In letzter Zeit habe ich immer wieder mitbekommen, dass sich ein Trojaner auf Rechner eingenistet hat, welcher sich als Warnung meldete “Ihr PC ist ausgelastet” blablabla “Sie waren auf nicht vertrauenswürdigen Pornoseiten” “Bitte zahlen Sie hier” oder “Kaufen Sie hier ein Programm um Datenverlust zu vermeiden. Bezahlen soll man z.B. per Ukash.
Nun hatte ich endlich mal die Möglichkeit diesen Virus auf dem Notebook eines Bekannten selber nachzuvollziehen und auszuprobieren, was man machen kann ausser die Festplatte zu formatieren.
Wichtig! Diese “Anleitung” ist nur für Leute die damit auch was anfangen können, bzw. Profis. Es ist einfach nicht so einfach.
Die Symptome dieses Trojaner sind, dass sofort nach dem Einloggen das Fenster auftaucht. Kein Explorer, keine Taskleiste. Das drücken von Alt+Strg+Entf bringt nur das ein Klick, wie sich später rausstellen soll, kommt dieses von der Meldung “Der Taskmanager ist durch den Administrator gesperrt worden”. Abgesicherter Modus funktioniert auch nicht. Selbst der abgesicherte Modus mit Eingabeaufforderung funktioniert nicht.
Idealerweise während dieser Schritte den Rechner nicht ins Internet lassen. WLan deaktivieren, Netzstecker ziehen oder UMTS Karte rausziehen. Besser ist das.
Im ersten Schritt müssen die Daten gesichert werden. Hierzu bietet sich die Knoppix ISO an. Ich habe es nach der gegebenen Anleitung auf einem USB Stick installiert.
Hier können wir auch den Virus entfernen. Der Virus manifestiert sich in 2 Dateien die an verschiedenen Stellen liegen. Zum einen eine Datei mit einem kryptischen Dateinamen. In unserem Fall war es irgendwas mit h4w5wxxxxxxx.exe und die dwlgina3.dll
Diese liegen unter c:\ und c:\Dokumente und Einstellungen\
Diese Dateien einfach löschen. Mit der Suchfunktion die Festplatte nach diesen Dateien durchsuchen und löschen.
Dann die Dateisicherung durchführen. Die Datei NTuser.dat aus dem Verzeichnis c:\dokumente und einstellungen\
Also Regedit starten an einer frei wählbaren stelle die NTuser.dat importieren. Den importierten Teil nach dem kryptischen Namen durchsuchen und die Einträge löschen. Sollte die Datei in einem Shell Schlüssel stehen, hier am besten explorer.exe eintragen. Ansonsten löschen.
Danach nach der dwlgina3.dll suchen. und auch hier die Einträge löschen.
Nun hat der Trojaner noch eine Änderung gemacht, welche dafür sorgt, dass wir den Taskmanager nicht aufrufen können, und diese sind 2 Registry Einträge die heißen “DisableTaskmgr” und “DisableProces…” Diese liegen beide in den Policies Pfad. Am besten den eingefügten Baum nach Taskmgr durchsuchen. Trifft man auf diese beiden Einträge, diese löschen.
Den Teilbaum wieder exportieren und zwar als Registrierungsstrukturdatei exportieren. Und auf den Rechner an die alte Stelle zurückkopieren.
Wenn man nun den Rechner neu startet sieht man zumindest den Trojaner nicht mehr. Dafür öffnet sich der Explorer und man kann mit Strg+Alt+Entf den Taskmanager aufrufen.
Noch habe ich keinen Weg oder Problem gefunden, warum die Taskleiste nicht erscheint. Und auch die Verknüpfungen auf dem Desktop.
Was man nun tun sollte:
- Registry nach dem Dateien durchsuchen, gleiche Aktionen wie oben durchführen.
- DisableTaskmgr und DisableProcess.. löschen
- Antivirenprogramm ausführen
- Anti Malware Programme laufen lassen
Der beste Weg ist trotzdem das System neu zu installieren. Alle Updates zu besorgen. Mit dieser Methode ist es zumindest möglich Daten zu sichern.
Sollte mir noch was einfallen, gerade zum Thema Taskleiste, werde ich es posten.
You must be logged in to post a comment.