Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Scareware und Malware entfernen auf User-PCs

Anleitung Microsoft

Mitglied: GPOdin

GPOdin (Level 2) - Jetzt verbinden

11.06.2011, aktualisiert 18.10.2012, 17031 Aufrufe, 22 Kommentare, 2 Danke

Zur Zeit mal wieder sehr ätzend: Scareware-Attacken mogeln vor, ein Computer sei "unsicher", "verseucht" oder ähnliches. Das entfernen dieser netten Programme ist mitunter ätzend.

Das fiese daran: die Programmierer nutzen Original-Logo's von Microsoft, McAfee etc. Der Nichtsahnende Anwender wiegt sich in Sicherheit und klickt natürlich eine der möglichen Buttons und schon ist der PC versaut (egal ob ja, nein, akzeptiert - alles Fake).

Hallo,


nachdem nun wieder mehrfach Leutchen mit Scarewareattacken Scareware oder MalWare vor mir standen und jedesmal verzweifelt Versuche unternommen haben den Kram los zu werden hier mal ein kleines ToDo. Vorweg: das ist nicht unbedingt ein ToDo für Profi-Admin's, sondern eher für die breite Masse gedacht!

Generell gilt: Vorsicht bei popups im Web, welche den Surfer verunsichern wollen. Hier hilft im Falle eines Falles nur: rechts oben in der Ecke das Kreuz klicken zum schliessen des PopUp's. Auf gar keinen Fall einen der vorgegeben Buttons!!! Und im extremfall: LAN-Verbindung/WLAN kappen und Rechner runterfahren; nur keine Buttons auf dem WebPopup klicken!!!

Zunächst mal einige Bildchen, was so alles auf dem PC aufpoppen kann: Google Bildersuche nach Scareware
Mein ganz persönlicher Favorit ist aber doch noch der hier:
23d5fcb94c04826fce7a2fc86b9c27ab - Klicke auf das Bild, um es zu vergrößern
Mit einem Klick auf "Enable Protection" hat der User verloren.....


Ok; dann gehts mal los:
Was brauchen wir:
*einen PC, welcher nicht befallen ist zum herunterladen des nächsten Schrittes
  • einen USB-Stick (Schreibschutz-Schalter wäre sinnvoll) oder eine CD, auf welchen/m eine aktuelle Version eines Remover's (ich nutze immer und das mit sehr guten Resultat "Malwarebytes Antimalware" - da hat bisher die Freeware immer gereicht Link).
*Microsoft's Anti-MalWare-Tool downloaden und mit auf den Stick/CD

Ich erklär das jetzt mal an diesem o.g. Tool; andere Programme funktionieren aber ähnlich.

Ok; los geht's:
*unseren Stick mit dem Remover am besten gleich anstecken (wegen evtl. Hardwareerkennungsprobleme); CD kann man später reintun
*Zunächst einfach mal den PC starten und mit "F8" im abgesicherten zustand booten
*in der Systemsteuerung unter "System" die automatische Systemwiederherstellung deaktivieren (manche fiesen dieser Programme stellen sich sonst immer wieder von selbst her)
*Nun einfach das Programm installieren. Unter Umstanänden möchte zwar die Erkennungsdatenbank aktualisiert werden; muss man aber nicht (man hat eh grad keinen Internetzugang weil wir im abgesicherten Modus arbeiten); einfach ignorieren die Warnung zum Download.
*dann einen Vollständigen Systemscan ausführen.
*am Ende sehen wir jede Menge Entdeckungen; diese anhaken und löschen
*Das Microsoft-Tool tuckern lassen (http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx Anleitung]
*Fertig! Pc neu starten (normal)
*jetzt die Systemwiederherstellung wieder einschalten und am besten euren Virenscanner tuckern lassen.

Wenn jetzt immer nich Probleme sind: Zeit für den Profi-Admin. Hier enden die Mittel für den normalen Anwender denn jetzt kommt es genau auf die Art der Scare-/Malware an. Spezifische Steps sind jetzt zu tun welche tief in das OS eingreifen.

