Wieder neue Version des GVU-Trojaners im Internet aufgetaucht

Viren

Viele hatten schon Ärger mit ihm, dem Erpressungs-Trojaner, der vorgaukelt, eine Sicherheitsbehörde habe den Computer gesperrt. Meistens findet man eine recht offiziell anmutende Seite, die es unmöglich macht, den Computer weiterhin zu nutzen, es sei denn, man bezahlt 100€ via PaySafeCard, wodurch die angebliche Strafverfolgung aufgehoben würde. Meistens werfen diese Trojaner in dem Nutzer vor, angeblich kinderpornographische Inhalte auf dem Rechner gespeichert zu haben, oder zweifelhaften Kontakt zu terroristischen Vereinigungen gepflegt zu haben. Jetzt ist wieder eine neue Variante dieses Schädlings aufgetaucht.

Selbstverständlich ist diese Art und Weise nicht die Methode, mit der die Kriminalpolizei vorgehen würde. Wer also einen Trojaner auf seinem Rechner hat, der kann zu 100 % davon ausgehen, dass an ihm ein Betrugsversuch verübt wird, denn sollte man wirklich kinderpornographische Inhalte auf der Festplatte gespeichert haben, würde das eine Anzeige nach sich ziehen, von der man sich sicherlich nicht mit 100€ freikaufen könnte. Diese Variante des Trojaners behauptet vom „Bundesamt für Sicherheit in der Informationstechnik“, dem „Bundeskriminalamt“ sowie der „Gesellschaft zur Verfolgung von Urheberrechtsverletzungen e.V.“ zu stammen. Die Bundeskanzlerin sowie ein Polizeibeamte, wurden in der Kopfzeile mit grimmigen Blicken abgebildet. Zusätzlich soll ein Interpol-Logo dem Nutzer die Echtheit dieser Sperre vorgaukeln. Weiterhin gibt das Sperrbild vor, von Norton Antivirus unterstützt und geschützt zu sein.

Die meisten solcher Trojaner konnte man so bekämpfen, indem man den Rechner im abgesicherten Modus hochfuhr und dann von dort aus einen Antivirenscan durchführte, oder einen temporären Benutzer erstellte und den Virenscan über diesen laufen ließ. Diese Version des Trojaners allerdings, verhindert den Systemstart im abgesicherten Modus, indem er den Computer direkt wieder herunterfährt. Er trägt sich in die Registrierungsdatenbank ein und gibt dort vor eine Shell zu sein. Tools wie der „HitmanPro.Kickstart“ oder „Kaspersky Windows Unlocker“ sind hier wirkungslos. Über das Tastenkürzel Strg+Alt+Entf kann man noch versuchen, sich abzumelden und einen zweiten, hoffentlich unterfallen Benutzer aktivieren. Über diesen kommt man dann wieder an den Rechner ran und kann versuchen den Trojaner zu entfernen.

Möglicherweise gelingt es, den Trojaner über den Task-Manager zu deaktivieren, und per „Autoruns“ den Shell-Eintrag zu löschen. Der Trojaner selbst befindet sich im Ordner für Anwendungsdaten (Appdata) und nennt sich „cache.dat“. Immer diese Datei aus dem Verzeichnis gelöscht hat, dürfte das Problem mit dem Trojaner zunächst einmal nicht mehr auftauchen. Wer es geschafft hat, diesen Trojaner erfolgreich zu bekämpfen sollte direkt alle Systemwiederherstellungspunkte löschen. Es besteht immer die Gefahr, dass sich der Schädling über diesen Weg wieder in das System eingenistet. Zudem über die Datenträgerbereinigung den Temp-Ordner leeren und mit dem Antivirenprogramm einen ausführlichen Scan veranlassen. 100 prozentige Sicherheit gegeben diese Methode allerdings nicht. Wer ganz sicher sein will, dass das System wieder sauber ist, kommt nicht darum herum, das Windowssystem neu aufzusetzen.

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.