Seit einigen Tagen ist der Trojaner W32/DotTorrent.A sehr aktiv. Es ist ein sehr trickreicher Trojaner, der dem Anwender vorgaukelt, ein Antiviren-Scanner zu sein. Nachdem er sich im System eingenistet hat, scant der den PC und zeigt angeblich Dateien an, die ein Urheberrecht verletzen.

Anschließend wird z.B. folgende Meldung auf dem Bildschirm angezeigt, die auch nach jeder Anmeldung sofort auf dem Monitor sichtbar wird.

Der Text lautet wie folgt:
Benachrichtigung über Urheberrecht Verletzung
Windows hat festgestellt, dass Sie Inhalte, die unter Verstoß gegen das Urheberrecht ihrer jeweiligen Eigentümer heruntergeladen wurden, verwenden. Bitte lesen Sie die folgenden Informationen und versuchen, die Läsung des Problems in einem der empfohlenen Art und Weise, zu finden.

Auf dieser Seite und der folgenden wird der Anwender nun aufgefordert, 400€ über eine Kreditkarte an die Organisation ICPP-Online.com zu überweisen und damit der Urheberrechtsverletzung zu entgehen. Dies ist allerdings sehr wahrscheinlich nur ein Fake, denn der eigentliche Sinn dieses Trojaners ist, an die Kreditkartendaten der Anwender zu kommen. Einen rechtlichen Hintergrund hat der Unsinn natürlich überhaupt nicht.

Der Trojaner erscheint in der jeweiligen Landessprache und scheint sehr ausgefeilt zu sein. Auch bei der Entfernung benötigt es einige Handarbeit um den Trojaner rückstandslos zu entfernen. Den Trojaner scheint es in 2 Varianten zu geben, einmal als IQMANAGER.EXE und einmal als APMANAGER.EXE.

Entfernen des Trojaners W32/DotTorrent.A
Zunächst habe ich es auf herkömmliche Art und Weise versucht, per Antivirenprogramm von TrendMicro – Ohne Erfolg. Dann den Windows Defender ausprobiert, ebenfalls ohne Erfolg. Nach einige Suche im Internet wurde ich bei  F-Secure fündig, der auf diesen Trojaner aufmerksam macht und der Online Scanner von F-Secure soll den Trojaner komplett entfernen – Pustekuchen, funktioniert auch nicht!

Jedesmal, wenn der Anwender sich anmeldet, erscheint der Trojaner sofort wieder. Ein Wegklicken der 2 Fenster ist nicht möglich, ohne Eingabe erscheinen sie immer wieder. Ich habe dann den Taskmanager aufgerufen und den Prozess „apmanager.exe“ gekillt. Danach verschwand zwar das Fenster, aber ich konnte trotzdem mit dem PC nicht arbeiten. Dann über den Taskmanager noch die „explorer.exe“ aufgerufen, damit die Anmeldung abgeschlossen wird.

Nun war zumindest das Profil des Users wieder geladen. Anschließend mit Administrator Rechten den Registrierungseditor gestartet und nach APMANAGER gesucht. Alle entsprechenden Verknüpfungen zu dem Programm in der Registry gelöscht.

Ebenso alle unklaren Einträge aus dem Autostart Menü entfernt und den Programmordner APMANGER, der unter C:\Dokumente und Einstellungen\Username\Anwendungendaten liegt, komplett mit Inhalt gelöscht.

Danach habe ich den PC neu gestartet und nun war der PC und das Profil des Users wieder sauber!