Virenüberreste töten

Internet Internet Sicherheit
#12

unmittelbar in c:\ befinden sich folgende Dateien:

011.exe
5 Bilder (AlbumArt_[{00A7usw.]).jpeg und weitere mit andren Zahlen in Klammern, die Dateien werden erst dann sichtbar, wenn ich die Ordneroptionen umstelle (also auf „alles zeigen“)
autoexec.bat
autorun.inf
boot.bak
boot.ini
bootfont.bin
config.sys
desktop.ini
folder.jpg
io.sys
msdos.sys
ntdetect.com
ntldr (ohne Erweiterung)
pagefile.sys
thumbs.db
tuneup.txt
txtsetup.sif
VundoFix.txt
3 Lieder
Fritz 8 Deutsch.german.rar

Irgendwas auffällig daran?

#13

Und entgegen der Tipps bringt dabei auch das booten im
abgesicherten Modus nichts.

Der abgesicherte Modus wird wegen den Rechten benutzt, weil Schädlinge sich als Systemdateien tarnen, die sich so öfter entfernen lassen, als wenn man Windoof normal startet. :wink:

Wenn der Schädling wieder aktiv ist und den Scanner manipuliert hat, dann nützt einem der abgesicherte Modus zumeisst nicht. Dafür gibt es jedoch Virenscanner, welche man von einem USB-drive starten kann.

#14

Und entgegen der Tipps bringt dabei auch das booten im
abgesicherten Modus nichts.

Der abgesicherte Modus wird wegen den Rechten benutzt, weil
Schädlinge sich als Systemdateien tarnen, die sich so öfter
entfernen lassen, als wenn man Windoof normal startet. :wink:

Da du aber gar nicht weißt, ob sich der Schädling einfach komplett versteckt, bringt das herzlich wenig. Du weißt hernach immer noch nicht, ob dein System sauber ist.

Dafür gibt es jedoch Virenscanner, welche man
von einem USB-drive starten kann.

Oder von CD.
Und so einen benutzt man erstmal, denn da findet man immer noch am meisten. Und bei einer richtigen Kompromittierung mit z.B. einen Trojaner der Schadcode nachladen kann, da hilft so oder so nur noch eine Neuinstallation.
Alles andere ist Unsinn.

#15

Irgendwas auffällig daran?

Das hier sollte dort normal nicht sein.

autorun.inf

Was steht denn in der Datei drin?

Aber mal unter uns:
Setz dein System einfach neu auf. Das geht viel schneller, als wenn du noch Stunden mit sinnlosem Herumdoktern verbringst und ist auch viel zuverlässiger.

#16

Finde in der Registry den Pfad, der angegeben wird (recycler…com)
und zwar unter

  1. HKEY_CURRENT_USER
    Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{bb4d5[Zahlenschwanz]\Shell\AutoRun\command
    diesen Eintrag
    Name: Standard, Typ: REG_SZ, Wert: c:\windows\system32\rundll32.exe Shell32.dll,shellexec_rundll Recycler\s-5-1[Zahlenschwanz]
  2. Auch unter [alles-wie-oben]\Shell\Open\command finde ich den Eintrag(nur diesen): Name: Standard, Typ: REG_SZ, Wert: Recycler\S-5-1-78[Zahlenschwanz], also wieder unser Pfad.

Was soll dieser Ordner überhaupt? Ist der immer existent oder ist das ein Virenprodukt?
Vom Ordner"typ" {bb4[usw.]} existieren mehrere, nur mit unterschiedlichen Zahlen eben. Weiterhin haben wir Unterordner:
A, C, CPC (mit UNterordner), D, E in diesem MountPoints2-Order.

