Virenüberreste töten

Internet Internet Sicherheit
#1

Hallo!
Habe ein Problem, vielleicht kann mir jmd helfen.
Hatte kürzlich ein Problem mit Viren, Avira AntiVir PE fand eine Handvoll Viren (u.Ä.) auf meinem PC. Die meisten konnten einfach gelöscht werden, nur VUNDO.gen bereitete einiges an Kopfzerbrechen. Er tauchte immer wieder auf bzw. ließ sich gar nicht erst löschen. Auch VundoFix konnte nicht alles löschen.
Also hab ich die Windows-Installation komplett gelöscht und neu aufgespielt, die übrigen Daten ließ ich drauf. Nun läuft alles (fast) problemlos, es werden keine Viren mehr gefunden (die überwiegend in C:\ [arktmp oder so ähnlich] und windows\system32 und der Registrierung waren), und es scheint, als wären sie tatsächlich alle weg.
Nur: wenn ich meinen Arbeitsplatz öffne, und auf c:\ doppelklicke (meine Festplatte), dann kommt eine Fehlermeldung (auf recycler[zahlenschwanz (s-5-1-78-1000usw.].com(!!) kann nicht zugegriffen werden), wenn ich rechts klicke und auf „Öffnen“ gehe, kommt „Zugriff verweigert“. Klicke ich allerdings rechts und auf „Explorer“, so öffnet er mir diesen und ich kann zugreifen. Ergo: c:\ ist eigentlich verfügbar, alle Daten sind vorhanden. Nur woher kommt diese Fehlermeldung und wie behebe ich das? Kam mit Vundo einher…
2. Problem: Defragmentierung funzt nicht, mit dem Windos-eigenen Defrag-Progi geht weder „Überprüfen“, noch „Defragmentieren“. Auch mit andren Systemprogrammen (Norton System Works) konnte ich derlei nicht durchführen. Wo hängt da der Fehler?

Tausend Dank im Vorraus!
Gruß Manuel

#2

hey,

Also hab ich die Windows-Installation komplett gelöscht und

Gelöscht oder formatiert?

Nur: wenn ich meinen Arbeitsplatz öffne, und auf c:\
doppelklicke (meine Festplatte), dann kommt eine Fehlermeldung
(auf recycler[zahlenschwanz (s-5-1-78-1000usw.].com(!!) kann
nicht zugegriffen werden), wenn ich rechts klicke und auf
„Öffnen“ gehe, kommt „Zugriff verweigert“.

Ich würde folgendes machen:

  • Systemwiederherstellung deaktivieren
  • Im Abgesicherten Modus starten
  • Den Inhalt des Papierkorbs löschen (rechtklick auf Papierkorb am Desktop „Papierkorb leeren“).

Wenn das nicht funktioniert:

  • Explorer starten
  • bei Extras, Ordneroptionen, Ansicht den Haken setzen bei „geschützte Systemdateien ausblenden“ und „Inhalte von Systemordnern anzeigen“ und weiter unten unter „versteckte Dateien und Ordner“ die Option „alle Dateien und Ordner anzeigen“ auswählen.
  • In den Recycler Ordner gehen und versuchen den Ordner manuell zu löschen.
  • Geht das nicht den Ordner rechts anklicken, Eigenschaften, Sicherheit, Gruppen- oder Benutzernamen hinzufügen, Erweitert, jetzt suchen, meinen Benutzernamen anklicken und mit OK hinzufügen. Mir alle Rechte geben und das Teil dann entfernen (geht nur mit XP-pro).
  1. Problem: Defragmentierung funzt nicht, mit dem
    Windos-eigenen Defrag-Progi geht weder „Überprüfen“, noch
    „Defragmentieren“. Auch mit andren Systemprogrammen (Norton
    System Works) konnte ich derlei nicht durchführen. Wo hängt da
    der Fehler?

Da scheint der Schädling noch aktiv zu sein. Schon versucht den Rest mit dem Entfernungstool zu entfernen?

Wenn du XP-home hast versuch mit Unlocker die Dateien zu löschen, die in dem versteckten Ordner mit dem langen Dateinamen drin sein werden.
http://www.wintotal.de/Software/index.php?id=2783

gl,
fred

#3

Habe ein Problem, vielleicht kann mir jmd helfen.
Hatte kürzlich ein Problem mit Viren, Avira AntiVir PE fand
eine Handvoll Viren (u.Ä.) auf meinem PC. Die meisten konnten
einfach gelöscht werden, nur VUNDO.gen bereitete einiges an
Kopfzerbrechen.

a)
Woher willst du wissen ob überhaupt alle Viren gefunden wurden?

b)
Woher willst du wissen, ob die Viren nicht immer noch aktiv sind?

