FacebookTwitterLinkedIn

So entfernen Sie r77 Rootkit

Auch bekannt als: r77 malware
Typ: Trojaner
Schadenshöhe: Stark

Tomas Meskauskas Verfasst von am

Was für eine Art von Malware ist r77?

r77 ist ein Rootkit - eine Sammlung von Schadsoftware, die unbefugten Zugriff auf Systeme ermöglicht. Bei der Entwicklung dieses Rootkits wurde großer Wert auf Heimlichkeit gelegt. Es kann Dateien, Registrierungsschlüssel und Aufgaben verstecken und sich sogar in bestimmte Software einschleusen. r77 wurde über "ClickFix" Betrügereien weiterverbreitet.

r77 malware Entdeckungen auf VirusTotal

Übersicht über die Malware r77

r77 wurde über "ClickFix" Betrügereien verbreitet, die Opfer dazu verleiteten, stark verschleierte Batch-Skripte auszuführen (z. B. unter dem Vorwand, einen CAPTCHA-Verifizierungstest durchzuführen). Diese Skripte waren für die Ausführung von PowerShell-Befehlen und die Manipulation von Umgebungsvariablen verantwortlich, um die Infektion voranzutreiben.

Dieser Prozess umfasste Mechanismen zur Sicherstellung der Persistenz (z. B. das Festlegen bösartiger Komponenten als geplante Aufgaben) sowie Maßnahmen zum Schutz vor Erkennung und Analyse. Ziel war es, den eingebetteten RAT (Remote Access Trojaner) und das Rootkit r77 auf den Systemen zu etablieren. Es wurden bösartige Skripte eingeschleust und in der Windows-Registrierung gespeichert. Außerdem wurden Systemregistrierungsschlüssel geändert und ein gefälschter Treiber (ACPIx86.sys) registriert.

Wie bereits in der Einleitung erwähnt, wurde das r77-Rootkit mit dem Ziel der Tarnung entwickelt. So ist es in der Lage, Standarderkennungsmethoden zu umgehen, indem es sich in legitime Prozesse und Dienste einbettet und sich vor der Auflistung in Verzeichniskomponenten und Windows-Tools (z. B. Datei-Explorer, Task-Manager, RegEdit usw.) versteckt.

r77 löscht auch die Spuren seiner Anwesenheit. Dieses Rootkit kann Dateien, Registrierungsschlüssel und Aufgaben verstecken, die mit einem bestimmten Präfix beginnen. Es verfolgt kontinuierlich Benutzerinteraktionen (z. B. in die Zwischenablage kopierte Inhalte) und PowerShell-Aktivitäten.

Es muss betont werden, dass hochriskante Malware mit ernsthaften Bedrohungen verbunden ist, wie z. B. mehrfache Systeminfektionen, schwerwiegende Datenschutzprobleme, finanzielle Verluste und Identitätsdiebstahl. Und unabhängig davon, wie Malware funktioniert - ihr Vorhandensein bedroht die Integrität des Geräts und die Sicherheit der Benutzer. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung beseitigt werden.

Zusammenfassung der Bedrohung:
Name r77 malware
Bedrohung Typ Rootkit, Trojaner
Erkennungs-Namen Combo Cleaner (Trojan.GenericKD.76023689), ESET-NOD32 (BAT/Kryptik.AD), GData (BAT.Trojan.Agent.KIZS7J), Kaspersky (HEUR:Trojan.BAT.Alien.gen), Microsoft (Trojan:BAT/Obfuse!MSR), Vollständige Liste der Erkennungen (VirusTotal)
Verwandte Domänen klck[.]ai; kick[.]am; klck[.]pw; twitch[.]co[.]com; twltch[.]lol; twitch[.]cx; twitch[.]co[.]com; twitch[.]team; twltch[.]uno; rumble[.]tube; pnwthrive[.]com; cooinbase[.]net; tiktoklive[.]studio; secure-login-bing[.]com; char0nbaby[.]online; hyqyj[.]xyz; smallmonster[.]net; etc.
Anzeichen Trojaner sind so konzipiert, dass sie sich heimlich und unbemerkt in den Computer des Opfers einschleusen, so dass auf einem infizierten Rechner keine besonderen Symptome zu erkennen sind.
Verbreitungsmethoden Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-"Cracks".
Schaden Diebstahl von Passwörtern und Bankdaten, Identitätsdiebstahl, Aufnahme des Computers des Opfers in ein Botnetz.
Malware-Entfernung (Windows)

Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner.
▼ Combo Cleaner für Windows herunterladen
Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.

Rootkit-Beispiele

Wir haben über Tausende von Schadprogrammen geschrieben; RootTeam und Scranos sind nur einige unserer Artikel über Malware mit Rootkit-Komponenten.

Es muss erwähnt werden, dass die bösartigen Fähigkeiten nicht auf bestimmte Malware-Typen beschränkt sind. So sind beispielsweise Funktionen zum Datendiebstahl in allen Arten von Malware verbreitet. Darüber hinaus wird Malware oft in Kombination mit anderer bösartiger Software oder Komponenten verwendet.

