Wie man NonEuclid von infizierten Computern entfernt
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist NonEuclid?
NonEuclid ist ein Remote Access Trojaner (RAT), der in C# programmiert wurde. Dieser RAT ermöglicht die unbefugte Kontrolle über den Computer des Opfers. Es umgeht Sicherheitssysteme und ist schwieriger zu erkennen. NonEuclid verwendet verschiedene Techniken, wie z. B. die Umgehung der Antiviren-Erkennung, die Ausweitung von Berechtigungen und die Verschlüsselung wichtiger Dateien mit Ransomware.
Mehr über NonEuclid
NonEuclid enthält verschiedene Funktionen und Mechanismen. Eine davon ist die AntiScan-Funktion, die dem RAT hilft, die Erkennung durch Windows Defender zu vermeiden. Die Malware tut dies, indem sie Änderungen an den Systemeinstellungen vornimmt - sie bringt den Defender dazu, bestimmte Dateien und Ordner, die mit der Malware in Verbindung stehen, zu ignorieren. Diese Technik hilft dem RAT, sich zu verstecken und von der Sicherheitssoftware unentdeckt zu bleiben.
Außerdem enthält NonEuclid eine Funktion, die laufende Prozesse überwacht und nach bestimmten Prozessen wie "Taskmgr.exe" oder "ProcessHacker.exe" sucht. Wenn er diese Prozesse findet, schaltet er sie entweder ab oder verhindert, dass der RAT geschlossen wird. Es kann seinen Prozess auch als "kritisch" markieren, wodurch er schwerer zu beenden ist.
Darüber hinaus verfügt NonEuclid über eine Funktion, mit der der RAT erkennen kann, ob er in einer virtuellen Maschine (VM) läuft, die häufig für Tests oder Analysen verwendet wird. Es überprüft das System auf bestimmte Speicherobjekte, die normalerweise auf physischen Computern zu finden sind. Wenn es eine VM entdeckt, beendet es die Ausführung, indem es sich mit einem bestimmten Code beendet, um eine Analyse zu verhindern.
Außerdem enthält das RAT die Funktion ASMI Bypass, mit der das RAT die Erkennung durch die AMSI von Windows Defender umgehen kann. Dies geschieht durch das Auffinden und Ändern bestimmter Teile des Systemspeichers, die mit AMSI in Verbindung stehen, so dass das RAT bösartigen Code ausführen kann, ohne als gefährlich eingestuft zu werden.
Darüber hinaus kann NonEuclid Multimediageräte, wie z. B. Kameras, auf dem infizierten System erkennen und darauf zugreifen. Er verwendet eine spezielle Methode, um verfügbare Geräte zu finden, ihre Eigenschaften zu überprüfen und benutzerdefinierte Aktionen auf ihnen auszuführen.
Darüber hinaus kann das RAT eine geplante Aufgabe erstellen, die automatisch in festgelegten Intervallen auf dem infizierten System ausgeführt wird. Die Malware prüft, ob sie über Administratorrechte verfügt, bevor sie die Aufgabe so einrichtet, dass sie im Hintergrund ausgeführt wird, damit sie auch nach einem Neustart aktiv bleibt.
Schließlich kann NonEuclid höhere Systemprivilegien erlangen, indem er die Registrierung ändert, wenn er nicht bereits mit Administratorrechten ausgeführt wird. Er verwendet außerdem AES-Verschlüsselung, um Dateien wie Dokumente und Textdateien zu sperren. Nach dem Sperren benennt er die Dateien mit der Erweiterung ".NonEuclid" um.
