Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wildes Pferd - Virus Protector

Frage Sicherheit Viren und Trojaner

Mitglied: Markowitsch

Markowitsch (Level 1) - Jetzt verbinden

04.03.2010 um 21:26 Uhr, 8382 Aufrufe, 5 Kommentare

Virus Protector legt PC komplett lahm und musste neu aufgesetzt werden

Hallo alle Miteinander

Ich hatte heute mit einem ganz besonderen Virus - Trojaner zu kämpfen.

Eine Kundschaft hat sich auf dem PC ( Windows XP Pro / SP3 ) den Trojaner "Virus Protector" eingefangen und leider auch installiert. (siehe Google)
Normaler weise lässt sich der Trojaner wieder entfernen, indem man ihn erstmal aus der Registry rausnimmt oder mit msconfig deaktiviert.
Anschließend löscht man noch diverse DLL Dateien und lässt verschiedene Programme wie smitfraud.exe ect. drüberlaufen....dann sollte der Störenfried so
einigermaßen entfernt sein.

Bei der Version des "Virus Protectors" mit der ich heute zu tun hatte, ging aber gar nichts mehr.
Die Schadsoftware wurde beim Windows Start mitgestartet, konnte weder geschlossen noch minimiert werden.....
Der Taskmanager war gesperrt, es war keine Startleiste vorhanden und diverse Tastenkombis wie etwa "Windows Taste" + E für Explorer usw. haben nicht funktioniert.

Jetzt denkt Ihr sicher, dann starte doch den abgesicherten Modus.....hab ich auch, aber das ding startete sich immer noch mit......ich konnte garnichts dagegen machen.

Nach einigen malen Neustart der Kiste habe ich den abgesicherten Modus mit Eingabeaufforderung gestartet.....da ging wenigstens die Command Shell (cmd)
und ich konnte manuell die msconfig starten. ( C:\WINDOWS\PCHealth\HelpCtr\Binaries\msconfig.exe ).

Leider war aber kein Eintrag im Reiter Systemstart über Virus Protector.
Registry war leider wie der Taskmanager immer noch von dem Virus gesperrt. genauso wie die Taskleiste fehlte.....also versuchte ich in der msconfig alles auszuschalten was nur iergendwie geht.

Aber jetzt ist der Virus deaktiviert.......hätte ich jedenfalls gehoft.

PC neu gestartet, abgesicherter Modus und der Virus startet schon wieder.....sch***e !!!

Tja, die Kaspersky Hotline wusste leider auch keinen Rat, also hab ich die Festplatte ausgebaut und an einem anderen PC drangehängt und mal gesucht.

Da fand ich dann einige Dateien in diversen Ordner ( c:\windows , c:\windows\system32 , c:\windows\driver ) die allesamt ein gleiches Erstellungsdatum hatten (um die Zeit als der Virus den PC übernahm) und verdächtig gleich groß waren und zwar 1161 KB......oder so ähnlich, aber alle genau gleich groß.

Ich hab die ganzen Dateien wegkopiert und die Platte wieder zurückgebaut, und siehe da, der Virus startete nicht mehr; aber es fehlte die Taskleiste, sämtliche Desktop Symbole, usw.
Der Taskmanager funktionierte zwar wieder, und ich konnte auch sonst alle Programme starten, aber iergendwie war der Virus noch da.

Ich fand weder in der Registry Einträge, noch in der msconfig.....Smitfraud brachte keinen Erfolg und div. andere Software auch nicht.

Nach insgesammt 2,5 Stunden herumprobieren, hab ich den PC kurzerhand neu aufgesetzt.......hat zwar dann den restlichen Tag gedauert bis wieder alles lief ( Buchhaltung ect. ), aber dafür ist der Virus jetzt sicher weg.

Meine Frage dazu lautet jetzt......was kann man in so einem Fall versuchen um das Drecksteil zu entfernen....falls ich wiedermal das Vergnügen mit dem Ding hab.

Danke schon mal im Vorraus

Schönen Abend

Markowitsch
Mitglied: mrtux
04.03.2010 um 21:31 Uhr
Hi !

Zitat von Markowitsch:
Meine Frage dazu lautet jetzt......was kann man in so einem Fall versuchen um das Drecksteil zu entfernen....falls ich wiedermal
das Vergnügen mit dem Ding hab.

