Wie entfernt man NWHStealer von infizierten Geräten

Was für eine Art von Malware ist NWHStealer?

NWHStealer ist eine Schadsoftware, ein Informationsdieb, der auf Windows-Benutzer abzielt. Er kann sensible persönliche Daten aus Webbrowsern (einschließlich Passwörter) und aus Kryptowährungs-Wallets sammeln. Cyberkriminelle verbreiten NWHStealer über gefälschte Websites, Datei-Hosting-Dienste, soziale Medienplattformen und ähnliche Kanäle.

Mehr über NWHStealer

Nach dem Start arbeitet NWHStealer im Arbeitsspeicher oder bettet sich in legitime Systemprozesse ein, um einer Erkennung zu entgehen. Er durchsucht dann über 25 verschiedene Verzeichnisse und Registrierungseinträge, die mit Kryptowährungs-Wallets verknüpft sind, und prüft auf sensible Daten. Darüber hinaus extrahiert er vertrauliche Informationen aus einer Reihe von Webbrowsern.

Zu den angegriffenen Browsern gehören 360 Browser, Brave, Chrome, Chromium, Chromodo, Edge, K-Melon und Opera. Der Stealer platziert eine bösartige DLL-Datei in Webbrowsern, die vertrauliche Informationen wie gespeicherte Passwörter oder Wallet-Daten sammelt. Diese DLL-Datei führt auch einen versteckten PowerShell-Befehl aus, der der Malware hilft, aktiv zu bleiben und der Erkennung zu entgehen.

Er erstellt versteckte Ordner und sorgt dafür, dass Windows Defender diese ignoriert, und aktualisiert dann die Systemeinstellungen. Danach lädt er zusätzliche bösartige Dateien herunter, die als legitime Systemprozesse getarnt sind, und stellt sie so ein, dass sie automatisch bei jeder Benutzeranmeldung ausgeführt werden, oft mit erhöhten Berechtigungen.

Der Stealer erlangt höhere Systemberechtigungen, indem er eine temporäre Datei erstellt und ein integriertes Windows-Tool verwendet, um die Benutzerkontensteuerung (UAC) zu umgehen. Er „klickt" sogar automatisch durch die Eingabeaufforderung mithilfe von Windows-Funktionen, sodass seine PowerShell-Befehle mit erhöhtem Zugriff ausgeführt werden können.

Fazit

Insgesamt ist NWHStealer darauf ausgelegt, sensible Daten zu sammeln, insbesondere aus Browsern und Kryptowährungs-Wallets. Er verwendet mehrere Stealth-Techniken, um der Erkennung zu entgehen, seine Persistenz aufrechtzuerhalten und erhöhte Berechtigungen auf dem System zu erlangen. Opfer können mit Problemen wie finanziellem Verlust und Identitätsdiebstahl konfrontiert werden. Die Bedrohung sollte sofort entfernt werden, wenn sie auf dem System vorhanden ist.

Weitere Beispiele für Informationsstealer sind OmniStealer, Storm und Remus.

Wie hat NWHStealer meinen Computer infiltriert?

NWHStealer wird hauptsächlich verbreitet, indem er sich als nützliche oder beliebte Software tarnt, wie z. B. VPN-Installationsprogramme, Hardware-Tools, Spiel-Mods oder Cheat-Programme. Benutzer werden dazu verleitet, ZIP-Dateien oder Installationsprogramme von gefälschten Webseiten, GitHub- oder GitLab-Repositories, Filesharing-Seiten oder sogar über Links in YouTube-Videos herunterzuladen.

Bei den meisten Angriffen ist das Ziel dasselbe: Benutzer dazu zu bringen, eine Datei auszuführen, die sicher erscheint, aber tatsächlich den Stealer im Hintergrund einschleust. Beispiele für ZIP-Dateien, die den Stealer enthalten, sind „OhmGraphite-0.36.1.zip", „Sidebar Diagnostics-3.6.5.zip", „Pachtop_1.2.2.zip" und „HardwareVisualizer_1.3.1.zip".

Wie vermeidet man die Installation von Malware?

Laden Sie Software von offiziellen, vertrauenswürdigen Webseiten oder verifizierten App-Stores herunter. Verwenden Sie niemals geknackte Programme, Raubkopien oder Schlüsselgeneratoren. Überprüfen Sie unerwartete E-Mails, insbesondere solche von unbekannten Absendern, und vermeiden Sie das Öffnen von Anhängen oder Links, die verdächtig erscheinen.

Halten Sie Ihr Betriebssystem und alle installierten Anwendungen auf dem neuesten Stand. Klicken Sie beim Besuch fragwürdiger Webseiten nicht auf Pop-ups, Werbung oder andere verdächtige Elemente und lehnen Sie alle Anfragen dieser Seiten ab, Benachrichtigungen zu senden.

Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um infiltrierte Malware automatisch zu entfernen.

Eine gefälschte Seite, die NWHStealer verbreitet (Quelle: malwarebytes.com):

Eine weitere betrügerische Seite, die zur Verbreitung des Stealers verwendet wird (Quelle: malwarebytes.com):

Umgehende automatische Entfernung von Malware:

Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:

Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Schnellmenü:

• Was ist NWHStealer?
• SCHRITT 1. Manuelle Entfernung von NWHStealer Malware.
• SCHRITT 2. Prüfen Sie, ob Ihr Computer sauber ist.

Wie entfernt man Malware manuell?

Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, Antivirus- oder Anti-Malware-Programme dies automatisch erledigen zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.

Wenn Sie Malware manuell entfernen möchten, besteht der erste Schritt darin, den Namen der Malware zu identifizieren, die Sie entfernen möchten. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:

Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, beispielsweise mithilfe des Task-Managers, und ein verdächtig aussehendes Programm identifiziert haben, sollten Sie mit diesen Schritten fortfahren:

Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt automatisch startende Anwendungen, Registrierungs- und Dateisystemstandorte an:

Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf Neu starten, klicken Sie auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis das Windows-Menü „Erweiterte Optionen" angezeigt wird, und wählen Sie dann „Abgesicherter Modus mit Netzwerk" aus der Liste.

Video, das zeigt, wie man Windows 7 im „Abgesicherten Modus mit Netzwerk" startet:

Benutzer von Windows 8: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerk - Gehen Sie zum Windows 8-Startbildschirm, geben Sie „Erweitert" ein, wählen Sie in den Suchergebnissen „Einstellungen". Klicken Sie auf „Erweiterte Startoptionen", wählen Sie im geöffneten Fenster „Allgemeine PC-Einstellungen" die Option „Erweiterter Start".

Klicken Sie auf die Schaltfläche „Jetzt neu starten". Ihr Computer wird nun im Menü „Erweiterte Startoptionen" neu gestartet. Klicken Sie auf die Schaltfläche „Problembehandlung" und dann auf die Schaltfläche „Erweiterte Optionen". Klicken Sie im Bildschirm „Erweiterte Optionen" auf „Starteinstellungen".

Klicken Sie auf die Schaltfläche „Neu starten". Ihr PC wird im Bildschirm „Starteinstellungen" neu gestartet. Drücken Sie F5, um im abgesicherten Modus mit Netzwerk zu starten.

Video, das zeigt, wie man Windows 8 im „Abgesicherten Modus mit Netzwerk" startet:

Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Ein/Aus-Symbol. Klicken Sie im geöffneten Menü auf „Neu starten", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster „Option auswählen" auf „Problembehandlung" und wählen Sie dann „Erweiterte Optionen".

Wählen Sie im Menü „Erweiterte Optionen" die Option „Starteinstellungen" und klicken Sie auf die Schaltfläche „Neu starten". Im folgenden Fenster sollten Sie die Taste „F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerk neu gestartet.

Video, das zeigt, wie man Windows 10 im „Abgesicherten Modus mit Netzwerk" startet:

Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.

Klicken Sie in der Autoruns-Anwendung oben auf „Optionen" und deaktivieren Sie die Optionen „Leere Speicherorte ausblenden" und „Windows-Einträge ausblenden". Klicken Sie nach diesem Vorgang auf das Symbol „Aktualisieren".

Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und lokalisieren Sie die Malware-Datei, die Sie entfernen möchten.

Sie sollten den vollständigen Pfad und Namen notieren. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen versteckt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie „Löschen".

Nachdem Sie die Malware über die Autoruns-Anwendung entfernt haben (dies stellt sicher, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Malware-Namen suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, stellen Sie sicher, dass Sie ihn entfernen.

Starten Sie Ihren Computer im normalen Modus neu. Das Befolgen dieser Schritte sollte jegliche Malware von Ihrem Computer entfernen. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie diese Kenntnisse nicht besitzen, überlassen Sie die Malware-Entfernung Antivirus- und Anti-Malware-Programmen.

Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es am besten, einer Infektion vorzubeugen, anstatt später zu versuchen, Malware zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antivirensoftware. Um sicherzustellen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.

Häufig gestellte Fragen (FAQ)

Mein Gerät ist mit NWHStealer Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie loszuwerden?

Obwohl diese Methode sicherstellt, dass NWHStealer vollständig beseitigt wird, führt sie auch zum Verlust aller Daten auf dem Gerät. Es ist normalerweise besser, zuerst zu versuchen, die Infektion mit einem vertrauenswürdigen Sicherheitstool wie Combo Cleaner zu entfernen, bevor Sie auf diese Option zurückgreifen.

Was sind die größten Probleme, die Malware verursachen kann?

Malware kann Datendiebstahl, finanziellen Verlust, Systemschäden, Datenschutzverletzungen und eine vollständige Kompromittierung des Geräts verursachen.

Was ist der Zweck von NWHStealer?

NWHStealer ist hauptsächlich darauf ausgelegt, Browserdaten wie gespeicherte Passwörter und Sitzungscookies sowie Kryptowährungs-Wallet-Daten und andere persönliche Informationen zu sammeln, die missbraucht werden können, um Geld und Identitäten zu stehlen, Konten zu kapern und andere bösartige Aktionen durchzuführen.

Wie hat NWHStealer mein Gerät infiltriert?

Dies geschieht normalerweise durch Downloads wie gefälschte VPN-Installationsprogramme, Spiel-Mods, Hardware-Tools oder Software-Cracks. Er wird auch häufig über gefälschte Webseiten, GitHub- oder Filesharing-Links und sogar Links in YouTube-Videos verbreitet, die Benutzer zu infizierten Downloads weiterleiten.

Wird Combo Cleaner mich vor Malware schützen?

Ja, Combo Cleaner kann die meisten Bedrohungen erkennen und entfernen, aber bestimmte fortgeschrittene Malware kann sich im System verstecken und der Erkennung entgehen. Aus diesem Grund ist die Durchführung eines vollständigen Systemscans wichtig.