die Erpresser werden schlauer...

... wenn auch nicht viel.
Eine neue Variante der UKash-Erpresser-Trojaner ist im Umlauf. Gerne wird er über einschlägige Porno-Sites verteilt, aber auch über die unvermeidlichen EMail-Anhänge.
Diesmal meldet der Trojaner sich mit dem hübschen Antlitz von Frau Merkel und will 100,- Eu. über Paysafecard.....

GVU-Trojaner mit Merkel-Bild

Das Muster der Infizierung ist immer noch das gleiche, aber die Entfernung erfordert minimal mehr Aufwand:
Konnte man die alten Varianten noch im "abgesicherten Modus mit Eingabeaufforderung" nach Start von Autoruns oder CCleaner aus dem automatischen Start nehmen, so sorgt die neue Variante dafür, daß der Rechner nach Start des abgesicherten Modus sofort wieder herunterfährt.
Einfachste Möglichkeit hier ist ein Zurücksetzen des System auf einen früheren Wiederherstellungspunkt (so man denn einen hat). Der Trojaner ist dann zwar immer noch auf der Platte, kommt aber beim Starten nicht zur Ausführung - Jetzt kommt der ausführliche Virenscan zum Zug und killt das Ding. Ende des Spuks.

Also erstmal den Rechner ausmachen und mittels gedrückter F8-Taste neustarten - es erscheint das Windows-Startmenü:

Nach F8 - hier Computer reparieren wählen

Im Startmenü wählt man die Computerreparatur (wichtig: es gehen nur die Pfeiltasten und Enter), die sich dann gegebenenfalls mit der Anmeldemaske für den Benutzer meldet.

hier Systemwiederherstellung wählen

 Hier wählt man die Systemwiederherstellung.

hier einen Punkt auswählen und "Weiter"

Hier wählt man einen Wiederherstellungspunkt vor der Infektion aus und startet die Wiederherstellung.

Nach deren Abschluß bleibt nur der Computerneustart.








Jetzt sollte Windows wieder wie gewohnt starten (evtl. fehlen einige Updates, die kommen aber wieder) und man kann mit der Reinigung loslegen.
Für den Virenscan sollte man erstmal seinen eigenen Virenscanner im Vollscan nutzen (nach Update) und zusätzlich mindestens einen zweiten als on-demand-Variante. Ich nehme dafür ganz gerne Malwarebytes Antimalware (neu als Chamäleon) oder McAfee's Stinger oder Kaspersky's Virus Removal Tool. Oder einfach alle drei. Das wars.

die vermaledeite Startseite....

Oh, ein Update für Avira, gut, so bleibt mein Antivirenprogramm auf dem neuesten Stand, wunderbar, gleich machen...... weiter..... weiter.... weiter..... fertigstellen. Prima.
So noch schnell ins Netz, was googeln, oh, was ist das denn, sonst kam doch immer google.de als Startseite, was um alles in der Welt ist Ask???
So oder so ähnlich könnte es gewesen sein, man installiert ein neues Programm oder aktualisiert wie im Beispiel den Virenscanner und hat plötzlich eine veränderte Startseite. Wie kommt das und was soll das? Nun ja, ganz einfach, der Suchmaschienenbetreiber ASK verdient natürlich Geld mit seiner Seite (wie Google übrigens auch), daß heißt er hat natürlich ein Interesse daran, daß möglichst viele Nutzer die Suche auf seiner Seite benutzen. Also geht er Partnerschaften mit Anbietern kostenloser Software ein, die dem Nutzer dann bei der Installation ihrer Programme z.B. die Startseite auf Ask umbiegen. So hat auch der Anbieter kostenloser Software was davon.
Was mach man dagegen? Nun als erstes gilt wie immer aufpassen beim Installieren von Programmen und IMMER die sog. benutzerdefinierte Installation wählen. Hier werden einem die Voreinstellungen gezeigt und man kann Zusatzbestandteile, die man nicht braucht abschalten - z.B. die veränderte Startseite, Toolbars, etc.
Was wenn das Kind schon in den Brunnen gefallen ist? Das setzen der Startseite ist bei den meisten Browsern relativ einfach. Am besten man gibt in der Adresszeile erstmal die gewünschte Adresse ein (hier im Bild ist das die Google-Suche im Firefox) und bestätigt mit Enter - die Seite wird geöffnet!



Die gewünschte Startseite wird also angezeigt. Jetzt sucht man die Einstellungen des Browsers

Im Einstellungen - Fenster kann man beim Firefox oben mehrere Knöpfe finden - wir brauchen den Knopf Allgemein und wenn wir hier auf den Knopf Aktuelle Seite verwenden klicken, ist die gewünschte neue Seite eingerichtet. Mit OK bestätigen und das wars - ab sofort begrüßt uns Firefox wieder mit der gewünschten Startseite... bis zum nächsten Mal.

