Mein Rootkit und ich

Ich habe mir ja am Mittwoch kurzfristig einen neuen Laptop zugelegt. Der funktioniert auch ganz prima, und an den Touchscreen und den Tab-Betrieb kann ich mich wirklich gewöhnen. Ein Problem gab es dann allerdings doch…Am Freitag fiel mir erstmals auf, dass die NoScript-Erweiterung des Firefox-Browsers ein seltsames Script anzeigt, und zwar auf vielen Seiten. „best-deals-products“ nannte sich das ganze, und es wurde offenbar vielen Seiten einfach hinzugefügt (und nur durch NoScript an der Ausführung gehindert). Das klingt natürlich spontan nach Spam, Malware, Browser Hijacking und ähnlichen schlimmen Dingen. Hatte ich mir etwa in den drei tagen schon eine Schadsoftware eingefangen? War ich irgendwo unaufmerksam gewesen? Mit fiel nichts ein, aber das Problem war nun da.

Ich habe mir also erstmal im Netz die Standardprogramme besorgt, mit denen man so etwas los wird (Malwarebytes und AdwCleaner), die haben sogar etwas gefunden und beseitigt, aber das Problem, nämlich das seltsame Script, verschwand nicht. Ich fand noch einige Stellen in der Registry, die ich entfernte, aber auch das half nicht. irgendwie hatte sich da ein Schadprogramm ganz tief in meinem System eingenistet! Ich beschloss also, zu härteren Mitteln zu greifen.

Systemreset! Ich nutzte die Möglichkeit, das System mit Bordmitteln neu aufzusetzen. Das sollte doch auch die hartnäckigste Schadsoftware kleinkriegen. Ich ließ das ganze also durchlaufen, meldete mich in Windows wieder an und installierte erst einmal Firefox mit NoScript, um das Vorhandensein des Scripts zu prüfen. Fehlschlag! Bei meinem neu und frisch zurückgesetzten System wwar das seltsame Script sofort wieder vorhanden. Da war doch etwas faul!

Ich wühlte dann mal etwas weiter und tiefer im Netz und fand Erschreckendes heraus. Wie es aussieht, ist das seltsame Script gar keine externe Schadsoftware, sondern ein vom Hersteller (!) installiertes Rootkit (also ein beim Booten schon mitgeladenes Programm), das möglicherweise dazu dient, das Einkaufsverhalten der Nutzer auszuspionieren und möglicherweise damit Geld zu verdienen. Dieses Script scheint sich nur bei Besitzern von Lenovo-Rechnern zu finden, da aber häufig (wobei die meisten Nutzer wohl nie merken werden, dass es existiert). Und das würde natürlich auch erklären, warum es beim zurückgesetzten System sofort wieder da ist – die Recovery-Partition ist natürlich von Lenovo bereitgestellt. Das ist schon ein Ding!

Ih habe darüber nachgedacht, den Rechner wieder zum Händler zu tragen und zurückzugeben – aber mittlerweile mag ich die Kiste und möchte sie nicht wieder abgeben (und ich habe mittlerweile den nötigen Adapter für die Beamer in der Schule). Zum Glück fand sich im Netz ein Hinweis, wie es klappen könnte: Eine saubere Neuinstallation von Windows. Gesagt, getan! Den Code hatte ich, einen Installations-USB-Stick konnte ich mithilfe der Microsoft-Webseite leicht erstellen, und so habe ich heute meinen neuen Rechner zum zweiten Mal in drei Tagen neu aufgesetzt. Und wie es aussieht, hat es funktioniert: Die Lenovo-Anmeldung kam diesmal gar nicht auf den Tisch, und das seltsame Script ist nicht zu sehen. Ich vermute mal vorsichtig, dass ich jetzt Ruhe habe.

Jetzt muss ich nur noch ein bisschen Software installieren, und dann ist mein neues Arbeitsgerät hoffentlich komlett einsatzbereit. Daumen drücken!

P.S.: Ich werde die Tage noch eine gepfefferte Mail an Lenovo schreiben. So eine Dreistigkeit!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.