{"id":630,"date":"2011-10-06T17:36:30","date_gmt":"2011-10-06T16:36:30","guid":{"rendered":"http:\/\/blog.imagmbh.de\/?p=630"},"modified":"2019-01-13T23:11:42","modified_gmt":"2019-01-13T22:11:42","slug":"data-restore-virus","status":"publish","type":"post","link":"https:\/\/blog.imagmbh.de\/index.php\/data-restore-virus\/","title":{"rendered":"„Data-Restore“: Virus"},"content":{"rendered":"

Heute rief ein Kunde, er k\u00f6nnen sich noch bei seinem Windows-XP-Laptop anmelden, jedoch nach wenigen Sekunden k\u00e4men Fehlermeldungen, es ginge ein Hinweisprogramm auf, welches dann Festplatten- und RAM-Fehler melden w\u00fcrde.<\/p>\n

\"DataRestore-Virus\"<\/a>
DataRestore-Virus<\/figcaption><\/figure>\n

 <\/p>\n

Er hat uns den Rechner vorbeigebracht und in der Tat: Das auf dem Bildschirm erscheinende Programm „Data Restore“ irritierte doch ziemlich. Da es auch einen Button aufwies, das zu einer Kaufseite f\u00fchrt, keimte direkt der erste Verdacht auf: ein Hoax, also ein „Pseudovirus“, der einem zum Kaufen einer dubiosen Antivirenl\u00f6sung aufforderte.<\/p>\n

Ferner war der Desktop leer, der Taskmanager konnte nicht aufgerufen werden und es waren auch keine Dateien im Explorer mehr sichtbar.<\/p>\n

Die Testweise von CD gestarteten Virenscanner Avira und Kaspersky fanden nichts und auch der auf dem Laptop installierte Scanner von Symantec hatte nicht angeschlagen. Somit blieb nur die manuelle Suche, die auch einige sehr neue Berichte im Netz zutage f\u00f6rderte. Es handelte sich offensichtlich wirklich um eine relativ neue Malware. Es wurden sogar „removaltools“ im Internet angeboten, die jedoch offensichtlich keinen vertrauenserweckenden Eindruck machten. So blieb also nur an Hand der im Internet gefundenen Berichte die manuelle Entfernung.<\/p>\n

Der Virus manipuliert die Registry in folgenden Eintr\u00e4gen, die alle entfernt werden k\u00f6nnen:<\/p>\n

<\/p>\n

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main „Use FormSuggest“ = „Yes“
\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings „CertificateRevocation“ = „0“
\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings „WarnonBadCertRecving“ = „0“
\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ActiveDesktop „NoChangingWallPaper“ = „1“
\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Associations „LowRiskFileTypes“ = „.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;“
\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Attachments „SaveZoneInformation“ = „1“
\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer „NoDesktop“ = „1“
\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System „DisableTaskMgr“ = „1“
\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run „[random].exe“
\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run „[random]“
\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\system „DisableTaskMgr“ = „1“
\nHKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Download „CheckExeSignatures“ = „no“
\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced „Hidden“ = „0“
\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced „ShowSuperHidden“ = „0“<\/p>\n

Die Virusdatei selbst liegt unter C:\\Dokumente und Einstellung\\<Benutzer>\\Lokale Einstellungen\\Anwendungsdaten und hat einen zuf\u00e4lligen Namen. Er hat eine Verkn\u00fcpfung auf dem Desktop, im Startmen\u00fc und neben dem „Start-Button“ angelegt. Alle diese Dateien sind entsprechend zu l\u00f6schen.<\/p>\n

Wir haben hierzu ein Linux-System gestartet, die Windows-Platte eingebunden und die Dateien unter Linux gel\u00f6scht. Beim folgenden Windows-Start konnte der Virus dann nicht mehr aktiv werden. Mit dem Programm „unhide“ (im Netz zu finden) wurden die ganzen versteckten Verzeichnisse und Dateien wiederhergestellt. Evtl. wurde nun zu viel sichtbar, was aber nicht weiter st\u00f6rte.<\/p>\n

Es wird berichtet, dass im Windows-Temp-Verzeichnis im Unterverzeichnis smtmp die vom Virus verschobenen Links des Desktops abgelegt seien. Dies war in unserem Fall leider nicht so, so dass die Verkn\u00fcpfungen des Desktops neu eingerichtet werden mussten.
\n