Der Wurm “System Tool 2011” Teil 2 – Aus einem Benutzer Account entfernen

ACH­TUNG! Bei “Sys­tem Tool 2011” han­delt es sich nicht um ein Anti-Viren-Tool son­dern um einen Computerwurm.

In die­sem Post beschrei­be ich, wie ich den Virus aus einem nor­ma­len Benut­zer-Account (ohne admi­nis­tra­ti­ve Berech­ti­gun­gen) ent­fer­ne. Der Benut­zer hat­te die Sicher­heits­maß­nah­men, wie in “Der Wurm ‘’Sys­tem Tool 2011’’ Teil 1 – Eine Ein­füh­rung” beschrie­ben, eingehalten.

Ich über­neh­me kei­ner­lei Haf­tung wenn bei Ihnen aus mir unbe­kann­ten Grün­den die Des­in­fek­ti­on nicht funk­tio­niert. Der sichers­te Weg um die Infek­ti­on eines Sys­tems zu besei­ti­gen ist immer die Neu­in­stal­la­ti­on des Sys­tems, aber nicht immer zwin­gend notwendig.

Die Fol­gen­den Maß­re­geln galt es nach dem Bemer­ken der Infek­ti­on ein­zu­hal­ten, bis der Viren­be­kämp­fer kommt:

1. Kei­ner­lei Update der ver­meint­li­chen Anti­vi­ren Soft­ware zulassen!
2. LAN-Kabel raus­zie­hen oder WLAN abschalten!
3. Rech­ner sofort ausschalten!
4. Rech­ner bis zur Viren­be­kämp­fung nicht mehr Einschalten!
5. Die­se Maß­nah­men allen Fami­li­en­mit­glie­dern kund tun!

Fol­gen­de Uti­li­ties lud ich auf einen nicht kom­pro­mit­tier­ten Com­pu­ter her­un­ter und ent­pack­te die Soft­ware bzw. instal­lier­te sie. Danach kopier­te ich die Unter­ver­zeich­nis­se auf einen USB Stick.

Der SysIn­ter­nals Pro­cess Explo­rer muss nur ent­packt und beim ers­ten Start die Lizenz­be­stim­mun­gen akzep­tiert wer­den. Er ist por­ta­bel ein­setz­bar. SysIn­ter­nals war eine klei­ne aber fei­ne Fir­ma, die unter ande­rem freie Sys­tem­tools pro­gram­mier­te. Sie wur­de 2006 von Micro­soft erwor­ben und in das Unter­neh­men inte­griert. Sie wird mit ähn­li­chen Ziel­set­zun­gen wei­ter­ge­führt und ich nut­ze die Tools gern.

Der Gri­din­Soft Tro­jan Kil­ler muss instal­liert und soll­te auf dem Instal­la­ti­ons-Sys­tem min­des­tens ein­mal aus­ge­führt wer­den, damit er im aktu­el­len Zustand ist. Bei der Soft­ware han­delt es sich um Tri­al­Wa­re. In der unli­zen­zier­ten Ver­si­on zeigt er die Schad­soft­ware an, besei­tigt sie jedoch nur inner­halb der 15-tägi­gen Test­zeit. Danach müs­sen Sie die Schäd­lin­ge manu­ell löschen oder die Voll­ver­si­on kaufen.

Nach dem Start des mit den “Sys­tem Tool 2011” befal­le­nen Rech­ners zeigt sich fol­gen­des mar­tia­li­sche Bild.

Der Ver­such, alle lau­fen­den Pro­gram­me mit Hil­fe des Task­ma­na­gers anzei­gen zu las­sen schei­tert, da das “Sys­tem Tool 2011” das Pro­gramm als poten­ti­ell infi­ziert mel­det und die Aus­füh­rung verhindert.

Aus Recher­chen und eige­nen Erfah­rung ken­ne ich den Spei­cher­ort des “Sys­tem Tool 2011”. I.d.R. befin­det sich die Datei unter “Lw:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Name”. Wobei der Name immer eine zufäl­li­ge Fol­ge von Zah­len und Buch­sta­ben ist, hier befin­det es sich im Ver­zeich­nis “cDiFk01804”.

