22
Scareware und Malware entfernen auf User-PCs
Zur Zeit mal wieder sehr ätzend: Scareware-Attacken mogeln vor, ein Computer sei "unsicher", "verseucht" oder ähnliches. Das entfernen dieser netten Programme ist mitunter ätzend.
Das fiese daran: die Programmierer nutzen Original-Logo's von Microsoft, McAfee etc. Der Nichtsahnende Anwender wiegt sich in Sicherheit und klickt natürlich eine der möglichen Buttons und schon ist der PC versaut (egal ob ja, nein, akzeptiert - alles Fake).
Hallo,
nachdem nun wieder mehrfach Leutchen mit Scarewareattacken Scareware oder MalWare vor mir standen und jedesmal verzweifelt Versuche unternommen haben den Kram los zu werden hier mal ein kleines ToDo. Vorweg: das ist nicht unbedingt ein ToDo für Profi-Admin's, sondern eher für die breite Masse gedacht!
Generell gilt: Vorsicht bei popups im Web, welche den Surfer verunsichern wollen. Hier hilft im Falle eines Falles nur: rechts oben in der Ecke das Kreuz klicken zum schliessen des PopUp's. Auf gar keinen Fall einen der vorgegeben Buttons!!! Und im extremfall: LAN-Verbindung/WLAN kappen und Rechner runterfahren; nur keine Buttons auf dem WebPopup klicken!!!
Zunächst mal einige Bildchen, was so alles auf dem PC aufpoppen kann: Google Bildersuche nach Scareware
Mein ganz persönlicher Favorit ist aber doch noch der hier:
Mit einem Klick auf "Enable Protection" hat der User verloren.....
Ok; dann gehts mal los:
Was brauchen wir:
*einen PC, welcher nicht befallen ist zum herunterladen des nächsten Schrittes
Ich erklär das jetzt mal an diesem o.g. Tool; andere Programme funktionieren aber ähnlich.
Ok; los geht's:
*unseren Stick mit dem Remover am besten gleich anstecken (wegen evtl. Hardwareerkennungsprobleme); CD kann man später reintun
*Zunächst einfach mal den PC starten und mit "F8" im abgesicherten zustand booten
*in der Systemsteuerung unter "System" die automatische Systemwiederherstellung deaktivieren (manche fiesen dieser Programme stellen sich sonst immer wieder von selbst her)
*Nun einfach das Programm installieren. Unter Umstanänden möchte zwar die Erkennungsdatenbank aktualisiert werden; muss man aber nicht (man hat eh grad keinen Internetzugang weil wir im abgesicherten Modus arbeiten); einfach ignorieren die Warnung zum Download.
*dann einen Vollständigen Systemscan ausführen.
*am Ende sehen wir jede Menge Entdeckungen; diese anhaken und löschen
*Das Microsoft-Tool tuckern lassen (http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx) Anleitung]
*Fertig! Pc neu starten (normal)
*jetzt die Systemwiederherstellung wieder einschalten und am besten euren Virenscanner tuckern lassen.
Wenn jetzt immer nich Probleme sind: Zeit für den Profi-Admin. Hier enden die Mittel für den normalen Anwender denn jetzt kommt es genau auf die Art der Scare-/Malware an. Spezifische Steps sind jetzt zu tun welche tief in das OS eingreifen.
So; ich hoffe das war ein wenig hilfreich. Ihr könnt mich gern auch anschrei(b)en zum Thema
Viel Glück!
Frank
Das fiese daran: die Programmierer nutzen Original-Logo's von Microsoft, McAfee etc. Der Nichtsahnende Anwender wiegt sich in Sicherheit und klickt natürlich eine der möglichen Buttons und schon ist der PC versaut (egal ob ja, nein, akzeptiert - alles Fake).
Hallo,
nachdem nun wieder mehrfach Leutchen mit Scarewareattacken Scareware oder MalWare vor mir standen und jedesmal verzweifelt Versuche unternommen haben den Kram los zu werden hier mal ein kleines ToDo. Vorweg: das ist nicht unbedingt ein ToDo für Profi-Admin's, sondern eher für die breite Masse gedacht!