| Name | NonEuklid Trojaner für Remote Access |
| Bedrohung Typ | Fernzugriffs-Trojaner, RAT |
| Namen der Erkennung | Avast (Win32:Malware-gen), Combo Cleaner (Gen:Variant.Bulz.880804), ESET-NOD32 (Eine Variante von MSIL/Agent.DBK), Kaspersky (HEUR:HackTool.MSIL.Alien.gen), Microsoft (Trojan:MSIL/AgentTesla.LQL!MTB), vollständige Liste (VirusTotal) |
| Symptome | RATs sind so konzipiert, dass sie sich heimlich und unbemerkt in den Computer des Opfers einschleusen, so dass auf einem infizierten Rechner keine besonderen Symptome zu erkennen sind. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-"Cracks". |
| Schaden | Daten- und Finanzverlust, möglicher Identitätsdiebstahl, zusätzliche Infektionen. |
| Malware-Entfernung (Windows) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Schlussfolgerung
Zusammenfassend lässt sich sagen, dass NonEuclid eine fortschrittliche Malware ist, die unbefugten Zugriff auf Systeme ermöglicht. Sie nutzt eine Reihe von Techniken, um unentdeckt zu bleiben, einschließlich der Umgehung von Antiviren-Software, der Blockierung von Prozessüberwachungs-Tools und der Vermeidung der Analyse virtueller Maschinen.
Um Bedrohungen wie NonEuclid zu vermeiden, ist es wichtig, strenge Sicherheitsmaßnahmen zu ergreifen und bei der Interaktion mit verdächtigen Online-Inhalten vorsichtig zu sein. Weitere Beispiele für RATs sind SwaetRAT, WmRAT, und BurnsRAT.
Wie hat NonEuclid meinen Computer infiltriert?
Die NonEuclid-Malware kann über verschiedene Methoden verbreitet werden. Sie kann über betrügerische E-Mails verbreitet werden, die bösartige Anhänge oder Links enthalten und die Benutzer dazu verleiten, sie herunterzuladen. Sie kann auch mit gefälschter oder raubkopierter Software gebündelt (oder darin versteckt) oder von nicht vertrauenswürdigen Websites heruntergeladen werden.
Cyberkriminelle können auch bösartige Anzeigen oder Pop-ups verwenden, um Benutzer zur Malware zu führen, oder die Malware über Schwachstellen in veralteter Software oder Betriebssystemen einschleusen. Darüber hinaus können sie das RAT über Betrug mit technischem Support, P2P-Netzwerke, Downloader von Drittanbietern, kompromittierte Websites und infizierte USB-Laufwerke verteilen.
Wie lässt sich die Installation von Malware vermeiden?
Seien Sie immer vorsichtig, wenn Sie E-Mails von unbekannten Absendern öffnen, und klicken Sie nicht auf verdächtige Links oder Anhänge in irrelevanten, unerwarteten oder ähnlichen E-Mails. Laden Sie Software von vertrauenswürdigen Quellen herunter, z. B. von offiziellen Websites oder App-Stores. Halten Sie Ihr System und Ihre Software auf dem neuesten Stand, und verwenden Sie eine sichere Sicherheitssoftware.
Vermeiden Sie auch die Interaktion mit verdächtiger Werbung und Pop-ups auf dubiosen Websites und stimmen Sie dem Erhalt von Benachrichtigungen von solchen Webseiten nicht zu. Laden Sie niemals raubkopierte Software oder Tools zur Umgehung der Aktivierung herunter. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir Ihnen, einen Scan mit Combo Cleaner durchzuführen, um infiltrierte Malware automatisch zu entfernen.
Die Administrationsoberfläche von NonEuclid (Quelle: cyfirma.com):
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was ist NonEuclid?
- SCHRITT 1. Manuelle Entfernung von NonEuclid-Malware.
- SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, wenn Antiviren- oder Anti-Malware-Programme dies automatisch erledigen. Zur Entfernung dieser Malware empfehlen wir die Verwendung von Combo Cleaner.
Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers läuft:
Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mit dem Task-Manager, und ein verdächtig aussehendes Programm gefunden haben, sollten Sie mit diesen Schritten fortfahren:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt die Speicherorte der Autostart-Anwendungen, der Registrierung und des Dateisystems an:
Starten Sie Ihren Computer im abgesicherten Modus neu:
Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, auf Herunterfahren, auf Neustart und auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Vernetzung aus der Liste aus.
Video, das zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkbetrieb - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein und wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, im geöffneten Fenster "Allgemeine PC-Einstellungen" wählen Sie Erweiterter Start.
