abgekliert

Blog Angekliert Über abgekliert Übersicht


<< Android Schnäppchen >> Social Network Überdruss? So löst man das Problem!



Habe ich den Staatstrojaner?


Wenn man als Computerversteher gilt, erreichen einen ja immer wieder Anfragen aus der Verwandt- und Bekanntschaft bei IT-Problemen derselben. Im Moment dreht sich dabei viel um das Thema Staatstrojaner. Überraschend viele unbescholtene Bürger haben plötzlich Angst vom Staat ausspioniert zu werden. Wir leben in einem Land, in dem ein Verein mit einem "Chaos" im Namen höheres Vertrauen bei den Bürgern genießt, als die Regierung. Alleine das halte ich schon für bedenklich, aber es soll hier auch nicht das Thema sein. Die Anfragenden wollen einfach wissen, ob sie herausfinden können, ob sie den Staatstrojaner auf ihrem Computer haben.
Also grundsätzlich kann man das ganz leicht feststellen. Wie überall in den Medien berichtet handelt es sich um 2 Dateien: c:\windows\system32\mfc42ul.dll und winsys32.sys.
Um eine Infektion festzustellen, kann man nun einfach in c:\windows\system32 nachsehen. Allerdings kann sich der Trojaner selbst löschen. Es ist davon auszugehen, dass diese Fernlöschung auch bereits aktiviert wurde. Hier können Programme helfen, die gelöschte Dateien wieder herstellen. Aber Vorsicht: Das funktioniert nur, solange die gelöschten Dateien nicht überschrieben wurden. Jegliche Arbeit am PC verringert also die Wahrscheinlichkeit fündig zu werden. Also im Zweifelsfall lieber gleich statt morgen prüfen. Hier eine Kurzanleitung für Recuva. Das ist so ein Wiederherstellungsprogramm, die Wahl fiel mehr oder weniger zufällig auf dieses. Download bei Chip. Es ist Freeware. Prinzipiell würde ich ja nicht einfach irgendwelche Programme aus dem Internet installieren, da die Wahrscheinlichkeit sich so einen Trojaner einzufangen deutlich höher ist, als den Staatstrojaner am Rechner zu haben. Aber ich vertraue hier mal auf die Kompetenz der Chip-Redakteure.

Nach dem Start erscheint ein Assistent. Bei diesem wählen wir als Dateityp "Other":

Bei der Auswahl des Dateiorts wählen wir "In a specific location" und dort das Verzeichnis "C:\Windows\System32":

Die Frage nach dem "Enable Deep Scan" ignorieren wir erstmal.
Recuva scannt dann in kurzer Zeit und findet auch vermutlich einige Dateien.

Ist mfc42ul.dll schon dabei? Dann ist es ein Treffer.
Falls nicht: Klick rechts oben auf "Erweiterte Einstellungen". Dann im  neuen Fenster an fast dergleichen Position gleich nochmal auf  "Einstellungen".
Dort wählen wir im Reiter "Aktionen" die ersten 4 Häkchen an.

Hinweis: Wird der 5. Punkt "Scan for non-deleted files" ausgewählt, werden in der Ergebnisliste *alle* Dateien angezeigt. Das sind natürlich sehr viel mehr als nur die gelöschten. Falls man noch nicht direkt in Windows/System32 nach den Dateien gesucht hat, kann man das auch so machen, indem eben die nicht gelöschten Dateien eingeschlossen werden.
Wenn das Einstellungsfenster geschlossen wird, sieht es ungefähr so aus:

Nun klicken wir auf das rote Kreuz hinter "C:\Windows\System32". Das ist nämlich ein Suchfilter. Durch den Klick schalten wir diesen ab und sehen alles:

Jetzt ein Klick auf "Scan" um mit den neuen Einstellungen die Festplatte nochmal zu durchsuchen. Das kann etwas dauern. Danach sehen wir eine Liste aller Dateien. Das ist recht viel, zum Glück gibt es aber ja den Suchfilter. Wir klicken also auf das Feld mit der Lupe und geben "mfc42u*" ein.

Angezeigt werden nun alle Dateien, die so beginnen. Bei mir sind das glücklicherweise keine. Also kein Staatstrojaner. Der wäre vermutlich bei mir auch nicht gelaufen, wie die Profis sicher an den Screenshots erkennen. ;-)

Alle Details zur Analyse des Staatstrojaners gibt es beim CCC in diesem PDF.




Artikel veröffentlicht von Horst am 12.10.2011 um 14:04 Uhr.

Noch kein Kommentar.

Permalink Trackback URI

Tags:
internet virus hacker




Ähnliche Beiträge:

Noch kein Kommentar. Sei der Erste!

Der Beitrag ist älter als 30 Tage. Keine Kommentare mehr möglich.