Am Montag erreichte mich ein Anruf eines weiteren Kumpels, ob ich nicht zu ihm kommen könnte, um von seinem Rechner einen Virus zu entfernen, da dieser sich auf eine Präsentation vorzubereiten hätte.
Bevor ich irgendwas machte, wollte ich zunächst wissen, was genau denn nicht funktioniert, und wieso er gleich auf einen Virus schließe. Er beschrieb mir am Telefon, das es ein neues Programm wäre, welches den Internetzugriff Firefoxes mit einer Warnmeldung verhindere und auf die Nachfrage, ob er den Taskmanager starten könne, kam ebenfalls eine Verneinung seitens des Programms. Avira AntiVir funktioniere ebenso wenig und er würde aufgefordert eine Premiumversion zu erwerben, damit diese Zugriffe wieder erlaubt würden.
Nachdem mir klar war, das es sich um kein normales Programm handeln könne, machte ich ihn klar, er solle auf keinen Fall die Vollversion erwerben und ich würde ihm beim nächsten Treffen die frisch mitgebrachte “Anti-Bot”-CD vom Stand des “BSI für Bürger” auf der CebIT, und er solle damit erstmal einen Systemscan zu machen, da ich selber zeitlich sehr eingespannt bin.
So kam es dann auch. Ich gab ihm am Dienstag die CD, jedoch mit der Rückmeldung am Tag drauf, das nichts gefunden wurde.
Naja, dann muss ich doch selber hinfahren, und dazu lies sich heute etwas Zeit freischaufeln. Dort angekommen fuhr ich den zunächst ganz normal hoch und wollte mir das Programm selber mal anschauen, und es lief so, wie er es mir beschrieben hatte.
Ich beschloss den PC wieder neuzustarten, aber im abgesicherten Modus und steckte meinen tollen Rescue-USB-Stick an, worauf sich das tolle kleine Programm “Autoruns” befindet, welches mir alle Startup-Einträge anzeigt.
Nachdem ich dort etwas stöberte viel mir ein komischer Eintrag auf:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Inspector MSSystems MSSystems c:\dokumente und einstellungen\nutzer\anwendungsdaten\protector-rvh.exe
Ein Programm, welches angeblich von MSSystems stammt, sich Inspector nennt und im %APPDATA% des WinXP-Benutzers mit dem Dateinamen “protector-rvh.exe” lag.
Etwas weiter unten dann noch einmal:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
regedit.exe MSSystems MSSystems c:\dokumente und einstellungen\nutzer\anwendungsdaten\protector-rvh.exe
taskmgr.exe MSSystems MSSystems c:\dokumente und einstellungen\nutzer\anwendungsdaten\protector-rvh.exe
Die beiden letzten Einträge las ich im Reiter “Image Hijacks”. Dies konnte doch etwas mit dem nicht-starten-können des Taskmanagers zu tun haben, wenn der Aufruf an das Schadprogramm weitergegeben wird.
Die Einträge wurden auch deaktiviert, die Änderungen in einer Datei gespeichert und das System wieder neugestartet.
Tada :) Das System lief wieder ganz normal und man konnte auch wieder ins Internet.
Ich suchte nochmal nach dem Pfad und lud die 1,6 MB große Dateia auf VirusTotal hoch, welches mir eine Detection von 23/43 anzeigte.
Darunter viele Einträge wie “Trojan.FakeAv”, etc womit ich meine Vermutung bestätigt sah.
Kurz noch den Schädling auf meinen USB-Stick gezogen, damit ihr/ich ggf. weitere Analysen (bei Zeiten) durchführen kann und sich von meinem Kumpel verabschiedet.
Damit wäre der nächste Schädling im Freundeskreis beseitigt.
Virustotal-Scan: https://www.virustotal.com/file/c7a98dccfc856e2ec5ad6fd17c006b4387b6a355abb64fa8cfa2fc1e4f71594e/analysis/
Download: http://www.xup.in/dl,13681198/Protector-rvh.zip/
Gruß