Autor: bregovic
Antivirus Soft entfernen
Antivirus Soft ist eine Rogue Software. Sie gaukelt einem vor, dass der Rechner verseucht ist. In Wirklichkeit wird der Rechner aber durch die Software selbst verseucht.
Merkmale
- Verschiedene Fenster mit Sicherheitswarnungen erscheinen.
- Es wird ein Proxy eingetragen, der eine normale Internetverbindung nicht mehr zulässt.
- Es können keine systembezogenen Programme, wie z.B. der Taskmanager, mehr gestartet werden.
- Manipulation der Registry
Identifikation
Als erstes erscheint ein angebliches Security Fenster, das einen Scan durchführt..
Bild 1: Antivirus Soft Startfenster
Im Tray ist ein Icon für Antivirus Soft vorhanden, es wird eine Sicherheitswarnung ausgegeben.
Bild 2: Windows Sicherheitswarnung
Im Anschluss des Scans wird eine vermeintliche Infektion des Systems angezeigt, mit der Aufforderung einer Reaktion.
Bild 3: Vermeintliche Infektion
Der Aufruf des Browsers ist nur noch eingeschränkt möglich. Die Startseite ist verändert.
Bild 4: Manipulation des Internet Explorers
Ein Blick auf die Verbindungseinstellungen im Browser Menü (Extras-Internetoptionen-Verbindungen-LAN Einstellungen)zeigt, dass ein Proxy aktiviert wurde.
Bild 5: Proxy wurde aktiviert
Als Proxy ist Localhost eingetragen.
Bild 6: Proxy-Einstellungen
Zwischendurch öffnen sich immer wieder einige Fenster:
Das Sicherheitscenter von Microsoft.
Bild 7: Microsoft-Sicherheitscenter
Sobald versucht wird, systembezogene Programme zu öffnen, erscheint eine Fehlermeldung. Diese besagt, dass die jeweilige Anwendung infiziert sei und aus Sicherheitsgründen nicht gestartet wird. Die Fehlermeldung tritt u.a. auf bei:
- Aufruf der Windows Firewall Einstellungen.
- Aufruf des Taskmanagers.
- Aufruf von msconfig
- Aufruf eines Virenscanners.
- und verschiedenen anderen Programmen.
- Folgende Dateien werden erstellt:
%UserProfile%\Local Settings\Application Data\<random>\
%UserProfile%\Local Settings\Application Data\<random>\<random>sysguard.exe
%UserProfile%\Local Settings\Application Data\<random>\<random>sftav.exe
Bild 8: rundll32.exe infiziert
Weiterhin werden zwischendurch immer wieder Angriffe gemeldet.
Bild 9: Angriffe?!
Sowie ein Hinweis, dass das System ungeschützt sei.
Bild 10: Ist das System wirklich geschützt?
Bereinigung
Eine Bereinigung ist nur im abgesicherten Modus möglich, da weder ein Internetzugang möglich, noch ein Removal Tool startbar ist.
Da auch msconfig nicht genutzt werden kann, muss der Neustart des Rechners über Start - neu starten geschehen.
Bild 11: Neu starten
Dann die Taste "F8" drücken, bis das Startmenü erscheint.
Ganz wichtig: Wähle abgesicherter Modus mit Netzwerkunterstützung.
Bild 12: Abgesicherter Modus
Bevor das Removal Tool heruntergeladen werden kann, muss das Häkchen für den Proxy in den Verbindungseinstellungen rausgenommen werden.
Bild 13: Proxyeinstellungen
Jetzt bitte Malwarebytes Anti-Malware herunterladen und starten.
Zum Bereinigen von Antivirus Soft reicht diesmal ein Quickscan.
Bild 14: Malwarebytes Anti-Malware
Wenn der Scan abgeschlossen ist, wird er die Infektion zeigen. Als nächsten Schritt auf "Ergebnisse anzeigen" klicken.
Bild 15: Scanergebnis
Logfile nach Scan:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3697
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
06.02.2010 21:20:31
mbam-log-2010-02-06 (21-20-31).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99331
Laufzeit: 3 minute(s), 33 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\avsoft (Trojan.FakeAV) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
%UserProfile%\Local Settings\Application Data\<random>\<random>sysguard.exe
%UserProfile%\Local Settings\Application Data\<random>\<random>sftav.exe
Alles anzeigen
Alle entdeckten Objekte von "Antivirus Soft" sollten markiert sein. Klickt nun auf "Auswahl entfernen" Falls ihr euch nicht sicher seid, ob die gefundenen Objekte wirklich zu "Antivirus Soft" gehören, postet ein Log File ins Malware-Forum. Wie ihr das Log File gegebenenfalls erstellt, könnt ihr hier nachlesen.
Bild 16: Funde
Der Rechner muss nun neu gestartet werden (normaler Modus). Bitte nach dem Neustart zur Sicherheit einen erneuten Scan durchführen. Das Ergebnis sollte negativ sein.
Bild 17: Scanergebnis
Das dazugehörige Logfile:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3697
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
06.02.2010 21:29:15
mbam-log-2010-02-06 (21-29-15).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99664
Laufzeit: 3 minute(s), 24 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Alles anzeigen