Schweregradskala:  
  (93/100)

Emotet. Richtig entfernen? (Anleitung für die Deinstallation)

von Jake Doevan - - | Virustyp: Trojaner

Emotet-Virus – ein gefährlicher Banktrojaner, der die Dridex- und Qakbot-Schadsoftware auf betroffenen Rechnern installieren kann

Emotet is a dangerous banking trojan

Der Emotet-Virus ist ein Banktrojaner, der mindestens seit 2014 bekannt ist. Das bösartige Programm wird verwendet, um persönliche Daten zu stehlen und weitere Schadsoftware auf den betroffenen Computern zu installieren. Typischerweise verbreitet er sich über Phishing-Mails, die bösartige URLs enthalten und zu Dokumenten mit korrupten Makros führen. Wenn der Benutzer das Dokument öffnet oder Makros aktiviert, wird die Schadsoftware geladen und auf dem System ausgeführt.

Zusammenfassung des Trojaners
Name Emotet
Typ Banktrojaner, Netzwerkwurm
Datum der Veröffentlichung 2014
Am stärksten betroffene Länder Deutschland, Österreich, Schweiz, USA
Gefährlichkeitsgrad Hoch. Verbreitet sich über das Netzwerk und befällt alle angeschlossenen Computer, stiehlt Bankdaten und kann weitere Schadsoftware auf dem System installieren
AV-Erkennung Mal/Emotet-E, Troj/Inject-CRI, Troj/Agent-AWUQ, Troj/Wonton-ABA, Mal/Generic-S, C2/Generic-B, Mal/Emotet-*, HPmal/Emotet-A, HPmal/Emotet-B, Troj/EmotMem-A, Mal/EncPk-ACW
Verbreitungsmethode Schädliche Spammails, die Links enthalten, welche schädliche Makro-Dokumente herunterladen
Entfernung Installieren Sie Reimage und führen Sie eine vollständige Systemüberprüfung aus, um Emotet zu entfernen

Emotet macht sich schwache Admin-Passwörter und Systemschwachstellen zunutze, um sich im Computernetzwerk auszubreiten. Die fortschrittliche Cyberbedrohung hat vor allem die Aufgabe Schadsoftware auf die betroffenen Computer einzuschleusen, um Finanz- und Bankdaten zu stehlen.

Auf dem betroffenen Computer versucht Emotet, Admin-Rechte zu bekommen. Wenn dies nicht gelingt, führt er sich über andere Systemprozesse aus. Der Virus nimmt außerdem verschiedene Änderungen am System vor, um beim Systemstart zu booten, Systeminformationen zu sammeln, die Informationen zu verschlüsseln und an einen C&C-Server zu senden.

Gängige Sicherheitsprogramme identifizieren die Cyberbedrohung als:

  • Mal/Emotet-E
  • Troj/Inject-CRI
  • Troj/Agent-AWUQ
  • Troj/Wonton-ABA
  • Mal/Generic-S
  • C2/Generic-B
  • Mal/Emotet-*
  • HPmal/Emotet-A
  • HPmal/Emotet-B
  • Troj/EmotMem-A
  • Mal/EncPk-ACW

Trotz der Tatsache, dass der Trojaner erkannt werden kann, ist die Entfernung aufgrund seiner spezifischen Funktionalität recht kompliziert. Der Wurm wurde entwickelt, um eine Erkennung zu vermeiden. Beispielsweise kann sich die Schadsoftware unter Prozessen mit beliebigen oder legitim aussehenden Namen verstecken, z.B. wingroup.exe oder servicelog.exe.

Emotet banking trojan

Dateien bezüglich Emotet werden in der Regel in den folgenden Verzeichnissen abgelegt:

  • C:\Windows\
  • C:\windows\system32\
  • C:\Windows\Syswow64\
  • C:\Benutzer\\AppData\Local\Temp\

Wir raten jedoch davon ab, diese Orte zu überprüfen und bösartige Dateien manuell zu löschen. Emotet lässt sich auf diese Weise nicht wirksam entfernen. Der Wurm verbreitet sich über das Netzwerk und kann sich somit wieder neu installieren.

Aus diesem Grund ist es wichtig, dass auf allen Computern, die mit dem betroffenen Netzwerk verbunden sind, ein leistungsfähiges Antivirenprogramm installiert ist. Nur leistungsstarke Schadsoftware-Entferner können diese Cyberbedrohung vollständig beseitigen. Wir empfehlen für eine korrekte Entfernung des Virus dringend eine Anti-Malware wie Reimage oder Plumbytes Anti-MalwareMalwarebytes Malwarebytes zu verwenden.

