Anleitung für das Entfernen der Malware Security Scanner

Inhaltsverzeichnis:

1. Beschreibung eines Security Scanners und der Support-Möglichkeiten im Rahmen des Service
2. Anweisungen zum Entfernen
3. Zugeordnete Security Scanner-Dateien
4. Zugeordnete Registrierungsinformationen für den Security Scanner
5. Verhindern von erneuten Infizierungen

Beschreibung eines Security Scanners und der Support-Möglichkeiten im Rahmen des Service

Die Software Security Scanner ist Malware und ähnelt der Malware Security Shield. Es ist ein schädliches Anti-Spyware-Programm. Es führt einen falschen Scan-Vorgang auf Ihrem PC durch und zeigt falsche Warnmeldungen an. Sie können keine Anwendungen mehr ausführen. Normalerweise gelangt diese Malware über einen Virus oder durch den Besuch einer Website auf Ihren Computer, die versucht, Sicherheitslücken auf Ihrem Computer auszunutzen. Die Installation erfolgt ohne Ihr Wissen oder Ihre Erlaubnis. Die Malware fügt sich selbst auf Ihrem Computer als zufällig benannte Datei hinzu. Es befindet sich in C:Documents and SettingsLocal SettingsApplication Data, wenn Sie XP oder C:UsersAppDataLocal verwenden, wenn Sie ein neueres Betriebssystem verwenden.

Die sicherste Methode zur Lösung dieses Problems ist die Wiederherstellung der werkseitigen Konfigurationen oder die Installation eines sauberen Betriebssystems auf Ihrem Computer. Die Anleitung zur Neuinstallation wird von den Serviceleistungen abgedeckt. Außerdem finden Sie entsprechende Links auf der Seite unten zu Artikeln, die auf ein bestimmtes Betriebssystem oder eine Situation abgestimmt sind:

• Ein Online-Handbuch zur Neuinstallation oder Wiederherstellung des Betriebssystems auf Ihrem Dell Computer

Die Malware durchsucht Ihren Computer und meldet zahlreiche infizierte Dateien auf Ihrem Computer. Bevor Sie diese Infizierungen entfernen können, werden Sie darauf hingewiesen, dass Sie zunächst das Programm kaufen müssen. Kaufen Sie auf keinen Fall das Programm. All diese Berichte sind falsch.

Um Sie davon abzuhalten, es zu entfernen, und um Ihnen den Eindruck zu geben, dass Ihr Computer gleich nicht mehr reagiert. Alle Programme, die Sie ausführen möchten, werden daran gehindert. Jedes Mal, wenn ein Programm beendet wird, werden Warnmeldungen angezeigt, die besagen, dass das Programm infiziert sei. Diese Meldungen geben an, dass Sie einen Sicherheitsscanner kaufen sollten, um die Infektion zu entfernen.
 

"winword.exe" is infected with "Backdoor:Win32/Samsteal.A.dr".
Do you want to register your copy and remove all threats now?

Es werden Infektionen gemeldet wie:

• Backdoor: Win 32
• Hackdef.O
• Virus.DOS.Lct.599
• Virus.DOS.Silver.2071
• Virus.DOS.Zerobug.1536.a
• TrojanWin32.KillWin.bl
• Backdoor.Win32.RA-based
• TrojanWin32.Killav.k
• Backdoor.WinCE.Brador.a

Ignorieren Sie bitte diese Meldungen in Bezug auf die Scan-Ergebnisse.

Es werden verschiedene Warnmeldungen angezeigt, z. B.:

Security Scanner Warning
Spyware.IEMonster process is found. This is a virus that is trying to send your passwords from Internet browser (Explorer, Mozilla Firefox, Outlook & others) for the third-parties.
Click here to protect your data with Security Scanner.

Security Scanner Warning
Harmful software have been detected at your PC.
Click here to deactivate it.

Security Scanner Warning
Security Scanner has found viruses at your system.
We highly recommend to get license for Security Scanner to remove harmful software now.

Außerdem übernimmt Security Scanner die Kontrolle über den Internet Explorer, um Sie daran zu hindern, Software zum Reinigen Ihres Systems herunterzuladen. In der Regel werden Warnungen auf dem Bildschirm angezeigt, die Ihnen mitteilen, dass die von Ihnen besuchte Seite nicht sicher ist und versucht, Ihren Computer zu infizieren.

