Autor: bregovic
Antivirus Soft entfernen
Antivirus Soft ist eine Rogue Software. Sie gaukelt einem vor, dass der Rechner verseucht ist. In Wirklichkeit wird der Rechner aber durch die Software selbst verseucht.
Merkmale
- Verschiedene Fenster mit Sicherheitswarnungen erscheinen.
- Es wird ein Proxy eingetragen, der eine normale Internetverbindung nicht mehr zulässt.
- Es können keine systembezogenen Programme, wie z.B. der Taskmanager, mehr gestartet werden.
- Manipulation der Registry
Identifikation
Als erstes erscheint ein angebliches Security Fenster, das einen Scan durchführt..
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_01.gif]
Bild 1: Antivirus Soft Startfenster
Im Tray ist ein Icon für Antivirus Soft vorhanden, es wird eine Sicherheitswarnung ausgegeben.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_02.gif]
Bild 2: Windows Sicherheitswarnung
Im Anschluss des Scans wird eine vermeintliche Infektion des Systems angezeigt, mit der Aufforderung einer Reaktion.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_03.gif]
Bild 3: Vermeintliche Infektion
Der Aufruf des Browsers ist nur noch eingeschränkt möglich. Die Startseite ist verändert.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_04.gif]
Bild 4: Manipulation des Internet Explorers
Ein Blick auf die Verbindungseinstellungen im Browser Menü (Extras-Internetoptionen-Verbindungen-LAN Einstellungen)zeigt, dass ein Proxy aktiviert wurde.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_05.gif]
Bild 5: Proxy wurde aktiviert
Als Proxy ist Localhost eingetragen.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_06.gif]
Bild 6: Proxy-Einstellungen
Zwischendurch öffnen sich immer wieder einige Fenster:
Das Sicherheitscenter von Microsoft.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_07.gif]
Bild 7: Microsoft-Sicherheitscenter
Sobald versucht wird, systembezogene Programme zu öffnen, erscheint eine Fehlermeldung. Diese besagt, dass die jeweilige Anwendung infiziert sei und aus Sicherheitsgründen nicht gestartet wird. Die Fehlermeldung tritt u.a. auf bei:
- Aufruf der Windows Firewall Einstellungen.
- Aufruf des Taskmanagers.
- Aufruf von msconfig
- Aufruf eines Virenscanners.
- und verschiedenen anderen Programmen.
- Folgende Dateien werden erstellt:
%UserProfile%\Local Settings\Application Data\<random>\
%UserProfile%\Local Settings\Application Data\<random>\<random>sysguard.exe
%UserProfile%\Local Settings\Application Data\<random>\<random>sftav.exe
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_08.gif]
Bild 8: rundll32.exe infiziert
Weiterhin werden zwischendurch immer wieder Angriffe gemeldet.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_09.gif]
Bild 9: Angriffe?!
Sowie ein Hinweis, dass das System ungeschützt sei.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_10.gif]
Bild 10: Ist das System wirklich geschützt?
Bereinigung
Eine Bereinigung ist nur im abgesicherten Modus möglich, da weder ein Internetzugang möglich, noch ein Removal Tool startbar ist.
Da auch msconfig nicht genutzt werden kann, muss der Neustart des Rechners über Start - neu starten geschehen.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_11.gif]
Bild 11: Neu starten
Dann die Taste "F8" drücken, bis das Startmenü erscheint.
Ganz wichtig: Wähle abgesicherter Modus mit Netzwerkunterstützung.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_12.gif]
Bild 12: Abgesicherter Modus
Bevor das Removal Tool heruntergeladen werden kann, muss das Häkchen für den Proxy in den Verbindungseinstellungen rausgenommen werden.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_13.gif]
Bild 13: Proxyeinstellungen
Jetzt bitte Malwarebytes Anti-Malware herunterladen und starten.
Zum Bereinigen von Antivirus Soft reicht diesmal ein Quickscan.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_14.gif]
Bild 14: Malwarebytes Anti-Malware
Wenn der Scan abgeschlossen ist, wird er die Infektion zeigen. Als nächsten Schritt auf "Ergebnisse anzeigen" klicken.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_15.gif]
Bild 15: Scanergebnis
Logfile nach Scan:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3697
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
06.02.2010 21:20:31
mbam-log-2010-02-06 (21-20-31).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99331
Laufzeit: 3 minute(s), 33 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\avsoft (Trojan.FakeAV) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
%UserProfile%\Local Settings\Application Data\<random>\<random>sysguard.exe
%UserProfile%\Local Settings\Application Data\<random>\<random>sftav.exeAlle entdeckten Objekte von "Antivirus Soft" sollten markiert sein. Klickt nun auf "Auswahl entfernen" Falls ihr euch nicht sicher seid, ob die gefundenen Objekte wirklich zu "Antivirus Soft" gehören, postet ein Log File ins Malware-Forum. Wie ihr das Log File gegebenenfalls erstellt, könnt ihr hier nachlesen.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_16.gif]
Bild 16: Funde
Der Rechner muss nun neu gestartet werden (normaler Modus). Bitte nach dem Neustart zur Sicherheit einen erneuten Scan durchführen. Das Ergebnis sollte negativ sein.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…t/avsoft_17.gif]
Bild 17: Scanergebnis
Das dazugehörige Logfile:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3697
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
06.02.2010 21:29:15
mbam-log-2010-02-06 (21-29-15).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99664
Laufzeit: 3 minute(s), 24 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)