Computer-Service in Darmstadt und Umgebung? Trojaner-Befall? Windows blockiert?

Weitere Informationen zum-Computer-Service






Neuen Mobilfunkanbieter gesucht?

Kein Mobilfunk-Gutschein aber günstige Preise. Vergleichen Sie selbst:

Computer-Service bei Windows-Verschlüsselungs Trojaner

Windows Notfall Sicherheits-Update Center des Windows Update - Service

Zu Informationen über den GVU-Trojaner, auch als BKA-Trojaner bezeichnet, lesen Sie bitte unter GVU-Trojaner sperrt Windows

Windows Update Center - Warnhinweis bedeutet Trojaner-Befall

Das oben ersichtlichte Fenster "Windows Notfall Sicherheits-Update-Center" aus Windows Update kommt Ihnen bekannt vor?

03. Mai 2012: Am 01. Mai 2012 rief mich eine Kundin an und schickte mir - von einem Zweitrechner - ein Foto, dass sie von Ihrem PC abfotografiert hat:

Willkommen bei Windows Update

Aus Sicherheitsgründen wurde Ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat hierzu geführt, dass Ihr System von einem Computerverschlüsselungstrojaner befallen wurde. Dieses Virus verschlüsselt Ihre Festplatte mit einem 2048 Bit PGP-RSA Schlüssel und eine selbständige Entschlüsselung ist nicht mehr machbar.

Um das System wiederherstellen zu können, müssen Sie ein zusätzliches Sicherheitsupdate herunterladen. Dieses ist ein kostenpflichtiges Update für infizierte Windowssysteme. ...

Die Wiedergabe des restlichen Textes erspare ich mir.

Ursache Trojaner-Befall

Was war passiert? Die Kundin erhielt eine E-Mail eines bis dato unbekannten Absenders mit einem Anhang. In dieser E-Mail kündigte der Absender an, einen Betrag in Höhe von 181,62 € von Ihrem Konto einzuziehen. Wie sich dieser Betrag zusammensetzt, sei aus der angehängten Datei ersichtlich.

Sie hat sich so über den Inhalt geärgert, dass Sie diese Mail und die beigefügte Rechnung ausdrucken wollte und Ihrem Anwalt übergeben wollte. Diesen "bösen Jungs" müsse doch endlich das Handwerk gelegt werden - zumal in der Vergangenheit immer wieder einmal Mails eingingen, die ähnlich lautende Inhalte hatten.

Den Dateianhang namens "Rechnung.exe", eingepackt in eine Rechnung.zip hat Sie dann doppelt angeklickt - Hinweise des e-Mail Programms, des Betriebssystems und des Trend Micro Virenschutzprogramms Internet Security 2012 ignoriert und damit war es passiert. Oder eigentlich passierte vordergründig gar nichts. Aber für Sie nicht sichtlbar wurde damit ein - wie es der Hinweis-Dialog in oben ersichtlichen Fenster schon sagt - ein Verschlüsselungsprogramm installiert, das sich aller möglich habhaft werdenden Dateien verändert hat und diese in der Tat verschlüsselte.

Auswirkungen Windows-Verschlüsselungs Trojaner

Zunächst ging dann wohl erst mal gar nichts mehr, so dass Sie den Rechner neu startete. Mit dem Erfolg, dass sich das Betriebssystem weigerte, seinen Dienst zu verrichten und sie stattdessen mit dem bereits erwähnten Fenster (siehe oben) konfrontiert wurde.

Das Geschrei war groß, die Hilfe nahte - auch am Feiertag :-)

Nach einiger Recherche und einigen Rettungsversuchen durch die Kundin selbst (z.B. mit der Kaspersky Rescue CD / Kaspersky Notfall-CD 10, habe ich dann vor Ort folgende Schritte durchgeführt, die letzlich wieder zu einem funktionierenden System geführt haben:

1. Booten des Computers über eines USB-Stick mit der AVG Rescue CD für den USB-Stick

Das erneute Booten mit der Kaspersky Notfall-CD wurde verworfen, da die Kundin berichtete, dass eine Meldung erschien "die Virus-Datenbanken seien veraltet - Datum 30.03.2012". Tja, in der Tat kann innerhalb von vier Wochen doch so einiges passieren auf dem Virenmarkt - nur für die Aktualisierung der Viren-Datenbank bedarf es einer funktionierenden Internet-Verbindung - auf dem mit dem Trojaner verseuchten Rechner. Jeder versierte Anwender kann sich vorstellen, dass dies in einem solchem Fall nicht unbedingt anzuraten ist. Also, liebe Kasperky-Verantwortlichen: Bitte aktuelle Versionen zum Download bereitstellen oder zumindest eine Datei, die sich dann manuell nachinstallieren lässt. Ich kann mir vorstellen, dass dies ein enormer Aufwand bedeutet, permanent aktuelle Versionen bereitzustellen und ich will auch gar nicht meckern; immerhin ist der Download UND die Nutzung der Notfall Rescue CD völlig kostenfrei. Das wiederum führt mich wieder zu meinem bösartigen Gedanken, dass so mancher Virus, Trojaner und anderes Getier möglicherweise von Virenschutz-Software Herstellern selbst in Umlauf gebracht werden, um dann wieder teure Virenschutzsoftware zu verkaufen - aber das ist ein anderes Thema.

