GOMEO Virus - Antivirus wurde deaktiviert

Viren und Trojaner sind nicht nur lästig und beeinflussen die Systemleistung, sondern sollten nicht unterschätzt werden. Oftmals senden sie Ihre vertraulichen Informationen und Passwörter unbemerkt weiter. Das Entfernen ist häufig nicht möglich, und eine Neuinstallation ist nicht immer die richtige Lösung.

Ein Fall aus unsere Praxis macht dies deutlich. Einer unserer Kunden wollte ein Patch für ein Programm installieren, die Quelle des Patches war unbekannt. Ein aktuelles Anti-Viren-Programm war installiert, doch Warnungen wurden ignoriert. In dem Rechner war mehr als eine Festplatte installiert und die Option einer Neuinstallation war deswegen nur mit begrenzten Erfolg möglich. Unser Team nahm den Kampf mit dem Virus auf.

Folgende Anzeichen zeigten sich nach dem Befall mit dem sogenannten Gomeo-Virus:

Das Sicherheitscenter wurde deaktiviert und ließ sich manuell starten, wurde aber sofort wieder ausgeschaltet.

Google Anfragen wurden auf zufällige Seiten umgeleitet oder man landete wieder auf der Google-Hauptseite.

Popup-Fenster öffneten sich in unregelmäßigen Abständen ungewollt und zeigten verschiedene Werbungen an.

Der Virenscanner wurde ausgehebelt und fand keine Bedrohungen auf dem System.

Alle Versuche des Kunden den Virus selbstständig zu entfernen schlugen fehl. Es wurde versucht, mit einer LiveCD den Virus zu beseitigen, eine Systemwiederherstellung war nicht möglich, die Windows Reparaturfunktion über eine Notfall-CD schlug fehl und selbst das Reparieren oder Löschen des MBRs der Festplatte wurde verweigert.

Das Team des Computer Notdienst Dortmund stellte fest, dass es sich hierbei um einen BootKit handelte, der sich meisterhaft tarnt und sich in Bereiche der Festplatte schreibt, auf die herkömmliche Virenscanner keinen Zugriff haben. Durch unser Wissen und unsere Erfahrung konnten wir den Virus entfernen und somit dem Kunden wieder ein bereinigtes System ohne Datenverlust und Neuinstallation zur Verfügung stellen.

Die Programmierer des GOMEO-Virus wurden mittlerweile gefasst und inhaftiert. Die NASA war behilflich bei der Verfolgung.