Sie haben eine Benachrichtigung Ihres Internetproviders mit folgendem oder ähnliche Inhalt bekommen und sind sich nicht sicher, ob diese Benachrichtigung “echt” ist?

Sehr geehrter Herr ******
wir haben von spezialisierten Sicherheitsexperten Hinweise darauf erhalten, dass an Ihrem Internetzugang ein Computer betrieben wird, der durch die schädliche Software “Ramnit” (Online Banking Trojaner) infiziert wurde.

Tipp: Wie Sie gefälschte EMails erkennen können, lesen Sie in unserem Bericht über Phishing-Mails  bzw. rufen Sie bei ihrem Internet Provider an und erkundigen Sie sich.
Was ist Ramnit?
Die Ramnit-Infektion gehört wie Zeus und SpyEye zu den Banking-Trojanern und wurde im Jahr 2010 entdeckt. Er ist dazu spezialisiert, die Zugangsdaten vom Onlinebanking zu sammeln und wird auch dazu benutzt, in Bankensysteme und Firmennetze einzudringen. Ramnit versucht sich zu verbreiten, in dem er Windowsdateien, Office-Dokumente und ausführbare Programme auf dem PC infiziert.Verbreitet wird dieser Virus über Peer to Peer Tauschbörsen und  kompromittierte Links in EMails.  Über IRC und Backdoorfunktionalitäten kann der Angreifer Kontrolle über das kompromittierte System erlangen.
Überprüfung des Ramnit-Sample bei Virustotal.com

Anmerkung: Der Ramnit gehört zu den sogenannten File-Infectoren. Um es noch mal deutlich zu machen, diese Malware infiziert innerhalb kürzester Zeit, wie oben schon beschrieben sämtliche Windowsdateien, Office-Dokumente und ausführbare Programme auf dem Rechner. Bleibt bei der Bereinigung nur eine infizierte Datei auf dem System zurück, geht der Spuk von vorne los. Grundsätzlich sollte bei diesen Infektionen immer eine Neuinstallation angestrebt werden!

Im nachfolgenden zeigen wir Ihnen, wie Sie mit Hilfe des Tools HitmanPro Ihren Rechner auf eine Ramnit-Infektion hin untersuchen und diese entfernen.
1. Laden Sie HitmanPro herunter und starten Sie das Programm. Es erscheint folgender Bildschirm (Abb.1).

Beim unregistrierten Programm ist noch der „jetzt kaufen“ Button sichtbar – dieser verschwindet sofern man eine Lizenz erworben hat. Aber auch ohne erworbene Lizenz ist das Programm für Privatanwender 30 Tage lang uneingeschränkt lauffähig, was ausreichen sollte um einen akuten Infektion zu beseitigen. Sobald Sie auf den “Weiter“-Button klicken überprüft HitmanPro den Rechner auf Infektionen.
2. Sollten Sie mit Ramnit infiziert sein, sollte sich der Hintergrund des HitmanPro-Screens plötzlich rot färben (Abb.2) um einen Virenfund anzuzeigen. Am Ende des Suchlaufs von HitmanPro werden alle gefundenen Infektionen aufgelistet.

Bildschirmfoto 2013-05-07 um 16.41.03

Abb.2

3. Drücken Sie auf “Weiter” und Sie werden automatisch zur Aktivierung der Lizenz geführt (Abb.3). Nachdem Sie die Lizenz aktiviert haben, ist HitmanPro für den Privatgebrauch 30 Tage kostenfrei uneingeschränkt nutzbar.
hp_lizt

Abb.3

4. Der HitmanPro überprüft das System und findet bei unserem Beispiel über 738 Schadprogramme und knapp 2000 Spuren von Infektionen auf dem Rechner (Abb.4/5).
ramnit1

Abb.4

ramnit2

Abb.5

5. Mit “Weiter” werden die gefunden Infektionen vom HitmanPro entfernt (Abb.5). Je nach Art der Infektion wird der Computer neu gestartet. Nach einer erneuten Überprüfung mit dem HitmanPro (Abbb.6) werden keine weiteren Bedrohungen angezeigt. Allerdings werden viele Programme und Dokumente, die vom Ramnit kompromittiert waren, nicht mehr funktionieren oder wurden gänzlich gelöscht.
Bildschirmfoto 2013-05-28 um 10.54.03

Abb.6


Wie geht es weiter, nachdem ich mit HitmanPro mein System bereinigt habe?

  • Machen Sie regelmäßig Online Banking, setzen Sie sich umgehend mit Ihrer Bank in Verbindung und lassen Sich neue Zugangsdaten einrichten.
  • Ändern Sie alle anderen Onlinezugänge z.B. Facebook, Amazon u.a. von einer sauberen Umgebung aus.
  • Es kann durchaus sein, dass der Provider innerhalb 48Std. eine Rückmeldung erwünscht, informieren Sie Ihren Provider bevor dieser evtl. Ihren Internetzugang schließt.

Weiter sinnvolle Maßnahmen nach Neuinstallation des Rechners

  • Installieren Sie eine professionelle AV-Software und achten Sie darauf, dass diese immer aktuell und im Hintergrund (als Guard) mitläuft.
  • Überprüfen Sie Ihren Rechner regelmäßig auf Schadcode-Befall, und holen Sie sich hierbei IMMER eine zweite Meinung durch HitmanPro oder unsere DE-Cleaner ein!
  • Machen Sie bei unserem JAVA-Experiment mit und deinstallieren Sie JAVA.
  • Surfen Sie nicht mit einem administrativem Konto. Denn wenn Sie ohne Authentifizierung Programme installieren können, dann kann dies auch ein Schadprogramm.
  • Halten Sie Ihre Software aktuell: Hierbei hilft Ihnen z.B. CSIS Heimdal Security Agent.
  • Surfen Sie mit Mozilla’s FireFox? Dann greifen Sie auf die Browsererweiterungen wie Noscript, Adblock , WOT und  HitmanPro.Alert zurück.
  • Nutzen Sie die “Windows Systemwiederherstellung” und greifen Sie auf eine Imaging-Software zurück, beispielsweise Acronis. Beachten Sie hierbei, dass die Imageabbilder Ihre Passwörter und persönlichen Daten enthalten. Hier empfehlen wir den Einsatz von verschlüsselten Festplatten. Testen Sie das Einspielen der von Ihnen erstellten Systemabbilder (“images”) nach einem festen Zeitplan.
  • Öffnen Sie Dateien nur von vertrauenswürdigen Quellen und wenn Sie diese erwarten. Dies gilt für Datei-Anhänge aus E-Mails genauso, wie für Downloads aus dem World Wide Web. Meiden Sie Streaming-Platformen!
  • Sofern deine Bank eine Umstellung auf ein anderes TAN-Verfahren anbietet, solltest Sie auf SmartTAN wechseln!

Anmerkung des ABBZ: Wenn ihr Rechner mit dem Ramnit infiziert ist, bekommen Sie nur 100%ige Sicherheit, wenn Sie das System formatieren und neu aufsetzen! Unsere Experten im Forum helfen Ihnen gerne weiter!