Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

TSR-Virus entfernen ?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: Linuxguru

Linuxguru (Level 1) - Jetzt verbinden

24.03.2010, aktualisiert 01.07.2010, 6301 Aufrufe, 10 Kommentare

Virus immer wieder da - w7.

Ich arbeite an einem PC, der offensichtlich mit einem TSR Virus verseucht wurde. Es wird lt. des Eigentümers per WLAN und Bluetooth übertragen, hat sich ung. 600kb vom Speicher reserviert und lässt sich nicht entfernen. Auch andere Geräte wurden verseucht - andere Windows Rechner (XP,Vista) und angeblich sogar ein Mobiltelefon. Ist also höchst gefährlich und extrem schwer zu vernichten. Letzte Möglichkeit wäre natürlich das HDD Laufwerk vollständig zu löschen und komplett neu anzurichten (mit Partitionen).

Gibt es aber eventuell andere Möglichkeiten oder gar tools die diesen Bösewicht mit absoluter Sicherheit killen würden?

Mir fällt vorerst nur den MBR mit einem GRUB Loader von Linux zu ersetzten und dann noch mit einer Linux Live CD zu versuchen ob ein linux basierter Virenkiller das Ding findet und erledigt.
Mitglied: mrtux
24.03.2010 um 18:38 Uhr
Hi !

Zitat von Linuxguru:
Gibt es aber eventuell andere Möglichkeiten oder gar tools die diesen Bösewicht mit absoluter Sicherheit killen
würden?

Du hast doch die absolut sichere Lösung schon selbst gefunden:

gefährlich und extrem schwer zu vernichten. Letzte Möglichkeit wäre natürlich das HDD Laufwerk
vollständig zu löschen und komplett neu anzurichten (mit Partitionen).

gell...

mrtux
Bitte warten ..
Mitglied: Linuxguru
24.03.2010 um 23:30 Uhr
Diesen Weg wollte ich halt nicht gehen es sei nur als allerletzter Ausweg. Bei windows scheint für vieles "format c:" die einzige Lösung zu sein - zumindest predigen das viele. Das halte ich allerdings halt in den meisten fällen für Humbug - auch wenn es hier gut möglich doch richtig ist. Doch demnach, was ich so aus Berichten über TSR hörte, ist das dann immer noch nicht unbedingt die Lösung. Der kann nämlich auch formatiervorgänge überstehen. Ich vermute jetzt allerdings, daß es nur dann passiert wenn man mit der Windows CD formatiert und nicht mit einem z.B. Live System.
Bitte warten ..
Mitglied: Sonnenscheinhasser
25.03.2010 um 01:57 Uhr
Zitat von Linuxguru:
Diesen Weg wollte ich halt nicht gehen es sei nur als allerletzter Ausweg. Bei windows scheint für vieles "format
c:" die einzige Lösung zu sein - zumindest predigen das viele. Das halte ich allerdings halt in den meisten fällen
für Humbug

Ein kompromittiertes System muss neu aufgesetzt werden. Alles andere ist grob fahrlässig.

Das sollte dir als 'Guru' klar sein, egal ob Linux oder Windows.

Schwarze Grüße,
Tom
Bitte warten ..
Mitglied: Petrof
25.03.2010 um 06:34 Uhr
Moin,

solange das System nicht zerstört ist, ist -muss neu aufgesetzt werden- nicht richtig.
Bisher kann jeder Virus oder Trojaner auch ohne diese Aktion rückstandslos entfernt werden.

Jedoch ist in Fällen mit besseren Viren das neu aufsetzen die einzige sinnvolle Lösung.
Der Arbeitsaufwand ist meist so hoch, dass er in keinem Verhältnis zum Ergebnis steht.

Teilweise packt mich der Ehrgeiz und ich muß es einfach hinbekommen, die längste Aktion bisher hat mich 3 Tage gekostet.
Aber machbar ist nahezu alles. Nutze ein Testsystem und packe die besten Schädlinge drauf. Wenn ich dann nebenbei zu viel Zeit habe,
wird halt ein "Spiel" gespielt. Als Ausgleich!

