Meine letzten vier Veröffentlichungen Mad Scientist Journal Autumn 2018 Fiction Science The Dinosaurs of Jurassic Park and Jurassic World Steaks, Walls And Dossiers Zur Übersicht aller Veröffentlichungen Fiction Science

So, jetzt zu TrojanSMP/LX 4 

Okay, wie vorgestern für gestern angekündigt heute also ( ^^ ) meine kurze Übersicht über die Bekämpfung von TrojanSPM/LX, einen überaus lästigen kleinen Virus, der sich aber lautstark ankündigt.

Symptome
So, dann wollen wir mal: Eine Infektion des Rechners mit TrojanSMP/LX zeigt sich durch diverse englischsprachige Meldungen:
1. Der Bildschirmhintergrund wurde durch eine Viruswarnung ersetzt, Ändeurngen des Hintergrundes über die Bildschirmeigenschaften sind größtenteils gesperrt
Die Warnung zeichnet sich aus durch einen riesigen Text in roten Lettern:

YOUR SYSTEM IS INFECTED!

Das ganze gefolgt von der Empfehlung, eine Anti-Spyware-Software zu installieren.

2. Alle paar Minuten taucht folgende Meldung an der Startleiste auf, ungefär da, wo auch immer die Systemmeldungen („Neue Updates verfügbar“ etc.) nerven auftauchen:

Click here to protext your computer from spyware!
Your computer is infected! Windows has detected an infection of spyware! It is recommended to use special antispyware tools to prevent data loss. Windows will now download and install the most up-to-date antispyware for you.

Diese meldung ist falsch, ein Klick darauf öffnet den Internet Explorer und in diesem eine Seite, die ein angebliches Antispyware-Programm enthält. Dieses ist eine Fäschung, es handelt sich um das eigentliche Virus. Das Virus, welches Sie grade sehen ist ein vorgetäuschtes Virus, welches Sie zum Runterladen der tatsächlichen Schadsoftware, einer als Antispyware getarnten Spyware, verleiten will.
Auf keinen Fall das vom System verlinkte Programm runterladen und installieren!

3. Etwas seltener, aber dennoch ennervierend oft, taucht die folgende Systemmeldung mitten auf dem Bildschirm auf:

WARNING
Attention! System detected a potential hazard (TrojanSPM/LX) on your computer that may infect executable files. You private information and PC safety is at risk. To get rid of unwanted spyware and keep your computer safe you need update your current security software. Click OK to download official intrusion detection system (IDS software).

Auch das ist eine Fälschung.
Schließen Sie die Meldung mit X, ein Klick augf OK bewirkt das selbe wie ein Klick auf die fasche Systemmeldung in der Startleiste.
Die Grammatikfehler sind übrigens so in der Originalnachricht enthalten, die stammen nicht von mir.

4. Diverse Programme werdne nicht mehr ausgeführt. beim versuch, diese zu starten erscheint statt dessen eine gefälschte Systemmeldung, die in englisch darüber informiert, dass das programm infiziert sei und daher nicht ausgeführt werden könne.
Darunter befinden sich die Regedit, die Kommandozeile, Paint und der Taskmanager.

Behandlung
1. Laden Sie sich HiJackThis runter und installieren Sie es.
Nach der Installation wird HiJackThis einen Scan machen wollen. Lassen Sie ihn das tun und er erstellt eine Liste aller Programme, die mit Windows automatisch mitstarten.

2. Suchen Sie in der Liste von HiJackThis einen Eintrag, der das Programm „Advanced Virus Remover“ enthält – das ist der Schädling.
Rechtsklick auf den Eintrag und löschen.

3. Laden Sie sich den Spyware Doctor runter und installieren Sie ihn.
Auch dieser wird nach der Instalation eine erste Suche nach Schadsoftware durchführen.
Suchen Sie in den Ergebnissen folgende Einträge und klappen Sie sie auf, um zu erfahren, wo sich betroffene Dateien und Registry-Einträge befinden:
RogueAntiSpyware.HomeAntiVirus2010
Rogue AntiSpyware.AdvancedAntivirus
Spyware.Possible_Website_Hijack

Schreiben Sie alle dort gelisteten Pfade auf.

4. Löschen Sie von Hand alle infizierten Dateien ausser winhelper.dll
Sie können das auch den Spyware Doctor übernehmen lassen, dazu müssen Sie aber eine Lizenz erwerben (etwa 20 €) und das muss ja nun nicht ausgerechnet jetzt sein, oder?

5. Starten Sie den Computer neu. Das Virus wird weiterhin starten, aberlängerbrauchen.
Nutzen Sie die Verzögerung: Starten Sie im Startmenü die Eingabeaufforderung, geben Sie regedit ein und drücken Sie die Enter-Taste.
Löschen Sie nun im Registry-Editor diejenigen Dateien aus Ihrer Notiz, die mit HKEY_… anfangen.
Es kann passieren, dass das Virus sich mittendrin einschaltet und das Programm abwürgt. In dme Fall einfach neu starten und die selbe Prozedur nochmal mit den restlichen Dateien, bis alle Einträge weg sind.

6. Zu guter Letzt bleibt noch die winhelper.dll
Das ist eine echte Windows-Datei, die von den meisten Browsern benötigt wird.
Laden Sie sich die Installationsdatei(en) für Ihre(n) Browser aus dem Netz (Google hilft dabei), deinstallieren Sie die Browser, löschen Sie winhelper.dll und instalieren Sie alle Browser neu.

7. Achja, Sie können das Hintergrundbild von Windows jetzt ganz normal zurückändern.
Wenn nicht, haben Sie wahrscheinlich bei Schritt 5 was übersehen. Einfach nochmal nachsehen.
Etwaige verbliebene Reststücke des Virus sollte Ihre normale Virensoftware jetzt finden und löschen können.

Nachbetrachtung
Advanced Virus Remover bzw. TrojanSPM/LX ist ein böses kleines Virus. Es verleitet Opfer zum Runterladen einer falschen Antivirus-Software und sperrt zugleich alle Programme, die benötigt werden, um es zu löschen.
Dadurch lässt es sich nur über lästige Umwege wieder vom System entfernen.
Und das alles, während es eigentlich nur begrenzten Schaden verursacht. Es beschränkt sich darauf, zu nerven.

Extra Extra Vlogs und Geschichten Fiction Science