Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wildes Pferd - Virus Protector

Frage Sicherheit Viren und Trojaner

Mitglied: Markowitsch

Markowitsch (Level 2) - Jetzt verbinden

04.03.2010 um 21:26 Uhr, 8443 Aufrufe, 5 Kommentare

Virus Protector legt PC komplett lahm und musste neu aufgesetzt werden

Hallo alle Miteinander

Ich hatte heute mit einem ganz besonderen Virus - Trojaner zu kämpfen.

Eine Kundschaft hat sich auf dem PC ( Windows XP Pro / SP3 ) den Trojaner "Virus Protector" eingefangen und leider auch installiert. (siehe Google)
Normaler weise lässt sich der Trojaner wieder entfernen, indem man ihn erstmal aus der Registry rausnimmt oder mit msconfig deaktiviert.
Anschließend löscht man noch diverse DLL Dateien und lässt verschiedene Programme wie smitfraud.exe ect. drüberlaufen....dann sollte der Störenfried so
einigermaßen entfernt sein.

Bei der Version des "Virus Protectors" mit der ich heute zu tun hatte, ging aber gar nichts mehr.
Die Schadsoftware wurde beim Windows Start mitgestartet, konnte weder geschlossen noch minimiert werden.....
Der Taskmanager war gesperrt, es war keine Startleiste vorhanden und diverse Tastenkombis wie etwa "Windows Taste" + E für Explorer usw. haben nicht funktioniert.

Jetzt denkt Ihr sicher, dann starte doch den abgesicherten Modus.....hab ich auch, aber das ding startete sich immer noch mit......ich konnte garnichts dagegen machen.

Nach einigen malen Neustart der Kiste habe ich den abgesicherten Modus mit Eingabeaufforderung gestartet.....da ging wenigstens die Command Shell (cmd)
und ich konnte manuell die msconfig starten. ( C:\WINDOWS\PCHealth\HelpCtr\Binaries\msconfig.exe ).

Leider war aber kein Eintrag im Reiter Systemstart über Virus Protector.
Registry war leider wie der Taskmanager immer noch von dem Virus gesperrt. genauso wie die Taskleiste fehlte.....also versuchte ich in der msconfig alles auszuschalten was nur iergendwie geht.

Aber jetzt ist der Virus deaktiviert.......hätte ich jedenfalls gehoft.

PC neu gestartet, abgesicherter Modus und der Virus startet schon wieder.....sch***e !!!

Tja, die Kaspersky Hotline wusste leider auch keinen Rat, also hab ich die Festplatte ausgebaut und an einem anderen PC drangehängt und mal gesucht.

Da fand ich dann einige Dateien in diversen Ordner ( c:\windows , c:\windows\system32 , c:\windows\driver ) die allesamt ein gleiches Erstellungsdatum hatten (um die Zeit als der Virus den PC übernahm) und verdächtig gleich groß waren und zwar 1161 KB......oder so ähnlich, aber alle genau gleich groß.

Ich hab die ganzen Dateien wegkopiert und die Platte wieder zurückgebaut, und siehe da, der Virus startete nicht mehr; aber es fehlte die Taskleiste, sämtliche Desktop Symbole, usw.
Der Taskmanager funktionierte zwar wieder, und ich konnte auch sonst alle Programme starten, aber iergendwie war der Virus noch da.

Ich fand weder in der Registry Einträge, noch in der msconfig.....Smitfraud brachte keinen Erfolg und div. andere Software auch nicht.

Nach insgesammt 2,5 Stunden herumprobieren, hab ich den PC kurzerhand neu aufgesetzt.......hat zwar dann den restlichen Tag gedauert bis wieder alles lief ( Buchhaltung ect. ), aber dafür ist der Virus jetzt sicher weg.

Meine Frage dazu lautet jetzt......was kann man in so einem Fall versuchen um das Drecksteil zu entfernen....falls ich wiedermal das Vergnügen mit dem Ding hab.

Danke schon mal im Vorraus

Schönen Abend

Markowitsch
Mitglied: mrtux
04.03.2010 um 21:31 Uhr
Hi !

