Lösung für das Adware/Spywareproblem
"festplattencleaner.com"
für Windows XP Professional
28.01.2008

Auf einem meiner Rechner hatte ich mir vor 4 Tagen offensichtlich ein Adware/Spyware Programm eingefangen, das sich mit den folgenden Symptomen zeigte:

  1. Sobald mein Browser (Mozilla Firefox 2.0.0.11) gestartet war, öffneten in unregelmäßigen Abständen neue Browserfenster mit (vermeintlich harmlosen) Werbeinhalten.
  2.  
  3. In ebenfalls unregelmäßigen Abständen öffnete sich ein Meldungsfenster, mit der Information, dass mein Rechner mit allem Möglichen befallen wäre und ich doch bitte ein Programm zur Bereinigung installieren solle. Das Ganze mit einem Verweis auf eine Zieladresse unter festplattencleaner.com. Damit würde dann alles wieder wunderbar beseitigt ...
Alles in allem eine ziemlich nervige Angelegenheit und beim Googeln zu diesem Problem bin ich auf unzählige Seiten und Foreneinträge gestoßen, die allerdings alle sehr verzweifelt klangen, da das Problem offensichtlich nicht mit Anti-Ad-bzw. Anti-Spyware in den Griff zu bekommen ist und auch alle anderen versuchten Maßnahmen keine Wirkung zeigten. Die meisten Foreneinträge enden mit dem gut gemeinten Rat, das System neu zu installieren, wobei sicherlich auch keine rechte Freude aufkommen dürfte.

Nach einigem Suchen habe ich nun die folgenden Dinge entdeckt:

  • Das Schadprogramm kopiert sich wahrscheinlich beim Herunterfahren oder Abmelden in das Benutzerverzeichnis

    "C:\Dokumente und Einstellungen\[Benutzer]\Lokale Einstellungen\Anwendungsdaten"

  • Es besteht aus 4 Dateien:

       zzz.exe
       zzz.dat
       zzz_nav.dat
       zzz_navps.dat

    "zzz" ist ein Platzhalter für den eigentlichen Dateinamen, der sich offensichtlich verändert bzw. der entsprechend der verschiedenen gefundenen Foreneinträge sich unterscheidet. Die Struktur sowie die Verfahrensweise sind jedoch immer dieselben. Bei mir hießen die Dateien "ksumbuyo.dat", "ksumbuyo.exe", usw.

  • Der Ursprungsort, woher diese Dateien in das o.g. Verzeichnis kopiert werden ist mir unbekannt. Entweder liegen diese Dateien unter einem anderen Namen bzw. in einem Archiv auf der eigenen Festplatte (von wo aus dann die Erstellung der Kopie erfogt), oder aber diese Dateien werden aus dem Internet heruntergeladen und an den Zielort kopiert (per HTTP, oder FTP, alles andere lasse ich nicht zu). Die Quelle scheint, nach allem was ich beim Googeln so gefunden habe, auch von den gängigen Antiviren bzw. Anti-Spyware-Programmen nicht entdeckt zu werden.
  • Danach trägt sich das Programm in der Registry unter folgendem Schlüssel ein:

      HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    was zum automatischen Start des Programms beim Hochfahren des Rechners führt. Allerdings entfernt das Programm, sobald es gestartet ist, diesen Eintrag wieder aus der Registry, so dass er beim späteren Kontrollieren nicht mehr auffindbar ist.

  • Ebenso werden die o.g. 4 Dateien offensichtlich sofort nach der Programmaktivierung wieder gelöscht, so dass auch die Dateien nicht mehr auffindbar sind. Auch in der Prozessliste von Windows taucht das entsprechende Programm nicht auf. Entweder ist es dort unter einem anderen Namen eingetragen oder aber es klinkt unter Umgehung der Sicherheitsmechanismen ein Schad-Plugin im Browser ein und beendet sich anschließend selbst. Wäre denkbar, da die Symptome bei mir bislang nur bei geöffnetem Browser auftraten.

Lösung:

Ich habe bei mir nun die folgende Lösung gefunden, die zwar die Quelle (sofern sie sich überhaupt lokal auf meinem Rechner befindet) nicht beseitigt, aber das Problem. Zumindest kann das Schadprogramm auf diese Weise nicht mehr aktiviert werden.