Wenn Sie sich selbst versuchen möchten: die AVG Rescue CD für den USB-Stick

2. Scannen des Systems mit den Bordmitteln der  AVG Rescue CD

Ging relativ flott - es wurden gefühlte 1,5 Std für eine 320 GB Festplatte, aufgeteilt in mehrere Partitionen, zu ca. 70% belegt, gebraucht. Ergebnis: 3 Trojanerfunde, die anschließend auch sauber entfernt wurden.

3. Neustart Windows

Führte zur Meldung, dass der Bootsektor defekt sei.

Ob dies jetzt eine Folge des Kaspersky, AVG Bootens oder des Trojaners war, lässt sich im Nachinein nicht mehr feststellen. Fakt ist, dass der Bootsektor des Windows Vista Systems wieder hergestelt werden musste.

4. Reparatur des Boot-Sektors

Dazu wurde ein Windows Recovery Environment (Windows Wiederherstellungs-Umgebung) für Windows Vista 32-Bit geladen, die es erlaubt, mit Hilfe der Reparaturfunktionen von Windows auch den Bootsektor wiederherzustellen - was auch erfolgreich gelang.

4. Neustart Windows Vista mit Prüfung auf Datenverlust

Glücklicherweise schien alle Dateien und Daten noch vorhanden zu sein. Doch bereits der Start des E-Mail Programms zur Überprüfung, ob auch noch alle E-Mails vorhanden sind, führte zu einem weiteren Schrecken: "Archiv-Datei nicht gefunden". Bei der Überprüfung ergab sich folgendes Bild:

Alle Daten-Dateien, denen der Trojaner habhaft werden konnte, wurden verschlüsselt (der Hinweis-Dialog im Startfenster hat ja bereits darauf hingewiesen). Die Dateinamen der verschlüsselten Dateien lauten allesamt locked-ursprünglicherDateiname.einschließlichEndung.zzzzz, wobei zzzzz für eine scheinbar wahllose Buchstabenkombination steht. An diesem Punkt sei bereits der Hinweis gegeben: Ein Umbenennen der Datei in den ursprünglichen Namen hilft nicht - im Gegenteil, dies führt vermutlich dazu, dass die Datei dann endgültig über den Jordan geht.

Eine weitere Recherche brachte die ersehnte Lösung: Ein Programm zur Entschlüsselung der Dateien, geschrieben von Matthias Kunig: der DeCryptHelper

5. Decodierung der verschlüsselten Dateien

Die Software benötigt eine unverschlüsselte Referenzdatei (die auf genanntem Link ebenfalls zu finden ist), um den vom Trojaner verwendeten Verschlüsselungscode zu finden. Nach Anwendung des Programms DeCryptHelper konnten alle Dateien wieder ausnahmslos hergestellt werden. Einen riesengroßen Dank an den Programmierer, der seine perfekt funktionierende Software völlig kostenfrei zur Verfügung stellt. In der von mir verwendeten Version 0.3 genügt die Angabe eines übergeordneten Verzeichnisses (im Grunde der Laufwerksbuchstabe oder ein Ordnername wie Benutzer/EigeneDokumente), damit das Programm über die Festplatte rauscht und eine Datei nach der anderen entschlüsselt.

Welche Trojaner-Reste übergeblieben sind, vermag ich nicht zu sagen. Im Grunde wäre eine Neu-Installation des Betriebssystems und all seiner Programme anzuraten und vermutlich auch günstiger gekommen - wenn denn eine aktuelle Datensicherung vorgelegen hätte.

6. Die Moral von der Geschicht

Dieser Vorgang zeigt erneut, wie wichtig eine aktuelle Datensicherung ist. Neben den Kosten für die Beseitigung des Trojaners und der Wiederherstellung der Dateien ist auch der Arbeitsausfall zu berücksichtigen. Ein Lesen der Warnhinweise vor dem Ausführen eines E-Mail Anhangs hätte in diesem Fall ebenfalls viel Ärger und Arbeitsausfall erspart.

