Neulich wurde ich zu einem Notfall mit einem Verschlüsselungstrojaner gerufen, Der Kunde hatte die große (und nicht ganz unberechtigte) Sorge, dass seine Daten auch auf dem Server verschlüsselt werden könnten.

Glücklicher Weise hatte in diesem Fall der Virenscanner (F-Secure) ganze Arbeit geleistet und den Schädling um 16:04:57 unschädlich gemacht. Kurz nachdem der Virus auf dem System aktiv wurde.

Das Problem für den Anwender war jedoch, dass er immer noch eine Seite innerhalb seines Webbrowsers angezeigt bekam. Die Seite liegt im lokalen Cache und wurde für jeden Benutzer welcher sich am System angemeldet hat sichtbar.

Die Analyse mit Autoruns von Sysinternals erbrachte folgendes Ergebnis.

An jeweils 2 Stellen wurde die gleiche Nachricht insgesamt 3x verlinkt

• 1x als HTML (Screenshot oben)
• 1x als PNG
• 1x als Text-Datei

Die Einträge wurden von mir erst einmal deaktiviert (Haken raus in der Checkbox) und darüber hinaus nochmals mit autoruns der Benutzer explizit angeschaut. Hierzu muss man im Menü User auf den entsprechenden Benutzer umschalten.

Natürlich waren hier ebenfalls noch die Einträge zu finden …

… und wurden gleich entsprechend gelöscht.

Da ich den Virenscanner in diesem Fall vertraue, dennoch 100% sicher gehen wollte das nichts mehr auf dem System zurück bleibt, habe ich mich zu folgenden Maßnahmen entschieden:

1. Löschen der Dateien aus der Quarantäne des Virenscanners (weg ist weg)
2. Löschen aller Benutzerprofile
3. Anmeldung mit einem neu erstelltem Benutzer (mit lokalen Admin Rechten) und löschen des Benutzerprofiles mit dem die Analyse durchgeführt wurde

Prinzipiell hätte das Löschen der Einträge über Autoruns ausgereicht – da ich aber vor kurzem mit einem TeslaCrypt gekämpft hatte wollte ich hier auf Nummer sicher gehen.

Enjoy it, b!