Mai 18

Da immer wieder die gleichen Fragen gestellt werden, wie deinstalliere ich am besten meinen alten Virenscanner oder die Deinstallation über die Systemsteuerung klappt nicht oder der neue Virenscanner erkennt noch Reste des vorherigen obwohl dieser gelöscht wurde, dachte ich es wäre sinnvoll mal eine Seite mit den gängigen Removal Tools für Virenschutzsoftware direkt von den Herstellern zusammenzustellen, welche ein sauberes Entfernen ermöglichen.

Denn die verzweifelten Versuche, welche Benutzer starten, wenn die Deinstallation über die Systemsteuerung nicht zum gewünschten Ziel führt, werden mit Tools wie CCCleaner & Co. vorgenommen, was immer wieder zu den seltsamsten Effekten führt.

Hier eine Auflistung der Deinstallationsprogramme der gängigen Virenschutzhersteller, wobei die Liste keinen Anspruch auf Vollständigkeit erhebt und gerne durch Hinweise/Kommentare vervollständig werden darf. Die Nennung der Hersteller folgt in alphabetischer Reihenfolge und ist keine Wertung!

Weiterhin gibt es von Eset ein Tool, welches die gängigen Virenschutzprogramme verschiedener Hersteller entfernen soll, wobei hier der Hinweis, auf eigenes Risiko 😉

Update 20.06.2016: McAfee hinzugefügt

Tagged with:
Aug 28

Heute Abend hat sich über Facebook eine Bekannte den obigen Virus eingefangen, der im Chat unter der URL http://www.facebook.com/l/EUrRe;bit.ly/qVZkY8#L2pFE von einem infiziertem Rechner eines Ihr Bekannten Facebook Kontakte gepostet wurde.

Dies ist ein als Bild getarnter Link, welche eine .scr Datei (Windows Bildschirmschoner) runterlädt und ausführt. Wenn dann noch das ICQ aktuell läuft und man online ist, werden darüber an alle Online-Kontakte im ICQ folgende Nachrichten verschickt:

das foto solltest du wirklich sehen
http://www.diffazur.ma/oh/images/gallery.php?foto=PIC04402011.JPG

und etwas später dann:

un was maso will ich nicht aussehen wenn ich alt bin
http://www.diffazur.ma/oh/images/gallery.php?foto=PIC04402011.JPG

Leider erkennen die meisten aktuellen Virenscanner den Virus nicht, so auch der auf dem Rechner installierte und aktuelle Panda Antivirus 2012 welcher Stand heute (28.08.2011) den Virus NICHT erkennt! 🙁

Also habe ich im Internet gegoogelt und versucht die Datei über Kaspersky zu identifizieren, Ergebniss:

Zu überprüfende Datei: PIC04402011.JPG.scr

Statistiken:
Bekannte Viren: 6066204 Updated: 28-08-2011
Größe der Datei (Kb): 205 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Fehlanzeige, unbekannt! Also 2. Versuch unter www.virustotal.com und schau da folgendes Ergebniss:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: 8a53b323121c5dcda626cae2998db715
Date first seen: 2011-08-28 18:00:28 (UTC)
Date last seen: 2011-08-28 19:30:23 (UTC)
Detection ratio: 4/44

File name: PIC04402011.JPG.scr
Submission date: 2011-08-28 18:24:04 (UTC)
Current status: finished
Result: 4 /44 (9.1%)


Kaspersky 9.0.0.837 2011.08.28 UDS:DangerousObject.Multi.Generic
McAfee-GW-Edition 2010.1D 2011.08.28 Heuristic.LooksLike.Win32.Suspicious.J
NOD32 6418 2011.08.28 a variant of Win32/Injector.IWV
Sophos 4.68.0 2011.08.28 Mal/EncPk-AAQ

Der vollständige Report von www.virustotal.com. (Update: 16.07.2018 – Der Report ist nicht mehr verfügbar -> Link entfernt!)

Was bei dem Report verwirrend ist, das hier Kaspersky den Virus kennt, warum dann nicht der Online FileScan auf der Webseite?

Das erschreckende ist aber, dass von 44 Virenscannern nur 4 diesen auch erkennen!

Mein Fazit ist jedenfalls, das die ganze Heuristik & Co. zumindest bei Panda Antivirus 2012 vollständig versagt hat, denn gerade diese Heuristik sollte ja auch wenn der Virus noch nicht bekannt ist in der Datenbank, anhand des Verhaltens diesen dennoch zumindest melden oder blockieren. Was in diesem Fall jedoch zum Leidwesen des Benutzers versagt hat. Der Virus hat sich installiert, Dateien nachgeladen und lief munter im Task-Manager mit 5 Tasks sichtbar.

Problemlösung:

1. Task-Manager öffnen alle unter dem angemeldetem User laufenden Prozesse, welche nur aus Zahlen bestehen löschen sowie Prozesse, welche absolut nicht zum Computer passen, oder aber Namen von Programmen enthalten, welche definitiv nicht auf dem Rechner installiert sind.

2. ESET Internet Security Testversion herunterladen.

3. Netzwerkverbindungen trennen (sicher ist sicher) und danach den vorhandenen Virenscanner deinstallieren und die Testversion von ESET Internet Security installieren.
Achtung nach der Deinstallation des alten Virenscanners ist ein Neustart erforderlich!

4. Netzwerkverbindung wiederherstellen und den Virenscanner mittels Online Update aktualisieren.

5. Computer nach Viren durchsuchen lassen und siehe da, wie er eine nach der anderen Datei mit dem obigen Virus findet…

6. Freuen und warten bis der Hersteller des eigenen Virenprogrammes den Virus erkennt… 😀

Update 29.08.2011:

Der Kaspersky File Scanner erkennt nun den Virus:

Zu überprüfende Datei: PIC04402011.JPG.scr - Infiziert

Statistiken:
PIC04402011.JPG.scr Infiziert: Trojan.Win32.Buzus.ihyl
Bekannte Viren: 6079167 Updated: 29-08-2011
Größe der Datei (Kb): 205 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Und laut www.virustotal.com erkennt jetzt auch der BitDefender den Virus:

File name: PIC04402011.JPG.scr
Submission date: 2011-08-28 18:24:04 (UTC)
Current status: finished
Result: 5 /44 (11.4%)


BitDefender 7.2 2011.08.28 Trojan.Generic.KD.336709
Kaspersky 9.0.0.837 2011.08.28 UDS:DangerousObject.Multi.Generic
McAfee-GW-Edition 2010.1D 2011.08.28 Heuristic.LooksLike.Win32.Suspicious.J
NOD32 6418 2011.08.28 a variant of Win32/Injector.IWV
Sophos 4.68.0 2011.08.28 Mal/EncPk-AAQ

Tagged with:
preload preload preload