  1. Unter: HKEY_USERS\S-5-21[andererZahlenschwanz]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{bb4d5[offenbar-dasselbe-wie-oben]}\Shell\autorun\command finde ich denselben Eintrag wie unter 1)
  2. Unter: [wie-bei-3]\Shell\Open\command finde ich denselben Eintrag wie bei 2)

Mehr Einträge findet der Regedit mit meinem Problempfad nicht.
Nochmals Danke im Voraus.
Gruß Manuel

#17

[autorun]
;adhtodsrsonknukkndzfhyfmhfspgbrbnekurtznfmfmwsfiejrmptxwf
shellexecute=„RECYCLER\S-5-1-78-100017649-100017283-100010656-1283.com c:“
;dqhzmqneuqcbrdtlfuqvrruxiuyjqfbfwtjufxylfpfgimuvequfxzngwacpzekrdjweiuoaszcmv
shell\Open\command=„RECYCLER\S-5-1-78-100017649-100017283-100010656-1283.com c:“
;sqtzjrmxamzrhlukdbbjzjhatloxggxoioughcatstklazdtwhmzrcbavslfsysgrndmbihdflbmwvrworimekrpyzbizivz
shell=Open

Wir kommen der Sache schon näher. Das steht in der autorun.inf drin. Werd’s noch ein weng versuchen, wenn nix klappt, setzt ich wirklich neu auf. Ist halt auch immer aufwendig, weil ich nichts gesichert hab… d.h., alles neu installieren, neu downloaden…
müsste mir wirklich ne 2.partition erstellen, auf der 1. windows-installation, systemprogis usw., auf der 2. reinen datenkram.
weißt du vllt. auch, wie man das macht? (2.partition erstellen)?

Kein Zugriff auf Festplatte
#18

Wie funzt das denn mit der kostenlosen Avira-CD? Einfach von deren Website downloaden und brennen? Und Bedarf damit booten?
Gruß Manuel

#19

unmittelbar in c:\ befinden sich folgende Dateien:
011.exe

auffällig

5 Bilder (AlbumArt_[{00A7usw.]).jpeg und weitere mit andren
Zahlen in Klammern, die Dateien werden erst dann sichtbar,
wenn ich die Ordneroptionen umstelle (also auf „alles zeigen“)

Bilder stellen selten eine Gefahr da, gehören jedoch nicht ins Root.

autoexec.bat

rechtsklick und bearbeiten wählen, in meiner steht z. B. nichts drin

autorun.inf

Die ist auffällig und könnt der Grund sein, warum du beim anklicken von C: die von dir beschriebene Meldung bekommst. Eine autorun.inf ist normalerweise nur auf Wechseldatenträgern vorhanden.

Was steht da drin?

boot.bak
boot.ini

Interessant wäre was in der boot.ini anders ist als in der boot.bak, dass es eine Kopie gibt ist schon mal auffällig, muss aber nichts heissen, weil es mit deiner „Neuinstallation“ zu tun haben kann.

folder.jpg

Die gehört auch nicht ins Root.

thumbs.db

ist eine temporäre datei, die sich immer erstellt wenn man ein Bild aufmacht und wird nicht benötigt

tuneup.txt

braucht keiner, löschen

txtsetup.sif

k.A. was sif-dateien machen, könnte lt. suchmaschine zu treibern gehören.

VundoFix.txt

reinsehen und ggf. löschen

3 Lieder

hast keinen „eigene musik“ ordner? :smile:

Fritz 8 Deutsch.german.rar

gehört auch nicht ins root

Irgendwas auffällig daran?

Jo, auffällig ist, dass du viel Schrott im Root hast :wink:

Die exe und inf sind am auffälligsten. Lässt das System es zu diese zu löschen? Wenn ja nur in den Papierkorb und dann prüfen ob sie wiederkommt bzw. ob sie von einem Programm vermisst wird.

GGF die Systemwiederherstellung abschalten vor dem Löschen und/oder versuchen im abgesicherten Modus zu löschen. Dateien stellen sich auch gern wieder aus C:\WINDOWS\system32\dllcache wieder her. D. h. wenn sie sich wiederherstellen dann diesen Ordner prüfen ob dies Dateien da drin enthalten sind. Wenn ja dann verschieb sie (nur für den Fall der Fälle dass sie doch gebraucht würden :wink: woanders hin und lösch nochmal.

lg,
fred

#20

Genau da ist dein Problem. Die Autostart.inf verursacht die Fehlermeldung wie von mir oben beschrieben :smile:

Was passiert wenn du sie löscht?