Gruß
Peter
Bitte warten ..
Mitglied: Linuxguru
25.03.2010 um 10:24 Uhr
Zitat von Petrof:
Teilweise packt mich der Ehrgeiz und ich muß es einfach hinbekommen,


Genauso ist es bei mir - ich will einfach erstmal eine möglichst "elegante" Lösung finden. Neu zu formatieren und neu aufzusetzen ist natürlich praktikabler, allerdings bringt mir nichts an neuen Erfahrungen. Das kann jeder.
Bitte warten ..
Mitglied: RogerWilco2009
25.03.2010 um 12:57 Uhr
Hallo Linuxguru,

jetzt misch ich mich auch mal ein.
Ich weiß nicht ob es "die" elegante Lösung gibt, zumindest gibt es aber eine strukturierte.
Ich weiß nicht in wieweit Du Dich schon mal mit dem Bootvorgang beschäftigt hast, aber es ist ganz gleich, welches Stück Code Du ausführen willst, Du mußt es erst aufrufen und ausführen. Ob das nun ein Tastatur-Treiber ist, ein SATA, der TCP/IP-Dienst oder eine Malware-Komponente. Ziel ist es den Aufruf zu finden, an dem dieses Stück Code gestartet wird.
Vielleicht hilft Dir das wenn Du Dich mal mit dem Systemtool "Autoruns" von M$ (früher sysinternals.com) auseinandersetzt und falls Bedarf besteht kann ich ja mal in meinen alten Unterlagen nach einem Boot-Vorgang suchen und Dir zukommen lassen...

Gruß Roger

P.S. BWLer interessiert es nicht, daß Du was lernen willst, die rechnen Dir nur vor, daß die Stunde neu aufsetzten sie jetzt Betrag X gekostet hat.
Bitte warten ..
Mitglied: mrtux
26.03.2010 um 00:03 Uhr
Hi !

Zitat von Petrof:
solange das System nicht zerstört ist, ist -muss neu aufgesetzt werden- nicht richtig.
Bisher kann jeder Virus oder Trojaner auch ohne diese Aktion rückstandslos entfernt werden.

Und das weisst Du ganz sicher? Du bist aber nicht im Kundendienst tätig oder? :-P

Jedoch ist in Fällen mit besseren Viren das neu aufsetzen die einzige sinnvolle Lösung.

Definiere bitte den Begriff "besserer Virus"...

Aber machbar ist nahezu alles. Nutze ein Testsystem und packe die besten Schädlinge drauf. Wenn ich dann nebenbei zu viel

Ich hatte neulich bei einem (Privat!) Kunden einen EXE-Infektor, nach dem 4891igsten "Düdelüt" von Avira, habe ich die Recovery CD eingelegt und dem Spuk ein schnelles Ende verpasst. Normalerweise gebe ich bestimmt nicht so schnell auf aber wenn der AV-Scanner mal meldet "Die Datei winlogon.exe kann nicht repariert werden, sie wurde von dem Virus zerstört!" (stellvertretend für 90% aller Exe-Files auf der Platte), dann zeig Du mir mal, wie in so einem Falle "nahezu alles" aussieht... Übrigens, Exe-Infektoren sind keineswegs ausgestorben wie oft fälschlicherweise angenommen, sondern eher wieder auf dem Vormarsch...

mrtux
Bitte warten ..
Mitglied: Petrof
28.03.2010 um 22:39 Uhr
Hallo mrtux,

das weiss ich ganz sicher.
Definiere Kundendienst. Ich sage mal: Ja, auch.
Mit besseren meine ich welche, die zu entfernen den Aufwand des neu Aufsetzens eines Rechners inkl. Rücksicherung der Daten übersteigen.

Wer lesen kann ist klar im Vorteil - wie in meiner Antwort geschrieben: Solange das System nicht zerstört ist.

Gruß
Peter
Bitte warten ..
Mitglied: mrtux
23.04.2010 um 15:14 Uhr
Hi !

