Privacy Center, Control Center – ekelhafter Virus als Antivirusprogramm getarnt
19.01.10 (PC Probleme)
In den letzten Monaten häuften sich wieder Kundenanfragen wegen einer wirklich unangenehmen Verseuchung ihres Rechners mit einer Software, die als Antivirus- und Systemschutzprogramm daher kommt, in Wirklichkeit aber selbst ein Schad- und Betrugsprogramm ist. In einigen Fällen ist eine Bereinigung möglich, mit Glück kommt man um eine Neuinstallation von Windows herum. Ich hatte schon im November 2008 einen Artikel darüber verfasst, jetzt gibt es neue Versionen
Es kann schon das Anklicken eines Links in einer Mail genügen und beim nächsten Neustart von Windows poppen penetrant Fenster auf, die zum Aktivieren der “Antivirus-Software” auffordern bzw. warnen, dass der Computer total verseucht sei und man jetzt gegen Kreditkartenzahlung alles bereinigen könne.
Das Unangenehme dabei ist, man bekommt die Fenster nicht mehr weg. Sie lassen sich nicht schließen und die Prozesse kann man oft auch über den Taskmanager nicht beenden. Das Programm startet auch im abgesicherten Modus und so ist auch dort eine Bereinigung nicht möglich. Was tun? Da diese Schadprogramme sich in der Regel in einem Temp-Verzeichnis befinden, muss man das als Erstes löschen. Um das durchführen zu können, muss man den Rechner mit einer Boot-CD starten und unter dem gebooteten System auf die Festplatte zugreifen. Ich benutze hierfür eine selbst erstellte Bart-CD. Mit deren Hilfe kann man den Temp-Ordner löschen. Der liegt bei XP in C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\, bei Vista und Win7 liegt er in C:\Users\Username\AppData\Local\. Dann hat man den ersten Schritt geschafft. Auf der Bart-CD befindet sich auch ein Programm, mit dem man die Registry editieren kann. In den Autostarteinträgen fand ich dann auch den Übeltäter namens ccmain.exe. Das Perfide dabei ist, dass viele wichtige Programmdateien von Norton Sicherheitssoftware auch mit "cc" beginnen. Der Pfad war bei dem XP-Rechner folgender: C:\Dokumente und Einstellungen\Username\Anwendungsdaten\controlcenter. Diesen Ordner wurde ebenfalls von mir gelöscht und die Registry von Einträgen der Software gesäubert. Dann konnte neu gestartet werden und der Rechner war von dem Übel befreit. Leider führt die Methode nicht immer zum Erfolg, wenn der Rechner schwerer verseucht ist, muss man die Daten sichern und Windows komplett neu installieren.
Wem das alles zu kompliziert ist, sollte meines Erachtens von "Removal-Programmen" trotzdem Abstand nehmen. Oft sind das selbst Schadprogramme oder "zerschießen" Windows derart, dass es nicht mehr startet. Da hilft nur ein fachkundiger Bekannter oder Dienstleister.
Übrigens, auf dem beschriebenen Rechner lief Norton Internet Security 2009 mit aktuellen Virendefinitionen. Er hatte nichts erkannt und meine Erfahrung ist, dass bei dieser Art von Schadsoftware auch andere renommierte Hersteller wie Kaspersky, GData oder Antivir Premium komplett versagen.
22.02.10 um 02:11
Meine Freundin hatte genau dieses Problem! Konnte aber alles, auch ohne Removal-Programmen, Live-CD oder bootfähigem USB-Stick loswerden. Zum Glück war der Virus noch nicht in einem so fortgeschrittenem Status, dass er auch im Abgesicherten Modus ausgeführt wurde. Daher konnte ich von dort aus, mittels mehrerer Antiviren-Programme, “Lösch”-Software und Anleitungen aus dem Internet alles loswerden!
Man lernt nicht aus. Daher habe ich nun einen USB-Stick zuerst auf FAT32 formatiert, dann bootfähig gemacht und schließlich mit Puppy Linux versehen. Das perfekte Notfallbetriebssystem also mit eigener Firewall, Antiviren-Programmen,…etc. Kann ich nur empfehlen!
lg,
Lukas
15.08.11 um 16:09
Ich habe mir auch das Problem eingefangen und komm auch nicht mehr in meinen Rechner hinein. Wie kann ich nun unkoplizert diesen Virus loswerden und meinen Rechner wieder benutzen. Mir schein eine Neuformatierung etwas zu krass. Da muss es doch andere Wege geben, um meine Daten nicht zu verlieren. Kann mir da jemand behilflich sein.
LG
Alexander