#21

darf ich sei denn löschen?

#22

Setz dein System einfach neu auf. Das geht viel schneller, als
wenn du noch Stunden mit sinnlosem Herumdoktern verbringst

Aber man lernt halt nichts dabei :wink:

#23

Sicher, ich bin gespannt, ob sie sich zurückspielt oder ob der Schädling einen Schaden hat :smiley:

#24

ok, nach Neustart kann ich c:\ wieder normal öffnen.
Was mach ich mit der Registrierung, die Einträge dort sind doch sicher falsch? Löscht die Windows automatisch? oder kann ich sie einfach drin lassen?

Gruß Manuel

#25

Keine Ahnung ob in der Registry was drin ist, dazu müsst ich den Schädling programmiert haben :smile:

Lass nochmal dein Entfernungstool drüberlaufen, prüfe ob dein Antivir OK ist, wenn du nicht sicher bist dann deinstallieren, neu installieren, aktualisieren und überprüfen lassen.

Wenn die Systemwiederherstellung noch deaktiviert ist dann vergiss nicht diese wieder zu aktivieren, wenn alles normal erscheint.

Wenn die Systemwiederherstellung nie deaktiviert war, dann würd ich sie sicherheitshalber auf allen Laufwerken deaktivieren damit der Inhalt gelöscht wird. Dann wieder aktivieren und einen neuen Wiederherstellungspunkt setzen (start->hilfe und support->computeränderungen mit der Systemwiederherstellung rückgängig machen->einen Wiederherstellungspunkt erstellen.

lg,
fred

#26

ach ja
die 011.exe solltest noch prüfen, die gehört ev. zu dem ganzen Schlamassel dazu.

lg,
fred

#27

Keine Ahnung ob in der Registry was drin ist, dazu müsst ich
den Schädling programmiert haben :smile:

Und da man das eben nicht weiß, bringt auch in aller Regel der Versuch nichts, die Schädlinge zu entfernen. Denn du weißt nicht, was sonst noch so alles aktiv ist/war und was das Zeug alles geändert hat. Gerade bei den aktuellen Trojanern und Würmern die ihren Schadcode erst nachladen nutzen Entfernungstools überhaupt nichts, da sie nur den Trojaner löschen, aber eben nicht den eigentlichen Schadcode der erst später nachgeladen wurde und von dem kein Mensch weiß, was der macht und wo sich der überall eingenistet hat.

#28

Backups sind unabdingbar

Wir kommen der Sache schon näher. Das steht in der autorun.inf
drin. Werd’s noch ein weng versuchen, wenn nix klappt, setzt
ich wirklich neu auf.

Die autorun.inf ist sicherlich Bestandteil eines der Schädlinge. Aber wie gesagt: Es kann noch zig andere Stellen geben und es kann auch noch diverse andere Schadprogramme geben die still und leise im Hintergrund arbeiten, ohne dass du davon überhaupt was mitkriegst. Die spionieren halt dann z.B. Passwörter und ähnliches aus. Dabei wollen die ja gar nicht entdeckt werden und deswegen findest du sie dann u.U. auch nicht und hast sie weiter auf deinem Rechner drauf. Wäre toll oder?

Ist halt auch immer aufwendig, weil ich
nichts gesichert hab… d.h., alles neu installieren, neu
downloaden…

Tja, selber schuld würd ich sagen. Aber sieh es als Chance. Wenn du jetzt dein System neu aufsetzt, und dann ein sauberes Image des aufgesetzten Systems anlegst, dann kannst du dieses nach Belieben immer einspielen.

müsste mir wirklich ne 2.partition erstellen, auf der 1.
windows-installation, systemprogis usw., auf der 2. reinen
datenkram.

Das wäre sinnvoll.

weißt du vllt. auch, wie man das macht? (2.partition
erstellen)?