Generell gilt: Vorsicht bei popups im Web, welche den Surfer verunsichern wollen. Hier hilft im Falle eines Falles nur: rechts oben in der Ecke das Kreuz klicken zum schliessen des PopUp's. Auf gar keinen Fall einen der vorgegeben Buttons!!! Und im extremfall: LAN-Verbindung/WLAN kappen und Rechner runterfahren; nur keine Buttons auf dem WebPopup klicken!!!
Zunächst mal einige Bildchen, was so alles auf dem PC aufpoppen kann: Google Bildersuche nach Scareware
Mein ganz persönlicher Favorit ist aber doch noch der hier:
Ok; dann gehts mal los:
Was brauchen wir:
*einen PC, welcher nicht befallen ist zum herunterladen des nächsten Schrittes
- einen USB-Stick (Schreibschutz-Schalter wäre sinnvoll) oder eine CD, auf welchen/m eine aktuelle Version eines Remover's (ich nutze immer und das mit sehr guten Resultat "Malwarebytes Antimalware" - da hat bisher die Freeware immer gereicht Link).
Ich erklär das jetzt mal an diesem o.g. Tool; andere Programme funktionieren aber ähnlich.
Ok; los geht's:
*unseren Stick mit dem Remover am besten gleich anstecken (wegen evtl. Hardwareerkennungsprobleme); CD kann man später reintun
*Zunächst einfach mal den PC starten und mit "F8" im abgesicherten zustand booten
*in der Systemsteuerung unter "System" die automatische Systemwiederherstellung deaktivieren (manche fiesen dieser Programme stellen sich sonst immer wieder von selbst her)
*Nun einfach das Programm installieren. Unter Umstanänden möchte zwar die Erkennungsdatenbank aktualisiert werden; muss man aber nicht (man hat eh grad keinen Internetzugang weil wir im abgesicherten Modus arbeiten); einfach ignorieren die Warnung zum Download.
*dann einen Vollständigen Systemscan ausführen.
*am Ende sehen wir jede Menge Entdeckungen; diese anhaken und löschen
*Das Microsoft-Tool tuckern lassen (http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx) Anleitung]
*Fertig! Pc neu starten (normal)
*jetzt die Systemwiederherstellung wieder einschalten und am besten euren Virenscanner tuckern lassen.
Wenn jetzt immer nich Probleme sind: Zeit für den Profi-Admin. Hier enden die Mittel für den normalen Anwender denn jetzt kommt es genau auf die Art der Scare-/Malware an. Spezifische Steps sind jetzt zu tun welche tief in das OS eingreifen.
So; ich hoffe das war ein wenig hilfreich. Ihr könnt mich gern auch anschrei(b)en zum Thema
Viel Glück!
Frank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 167891
Url: https://administrator.de/contentid/167891
Ausgedruckt am: 23.11.2024 um 04:11 Uhr
22 Kommentare
Neuester Kommentar
Zitat von @DocuSnap-Dude:
Generell gilt: Vorsicht bei popups im Web, welche den Surfer verunsichern wollen. Hier hilft im Falle eines Falles nur: rechts
oben in der Ecke das Kreuz klicken zum schliessen des PopUp's.
Generell gilt: Vorsicht bei popups im Web, welche den Surfer verunsichern wollen. Hier hilft im Falle eines Falles nur: rechts
oben in der Ecke das Kreuz klicken zum schliessen des PopUp's.
Obacht: Manche Popups gaukeln damit ein Schließen-Button vor und hinterlegen das mit anderen Aktionen!
Daher: Task-Manager aufrufen und Prozess direkt killen!
Hallo ....
Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!
Gruß...
Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!
Gruß...
Hi,
zum Thema...
...grundsätzlich hast Du sicherlich Deine Erfahrungen damit gemacht. Nur gibt es eben auch Rechner, wo das so nicht geht (z.B. bei hochwertigen Managementrechnern, wo lizenzierte Software installiert ist welche nicht re-Lizenzierbar sind).