So; ich hoffe das war ein wenig hilfreich. Ihr könnt mich gern auch anschrei(b)en zum Thema

Viel Glück!

Frank
Mitglied: Lochkartenstanzer
11.06.2011 um 20:41 Uhr
Zitat von GPOdin:
Generell gilt: Vorsicht bei popups im Web, welche den Surfer verunsichern wollen. Hier hilft im Falle eines Falles nur: rechts
oben in der Ecke das Kreuz klicken zum schliessen des PopUp's.

Obacht: Manche Popups gaukeln damit ein Schließen-Button vor und hinterlegen das mit anderen Aktionen!

Daher: Task-Manager aufrufen und Prozess direkt killen!
Bitte warten ..
Mitglied: DarkDream76646
11.06.2011 um 22:02 Uhr
Hallo ....

Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!


Gruß...
Bitte warten ..
Mitglied: GPOdin
12.06.2011 um 10:21 Uhr
Hi,
zum Thema...

Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!

...grundsätzlich hast Du sicherlich Deine Erfahrungen damit gemacht. Nur gibt es eben auch Rechner, wo das so nicht geht (z.B. bei hochwertigen Managementrechnern, wo lizenzierte Software installiert ist welche nicht re-Lizenzierbar sind).

Theorie ist klar: neu installieren ist der sicherste Weg ...Doch Theorie und Praxis unterscheiden sich eben ab und an

Frohe Pfingsten!
Bitte warten ..
Mitglied: GPOdin
12.06.2011 um 10:24 Uhr
Hi,

stimmt:
> Generell gilt: Vorsicht bei popups im Web, welche den Surfer verunsichern wollen. Hier hilft im Falle eines Falles nur:
rechts
> oben in der Ecke das Kreuz klicken zum schliessen des PopUp's.

Obacht: Manche Popups gaukeln damit ein Schließen-Button vor und hinterlegen das mit anderen Aktionen!

Daher: Task-Manager aufrufen und Prozess direkt killen!

ABER: manchmal sperren die Programme auch genau den Taskmanager. Versuchen sollte man es aber auf alle Fälle!

Für den Basisanwender:
  • STRG+ALT+ENTF drücken und den Task-Manager starten
  • auf der ersten Karteikarte alle Browserapplikationen killen (Prozess beenden).
  • Hoffen und Beten ()

LG
Bitte warten ..
Mitglied: Lochkartenstanzer
12.06.2011 um 11:33 Uhr
Zitat von GPOdin:
...grundsätzlich hast Du sicherlich Deine Erfahrungen damit gemacht. Nur gibt es eben auch Rechner, wo das so nicht geht
(z.B. bei hochwertigen Managementrechnern, wo lizenzierte Software installiert ist welche nicht re-Lizenzierbar sind).

Du meinst sie wissen nicht mehr, von wem sie die Raubkopie hatten?

Plattmachen! Dann lernen sie es wenigstens.

nachtrag: gerade wenn es "hochwertige Managementrechenr" sind, ist es sinnvoll, deutlich zu machen, daß damit Industriespionage Tür und Tor geöffnet wird. Dort sind sind besonders wertvolle daten zum Abgreifen vorhanden. Hier soltle kein Weg dran vorbeiführen, die Kiste plattzumachen.
Bitte warten ..
Mitglied: wiesi200
12.06.2011 um 13:21 Uhr
Zitat von GPOdin:
(z.B. bei hochwertigen Managementrechnern, wo lizenzierte Software installiert ist welche nicht re-Lizenzierbar sind).

Hallo,

sowas gibt's nicht wenn du die Software sauber gekauft hast gib's immer Möglichkeiten.
Bitte warten ..
Mitglied: GPOdin
12.06.2011 um 17:27 Uhr

sowas gibt's nicht wenn du die Software sauber gekauft hast gib's immer Möglichkeiten.

