Hallo zusammen!

Ein Freund von mir hatte ebenfalls Probleme mit diesem Virus. Allerdings stellte sich sein Problem noch etwas anders dar, als es hier überwiegend geschildert wird. Bei dem Rechner handelt es sich um einen ca. 8 Jahre alten IBM ThinkPad (lenovo 60) Centrino Duo, mit Windows XP Professional SP3.

Nach dem Boot-Vorgang erscheint normal die Login-Maske und fragt nach dem Passwort. Nachdem dieses eingegeben wurde, erscheint für etwa 1 Sekunde das Hintergrundbild, gelegentlich auch noch die Desktop-Icons, dann wird der Bildschirm schwarz und es erscheint das hier im Thema vorgestellte Bild der gefälschten Warnmeldung und der Zahlungsaufforderung. Vom Desktop ist nichts zu sehen.

Die Tastenkombination strg-alt-entf beseitigt den Trojaner-Bildschirm und führt zum klassischen XP-Menü auf schwarzem Hintergrund, das unter anderem die Schaltfläche zum Herunterfahren beinhaltet. Die Schaltfläche zum Aufrufen des Task-Managers ist ausgegraut. Der Task-Manager kann nicht aufgerufen werden. Wird die Schaltfläche Herunterfahren aktiviert, dann gelangt man kurzzeitig auf den Desktop. Keines der Icons scheint verschlüsselt zu sein. Es erscheinen diverse Medlungen, dass Prozesse nicht reagieren und zwangsweise beendet werden. Während dieses Vorgangs ist es nicht möglich irgendein Programm noch auszuführen. Der Computer fährt schließlich herunter.

Der Computer verfügt über ein eigenes "Rescue and Recovery 3" System, nach eigener Angabe basierend auf ThinkVantage Technologie. Dieses kann während des Bootvorgangs mit dem blauen ThinkVantage-Button aufgerufen werden, eine Besonderheit des Computerkeyboards. Nachdem mir die hier geforderten Maßnahmen wie OLT.EXE oder gar die Installation bestimmter Antivirenprogramme aufgrund der Sperrung des Desktop durch den Trojaner nicht möglich war, habe ich dieses Programm während des boot-Vorgangs gestartet. Hier konnte ich Zugriff auf das Dateisystem nehmen. Die Dateien waren nicht umbenannt worden. Es war auch möglich, von den Dateien im Rahmen des Programms eine Sicherung anzulegen. Allerdings war es nicht möglich, die Dateien auf einem UB-Stick zu speichern oder gar auf eine CD zu brennen, obwohl die Hilfe dieses Programms diese Möglichkeiten explizit nannte. Die Dateien wurden wohl auf einer internen Partition gespeichert. Ich war mir zu diesem Zeitpunkt noch nicht sicher, ob die Dateien nun verschlüsselt sind oder nicht, war aber insofern vorsichtig optimistisch, weil das Programm sie kopieren konnte.

Ich besorgte mir schließlich von einem Bekannten, der in der EDV-Betreuung eines Unternehmens arbeitet, eine Windows XP-Boot-CD. Mit dieser ließ sich das System zunächst auch starten. Tatsächlich erschien der Trojanerbildschirm nach dem Einloggen zunächst nicht. Das System arbeitete aber sehr langsam. Der USB-Stick konnte gelesen werden, allerdings nach etwa einer Minute erschien der Trojanerbildschirm. Damit war ein Arbeiten auf dem Desktop nicht mehr möglich. Neustarts auch mit der Boot-CD brachten jetzt immer den Trojanerbildschirm von Anfang an.

Daher startete ich einen neuen Versuch mit einer im Internet verfügbaren Linux SystemrecoveryCD, die von CHIP online angeboten wird. Ein Boot mit dieser CD war jedoch nicht möglich. Die CD führte zu einem Black-Screen/Freeze während des "Loading modules"-Vorgangs. Ein weiterer Versuch mit einer Knoppix-LiveCD scheiterte ebenfalls. Schließlich stieß ich auf den Trinity Rescue Kit, der ebenfalls Linux basiert ist. Damit war es mir möglich über den Midnight Commander sämtliche Dateien auf einen USB-Stick zu kopieren und auf einen anderen Rechner (ohne wichtige Daten) zu übertragen. Gründliche Virenscans mit allen bekannten Programmen haben keine Funde angezeigt. Die Dateien sind nicht verschlüsselt oder sonstwie beschädigt und können normal genutzt werden.

Da somit alle Daten gerettet werden konnten, steht einer kompletten Neuinstallation des Systems nichts mehr im Wege. Insofern brauche ich diesbezüglich auch keine Hilfe mehr. Die Frage, die ich hier habe ist:

Was kann ich noch tun, bevor ich eine komplette Neuinstallation durchführe, um Euch bei der Erforschung/Bekämpfung dieses Virus zu helfen?

Dabei wäre zu beachten, dass es nicht ohne weiteres möglich ist, Programme auf dem Computer zu installieren, da der Trojaner hier jede Möglichkeit sperrt.

Mein Freund und seine Frau konnten mir keinerlei Hinweise darauf geben, wie der Virus auf den Computer gekommen ist. Nach ihrer Aussage wurden keine unbekannten Emailanhänge geöffnet. Man muss dazu sagen, dass beide sehr, sehr wenig Ahnung von Computer haben, weswegen sie sich auch an mich gewandt hatten. Wobei ich selber jetzt auch kein ausgesprochener Computerspezialist bin. Jedenfalls weiß ich nicht genau, wie bzw. wo ich die Schädlingsdatei finde und wie ich sie ggf. sicher, dh ohne andere Rechner zu gefähren, an Euch zwecks Analyse weiterleiten kann. Ich bin mir jetzt auch nicht sicher, ob der Virus eine ältere oder ganz neue bislang unbekannte Variante dieses Trojaners darstellt oder der Virus lediglich durch besondere Umstände an seiner eigentlich vorgesehenen Ausführung gehindert wurde.