Theorie ist klar: neu installieren ist der sicherste Weg ...Doch Theorie und Praxis unterscheiden sich eben ab und an
Frohe Pfingsten!
zum Thema...
Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!
...grundsätzlich hast Du sicherlich Deine Erfahrungen damit gemacht. Nur gibt es eben auch Rechner, wo das so nicht geht (z.B. bei hochwertigen Managementrechnern, wo lizenzierte Software installiert ist welche nicht re-Lizenzierbar sind).
Theorie ist klar: neu installieren ist der sicherste Weg ...Doch Theorie und Praxis unterscheiden sich eben ab und an
Frohe Pfingsten!
Hi,
stimmt:
ABER: manchmal sperren die Programme auch genau den Taskmanager. Versuchen sollte man es aber auf alle Fälle!
Für den Basisanwender:
LG
stimmt:
> Generell gilt: Vorsicht bei popups im Web, welche den Surfer verunsichern wollen. Hier hilft im Falle eines Falles nur:
rechts
> oben in der Ecke das Kreuz klicken zum schliessen des PopUp's.
Obacht: Manche Popups gaukeln damit ein Schließen-Button vor und hinterlegen das mit anderen Aktionen!
Daher: Task-Manager aufrufen und Prozess direkt killen!
rechts
> oben in der Ecke das Kreuz klicken zum schliessen des PopUp's.
Obacht: Manche Popups gaukeln damit ein Schließen-Button vor und hinterlegen das mit anderen Aktionen!
Daher: Task-Manager aufrufen und Prozess direkt killen!
ABER: manchmal sperren die Programme auch genau den Taskmanager. Versuchen sollte man es aber auf alle Fälle!
Für den Basisanwender:
- STRG+ALT+ENTF drücken und den Task-Manager starten
- auf der ersten Karteikarte alle Browserapplikationen killen (Prozess beenden).
- Hoffen und Beten (
)
LG
Zitat von @DocuSnap-Dude:
...grundsätzlich hast Du sicherlich Deine Erfahrungen damit gemacht. Nur gibt es eben auch Rechner, wo das so nicht geht
(z.B. bei hochwertigen Managementrechnern, wo lizenzierte Software installiert ist welche nicht re-Lizenzierbar sind).
...grundsätzlich hast Du sicherlich Deine Erfahrungen damit gemacht. Nur gibt es eben auch Rechner, wo das so nicht geht
(z.B. bei hochwertigen Managementrechnern, wo lizenzierte Software installiert ist welche nicht re-Lizenzierbar sind).
Du meinst sie wissen nicht mehr, von wem sie die Raubkopie hatten?
Plattmachen! Dann lernen sie es wenigstens.
nachtrag: gerade wenn es "hochwertige Managementrechenr" sind, ist es sinnvoll, deutlich zu machen, daß damit Industriespionage Tür und Tor geöffnet wird. Dort sind sind besonders wertvolle daten zum Abgreifen vorhanden. Hier soltle kein Weg dran vorbeiführen, die Kiste plattzumachen.
Zitat von @DocuSnap-Dude:
(z.B. bei hochwertigen Managementrechnern, wo lizenzierte Software installiert ist welche nicht re-Lizenzierbar sind).
(z.B. bei hochwertigen Managementrechnern, wo lizenzierte Software installiert ist welche nicht re-Lizenzierbar sind).
Hallo,
sowas gibt's nicht wenn du die Software sauber gekauft hast gib's immer Möglichkeiten.
sowas gibt's nicht wenn du die Software sauber gekauft hast gib's immer Möglichkeiten.
Oh doch sowas gibt es. In Industriebereichen, in welchen die herstellende Firma leider nicht mehr existiert um eine Onlinefreischlatung der extrem teuren Berechnungssoftware für Robotik-Steueranlagen möglich zu machen....
Böses dem der böses denkt
Tag auch,
unabhängig davon, ob es da nun gibt, geben soll, muss, kann oder eben nicht:
Wenn das wertvolle Maschinchen denn so gestrickt wurde, dass es von Schadprogrammen befallen werden kann, die man mit Haus- und Hof- Tools ala Malwarebytes und Konsorten in den Griff bekommt, sollte man sich doch dringend über die nicht vorhandene und trotzdem genutzte konzeptionelle Knieschuss-Strategie Gedanken machen.
