Navigation aus    Navigation an
Erstelldatum: 23.03.2013

Warnung des BKA vor Troaner

Heute auf Heise gelesen: Bundeskriminalamt warnt vor neuem Lösegeld-Trojaner. Nun, ich hätte diesen Link nicht veröffentlicht, hätte Heise-Online nicht ausdrücklich erklärt, dass sie vom neuen Leistungsschutzrecht keinen Gebrauch machen.

Dass ich vor diesem Trojaner warne, hat einen aktuellen Grund, denn ich war wohl einer der ersten, die es erwischt hat, trotz Norton Firewall und Norton Anti-Virus. Ich hatte sogar wenige Tage zuvor noch einen Vollscan mit Norton gefahren und zusätzlich das Windows-Tool "Entfernen bösartiger Schadsoftware" gefahren, weil ich bereits seit einigen Tagen das Gefühl hatte, dass ich nicht alleine auf meinem Computer bin. Meine Lautsprecher brachten plötzlich Werbung oder auch englische Texte, ohne dass auf dem Rechner außer dem Explorer etwas aktiv war und der Internet-Explorer meldete plötzlich CPU-Leistung von 100%, ohne dass eine Anwendung lief.

Tja, dann passierte es. Plötzlich hatte ich ein Vollbild auf dem Schirm, angeblich von der Bundespolizei, mit den von Heise beschriebenen Forderungen, aber ohne die erwähnten Porno-Fotos. Dieser Text überlagerte auch die Taskleiste und der PC ließ sich nur noch durch Ausschalten der Hardware herunterfahren. Als ich wieder hochfahren wollte, kam sofort wieder diese Seite. Also was tun? Zuerst war ich bereit, das Betriebssystem neu zu laden, doch dann fiel mir ein anderer Weg ein. Beim Hochfahren des PC's habe ich permanent die PF-8-Taste gedrückt und es passierte was mir in der Vergangenheit schon einmal geholfen hat. Der PC unterbrach den Boot-Prozess und bot mir andere Möglichkeiten des Hochfahrens an, u. a. das starten in "abgesichertem Modus" und das Starten in "abgesichertem Modus mit Netzwerktreibern".

Ich habe die zweite Variante gewählt und konnte so das System in eingeschränkter Form wieder hochfahren. Nun habe ich zunächst einen Norton Check über das gesamte System gefahren und es wurden auch 2 Trojaner (beide mit gleichem Namen) gefunden und neutralisiert. Ich war happy, fuhr das System runter und normal wieder hoch und stand vor dem gleichen Problem. Diese merkwürdige Seite war nicht verschwunden. Also wiederholte ich das Spiel, Der erneut Virus-Scan brachte keine Fehler, aber auf der Seite von Norton fand ich am Ende einen unscheinbaren Link (nach erfolgtem Scan), der auf zwei weitere Norton-Programme verwies, die man herunterladen konnte, wenn der PC "von besonders bösartige Schadsoftware" befallen wäre, die der normale Scan nicht oder nicht völlig löscht. Das eine Tool lief über den Boot-Sektor und das zweite Tool war ein Rootskit-Scan. Ich habe beide heruntergeladen und laufen lassen. Dann wieder runter- und erneut hochfahren. Und siehe da, das Bild des Trojaners war verschwunden. Mein PC lief wieder, aber noch nicht so ganz sauber, denn plötzlich blieben meine Lautsprecher stumm.

Nun muss ich zugeben, dass ich zuvor einige Task (über Systemsteuerung und dann Software) gelöscht hatte, die mir nicht so ganz koscher erschienen. Ich muss ja ehrlich zugeben, dass ich da nach Gefühl gelöscht habe und vermutlich auch was Falsches erwischt hatte. Ich habe mich also an den Support von Microsoft gewandt und den Vorfall geschildert.

Ich bekam schnell Antwort, die ich in den wichtigsten Passagen hier wiedergebe:

    Schritt 1 -Download

    Laden Sie, von folgenden Links das Malware-Deaktivierungstool RKill, den Malwarebytes AntiMalware Virenscanner sowie das Kaspersky Rootkit-Suchtool "TDSS Killer" herunter und speichern sie diese auf einem externen Datentraeger wie einer externen Festplatte, USB-Stick oder CD/DVD. Bei beiden Scannern handelt es sich um Programme, die nur auf Befehl das System durchsuchen, dabei dann aber in der Regel ein wenig gruendlicher und aggressiver Vorgehen als andere Virenscanner.

    Da sie nicht aktiv den PC ueberwachen, kommen sie dabei auch den residenten Virenscannern nicht in die Quere.

    hhttp://download.bleepingcomputer.com/grinler/rkill.scr
    http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html
    http://support.kaspersky.com/downloads/utils/tdsskiller.zip

    Schritt 2 Abgesicherter Modus

    Starten Sie dann bitte den betroffenen Rechner neu, und kurz bevor der Bildschirm mit dem Windows Logo und dem Ladebalken erscheint, druecken Sie bitte die Taste F8, gern auch wiederholt in kurzen Intervallen.