Es ist wichtig, Emotet sofort zu deinstallieren, denn die Schadsoftware ist in der Lage andere Cyberbedrohungen auf das System zu übertragen. Sicherheitsspezialisten von Viruss.lv berichten, dass der Bankwurm auch die Viren Dridex oder Qakbot in die betroffenen Systeme einschleusen kann.

Besonderheiten des Banktrojaners bezüglich der Infiltrierung und Arbeitsweise

Die Ersteller dieser Schadsoftware verbreiten ihre Kreation über bösartige Spammails. Die Phishing-Mail kommt in der Form einer Spam-Rechnung oder -Zahlungsinformation, um leichtgläubige Computernutzer dazu zu bringen, den darin enthaltenen bösartigen Link zu öffnen.

Emotet spam emails

Der Link leitet zu einer spezifischen URL, die den Download eines infizierten Dokuments mit einem bösartigen Makro auslöst. Dieses in das Dokument eingebettete Makro veranlasst cmd.exe und PowerShell dazu, die Schadsoftware von der bösartigen Webseite herunterzuladen.

Im Folgenden eine Liste an entdeckter URLs, die zur Verbreitung des Banktrojaners Emotet verwendet werden:

  • hxxp://vanguardatlantic[.]com/Invoice-number-7121315833-issue/;
  • hxxp://abbeykurtz[.]com/VZZQNZJIZD9113942;
  • hxxp://charly-bass[.]de/Copy-Invoice-0954/;
  • hxxp://aplacetogrowtherapy[.]com/CNNKIAPGEP3572621.

Emotet infected document

Nach der Installation werden Kopien der Schadsoftware in den folgenden Ordnern abgelegt:

  • System%\{zeichenfolge 1}{zeichenfolge 2}.exe;
  • %AppDataLocal%\Microsoft\Windows\{zeichenfolge 1}{zeichenfolge 2}.exe.

Darüber hinaus sagen IT-Analysten, dass das bösartige Programm den Alternate Data Stream (auch bekannt als Zone Identifier) löscht, der die Quelle der Datei bestimmt, die man aus dem Internet Explorer herunterladen möchten. Es ist daher fast unmöglich, den Trojaner selbst zu erkennen.

Der Trojaner umgeht anschließend das System, indem er sich als Systemdienst registriert und die Einträge in der Windows-Registry ändert, um den Autostartmechanismus zu aktivieren. Mit anderen Worten: Der Emotet-Virus stellt alles so ein, dass er jedes Mal startet, wenn der Computer eingeschalten wird.

Anweisungen zur Entfernung von Emotet von betroffenen Geräten 

Wie bereits erwähnt, kann dieser bösartige Virus weitere Computer infizieren, die mit demselben Netzwerk verbunden sind. Wenn Sie die Entfernung von Emotet hinauszögern, riskieren Sie nicht nur Ihre eigene Sicherheit, sondern auch die anderer. Beachten Sie, dass es sich um ein sehr gefährliches Programm handelt, das imstande ist, seine Anwesenheit und Spuren zu verbergen. Der Versuch, es selbst zu beseitigen, kann zu irreversiblen Schäden an Ihrem System führen.

Wir empfehlen den Emotet-Virus so schnell wie möglich zu entfernen, indem Sie eine robuste Anti-Malware wie Reimage oder Malwarebytes MalwarebytesCombo Cleaner verwenden. Der Banktrojaner blockiert jedoch möglicherweise die Installation von Sicherheitssoftware. Sie müssen den Computer daher in den abgesicherten Modus hochfahren und die Sicherheitssoftware dort herunterladen. Anschließend können Sie eine vollständige Systemüberprüfung durchführen und die Schadsoftware entfernen. 

Beachten Sie, dass Sie Emotet von allen Computern deinstallieren müssen, die mit dem gleichen betroffenen Netzwerk verbunden sind. Wenn Sie eine Systemüberprüfung mehrmals durchführen und immer noch bösartige Komponenten finden, bedeutet dies, dass es noch infizierte Geräte im Netzwerk gibt. Die Entfernung des Trojaner ist somit eine komplexe Aufgabe und erfordert die sofortige Bereinigung aller angeschlossenen Computer.

Angebot
Jetzt säubern!
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
Herunterladen
Entferner: Reimage garantierte
Zufriedenheit
mit Microsoft Windows kompatibel Supported versions mit OS X kompatibel Supported versions
Was ist zu tun, wenn das Programm nicht hilft?
Wenn Sie mit Reimage den Virenschaden nicht beheben konnten, kontaktieren Sie uns über Fragt uns und stellen Sie Ihre Frage. Geben Sie dabei alle Einzelheiten an.
Reimage wird empfohlen, um den Virenschaden zu beheben. Der kostenlose Scanner lässt einen überprüfen, ob der Computer infiziert ist oder nicht. Falls Sie Schadsoftware entfernen müssen, müssen Sie die lizenzierte Version von Reimage erwerben.

