Am 14.08.2012 rief mich ein Freund an und meinte das auf seinem Notebook nix mehr geht!

Also brachte er mir das Teil und ich habe es mir angesehen.

Er hatte sich den AKM-Bundestrojaner eingefangen.

Es war wie erwartet alles gesperrt. Das heisst, dass ich nichts machen konnte. Nicht mal mehr den Taskmanager konnte ich starten.

Also, PC neu starten und in den Abgesicherten Modus hochfahren.

Nach dem der Rechner in den Abgesicherten Modus hochgefahren war, bin ich in die Systemkonfiguration
und habe mir mal die Autostart-Einträge angesehen.

---

Starten der Systemkonfiguration

Die Systemkonfiguration ist ein erweitertes Tool, das zum Identifizieren von Problemen beitragen kann, die den ordnungsgemässen Start von Windows verhindern.

• Öffnen Sie die Systemkonfiguration, indem Sie auf die Schaltfläche "Start" klicken, auf Systemsteuerung klicken, auf System und Wartung klicken, auf Verwaltung klicken und dann auf Speicherdiagnosetool doppelklicken.? Wenn Sie aufgefordert werden, ein Administratorkennwort oder eine Bestätigung einzugeben, geben Sie das Kennwort bzw. die Bestätigung ein.

---

Dort fand ich die Einträge wim die mir komisch vor kamen. Also nahm ich die Hacken für den Autostart raus.

Jetzt startete ich den Rechner neu und hoffte das der AKM-Bundestrojaner nicht mehr mit startete.

Glück gehabt! Nach dem Start lief alles wieder ganz normal.

Die Befürchtung das jetzt noch sämtliche Dateien Verschlüsselt sind hat sich zum Glück nicht bestätigt.

---

Jetzt machte ich noch einen Virencheck mit Kaspersky-Rescue Disk das ich auf einen USB-Stick installiert hatte.

Der Scan dauerte 3 Stunden, und zu meiner Verwunderung hat es keinen AKM-Bundestrojaner gefunden?!

Danach startete ich den Rechner neu und löschte in der Systemkonfiguration die wim Einträge vom Systemstart.

Ach ja, bevor ich mit Kaspersky-Rescue Disk den Scan machte, liess ich das installierte Security Programm Microsoft Security Essentials durch laufen.

Das Programm fand auch keinen AKM-Bundestrojaner, aber eine Menge Java Exploits

Die löschte ich natürlich, und liess den Scanner noch mal durch laufen. Wieder kein Fund vom AKM-Bundestrojaner.

Es mussten sich ja noch die exe Dateien auf der Festplatte befinden?

Also ran an die manuelle Suche der Dateien die sich in den Systemstart geschrieben hatten.

Diese waren folgende:

• 161230404949BD.exe
• 161230404972C0.exe
• 1612304049F0A6.exe

Ich fand alle Dateien im Verzeichnis:

• C:/ProgramData/161230404949BD
• C:/ProgramData/161230404972C0
• C:/ProgramData/1612304049F0A6

Ich löschte alle drei Ordner mit Ihren Dateien.

---

Jetzt musste ich natürlich sofort Java aktualisieren, denn die Schädlinge fanden ja durch die Sicherheitslücke von Java den Weg in das System.

Natürlich habe ich Windows und sämtliche Installierten Programme auf den neuesten Stand gebracht.

Jetzt noch eine System-und Registry Säuberung mit CCleaner gemacht und das Notebook war wieder voll Einsatzbereit.

---

Fazit:

Windows und sämtlich Installierte Programme mit Aktualisierungen auf den neuesten Stand halten ist das Wichtigste überhaupt.
Es ist bei Windows im Vergleich zu alternativen Betriebssystemen ein grösserer Aufwand, denn man aber aufwenden sollte um sich solchen Ärger zu ersparen.

Meine Empfehlung für Windows Benutzer wäre, dass man beim Surfen im Internet den Browser in einer Sandbox laufen lässt, dann kann ein eingefangener Schädling nicht das System befallen, da er aus der Sandbox nicht nach aussen ins System eindringen kann.

Was meine ich mit grösserem Aufwand?

Bei Windows muss man jedes Programm das installiert ist eigens auf Aktualisierungen prüfen.
Bei Ubuntu/Linux werden alle installierten Programme auf einmal über das Softwarecenter aktualisiert (Wenn man nur Programme vom Softwarecenter installiert hat, was in der Regel der Fall ist).
Bei Apple OSX ist es wie bei Ubuntu/Linux nur heisst es dort AppStore.

---

Schlusswort:

Also mein Freund, Aktualisieren nicht vergessen!!