    Bei erfolgreicher Durchfuehrung werden Sie auf einen Auswahlbildschirm gelangen, in dem sie dann bitte den Eintrag "Abgesicherter Modus mit Netzwerktreibern" auswaehlen.

    Der Computer wird nun ohne alle Sondertreiber und -dienste starten, was in aller Regel auch Schadsoftware am Ausfuehren hindert.

    Uebertragen Sie bei laufendem abgesicherten Modus die drei Programme auf den betroffenen PC und fuehren Sie bitte zunaechst das Tool RKill aus. Es beendet dann alle Prozesse, die zu bekannter Schadsoftware gehoert.

    Schritt 3 Entfernung

    Starten Sie anschliessend den Kaspersky TDSS Killer, um Ihr System nach Rootkit-Viren zu durchsuchen. Sobald dieser Suchlauf beendet und eventuell gefundene Eintraege entfernt (Delete) wurden, starten Sie den PC bitte noch nicht neu.

    Stattdessen bitte ich Sie, die Installation von Malwarebytes Anti Malware und, wenn Sie darum gebeten dem Testzeitraum zuzustimmen, lehnen Sie dieses bitte ab. Anschliessend fuehren Sie bitte einen vollstaendigen Suchlauf durch. Dieser wird dann eine Zeit benoetigen und, sofern meine These stimmt, einige Eintraege finden. Nach Abschluss des Suchlaufs lassen Sie bitte alle Funde (vom Rechner) entfernen.

    Starten Sie nun Ihren Rechner erneut. Nachdem der Computer wieder vollstaendig hochgefahren ist, starten Sie das Programm Malwarebytes AntiMalware erneut und fuehren Sie einen neuen vollstaendigen Virenscan aus, um sicherzugehen, dass alle Funde entfernt wurden. Sollten noch weitere Funde auftauchen, lassen Sie diese ebenfalls entfernen und starten dann bitte den Computer neu.

    Sollte dies nicht der Fall sein, ist das Problem damit behoben.

Obwohl mein PC wieder lief, habe ich diese Vorgaben dennoch ausgeführt. Allerdings wurden keine Reste von Viren mehr gefunden. Ich führe das hier an, weil ich jedermann empfehle, sich die genannten Tools auf einen externen Datenträger zu laden und die Vorgehensweise auszudrucken. Sollte es Sie auch mal erwischen, haben Sie zumindest die Anleitung zur Behebung und die Tools zur Beseitigung der Schadsoftware auf einem

externen Datenträger, was Ihnen vermutlich die vielen Fehlversuche ersparen wird, die ich vor dem Erfolg hatte.

Noch ein Hinweis zum Link bei Heise auf die Hilfeseite des BKA (ich bin gleich einen Schritt weiter auf den Link zum aktuellen Trojaner gegangen).

Ich finde das irgendwie lustig, wenn man Sie auffordert, dem BKA ein Screenshot zu schicken, falls der Trojaner mit einer neuen Seite aufwartet. Kennen Sie die Worte des Croupiers in einem Spielcasino? "rien ne va plus", zu deutsch - nichts geht mehr! Wenn sie dieser Trojaner erwischt, ist keine Eingabe und keine Ausgabe mehr möglich. Auch die Empfehlung, im Forum nach weiteren Hilfsmöglichkeiten zu suchen, ist für den, der nur einen PC besitzt, eine merkwürdige Form der Hilfestellung. Allerdings sind mir derartige Aufforderungen von Behörden nicht völlig unbekannt.

Ein Problem blieb bei mir allerdings, mein PC sprach nicht mehr mir, blieb also stumm. Ich habe also über den Hardware-Manager die "Sound und Audio" -Einstellungen kontrolliert. Während alls als OK und betriebsbereit gemeldet wurde, wurde mir unter dem Reiter "Sound" mitgeteilt, dass er keine Hardware gefunden habe. Das kann ich mir bis jetzt nicht erklären. Vielleicht hat ja der PC durch den Trojaner einen Schlag weg bekommen, vielleicht habe ich auch meinen PC nicht sanft genug behandelt, als ich mir seine Innereien näher betrachtet habe. Vielleicht wurde auch nur ein Treiber gefetzt, ich weiß es nicht. Ich habe mir stattdessen einen Audio-Stick gekauft, die Lautsprecher daran angeschlossen und die neue Hardware über den Installationsmanager mit dem PC bekannt gemacht und jetzt spricht mein PC wieder mit mir.

Was ich hier geschrieben habe, ist für Profis sicherlich kalter Kaffee, aber nicht jeder ist ein Profi und vielleicht hilft es ja jemandem, der sich diesen Beitrag nicht nur durchliest, sondern auch die Tools auf eine externe DVD brennt oder auf einen Stick herunterlädt und sich den Beitrag ausdruckt, um im Falle des Bedarfs quasi eine schriftliche Anleitung zu haben.