Oh doch sowas gibt es. In Industriebereichen, in welchen die herstellende Firma leider nicht mehr existiert um eine Onlinefreischlatung der extrem teuren Berechnungssoftware für Robotik-Steueranlagen möglich zu machen....

Böses dem der böses denkt
Bitte warten ..
Mitglied: Florian.Sauber
12.06.2011 um 18:15 Uhr
Tag auch,

unabhängig davon, ob es da nun gibt, geben soll, muss, kann oder eben nicht:
Wenn das wertvolle Maschinchen denn so gestrickt wurde, dass es von Schadprogrammen befallen werden kann, die man mit Haus- und Hof- Tools ala Malwarebytes und Konsorten in den Griff bekommt, sollte man sich doch dringend über die nicht vorhandene und trotzdem genutzte konzeptionelle Knieschuss-Strategie Gedanken machen.
Beim dem schon länger vorhandenen Medienecho über Würmer, Viren & Co. kann solch ein Verhalten nämlich nicht mehr nur mit "fahrlässig" bewertet werden.

Grüsse Florian
Bitte warten ..
Mitglied: GPOdin
12.06.2011 um 19:28 Uhr
Whatever...
Thema erklärt und wie, weshalb, warum usw. denk ich ist Thematik verfehlt und dient nicht dem eigentlichen Beitragszweck.

Amen.
Bitte warten ..
Mitglied: Lochkartenstanzer
12.06.2011 um 21:22 Uhr
Zitat von GPOdin:
>
> sowas gibt's nicht wenn du die Software sauber gekauft hast gib's immer Möglichkeiten.

Oh doch sowas gibt es. In Industriebereichen, in welchen die herstellende Firma leider nicht mehr existiert um eine
Onlinefreischlatung der extrem teuren Berechnungssoftware für Robotik-Steueranlagen möglich zu machen....


Ah, Du meinst keine Kisten des Wasserkopfes, sondern Steuerungsrechner. Aber wenn das so ein wertvolles Maschinchen ist, muß man den Admin teeren und federn, wenn er zuläßt, daß sowas passieren kann.
Bitte warten ..
Mitglied: Sonnenscheinhasser
13.06.2011 um 01:11 Uhr
Warum spielt man nicht einfach das Backup ein, wenn die Kiste so extrem wichtig ist?

Schwarze Grüße,
Tom
Bitte warten ..
Mitglied: TuXHunt3R
13.06.2011, aktualisiert 18.10.2012
Tag

@ Lochkartenstanzer:
Daher: Task-Manager aufrufen und Prozess direkt killen!
Wenn man den Task Manager überhaupt noch starten kann. Ich hatte hier so einen Fall, wo sich keine einzige Exe mehr öffnen liess. Siehe hier:
http://www.administrator.de/wissen/scareware-system-tool-entfernen-1625 ...

@ Darkdream:
Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!
Muss nicht immer sein. Häufig ist auch nur ein Benutzerprofil betroffen, dafür macht man die Kiste nicht platt.

@ Sonnenscheinhasser:
Warum spielt man nicht einfach das Backup ein, wenn die Kiste so extrem wichtig ist?
Falls vorhanden, ja. Aber ich arbeite momentan für eine kleine IT-Bude, welche vor allem Klein- und Kleinstbetriebe betreut. Dort existiert zwar in der Regel eine Datensicherung, diese betrifft aber dann meistens nur die Nutzerdaten (Word-Dokumente, Excel-Mappen, etc.). Klar ist das schlecht, aber unter Windows XP gab es halt noch keine Windows Datensicherung, welche schön ein Image der Systemdisk machen konnte. Acronis war den meisten zu teuer und man kann von den Nutzern nicht erwarten, dass sie regelmässig mit einer Linux-Livecd booten und dann mit dd ein Image erstellen.


