Heute rief ein Kunde, er können sich noch bei seinem Windows-XP-Laptop anmelden, jedoch nach wenigen Sekunden kämen Fehlermeldungen, es ginge ein Hinweisprogramm auf, welches dann Festplatten- und RAM-Fehler melden würde.
Er hat uns den Rechner vorbeigebracht und in der Tat: Das auf dem Bildschirm erscheinende Programm „Data Restore“ irritierte doch ziemlich. Da es auch einen Button aufwies, das zu einer Kaufseite führt, keimte direkt der erste Verdacht auf: ein Hoax, also ein „Pseudovirus“, der einem zum Kaufen einer dubiosen Antivirenlösung aufforderte.
Ferner war der Desktop leer, der Taskmanager konnte nicht aufgerufen werden und es waren auch keine Dateien im Explorer mehr sichtbar.
Die Testweise von CD gestarteten Virenscanner Avira und Kaspersky fanden nichts und auch der auf dem Laptop installierte Scanner von Symantec hatte nicht angeschlagen. Somit blieb nur die manuelle Suche, die auch einige sehr neue Berichte im Netz zutage förderte. Es handelte sich offensichtlich wirklich um eine relativ neue Malware. Es wurden sogar „removaltools“ im Internet angeboten, die jedoch offensichtlich keinen vertrauenserweckenden Eindruck machten. So blieb also nur an Hand der im Internet gefundenen Berichte die manuelle Entfernung.
Der Virus manipuliert die Registry in folgenden Einträgen, die alle entfernt werden können:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main „Use FormSuggest“ = „Yes“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings „CertificateRevocation“ = „0“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings „WarnonBadCertRecving“ = „0“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop „NoChangingWallPaper“ = „1“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations „LowRiskFileTypes“ = „.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments „SaveZoneInformation“ = „1“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer „NoDesktop“ = „1“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System „DisableTaskMgr“ = „1“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run „[random].exe“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run „[random]“
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system „DisableTaskMgr“ = „1“
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download „CheckExeSignatures“ = „no“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced „Hidden“ = „0“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced „ShowSuperHidden“ = „0“
Die Virusdatei selbst liegt unter C:\Dokumente und Einstellung\<Benutzer>\Lokale Einstellungen\Anwendungsdaten und hat einen zufälligen Namen. Er hat eine Verknüpfung auf dem Desktop, im Startmenü und neben dem „Start-Button“ angelegt. Alle diese Dateien sind entsprechend zu löschen.
Wir haben hierzu ein Linux-System gestartet, die Windows-Platte eingebunden und die Dateien unter Linux gelöscht. Beim folgenden Windows-Start konnte der Virus dann nicht mehr aktiv werden. Mit dem Programm „unhide“ (im Netz zu finden) wurden die ganzen versteckten Verzeichnisse und Dateien wiederhergestellt. Evtl. wurde nun zu viel sichtbar, was aber nicht weiter störte.
Es wird berichtet, dass im Windows-Temp-Verzeichnis im Unterverzeichnis smtmp die vom Virus verschobenen Links des Desktops abgelegt seien. Dies war in unserem Fall leider nicht so, so dass die Verknüpfungen des Desktops neu eingerichtet werden mussten.