  1. Zunächst sollten alle Dateien und Verzeichnisse im Explorer sichtbar gemacht werden, also auch versteckte und Systemdateien.
  2.  
  3. Ändern der Verzeichnisberechtigungen des Zielverzeichnisses für die Schadsoftware
       "C:\Dokumente und Einstellungen\[AktuellerBenutzer]\Lokale Einstellungen\Anwendungsdaten"
    wie folgt:
     
    Entfernen der Berechtigungen des aktuellen Benutzers für:
     
      Vollzugriff
      Löschen
     
    und sicherheitshalber auch für:
     
      Unterordner und Dateien löschen
      Attribute schreiben
      Erweiterte Attribute schreiben
      Berechtigungen ändern
      Besitzrechte übernehmen
  4.  
  5. Mittels "msconfig.exe" unter dem Reiter "Systemstart" nach dem Eintrag suchen, der unter
     
       HKCU\Software\Microsoft\Windows\CurrentVersion\Run
     
    einen Befehl ausführt, der im Verzeichnis
     
       "C:\Dokumente und Einstellungen\[AktuellerBenutzer]\Lokale Einstellungen\Anwendungsdaten"
     
    liegt. Wie gesagt, das Schadprogramm hat unterschiedliche Namen, daher muss danach gesucht werden. Ein scheinbar sinnfreier oder kryptischer Dateiname ist hierbei verräterisch. Da unter diesem Pfad normalerweise keine ausführbaren Programme liegen, dürfte in "msconfig.exe" nur ein Eintrag für das o.g. Verzeichnis zu finden sein.
     
    Dieser Eintrag muss deaktiviert werden. Der Eintrag ist nur über "msconfig.exe" sichtbar. In der Registry selbst ist er nicht mehr auffindbar.
  6.  
  7. Der Rechner muss jetzt neu gestartet werden.
  8.  
  9. Nach dem Neustart über den Windows-Explorer wieder in das Verzeichnis
     
       "C:\Dokumente und Einstellungen\[AktuellerBenutzer]\Lokale Einstellungen\Anwendungsdaten"
     
    wechseln. Nun müssten die besagten 4 Dateien vorhanden und sichtbar sein. Setzen Sie nun zunächst die Verzeichnisberechtigungen bzgl. des aktuellen Benutzers wieder auf die ursprünglichen Berechtigungen zurück. Selektieren Sie dann die betroffenen 4 Dateien und setzen Sie für diese bzgl. des aktuellen Benutzers die Berechtigungen so, dass ausschließlich die Berechtigungen
     
      Ordner auflisten / Daten lesen
      Attribute lesen
     
    aktiv sind.
  10.  
  11. Wiederholen Sie Schritt 3, falls der entsprechende Eintrag in "msconfig.exe" erneut als aktiv aufgeführt ist.
  12.  
  13. Starten Sie den Rechner neu und überprüfen Sie anschließend, ob der Eintrag aus Schritt 3 nun endgültig verschwunden bzw. deaktiviert ist und nicht neu eingetragen bzw. aktiviert wurde.
Durch das Ändern der Berechtigungen haben wir mit dieser Vorgehensweise dem aktuellen Benutzer, unter dessen Berechtigungen das Schadprogramm läuft, das Recht entzogen, die Schaddateien zu löschen, zu überschreiben, die Dateiberechtigungen zu ändern und natürlich auch das Schadprogramm zu starten. Die Dateien sind zwar weiterhin sichtbar, können aber mit diesen Einstellungen kein Unheil mehr anrichten. Das Schadprogramm kann nicht mehr gestartet werden und damit kommt der ganze oben beschriebene Kreislauf gar nicht erst in Gang.

Bei mir hat's wunderbar funktioniert, die lästigen Werbepopups sind seitdem verschwunden.

Bei Fragen, Anregungen, Verbesserungsvorschlägen oder Kritik schreiben Sie bitte eine Mail an software-ecke [at] svenvogt.com.

© Copyright 2007 - 2008 Sven Vogt
Download-Tipp.de
Noch immer sehr gefragt:
Lösung für das Adware/Spyware Problem, das auf
festplattencleaner.com
verweist.
Aktuelles:
Neue Version 1.21
jetzt verfügbar!
Weitere Infos hier ...

Download unter www.keepinsync.net

Sudoku Spielspaß mit vielen Features
Mehr Info ...