docusnap-dude
Goto Top

Scareware und Malware entfernen auf User-PCs

Zur Zeit mal wieder sehr ätzend: Scareware-Attacken mogeln vor, ein Computer sei "unsicher", "verseucht" oder ähnliches. Das entfernen dieser netten Programme ist mitunter ätzend.

Das fiese daran: die Programmierer nutzen Original-Logo's von Microsoft, McAfee etc. Der Nichtsahnende Anwender wiegt sich in Sicherheit und klickt natürlich eine der möglichen Buttons und schon ist der PC versaut (egal ob ja, nein, akzeptiert - alles Fake).

Hallo,


nachdem nun wieder mehrfach Leutchen mit Scarewareattacken Scareware oder MalWare vor mir standen und jedesmal verzweifelt Versuche unternommen haben den Kram los zu werden hier mal ein kleines ToDo. Vorweg: das ist nicht unbedingt ein ToDo für Profi-Admin's, sondern eher für die breite Masse gedacht!

Generell gilt: Vorsicht bei popups im Web, welche den Surfer verunsichern wollen. Hier hilft im Falle eines Falles nur: rechts oben in der Ecke das Kreuz klicken zum schliessen des PopUp's. Auf gar keinen Fall einen der vorgegeben Buttons!!! Und im extremfall: LAN-Verbindung/WLAN kappen und Rechner runterfahren; nur keine Buttons auf dem WebPopup klicken!!!

Zunächst mal einige Bildchen, was so alles auf dem PC aufpoppen kann: Google Bildersuche nach Scareware
Mein ganz persönlicher Favorit ist aber doch noch der hier:
23d5fcb94c04826fce7a2fc86b9c27ab
Mit einem Klick auf "Enable Protection" hat der User verloren.....


Ok; dann gehts mal los:
Was brauchen wir:
*einen PC, welcher nicht befallen ist zum herunterladen des nächsten Schrittes
  • einen USB-Stick (Schreibschutz-Schalter wäre sinnvoll) oder eine CD, auf welchen/m eine aktuelle Version eines Remover's (ich nutze immer und das mit sehr guten Resultat "Malwarebytes Antimalware" - da hat bisher die Freeware immer gereicht Link).
*Microsoft's Anti-MalWare-Tool downloaden und mit auf den Stick/CD

Ich erklär das jetzt mal an diesem o.g. Tool; andere Programme funktionieren aber ähnlich.

Ok; los geht's:
*unseren Stick mit dem Remover am besten gleich anstecken (wegen evtl. Hardwareerkennungsprobleme); CD kann man später reintun
*Zunächst einfach mal den PC starten und mit "F8" im abgesicherten zustand booten
*in der Systemsteuerung unter "System" die automatische Systemwiederherstellung deaktivieren (manche fiesen dieser Programme stellen sich sonst immer wieder von selbst her)
*Nun einfach das Programm installieren. Unter Umstanänden möchte zwar die Erkennungsdatenbank aktualisiert werden; muss man aber nicht (man hat eh grad keinen Internetzugang weil wir im abgesicherten Modus arbeiten); einfach ignorieren die Warnung zum Download.
*dann einen Vollständigen Systemscan ausführen.
*am Ende sehen wir jede Menge Entdeckungen; diese anhaken und löschen
*Das Microsoft-Tool tuckern lassen (http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx) Anleitung]
*Fertig! Pc neu starten (normal)
*jetzt die Systemwiederherstellung wieder einschalten und am besten euren Virenscanner tuckern lassen.

Wenn jetzt immer nich Probleme sind: Zeit für den Profi-Admin. Hier enden die Mittel für den normalen Anwender denn jetzt kommt es genau auf die Art der Scare-/Malware an. Spezifische Steps sind jetzt zu tun welche tief in das OS eingreifen.

So; ich hoffe das war ein wenig hilfreich. Ihr könnt mich gern auch anschrei(b)en zum Thema face-wink

Viel Glück!