Beim dem schon länger vorhandenen Medienecho über Würmer, Viren & Co. kann solch ein Verhalten nämlich nicht mehr nur mit "fahrlässig" bewertet werden.
Grüsse Florian
unabhängig davon, ob es da nun gibt, geben soll, muss, kann oder eben nicht:
Wenn das wertvolle Maschinchen denn so gestrickt wurde, dass es von Schadprogrammen befallen werden kann, die man mit Haus- und Hof- Tools ala Malwarebytes und Konsorten in den Griff bekommt, sollte man sich doch dringend über die nicht vorhandene und trotzdem genutzte konzeptionelle Knieschuss-Strategie Gedanken machen.
Beim dem schon länger vorhandenen Medienecho über Würmer, Viren & Co. kann solch ein Verhalten nämlich nicht mehr nur mit "fahrlässig" bewertet werden.
Grüsse Florian
Whatever...
Thema erklärt und wie, weshalb, warum usw. denk ich ist Thematik verfehlt und dient nicht dem eigentlichen Beitragszweck.
Amen.
Thema erklärt und wie, weshalb, warum usw. denk ich ist Thematik verfehlt und dient nicht dem eigentlichen Beitragszweck.
Amen.
Zitat von @DocuSnap-Dude:
>
> sowas gibt's nicht wenn du die Software sauber gekauft hast gib's immer Möglichkeiten.
Oh doch sowas gibt es. In Industriebereichen, in welchen die herstellende Firma leider nicht mehr existiert um eine
Onlinefreischlatung der extrem teuren Berechnungssoftware für Robotik-Steueranlagen möglich zu machen....
>
> sowas gibt's nicht wenn du die Software sauber gekauft hast gib's immer Möglichkeiten.
Oh doch sowas gibt es. In Industriebereichen, in welchen die herstellende Firma leider nicht mehr existiert um eine
Onlinefreischlatung der extrem teuren Berechnungssoftware für Robotik-Steueranlagen möglich zu machen....
Ah, Du meinst keine Kisten des Wasserkopfes, sondern Steuerungsrechner. Aber wenn das so ein wertvolles Maschinchen ist, muß man den Admin teeren und federn, wenn er zuläßt, daß sowas passieren kann.
Warum spielt man nicht einfach das Backup ein, wenn die Kiste so extrem wichtig ist?
Schwarze Grüße,
Tom
Schwarze Grüße,
Tom
Tag
@ Lochkartenstanzer:
Scareware -System Tool- entfernen
@ Darkdream:
@ Sonnenscheinhasser:
@ all:
Gute Erfahrungen habe ich mit der F-Secure-Boot CD gemacht, siehe hier: http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/rescue-cd/
Bis jetzt habe ich immer fast alles damit weggebracht, d.h. ich konnte zumindest die Scareware am Starten hindern. Wenn diese Scareware zumindest nicht mitstartet, kann man Sie danach meistens locker mit einem kompletten Virenscan killen. Einmal hatte ich das Problem, dass nach dem Durchlauf mit der F-Secure-CD keine Exe-Files mehr geöffnet werden konnten (ausser der Explorer.exe). Aber dafür gibt es auch eine Lösung:
http://www.kellys-korner-xp.com/xp_tweaks.htm
@ Lochkartenstanzer:
Daher: Task-Manager aufrufen und Prozess direkt killen!
Wenn man den Task Manager überhaupt noch starten kann. Ich hatte hier so einen Fall, wo sich keine einzige Exe mehr öffnen liess. Siehe hier:Scareware -System Tool- entfernen
@ Darkdream:
Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!
Muss nicht immer sein. Häufig ist auch nur ein Benutzerprofil betroffen, dafür macht man die Kiste nicht platt.@ Sonnenscheinhasser:
Warum spielt man nicht einfach das Backup ein, wenn die Kiste so extrem wichtig ist?
