Wie Computerbase geschrieben hat, sind 2 Modifikation (Mods) für das Computerspiel GTA (Grand theft Auto) 5 mit einem Trojaner ausgeliefert worden. Der Virus kann nicht nur Zugangsdaten mitschneiden, sondern auch direkt von Eurem System aus Spam über Facebook, Twitter oder Steam verteilen. Betroffen sind die Modifikationen ‘No Clip’ und ‘Angry Planes’.
Wenn Ihr eine der Modifikationen installiert habt oder hattet, solltet Ihr gemäß der Anleitung von “gtaforums.com” euer System überprüfen. Da diese Anleitung ausschließlich auf Englisch verfügbar ist, stellen wir hier eine Übersetzung bereit. Auf diesem Wege vielen Dank an den Forenbenutzer “aboutseven” der den Originalbeitrag geschrieben hat.
WICHTIG: Solche Anleitungen sind für Benutzer gedacht, die sich sicher im Umgang mit Ihrem Computer sind. Sollten Sie Bedenken haben oder auf Nummer sicher gehen wollen, dann besuchen Sie lieber unser Forum unter botfrei.de/forum. Dort helfen Ihnen unsere Moderatoren dann mit einer kompletten und individuellen Analyse Ihres Systems und auch der Entfernung der Schadsoftware.
Was muss ich tun, wenn mein Antivirus die Dateien bereits entfernt hat?
Wenn das der Fall, dann geht die Anleitung bitte dennoch weiter durch. Es ist sehr wahrscheinlich, dass noch Dateien vom Antivirus übersehen wurden.
Was muss ich tun, wenn ich die Dateien nicht finde, obwohl mein Antivirus nichts entfernt hat?
Wenn Ihr die Modifikationen nutzt oder genutzt habt, dann kann euer System dennoch gefährdet sein. Eine Selbstzerstörungs-Funktion kann den Virus von eurem System entfernen. Ändert in dem Fall dennoch eure Passwörter mindestens zu GTA 5, Facebook, Twitter und Steam aber auch zu anderen Diensten, die Ihr während der Zeit genutzt habt.
Anleitung zur Entfernung des Virus
HINWEIS: Wenn Ihr die Dateien die hier beschrieben werden nicht findet, dann kann der Virus dennoch auf eurem System gewesen sein. Ändert in diesem Fall dennoch eure Passwörter.
Erst wird das Dateisystem aufgeräumt
- Öffnet den Prozess- bzw. TaskManager über [STRG]+[SHIFT]+[ESC] oder über das Menü mit der rechten Maustaste auf der Taskleiste.
- Sucht im Prozess-Manager die Prozesse csc.exe und fade.exe und beendet diese.
- Öffnet das Verzeichnis ‘C:Benutzer”Euer Benutzername”AppDataLocalTemp’.
- Schaltet die Verzeichnisansicht auf “Details” um und sortiert, die Ansicht dann nach Datum.
- Relativ neu solltet Ihr dort die Dateien .z und init.exe finden. Die Namen können aber auch etwas variieren wie .x. statt .z. Findet und löscht die Dateien.
- Manche Benutzer berichten auch von Archiven ohne Namen “.zip” oder “.rar” Dateien. Auch diese Dateien löscht Ihr.
- Dann sucht in dem gleichen Verzeichnis nach neu erstellten Verzeichnissen. Der Inhalt sollte in etwa so aussehen:
- Löscht hier das komplette Verzeichnis.
- Einige Benutzer berichten auch von einer infizierten ‘GTA5.exe’ innerhalb des Installationsverzeichnisses von GTA 5.
- Navigiert in das Verzeichnis ‘C:Program Files (x86)SteamsteamappscommonGrand Theft Auto Vx64 und löscht die darin befindliche Datei ‘GTA5.exe’.
Jetzt säubern wir noch die Registry.
- Öffnet dazu den Registry-Editor. Tippt dazu einfach über die Windows-Suche regedit ein und öffnet das Programm.
- Geht hier zuerst auf HKEY_USERS und dann auf das Verzeichnis ohne ‘Classes’ am Ende. Dann navigiert zu ‘Software’ > ‘Mircosoft’ > ‘Windows NT’ > ‘CurrentVersion’ > ‘Winlogon’ (Pfad: ‘SoftwareMicrosoftWindows NTCurrentVersionWinlogon’). Ihr seht den Schlüssel auch auf dem folgenden Bild:
- In diesem Schlüssel angekommen öffnet Ihr den Schlüssel ‘Shell’.
- Entfernt hier am Besten alles hinter “explorer.exe”.
- Danach geht es in den Registierungsschlüssel ‘HKEY_CURRENT_USER’ > ‘Software’ > ‘Microsoft’.
- Schaut hier nach Schlüsseln mit dem Namen ‘Fade’ oder ‘Leep’ und löscht diese.
Die Nacharbeit
- Zu guter Letzt solltet Ihr natürlich auch die beiden Modifikationen entfernen. Deinstalliert also die GTA 5 Modifikationen ‘No Clip’ und ‘Angry Planes’.
- Lasst jetzt nochmal einen Anti-Virus und am besten einen Zweite-Meinungs-Scanner über euer System laufen. Wir empfehlen dazu einen unserer EU-Cleaner.
- Startet euren Computer neu und überprüft erneut im Task-Manager ob kein Prozess mit dem Namen fade.exe auftaucht.
- Ändert Eure Passwörter. Die Malware enthielt einen Keylogger, der jede Tastatureingabe Eures Computers aufzeichnen konnte. Ändert also alle eure wichtigen Passwörter, zumindest aber die von
- Facebook,
- Twitter und
- Steam
- Überprüft am besten auch ob Ihr über Facebook, Twitter oder Steam Spam versendet habt und informiert die entsprechenden Personen die von Euch (über den Virus) angeschrieben wurden.
Fühlst du dich jetzt wieder sicher?
Wenn Du auch nur den geringsten Zweifel daran hast, dass Dein Rechner nach dieser Anleitung immer noch infiziert ist, dann empfehlen wir Dir entweder den Computer komplett neu zu installieren oder Deinen Computer individuell von den Experten in unserem Forum untersuchen zu lassen.