Bedienungsanleitung

HitmanPro.Kickstart Bedienungsanleitung

Seite 1

Inhaltsverzeichnis 1 2 3 4 5 Einfhrung ..................................................................................................................................................................................... 3 bersicht ber Ransomware .................................................................................................................................................. 4 Verwendung von HitmanPro.Kickstart ............................................................................................................................... 6 Erstellen eines USB-Speichersticks mit HitmanPro.Kickstart ..................................................................................... 7 Entfernen von Ransomware unter Einsatz des HitmanPro.Kickstart-USB-Speichersticks............................ 11 5.1 Beispiel fr die Entfernung von Ransomware ..................................................................................................... 15 6 Aktualisieren der Dateien auf dem USB-Speicherstick .............................................................................................. 20 6.1 Speichern anderer Dateien auf dem Speicherstick ........................................................................................... 20 7 Vergleich ...................................................................................................................................................................................... 21

HitmanPro.Kickstart Bedienungsanleitung

Seite 2

1 Einfhrung
In dieser Anleitung wird beschrieben, wie ein von Ransomware befallener PC mithilfe von HitmanPro.Kickstart bereinigt werden kann. Zielleserschaft der Anleitung sind technisch nicht bewanderte Endbenutzer, die sich einem nicht zugnglichen Computer gegenbersehen, aber auch Supportmitarbeiter, die ein Tool zur Beseitigung von Ransomware bentigen. Die Anleitung enthlt Erluterungen zur Erstellung eines HitmanPro.Kickstart-Speichersticks und zu dessen Verwendung bei der Bereinigung eines von Ransomware befallenen Computers. Mithilfe von HitmanPro.Kickstart kann ein Computer ber ein USB-Flashlaufwerk zum Entfernen von Schadsoftware, die eine Sperrung des Computers verursacht, gestartet werden. HitmanPro ist ein zustzlicher Virenscanner, der dazu dient, Rechner, die trotz aktueller EchtzeitAntivirensoftware mit Viren, Spyware, Trojanern, Rootkits oder sonstiger Schadsoftware infiziert wurden, von diesen zu befreien.

HitmanPro.Kickstart Bedienungsanleitung

Seite 3

2 bersicht ber Ransomware

Die folgende Erluterung des Begriffs Ransomware stammt von der Europol-Website .
Bei einem Ransomware-Angriff erscheint in der Regel ein Popupfenster auf dem Bildschirm, das angeblich von einem Exekutivorgan stammt und in dem der Benutzer des Besuchs illegaler Websites beschuldigt wird. Die Anzeige ist gesperrt, und in der Meldung wird erklrt, dass sie nur nach Zahlung eines Bugelds wieder entsperrt werde. Die Forderungen sind hufig landesspezifisch, in der Landessprache des Opfers verfasst und stammen angeblich von einem in dem jeweiligen Land existierenden Exekutivorgan. Auch nach Zahlung des Bugelds wird der Computer jedoch erst dann entsperrt, wenn die Ransomware erfolgreich beseitigt wurde. Angriffe dieser Art wurden erstmals 2011 beobachtet, bis dato sind ihnen bereits tausende unschuldige Brger zum Opfer gefallen. Ransomware ist ein groes Geschft, mit dem organisierte Verbrecherbanden Millionen Euro erpressen. Das Geld wird hufig zur Finanzierung anderer krimineller Machenschaften weltweit verwendet. Die Bekmpfung dieser Art Schadsoftware ermglicht nicht nur den Brgern eine gefahrlosere Nutzung des Internets, sie hilft auch beim Kampf gegen das organisierte Verbrechen.
1

Wenn ein Computer mit Ransomware infiziert ist, wird also ein angeblich von einer Behrde oder der Polizei entsandter Bugeldbescheid angezeigt, und behauptet, dass der Computer erst nach dessen Zahlung wieder freigegeben wird. In den meisten Fllen ist der Zugriff auf den Desktop gesperrt, und es kann kein anderes Programm mehr gestartet werden. Abb. 1 zeigt Beispiele der Anzeigen, die bei einer Infizierung mit Ransomware erscheinen knnen.

https://www.europol.europa.eu/content/news/%EF%BB%BF-europol-hosts-expert-meeting-combat-spread-police-ransomware-1583