Wie hat r77 meinen Computer infiltriert?

r77 wurde über "ClickFix"-Betrügereien verbreitet. Zum Beispiel durch gefälschte Cloudflare-Verifizierung auf Websites, die die Live-Streaming-Plattform Twitch imitieren. Dieses Rootkit wurde auch unter dem Deckmantel legitimer Software verbreitet, darunter Adobe-Produkte, Tor-Browser, verschiedene Messaging- und VoIP-Clients (Voice over Internet Protocol) usw. Die Quellen für letztere sind unbekannt, aber diese gefälschten Programme wurden wahrscheinlich über Betrugsseiten und Malvertising verbreitet.

Im Allgemeinen wird Malware durch Phishing und Social-Engineering-Methoden verbreitet. Infektiöse Dateien kommen in verschiedenen Formaten vor, z. B. als ausführbare Dateien (.exe, .run usw.), Archive (ZIP, RAR usw.), Dokumente (PDF, Microsoft Office, Microsoft OneNote usw.), JavaScript usw.

Zu den am weitesten verbreiteten Verbreitungsmethoden gehören: Malvertising, bösartige Anhänge/Links in Spam-Mails (z. B. E-Mails, PMs/DMs usw.), Drive-by-Downloads (heimliche/trügerische Downloads), Online-Betrug, nicht vertrauenswürdige Download-Kanäle (z. B. Freeware- und Drittanbieter-Websites, P2P-Sharing-Netzwerke usw.), illegale Software-Aktivierungs-Tools ("Cracking") und gefälschte Updates.

Einige bösartige Programme können sich über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.

Wie lässt sich die Installation von Malware vermeiden?

Vorsicht ist das A und O für die Sicherheit von Geräten und Benutzern. Recherchieren Sie daher Software und laden Sie sie nur von offiziellen/überprüften Quellen herunter. Aktivieren und aktualisieren Sie Programme mit Funktionen/Tools, die von seriösen Entwicklern bereitgestellt werden, da die von Dritten erworbenen Programme Malware enthalten können.

Seien Sie außerdem beim Surfen wachsam, denn das Internet ist voll von trügerischen und gefährlichen Inhalten. Gehen Sie eingehende E-Mails und andere Nachrichten mit Vorsicht an; öffnen Sie keine Anhänge oder Links, die Sie in verdächtigen E-Mails finden.

Es ist von größter Wichtigkeit, ein zuverlässiges Antivirenprogramm zu installieren und auf dem neuesten Stand zu halten. Sicherheitssoftware muss verwendet werden, um regelmäßige Systemüberprüfungen durchzuführen und Bedrohungen und Probleme zu entfernen. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner durchzuführen, um infiltrierte Malware automatisch zu entfernen.

Screenshot eines "ClickFix" Betrugs, der ein r77-Rootkit verbreitet (Bildquelle - Securonix):

ClickFix Betrug zur Verbreitung von R77 Malware

Umgehende automatische Entfernung von Malware: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
 ▼ LADEN Sie Combo Cleaner herunter Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Wie entfernt man Malware manuell?

Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, wenn Antiviren- oder Anti-Malware-Programme dies automatisch erledigen. Zur Entfernung dieser Malware empfehlen wir die Verwendung von Combo Cleaner.

Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers läuft:

Malware-Prozess läuft im Task-Manager

Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mit dem Task-Manager, und ein verdächtig aussehendes Programm gefunden haben, sollten Sie mit diesen Schritten fortfahren:

Schritt zur manuellen Entfernung von Malware 1Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt die Speicherorte der Autostart-Anwendungen, der Registrierung und des Dateisystems an:

Erscheinungsbild der Autoruns Anwendung

Schritt zur manuellen Entfernung von Malware 2Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, auf Herunterfahren, auf Neustart und auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Vernetzung aus der Liste aus.

Windows 7 oder Windows XP im abgesicherten Modus mit Netzwerkbetrieb ausführen

Video, das zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:

Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkbetrieb - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein und wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, im geöffneten Fenster "Allgemeine PC-Einstellungen" wählen Sie Erweiterter Start.

Klicken Sie auf die Schaltfläche "Jetzt neu starten". Ihr Computer wird nun neu gestartet und zeigt das Menü "Erweiterte Startoptionen" an. Klicken Sie auf die Schaltfläche "Problembehandlung" und dann auf die Schaltfläche "Erweiterte Optionen". Klicken Sie auf dem Bildschirm mit den erweiterten Optionen auf "Starteinstellungen".

Klicken Sie auf die Schaltfläche "Neu starten". Ihr PC startet neu und zeigt den Bildschirm "Starteinstellungen" an. Drücken Sie F5, um im abgesicherten Modus mit Vernetzung zu starten.

Windows 8 im abgesicherten Modus mit Netzwerkbetrieb ausführen

Video, das zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:

Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Energiesymbol. Klicken Sie im geöffneten Menü auf "Neustart", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Im Fenster "Wählen Sie eine Option" klicken Sie auf "Fehlerbehebung", dann wählen Sie "Erweiterte Optionen".

