Hinterlistiges Schadprogramm: Microsoft warnt vor System Defragmenter

22. März 2011
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

Ein bereits Ende 2010 aufgetauchter Schädling beschäftigt Microsofts Malware Protection Center.

Microsofts Spezialisten haben das Schadprogramm detailliert analysiert und dabei seine Funktionsweise sowie Gegenmaßnahmen aufgedeckt.

Das Schadprogramm wird von Microsofts Antivirenprogrammen als FakeSysdef erkannt. Es gibt sich als nützliches Programm für Festplattenreparaturen aus und tarnt sich dabei mit unterschiedlichen Namen, unter anderem: System Defragmenter, Check Disk, Win HDD, Win Scanner, HDD Doctor oder Disk Optimizer.

Das Programm täuscht Ihnen Fehler auf Ihrer Festplatte vor und nistet sich äußerst penetrant in Ihr System ein. Unter anderem schleust es eine eigene DLL-Datei in den Prozess "explorer.exe" ein. Außerdem ändert es den Desktop-Hintergrund und täuscht Ihnen so vor, dass Ihr System sich im abgesicherten Modus befinden würde. Anschließend bombardiert es Sie mit falschen Fehlermeldungen.

Da Sie nun den Eindruck haben, dass Ihr Computer tatsächlich beschädigt und kaum noch brauchbar ist, bietet Ihnen das angeblich hilfreiche Reparaturprogramm gegen eine Bezahlung an, Ihren Rechner wieder fit zu machen.

Die Infektion können Sie nur beseitigen, indem Sie Ihren Rechner neu starten und mit der Taste "F8" tatsächlich den Start im abgesicherten Modus veranlassen. Hier müssen Sie im Benutzerprofil "All Users" unter "Application Data" die Datei "aJnsgXnTGrqWD.DLL" löschen. Suchen Sie außerdem den zugehörigen Eintrag in der Registrierung über die Suchfunktion. Laut Microsoft befindet er sich unter "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" und ist hier mit dem Wert "AppSecDll" eingetragen. Löschen Sie den Pfad zu der schädlichen DLL-Datei.

Nach einem Neustart wird das Schadprogramm dann nicht mehr geladen. Sie müssen nun allerdings in der Registrierung noch den Eintrag "NoChangingWallPaper" unter "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop" löschen, um das Hintergrundbild, das Ihnen den abgesicherten Modus vorgaukelt, wieder auf einen normalen Hintergrund ändern zu können.

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"