Klicken Sie auf die Schaltfläche "Jetzt neu starten". Ihr Computer wird nun neu gestartet und zeigt das Menü "Erweiterte Startoptionen" an. Klicken Sie auf die Schaltfläche "Problembehandlung" und dann auf die Schaltfläche "Erweiterte Optionen". Klicken Sie auf dem Bildschirm mit den erweiterten Optionen auf "Starteinstellungen".
Klicken Sie auf die Schaltfläche "Neu starten". Ihr PC startet neu und zeigt den Bildschirm "Starteinstellungen" an. Drücken Sie F5, um im abgesicherten Modus mit Vernetzung zu starten.
Video, das zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Energiesymbol. Klicken Sie im geöffneten Menü auf "Neustart", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Im Fenster "Wählen Sie eine Option" klicken Sie auf "Fehlerbehebung", dann wählen Sie "Erweiterte Optionen".
Wählen Sie im Menü "Erweiterte Optionen" die Option "Starteinstellungen" und klicken Sie auf die Schaltfläche "Neu starten". Im folgenden Fenster sollten Sie die Taste "F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Vernetzung neu gestartet.
Video, das zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.
Klicken Sie in der Autoruns-Anwendung oben auf "Optionen" und deaktivieren Sie die Optionen "Leere Speicherorte ausblenden" und "Windows-Einträge ausblenden". Klicken Sie anschließend auf das Symbol "Aktualisieren".
Überprüfen Sie die von der Anwendung Autoruns bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.
Notieren Sie sich ihren vollständigen Pfad und Namen. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen verbirgt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie "Löschen".
Nachdem Sie die Malware über die Anwendung Autoruns entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Schadsoftware finden, entfernen Sie ihn unbedingt.
Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.
Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner zu scannen.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit NonEuclid-Malware infiziert. Sollte ich mein Speichermedium formatieren, um die Malware loszuwerden?
Die Formatierung sollte nur als letzter Ausweg in Betracht gezogen werden, da dabei alle Daten gelöscht werden. Versuchen Sie vor dem Formatieren, Ihren Computer mit einem zuverlässigen Antiviren- oder Anti-Malware-Tool wie Combo Cleaner zu scannen und die Infektion zu beseitigen.
Was sind die größten Probleme, die Malware verursachen kann?
Malware kann verschiedene Probleme verursachen, z. B. den Diebstahl persönlicher Daten, die Verlangsamung Ihres Systems, die Beschädigung oder Verschlüsselung von Dateien und die Übernahme der Kontrolle über Ihr Gerät durch Bedrohungsakteure. Sie kann auch zu finanziellen Verlusten, Verletzungen der Privatsphäre und unbefugtem Zugriff auf Konten führen.
Was ist der Zweck von NonEuclid?
NonEuclid zielt darauf ab, sich unbefugten Zugriff auf den Computer eines Opfers zu verschaffen und möglicherweise Dateien gegen Lösegeld zu verschlüsseln. Es verwendet fortschrittliche Techniken, um die Erkennung zu umgehen und die Kontrolle über das System zu behalten.
Wie hat NonEuclid meinen Computer infiltriert?
NonEuclid-Malware kann durch betrügerische E-Mails, gefälschte oder raubkopierte Software, bösartige Werbung und kompromittierte Websites verbreitet werden. Sie kann auch über veraltete Software-Schwachstellen, Betrug mit technischem Support, P2P-Netzwerke, infizierte USB-Laufwerke usw. verbreitet werden. Sie hat Ihr System wahrscheinlich infiziert, nachdem Sie eine bösartige Datei oder einen Link geöffnet haben.
Kann Combo Cleaner mich vor Malware schützen?
Combo Cleaner kann fast alle bekannten Malware-Infektionen erkennen und entfernen. Allerdings versteckt sich fortgeschrittene Malware oft tief im System, sodass für eine vollständige Entfernung ein vollständiger Systemscan erforderlich sein kann.
Ausgezeichnet!
▼ Diskussion einblenden