Nach­dem Sie nun wis­sen, wo sich das “Sys­tem Tool 2011” befin­det, wer­den Sie den­ken, da lösche ich es schnell. Geht lei­der nicht, solan­ge das “Sys­tem Tool 2011” noch aus­ge­führt wird.

Eine wich­ti­ge Infor­ma­ti­on, die das Rei­ni­gen eines mit dem “Sys­tem Tool 2011” befal­le­nen Sys­tems erleich­tert, ist die Kennt­nis, dass die Aus­füh­rung des Inter­net Explo­rers und des Datei­ex­plo­rers nicht blo­ckiert wird. Also wer­den die Datei­na­men “explorer.exe” und “iexplore.exe” nicht durch das “Sys­tem Tool 2011” behin­dert. Sie wer­den gebraucht um die ver­meint­li­che Anti­vi­ren­soft­ware zu kaufen.

Zuerst star­te ich den Sys­ter­nals Pro­zess Explo­rer, nach­dem ich ihn in “iexplore.exe” umbe­nannt habe. Unter sei­nem tat­säch­li­chen Namen wür­de er vom Das “Sys­tem Tool 2011” blo­ckiert wer­den! Bit­te bestä­ti­gen Sie die Lizenz Bedin­gun­gen mit “Agree”.

Nun öff­net sich der Sys­ter­nals Pro­zess Explo­rer ali­as “iexplore.exe”. “Sys­tem Tool 2011” erken­nen Sie gut an dem Sym­bol in Form eines Vor­hän­ge­schlos­ses und kli­cken den Task nun mit der rech­ten Maus­tas­te an und wäh­len aus dem Kon­text­me­nü “Kill Pro­cess”. Damit been­den Sie den Böse­wicht. Die Abfra­ge bezüg­lich des Kil­lens des Pro­gram­mes kön­nen Sie mit “Ok” bestä­ti­gen. Danach ver­schwin­det das Pro­gramm­sym­bol aus der Task­leis­te. Sie kön­nen den Pro­zess Explo­rer beenden.

Nun müs­sen wir die Spu­ren des “Sys­tem Tool 2011” im Sys­tem auf­spü­ren und besei­ti­gen. Dazu benut­zen wir die zuvor erstell­te und aktua­li­sier­te “por­ta­ble” Instal­la­ti­on des Gri­din­Soft Tro­jan Kil­ler. Das Pro­gramm nennt sich “trojankiller.exe”

Bestä­ti­gen Sie den Dia­log zur Ausprobierzeit/Trialperiode mit “Con­ti­nue”. Wäh­len Sie dann “Scan” und “Stan­dard Scan”. Jedes mal, wenn der Gri­din­Soft Tro­jan Kil­ler einen gefähr­li­chen Ein­trag im Sys­tem fin­det, sen­det er ein akus­ti­sches Signal aus. Der Scan wird je nach Grö­ße Ihrer Fest­plat­ten mehr oder weni­ger Zeit beanspruchen.

Das Pro­gramm mel­det sich mit einer Lis­te der bedroh­li­chen Datei­en. Mar­kie­ren Sie alle Ein­trä­ge und las­sen Sie sie durch den Gri­din­Soft Tro­jan Kil­ler besei­ti­gen. Bestä­ti­gen Sie das fol­gen­de Dia­log­fens­ter mit OK.

Soll­ten Sie den Gri­din­Soft Tro­jan Kil­ler schon ein­mal auf Ihrem Sys­tem aus­pro­biert haben, dann ist die Ausprobierzeit/Trialperiode abge­lau­fen und Sie müs­sen die Schad­soft­ware manu­ell löschen.

Sie kön­nen zur Sicher­heit Ihr Sys­tem danach noch­mals scan­nen lassen.

Star­ten Sie nun Ihren Rech­ner neu und mel­den Sie sich an. Ihr Rech­ner soll­te “Sys­tem Tool 2011”-frei sein.

Nun wäre ein guter Moment, um eine aktu­el­le und vor allem ech­te Anti-Viren-Soft­ware zu instal­lie­ren. Nut­zen Sie die­se Change.