@ all:
Gute Erfahrungen habe ich mit der F-Secure-Boot CD gemacht, siehe hier: http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/rescue-cd/
Bis jetzt habe ich immer fast alles damit weggebracht, d.h. ich konnte zumindest die Scareware am Starten hindern. Wenn diese Scareware zumindest nicht mitstartet, kann man Sie danach meistens locker mit einem kompletten Virenscan killen. Einmal hatte ich das Problem, dass nach dem Durchlauf mit der F-Secure-CD keine Exe-Files mehr geöffnet werden konnten (ausser der Explorer.exe). Aber dafür gibt es auch eine Lösung:
http://www.kellys-korner-xp.com/xp_tweaks.htm
Bitte warten ..
Mitglied: GPOdin
13.06.2011 um 11:28 Uhr
Danke für diesen Beitrag an TuXHunt3R (meine ich wirklich). Vor allem deswegen, weil da endlich mal einer nicht wieder den üblichen Oberlehrer rausholt. Leute: es geht hier um 'ne kleine Anleitung und nicht um Belehrstunden.
Bitte warten ..
Mitglied: Lochkartenstanzer
13.06.2011, aktualisiert 18.10.2012
Zitat von TuXHunt3R:
Tag

@ Lochkartenstanzer:
> Daher: Task-Manager aufrufen und Prozess direkt killen!
Wenn man den Task Manager überhaupt noch starten kann. Ich hatte hier so einen Fall, wo sich keine einzige Exe mehr
öffnen liess. Siehe hier:
http://www.administrator.de/wissen/scareware-system-tool-entfernen-1625 ...

Dann hilft sowieso nur noch NOT-Aus (Stecker ziehen o.ä.) und dann mit live-cDs weitermachen.


@ Darkdream:
> Mach die Kiste platt - neu Migrieren ist die beste Möglichkeit wie langes gebastell!
Muss nicht immer sein. Häufig ist auch nur ein Benutzerprofil betroffen, dafür macht man die Kiste nicht platt.

Es ist eien fatale Annahme, daß sowieso nur ein Benutzerprofil betroffen ist. Dann könnte man ja einfach diese Profil löschen udn ein neues anlegen.


@ Sonnenscheinhasser:
> Warum spielt man nicht einfach das Backup ein, wenn die Kiste so extrem wichtig ist?
Falls vorhanden, ja. Aber ich arbeite momentan für eine kleine IT-Bude, welche vor allem Klein- und Kleinstbetriebe betreut.
Dort existiert zwar in der Regel eine Datensicherung, diese betrifft aber dann meistens nur die Nutzerdaten (Word-Dokumente,
Excel-Mappen, etc.). Klar ist das schlecht, aber unter Windows XP gab es halt noch keine Windows Datensicherung, welche schön
ein Image der Systemdisk machen konnte. Acronis war den meisten zu teuer und man kann von den Nutzern nicht erwarten, dass sie
regelmässig mit einer Linux-Livecd booten und dann mit dd ein Image erstellen.

Da hat jemand keine Ahnung von Kosten/Nutzung-Rechnung: Einfach mal vorrechnen, wieviel der Arbeitsausfall kostet, wenn mal so eine Kiste abschmiert und alles steht, und keiner mehr arbeiten kann.
Bitte warten ..
Mitglied: TuXHunt3R
13.06.2011 um 21:59 Uhr
Da hat jemand keine Ahnung von Kosten/Nutzung-Rechnung: Einfach mal vorrechnen, wieviel der Arbeitsausfall kostet, wenn mal so eine Kiste abschmiert und alles steht, und keiner mehr arbeiten kann.

Tja, das ist so. Und das wird von uns auch immer gemacht, aber die Realität sieht nun mal anders aus, als einem in den ganzen ITIL Kursen beigebracht wird.