Office 2010 Starter unter Windows 8.1 nutzen

Nutzer des kostenlosen Officepakets MS Office Stater 2010 unter Windows Vista oder Windows 7 würden ihre Starter-Lizenz (Ja, auch Sie haben eine Lizenz - das vorinstallierte Programm ist an Ihren

Rechner gebunden!) auch gerne unter einem Windows 8 oder sogar Windows 8.1 weiternutzen.
Windows 8 machte da auch keine größeren Probleme, man musste nur das Installationsprogramm SetupConsumerC2ROLW.exe  im sogenannten Kompatibilitätsmodus für Windows 7 oder Vista starten und schon liefs - relativ problemlos. Unter Windows 8.1 hat Microsoft dem einen Riegel vorgeschoben: die Installation bricht mit einer Fehlermeldung bezüglich falscher Windows-Version ab! Wohl dem, der das Starter-Paket noch auf Windows 8 installiert, an das Update gedacht und erst dann auf 8.1 aktualisiert hat......
Ach sie haben auch nicht dran gedacht und jetzt streikt die Installation von Office Starter???
Na da helfen nur folgende Anweisungen:
1. Sie besitzen die Installationsdatei  SetupConsumerC2ROLW.exe  noch (gibts nicht mehr bei MS)
2. Sie finden irgendwo im Internet die Datei  Office-2010-Starter-Win8.1_Patch.zip.  Diese enthält ein kleines Programm, welches in der Lage ist die Abfrage der Windows-Version aus dem Installationspaket zu entfernen (Unbedingt auf Viren prüfen)
3. Sie nutzen das Programm und installieren dann das Office-Starter auf Windows 8.1
3a. wenn die Installation wegen fehlender Office-Dateien abbricht dann hilft einem das
Office 2010 Starter Offline Setup Tool  (kann man finden) die Dateien direkt von MS nachzuladen
dann nochmal versuchen zu installieren.
4. Sie laden sich bei MS das Update KB2598285 und installieren dieses
5. Sie erfreuen sich an Ihren Office Starter 2010

!!UPDATE !! 03.05.2016
Diese Vorgehen klappt übrigens auch noch unter Windows 10!

!!UPDATE !! 02.08.2016
Bei den neuesten  Windows 10 - Versionen klappts leider nicht mehr unbedingt. Eine bestehende Installation wird allerdings auch hierher übernommen. Das Ende für Office 2010 Starter rückt also näher. Schade.

Routersicherheit: Fritz!Bot und andere...

Anfang diesen Jahres wurde eine Schwachstelle public, welche bis dahin seit Jahren schon in den Fritz!Boxen des Herstellers AVM schlummerte. Angreifer konnten über eine manipulierte Internetseite auf die Konfiguration des Routers zugreifen und diese fast nach Belieben verändern. Zum Beispiel wäre es möglich den gesamten Netzwerkverkehr abzuhören oder den Router dazu zu bringen kostenpflichtige Telefonnummern anzurufen oder noch ganz andere Dinge...
AVM hat zügig reagiert und ein Update für die betroffenen Boxen bereitgestellt. Anwender von Zwangs-Fernverwalteten Geräten (die meisten Kabel-Kunden zum Beispiel) waren sehr schnell aus dem Schneider, deren Anbieter hat das Update zügig auf die Fritz!Box geschoben und das Problem damit erstmal aus der Welt geschafft.

heise security - Fritz!Box check

Fritz!Box-Nutzer von herkömmlichen Anschlüssen (T-Online, 1und1 etc...) müssen sich aber selbst drum kümmern, daß Ihr Router auf den neuesten Stand kommt.

Scan-Ergebnis positiv

Anleitung dazu findet man HIER bei AVM - ebenso eine Liste aller betroffenen Modelle mit Hinweisen zum Update. Ob Ihr Router verwundbar ist läßt sich auch sehr einfach beim Netzwerkcheck von heise security testen. Dazu einfach http://ct.de/fritz aufrufen und wie im Bild gezeigt den Scan starten.
Sollte das Ergebnis so aussehen wie in meinem Bild, laufen die bis dahin bekannten Angriffe einfach ins Leere.
Sollte aber die rot unterlegte Meldung erscheinen
"Sie sind verwundbar"
dann sollten Sie dringend handeln und Ihren Router wie im AVM-Link oben beschrieben auf den neuesten Stand bringen. Die Gefahr, daß Ihr Roiuter Opfer einer Attacke wird ist längst nicht mehr theoretischer Natur. Angreifer nutzen die Lücken bereits aktiv aus um Passwörter abzufangen oder ähnliches.
Aber nicht nur Fritz!Boxen sind betroffen von möglichen Schwachstellen. Mehr oder weniger alle Hersteller werden früher oder später Opfer von Fehlern. Gute Hersteller aktualisieren!
In diesem Sinne - prüfen Sie Ihren Router regelmäßig auf Updates und installieren Sie diese!

