Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Scareware -System Tool- entfernen

Anleitung Sicherheit Viren und Trojaner

Mitglied: TuXHunt3R

TuXHunt3R (Level 3) - Jetzt verbinden

12.03.2011, aktualisiert 22.03.2011, 14796 Aufrufe, 13 Kommentare, 4 Danke

Tag ans Forum

Ich hatte in den letzten paar Wochen viele Kunden, die mit der Scareware (http://de.wikipedia.org/wiki/Scareware ) "System Tools" auf Ihrem Rechner zu mir kamen. Es gibt einige Varianten davon, die sich verschieden auswirken. Allen gemein ist, dass sie automatisch mit dem System mitstarten, einen "Scan" machen und dann eine Liste mit angeblichen Viren anzeigen, die auf dem PC drauf seien. Des weiteren werden alle Programme, die man öffnen will, geblockt und es kommt oberhalb des Systrays eine Meldung, dass genau diese Exe-Datei, die man gerade öffnen wollte, verseucht sei. Die Scareware blockiert auch den automatischen Start des Virenwächters, rsp. meldet, dass dessen Exe-Datei verseucht sei.

Meistens sieht der Desktop dann so aus:
6fcf3b852f7cbfa2a15f9f25a1566a7c - Klicke auf das Bild, um es zu vergrößern

Sorry für die Spiegelung auf dem Bild, einen richtigen Screenshot konnte ich leider nicht machen und der Notebook des Kunden war ein günstiger mit spiegelndem Display.

Die dümmste Variante dieser Scareware, die ich nun schon bei diversen Kunden hatte, betrifft nicht das ganze System, sondern jeweils nur einen User. Ausserdem wird sie nicht ausgeführt, wenn man die Kiste im abgesicherten Modus startet. Was aber trotzdem komisch erscheinen mag, dass in Msconfig keine ungewöhnlichen Exe's aufgeführt sind, die mitstarten. Diese Anleitung gilt dann auch nur für diese "dumme" Variante der Scareware

Man entfernt die Scareware folgendermassen:

Zuerst muss verhindert werden, dass das Ding automatisch mitstartet, wenn man sich mit dem betroffenen User einloggt. Dazu startet man die Kiste im abgesicherten Modus und loggt sich mit dem betroffenen Benutzer ein. Daraufhin öffnet man den Registry Editor (Start => Ausführen => regedit) und öffnen folgenden Schlüssel:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Dort sollte sich dann auch nur ein REG_SZ Eintrag befinden, der auf eine Exe mit kryptischen Namen zeigt (bei mir waren es immer wirre Zeichenfolgen, z.B. l124ds6gfdgr.exe oder so ähnlich), die in irgend einem Ordner in %appdata% drin liegt. Löscht diesen Eintrag und bootet die Kiste neu.

Wenn es sich wirklich um diese "dumme" Variante der Scareware handelt, sollte diese jetzt nicht mehr mitstarten. Die entsprechenden Files sind aber immer noch auf der Festplatte. Ich empfehle danach einen kompletten Scan mit einem guten Virenscanner (ich empfehle einen Avast! Komplettscan mit scharfen Einstellungen, d.h. alle Dateien prüfen, alle Archive entpacken, hoher Wirkungsgrad, Startzeitprüfung ebenfalls ausführen) sowie mit der aktuellen Version von Spybot Search & Destroy (ebenfalls mit anschliessender Startzeitprüfung).

Et voila, der PC ist wieder sauber!

Ein weiterer Ort, wo sich solche Dinger in der Registry häufig auch einnisten, ist als Parameter für die explorer.exe (standardmässig die Default-Shell von Windows). Diese findet man in der Registry unter:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ im Eintrag "Shell" und unter HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ im Eintrag "Shell".

Einige solcher netten Schutzprogrämmchen hängen sich dann an die Explorer.exe an, d.h. im Eintrag "Shell" steht dann nicht mehr "explorer.exe", sondern "explorer.exe ichbineinvirus.exe" oder so...

Das wars, ich gehe jetzt eins trinken.

