Virus tarnt sich als Windows-Firewall

    Aktuell warte ich gerade einen PC, bei dem sich der User ein "sehr nettes Tool" eingefangen hat.


    Zunächst einmal wird fast jede eingegebene Internetadresse als Malwareseite "erkannt"...
    Man achte dabei auf das "perfekte Deutsch" ;)
    [Blockierte Grafik: http://s12.directupload.net/images/091011/5wiejk3c.jpg]


    Klickt man dann auf das angebliche Sicherheitscenter, sieht man Folgendes:
    [Blockierte Grafik: http://s12.directupload.net/images/091011/qzl5syi5.jpg]


    Hier zum Vergleich das echte Sicherheitscenter des gleichen PC:
    [Blockierte Grafik: http://s12.directupload.net/images/091011/t26e37ob.jpg]


    Fakt ist:
    Es war ein aktuelles Kapsersky installiert worden ... dieses wurde jedoch von der Malware deaktiviert und ließ sich nicht mehr starten.
    Auch die Windowsfirewall ist korrumpiert und lässt sich nur noch auf großen Umwegen aufrufen.
    Und damit der User auch "wirklich seinen Spaß" mit dem PC hat: Auch die Mausanschlüsse sind deaktiviert worden.


    Es handelt sich bei den Screenshots um Aufzeichnungen per Teamviewer.
    Allein um diesen per "Telefonanweisung" installieren zu können, verging mehr als 1 Stunde...
    1 Stunde in der sich der User durch reine Tastaturbefehle durch den PC hangeln musste, Sperren überwinden usw... bis endlich die Installation möglich war.
    Der Virus hat dem user sogar die Adminrechte für eine Direktinstallation entzogen gehabt.


    Per Fernwartung konnten wir gemeinsam mit der Maus arbeiten (es wurde aber eigentlich ein Treiberdefekt gemeldet).

    Der Virus ist aber auch so gut programmiert, dass er die Onlinescanner zwar einmal "durchließ".... aber danach jeden Versuch, eine Onlinescanner-Seite aufzurufen, direkt blockierte.


    "Nicht schlecht Herr Specht".

    Der Hauptsinn dieses Themas soll sein:
    1. Klicke nicht auf etwas, bevor du nicht genau weißt, was es bewirken soll
    2. Schau GANZ GENAU hin, wenn dein Windows mal eine "Systemmeldung" anzeigt...
    es könnte sein, dass sich ein Virus bei dir meldet und um deine Genehmigung bittet - und du sie ihm gibst, weil er einer bekannten Systemmeldung ähnlich sieht.



    Tja.. und zum betroffenen User:
    Registry-Einträge der Malware wurden gelöscht, der PC wurde "knallhart" abgeschaltet und wird morgen im abgesicherten Modus neu gestartet.
    In diesem Modus wird dann ein erneuter Onlinescan durchgeführt, der dann hoffentlich Erfolge zeigt.
    Der Fernwartung sind leider Grenzen gesetzt... ein Direktscan von meinem PC aus wäre auch noch möglich (wenn der Scann nicht auch automatisch Netzwerkverbindungen trennt)


    Letztes mir bekannte Mittel:
    PC mit Live-CD starten und scannen lassen.
    Problem: Der User hat keinen weiteren "unverseuchten Rechner" zur Verfügung.
    Brennt er sich ein Live-CD-Image, besteht die Gefahr, dass sich der Virus auch darauf einnistet.. aber ... wir werden es trotzdem versuchen.

    Um Euch auf dem Laufenden zu halten:
    Die Maßnahmen haben Erfolg gezeigt. Nach dem Booten (abgesicherter Modus) war wieder eine Maus vorhanden.
    Die Malware ist nicht mehr aktiv.


    Nun klappte es auch wieder mit dem Aufruf von Onlinescannern.
    Diesmal nahmen wir den Scanner von F-Prot: 2 Viren gefunden und beseitigt


    Nun wurde zunächst ein Freeware Antivirustool installiert: Antivir (http://free-av.de). Der Scan wurde gestern Abend gestartet.
    Zwischenergebnis: 21 x Spyware vorhanden.
    .. u.a. eine Serie an "HTML/Silly" ... eine Malwareart, bei dem der Virusentwickler zu dumm (= silly) war, seine Malware zu tarnen.


    ----
    Während des Scans haben wir mal manuell den PC durchsucht und sind auf diverse kritische bzw völlig unnötige Software gestoßen.
    Wahrscheinlich werden einige diser Programme Mitschuld am Einfangen der Malware haben. (?)
    Wir lassen uns heute Abend überraschen.... dann werden wir uns erneut im anderen PC einloggen um zu versuchen, ihn etwas sicherer zu machen.