Leider müssen wir immer wieder auf gefährliche Abzock-Maschen hinweisen, mit denen arglosen Anwendern das Geld aus der Tasche gezogen werden soll.In diesem Beitrag geht es erneut um scheinbare Tools zur Systemoptimierung, deren einziger Zweck es ist, den Anwender in Angst und Schrecken zu versetzen, um ihn zum Kauf völlig nutzloser Software zu bewegen.
Im aktuellen Fall geht es um ein Programm mit dem Namen "WinScan", welches vorgibt, das System auf verschiedene Probleme wie Fragmentierung, falsche Sicherheitseinstellungen, Registryfehler und veraltete Treiber zu untersuchen - selbstverständlich wird es dabei auch fündig.
Damit der Anwender die angezeigten Probleme auch glaubt, wird außerdem eine dll-Datei in den Explorer-Prozess eingebunden, die sogleich damit beginnt, willkürlich frei erfundene Fehlermeldungen anzuzeigen:
Doch damit nicht genug - am Ende des Durchlaufs wird der Computer neu gestartet, vorher wird aber noch das Hintergrundbild geändert, so dass dem Anwender nach dem Neustart suggeriert wird, er befinde sich im abgesicherten Modus - eine Fehlermeldung zeigt ihm an, dass Windows nicht korrekt gestartet werden konnte:
Anschließend wird der Anwender mit diversen Fehlermeldungen (RAM, Festplatte) regelrecht "beschossen".
Wird das Angebot, ein kostenpflichtiges Modul zur Behebung der Fehler herunterzuladen, nicht angenommen, startet der Computer neu, und das Spiel beginnt von vorne.
Ein Ausbruch aus dieser Endlosschleife ist nur möglich, in dem Windows im abgesicherten Modus gestartet wird.
Dort lässt sich in der Registry unter
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls
“AppSecDll” = "<DLL_PATH>"
der schädliche Eintrag entfernen.
Die Scareware-Autoren setzen darauf, dass die meisten Anwender damit überfordert sein dürften.
Quelle: Microsoft Malware Protection Center
How to defang the Fake Defragmenter - Microsoft Malware Protection Center - Site Home - TechNet Blogs