Frank

Content-ID: 167891

Url: https://administrator.de/tutorial/scareware-und-malware-entfernen-auf-user-pcs-167891.html

Ausgedruckt am: 23.12.2024 um 20:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 11.06.2011 um 20:41:53 Uhr
Goto Top
Zitat von @DocuSnap-Dude:
Generell gilt: Vorsicht bei popups im Web, welche den Surfer verunsichern wollen. Hier hilft im Falle eines Falles nur: rechts
oben in der Ecke das Kreuz klicken zum schliessen des PopUp's.

Obacht: Manche Popups gaukeln damit ein Schließen-Button vor und hinterlegen das mit anderen Aktionen!

Daher: Task-Manager aufrufen und Prozess direkt killen!
DarkDream76646
DarkDream76646 11.06.2011 um 22:02:41 Uhr
Goto Top
Hallo ....

Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!


Gruß...
DocuSnap-Dude
DocuSnap-Dude 12.06.2011 um 10:21:25 Uhr
Goto Top
Hi,
zum Thema...

Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!

...grundsätzlich hast Du sicherlich Deine Erfahrungen damit gemacht. Nur gibt es eben auch Rechner, wo das so nicht geht (z.B. bei hochwertigen Managementrechnern, wo lizenzierte Software installiert ist welche nicht re-Lizenzierbar sind).

Theorie ist klar: neu installieren ist der sicherste Weg ...Doch Theorie und Praxis unterscheiden sich eben ab und an face-wink

Frohe Pfingsten!
DocuSnap-Dude
DocuSnap-Dude 12.06.2011 um 10:24:55 Uhr
Goto Top
Hi,

stimmt:
> Generell gilt: Vorsicht bei popups im Web, welche den Surfer verunsichern wollen. Hier hilft im Falle eines Falles nur:
rechts
> oben in der Ecke das Kreuz klicken zum schliessen des PopUp's.

Obacht: Manche Popups gaukeln damit ein Schließen-Button vor und hinterlegen das mit anderen Aktionen!

Daher: Task-Manager aufrufen und Prozess direkt killen!

ABER: manchmal sperren die Programme auch genau den Taskmanager. Versuchen sollte man es aber auf alle Fälle!

Für den Basisanwender:
  • STRG+ALT+ENTF drücken und den Task-Manager starten
  • auf der ersten Karteikarte alle Browserapplikationen killen (Prozess beenden).
  • Hoffen und Beten (face-big-smile)

LG
Lochkartenstanzer
Lochkartenstanzer 12.06.2011 um 11:33:32 Uhr
Goto Top
Zitat von @DocuSnap-Dude:
...grundsätzlich hast Du sicherlich Deine Erfahrungen damit gemacht. Nur gibt es eben auch Rechner, wo das so nicht geht
(z.B. bei hochwertigen Managementrechnern, wo lizenzierte Software installiert ist welche nicht re-Lizenzierbar sind).

Du meinst sie wissen nicht mehr, von wem sie die Raubkopie hatten? face-wink

Plattmachen! Dann lernen sie es wenigstens.

nachtrag: gerade wenn es "hochwertige Managementrechenr" sind, ist es sinnvoll, deutlich zu machen, daß damit Industriespionage Tür und Tor geöffnet wird. Dort sind sind besonders wertvolle daten zum Abgreifen vorhanden. Hier soltle kein Weg dran vorbeiführen, die Kiste plattzumachen.
wiesi200
wiesi200 12.06.2011 um 13:21:56 Uhr
Goto Top
Zitat von @DocuSnap-Dude:
(z.B. bei hochwertigen Managementrechnern, wo lizenzierte Software installiert ist welche nicht re-Lizenzierbar sind).