Kurzum:
Installier deine Kiste neu. Die Dinger lassen sich nicht mehr zuverlässig nachträglich entfernen.

#4

um eine Datei oder Verzeichnis auch gegen "seinen Willen)zu löschen kann man sehr gut „unlocker“ verwenden. Das ist ein Freewareprogramm.
Das erzwingt das Löschen
Causa

#5

Ok,
at deconstruct: Es läuft ansonsten alles in Ordnung, AntiVira meldet keinen Virus mehr, den er vorher permanent und zuverlässig geortet hat. Auch G-data Internet Security und ein andrer Scanner, den ich vorübergehend drauf hatte, melden nichts.

die andren beiden: werde das alles versuchen, mich wunder nur, wieso C:\ offenbar auf eine Internetseite verweist? (.com! was soll das sein?)
Geb dann nochmal Bescheid, ob’s gefunzt hat.
Danke erstmal

#6

at fred: ähm, gelöscht, dann hat Windows (habe XP!)-Setup gesagt, es sei eine Version installiert, ob er löschen und überschreiben solle. Hat er denn auch getan, d.h. Starmenü ist wieder leer, Desktop leer usw. Aber die sonstigen Daten sind noch drauf.
Gruß Manuel

#7

Hm, bin noch nicht weit gekommen: wie deaktiviere ich die Systemwiederherstellung?
Gruß Manuel

#8

so, nochmal an fred:
hab systemwiederherstellung deaktiviert (habs rausgefunden), hab im abgesicherten neugestartet und siehe da: der papierkorb war leer, was er im normalen modus nicht war.
bin zurück in normalmodus, hab ihn dort geleert.
hab dann deinen b-plan versucht, scheitert allerdings schon am verständnis. nun ist er ja eh leer, also was soll ich da noch löschen?
und was meinst du mit recycler-ordner? meinst du einfach den papierkorb oder was?

#9

hey,

der Papierkorb wird leer angezeigt, weil es sich ev. um eine als Systemdatei definierte(n) Datei/Ordner handelt, die/der im abgesicherten Modus nicht angezeigt wird, solange du es nicht (wie von mir beschrieben) aktivierst.

D.h. es kann was drin sein, wird aber vor dir verborgen, weil das System von hausaus eingestellt hat, dass Systemdateien verborgen werden.

Windows überschreibt zwar Windows aber höchstwahrscheinlich nicht den Schädling, womit dieser (wie bei dir) vorhanden bleibt. Nächstes mal sichere deine Daten und formatiere die Partition.

Für solche Zwecke hat man gern eine 2. Partition bzw. Festplatte, wo man hinsichern kann (weils schneller geht als brennen). Die ist dann beim Formatieren von C nicht betroffen.

lg,
fred

#10

hey,

wieso C:\ offenbar auf eine Internetseite verweist? (.com! was
soll das sein?)

Es könnte eine Art Autostartdatei angelegt worden sein, die sich bei jedem „öffnen“ des Laufwerks ins www verbindet.

Welche Dateien hast du im Root auf C:\ liegen? Nur Dateien, nicht Ordner, angeben. Vorallem eine autostart.exe wäre da in deinem Fall auffällig. Aber gib einfach alle Dateien an, das sollten nicht so viele sein.

Ausserdem würde ich in der Registry bzw. auf der Festplatte nach der URL suchen. Aktiviere beim durchsuchen der Festplatte die Option „Erweiterte Optionen“ und mach ein Häkchen bei „Systemordner durchsuchen“, „versteckte Elemente durchsuchen“, „Unterordner durchsuchen“.

lg,
fred

#11

at deconstruct: Es läuft ansonsten alles in Ordnung, AntiVira
meldet keinen Virus mehr, den er vorher permanent und
zuverlässig geortet hat. Auch G-data Internet Security und ein
andrer Scanner, den ich vorübergehend drauf hatte, melden
nichts.

Wenn der Schädling aktiv ist, dann melden die Scanner natürlich nichts, weil sich der Schädling einfach vor ihnen verstecken kann. Da kannst du noch 20 Virenscanner und 40 Removal-Tools verwenden, das wird daran nichts ändern. Was die Programme nicht sehen, können sie auch nicht entfernen.