HitmanPro.Kickstart Bedienungsanleitung

Seite 4

Abb. 1: Beispiele fr Ransomware

HitmanPro.Kickstart Bedienungsanleitung

Seite 5

3 Verwendung von HitmanPro.Kickstart

Ist ein Computer mit Ransomware infiziert, wird er bei jedem Startversuch gesperrt, und ein Popupfenster wird angezeigt. Ein Antivirenprogramm oder ein anderes Programm zur Beseitigung dieser Schadsoftware kann nicht gestartet werden. Wie wird man die Ransomware nun wieder los? Es gibt diverse Start-CDs oder Wiederherstellungs-CDs, die man verwenden kann, um eine Beseitigung der Ransomware zu versuchen. Bei all diesen CDs erfolgt jedoch der Start in eine ungewohnte Umgebung. Es gibt beispielsweise Wiederherstellungs-CDs fr den Start einer Linux-Variante, die spezielle Tools fr einen Festplattenscan bieten. Fr die meisten Endbenutzer, die keine tiefgreifenden Computerkenntnisse besitzen, ist die Verwendung dieser CDs jedoch zu schwierig. Macht der Benutzer einen Fehler, kann das Windows-System beschdigt werden. Deshalb wurde HitmanPro.Kickstart entwickelt. Die Anwendung ist auf den einfachen Einsatz durch Personen ohne besondere Computerkenntnisse zugeschnitten und lsst doch keine der Leistungen der HitmanPro-Antischadsoftware vermissen. Der Benutzer muss lediglich seinen Computer ber den HitmanPro.Kickstart-USB-Stick starten. Die Programme auf dem Speicherstick gewhrleisten, dass ein Start in das gewohnte Windows-System erfolgt und HitmanPro in diesem gestartet wird. Alle fr Gerte erforderlichen Treiber sowie smtliche WLAN-Kennwrter (und wer kann sich die schon merken?) stehen problemlos zur Verfgung. Auerdem muss sich der Benutzer nicht mit den Tools eines anderen Betriebssystems wie etwa Linux vertraut machen. Manuelle Arbeitsschritte, etwa eine Bearbeitung der Registrierung, die mit dem Risiko der Beschdigung des Windows-Systems einhergehen, sind nicht erforderlich. Abschnitt 7 enthlt einen detaillierten Vergleich der Funktionen von HitmanPro.Kickstart und erhltlicher Wiederherstellungs-CDs.

HitmanPro.Kickstart Bedienungsanleitung

Seite 6

Erstellen eines USB-Speichersticks mit HitmanPro.Kickstart

Zur Erstellung eines USB-Speichersticks mit HitmanPro.Kickstart bentigen Sie Zugriff auf einen Computer, auf dem HitmanPro gestartet werden kann und einen USB-Speicherstick mit einer Kapazitt von mindestens 32 MB. Hinweis: Auf dem Speicherstick vorhandene Dateien werden whrend der Erstellung gelscht. Starten Sie zunchst HitmanPro. Es wird nun das in Abb. 2 gezeigte Fenster geffnet.

Abb. 2: Hauptfenster von HitmanPro

Klicken

Sie

auf

das

Kickstart-Symbol.

Daraufhin

wird

das

Fenster

zur

Erstellung

eines

HitmanPro.Kickstart-USB-Speichersticks angezeigt (s. Abb. 3).

Abb. 3: Fenster zur Erstellung eines HitmanPro.Kickstart-USB-Speichersticks

HitmanPro.Kickstart Bedienungsanleitung

Seite 7

Schlieen Sie jetzt den USB-Speicherstick fr die Speicherung der HitmanPro.Kickstart-Dateien an. Sobald der Speicherstick erkannt wird, wird er in dem in Abb. 4 gezeigten Fenster zur Auswahl angeboten. In diesem Fenster werden alle verfgbaren USB-Speichersticks angezeigt.

Abb. 4: Auswahl des USB-Speichersticks

Whlen Sie den gewnschten USB-Speicherstick aus, und klicken Sie auf Kickstart installieren (s. Abb. 5).