Hallo,

sowas gibt's nicht wenn du die Software sauber gekauft hast gib's immer Möglichkeiten.
DocuSnap-Dude
DocuSnap-Dude 12.06.2011 um 17:27:24 Uhr
Goto Top

sowas gibt's nicht wenn du die Software sauber gekauft hast gib's immer Möglichkeiten.

Oh doch sowas gibt es. In Industriebereichen, in welchen die herstellende Firma leider nicht mehr existiert um eine Onlinefreischlatung der extrem teuren Berechnungssoftware für Robotik-Steueranlagen möglich zu machen....

Böses dem der böses denkt face-wink
Florian.Sauber
Florian.Sauber 12.06.2011 um 18:15:07 Uhr
Goto Top
Tag auch,

unabhängig davon, ob es da nun gibt, geben soll, muss, kann oder eben nicht:
Wenn das wertvolle Maschinchen denn so gestrickt wurde, dass es von Schadprogrammen befallen werden kann, die man mit Haus- und Hof- Tools ala Malwarebytes und Konsorten in den Griff bekommt, sollte man sich doch dringend über die nicht vorhandene und trotzdem genutzte konzeptionelle Knieschuss-Strategie Gedanken machen.
Beim dem schon länger vorhandenen Medienecho über Würmer, Viren & Co. kann solch ein Verhalten nämlich nicht mehr nur mit "fahrlässig" bewertet werden.

Grüsse Florian
DocuSnap-Dude
DocuSnap-Dude 12.06.2011 um 19:28:05 Uhr
Goto Top
Whatever...
Thema erklärt und wie, weshalb, warum usw. denk ich ist Thematik verfehlt und dient nicht dem eigentlichen Beitragszweck.

Amen.
Lochkartenstanzer
Lochkartenstanzer 12.06.2011 um 21:22:39 Uhr
Goto Top
Zitat von @DocuSnap-Dude:

>
> sowas gibt's nicht wenn du die Software sauber gekauft hast gib's immer Möglichkeiten.

Oh doch sowas gibt es. In Industriebereichen, in welchen die herstellende Firma leider nicht mehr existiert um eine
Onlinefreischlatung der extrem teuren Berechnungssoftware für Robotik-Steueranlagen möglich zu machen....


Ah, Du meinst keine Kisten des Wasserkopfes, sondern Steuerungsrechner. Aber wenn das so ein wertvolles Maschinchen ist, muß man den Admin teeren und federn, wenn er zuläßt, daß sowas passieren kann.
Sonnenscheinhasser
Sonnenscheinhasser 13.06.2011 um 01:11:56 Uhr
Goto Top
Warum spielt man nicht einfach das Backup ein, wenn die Kiste so extrem wichtig ist?

Schwarze Grüße,
Tom
TuXHunt3R
TuXHunt3R 13.06.2011, aktualisiert am 18.10.2012 um 18:47:12 Uhr
Goto Top
Tag

@ Lochkartenstanzer:
Daher: Task-Manager aufrufen und Prozess direkt killen!
Wenn man den Task Manager überhaupt noch starten kann. Ich hatte hier so einen Fall, wo sich keine einzige Exe mehr öffnen liess. Siehe hier:
Scareware -System Tool- entfernen

@ Darkdream:
Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!
Muss nicht immer sein. Häufig ist auch nur ein Benutzerprofil betroffen, dafür macht man die Kiste nicht platt.

@ Sonnenscheinhasser:
Warum spielt man nicht einfach das Backup ein, wenn die Kiste so extrem wichtig ist?
Falls vorhanden, ja. Aber ich arbeite momentan für eine kleine IT-Bude, welche vor allem Klein- und Kleinstbetriebe betreut. Dort existiert zwar in der Regel eine Datensicherung, diese betrifft aber dann meistens nur die Nutzerdaten (Word-Dokumente, Excel-Mappen, etc.). Klar ist das schlecht, aber unter Windows XP gab es halt noch keine Windows Datensicherung, welche schön ein Image der Systemdisk machen konnte. Acronis war den meisten zu teuer und man kann von den Nutzern nicht erwarten, dass sie regelmässig mit einer Linux-Livecd booten und dann mit dd ein Image erstellen.