Und entgegen der Tipps bringt dabei auch das booten im abgesicherten Modus nichts. Dort kann sich der Virus genauso verstecken. Eine reele Chance die Dinger zu finden hast du nur mit einem von CD bootbaren Virenscanner wie z.B. der kostenlosen Avira Rescue-CD. Die booten nämlich das System von der CD und nicht von deinem infizierten Rechner, da diesem nicht mehr zu trauen ist.

Und selbst diese Rescue-CDs finden oft nicht alle Schädlinge, da die gefundenen Schädlinge meist nur sog. „Dropper“ sind, d.h. das sind Programme die den eigentlichen Schadcode via Internet erst nachladen und diese dann irgendwo verstecken. Und diese Dinger werden von Virenscanner allgemein nicht zuverlässig gefunden. Wenn man sich so einen Code-nachladenden Virus oder Trojaner mal eingefangen hat, dann kriegt man das System nur durch eine Neuinstallation wieder sauber.
Alles andere ist unzuverlässiger Hokuspokus.

#12

unmittelbar in c:\ befinden sich folgende Dateien:

011.exe
5 Bilder (AlbumArt_[{00A7usw.]).jpeg und weitere mit andren Zahlen in Klammern, die Dateien werden erst dann sichtbar, wenn ich die Ordneroptionen umstelle (also auf „alles zeigen“)
autoexec.bat
autorun.inf
boot.bak
boot.ini
bootfont.bin
config.sys
desktop.ini
folder.jpg
io.sys
msdos.sys
ntdetect.com
ntldr (ohne Erweiterung)
pagefile.sys
thumbs.db
tuneup.txt
txtsetup.sif
VundoFix.txt
3 Lieder
Fritz 8 Deutsch.german.rar

Irgendwas auffällig daran?

#13

Und entgegen der Tipps bringt dabei auch das booten im
abgesicherten Modus nichts.

Der abgesicherte Modus wird wegen den Rechten benutzt, weil Schädlinge sich als Systemdateien tarnen, die sich so öfter entfernen lassen, als wenn man Windoof normal startet. :wink:

Wenn der Schädling wieder aktiv ist und den Scanner manipuliert hat, dann nützt einem der abgesicherte Modus zumeisst nicht. Dafür gibt es jedoch Virenscanner, welche man von einem USB-drive starten kann.

#14

Und entgegen der Tipps bringt dabei auch das booten im
abgesicherten Modus nichts.

Der abgesicherte Modus wird wegen den Rechten benutzt, weil
Schädlinge sich als Systemdateien tarnen, die sich so öfter
entfernen lassen, als wenn man Windoof normal startet. :wink:

Da du aber gar nicht weißt, ob sich der Schädling einfach komplett versteckt, bringt das herzlich wenig. Du weißt hernach immer noch nicht, ob dein System sauber ist.

Dafür gibt es jedoch Virenscanner, welche man
von einem USB-drive starten kann.

Oder von CD.
Und so einen benutzt man erstmal, denn da findet man immer noch am meisten. Und bei einer richtigen Kompromittierung mit z.B. einen Trojaner der Schadcode nachladen kann, da hilft so oder so nur noch eine Neuinstallation.
Alles andere ist Unsinn.

#15

Irgendwas auffällig daran?

Das hier sollte dort normal nicht sein.

autorun.inf

Was steht denn in der Datei drin?

Aber mal unter uns:
Setz dein System einfach neu auf. Das geht viel schneller, als wenn du noch Stunden mit sinnlosem Herumdoktern verbringst und ist auch viel zuverlässiger.

#16

Finde in der Registry den Pfad, der angegeben wird (recycler…com)
und zwar unter

  1. HKEY_CURRENT_USER
    Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{bb4d5[Zahlenschwanz]\Shell\AutoRun\command
    diesen Eintrag
    Name: Standard, Typ: REG_SZ, Wert: c:\windows\system32\rundll32.exe Shell32.dll,shellexec_rundll Recycler\s-5-1[Zahlenschwanz]
  2. Auch unter [alles-wie-oben]\Shell\Open\command finde ich den Eintrag(nur diesen): Name: Standard, Typ: REG_SZ, Wert: Recycler\S-5-1-78[Zahlenschwanz], also wieder unser Pfad.

Was soll dieser Ordner überhaupt? Ist der immer existent oder ist das ein Virenprodukt?
Vom Ordner"typ" {bb4[usw.]} existieren mehrere, nur mit unterschiedlichen Zahlen eben. Weiterhin haben wir Unterordner:
A, C, CPC (mit UNterordner), D, E in diesem MountPoints2-Order.