Zitat:

Zitat von EinRing

Mein Freund und seine Frau konnten mir keinerlei Hinweise darauf geben, wie der Virus auf den Computer gekommen ist. Nach ihrer Aussage wurden keine unbekannten Emailanhänge geöffnet.

Sie werden Dich nicht angelogen haben, denn das müssen sie nicht unbedingt gemerkt haben. Es ist nicht unbedingt so, daß da nach dem Klick auf den Dateianhang noch irgendetwas von dem passieren muß, was man beim Umgang mit zip-Dateien so kennt.

Zitat:

Ich bin mir jetzt auch nicht sicher, ob der Virus eine ältere oder ganz neue bislang unbekannte Variante dieses Trojaners darstellt oder der Virus lediglich durch besondere Umstände an seiner eigentlich vorgesehenen Ausführung gehindert wurde.

Nach den Ausführungen im Delphi-Forum zu urteilen, gibt es wöchentlich eine aktualisierte Variante.

Meine Infektion stammt von heute morgen 01:00, ist infolgedessen wohl die aktuellste Version.

Ich habe die betroffene Festplatte danach ausgebaut (2,5" S-ATA aus einem Fujitsu Livebook 320 GB, Windows 7 -64) und betreibe den Rechner von einer externen Festplatte, auf die ich ein Linux installiert habe.

Wenn jemand aus der Hamburger Gegend Interesse hat, sich die Platte anzusehen, würde ich sie gerne (ggf. auch noch heute, wenn man den Treffpunkt per PN vereinbaren kann) persönlich leihweise übergeben. Die Daten sind zum überwiegenden Teil Bilder im jpeg- und im NEF-Format. Auf die während der Infektion angeschlossene CF-Karte konnte ich danach von der Live-DVD der Linux-Welt noch zugreifen.

Nach den Ausführungen im Delphi-Forum zu urteilen, gibt es wöchentlich eine aktualisierte Variante.

Meine Infektion stammt von heute morgen 01:00, ist infolgedessen wohl die aktuellste Version.

Ich habe die betroffene Festplatte danach ausgebaut (2,5" S-ATA aus einem Fujitsu Livebook 320 GB, Windows 7 -64) und betreibe den Rechner von einer externen Festplatte, auf die ich ein Linux installiert habe.

Die Daten dort sind zum überwiegenden Teil Bilder im jpeg- und im NEF-Format. Auf die während der Infektion über USB (vermutlich) angeschlossene CF-Karte und die darauf befindlichen Bilder konnte ich danach von der Live-DVD der Linux-Welt noch zugreifen. Ein Blick auf die inzwischen kurz noch einmal eingehängte Platte ergab jedoch, daß dort fast alle Dateien (mit Ausnahme derer in den Programm- und Programmdatenverzeichnissen sowie der im Windows-Verzeichnis) komplett umbenannt wurden und man schon deshalb kaum weiterkommen wird, weil nicht mehr so ohne weiteres klar ist, welche Datei welchen Typs war. Es ist daher auch (abgesehen von der unverseht gebliebenen Benennung der Datenverzeichnisse) nicht mehr ohne weiteres möglich, aus den Verzeichnissen einzelne Dateien zu identifizieren, bei denen sich der Aufwand einer Restaurierung lohnt.

Hier ergibt sich abseits der Untersuchung des jeweils aktuellen Virus und seiner Funktionsweise ein weiterer Aspekt:
Haben wir es tatsächlich mit besonders ausgefeilter Beschaffungskriminalität zu tun oder soll die Erpressung nicht vielmehr über andere Hintergründe hinwegtäuschen?
Soweit ich mich heute in die Materie hineingelesen habe, ist bei diesem Stand des Schädlings eine Lösegeldzahlung rausgeworfenes Geld, da damit vielleicht ein Zugriff auf die Maschine möglich wird, den man aber auf einfache Art auch anderweitig erlangen kann. Mit einem Zugriff auf die Daten hat das noch lange nichts zu tun. Der Rechner kann offenbar selbst nach einer vermeintlichen Freischaltung nach einer Zahlung nur als Schädlingsschleuder dienen. Sind die Daten unrettbar verloren und kann man den PC nur komplett neu aufsetzen (ggf. mit einer neuen, größeren Platte), besteht kein Grund, über eine Zahlung an die Verbrecher auch nur ernsthaft nachzudenken. Das müßte jedoch über die Medien (Heise bspw.) entsprechend eindringlich publiziert werden.

So wie die Masche derzeit aufgezogen ist, bringen auch Appelle zur Vorsicht nichts. Man sieht sich mit einer anderen Straftat konfrontiert (Idenditätsklau, Erwerb von Waren auf fremde Rechnung in beträchtlichem Wert) und greift nach den angeblich im Anhang enthaltenen Detailinformationen der Bestellung und der avisierten Abbuchung, um sich dagegen verteidigen zu können.
Die e-mail enthält zwar eine Zip-Datei, aber es gibt weder in deren Inhalt Einblick, so daß man dort einer executable angesichtig würde, noch wird die für den Nutzer sichtbar ausgepackt. Windows erklärte nur, dafür kein Programm zur Verfügung zu haben. An der Stelle war dann aber ohne sofortiges zweckentsprechendes Handeln schon alles zu spät.