Kategorien
Hardware & Software

Schutz gegen gefälschte Antivirenprogramme wie „Windows Expert Console“ alias „Cleaner.exe“

Nach einer längeren Ruhephase treten jetzt wieder häufiger Lösegeld-Trojaner als gefälschte Antivirenprogramme auf. Die Verbreitung dieser Erpressertools ist sogar aggressiver als in  der Vergangenheit. Ein gutes Beispiel ist die „Windows Expert Console“ beziehungsweise „Cleaner.exe“. Mit dem „Panda Cloud Cleaner“ können Sie diese Erpresser wieder loswerden. Es gibt sogar für komplett blockierte Computer eine über USB-Sticks bootfähige Version.

Verschiedene Verbreitungswege

Die Schadsoftware wird über verschiedene Kanäle verbreitet. Zum einen sind es infizierte Webseiten, die Sicherheitslücken Ihres PC`s ausnutzen, zum Anderen verbreitet sich der Schädling über infizierte Anhänge von E-Mails oder durch Links auf infizierte Webseiten.

So funktioniert die Erpressung

Gerät man auf eine infizierte Webseite, oder hat man den entsprechenden E-Mail-Anhang geöffnet, bleibt einem keine Zeit mehr um Gegenmaßnahmen zu ergreifen. Die Installation ist nach wenigen Sekunden erfolgt und der Rechner startet neu. Natürlich hat er dann mehrere Schadprogramme gefunden und bietet deren Löschung an. Eine Rückkehr zum Desktop oder anderen Programmen ist dann nicht mehr möglich. Klicken Sie dann auf „Alles löschen“ werden Sie aufgefordert eine Lizenz-Gebühr in Höhe von 99 Dollar zu zahlen.

„Panda Cloud Cleaner“ kostenlos herunterladen

Auf der Webseite www.pandasecurity.com/germany/homeusers/support/tools.htm können Sie das Desinfektionstool herunterladen. Können Sie noch auf Ihren Computer zugreifen, dann klicken Sie auf den Button „Download“ des „Panda Cloud Cleaner“. Ist kein PC-Zugriff mehr möglich, dann laden Sie die bootfähige Version „Panda Cloud Cleaner – USB scan“ herunter.

panda-cloud-cleaner-usb-stick-mobil-desinfizieren-windows-expert-console-erpresser-virus-trojener

Das Programm startet nach der Installation von selbst, der Scan aber erst mit einem Mausklick auf die Schaltfläche „Accept and Scan“.

panda-bootfaehig-usb-stick-scan-starten-analyse-erpresser-virus

Als erstes aktualisiert sich das Tool und startet dann die Analyse.

analyse-aktualisiert-selbststaendig-panda-cloud-cleaner

Nach dem Scan-Vorgang werden die Ergebnisse in einer Zusammenfassung angezeigt. Klicken Sie auf den rechten Pfeil um die entsprechenden Details einzusehen. Mit der Schaltfläche „Clean“ werden alle schädlichen Einträge endgültig entfernt. Normalerweise ist anschließend ein Computerneustart erforderlich.

abgeschlossen-scan-desinfizieren-entdeckt-eintraege-loeschen-clean

Gleichwertige Alternativen zum „Panda Cloud Cleaner“

Wer noch nach Alternativen zum „Panda Cloud Cleaner“ sucht, der kann zum Tool „Anti Malware Free“ von Malwarebytes greifen. Auch das Tool „Hitman Pro“ von Botfrei.de ist empfehlenswert.

Kategorien
Hardware & Software

Remove Fake Antivirus: Zuverlässig falsche „Antiviren-Programme“ erkennen und entfernen

Viele Trojaner tarnen sich mittlerweile als Antiviren-Programme. Sie sind so gut gemacht, dass man auf den ersten Blick kaum merkt, dass es kein Antiviren-Programm ist. Die Tricks sind vielfältig und reichen von grafischen Ähnlichkeiten der „richtigen“ Antivirenprogramme bis hin zu einem professionell aussehenden Schutzprogramm. Alle haben aber das eine Ziel: Die Installation. Einmal gestartet, werden immer immer mehr Schadprogramme aus dem Web nachgeladen und ausgeführt. Das kostenlose Programm „Remove Fake Antivirus“ erkennt eine Vielzahl von diesen Fake-Programmen.

Gefälschte Antiviren-Programme entlarven

Das Gratisprogramm „Remove Fake Antivirus“ ersetzt in keiner Weise einen Virenscanner, ist aber als zusätzlicher Schutz nur zu empfehlen. Die aktuelle Version erkennt und entfernt derzeit 78 als Virenscanner getarnte Schadprogramme. Eine komplette Übersicht finden Sie auf der Herstellerseite.

Um „Remove Fake Antivirus“ herunterzuladen und zu installieren, rufen Sie in Ihrem Webbrowser die Seite freeofvirus.blogspot.com/2009/05/remove-fake-antivirus-10.html auf. Klicken Sie anschließend auf den Button „Start Download“…

…im Dialogfenster auf „Speichern“ oder zum sofortigen Installieren auf „Ausführen“, und bestätigen Sie die nachfolgende Sicherheitsmeldung mit „Ja“.

Nach erfolgreichem Download öffnet sich das Dialogfenster „Remove Fake Antivirus“ und mit einem Klick auf „Start“…

…beginnt der Scanvorgang.

Der Scanvorgang kann je nach Computerausstattung mehrere Minuten in Anspruch nehmen. Nach Abschluss werden die infizierten Files in einer Ergebnisliste aufgeführt und gleichzeitig gelöscht.