United Internet legt sich mit AdBlock Entwicklern an

Die Online Portale der vielgenutzen Mailanbieter GMX und Web.de warnen Ihrer Nutzer in letzter Zeit beim Besuch ihrer Portalseiten vor gefährlichen Browser-Addons welche Daten stehlen könnten oder unerwünscht Werbung einblenden.

Web.de Einblendung wegen AdBlock Plus
Bild von soeren-hentzschel.at

Genaueres dazu erfährt man in diesem Artikel bei Golem. Gewarnt wird in diesem Zusammanhang auch vor AdBlock Plus, einem Addon, welches dazu gedacht ist nervige Werbung bei Internetseiten auszublenden bzw. gar nicht erst zu laden. Also durchaus nützlich.... für die Kunden, nicht so für die Portalbetreiber, denen gehen auf dem Weg natürlich Werbeeinnahmen verloren.
Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht keine Gefahr im Werbeblocker, nein, es empfiehlt sogar ausdrücklich dessen Nutzung zusätzlich zu Virenscannern.
Also bitte, glauben Sie den Portalen nicht unbedingt wenn es um Warnungen geht, solange klar wirtschaftliche Interessen dahinterstehen - der Schuss könnte nach hinten losgehen.

Die AdBlock-Macher wehren sich inzwischen, indem sie die von Leisten von Web.de und GMX über zusätzliche Listen ebenfalls blockieren können.
Selbst Antivirenhersteller reagieren darauf und blockieren die verlinkte Seite mit dem Hinweis: "Es handelt sich hierbei um eine bekannte Phishing-Seite"

Nachtrag: United Internet hat inzwischen eingelenkt und ihre Meldungen überarbeitet.

.exe versehentlich mit anderem Programm verknüpft

Der Rechner startet, aber irgendwas ist komisch.... statt der normalen Icons hat er plötzlich lauter kleine Notepad-Icons oder PDF-Icons oder was auch immer. Außerdem gehen gleich nach dem Start unheimlich viele Fehlermeldungen auf von wegen "Datei hat das falsche Format" oder "Datei konnte nicht geöffnet werden"...

Die Ursache ist ganz einfach, die Dateien mit der Endung .exe wurden schlicht mit einem Programm verknüpft, mit dem sie nicht geöffnet werden können - z.B. mit dem Acrobat Reader oder Notepad.

Problem: man kann jetzt natürlich auch kein anderes Programm mehr auf normalem Wege starten, welches mit der Endung .exe daher kommt.Auch Virenscanner, Browser und die meisten Werkzeuge versagen so ihren Dienst.
Abhilfe schafft hier die Systemwiederherstellung, die einen Zustand vor dem Problem wiederherstellt. Aber was ist wenn wir die Wiederherstellungspunkte grade gelöscht haben, oder schlicht nie welche angelegt?
Auch selber in der Registry hantieren ist nicht ungefährlich und mangels "RegEdit.exe" ohnehin nicht möglich.
Zum Glück hat Microsoft hierfür ein sogenanntes "FixIt" bereitgestellt, das das Problem selbstständig löst. Hierzu unter http://support.microsoft.com/kb/950505/de den großen "FixIt" Knopf drücken und das Programm downloaden und ausführen und alles mit "OK" und "Weiter" bestätigen. Das FixIt - Programm kommt als MSI-Datei, die ja nicht von dem Endungs-Problem betroffen sind und läßt sich deswegen auch problemlos ausführen. Nach einenm Neustart sind die genannten Probleme behoben.

Für die kaputten Verknüpfungen BMP, COM, Ordner, Laufwerk, GIF, ICO, IMG, INF, JPG, JS, MSC, REG, SCR, TIF, TXT, VBS, ZIP hat The Windows Club unter diesem Link ein Reparaturprogramm veröffentlicht, welches auch diese Probleme löst.
Für alle anderen Endungen die jetzt noch fehlen kann man bei winhelponline oder im windows-7-forum Hilfe finden.
Eine gute Hilfe für falsche Zuordnungen oder falsche Symbole bietet auch ExtMan

Nachtrag: Sollte die Dateiendung LNK falsch verknüpft sein, so handelt es sich hier um die Desktopsymbole die direkt ein Programm starten, aber eben nur auf dieses zeigen (und es dann von da starten). Abhilfe schafft hier nur ein Eingriff in die Registrierungsdatenbank:
START --> Ausführen --> Text eingeben: regedit
und links in der Baumstruktur diesen Eintrag finden:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\FileExts\.lnk\UserChoice
Den ganzen Ordner UserChoice links löschen und abmelden/neustarten. Das war.