Verfahren Sie weiter wie in Punkt 1.7.
Sollten Sie Fragen haben oder Hilfe bei der Systemwiederherstellung benötigen, schauen Sie in unserem Forum vorbei. Unsere Experten stehen Ihnen dort mit Rat und Tat zur Seite.
ist man nach der Systemwiederherstellungsicher daß der Trojaner (BKA)weg ist?
Hallo,
mit dem Begriff “sicher” muss man gerade im Bereich Computer sehr vorsichtig sein. Aber bezogen auf den BKA-Trojaner ja, was die Registryeinträge angeht. Allerdings können immer noch Reste in den eigenen Dateien sein, die bei der Systemwiederherstellung nicht angerührt werden. Zu deiner eigenen Sicherheit solltest du einen Komplettcheck mit Malwarebytes machen und das System auf den neuesten Stand bringen. Die Änderung deiner Passwörter ist sicherlich auch empfehlenswert.
Grüße,
CG (ABBZ)
Funktioniert alles nicht!
bei der Systemwiederherstellung gehts irgendwann einfach nicht weiter und wenn ich noch so lange warte, der wird nicht fertig!
Andere Wege funktionieren auch nicht! Wenn ich über den Admin in mein BenutzerProfil will (cd.. cd Benutzername) sagt er mir: Zugriff verweigert!
Habe Windows Xp und den Gema-Trojaner…
Hallo,
für eine individuelle Hilfe kommen Sie bitte in unser Forum unter http://forum.botfrei.de
MFG
MG
ABBZ
Bei mir hat es auch nicht funktioniert, da ich kein Passwort für den Administrator hatte.
Hatte mir mal ERD Commander besorgt. Hiermit hat die Systemwiederherstellung (XP Prof.) in Minuten ganz einfach funktioniert.
Hallo Pete,
in diesem Fall wird bei einer Systemwiederherstellung, die Einträge in der Registry auf einen älteren Zustand zurückgeschrieben und so die Malware vor dem dem Start gehindert.
Die Malware ist noch auf dem System!!
Scanne deinen Rechner mit dem kostenfreien Tool von Malwarebytes und lese im Anschluss diese Berichte
http://blog.botfrei.de/2011/08/malwarebytes-anti-malware-free/
http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Benötigst du Hilfe, melde dich kostenfrei in unserem http://forum.botfrei.de an, dort werden wir dir weiter helfen.
Gruß ABBZ
Hatte den Gema Bildschirm mit 50 € Aufforderung.
explorer.exe war nicht befallen, daher Systemwiederherstellung dort startbar.
Anleitung war hilfreich und Systemwiederherstellung hat auf dem befallenen Rechner funktioniert.
DANKE
Virenscanner erkannte den Trojaner LockScreen.BO, hatte ihn aber gem. Verlauf 2x zugelassen…….
wie kann das sein
Hatte vermutlich den Trojaner über eine ‘automatische’ Installation des zuvor deinstallierten Adobe Flash Players auf den Rechner gezogen. Ich dachte, daß ich diese Installation nicht ausgeführt hätte, da ich über ‘Chip’ eine ‘offizielle’ Version gezogen und installiert habe. Jedenfalls habe ich das gedacht, aber offensichtlich dann doch den folgenschweren Fehler gemacht.
‘GEMA’ wollte dann die bekannten 50EUR einziehen.
Diese Anleitung hat mir bestens weitergeholfen, d.h. der Wiederherstellungspunkt konnte gefunden werden (hat eine ganze Weile gedauert! => Hinweis an ‘Jan’: Ich wollte auch schon abbrechen).
Jedenfalls funktioniert jetzt alles wieder, scanne gerade mal mein System und gehe auf Nummer sicher, indem ich noch mal in der Registry nachschaue!
Frohe Weihnachten an alle!
Hallo Nordschleifler, Danke für die Info und frohe Weihnachten
Gruß ABBZ
Sorry, in der Hektik des Baumschmückens und Menüvorbereitung hatte ich vergessen mich zu bedanken:
Vielen vielen Dank für die sehr gute Anleitung und schöne Weihnachten sowie alle Guten Wünsche für 2012 an das Supportteam!
Ich habe ein sehr großes problem habe bei meim windows 7 ner pc mein administraorenpasswort vergessen…ich weiß nicht was ich machen soll..weil irgendwo hab ich dann gelesen dass ich systemwiederherstellung nehmen muss aber ich weiß ja mein passwort bei schritt 1.5 nicht..ich brauche ganz dringend hilfe!