Abb. 5: USB-Speicherstick ausgewhlt

HitmanPro.Kickstart Bedienungsanleitung

Seite 8

Es wird eine Warnmeldung darber angezeigt, dass smtliche Daten auf dem ausgewhlten Speicherstick gelscht werden (s. Abb. 6).

Abb. 6: Warnmeldung vor dem Formatieren des Speichersticks

Wenn Sie hier auf Ja klicken, wird der USB-Speicherstick formatiert. Smtliche erforderlichen HitmanPro.Kickstart-Dateien werden dann von den HitmanPro-Servern abgerufen und auf dem Stick gespeichert. Der Fortschritt dieses Vorgangs wird am Bildschirm angezeigt (s. Abb. 7).

Abb. 7: Fortschrittsanzeige

HitmanPro.Kickstart Bedienungsanleitung

Seite 9

Sobald der Vorgang abgeschlossen ist, wird das in Abb. 8 dargestellte Fenster angezeigt. Sie knnen den USB-Speicherstick jetzt abnehmen und zum Entfernen von Schadsoftware verwenden.

Abb. 8: Erstellung des USB-Speichersticks abgeschlossen

Abb. 9 zeigt den Inhalt des neu erstellten HitmanPro.Kickstart-Speichersticks.

Abb. 9: Inhalt des HitmanPro.Kickstart-USB-Speichersticks

HitmanPro.Kickstart Bedienungsanleitung

Seite 10

5 Entfernen von Ransomware unter Einsatz des HitmanPro.KickstartUSB-Speichersticks

Ist der HitmanPro.Kickstart-USB-Speicherstick erstellt, kann er jederzeit zur Bereinigung eines von Ransomware befallenen Computers verwendet werden. Der Computer muss zu Beginn dieses Vorgangs ausgeschaltet sein. Schlieen Sie den HitmanPro.Kickstart-USB-Speicherstick an einem USB-Anschluss des betroffenen Computers an, und schalten Sie den Computer ein. Rufen Sie whrend des Startvorgangs das Startmen des BIOS auf, und whlen Sie den HitmanPro.Kickstart-USB-Speicherstick aus. Hinweis: Zum Aufrufen des Startmens muss, je nach Computerhersteller, die Taste F8, F11 oder F12 gedrckt werden. Nach Auswahl des Speichersticks und Drcken der Eingabetaste wird folgende Meldung angezeigt:

Abb. 10 : Startmen von HitmanPro.Kickstart

Drcken Sie die Taste 1 oder 2. Die Standardeinstellung ist 1. Bei dieser Option wird der Master Boot Record (MBR) der Festplatte beim Starten bersprungen. Wird keine Taste gedrckt, dann wird der Startvorgang unter Verwendung von Option 1 nach 10 Sekunden fortgesetzt. Option 2 ist zu verwenden, wenn ein benutzerdefinierter Bootloader, beispielsweise Grub, auf der Festplatte installiert ist, der sich im MBR befindet.

HitmanPro.Kickstart Bedienungsanleitung

Seite 11

Wird der Vorgang mit Option 1 fortgesetzt, dann wird die in Abb. 11 gezeigte Meldung angezeigt.

Abb. 11: Standardstartmethode

Nach 3 Sekunden wird der Start von der Festplatte aus fortgesetzt und Windows gestartet. Wird eine Meldung wie z. B. die in Abb. 12 gezeigte angezeigt, whlen Sie Windows normal starten aus. Diese Meldung kann angezeigt werden, wenn die letzte Windows-Sitzung nicht ordnungsgem beendet wurde. Dies hat keinerlei Auswirkungen auf HitmanPro.Kickstart.

Abb. 12: Meldung Windows-Fehlerbehebung

Wenn Windows gestartet wurde, wird entweder ein Fenster zur Anmeldung eingeblendet (s. Abb. 13) oder der Desktop angezeigt, falls das System fr die automatische Anmeldung konfiguriert ist.

HitmanPro.Kickstart Bedienungsanleitung

Seite 12

Abb. 13: Windows-Anmeldefenster

Wird ein wie in Abb. 13 dargestelltes Anmeldefenster angezeigt, whlen Sie einen Benutzer und eine Anmeldung aus. Alternativ hierzu warten Sie einfach 15 Sekunden ab, dann wird HitmanPro automatisch im Anmeldefenster gestartet (s. Abb. 14).