This page under virus attack. This may crash your system.
This may be caused by :

Virus content founded at this site trying to install its components.
Malicious & unknown network processes are determined.
Your system is under virus attack
Negative references from other citizens concerning this web page.
Your system ports and backdoors have been checked by visited page for external access.

Recommendations:

Obtain a license of "Security Scanner" to protect your PC for the safest browsing Internet pages (desirable)
Launch spyware, virus and malware scanning process.
Keep browsing

Ignorieren Sie die oben genannten Meldungen. Security Scanner wurde nur dazu entwickelt, Sie vom Kauf des Programms zu überzeugen. Kaufen Sie das Programm AUF KEINEN FALL. Wenn Sie bereits dafür bezahlt haben, kontaktieren Sie Ihr Kreditkartenunternehmen, um die Zahlung zu stornieren. Informieren Sie Ihr Kreditkartenunternehmen darüber, dass das Programm ein Computervirus ist und dass versucht wird, Kreditkarteninformationen zu erfassen und Geld zu erpressen.

Anweisungen zum Entfernen

Wir beginnen, indem das System im abgesicherten Modus mit Netzwerktreibern gestartet wird. Befolgen Sie dazu die entsprechenden Anleitungen für Ihre Version von Windows:

• Anleitung zum Starten im abgesicherten Modus unter Windows 11 oder Windows 10
• Anleitung zum Starten im abgesicherten Modus unter Windows 10 

Sie gelangen schließlich zu einem Menü, das dem Beispiel unten ähnelt.

Windows Advanced Options Menu
Please select an option:

      Safe Mode
      Safe Mode with Networking
      Safe Mode with Command Prompt

      Enable Boot Logging
      Enable VGA Mode
      Last Known Good Configuration (your most recent settings that worked)
      Directory Services Restore Mode (Windows domain controllers only)
      Debugging Mode
      Disable automatic restart on system failure

      Start Windows Normally
      Reboot

Use the up and down arrow keys to move the highlight to your choice.

Navigieren Sie mit dem Cursor oder den Pfeiltasten auf der Tastatur, und wählen Sie auf dem Bildschirm Abgesicherter Modus mit Netzwerktreibern aus. Drücken Sie dann die Eingabetaste auf Ihrer Tastatur.

Windows wird im abgesicherten Modus mit Netzwerktreibern gestartet und Sie werden aufgefordert, sich als ein Benutzer anzumelden. Melden Sie sich als der Nutzer an, der von der Malware infiziert ist.

Diese Malware bearbeitet Ihre Einstellungen für Windows so, dass ein Proxy-Server verwendet wird. Dies verhindert, dass Sie Internetseiten aufrufen oder Ihre Sicherheits-Software aktualisieren können. Befolgen Sie diese Anweisungen, sodass wir die Tools zur Entfernung dieser Infizierung herunterladen können. 

Sie können entweder den Internet Explorer starten und die Internetoptionen aus dem Extras-Menü auswählen, oder Sie rufen die Systemsteuerung auf und öffnen dort die Internetoptionen.

Klicken Sie auf die Registerkarte Verbindungen.

Klicken Sie auf die Schaltfläche LAN Einstellungen.

Deaktivieren Sie das Kontrollkästchen Proxy-Server für LAN verwenden. Klicken oder tippen Sie auf die Schaltfläche OK, um Ihre Auswahl zu beenden und das Fenster zu schließen. Drücken Sie erneut auf OK, um das Fenster mit den Internetoptionen zu schließen. Nun sollten Sie in der Lage sein, die Tools zum Entfernen aus dem Internet herunterzuladen.

Der erste Schritt der Entfernung besteht darin, die zur Malware gehörenden Prozesse zu beenden. In diesem Fall verwende ich RKill, ein mir recht vertrautes Programm. Sie können ein anderes Programm verwenden, aber die folgenden Schritte gelten für dieses Programm. Sie können RKill auf Ihren Desktop über den folgenden Link herunterladen. (BleepingComputer hat RKill, ein sehr nützliches Programm, als Freeware entwickelt).

• Link zum Download von RKill   

Sie sollten sowohl RKill als auch iexplore.exe auf einen anderen Computer herunterladen, da manche Malware RKill erkennt und versucht, dessen Ausführung zu verhindern. Speichern Sie beides mit einem Wechselmedium auf Ihrem Desktop.