Mit „OK“ und „Close“ schließen Sie beide offenen Dialogfenster. Sicherheitshalber sollten Sie Ihr System mit Ihrem (eigenen) Virenschutzprogramm zusätzlich scannen. Sollte es nicht dem aktuellen Stand entsprechen, dann führen Sie vorher ein Update durch. Danach starten Sie Ihren Computer neu.

Kategorien
Hardware & Software Windows 7 Windows Vista Windows XP

Windows 7, XP, Vista: Bei Computer-Problemen den abgesicherten Modus erzwingen

Bei hartnäckigen Computer-Viren oder anderen PC-Problemen greift man zum „abgesicherten Modus“, um den Fehlern auf die Schliche zu kommen. Der abgesicherte Modus wird mit der [F8]-Taste gestartet, die während des Boot-Vorgangs gedrückt wird. Es kann aber – zum Beispiel bei besonders resistenten Viren –  passieren, dass der abgesicherte Modus nicht auf normalem Wege startet und [F8] ignoriert wird. Oder man verpasst oder vergisst das Drücken der [F8]-Taste an der richtigen Stelle. Dann lässt sich der abgesicherte Modus mit einem Trick erzwingen.

Beim erzwungenen abgesicherten Modus teilen Sie Windows mit, dass der nächste Rechnerstart auf jeden Fall im abgesicherten Modus erfolgen soll – ganz ohne Drücken der [F8]-Taste. Die Vorgehensweise ist bei XP und Vista/7 unterschiedlich.

Windows XP: Abgesicherten Modus erzwingen

1. Drücken Sie die Tastenkombination [Windows][R], um „Ausführen“ zu starten.

2. Geben Sie in das Eingabefeld „msconfig“ ein, und bestätigen Sie mit „OK“.

3. Im Dialogfenster „Systemkonfigurationsprogramm“ wechseln sie zum Register „Boot.INI“ und aktivieren im Bereich „Startoptionen“ die Funktion „/SAFEBOOT“. Bestätigen und schließen Sie das Fenster mit „OK“.

4. Die nachfolgende Meldung  fordert Sie auf, den Computer neu zu starten. Klicken Sie auf den Button „Neu starten“, um den Neustart zu erzwingen.

Automatisch wird dann der PC im abgesicherten Modus gestartet.

Windows 7 und Vista: Abgesicherten Modus erzwingen

1. Drücken Sie die Tastenkombination [Windows][R], um „Ausführen“ zu starten.

2. Geben Sie in das Eingabefeld „msconfig“ ein, und bestätigen Sie mit „OK“.

3. Im folgenden Fenster „Systemkonfiguration“ wechseln Sie zur Registerkarte „Start“ und aktivieren im Bereich „Startoptionen“ die Funktion „Abgesicherter Start“. Mit „OK“ bestätigen Sie die Änderung und schließen das Dialogfenster.

4. Im Gegensatz zu Windows XP folgt hier kein separater Hinweis den Computer neu zu starten. Für den Neustart klicken Sie auf „Start“, danach auf den kleinen Pfeil neben der Schaltfläche „Herunterfahren“. Im Aufklappmenü wählen Sie abschließend „Neu starten“.

Der Computer startet nun im abgesicherten Modus.

Achtung: Nachdem Sie alle erforderlichen Arbeiten im abgesicherten Modus erledigt haben, müssen Sie das Erzwingen des abgesicherten Modus wieder rückgängig machen. Wiederholen Sie hierzu die ersten drei Arbeitsschritte und deaktivieren die Funktion „Abgesicherter Start“, beziehungsweise „/SAFEBOOT“.

Kategorien
Hardware & Software Windows 7 Windows Vista

Windows 7, Vista: Im Taskmanager die Dateipfade von Prozessen anzeigen

Der Taskmanager zeigt alle aktiven Prozesse an, egal ob von Programmen die Sie gestartet haben, oder Systemprogramme die automatisch starten. Es lohnt sich, gelegentlich einen Blick in die aktiven Prozesse zu werfen, um zu kontrollieren, ob unbekannte Prozesse auf Ihrem Rechner laufen. Dies dient der Sicherheit, um Schadprogramme aufzuspüren und zu eliminieren. Da Schadprogramme oftmals ihren Speicherort auf der Festplatte verschleiern, muss der Taskmanager um die Anzeige des Dateipfades erweitert werden. Seit Windows Vista kann die Taskmanager-Anzeige mit verschiedenen Spalten ergänzt werden.

Da die Anzeige des Dateipfades standardmäßig deaktiviert ist, muss sie einmalig per Hand eingeschaltet werden.

Klicken Sie mit der rechten Maustaste auf die Taskleiste, und wählen Sie im Kontextmenü „Task-Manager starten“. Sie können aber auch in das Suchfeld des Startmenüs den Befehl „taskmgr“ eingeben und die [Enter] Taste drücken.

Im Dialogfenster des Taskmanagers wechseln Sie zum Register „Prozesse“ und wählen in der Menüleiste „Ansicht | Spalten auswählen“.

Im nächsten Dialogfenster aktivieren Sie ganz unten in der Liste die Option „Abbildpfadname“ und/oder „Befehlszeile“.

Mit einem Klick auf „OK“ wird die Änderung aktiv und die Spalten werden zusätzlich im Task-Manager angezeigt.

Haben Sie nun einen unbekannten Prozess entdeckt, kann der Dateipfad direkt im Windows-Explorer geöffnet werden. Klicken Sie dazu mit der rechten Maustaste auf den entsprechenden Prozess und wählen im Kontextmenü „Dateipfad öffnen“.

Dieses Kontextmenü enthält auch noch weitere Optionen, die die Analyse von Prozessen erleichtern. So können Sie mit „Eigenschaften“ und dessen Register „Sicherheit“ überprüfen, welche Berechtigungen dieser Prozess enthält.