Schönen Abend noch und Gruss aus der Schweiz

TuXHunT3R
Mitglied: dan0ne
15.03.2011 um 15:09 Uhr
Hallo,

nette Anleitung! Was verlangt Ihr für eine solche "Beseitigung" ? :D

Gruss
Bitte warten ..
Mitglied: Pago159
15.03.2011 um 16:14 Uhr
Also beim PcSpezialist wurde dafür immer um die 30 - 50 € genommen.
Weil das meiste ja nur nebenbei läuft, ohne dass man groß Hand anlegen muss (Aussage vom ehemaligen Chef)
Bitte warten ..
Mitglied: TuXHunt3R
15.03.2011 um 22:41 Uhr
Tag dan1

Halbe Stunde Arbeit, 60 Schweizer Franken ohne Mehrwertsteuer. Wieso? Betroffen?
Bitte warten ..
Mitglied: TuXHunt3R
15.03.2011 um 22:43 Uhr
Beim ersten betroffenen Kunden habe ich eine Stunde aufgeschrieben, weil ich zuerst mal den richtigen Eintrag in der Registry suchen musste....

Theoretisch sollte man dafür aber mindestens 300.- aufschreiben und den Kunden ermahnen, er solle nicht auf jede Russenseite gehen und die UAC-Meldungen auch beachten und nicht einfach wegklicken...
Bitte warten ..
Mitglied: dan0ne
16.03.2011 um 09:29 Uhr
Moin,

nein ich bin nicht betroffen. War rein aus interesse, wir nehmen fuer soetwas 50€!
Gruss
Bitte warten ..
Mitglied: Biber
22.03.2011 um 18:35 Uhr
Moin TuXHunT3R,

ich finde deine Anleitung gut, besonders weil du sehr schön die wirklich ganz billigen und ganz platten Mechanismen behandelst,
die dennoch echte Freiland-PCs zum Trudeln bringen und echte Freiland-UserInnen zur Verzweiflung und zu den Fachleuten treiben.

Ich halte es für richtig und wichtig, dass dieser Mär von hoch genialen und hoch bezahlten Virenprogrammierern mal ein bisschen die Realität entgegengesetzt wird...
-> und die meisten "Viren" und "Trojaner" sind wirklich so blöd gestrickt, dass die sich mit einem feuchten Handtuch abwischen lassen.

Eine inhaltliche Fussnote - es fehlt ein Leerzeichen

Gut:
[HKLM oder HKCU]\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\

Guter:
[HKLM oder HKCU]\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
...also Leerzeichen zwischen "Windows" und "NT"

Am Gutesten:
  • bei automatisierter Prüfung z.B. mit REQ QUERY o.ä. den ganzen String in Anführungszeichen einbetten.
>reg query "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Grüße
Biber
Bitte warten ..
Mitglied: Krikki
22.03.2011 um 21:49 Uhr
Nabend,

gute Erfahrungen um diese ganzen Müll an Scareware zu beenden habe ich mit Rkill gemacht. (http://www.technibble.com/rkill-repair-tool-of-the-week/)
Dies beendet zuverlässig die Scareware, der Rest kann dann über die bekannten Wege bereinigt werden.

Gruß Krikki
Bitte warten ..
Mitglied: TuXHunt3R
22.03.2011 um 23:13 Uhr
Tag Biber

Alter Klugsch

Nein, stimmt natürlich. Danke für die Anmerkungen, habs korrigiert

Gruss
TuXHunT3R
Bitte warten ..
Mitglied: H41mSh1C0R
23.03.2011 um 09:19 Uhr
Hatte am Wochenende mit ner Scareware kurz "gespielt" die mir jeden Prozess beendet hat der während der Laufzeit erstellt wurde.

Also jeder Versuch msconfig oder regedit oder was auch immer zu starten wurde mit nem Kill <Prozess> quittiert. =) Dieses Killen dauerte immer ein paar Sekunden.

Die Scareware war leider sowas von beschäftigt wenn man VIIIIIEEEELLE Dinge gleichzeitig gestartet hat kam se nicht mehr hinterher. Im Taskmanager war nix zu sehen, daher am Ende der Runde den Prozess Hacker angeworfen und nachgeschaut
wo die Scareware sich eingehängt hatte. Der Explorer Prozess war ein Child der Scareware geworden
. Scareware Pfad sichergesteltl. Prozess beendet. Filesystem und Registry aufgeräumt fertig. =)

Die war sehr einfach gestrickt, aber hatte auch schon schwerere Kollegen, die nicht einfach sich in die RUN Ordner oder Shell Ordner geschrieben haben, sondern die mal eben den Loader/Generator in die Kategorie Treiber gepackt hatten.

Augenscheinlich sah das nach Scareware aus, weil wie in deinem Bild die wildestens Warnungen aufpoppten und man am besten gleich online den passenden Schutz kaufen sollte.