Das kannst du bei der Installation von Windows machen. Dort hast du die Möglichkeit die Festplatte umzupartitionieren. Dann installierst alle Programme wie gewohnt auf C: speicherst aber deine Daten dann auf D:.
Sinnvoller weise legst du auch den Ordner C:\Dokumente und Einstellungen gleich auf die zweite Partition. Wie das geht siehst du z.B. hier: http://www.winfaq.de/faq_html/Content/tip1500/online…

Danach kannst du bei einer Viren-Infektion einfach das Image von C: zurückspielen und schon hast du wieder einen sauberen PC. Wenn du das Image auf einer externen Festplatte ablegst, dann dauert das meist auch nicht mal ne halbe Stunde. Das einzige was du dann noch machen musst sind halt eventuelle Updates wieder einzuspielen, aber das ist ja Dank der Auto-Update-Funktionen der meisten Programme normal kein großer Aufwand mehr.

Am besten legst du dir in gewissen Zeitabständen immer mal wieder ein weiteres Image an. Dann kannst du zu verschiedenen Zeitpunkten zurückspringen und so einfach den letzten sauberen Zustand vor einer Infektion wiederherstellen.

#29

In der Registry versumpern 1000 Programme, die nicht mehr aktiv oder auf der Festplatte sind. :wink:

Klar kann man nur 100 % sicher sein, dass es weg ist, wenn man neu aufsetzt. Trotzdem ist es nicht immer notwendig. Es gibt genug Programme mit denen man nach soeiner Aktion prüfen kann, ob nochetwas aufs www zugreift. Es gibt auch Progis die überprüfen, was wo in der Registry seine Spuren hinterlässt. Wenn man interessiert ist, kann man dabei was lernen, wenn nicht dann setzt man neu auf.

Allerdings würd ich, wenn ich Onlinebanking machen würde, eher neu aufsetzen, weil in solchen Fällen ist ein Trojaner kein Spass. Wenn ich aber nur Surfe und ein bissi Email versende, dann würd ich eher zum Lernen tendieren.

#30

Es gibt genug Programme mit denen man nach soeiner Aktion prüfen
kann, ob nochetwas aufs www zugreift.

Wie prüfst du das bitte?

Es gibt auch Progis die
überprüfen, was wo in der Registry seine Spuren hinterlässt.

Wie prüfst du das bitte?

Allerdings würd ich, wenn ich Onlinebanking machen würde, eher
neu aufsetzen, weil in solchen Fällen ist ein Trojaner kein
Spass. Wenn ich aber nur Surfe und ein bissi Email versende,
dann würd ich eher zum Lernen tendieren.

Aha. Davon hab ich aber bis jetzt noch kein Wort von dir gehört. So richtig gut scheinen die Tools ja dann nicht zu funktionieren, wenn du dich ihnen auf Produktiv-Systemen nicht anvertrauen würdest. Der Ursprungs-Posterin hast du auf jeden Fall nichts davon erzählt und sie auch nicht gefragt, was sie mit dem PC macht. Toll.

Wenn jemand lernen und üben will, dann kann er ne VMWare aufsetzen, wo er nichts kaputt machen kann…

#31

Wie funzt das denn mit der kostenlosen Avira-CD? Einfach von
deren Website downloaden und brennen?

Richtig.

Und Bedarf damit booten?

Richtig. Und glaub mir: Du hast Bedarf.
Wenn das Ding dann irgendwas findet, was du mit deinen Virenscannern die direkt im infizierten System gelaufen sind nicht gefunden hast, dann ist das der letzte Wink mit dem Zaunpfahl, dass du neu installieren solltest.

Alternativ gibt es von der c’t immer mal wieder eine dem Heft beigepackte CD namens Knoppicillin. Da ist ein bootbares Linux drauf das in der letzten Version gleich drei Virenscanner (Avira, Kapersky und BitDefender) enthielt und die Berechtigung ein Jahr Updates davon zu laden. Damit kannst du dann den PC gleich mit verschiedenen Scannern von CD scannen.
Und von F-Secure gibts auch eine Rescue-CD zum Download: http://www.f-secure.com/linux-weblog/2008/06/19/f-se…