Doppelklicken Sie auf das Symbol für RKill oder iExplore.exe, um alle mit dem Security Scanner und anderen defekten Programmen verbundenen Prozesse zu stoppen. Es kann eine Weile dauern, bis die Programme beendet werden. Danach wird das schwarze Fenster geschlossen. Wenn Sie eine Fehlermeldung erhalten, die Sie darüber informiert, dass RKill ein Virus ist, ignorieren Sie diese. Wenn eine dieser Warnungen RKill schließt, lassen Sie die Meldung auf dem Bildschirm angezeigt, und führen Sie RKill erneut aus. Wenn Sie die Meldung nicht schließen, kann es nicht erneut ausgeführt werden. Starten Sie Ihren Computer nach der Ausführung von RKill nicht neu, da die Malware im Computerstart verankert ist.

Wie RKill ist auch Malwarebytes ein weiteres kostenloses Programm, mit dem ich vertraut bin. Sie können ein anderes Programm verwenden. Laden Sie Malwarebytes Anti-Malware herunter und speichern Sie es auf Ihrem Desktop. Es ist ein Freeware-Programm.

• Link zum Download von Malwarebytes 

Schließen Sie nach dem Download alle Programme und Windows auf Ihrem Computer. (Auch diesen Browser.)

Doppelklicken Sie auf das Symbol auf Ihrem Desktop, um die Installation von Malwarebytes auf Ihrem Computer zu starten.

Befolgen Sie die Schritte zur Einrichtung. Ändern Sie keine Standardeinstellungen. Wenn die Installation des Programms abgeschlossen ist, lassen Sie sowohl Malwarebytes Anti-Malware aktualisieren als auch Malwarebytes Anti-Malware starten aktiviert. Klicken Sie danach auf die Schaltfläche Fertigstellen. Wenn Sie von Malwarebytes zum Neustart aufgefordert werden, ignorieren Sie dies.

Malwarebytes wird gestartet und Ihnen wird auf dem Bildschirm eine Meldung angezeigt, die Sie darüber informiert, dass das Programm vor dem Scan-Vorgang aktualisiert werden muss. Das Programm wird nach Abschluss der Installation automatisch aktualisiert. Wählen Sie die Schaltfläche OK, um das Feld zu schließen, und Sie gelangen nun zum Hauptfenster des Programms.

Stellen Sie auf der Registerkarte „Scanner“ sicher, dass die Option Schnellscan ausführen ausgewählt ist und klicken Sie auf die Schaltfläche Scannen, um den Scan-Vorgang auf Ihrem Computer zu starten.

Das Programm beginnt daraufhin mit dem Durchsuchen Ihres Computers auf Malware. Dieser Vorgang sollte schneller als der vollständige Scanvorgang sein. 

Nach Abschluss des Scanvorgangs werden Sie über ein Nachrichtenfenster darüber informiert. 

Klicken Sie auf die Schaltfläche OK, um das Nachrichtenfenster zu schließen und mit dem Vorgang zum Entfernen fortzufahren.

Sie kehren nun zum Hauptbildschirm des Scanprogramms zurück. Klicken Sie auf die Schaltfläche Ergebnisse anzeigen.

Es wird ein Fenster angezeigt, auf dem die Malware aufgeführt wird, die das Programm gefunden hat. 

Klicken Sie auf die Schaltfläche Auswahl entfernen, um die aufgelistete Malware zu entfernen. Alle Dateien und Registrierungsschlüssel werden gelöscht und der Programm-Quarantäne hinzugefügt. Während die Dateien entfernt werden, kann Malwarebytes einen Neustart Ihres Systems erfordern, um die gesamte Malware zu entfernen. Wenn angezeigt wird, dass ein Neustart erforderlich ist, lassen Sie diesen Vorgang zu. Nachdem Ihr Computer neu gestartet wurde und Sie sich angemeldet haben, fahren Sie mit den restlichen Schritten fort.

Nachdem Malwarebytes das Entfernen der Malware abgeschlossen hat, wird im Editor das Scan-Protokoll angezeigt. Überprüfen Sie das Protokoll und schließen Sie dann das Editor-Fenster. Sie können das Programm Malwarebytes nun beenden.

Wenn der Schnellscan nichts findet, gehen Sie zurück und wählen Sie den vollständigen Scan aus. Das kann einige Zeit dauern.