Stehen Sie ebenfalls vor diesem geschilderten Problem eines Trojaner und wohnen im Raum Darmstadt? Dann kann Ihnen geholfen werden:

Computer-Crash: PC-Service benötigt?Computer-Service in Darmstadt:
Telefon 06151 42 87 129

Selbstverständlich sind wir auch in den umliegenden Gemeinden für Sie da. Ortsliste PC-Service

Ein Lösen des Problems ist mittels Fernwartung nicht möglich, daher ist ein Vor-Ort Besuch oder ein Vorbeibringen des Computers an unserem Standort (Riedstraße 2 -im 2Redline-Business-Center, 64295 Darmstadt - West) unabdingbar.

Ortsliste für Computerservice rund um Darmstadt

Wir sind im Stadtgebiet Darmstadt natürlich schnell und einfach erreichbar. Kommen Sie nach Terminvereinbarung in unser Büro oder wir kommen für eine Computerhilfe zu Ihnen vor Ort, wenn Sie in einer der umliegenden Städte wohnen oder Ihren Firmensitz haben.

Generell gilt eine Versorgung für das gesamte Rhein-Main-Gebiet, teilweise der Odenwald und der Taunus, das Gebiet entlang der Bergstraße, das Ried sowie der Landkreis Darmstadt-Dieburg mit den Orten (Sortierung nach PLZ):

64283 Darmstadt Stadtzentrum und Eichbergviertel, 64285 Darmstadt-Bessungen, 64287 Darmstadt-Komponistenviertel, Woogsviertel, Mathildenhöhe, 64289 Darmstadt-Kranichstein, Martinsviertel (Watzeviertel), Wixhausen, 64291 Darmstadt-Arheilgen (Darmstadt-Arheiligen), , 64293 Darmstadt-Johannesviertel ,Waldkolonie, Europaviertel, 64295 Darmstadt-Heimstätten-Siedlung bzw. Darmstadt-Verlagsviertel, 64297 Darmstadt-Eberstadt,

64319 Pfungstadt mit den Gemeinden Eschollbrücken, Eich und Hahn, 64331 Weiterstadt, 64342 Seeheim-Jugenheim, 64347 Griesheim, 64354 Reinheim, 64367 Mühltal, 64367 Nieder-Ramstadt, 64372 Ober-Ramstadt, 64380 Roßdorf, 64390 Erzhausen, 64397 Modautal,

64401 Groß-Bieberau, 64404 Bickenbach, 64405 Fischbachtal, 64409 Messel,

64521 Groß-Gerau, 64546 Mörfelden-Walldorf, 64560 Riedstadt mit den Gemeinden Goddelau, Crumstadt, Erfelden, Leeheim und Wolfskehlen, 64569 Nauheim, 64572 Büttelborn, 64572 Büttelborn, 64579 Gernsheim, 64584 Biebesheim,

64665 Alsbach-Hähnlein, 64673 Zwingenberg,

64807 Dieburg, 64823 Groß-Umstadt, 64832 Babenhausen, 64839 Münster (Altheim) im Landkreis Darmstadt-Dieburg, 64846 Groß-Zimmern, 64850 Schaafheim, 64853 Otzberg, 64859 Eppertshausen

Bitte berücksichtigen Sie jedoch, dass bei einer Anfahrt für Computerservice, die länger als 15 Minuten dauert, Fahrtkosten anfallen. Dies gilt selbstverständlich nicht bei einem PC-Notdienst für die Darmstädter Stadtteile oder unmittelbar angrenzenden Orte wie: Griesheim, Erzhausen, Kranichstein, Eberstadt, Rossdorf, Messel, Heimstätten-Siedlung, Arheiligen, Wixhausen, Pfungstadt, Eschollbrücken, Eich, Hahn.

Auch die Gebiete Darmstadt-Mitte (Stadtzentrum, Grafenstraße, Hochschulviertel, Kapellplatzviertel, Eichbergviertel), Darmstadt-Nord (Johannesviertel, Martinsviertel, Waldkolonie, im Bereich Mornewegstraße und Pallaswiesenstraße, Kranichstein), Darmstadt-Ost (Oberfeld, Mathildenhöhe, Rosenhöhe, Diamantenviertel, Woogsviertel, Lichtwiese, Fasanerie) Bessungen (Paulusviertel, Ludwigshöhe) Darmstadt-West (Südbahnhof, Heimstättensiedlung, Verlagsviertel, Am Kavalleriesand, Arheilgen, Eberstadt (Lämmchesberg, Villenkolonie, Am Frankenstein, Kirchtannsiedlung, Jefferson Siedlung) und Wixhausen sind in der Regel ohne Berechnung von Fahrtkosten bei einer PC-Reparatur zu erreichen.

Computer-Akademie

Computer-Kurse
Darmstadt

Microsoft Office Kurse

Office 2010, Office 2013,
Office 2016, Office 2019 /
Office 365

Excel-Kurs

PowerPoint

Word-Kurs

Aktuelles

Area 1963 - Computer-Tipps

Kontakt