Hallo alle Miteinander
Ich hatte heute mit einem ganz besonderen Virus - Trojaner zu kämpfen.
Eine Kundschaft hat sich auf dem PC ( Windows XP Pro / SP3 ) den Trojaner "Virus Protector" eingefangen und leider auch installiert. (siehe Google)
Normaler weise lässt sich der Trojaner wieder entfernen, indem man ihn erstmal aus der Registry rausnimmt oder mit msconfig deaktiviert.
Anschließend löscht man noch diverse DLL Dateien und lässt verschiedene Programme wie smitfraud.exe ect. drüberlaufen....dann sollte der Störenfried so
einigermaßen entfernt sein.
Bei der Version des "Virus Protectors" mit der ich heute zu tun hatte, ging aber gar nichts mehr.
Die Schadsoftware wurde beim Windows Start mitgestartet, konnte weder geschlossen noch minimiert werden.....
Der Taskmanager war gesperrt, es war keine Startleiste vorhanden und diverse Tastenkombis wie etwa "Windows Taste" + E für Explorer usw. haben nicht funktioniert.
Jetzt denkt Ihr sicher, dann starte doch den abgesicherten Modus.....hab ich auch, aber das ding startete sich immer noch mit......ich konnte garnichts dagegen machen.
Nach einigen malen Neustart der Kiste habe ich den abgesicherten Modus mit Eingabeaufforderung gestartet.....da ging wenigstens die Command Shell (cmd)
und ich konnte manuell die msconfig starten. ( C:\WINDOWS\PCHealth\HelpCtr\Binaries\msconfig.exe ).
Leider war aber kein Eintrag im Reiter Systemstart über Virus Protector.
Registry war leider wie der Taskmanager immer noch von dem Virus gesperrt. genauso wie die Taskleiste fehlte.....also versuchte ich in der msconfig alles auszuschalten was nur iergendwie geht.
Aber jetzt ist der Virus deaktiviert.......hätte ich jedenfalls gehoft.
PC neu gestartet, abgesicherter Modus und der Virus startet schon wieder.....sch***e !!!
Tja, die Kaspersky Hotline wusste leider auch keinen Rat, also hab ich die Festplatte ausgebaut und an einem anderen PC drangehängt und mal gesucht.
Da fand ich dann einige Dateien in diversen Ordner ( c:\windows , c:\windows\system32 , c:\windows\driver ) die allesamt ein gleiches Erstellungsdatum hatten (um die Zeit als der Virus den PC übernahm) und verdächtig gleich groß waren und zwar 1161 KB......oder so ähnlich, aber alle genau gleich groß.
Ich hab die ganzen Dateien wegkopiert und die Platte wieder zurückgebaut, und siehe da, der Virus startete nicht mehr; aber es fehlte die Taskleiste, sämtliche Desktop Symbole, usw.
Der Taskmanager funktionierte zwar wieder, und ich konnte auch sonst alle Programme starten, aber iergendwie war der Virus noch da.
Ich fand weder in der Registry Einträge, noch in der msconfig.....Smitfraud brachte keinen Erfolg und div. andere Software auch nicht.
Nach insgesammt 2,5 Stunden herumprobieren, hab ich den PC kurzerhand neu aufgesetzt.......hat zwar dann den restlichen Tag gedauert bis wieder alles lief ( Buchhaltung ect. ), aber dafür ist der Virus jetzt sicher weg.
Meine Frage dazu lautet jetzt......was kann man in so einem Fall versuchen um das Drecksteil zu entfernen....falls ich wiedermal das Vergnügen mit dem Ding hab.
Danke schon mal im Vorraus
Schönen Abend
Markowitsch
mrtux schreibt am 04.03.2010, 21:31:49 Uhr 