Danke
Hallo Häh,
gerne helfen wir Dir weiter. Registriere Dich einfach kostenfrei in unserem Support-Forum unter: http://forum.botfrei.de und erstelle eine Thread in der Karegorie “Hilfe” –> “Windows Systeme”!
Grüße,
TK, ABBZ
tolle Anleitung.
mich hat die Gema Maske blockiert. Selst ohne jegliche Computerkenntnisse hat das Rücksetzen des Systems funktioniert. Danke
Hallo, haben den BKA-Trojaner auf dem Rechner meiner Tochter gehabt, mit dem AntiSpy Scanner hat es nicht ganz geklappt, hat zwar den Trojaner entdeckt und auch irgendwie entfernt, aber das Benutzerkonto ließ sich nicht mehr aktivieren (Administrator). Ich habe dann die Systemwiederherstellung probiert – und es hat geklappt, vielen Dank für die Tipps!
Gruß an alle von bayernhase
D A N K E
das funktioniert ganz gut vielendank
Vielen dank war erfolgreich und ohne grossere computerkenntnisse leicht auszufuhren
Danke, tolle Anleitung. System funktioniert wieder einwandfrei!! Hoffentlich kann man diesen Abzockern richtig ans Bein p………….!!!! Nochmal vielen Dank.
mfg
Uwe
Hallo Uwe,
danke für die Info, bitte lese im Anschluss diesen Beitrag.
http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
Komme bis zur rstrui Eingabe. Dann kommt aber ein Fenster mit: Auf dem Systemlaufwerk wurde keine Wiederherstellungspunkte erstellt. Was mache ich nun?
Gerne helfen wir Dir weiter! Registriere Dich hierzu bitte in unserem Support-Forum unter: http://forum.botfrei.de und erstelle einen Thread unter “Hilfe” –> “Windows Systeme”
Grüße,
TK, ABBZ
Wirkt es auch wenn man ein Gema Trojaner hat der 100 euro fragt?
Wir wohnen nur 2 Monate in Deutschland und dan passiert es mit unserem Rechner. Wir sind nicht froh.
Hallo Loes,
schaue mal auf http://www.bka-trojaner.de, suche deine Infektion und arbeite die Schritt für Schrittanleitung ab.
Gruß ABBZ
Hallo Loes,
das hat weniger was damit zu tun, dass Du in Deutschland wohnst, sondern vielmehr damit, dass Dein Rechner Sicherheitslücken hat. Gerne helfen wir Dir in unserem Support-Forum unter http://forum.botfrei.de weiter!
Grüße,
TK, ABBZ
Ic hab winxp wie geht das jetzt hab es nicht verstanden. Hab den GEMA Virus drauf Hilfe
Hallo Cchris,
melde dich bitte kostenfrei in unserem http://forum.botfrei.de an, dort werden Experten weiterhelfen.
Gruß ABBZ
Danke der GEMA Virus ist weg
Hallo,
Ich verstehe Schritt 2.5 nicht: Gebe ich nur das Passwort ein, melde mich aber nicht an? Oder soll ich mich anmelden und dann ein DOS-Fenster öffnen? (wie geht das?)
Denn wenn ich mich anmelde, ist doch sofort wieder das Pop-up Fenster da…
LG Danke!
Hallo Julia,
natürlich muss du dich anmelden. Im abgesicherten Modus kommt der BKA_Trojaner nicht. Sollte der Trojaner doch aktiv werden so kannst du den Kaspersky Unlocker benutzen. Hier ist der Download sowie eine Anleitung: http://support.kaspersky.com/de/viruses/solutions?qid=208641247
MG, ABBZ
hallo! ich habe den trojaner seit einigen stunden…. bei punkt 2.5 geht es nicht weiter bei mir, da sich aufgrund der maske das dos fenster sich nicht öffnet lässt (mit windows+r-taste)…. wie soll ich das eingeben wenn dieses verfluchte fenster nicht weggeht? ich habe den pc mehrmals hochgefahren, in allen möglichen Modus…. hilfe
Hallo lala,
leider können wir hier im Blog keinen Support leisten, bitte melde dich in unserem kostenfreien http://forum.botfrei.de an, dort werden Experten helfen.
Gruß ABBZ
Hallo,
wollte Danke sagen für die Anleitung. Hat bei mir alles super geklappt. Bin allerdings nicht über den Administrator sondern über den lokalen Benutzer reingegangen.
Jedenfalls ist der Laptop wieder funktionstüchtig und meine Tochter glücklich, das alles wieder da ist.