@ all:
Gute Erfahrungen habe ich mit der F-Secure-Boot CD gemacht, siehe hier: http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/rescue-cd/
Bis jetzt habe ich immer fast alles damit weggebracht, d.h. ich konnte zumindest die Scareware am Starten hindern. Wenn diese Scareware zumindest nicht mitstartet, kann man Sie danach meistens locker mit einem kompletten Virenscan killen. Einmal hatte ich das Problem, dass nach dem Durchlauf mit der F-Secure-CD keine Exe-Files mehr geöffnet werden konnten (ausser der Explorer.exe). Aber dafür gibt es auch eine Lösung:
http://www.kellys-korner-xp.com/xp_tweaks.htm
DocuSnap-Dude
DocuSnap-Dude 13.06.2011 um 11:28:16 Uhr
Goto Top
Danke für diesen Beitrag an TuXHunt3R (meine ich wirklich). Vor allem deswegen, weil da endlich mal einer nicht wieder den üblichen Oberlehrer rausholt. Leute: es geht hier um 'ne kleine Anleitung und nicht um Belehrstunden.
Lochkartenstanzer
Lochkartenstanzer 13.06.2011, aktualisiert am 18.10.2012 um 18:47:12 Uhr
Goto Top
Zitat von @TuXHunt3R:
Tag

@ Lochkartenstanzer:
> Daher: Task-Manager aufrufen und Prozess direkt killen!
Wenn man den Task Manager überhaupt noch starten kann. Ich hatte hier so einen Fall, wo sich keine einzige Exe mehr
öffnen liess. Siehe hier:
Scareware -System Tool- entfernen

Dann hilft sowieso nur noch NOT-Aus (Stecker ziehen o.ä.) und dann mit live-cDs weitermachen.


@ Darkdream:
> Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!
Muss nicht immer sein. Häufig ist auch nur ein Benutzerprofil betroffen, dafür macht man die Kiste nicht platt.

Es ist eien fatale Annahme, daß sowieso nur ein Benutzerprofil betroffen ist. Dann könnte man ja einfach diese Profil löschen udn ein neues anlegen.


@ Sonnenscheinhasser:
> Warum spielt man nicht einfach das Backup ein, wenn die Kiste so extrem wichtig ist?
Falls vorhanden, ja. Aber ich arbeite momentan für eine kleine IT-Bude, welche vor allem Klein- und Kleinstbetriebe betreut.
Dort existiert zwar in der Regel eine Datensicherung, diese betrifft aber dann meistens nur die Nutzerdaten (Word-Dokumente,
Excel-Mappen, etc.). Klar ist das schlecht, aber unter Windows XP gab es halt noch keine Windows Datensicherung, welche schön
ein Image der Systemdisk machen konnte. Acronis war den meisten zu teuer und man kann von den Nutzern nicht erwarten, dass sie
regelmässig mit einer Linux-Livecd booten und dann mit dd ein Image erstellen.

Da hat jemand keine Ahnung von Kosten/Nutzung-Rechnung: Einfach mal vorrechnen, wieviel der Arbeitsausfall kostet, wenn mal so eine Kiste abschmiert und alles steht, und keiner mehr arbeiten kann.
TuXHunt3R
TuXHunt3R 13.06.2011 um 21:59:36 Uhr
Goto Top
Da hat jemand keine Ahnung von Kosten/Nutzung-Rechnung: Einfach mal vorrechnen, wieviel der Arbeitsausfall kostet, wenn mal so eine Kiste abschmiert und alles steht, und keiner mehr arbeiten kann.

Tja, das ist so. Und das wird von uns auch immer gemacht, aber die Realität sieht nun mal anders aus, als einem in den ganzen ITIL Kursen beigebracht wird.

