Scareware: Der Zugang zu Ihrem Computer wurde gesperrt.

[Update: Hier noch eine neuere Variante der GEMA-Scareware]

Wieder erreicht mich ein Hilferuf zu einer Geiselnahme. Diesmal gibt sich der Erpresser als GEMA aus und erklärt: „Auf Ihrem Computer wurden illegal heruntergeladene Musikstücke („Raubkopien“) gefunden.“ Man hat nun die Möglichkeit das Lösegeld in Höhe von 50 Euro via paysafecard zu entrichten. Gut. Als erstes den Rechner im Abgesicherten Modus starten (F8 drücken vor dem Start von Windows). Im Profilordner des Benutzers unter

C:\Benutzer\<Benutzername>\AppData\Roaming

fällt mir schnell eine Datei mit dem nichts sagenden Namen k8rdift659c.exe auf, die sich mit dem GEMA-Logo als Icon schmückt. In der Windows-Registrierung unter

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

findet sich Eintrag mit dem kryptischen Namen 7Rxb5FismTZydeX, der auf o. g. Datei im Profilordner verweist und für den Start der Scareware bei der Benutzeranmeldung sorgt. Nach dem Löschen der besagten Datei und dem Schlüssel aus der Registrierung konnte der Benutzer sich wieder wie gewohnt anmelden. Ein Check bei VirusTotal offenbart, dass diese Scareware recht neu ist; sie wird von lediglich 2 von 43 Scannern identifiziert:

AntiVir
TR/Crypt.XPACK.Gen2
Kaspersky
HEUR:Trojan.Win32.Generic

Update:

Ich habe den Rechner noch einmal unter die Lupe genommen und weitere Schlüssel in der Windows-Registrierung gefunden, die auf die Datei k8rdift659c.exe  verweisen:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Beide Einträge können bedenkenlos gelöscht werden.

Windows Vista/7 Benutzerordner verschieben

Ich zeige kurz, wie man den Ordner mit den Benutzerprofilen (normalerweise C:\Users bzw. in der deutschen Version C:\Benutzer) an einen Ablageort auf einer anderen Festplatte/Partition verschiebt. Durch diese Trennung von Daten und Systemdateien ist es später beispielsweise einfacher das Betriebssystem neu zu installieren, ohne sich um die Daten kümmern zu müssen. In diesem Beispiel wird angenommen, dass die Benutzerprofile von c:\Users nach d:\Users bewegt werden sollen:

  1. Boot von einem Windows Vista/7 Installationsdatenträger
  2. Auswahl Computerreparaturoptionen
  3. Auswahl der Windowsinstallation
  4. Eingabeaufforderung
  5. Ausführen: robocopy c:\Users d:\Users /mir /xj /copyall
    • \mir spiegelt das Quell- in das Zielverzeichnis
    • \xj ingnoriert Abzweigungspunkte (Junktions)
    • \copyall kopiert alle Dateiinformationen
  6. Verschieben des Originalordners: ren c:\Users c:\Usersold (kann später gelöscht werden)
  7. Link anlegen: mklink c:\Users d:\Users /j
  8. Eingabeaufforderung mit exit verlassen und Rechner neustartet

Wenn anschließend alles wie gewohnt funktioniert, kann das umbenannte Originalverzeichnis c:\Usersold gelöscht werden.