Eigentlich habe ich ja Urlaub, aber der Anrufer am Telefon klingt wahrlich aufgeregt: „Hier geht gar nichts mehr“. Ein Freund ist am Telefon, Besitzer einer kleinen Firma und einem Windows Server 2003 SBS der unglücklicherweise von Benutzern mit Admin-Rechten genutzt wird (lange Geschichte!). Es seien keine Desktop-Elemente mehr zu sehen, nur ein Hinweis auf U-Kash vom bekannten neuen "Bundestrojaner". Ich unterbreche also das Einräumen der Spülmaschine und verlasse mit einer Tasse Kaffee und dem wohlwollenden Blick meiner Frau Christina den Küchenbereich in Richtung Homeoffice.

Per NTR-Connect eine Verbindung auf den Server aufgebaut: Jawohl – Bundestrojaner – keine Möglichkeit mehr über den Task-Manager das „Aß“ abzuschießen. Wechsel in die NTR-Connect-Verbindung auf die Konsole. Mit Tasklist die Namen der aktiven Programme verifiziert. Zweimal ist „jashla.exe“ aktiv – der andere Name, unter dem der Bundestrojaner sein Unwesen treibt ist nicht zu finden. Über taskkill die beiden Prozesse beendet. Wieder auf den Desktop gewechselt – Internet Explorer geöffnet und auf die Webseite https://www.botfrei.de/ um den DE-Cleaner herunterzuladen. Die klassische Methode -> Windows-Systemwiderherstellung auf den Zeitpunkt zuvor ist bei Servern ja nicht machbar.

Hier mein definitiver Tipp: NICHT DIE GUT DOKUMENTIERTE VARIANTE VON AVIRA NUTZEN.

Der Download von 58 MByte startet einen noch größeren Download – und so viel Zeit hat man ja nun doch nicht. Das kleine Programm von Symantec erledigt den Job des sicheren Entfernens ebenfalls – auch wenn das Programm irrtümlich eine alte Office-Software von Claris und einen Druckertreiber ebenfalls als Gefahr ansah.

Kaffee-Tasse leer – Welt gerettet ;-)

Auf die Frage von ihm, wer den beim Surfen sich diesen "Mist" eingehandelt: Es war dein Name im Roaming-Verzeichnis...