Abb. 14: Start von HitmanPro im Anmeldefenster

HitmanPro.Kickstart Bedienungsanleitung

Seite 13

Wenn Sie einen Benutzer ausgewhlt haben, werden die zu dessen Konto gehrende Umgebung und in dieser dann HitmanPro gestartet (s. Abb. 15).

Abb. 15: Start von HitmanPro auf dem Desktop des Benutzers

Hinweis: Bei der Entfernung der Ransomware ist es gleichgltig, ob HitmanPro im Anmeldefenster oder auf dem Desktop eines Benutzers gestartet wurde. Klicken Sie in HitmanPro auf Weiter, um einen Scan auszufhren und evtl. vorhandene Schadsoftware zu entfernen.

HitmanPro.Kickstart Bedienungsanleitung

Seite 14

5.1

Beispiel fr die Entfernung von Ransomware

Im Folgenden wird die Beseitigung von Ransomware am Beispiel eines mit Moneypack-Ransomware infizierten Computers (s. Abb. 16) beschrieben.

Abb. 16: Moneypack-Ransomware

Wenn der Computer wie in Abschnitt 5 Entfernen von Ransomware unter Einsatz des HitmanPro.Kickstart-USB-Speichersticks beschrieben gestartet wurde, wird die Startseite von HitmanPro (Abb. 14 oder Abb. 15) angezeigt.

HitmanPro.Kickstart Bedienungsanleitung

Seite 15

Beginnen Sie den Scan auf Schadsoftware nun mit einem Klick auf Weiter. Wenn HitmanPro zum ersten Mal auf dem Computer gestartet wurde, wird das in Abb. 17 gezeigte Fenster angezeigt.

Abb. 17: Fenster Setup von HitmanPro

In diesem Fenster knnen Sie auswhlen, ob Sie HitmanPro auf dem Computer installieren oder den Scan ohne Installation ausfhren mchten (Abb. 18).

Abb. 18: Scan ohne Installation auf der Festplatte

HitmanPro.Kickstart Bedienungsanleitung

Seite 16

Wenn Sie auf Weiter klicken, beginnt der Scan. Wird Schadsoftware auf dem Computer erkannt, dann wird eine entsprechende Meldung angezeigt (s. Abb. 19).

Abb. 19: Meldung bei Entdeckung von Schadsoftware

Klicken nun auf Weiter, um die Schadsoftware unter Quarantne zu stellen. Dadurch wird diese in einen sicheren Speicher verschoben und kann nicht mehr gestartet werden. Wenn Sie Privatbenutzer sind, auf dem Computer keine gltige Lizenz vorhanden ist, und HitmanPro auf dem Computer noch nie unter der kostenlosen Testlizenz verwendet wurde, wird das in Abb. 20 gezeigte Fenster aufgerufen. Hier knnen Sie die 30 Tage lang gltige Testlizenz aktivieren oder den Produktschlssel eingeben, wenn Sie die Anwendung gekauft haben.

Abb. 20: Aktivieren der Testversion

HitmanPro.Kickstart Bedienungsanleitung

Seite 17

Wurde auf dem Computer die kostenlose Lizenz fr HitmanPro zuvor schon einmal verwendet und ist diese abgelaufen, wird das in Abb. 21 gezeigte Fenster aufgerufen. Das gleiche Fenster erscheint auch, wenn der Computer kommerziell verwendet wird. In diesem Fall kann die Schadsoftware nur entfernt werden, wenn ein gltiger Produktschlssel eingegeben wird.

Abb. 21: Testlizenz abgelaufen

Sobald HitmanPro aktiviert wurde, knnen Sie auf Weiter klicken, um die Entfernung der Schadsoftware fortzusetzen. Wenn die Schadsoftware vollstndig entfernt wurde, wird eine entsprechende Meldung angezeigt (s. Abb. 22).

Abb. 22: Schadsoftware unter Quarantne gestellt

HitmanPro.Kickstart Bedienungsanleitung

Seite 18

Die Schadsoftware ist damit entfernt. Klicken Sie auf Weiter, um die Seite mit dem Ergebnis des Vorgangs (s. Abb. 23) aufzurufen.

