Heute rief ein Kunde, er können sich noch bei seinem Windows-XP-Laptop anmelden, jedoch nach wenigen Sekunden kämen Fehlermeldungen, es ginge ein Hinweisprogramm auf, welches dann Festplatten- und RAM-Fehler melden würde.

DataRestore-Virus
DataRestore-Virus

 

Er hat uns den Rechner vorbeigebracht und in der Tat: Das auf dem Bildschirm erscheinende Programm „Data Restore“ irritierte doch ziemlich. Da es auch einen Button aufwies, das zu einer Kaufseite führt, keimte direkt der erste Verdacht auf: ein Hoax, also ein „Pseudovirus“, der einem zum Kaufen einer dubiosen Antivirenlösung aufforderte.

Ferner war der Desktop leer, der Taskmanager konnte nicht aufgerufen werden und es waren auch keine Dateien im Explorer mehr sichtbar.

Die Testweise von CD gestarteten Virenscanner Avira und Kaspersky fanden nichts und auch der auf dem Laptop installierte Scanner von Symantec hatte nicht angeschlagen. Somit blieb nur die manuelle Suche, die auch einige sehr neue Berichte im Netz zutage förderte. Es handelte sich offensichtlich wirklich um eine relativ neue Malware. Es wurden sogar „removaltools“ im Internet angeboten, die jedoch offensichtlich keinen vertrauenserweckenden Eindruck machten. So blieb also nur an Hand der im Internet gefundenen Berichte die manuelle Entfernung.

Der Virus manipuliert die Registry in folgenden Einträgen, die alle entfernt werden können:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main „Use FormSuggest“ = „Yes“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings „CertificateRevocation“ = „0“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings „WarnonBadCertRecving“ = „0“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop „NoChangingWallPaper“ = „1“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations „LowRiskFileTypes“ = „.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments „SaveZoneInformation“ = „1“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer „NoDesktop“ = „1“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System „DisableTaskMgr“ = „1“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run „[random].exe“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run „[random]“
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system „DisableTaskMgr“ = „1“
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download „CheckExeSignatures“ = „no“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced „Hidden“ = „0“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced „ShowSuperHidden“ = „0“

Die Virusdatei selbst liegt unter C:\Dokumente und Einstellung\<Benutzer>\Lokale Einstellungen\Anwendungsdaten und hat einen zufälligen Namen. Er hat eine Verknüpfung auf dem Desktop, im Startmenü und neben dem „Start-Button“ angelegt. Alle diese Dateien sind entsprechend zu löschen.

Wir haben hierzu ein Linux-System gestartet, die Windows-Platte eingebunden und die Dateien unter Linux gelöscht. Beim folgenden Windows-Start konnte der Virus dann nicht mehr aktiv werden. Mit dem Programm „unhide“ (im Netz zu finden) wurden die ganzen versteckten Verzeichnisse und Dateien wiederhergestellt. Evtl. wurde nun zu viel sichtbar, was aber nicht weiter störte.

Es wird berichtet, dass im Windows-Temp-Verzeichnis im Unterverzeichnis smtmp die vom Virus verschobenen Links des Desktops abgelegt seien. Dies war in unserem Fall leider nicht so, so dass die Verknüpfungen des Desktops neu eingerichtet werden mussten.

Was ist der unterschied zwischen kino und fernsehen bitte gebt bei der anmeldung an, welche vorlesung ihr besuchen wollt was geschieht aber, uber seine wenn der abstand zwischen zwei punkten auf eine ganz andere art gemessen wird.
Dr.-Ing. Martin H. Ludwig

Von Dr. Martin H. Ludwig

Dr. Martin H. Ludwig ist Geschäftsführer der ima GmbH, leidenschaftlicher IT-ler und Datenschutzexperte. Wenn er Zeit findet, schreibt er über IT-Probleme oder -Besonderheiten im Blog.

Schreibe einen Kommentar