Es ist eien fatale Annahme, daß sowieso nur ein Benutzerprofil betroffen ist. Dann könnte man ja einfach diese Profil löschen udn ein neues anlegen.
Habe ich gesagt, ich gehe grundsätzlich davon aus? Und ja, bei einem Kunden war das die Lösung: Profil restlos gelöscht, Avast! und Spybot drüberlaufen lassen und siehe da: Beide Programme finden nichts mehr.

@ Frankoehli:
Kein Problem, mach ich doch gerne.....
brammer
brammer 14.06.2011 um 16:33:51 Uhr
Goto Top
Hallo,

ironie Tags an
Backup??
Seit wann wird von wichtigen Sachen ein Backup gemacht? Und evtl. noch eines das getestet und verfiziert ist? und Zu guter letzt auch noch aktuell?
Lachhaft sowas!

ironie Tags aus

brammer
Sonnenscheinhasser
Sonnenscheinhasser 14.06.2011 um 18:17:52 Uhr
Goto Top
Zitat von @brammer:

Seit wann wird von wichtigen Sachen ein Backup gemacht? Und evtl. noch eines das getestet und verfiziert ist? und Zu guter letzt
auch noch aktuell?


Üblicherweise dann, wenn es einmal richtig weh getan hat. Danach läuft sowas üblicherweise face-smile

Schwarze Grüße,
Tom
Lochkartenstanzer
Lochkartenstanzer 14.06.2011 um 19:31:47 Uhr
Goto Top
Zitat von @Sonnenscheinhasser:
Üblicherweise dann, wenn es einmal richtig weh getan hat. Danach läuft sowas üblicherweise face-smile

Meine Erfahrung ist, daß das aber nur eine kurze Weile anhält, bis man das "Aua" wieder vergessen hat. Dann werden die meisten wieder nachlässiger.
TuXHunt3R
TuXHunt3R 14.06.2011 um 21:57:41 Uhr
Goto Top
Meine Erfahrung ist, daß das aber nur eine kurze Weile anhält, bis man das "Aua" wieder vergessen hat. Dann werden die meisten wieder nachlässiger.

Jep, gerade heute wieder passiert. 12-jähriger Pentium III Rechner mit Windows XP und Banana Buchhaltung (einfaches Buchhaltungsprogramm ohne Datenbank, zum Sichern müssen nur die Files kopiert werden, was ja sogar NTBackup kann). Festplatte definitiv futsch, letzte Sicherung Ende letztes Jahr gemacht (beim Abschluss). Der arme Mensch darf nun 5 Monate Buchhaltung wieder nachtippen...... Hat er was gelernt? Ja. Wird sich sein Verhalten ändern? Für ein Jahr vielleicht.....
holli.zimmi
holli.zimmi 17.06.2011 um 08:25:18 Uhr
Goto Top
Hi,

als Tip falls der grafische Taskmanager nicht geht. Es gibt ab win xp professional 2 Befehl für die Konsole: tasklist.exe und taskkill.exe und schon kann man locker die Prozesse killen. face-smile

Gruss

Holli
TuXHunt3R
TuXHunt3R 18.06.2011 um 18:54:55 Uhr
Goto Top
Tag Holli

Danke für den Hinweis, aber das nützt auch nichts, wenn man gar keine Exe mehr starten kann. Die CMD ist auch eine Exe.....
2hard4you
2hard4you 27.06.2011 um 22:42:13 Uhr
Goto Top
Zitat von @TuXHunt3R:


Tja, das ist so. Und das wird von uns auch immer gemacht, aber die Realität sieht nun mal anders aus, als einem in den ganzen
ITIL Kursen beigebracht wird.



Moin,

ITIL lehrt Dir, wie Du ein Problem strukturiert bearbeitest, nichr ob Du Karl Klammer oder Onkel BlueRay fragst ...

6 - setzen

Gruß

24