Rkill Heise

Mit Norton hatte ich einige Tage vorher einen kompletten Scan durchgeführt und außerdem das Windows-Tool "Malware entfernen" gestartet, weil ich das Gefuehl hatte, dass ich schon seit einigen Tagen nicht mehr allein auf meinem PC war. Meinen Lautsprechern kam auf einmal eine Anzeige oder gar ein englischer Text, ohne dass etwas auf dem PC passierte, außer dem Internet-Explorer und der Explorer meldeten auf einmal eine CPU-Leistung von 100%, ohne dass eine Programmausführung stattfand.

Auf einmal hatte ich einen Vollbildschirm, vermeintlich von der föderalen Polizei, mit den von Heise geschilderten Anforderungen, aber ohne die Pornofotos. Auf dem PC wurde der Bootvorgang unterbrochen und mir andere Wege zum Booten angeboten, u.a. das Beginnen im "abgesicherten Modus" und das Beginnen im "abgesicherten Zustand mit Netzwerktreibern".

Jetzt habe ich zuerst einen Norton-Check über das ganze Netzwerk durchgeführt und zwei gleichnamige trojanische Pferde entdeckt und unschädlich gemacht. Ich habe also das ganze noch einmal wiederholt: Der Virenscan hat zwar keine Probleme gebracht, aber auf Nortons Website entdeckte ich am Ende einen unauffälligen Verweis (nach dem Scan), der sich auf zwei weitere Norton Programme bezog, die heruntergeladen werden konnten, wenn der Computer "von besonders bösartiger Software infiziert war", die der Normalscan nicht oder nicht vollständig auslöscht.

Und dann wieder nach unten und oben. Downloaden Sie das Malware Deaktivierungstool RKill, den Malware Byte AntiMalware Virusscanner und das Suchtool "TDSS Killer" aus den nachfolgenden Linksammlungen und sichern Sie diese auf einem Datenträger wie einer fremden Harddisk, USB-Stick oder CD/DVD. Danach ist der betroffene Computer wieder einzuschalten, und kurz bevor der Schirm mit dem Windows-Logo und der Ladeleiste angezeigt wird, drücken Sie auch hier die Funktionstaste F8, ebenfalls mehrmals in kürzeren Abständen.

Nach der erfolgreichen Ausführung erscheint ein Auswahlfenster, in dem Sie den Menüpunkt "Abgesicherter Modus mit Netzwerktreibern" auswählen müssen. Damit wird der Rechner ohne alle speziellen Treiber und Dienste gestartet, was in der Regel auch die Ausführung von Malware verhindert. Übertragen Sie im abgesicherten Modus die drei Progamme auf den betreffenden Rechner und führen Sie zuerst das RKill-Tool aus.

Führen Sie dann das Programm TDSS Killer aus, um Ihr Computer auf Rootkit-Viren zu überprüfen. Wenn diese Suche abgeschlossen ist und alle gefundenen Einträge gelöscht wurden (Löschen), sollten Sie den Rechner nicht erneut anfahren. Statt dessen fordere ich Sie auf, das Programm zu installieren, und wenn Sie aufgefordert werden, dem Probezeitraum zu zustimmen, verweigern Sie es doch.

Anschließend führen Sie eine vollständige Suche durch. Nachdem die Suche abgeschlossen ist, sollten Sie alle gefundenen Objekte (vom Computer) löschen und löschen und die Suche fortsetzen. Nun müssen Sie Ihren PC neu booten. Nach dem Neustart des Computers sollten Sie die Software neu gestartet und einen neuen vollständigen Viren-Scan durchgeführt haben, um sicherzustellen, dass alle Erkennungen gelöscht wurden.

Wenn Sie noch etwas anderes finden, sollten Sie es löschen und Ihren Rechner neustarten. Ein weiterer Tipp auf den Heise Linklink auf der Hilfsseite des BKA (ich ging direkt einen weiteren Jobstepp auf den derzeitigen Trojaner). Es ist schon komisch, wenn man gebeten wird, einen Bildschirmfoto an das BKA zu senden, wenn der trojanische Staat eine neue Webseite erstellt.

Fängt dieser trojanische Rechner sie ab, ist keine Ein- oder Auslagerung mehr möglich. Möglicherweise wurde der Computer vom trojanischen Angriff getroffen, vielleicht habe ich meinen Computer nicht schonend genug gehandhabt, als ich mir sein Inneres genauer angesehen habe.