Viren/Trojaner System Security Virus

W

Wemu

Herzlich willkommen!
Mein PC ist vom System Security Virus befallen. Da der installierte Virenscanner von dem Virus geblockt wird, habe ich im Internet recherchiert. Die dort angebotenen Diagnose- und Removalprogramme (einschl. Online Scanner) greifen nicht, da alle Anwendungen (ausser Explorer und Web Browser) nach dem Aktivieren sofort wieder abgewürgt werden. Damit scheidet eine automatische Entfernung vermutlich aus.
Meine Versuche, über Task Manager und Ausführen der Malware manuell zu Leibe zu rücken, scheiterten an der gleichen Problematik. Schon beim Hochfahren erscheint das System Security Icon als erstes auf dem System Tray und kontrolliert/blockt von da an alle weiteren PC-Abläufe.

Was kann ich noch versuchen???
 
Eins vorab: Viel Hoffnung würde ich mir nicht machen. Nach deiner Schilderung ist das System kompromittiert. Eine theoretisch vielleicht mögliche "Reinigung" stünde in keinem Verhältnis zum Aufwand.

Aber poste mal ein Hijackthis-Log:
HijackThis Logfileauswertung

Außerdem wäre ein Auszug aus dem Logfile des Virenscanners (welcher?) nicht schlecht. Das Logfile müsstest du trotz "geblocktem" Scanner über den Dateimanager erreichen.

Doch wie gesagt, das sieht sehr, sehr nach softwäremäßigem Totalschaden aus.
 
Herzlich willkommen im Forum, Wemu! :)

Bei dem "System Security"-Programm handelt es sich um keinen Virus, sondern um einen Fake-Scanner, welcher einen Befall des Systems mit Viren vortäuscht.
Spyware.com schrieb:
System Security is a fake spyware remover tool and a clone of Winweb Security.
Zum Vergrößern anklicken....
Es nistet sich in einen Registry-Autostart ein, wird noch vor dem Laden des Desktops ausgeführt und kann das gesamte System blockieren.
Bei einem Bekannten hatte ich erst kürzlich den selben Fall. Direkt nach dem Start des Programms habe ich es mit dem Taskmanager abgeschossen, anschließend ließ es sich ganz normal über "Systemsteuerung"->"Software" deinstallieren.

Hier noch ein paar zusätzliche Tipps dazu in englisch:
Remove System Security. Description and removal instructions

edit:
@brom: So schlimm ist nicht, wie ich glaube. Nach der Deinstallation hatte ich das System noch kreuz und quer gecheckt und keinen Hinweis auf Viren, Trojaner, sonstige Schädlinge oder Überreste des Programms gefunden.

LG
Norbert
 
@ Norbert
Danke für den Hinweis. Ich hielt das Ding für übliche Rogue-Antispyware. Die bringen ja in aller Regel noch alle möglichen anderen Gäste mit...

Vielleicht ist es daher trotzdem sinnvoll. mal auf das HJT-Log zu sehen und anschließend den Traffic zu checken.
 
Um ein Hijackthis-Log zu posten, müßte ich in der Lage sein, die Anwendung zu installieren. Dies läßt die "fake" System Security nicht zu und schickt eine Fehlermeldung "Application cannot be executed. The file HJTInstall.exe is infected. Please activate your Antivirus Software."
Als Virenscanner nutze ich den aus dem Kabel Deutschland Sicherheitspaket. Leider konnte ich keine weitere Information darüber finden. An das letzte Logfile komme ich nicht ran, da es sich im Ordner der Applikation 'Kabel Sicherheitspaket' befindet und ich dies nicht öffnen kann.

Hallo Norbert,
Deine Beschreibung trifft exakt zu! System Security kommt schneller hoch als alle anderen Applikationen beim Systemstart und blockiert alles außer Explorer und Web Browser. Dies ist auch daran zu erkennen, dass das jeweilige Fenster der Applikation kurz erscheint und dann offenbar wieder "abgewürgt" wird.
Aus meiner (vielleicht trivialen) Sicht besteht das Problem zunächst darin, die Autostart Registry-Einträge zu bereinigen, um System Security zu killen. Danach müßten Scannerlauf und Log Files möglich sein.

MfG Wemu
 
Zuletzt bearbeitet von einem Moderator:
Das Hijackthis-Log sollst Du ja auch erst nach der Deinstallation von "System Security" erstellen und posten. Sollte es mit der Deinstallation, so wie ich sie beschrieben habe, Probleme geben, kannst Du sie auch im abgesicherten Modus durchführen. Da wird dieser Fake-Scanner nicht gestartet. Anschließend evtl. noch den CCleaner ausführen. In meinem Link oben sind ebenfalls noch einige nützliche Tipps und Kommentare enthalten.
 