Es ist eien fatale Annahme, daß sowieso nur ein Benutzerprofil betroffen ist. Dann könnte man ja einfach diese Profil löschen udn ein neues anlegen.
Habe ich gesagt, ich gehe grundsätzlich davon aus? Und ja, bei einem Kunden war das die Lösung: Profil restlos gelöscht, Avast! und Spybot drüberlaufen lassen und siehe da: Beide Programme finden nichts mehr.

@ Frankoehli:
Kein Problem, mach ich doch gerne.....
Bitte warten ..
Mitglied: brammer
14.06.2011 um 16:33 Uhr
Hallo,

ironie Tags an
Backup??
Seit wann wird von wichtigen Sachen ein Backup gemacht? Und evtl. noch eines das getestet und verfiziert ist? und Zu guter letzt auch noch aktuell?
Lachhaft sowas!

ironie Tags aus

brammer
Bitte warten ..
Mitglied: Sonnenscheinhasser
14.06.2011 um 18:17 Uhr
Zitat von brammer:

Seit wann wird von wichtigen Sachen ein Backup gemacht? Und evtl. noch eines das getestet und verfiziert ist? und Zu guter letzt
auch noch aktuell?


Üblicherweise dann, wenn es einmal richtig weh getan hat. Danach läuft sowas üblicherweise

Schwarze Grüße,
Tom
Bitte warten ..
Mitglied: Lochkartenstanzer
14.06.2011 um 19:31 Uhr
Zitat von Sonnenscheinhasser:
Üblicherweise dann, wenn es einmal richtig weh getan hat. Danach läuft sowas üblicherweise

Meine Erfahrung ist, daß das aber nur eine kurze Weile anhält, bis man das "Aua" wieder vergessen hat. Dann werden die meisten wieder nachlässiger.
Bitte warten ..
Mitglied: TuXHunt3R
14.06.2011 um 21:57 Uhr
Meine Erfahrung ist, daß das aber nur eine kurze Weile anhält, bis man das "Aua" wieder vergessen hat. Dann werden die meisten wieder nachlässiger.

Jep, gerade heute wieder passiert. 12-jähriger Pentium III Rechner mit Windows XP und Banana Buchhaltung (einfaches Buchhaltungsprogramm ohne Datenbank, zum Sichern müssen nur die Files kopiert werden, was ja sogar NTBackup kann). Festplatte definitiv futsch, letzte Sicherung Ende letztes Jahr gemacht (beim Abschluss). Der arme Mensch darf nun 5 Monate Buchhaltung wieder nachtippen...... Hat er was gelernt? Ja. Wird sich sein Verhalten ändern? Für ein Jahr vielleicht.....
Bitte warten ..
Mitglied: holli.zimmi
17.06.2011 um 08:25 Uhr
Hi,

als Tip falls der grafische Taskmanager nicht geht. Es gibt ab win xp professional 2 Befehl für die Konsole: tasklist.exe und taskkill.exe und schon kann man locker die Prozesse killen.

Gruss

Holli
Bitte warten ..
Mitglied: TuXHunt3R
18.06.2011 um 18:54 Uhr
Tag Holli

Danke für den Hinweis, aber das nützt auch nichts, wenn man gar keine Exe mehr starten kann. Die CMD ist auch eine Exe.....
Bitte warten ..
Mitglied: 2hard4you
27.06.2011 um 22:42 Uhr
Zitat von TuXHunt3R:


Tja, das ist so. Und das wird von uns auch immer gemacht, aber die Realität sieht nun mal anders aus, als einem in den ganzen
ITIL Kursen beigebracht wird.



Moin,

ITIL lehrt Dir, wie Du ein Problem strukturiert bearbeitest, nichr ob Du Karl Klammer oder Onkel BlueRay fragst ...

6 - setzen

Gruß

24
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
User-ID zu Application Crash

Frage von pablovic zum Thema Windows Server ...

Erkennung und -Abwehr
Mehr als 1 Million Google Accounts von Malware Gooligan gekapert

Link von Frank zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...