In dem Du sowas in/auf einem laufenden OS gar nicht erst versuchst, sondern ein sauberes System (z.B. von einer CD/DVD) bootest und von da aus das Ding verabschiedest...

mrtux
Bitte warten ..
Mitglied: StefanKittel
04.03.2010 um 22:19 Uhr
Hallo,
wir hatten schonmal die Diskussion ob es überhaupt sicher möglich ist einen Virus zu entfernen.

Mittlerweile gibt es ja schlaue viecher die sich einfach 7 Tage schlafen legen. Bloß weil das AV-Programm nichts mehr findet und der PC sich normal verhällt muss dass leider noch nichts heißen.
Auch kann man nie sicher sein, dass das böse Programm nicht irgendwas in Windows beschädigt hat was einem später das Kreuz bricht.

Wenn man sich also nicht 110% sicher ist: immer letztes Image zurückspielen oder neu aufsetzen.

Stefan

PS: der letze fiese Kundenvirus hatte sich als Soundkarte im Gerätemanager getarnt. Und das sogar ziemlich gut. Polymorpher komprimierter Code.
Bitte warten ..
Mitglied: maretz
05.03.2010 um 07:40 Uhr
Moin,

es ist ein Kunde von dir. Du gehst hin und "reparierst" den Rechner für 2,5 Std - und grad ein Rechner in der Buchhaltung. Selbst wenn du den Trojaner "X" entfernt hast - stehst du dafür grade das wirklich NICHTS mehr auf der Kiste läuft was da nicht hingehört (und ggf. die Zugangsdaten zum Online-Banking übermittelt - was bei der BuHa ja durchaus ein naheliegendes Programm ist!)?

Bei sowas hätte ich kein wirklich gutes Gefühl. Ich würde hier IMMER den Rechner neu aufsetzen... Bevor da richtig was "inne büx" geht hab ich doch dann lieber die Sicherheit das es alles so funktioniert wie es soll. Auch wenn das eben dann nen ganzen Tag dauert!
Bitte warten ..
Mitglied: stani
08.03.2010 um 11:14 Uhr
Hallo Markowitsch,

das Virus hat offenbar die lokale Gruppenrichtlinie verändert. Wenn du gpedit.msc startest, kannst du die Änderungen wieder rückgängig machen.

Grundsätzlich würde ich ihn aber auch neu aufsetzen.

Grüße!
stani
Bitte warten ..
Mitglied: H41mSh1C0R
17.03.2010 um 07:52 Uhr
Gerade wenn sich ein Programm was nicht auf den Rechner gehört in die Registry eingräbt um als z.b. als kernelmode treiber geladen zu werden, sämtliche Sachen deaktiviert werden usw usw usw. gibt es durchaus die Möglichkeit daran zu kommen.

Es gibt genügend Tools im Netz mit der man Live Bootet und dann in der Registry rumfuhrwerken kann.

Da bei KundenPCs kein regelmäßiger Dump der Registry gemacht wird kann man natürlich da auf keinen "alten" Stand zurückgreifen bzw. diesen Benutzen um Einträge zu finden die da auf Garantie nicht reingehören.

Ansonsten bleibt da nur der Saure Apfel, wenn man sich in der Registry nicht so gut auskennt und setzt die Kiste komplett neu auf, was du ja auch getan hast. =)

Dazu kommt noch das du deinem Kunden mal kräftig auf die "Finger" hauen/belehren solltest nicht alles zu starten nur weil das die Endung .exe hat. xD

Soweit ich das sehen kann, handelt es sich bei Virus-Protector um sogenannte Scareware, die muss nicht unbedingt mit einem Virus/Trojaner versehen sein. Da kann alles drin stecken gibt ja genügend Beispiele zu Scareware im Netz.

Bei den meisten Scareware Paketen geht es aber im Grunde nur darum den "Kunden" zum Kauf von vermeintlichen Sicherheitsprodukten zu verleiten und somit auf diese Weise Geld zu verschenken.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Viren und Trojaner
Virus macht Bilder unleserlich (25)

Frage von linguin zum Thema Viren und Trojaner ...

Batch & Shell
gelöst User und AD Gruppe finden - wie das Pferd aufzäumen (5)

Frage von H41mSh1C0R zum Thema Batch & Shell ...

Erkennung und -Abwehr
Proxy um Anti Virus Sicherheit zu erhöhen ? (6)

Frage von agnostiker zum Thema Erkennung und -Abwehr ...

Viren und Trojaner
gelöst Seltsames Verhalten! Virus? Plinker! (14)

Frage von achim222 zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (27)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...