Wählen Sie im Menü "Erweiterte Optionen" die Option "Starteinstellungen" und klicken Sie auf die Schaltfläche "Neu starten". Im folgenden Fenster sollten Sie die Taste "F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Vernetzung neu gestartet.

Windows 10 im abgesicherten Modus mit Netzwerkbetrieb ausführen

Video, das zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:

Schritt zur manuellen Entfernung von Malware 3Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.

Entpacken Sie das Archiv Autoruns.zip und führen Sie die Anwendung Autoruns.exe aus

Schritt zur manuellen Entfernung von Malware 4Klicken Sie in der Autoruns-Anwendung oben auf "Optionen" und deaktivieren Sie die Optionen "Leere Speicherorte ausblenden" und "Windows-Einträge ausblenden". Klicken Sie anschließend auf das Symbol "Aktualisieren".

Aktualisieren der Autoruns-Anwendungsergebnisse

Schritt zur manuellen Entfernung von Malware 5Überprüfen Sie die von der Anwendung Autoruns bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.

Notieren Sie sich ihren vollständigen Pfad und Namen. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen verbirgt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie "Löschen".

Malware in Autoruns löschen

Nachdem Sie die Malware über die Anwendung Autoruns entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Schadsoftware finden, entfernen Sie ihn unbedingt.

Nach Malware suchen und diese löschen

Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.

Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner zu scannen.

Häufig gestellte Fragen (FAQ)

Mein Computer ist mit r77 Malware infiziert. Sollte ich mein Speichergerät formatieren, um die Malware loszuwerden?

Die Entfernung von Malware erfordert selten eine Formatierung.

Was sind die größten Probleme, die r77 Malware verursachen kann?

Die mit einer Infektion verbundenen Bedrohungen hängen von den Fähigkeiten der Malware und der Vorgehensweise der Cyberkriminellen ab. Im Allgemeinen ist risikoreiche Schadsoftware mit mehreren Systeminfektionen, schweren Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl verbunden.

Was ist der Zweck von r77 Malware?

In den meisten Fällen sind Malware-Angriffe durch finanziellen Gewinn motiviert. Cyber-Kriminelle können Schadprogramme jedoch auch einsetzen, um sich selbst zu amüsieren, persönlichen Groll auszuleben, Prozesse zu stören (z. B. Websites, Dienste, Organisationen usw.), Hacktivismus zu betreiben und politisch/geopolitisch motivierte Angriffe zu starten.

Wie ist die Malware r77 in meinen Computer eingedrungen?

Das r77-Rootkit wurde über "ClickFix" Betrügereien und unter dem Deckmantel echter Software (z. B. Bearbeitungsprogramme, Browser, Messenger usw.) verbreitet. Andere Verkleidungen und Verbreitungsmethoden sind nicht unwahrscheinlich.

Im Allgemeinen wird Malware über Online-Betrug, Malvertising, Spam-Mails, Drive-by-Downloads, dubiose Download-Kanäle (z. B. inoffizielle und kostenlose Filehosting-Websites, Peer-to-Peer-Sharing-Netzwerke usw.), illegale Software-Aktivierungstools ("Cracking") und gefälschte Updates weit verbreitet. Einige bösartige Programme können sich über lokale Netzwerke und Wechseldatenträger selbst verbreiten.

Wird mich Combo Cleaner vor Malware schützen?

Combo Cleaner wurde entwickelt, um Computer zu scannen und alle Arten von Bedrohungen zu beseitigen. Es kann die meisten bekannten Malware-Infektionen erkennen und entfernen. Denken Sie daran, dass sich ausgeklügelte Schadsoftware oft tief im System versteckt - daher ist eine vollständige Systemprüfung unerlässlich.

▼ Diskussion einblenden

Über den Autor:

Tomas Meskauskas

Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben. Lesen Sie mehr über den Autor.

Das Sicherheitsportal PCrisk wurde von vereinten Sicherheitsforschern entwickelt, um Computeranwender über die neuesten Online-Sicherheitsbedrohungen aufzuklären. Weitere Informationen über die Autoren und Forscher, die bei PCrisk arbeiten, finden Sie auf unserer Kontaktseite.

Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.

Über uns

PCrisk ist ein Cybersicherheitsportal, das Internet-Benutzer über die neuesten digitalen Bedrohungen informiert. Unsere Inhalte werden von Sicherheitsexperten und professionellen Malware-Forschern bereitgestellt. Lesen Sie mehr über uns.

Entfernungsanweisungen in anderen Sprachen
Neue Ratgeber zum Entfernen von Viren
Hochwertige Ratgeber zum Entfernen von Viren
QR Code
r77 malware QR code
Scannen Sie diesen QR Code, um einfachen Zugriff auf einen Entfernungsleitfaden für r77 malware auf Ihrem mobilen Gerät zu haben.
Wir empfehlen:

Entfern Sie Windows-Malware Infektionen noch heute:

▼ JETZT ENTFERNEN
Combo Cleaner für Windows herunterladen

Plattform: Windows

Bewertung des Herausgebers für Combo Cleaner:
BewertungAusgezeichnet!

[Zum Seitenanfang]

Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.