Zitat von Petrof:
Wer lesen kann ist klar im Vorteil - wie in meiner Antwort geschrieben: Solange das System nicht zerstört ist.

Oops Brille putz...Mein Einwand hat nix mit meinen Lesefähigkeiten zu tun.. :-P

Das System war, bei meinem oben beschriebenen Kunden auch nicht zerstört, der Kunde hat damit noch munter "gearbeitet"....Von daher sollte man erfahrungsgemäss in Betracht ziehen, dass es Malware gibt, die sich eben nicht so leicht bemerkbar macht (oder sich bemerkbar machen lässt) und sich eben auch nicht von jedem Sicherheitspaket entfernen lässt, darum ist der einzig sichere und oft auch rentable Weg das Neuaufsetzen...

- Und wie der TO oben ja selbst beschreibt, hat ihn der Virus ja auch schon ganz schön zum Narren gehalten und in so einem Falle würde ich nicht lange herumbasteln, sondern die Radikalkur verordnen und gut ist....Denn als jemand der im Kundenservice arbeitet, kostet jede Minute der aufgewendeten Zeit den Kunden Geld und da kann man eben nicht den ganzen Tag herumbasteln, um herauszufinden was die Malware für Tricks drauf hat, sondern muss seine Arbeit für den Kunden erledigen....Ein Beispiel: Nehmen wir mal an, der Kunde besitzt ein Netbook mit einem Neupreis von 350 Euro und Du brauchst jetzt 2,5 Stunden bis Du die Malware darauf entfernt hast, wie hoch darf dann dein Stundensatz sein, damit der Kunde sich nicht gleich ein neues Gerät mit sauberem OS kaufen kann? Dazu braucht man keine Lesefähigkeit, sondern einfaches kaufmännisches Rechnen und darum meine Frage, ob Du schon mal im Kundenservice tätig warst.. :-P

mrtux
Bitte warten ..
Mitglied: Petrof
23.04.2010 um 17:06 Uhr
Moin mrtux,

ja auch ich setze ein System eher neu auf, als Stundenlang Fehler zu "reparieren"!

Jedoch war die Anfangsfrage nun einmal, ob es Möglichkeiten gibt zu entfernen ohne neu aufzusetzen.
Hierzu war und ist meine Antwort klar - Ja!

Denn es ist nun mal falsch, dass neu Aufsetzen die einzige Möglichkeit ist, wie so oft gesagt wird.
Wie auch schon gesagt sehe ich das entfernen eher als mein persönliches "Spiel" und als Ausgleich an.
Das erfolgt auch ausschließlich Privat ( obwohl Privatleben hab ich als selbstständiger ja an sich nicht )

Dieses "Spiel" zahlt sich aber teilweise auch aus, da Schädlinge zu entfernen (wenn man sie kennt und weiß wie sie gänzlich zu entfernen sind) schneller gehen kann als ein Backup aufspielen.

Gruß
Peter
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Virus von PC entfernen?
Frage von MimetypeViren und Trojaner21 Kommentare

Hallo, eigentlich beschäftige ich mich mit so etwas weniger. Habe aber nun einen Laptop von einem Kunden auf dem ...

Windows Server
Ein gutes Tool oder Programm zum entfernen von Crypto Virus auf System.
Frage von zorlayanWindows Server8 Kommentare

Hallo Freunde, Gibts jemand schon mit dieser Art von solchen Virus-Befall Erfahrung gemacht hat? Bei einem Server gibts einen ...

Viren und Trojaner
Zepto Virus
Frage von franksigViren und Trojaner12 Kommentare

Hallo zusammen, hat jemand Erfahrung mit dem Zepto Virus ? reicht es wenn der Client wo der Virus ausgeführt ...

Windows 10
Virus Locky infiziert das Bios ?
gelöst Frage von 1Werner1Windows 104 Kommentare

Moin, ich habe auf einen mit Locky Virus befallenden PC das Windows neu aufgesetzt, und natürlich auch das Programm ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 12 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 19 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 20 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 23 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...