  1. Unter: HKEY_USERS\S-5-21[andererZahlenschwanz]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{bb4d5[offenbar-dasselbe-wie-oben]}\Shell\autorun\command finde ich denselben Eintrag wie unter 1)
  2. Unter: [wie-bei-3]\Shell\Open\command finde ich denselben Eintrag wie bei 2)

Mehr Einträge findet der Regedit mit meinem Problempfad nicht.
Nochmals Danke im Voraus.
Gruß Manuel

#17

[autorun]
;adhtodsrsonknukkndzfhyfmhfspgbrbnekurtznfmfmwsfiejrmptxwf
shellexecute=„RECYCLER\S-5-1-78-100017649-100017283-100010656-1283.com c:“
;dqhzmqneuqcbrdtlfuqvrruxiuyjqfbfwtjufxylfpfgimuvequfxzngwacpzekrdjweiuoaszcmv
shell\Open\command=„RECYCLER\S-5-1-78-100017649-100017283-100010656-1283.com c:“
;sqtzjrmxamzrhlukdbbjzjhatloxggxoioughcatstklazdtwhmzrcbavslfsysgrndmbihdflbmwvrworimekrpyzbizivz
shell=Open

Wir kommen der Sache schon näher. Das steht in der autorun.inf drin. Werd’s noch ein weng versuchen, wenn nix klappt, setzt ich wirklich neu auf. Ist halt auch immer aufwendig, weil ich nichts gesichert hab… d.h., alles neu installieren, neu downloaden…
müsste mir wirklich ne 2.partition erstellen, auf der 1. windows-installation, systemprogis usw., auf der 2. reinen datenkram.
weißt du vllt. auch, wie man das macht? (2.partition erstellen)?

Kein Zugriff auf Festplatte
#18

Wie funzt das denn mit der kostenlosen Avira-CD? Einfach von deren Website downloaden und brennen? Und Bedarf damit booten?
Gruß Manuel

#19

unmittelbar in c:\ befinden sich folgende Dateien:
011.exe

auffällig

5 Bilder (AlbumArt_[{00A7usw.]).jpeg und weitere mit andren
Zahlen in Klammern, die Dateien werden erst dann sichtbar,
wenn ich die Ordneroptionen umstelle (also auf „alles zeigen“)

Bilder stellen selten eine Gefahr da, gehören jedoch nicht ins Root.

autoexec.bat

rechtsklick und bearbeiten wählen, in meiner steht z. B. nichts drin

autorun.inf

Die ist auffällig und könnt der Grund sein, warum du beim anklicken von C: die von dir beschriebene Meldung bekommst. Eine autorun.inf ist normalerweise nur auf Wechseldatenträgern vorhanden.

Was steht da drin?

boot.bak
boot.ini

Interessant wäre was in der boot.ini anders ist als in der boot.bak, dass es eine Kopie gibt ist schon mal auffällig, muss aber nichts heissen, weil es mit deiner „Neuinstallation“ zu tun haben kann.

folder.jpg

Die gehört auch nicht ins Root.

thumbs.db

ist eine temporäre datei, die sich immer erstellt wenn man ein Bild aufmacht und wird nicht benötigt

tuneup.txt

braucht keiner, löschen

txtsetup.sif

k.A. was sif-dateien machen, könnte lt. suchmaschine zu treibern gehören.

VundoFix.txt

reinsehen und ggf. löschen

3 Lieder

hast keinen „eigene musik“ ordner? :smile:

Fritz 8 Deutsch.german.rar

gehört auch nicht ins root

Irgendwas auffällig daran?

Jo, auffällig ist, dass du viel Schrott im Root hast :wink:

Die exe und inf sind am auffälligsten. Lässt das System es zu diese zu löschen? Wenn ja nur in den Papierkorb und dann prüfen ob sie wiederkommt bzw. ob sie von einem Programm vermisst wird.

GGF die Systemwiederherstellung abschalten vor dem Löschen und/oder versuchen im abgesicherten Modus zu löschen. Dateien stellen sich auch gern wieder aus C:\WINDOWS\system32\dllcache wieder her. D. h. wenn sie sich wiederherstellen dann diesen Ordner prüfen ob dies Dateien da drin enthalten sind. Wenn ja dann verschieb sie (nur für den Fall der Fälle dass sie doch gebraucht würden :wink: woanders hin und lösch nochmal.

lg,
fred

#20

Genau da ist dein Problem. Die Autostart.inf verursacht die Fehlermeldung wie von mir oben beschrieben :smile:

Was passiert wenn du sie löscht?