Ich hab das selbe Problem

Könnt ihr mir helfen un mir ein bisschen genauer erklären-

Denn es ist so ich hab denn Fake-Scan-Virus oder was auch immer.
Das hab ich gemerkt.

Hab aber dann denn anweisungen hier befolgt.
Löschen von Secruity.
Bin auf Norberts Link gegangen. Infos erforscht aber zu keinem Ergebniss gekommen -.-

BITTE BRAUCHE HILFE ;(
 
Wenn es der Original System security war:
How to remove System Security (Uninstall Instructions)

edit: Wichtig: Eine Sache ist in dem verlinkten Beitrag falsch: Im Process Explorer nicht die Datei beenden, sondern einen Rechtsklick darauf machen und "Suspend" auswählen. Wenn sie beendet wird, erkennt sie das bei den neueren Varianten und läd sich direkt nach. Bei "Suspend" wird sie schlafen gelegt und kann danach beseitigt werden. Deswegen auch keinen Neustart bei der Erstbenutzung von Malwarebytes.


Ist aber gleichgültig wenn Du sie entfernen konntest, denn es gibt zig Varianten davon und einige laden Schadsoftware nach, mindestens eine Variante davon läd sogar einen ganzen Cocktail, unter anderem diese Dateien werden gerne nachgeladen:

- TR/Tiny.705
- TR/Dropper.Gen
- DR-Dropper.15872.1 (Auch noch mit anderen Nummern)
- TR/Spy.126464.18
- TR/Fakealert169988
- TR/Fakealert190976
- TR/Fakealert140804
- TR/Fakealert134144 (Auch noch mit anderen Nummern)
- TR/Crypt.2PACK.Gen ***
- BDS/HareBot.EE ***
- TR/FraudPack.PPZ.16
- HIDDENEXT/Crypted
- BDS/Backdoor.Gen ***
- RKIT/Small.aef ***
- TR/Downloader.Gen


Alle mit *** gekennzeichneten erfordern zwingend eine Neuinstallation und die meisten davon können sich problemlos vor einer AV Lösung im laufenden System verstecken. Sie sind häufig nur erkennbar, wenn man mit einem externen Bootmedium startet und von diesem aus einen Scann vornimmt.


Das bedeutet im Klartext:

Dein Rechner ist mit extrem hoher Wahrscheinlichkeit verseucht und Du wirst den Originalzustand nicht wieder herstellen können, lediglich einen Zustand, der es Dir ermöglicht, ein Backup Deiner Dateien (nicht Programme!) zu machen und dann einfach den Rechner neu aufzusetzen.

Das ist die einzige Art, wie man sich sicher sein kann, das keine Lücken im System offen bleiben, denn kein Removal Tool kann z.B. die Original Registry Einstellungen wiederherstellen, sondern lediglich die schädlichen entfernen.

Traurig, aber wahr und auch von Microsoft bestätigt.
 
Zuletzt bearbeitet:
Um QuHno in seiner Aussage zu bestärken - es macht wesentlich mehr Aufwand mit
zweifelhaftem Erfolg, das System zu "bereinigen", als es frisch aufzusetzen bzw ein
Backup/Image einzuspielen. Siehe auch hier:
https://www.supernature-forum.de/sicherheit-am-pc/99245-virenalarm-oder-doch-nicht.html

Die Worte von MS zitiert (als Textbaustein):
Säubern eines gefährdeten Systems
Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun? – Microsoft TechNet: Rubrik Sicherheitsverwaltung
Sie können ein gefährdetes System auch nicht säubern, indem Sie einen Virenscanner
verwenden. Um die Wahrheit zu sagen, einem vollständig kompromittierten System ist
einfach nicht mehr zu trauen. Auch Virenscanner müssen sich an irgendeinem Punkt
darauf verlassen können, dass die Rückmeldungen des Systems der Realität entsprechen.
Und auf die Frage, ob eine bestimmte Datei vorhanden ist, antwortet der Angreifer ggf.
einfach mit einem Tool, das falsche Tatsachen vorspiegelt.
Zum Vergrößern anklicken....

Dann als Tip:

Malware vermeiden!
* alle Windows- und Programmupdates installieren
* sicheren Browser benutzen
* nur Programme aus sicheren Quellen installieren
* Sicherheitskonzept überdenken!
* nicht mehr als Admin surfen!

* NoScript und AdBlock Plus halten schon eine Menge ab.
* JAVA deaktivieren in Firefox und nur bei Bedarf aktivieren
* PDF nicht im Browser anzeigen lassen, sondern herunterladen
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben