Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

TSR-Virus entfernen ?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: Linuxguru

Linuxguru (Level 1) - Jetzt verbinden

24.03.2010, aktualisiert 01.07.2010, 6235 Aufrufe, 10 Kommentare

Virus immer wieder da - w7.

Ich arbeite an einem PC, der offensichtlich mit einem TSR Virus verseucht wurde. Es wird lt. des Eigentümers per WLAN und Bluetooth übertragen, hat sich ung. 600kb vom Speicher reserviert und lässt sich nicht entfernen. Auch andere Geräte wurden verseucht - andere Windows Rechner (XP,Vista) und angeblich sogar ein Mobiltelefon. Ist also höchst gefährlich und extrem schwer zu vernichten. Letzte Möglichkeit wäre natürlich das HDD Laufwerk vollständig zu löschen und komplett neu anzurichten (mit Partitionen).

Gibt es aber eventuell andere Möglichkeiten oder gar tools die diesen Bösewicht mit absoluter Sicherheit killen würden?

Mir fällt vorerst nur den MBR mit einem GRUB Loader von Linux zu ersetzten und dann noch mit einer Linux Live CD zu versuchen ob ein linux basierter Virenkiller das Ding findet und erledigt.
Mitglied: mrtux
24.03.2010 um 18:38 Uhr
Hi !

Zitat von Linuxguru:
Gibt es aber eventuell andere Möglichkeiten oder gar tools die diesen Bösewicht mit absoluter Sicherheit killen
würden?

Du hast doch die absolut sichere Lösung schon selbst gefunden:

gefährlich und extrem schwer zu vernichten. Letzte Möglichkeit wäre natürlich das HDD Laufwerk
vollständig zu löschen und komplett neu anzurichten (mit Partitionen).

gell...

mrtux
Bitte warten ..
Mitglied: Linuxguru
24.03.2010 um 23:30 Uhr
Diesen Weg wollte ich halt nicht gehen es sei nur als allerletzter Ausweg. Bei windows scheint für vieles "format c:" die einzige Lösung zu sein - zumindest predigen das viele. Das halte ich allerdings halt in den meisten fällen für Humbug - auch wenn es hier gut möglich doch richtig ist. Doch demnach, was ich so aus Berichten über TSR hörte, ist das dann immer noch nicht unbedingt die Lösung. Der kann nämlich auch formatiervorgänge überstehen. Ich vermute jetzt allerdings, daß es nur dann passiert wenn man mit der Windows CD formatiert und nicht mit einem z.B. Live System.
Bitte warten ..
Mitglied: Sonnenscheinhasser
25.03.2010 um 01:57 Uhr
Zitat von Linuxguru:
Diesen Weg wollte ich halt nicht gehen es sei nur als allerletzter Ausweg. Bei windows scheint für vieles "format
c:" die einzige Lösung zu sein - zumindest predigen das viele. Das halte ich allerdings halt in den meisten fällen
für Humbug

Ein kompromittiertes System muss neu aufgesetzt werden. Alles andere ist grob fahrlässig.

Das sollte dir als 'Guru' klar sein, egal ob Linux oder Windows.

Schwarze Grüße,
Tom
Bitte warten ..
Mitglied: Petrof
25.03.2010 um 06:34 Uhr
Moin,

solange das System nicht zerstört ist, ist -muss neu aufgesetzt werden- nicht richtig.
Bisher kann jeder Virus oder Trojaner auch ohne diese Aktion rückstandslos entfernt werden.

Jedoch ist in Fällen mit besseren Viren das neu aufsetzen die einzige sinnvolle Lösung.
Der Arbeitsaufwand ist meist so hoch, dass er in keinem Verhältnis zum Ergebnis steht.

Teilweise packt mich der Ehrgeiz und ich muß es einfach hinbekommen, die längste Aktion bisher hat mich 3 Tage gekostet.
Aber machbar ist nahezu alles. Nutze ein Testsystem und packe die besten Schädlinge drauf. Wenn ich dann nebenbei zu viel Zeit habe,
wird halt ein "Spiel" gespielt. Als Ausgleich!

Gruß
Peter
Bitte warten ..
Mitglied: Linuxguru
25.03.2010 um 10:24 Uhr
Zitat von Petrof:
Teilweise packt mich der Ehrgeiz und ich muß es einfach hinbekommen,


Genauso ist es bei mir - ich will einfach erstmal eine möglichst "elegante" Lösung finden. Neu zu formatieren und neu aufzusetzen ist natürlich praktikabler, allerdings bringt mir nichts an neuen Erfahrungen. Das kann jeder.
Bitte warten ..
Mitglied: RogerWilco2009
25.03.2010 um 12:57 Uhr
Hallo Linuxguru,

jetzt misch ich mich auch mal ein.
Ich weiß nicht ob es "die" elegante Lösung gibt, zumindest gibt es aber eine strukturierte.
Ich weiß nicht in wieweit Du Dich schon mal mit dem Bootvorgang beschäftigt hast, aber es ist ganz gleich, welches Stück Code Du ausführen willst, Du mußt es erst aufrufen und ausführen. Ob das nun ein Tastatur-Treiber ist, ein SATA, der TCP/IP-Dienst oder eine Malware-Komponente. Ziel ist es den Aufruf zu finden, an dem dieses Stück Code gestartet wird.
Vielleicht hilft Dir das wenn Du Dich mal mit dem Systemtool "Autoruns" von M$ (früher sysinternals.com) auseinandersetzt und falls Bedarf besteht kann ich ja mal in meinen alten Unterlagen nach einem Boot-Vorgang suchen und Dir zukommen lassen...

Gruß Roger

P.S. BWLer interessiert es nicht, daß Du was lernen willst, die rechnen Dir nur vor, daß die Stunde neu aufsetzten sie jetzt Betrag X gekostet hat.
Bitte warten ..
Mitglied: mrtux
26.03.2010 um 00:03 Uhr
Hi !

Zitat von Petrof:
solange das System nicht zerstört ist, ist -muss neu aufgesetzt werden- nicht richtig.
Bisher kann jeder Virus oder Trojaner auch ohne diese Aktion rückstandslos entfernt werden.

Und das weisst Du ganz sicher? Du bist aber nicht im Kundendienst tätig oder? :-P

Jedoch ist in Fällen mit besseren Viren das neu aufsetzen die einzige sinnvolle Lösung.

Definiere bitte den Begriff "besserer Virus"...

Aber machbar ist nahezu alles. Nutze ein Testsystem und packe die besten Schädlinge drauf. Wenn ich dann nebenbei zu viel

Ich hatte neulich bei einem (Privat!) Kunden einen EXE-Infektor, nach dem 4891igsten "Düdelüt" von Avira, habe ich die Recovery CD eingelegt und dem Spuk ein schnelles Ende verpasst. Normalerweise gebe ich bestimmt nicht so schnell auf aber wenn der AV-Scanner mal meldet "Die Datei winlogon.exe kann nicht repariert werden, sie wurde von dem Virus zerstört!" (stellvertretend für 90% aller Exe-Files auf der Platte), dann zeig Du mir mal, wie in so einem Falle "nahezu alles" aussieht... Übrigens, Exe-Infektoren sind keineswegs ausgestorben wie oft fälschlicherweise angenommen, sondern eher wieder auf dem Vormarsch...

mrtux
Bitte warten ..
Mitglied: Petrof
28.03.2010 um 22:39 Uhr
Hallo mrtux,

das weiss ich ganz sicher.
Definiere Kundendienst. Ich sage mal: Ja, auch.
Mit besseren meine ich welche, die zu entfernen den Aufwand des neu Aufsetzens eines Rechners inkl. Rücksicherung der Daten übersteigen.

Wer lesen kann ist klar im Vorteil - wie in meiner Antwort geschrieben: Solange das System nicht zerstört ist.

Gruß
Peter
Bitte warten ..
Mitglied: mrtux
23.04.2010 um 15:14 Uhr
Hi !

Zitat von Petrof:
Wer lesen kann ist klar im Vorteil - wie in meiner Antwort geschrieben: Solange das System nicht zerstört ist.

Oops Brille putz...Mein Einwand hat nix mit meinen Lesefähigkeiten zu tun.. :-P

Das System war, bei meinem oben beschriebenen Kunden auch nicht zerstört, der Kunde hat damit noch munter "gearbeitet"....Von daher sollte man erfahrungsgemäss in Betracht ziehen, dass es Malware gibt, die sich eben nicht so leicht bemerkbar macht (oder sich bemerkbar machen lässt) und sich eben auch nicht von jedem Sicherheitspaket entfernen lässt, darum ist der einzig sichere und oft auch rentable Weg das Neuaufsetzen...

- Und wie der TO oben ja selbst beschreibt, hat ihn der Virus ja auch schon ganz schön zum Narren gehalten und in so einem Falle würde ich nicht lange herumbasteln, sondern die Radikalkur verordnen und gut ist....Denn als jemand der im Kundenservice arbeitet, kostet jede Minute der aufgewendeten Zeit den Kunden Geld und da kann man eben nicht den ganzen Tag herumbasteln, um herauszufinden was die Malware für Tricks drauf hat, sondern muss seine Arbeit für den Kunden erledigen....Ein Beispiel: Nehmen wir mal an, der Kunde besitzt ein Netbook mit einem Neupreis von 350 Euro und Du brauchst jetzt 2,5 Stunden bis Du die Malware darauf entfernt hast, wie hoch darf dann dein Stundensatz sein, damit der Kunde sich nicht gleich ein neues Gerät mit sauberem OS kaufen kann? Dazu braucht man keine Lesefähigkeit, sondern einfaches kaufmännisches Rechnen und darum meine Frage, ob Du schon mal im Kundenservice tätig warst.. :-P

mrtux
Bitte warten ..
Mitglied: Petrof
23.04.2010 um 17:06 Uhr
Moin mrtux,

ja auch ich setze ein System eher neu auf, als Stundenlang Fehler zu "reparieren"!

Jedoch war die Anfangsfrage nun einmal, ob es Möglichkeiten gibt zu entfernen ohne neu aufzusetzen.
Hierzu war und ist meine Antwort klar - Ja!

Denn es ist nun mal falsch, dass neu Aufsetzen die einzige Möglichkeit ist, wie so oft gesagt wird.
Wie auch schon gesagt sehe ich das entfernen eher als mein persönliches "Spiel" und als Ausgleich an.
Das erfolgt auch ausschließlich Privat ( obwohl Privatleben hab ich als selbstständiger ja an sich nicht )

Dieses "Spiel" zahlt sich aber teilweise auch aus, da Schädlinge zu entfernen (wenn man sie kennt und weiß wie sie gänzlich zu entfernen sind) schneller gehen kann als ein Backup aufspielen.

Gruß
Peter
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Viren und Trojaner
Virus von PC entfernen? (21)

Frage von Mimetype zum Thema Viren und Trojaner ...

Batch & Shell
gelöst Appx aus Image auslesen und entfernen (9)

Frage von Markus2016 zum Thema Batch & Shell ...

CPU, RAM, Mainboards
CPU Lüfter von CPU entfernen (6)

Frage von uridium69 zum Thema CPU, RAM, Mainboards ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...