Das Ganze könnte aber auch in die Kategorie Rootkit passen, weil bei jedem Neustart wild exe Dateien generiert und übers System gestreut wurden. ^^
Bitte warten ..
Mitglied: DracoSodalis
30.03.2011 um 06:37 Uhr
Eine Freundin rief mich vor einpaar Tagen an und hatte genau dasselbe Problem. ständig kam das Fenster "Windows repair" auf. was sich auch nicht wegklicken kann. Diese Scareware hat komplett die eigenen Dateien, sowie das Startmenu, Desktop und c/ komplett versteckt. Ferndiagnose zu machen war schlecht. Also beschloss ich mich via TeamViewer auf die suche zu machen.

Über MSconfig udn Atuostart einträge habe ich als erstes nichts finden können, mit einem Eintrag konnte ich allerdings nichts anfangen, war wie zbsp ZyXuuiI.exe
VirenScanner wie Windows-Security, McAffee oder SpyBot hat auch nichts gebracht..

Also habe ich mal geschaut und habe entdeckt das, dass "Programm" alle Dateien auf versteckt gemacht habe.. ich habe komplett überall den Haken
raus aus versteckt gemacht und jeden Ordner auf "alle versteckte Dateien anzeigen" gemacht.. und siehe da Windows-Repair war nun auch im Startmenu
sowie in c:all users zu finden. Bin dann auf Windows-Repair Eigenschaften gegagen und das Ziel war eine Zahlenfolge wie 1912345.exe. Nun suchte
im suchprogramm nach allen Dateien die zu dem Tag des auftretes erstellt worden waren. Windows fand 4 Dateien mit der Zahlenfolge 1912345. Ebenso auch die in der MsConfig ZyXuuil.exe.

Alle Dateien befanden sich auf c:/all Users. Ich wusste nicht in wie weit ich sie manuell löschen konnte und habe folgendes gemacht
Alle dazugehörigen Dateien habe ich umbenannt und jeweils -1 - -5 dahinter geschrieben.
Ebenso den Haken aus der Msconfig unter Autostart bei dieser Datei ZyXuuil.exe entfernt.
Neustart

und er funktioniert wieder...

Aber dennoch würde ich raten den Rechner platt zu machen und wieder neu zu installieren, man weiss nie was er noch so alles angestellt udn drauf getan hat..

Gruss Dave
Bitte warten ..
Mitglied: TuXHunt3R
30.03.2011 um 22:33 Uhr
Aber dennoch würde ich raten den Rechner platt zu machen und wieder neu zu installieren, man weiss nie was er noch so alles angestellt udn drauf getan hat..

Tja, wenn es der Kunde dann bezahlen will......
Die meisten Leute denken dann "geht wieder" und sind zufrieden... Ein kompletter Scan mit Avast! und Spybot bringt das meiste weg, zumindest die einfachen Sachen wie dieser hier....
Bitte warten ..
Mitglied: Haumiblau
04.04.2011 um 11:50 Uhr
Ich hatte neulich einen Rechner mit der nicht "dummen" Variante. Das Mistvieh (gog.exe) hatt sogar im abgesicherten Modus verhindert, dass sich der Taskmanager o.ä. starten lies.
Konnte ihn dann aber doch unschädlich machen mit der neuen Desinfec't aus der Letzten c't.
Habe den Prozess gog.exe mit dem Process Explorer beendet und dann dessen autostart mit Autoruns verhindert. danach das System mit dem eigentlichen Desinfec't und Avira gesäubert.
Da diese "gog.exe" nicht von Avira als Virus betrachtet wurde habe ich die dann noch von Hand gelöscht.
Danach lief der Rechner wieder Einwand- und Virenfrei.
Bitte warten ..
Mitglied: Skyemugen
14.02.2012 um 13:43 Uhr
Aloha,

bei dem privat-Laptop meiner Chefin war unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run ein Eintrag, sonst nirgends, für Firefox.exe [75kB] (war und ist kein FF installiert), die sich in den C:\Users\Username\AppData\Local\Mozilla\Firefox hinterlegt hatte und in der Registry als ffndw oder so drinstand - Scareware, dieselbe Signatur wie auch beim BKA-Trojaner.
.exe gelöscht, Eintrag gelöscht, fertig war's

greetz André

P.S.: Nach dem Löschen hat Microsoft Security Essentials das Programm dann auch im RecycleBin als Trojaner erkannt, lmao
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Sicherheits-Tools
Anti-Schnüffler-Tool SAMRi10 soll Windows-Netzwerke schützen

Link von AnkhMorpork zum Thema Sicherheits-Tools ...

Microsoft Office
gelöst Visio 2003 auf aktuellem System (6)

Frage von ratzla zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...