Abb. 23: Schadsoftware entfernt, Neustart erforderlich

Nehmen Sie jetzt den USB-Speicherstick ab, und klicken Sie auf Schlieen oder Neustart. Bei beiden Optionen wird der Computer neu gestartet. Der neu gestartete Computer ist jetzt von der Ransomware befreit. Es wird empfohlen, einen weiteren Scan mit HitmanPro durchzufhren, um sicherzugehen, dass smtliche Schadsoftware vom Computer entfernt wurde.

HitmanPro.Kickstart Bedienungsanleitung

Seite 19

6 Aktualisieren der Dateien auf dem USB-Speicherstick

HitmanPro wird kontinuierlich verbessert, und neue Versionen werden regelmig verffentlicht. Die neuen Versionen mssen auf dem HitmanPro.Kickstart-USB-Speicherstick gespeichert werden, damit sie fr einen Einsatz zur Verfgung stehen. Neue Versionen von HitmanPro knnen von der Website unter www.surfright.com heruntergeladen und auf den USB-Speicherstick kopiert werden. Der jeweilige Dateiname muss HitmanPro.exe oder HitmanPro_x64.exe lauten. Abb. 24 zeigt ein Beispiel der Dateinamen auf dem USB-Speicherstick.

Abb. 24: Inhalt des HitmanPro.Kickstart-USB-Speichersticks

Sie knnen HitmanPro auch auf einem nicht von Schadsoftware befallenen Computer unter Windows direkt von dem USB-Speicherstick aus starten. Wenn es eine neue Version von HitmanPro gibt, werden die Dateien auf dem Speicherstick automatisch aktualisiert. Hinweis: Wird HitmanPro.Kickstart zum Starten eines infizierten Computers verwendet, erfolgt kein Update der Anwendungsdateien auf dem Speicherstick.

6.1

Speichern anderer Dateien auf dem Speicherstick

Sie knnen den verbleibenden Speicherplatz auf dem HitmanPro.Kickstart-USB-Speicherstick zum Speichern Ihrer eigenen Dateien nutzen. Wenn Sie darauf achten, dass die Dateien HitmanPro.exe, HitmanPro_x64.exe und Kickstarter.exe auf dem Speicherstick verbleiben, hat das Speichern eigener Dateien keinerlei Auswirkungen auf die Funktionsweise von HitmanPro.Kickstart.

HitmanPro.Kickstart Bedienungsanleitung

Seite 20

7 Vergleich
Die folgende Tabelle enthlt einen Vergleich der Funktionen von HitmanPro.Kickstart und derzeit verfgbarer Wiederherstellungs-CDs. Funktion Kostenloses Produkt Einfache Verwendung ohne besondere Computerkenntnisse Umgehung von MBR-Bootkits (Sektor 0) Verwendung mehrerer Antivirenprogramme Verhaltensscan zur Ermittlung von Zero-DaySchadsoftware Aktualisierung von Virendefinitionen nicht erforderlich Schnellscan (durchschn. unter 5 min) Zugriff auf Internet ohne Eingabe der WLANAnmeldeinformationen
2 1

WiederherstellungsCD

HitmanPro.Kickstart

Verwendung hardwarespezifischer Windows-Treiber auch bei ausgefallenen Konfigurationen

3

Einrichtung von Wiederherstellungspunkten Ersetzung infizierter Systemdateien durch saubere Versionen Erstellung eines Startmediums in Einzelanwendung integriert Nachhaltig weil Speichermedium aktualisierbar Eigenstndiges Produkt (kein eingeschrnkter Antiviren-Teilsatz)

Einige CDs enthalten mehrere Antivirenprogramme, die meisten jedoch nicht. ber Kickstart wird die Microsoft Windows-Umgebung, die bereits auf das WLAN-Netzwerk zugreifen

kann, gestartet.
3

Eine Linux-Umgebung untersttzt ggf. nicht smtliche vorhandene Hardware.

HitmanPro.Kickstart Bedienungsanleitung

Seite 21

Revisionsverlauf
Version 1.0 Autor EE Anmerkungen Erstfreigabe

HitmanPro.Kickstart Bedienungsanleitung

Seite 22