Falls vorhanden, ja. Aber ich arbeite momentan für eine kleine IT-Bude, welche vor allem Klein- und Kleinstbetriebe betreut. Dort existiert zwar in der Regel eine Datensicherung, diese betrifft aber dann meistens nur die Nutzerdaten (Word-Dokumente, Excel-Mappen, etc.). Klar ist das schlecht, aber unter Windows XP gab es halt noch keine Windows Datensicherung, welche schön ein Image der Systemdisk machen konnte. Acronis war den meisten zu teuer und man kann von den Nutzern nicht erwarten, dass sie regelmässig mit einer Linux-Livecd booten und dann mit dd ein Image erstellen.@ all:
Gute Erfahrungen habe ich mit der F-Secure-Boot CD gemacht, siehe hier: http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/rescue-cd/
Bis jetzt habe ich immer fast alles damit weggebracht, d.h. ich konnte zumindest die Scareware am Starten hindern. Wenn diese Scareware zumindest nicht mitstartet, kann man Sie danach meistens locker mit einem kompletten Virenscan killen. Einmal hatte ich das Problem, dass nach dem Durchlauf mit der F-Secure-CD keine Exe-Files mehr geöffnet werden konnten (ausser der Explorer.exe). Aber dafür gibt es auch eine Lösung:
http://www.kellys-korner-xp.com/xp_tweaks.htm
Danke für diesen Beitrag an TuXHunt3R (meine ich wirklich). Vor allem deswegen, weil da endlich mal einer nicht wieder den üblichen Oberlehrer rausholt. Leute: es geht hier um 'ne kleine Anleitung und nicht um Belehrstunden.
Zitat von @TuXHunt3R:
Tag
@ Lochkartenstanzer:
> Daher: Task-Manager aufrufen und Prozess direkt killen!
Wenn man den Task Manager überhaupt noch starten kann. Ich hatte hier so einen Fall, wo sich keine einzige Exe mehr
öffnen liess. Siehe hier:
Scareware -System Tool- entfernen
Tag
@ Lochkartenstanzer:
> Daher: Task-Manager aufrufen und Prozess direkt killen!
Wenn man den Task Manager überhaupt noch starten kann. Ich hatte hier so einen Fall, wo sich keine einzige Exe mehr
öffnen liess. Siehe hier:
Scareware -System Tool- entfernen
Dann hilft sowieso nur noch NOT-Aus (Stecker ziehen o.ä.) und dann mit live-cDs weitermachen.
@ Darkdream:
> Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!
Muss nicht immer sein. Häufig ist auch nur ein Benutzerprofil betroffen, dafür macht man die Kiste nicht platt.
Es ist eien fatale Annahme, daß sowieso nur ein Benutzerprofil betroffen ist. Dann könnte man ja einfach diese Profil löschen udn ein neues anlegen.
@ Sonnenscheinhasser:
> Warum spielt man nicht einfach das Backup ein, wenn die Kiste so extrem wichtig ist?
Falls vorhanden, ja. Aber ich arbeite momentan für eine kleine IT-Bude, welche vor allem Klein- und Kleinstbetriebe betreut.
Dort existiert zwar in der Regel eine Datensicherung, diese betrifft aber dann meistens nur die Nutzerdaten (Word-Dokumente,
Excel-Mappen, etc.). Klar ist das schlecht, aber unter Windows XP gab es halt noch keine Windows Datensicherung, welche schön
ein Image der Systemdisk machen konnte. Acronis war den meisten zu teuer und man kann von den Nutzern nicht erwarten, dass sie
regelmässig mit einer Linux-Livecd booten und dann mit dd ein Image erstellen.
Da hat jemand keine Ahnung von Kosten/Nutzung-Rechnung: Einfach mal vorrechnen, wieviel der Arbeitsausfall kostet, wenn mal so eine Kiste abschmiert und alles steht, und keiner mehr arbeiten kann.
Da hat jemand keine Ahnung von Kosten/Nutzung-Rechnung: Einfach mal vorrechnen, wieviel der Arbeitsausfall kostet, wenn mal so eine Kiste abschmiert und alles steht, und keiner mehr arbeiten kann.