Diese bestimmte Malware ändert außerdem Ihre HOSTS-Dateien von Windows, daher müssen wir die Standardversion Ihres Betriebssystems wieder auf Ihren Computer bringen. 

Um sich selbst zu schützen, ändert das Schutzwerkzeug des Systems die Berechtigungen der HOSTS-Datei, sodass Sie diese nicht bearbeiten oder löschen können. Ich habe einen Link zu einer Stapeldatei hinzugefügt, die dies beheben sollte. (Die Datei stammt wie RKill von BleepingComputer.)

• Link zum Download von hosts-perm.bat 

Doppelklicken Sie auf die Datei hosts-perm.bat, um sie auszuführen. (Dies ist einfacher, wenn Sie es auf Ihren Desktop heruntergeladen haben.) Wenn Sie gefragt werden, ob Sie sie wirklich ausführen möchten, klicken Sie auf „Zulassen“. Es wird ein kleines Befehlseingabefenster geöffnet und geschlossen, dies ist völlig normal. Sie sollten nach dem Ausführen die HOSTS-Datei öffnen können.

Wir müssen die Datei C:WindowsSystem32DriversetcHOSTS löschen. Nachdem sie gelöscht wurde, befolgen Sie bitte den Artikel der Microsoft Knowledge Base unten zum Zurücksetzen auf die Standardeinstellungen. Der Artikel gilt für Windows XP bis Windows 8:

• Wie kann ich die HOSTS-Datei auf die Standardeinstellungen zurücksetzen? 

Dieser Schritt setzt die Standardeinstellungen der HOSTS-Datei von Windows auf die Standardeinstellungen zurück. Starten Sie den Computer neu. 

Zugeordnete Security Scanner-Dateien

Zugeordnete Security Scanner-Dateien

%LocalAppData%<zufällige Zeichen>.exe

Notizen zum Dateispeicherort

%LocalAppData%:

Zeigt den aktuellen Benutzern den Ordner "Lokale Einstellungen" Anwendungsdaten an, standardmäßig ist dies C:Dokumente und Einstellungen<Aktuelle lokale BenutzereinstellungenAnwendungsdaten>für Windows 2000/XP und C:Benutzer<Aktueller Benutzer>AppDataLocal in Windows Vista, Windows 7 und Windows 8

Zugeordnete Registrierungsinformationen für den Security Scanner

Zugeordnete Windows-Registrierungsinformationen für den Security Scanner

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce "zufällige Zeichen"<>

Verhindern von erneuten Infizierungen

Um das Risiko einer erneuten Infizierung zu senken, stellen Sie sicher, dass auf Ihrem Computer ein Echtzeit-Antivirusprogramm ausgeführt und regelmäßig aktualisiert wird. Wenn Sie kein Geld für kostenpflichtige Dienste ausgeben möchten, können Sie eines der verfügbaren kostenlosen Programme installieren.

Zusätzlich zur Installation von herkömmlichen Antivirusprogrammen können Sie die Anleitung unten lesen, um einige grundlegende Regeln über das sichere Navigieren im Internet zu erfahren:

• Schützen Sie Ihren Computer vor Viren oder Malware

Überprüfen Sie immer alle Onlinekonten wie z. B.:

• Online-Banking
• Webmail
• E-Mail
• Soziale Netzwerke 

Suchen Sie nach verdächtigen Aktivitäten und ändern Sie Ihre Kennwörter, da nicht festgestellt werden kann, welche Informationen die Malware bereits weitergeleitet hat.

Wenn automatisch ein Backup Ihrer Dateien erstellt wird, müssen Virenscans des Backups durchgeführt werden, um sicherzustellen, dass die Infektion nicht mitübertragen wurde. Wenn keine Virenscans möglich sind, z. B. bei Online-Backups. Sie sollten in diesem Fall Ihre alten Backups löschen und neue Versionen speichern.

Halten Sie Ihre Software auf dem neuesten Stand. Stellen Sie sicher, dass Sie diese regelmäßig aktualisieren. Wenn Meldungen angezeigt werden, über deren Authentizität Sie nicht sicher sind, kontaktieren Sie immer das betreffende Unternehmen, um dies zu klären. 

Auf unserer Seite zu Sicherheit und Virenschutz finden Sie allgemeine Informationen und Anleitungen zur Sicherung Ihres Systems und Ihrer Daten.