Hallo Heidi,
schön, das alles geklappt hat. Bitte lese im Anschluss diesen Bericht, damit dein Rechner in Zukunft sicherer wird.
http://blog.botfrei.de/2011/07/wie-kann-ich-mein-system-in-zukunft-von-malware-frei-halten/
Gruß ABBZ
Hallo,
liebe Virus-Betroffenen.
Hatte mir das Dingen gestern, 23. März, auch eingefangen, in dem ich unter Opera nicht genau hingeschaut hatte und ein Werbungsfenster offensichtlich nicht geschlossen, sondern neu geladen hatte. Der Gema-Kamerad installierte sich trotz Firewall, Norton Security und Spy&Bot auf meinem XP-Rechner mit SP3.
Ich stieß auf diese Seite und muss sagen: Im abgesichrten Modus mit Eingabeaufforderung kam ich nicht wirklich dazu ins Verzeichnis c:windowssystem32restore zu wechseln. Der Trojaner baut sich im Hintergrund drohend auf und legt die Aktionen lahm.
Was tun? Ich habe mich für die Formel-1-Variante entschieden:
Rechner normal starten. Nach der Anmeldung meehrmals Strg Alt Ent gemeinsam gedrückt und in den Tasmanager gewechselt. Nach erfolgreicher Kurve eins, den Schalter
“Prozesse”
drücken. Jetzt bauen sich die Anwendungen auf. Ich habe zwei zügig geschlossen:
explore.exe
und
gema.exe.
Dazu mit der Maus die Anwendungen anklicken und mit der Tastatur Ent und Enter betätigen, das geht schnellte als nur mit der Maus!!! Man hat gechätzte 15 Sekunden Zeit. Hat man das geschafft, herrscht erstmal Ruhe und man kann unter der Schalter-Fläche “Datei” einen neuen Task starten. Hier gibt man c:windowssystem32restore ein unter dem Ordner, anklicken, befindet sich rstrui.exe.
Achtung: Ist der Restore-Ornder oder auch schon der system32-Ornder blass hinterlegt, so mit der Maus auf den Odner gehen, rechte Maustaste und dann den Haken “versteckt” durch anklicken entfernen. Außerdem einen Haken setzen, dass die kommende Aktion nur für diesen Ordner gelten soll. Nach kuzer Zeit sollte man an rstrui.exe kommen.
Als Wiederherstellungspunkt habe ich dann den Systemprüfpunkt vom Vortag gewählt und den Computer machen lassen. Nach einigen Minuten ist er wieder betriebsbereit gewesen.
Ein Schnell-Check mit Spy&Bot fand Malware, die entfernt wurde. Der Norton-Festplatte-Check und auch ein Check einer bei der Virus-Infektion angeschlossenen externen Festplatte führe ich heute durch, aber der Rechner blieb gestern Abend zwecks abspielen von Musik noch gut drei Stunden stabil, auch das Internet funktionierte problemfrei.
Fazit: Nach der ersten Panik einen sozialintegrativen Tee trinken und die oben beschriebenen Wege gehen, funktioniert das nicht, klappt es mit der Formel-1-Methode. Findet man die Anwendungen im ersten Versuch nicht, Rechner brutal abschalten und neu versuchen, bis man die schnellste Rennrunde gegen den Gema-Virus gefahren hat. Kommentar: Es ist schon ein Sauding!!!
Hinweis:
Der aktuelle Virus soll sich hier einsortieren:
C:Windowssystem32gema.exe
C:Dokumente und EinstellungenAllevorhandene UsernamenAnwendungsdatenGemaGema.exe
Nach der Systemwiederherstellung fand ich dort zum Glück nichts mehr.
Es ist eigentlich total schwammig erklärt, was mit “Zustand des Systems” gemeint ist.
Letztlich kann es ja nur um das Filesystem gehen, da ja rebooted wird, also nicht Zustand des BetriebssSystems, der geht beim Neustart verloren.
Nun nehmen wir an, ich habe einen Treiber installiert, der nicht gut arbeitet und nutze dann rstrui
Ichdenke mal, daß der alte Zustand der registry wieer über die aktuelle registry drüberkopiert wird, aber was ist mit den Files, die mit dem treiber kamen? Müllen die meine Platte ab sofort zu?
Oder werden die ebenfalls gelöscht?
grüße
Diesen Virus wird man nur noch mit der systemwiederherrstellung wieder los hitman hilft da auch nicht viel
Die Systemwiederherstellung greift nur, wenn man diese Funktion aktiviert hat. HitmanPro ist in jedem Fall ein Versuch wert.
Grüße,
TK, ABBZ