Tja, das ist so. Und das wird von uns auch immer gemacht, aber die Realität sieht nun mal anders aus, als einem in den ganzen ITIL Kursen beigebracht wird.
Es ist eien fatale Annahme, daß sowieso nur ein Benutzerprofil betroffen ist. Dann könnte man ja einfach diese Profil löschen udn ein neues anlegen.
Habe ich gesagt, ich gehe grundsätzlich davon aus? Und ja, bei einem Kunden war das die Lösung: Profil restlos gelöscht, Avast! und Spybot drüberlaufen lassen und siehe da: Beide Programme finden nichts mehr.@ Frankoehli:
Kein Problem, mach ich doch gerne.....
Hallo,
ironie Tags an
Backup??
Seit wann wird von wichtigen Sachen ein Backup gemacht? Und evtl. noch eines das getestet und verfiziert ist? und Zu guter letzt auch noch aktuell?
Lachhaft sowas!
ironie Tags aus
brammer
ironie Tags an
Backup??
Seit wann wird von wichtigen Sachen ein Backup gemacht? Und evtl. noch eines das getestet und verfiziert ist? und Zu guter letzt auch noch aktuell?
Lachhaft sowas!
ironie Tags aus
brammer
Seit wann wird von wichtigen Sachen ein Backup gemacht? Und evtl. noch eines das getestet und verfiziert ist? und Zu guter letzt
auch noch aktuell?
auch noch aktuell?
Üblicherweise dann, wenn es einmal richtig weh getan hat. Danach läuft sowas üblicherweise
Schwarze Grüße,
Tom
Zitat von @Sonnenscheinhasser:
Üblicherweise dann, wenn es einmal richtig weh getan hat. Danach läuft sowas üblicherweise
Üblicherweise dann, wenn es einmal richtig weh getan hat. Danach läuft sowas üblicherweise
Meine Erfahrung ist, daß das aber nur eine kurze Weile anhält, bis man das "Aua" wieder vergessen hat. Dann werden die meisten wieder nachlässiger.
Meine Erfahrung ist, daß das aber nur eine kurze Weile anhält, bis man das "Aua" wieder vergessen hat. Dann werden die meisten wieder nachlässiger.
Jep, gerade heute wieder passiert. 12-jähriger Pentium III Rechner mit Windows XP und Banana Buchhaltung (einfaches Buchhaltungsprogramm ohne Datenbank, zum Sichern müssen nur die Files kopiert werden, was ja sogar NTBackup kann). Festplatte definitiv futsch, letzte Sicherung Ende letztes Jahr gemacht (beim Abschluss). Der arme Mensch darf nun 5 Monate Buchhaltung wieder nachtippen...... Hat er was gelernt? Ja. Wird sich sein Verhalten ändern? Für ein Jahr vielleicht.....
Hi,
als Tip falls der grafische Taskmanager nicht geht. Es gibt ab win xp professional 2 Befehl für die Konsole: tasklist.exe und taskkill.exe und schon kann man locker die Prozesse killen.
Gruss
Holli
als Tip falls der grafische Taskmanager nicht geht. Es gibt ab win xp professional 2 Befehl für die Konsole: tasklist.exe und taskkill.exe und schon kann man locker die Prozesse killen.
Gruss
Holli
Tag Holli
Danke für den Hinweis, aber das nützt auch nichts, wenn man gar keine Exe mehr starten kann. Die CMD ist auch eine Exe.....
Danke für den Hinweis, aber das nützt auch nichts, wenn man gar keine Exe mehr starten kann. Die CMD ist auch eine Exe.....
Tja, das ist so. Und das wird von uns auch immer gemacht, aber die Realität sieht nun mal anders aus, als einem in den ganzen
ITIL Kursen beigebracht wird.
Moin,
ITIL lehrt Dir, wie Du ein Problem strukturiert bearbeitest, nichr ob Du Karl Klammer oder Onkel BlueRay fragst ...
6 - setzen
Gruß
24
