Selbst ist der User: Trojan-Ransom.Win32.Blocker entfernen

Oleg Saitzev

Die Familie Trojan-Ransom.Win32.Blocker ist ein klassisches Beispiel für Erpressungs- und Betrugs-Malware. Bei der Installation auf dem Computer schreiben sich Schädlinge dieser Art in den Autostart, den Registry-Key [SoftwareMicrosoftWindows NTCurrentVersionWinlogon], Parameter „Userinit“, wodurch der Start des Betriebssystems blockiert wird. Sobald die Schädlinge die Kontrolle über den Start des Betriebssystems erlangt haben, öffnet sich ein Fenster, in dem der Anwender aufgefordert wird, eine SMS mit einem bestimmten Text an eine bestimmte Kurznummer zu senden. Im Gegenzug wird dem User die Übermittlung eines Codes versprochen, mit dessen Hilfe das Schadprogramm unschädlich gemacht und der Start des Computers entblockt werden soll.

Der Schädling Trojan-Ransom.Win32.Blocker selbst lässt sich relativ problemlos mit Hilfe von AVZ, AVPTool oder manuell aus dem Registry-Editor entfernen. Es gibt da allerdings noch ein Problem: Der Start des Computers ist blockiert und der Anwender erhält weder Zugriff auf den Arbeitsplatz noch kann er irgendwelche Programme oder Tools starten. Auch der abgesicherte Modus von Windows ist blockiert.

Ich wollte nun gern wissen, ob tatsächlich alles so aussichtslos ist und ob der Anwender nicht doch auch ohne Spezialwerkzeuge, Live CD und besondere technische Kenntnisse etwas unternehmen kann. Nach verschiedenen Versuchen zeigte sich ein recht einfacher Algorithmus:

  1. Drückt man gleichzeitig die Windows-Taste und U auf der Tastatur, so öffnet sich das Fenster des Hilfsprogramm-Managers. Wie sich zeigte, hat es hohe Priorität und der Trojaner kann ihm nichts anhaben.

  2. Startet man nun in diesem Fenster die Bildschirmlupe, so öffnet sich ein Informationsfenstern mit einem Link auf die Microsoft-Website. Klickt man auf den Link, so wird der Internet-Explorer gestartet.

  3. Mit Hilfe des IE kann man nun alle nötigen Programme, wie z.B. AVZ oder AVPTool herunterladen und diese von der Festplatte des PC starten.

Nach dem Start des IE sollte man zunächst die wichtigsten Dinge erledigen, und zwar den Rechner desinfizieren, Logs und Quarantäne nach den Regeln der Foren von Kaspersky Lab und VirusInfo machen und die Schädlinge löschen

.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.