Anleitung für die manuelle Entfernung von Emotet:

Entfernen Sie Emotet mit Safe Mode with Networking

Der Emotet-Trojaner kann so programmiert sein, dass er die Installation von Sicherheitssoftware blockiert. Befolgen Sie daher die folgenden Anweisungen, um den Computer im abgesicherten Modus mit Netzwerktreibern hochzufahren:

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Safe Mode with Networking von der Liste Wählen Sie 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Networking. Wählen Sie 'Enable Safe Mode with Networking'
  • Schritt 2: Entferne Emotet

    Melden Sie sich am infizierten Computer an und starten Sie den Browser. Laden Sie Reimage oder eine andere legitime Anti-Spyware herunter. Aktualisieren Sie das Programm bevor Sie einen vollständigen Systemscan ausführen und entfernen Sie die schädliche Dateien, die zu der Ransomware gehören und stellen Sie die Entfernung von Emotet fertig.

Probieren Sie folgende Methode aus, falls die Ransomware Safe Mode with Networking blockiert.

Entfernen Sie Emotet mit System Restore

Wenn Sie den Banktrojaner immer noch nicht beseitigen können, versuchen Sie es über die Eingabeaufforderung. Die folgenden Schritte leiten Sie durch den Prozess:

  • Schritt 1: Starten Sie den Computer in den Modus Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klicken Sie auf Start Shutdown Restart OK.
    2. Sobald der Computer aktiv wird, sollten Sie anfangen mehrmals F8 zu drücken bis Sie das Fenster Advanced Boot Options sehen.
    3. Wählen Sie Command Prompt von der Liste Wählen Sie 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Drücken Sie im Windows-Anmeldebildschirm auf den Button Power. Halten Sie nun auf Ihrer Tastatur Shift gedrückt und klicken Sie auf Restart..
    2. Wählen Sie nun Troubleshoot Advanced options Startup Settings und drücken Sie zuletzt auf Restart.
    3. Wählen Sie, sobald der Computer aktiv wird, im Fenster Startup Settings Enable Safe Mode with Command Prompt. Wählen Sie 'Enable Safe Mode with Command Prompt'
  • Schritt 2: Stellen Sie Ihre Systemdateien und -einstellungen wieder her.
    1. Sobald das Fenster Command Prompt auftaucht, geben Sie cd restore ein und klicken Sie auf Enter. Geben Sie 'cd restore' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    2. Geben Sie nun rstrui.exe ein und drücken Sie erneut auf Enter.. Geben Sie 'rstrui.exe' ohne die Anführungszeichen ein und drücken Sie auf 'Enter'
    3. Wenn ein neues Fenster auftaucht, klicken Sie auf Next und wählen Sie einen Wiederherstellungspunkt, der vor der Infiltrierung von Emotet liegt. Klicken Sie anschließend auf Next. Wenn das Fenster 'System Restore' auftaucht, wählen Sie 'Next' Wählen Sie den Wiederherstellungspunkt und klicken Sie auf 'Next'
    4. Klicken Sie nun auf Yes, um die Systemwiederherstellung zu starten. Klicken Sie auf 'Yes' und starten Sie die Systemwiederherstellung
    Nachdem Sie das System zu einem früheren Datum wiederhergestellt haben, vergewissern Sie sich, dass die Entfernung von Emotet erfolgreich war, indem Sie Reimage herunterladen und damit den Computer scannen.

Als Letztes sollten Sie sich natürlich immer über den Schutz vor Crypto-Ransomware Gedanken machen. Um den Computer vor Emotet und anderer Ransomware zu schützen, sollten Sie eine bewährte Anti-Spyware, wie beispielsweise Reimage, Malwarebytes MalwarebytesCombo Cleaner oder Plumbytes Anti-MalwareMalwarebytes Malwarebytes, nutzen.

Über den Autor

Jake Doevan - Das Leben ist zu kurz, um die Zeit mit Viren zu verschwenden.

Wenn Ihnen die kostenlose Entfernungsanleitung geholfen hat und Sie mit unserem Service zufrieden sind, möchten wir Sie um eine Spende bitten, sodass wir unsere Hilfe weiter anbieten können. Jeder noch so kleine Betrag ist herzlich willkommen.

Jake Doevan kontaktieren
Über die Firma Esolutions

Quelle: https://www.2-spyware.com/remove-emotet.html

Entfernungsanleitungen in anderen Sprachen