Zitat von Markowitsch:
Meine Frage dazu lautet jetzt......was kann man in so einem Fall versuchen um das Drecksteil zu entfernen....falls ich wiedermal
das Vergnügen mit dem Ding hab.

In dem Du sowas in/auf einem laufenden OS gar nicht erst versuchst, sondern ein sauberes System (z.B. von einer CD/DVD) bootest und von da aus das Ding verabschiedest...

mrtux
Bitte warten ..
Mitglied: StefanKittel
04.03.2010 um 22:19 Uhr
Hallo,
wir hatten schonmal die Diskussion ob es überhaupt sicher möglich ist einen Virus zu entfernen.

Mittlerweile gibt es ja schlaue viecher die sich einfach 7 Tage schlafen legen. Bloß weil das AV-Programm nichts mehr findet und der PC sich normal verhällt muss dass leider noch nichts heißen.
Auch kann man nie sicher sein, dass das böse Programm nicht irgendwas in Windows beschädigt hat was einem später das Kreuz bricht.

Wenn man sich also nicht 110% sicher ist: immer letztes Image zurückspielen oder neu aufsetzen.

Stefan

PS: der letze fiese Kundenvirus hatte sich als Soundkarte im Gerätemanager getarnt. Und das sogar ziemlich gut. Polymorpher komprimierter Code.
Bitte warten ..
Mitglied: maretz
05.03.2010 um 07:40 Uhr
Moin,

es ist ein Kunde von dir. Du gehst hin und "reparierst" den Rechner für 2,5 Std - und grad ein Rechner in der Buchhaltung. Selbst wenn du den Trojaner "X" entfernt hast - stehst du dafür grade das wirklich NICHTS mehr auf der Kiste läuft was da nicht hingehört (und ggf. die Zugangsdaten zum Online-Banking übermittelt - was bei der BuHa ja durchaus ein naheliegendes Programm ist!)?

Bei sowas hätte ich kein wirklich gutes Gefühl. Ich würde hier IMMER den Rechner neu aufsetzen... Bevor da richtig was "inne büx" geht hab ich doch dann lieber die Sicherheit das es alles so funktioniert wie es soll. Auch wenn das eben dann nen ganzen Tag dauert!
Bitte warten ..
Mitglied: stani
08.03.2010 um 11:14 Uhr
Hallo Markowitsch,

das Virus hat offenbar die lokale Gruppenrichtlinie verändert. Wenn du gpedit.msc startest, kannst du die Änderungen wieder rückgängig machen.

Grundsätzlich würde ich ihn aber auch neu aufsetzen.

Grüße!
stani
Bitte warten ..
Mitglied: H41mSh1C0R
17.03.2010 um 07:52 Uhr
Gerade wenn sich ein Programm was nicht auf den Rechner gehört in die Registry eingräbt um als z.b. als kernelmode treiber geladen zu werden, sämtliche Sachen deaktiviert werden usw usw usw. gibt es durchaus die Möglichkeit daran zu kommen.

Es gibt genügend Tools im Netz mit der man Live Bootet und dann in der Registry rumfuhrwerken kann.

Da bei KundenPCs kein regelmäßiger Dump der Registry gemacht wird kann man natürlich da auf keinen "alten" Stand zurückgreifen bzw. diesen Benutzen um Einträge zu finden die da auf Garantie nicht reingehören.

Ansonsten bleibt da nur der Saure Apfel, wenn man sich in der Registry nicht so gut auskennt und setzt die Kiste komplett neu auf, was du ja auch getan hast. =)

Dazu kommt noch das du deinem Kunden mal kräftig auf die "Finger" hauen/belehren solltest nicht alles zu starten nur weil das die Endung .exe hat. xD

Soweit ich das sehen kann, handelt es sich bei Virus-Protector um sogenannte Scareware, die muss nicht unbedingt mit einem Virus/Trojaner versehen sein. Da kann alles drin stecken gibt ja genügend Beispiele zu Scareware im Netz.

Bei den meisten Scareware Paketen geht es aber im Grunde nur darum den "Kunden" zum Kauf von vermeintlichen Sicherheitsprodukten zu verleiten und somit auf diese Weise Geld zu verschenken.
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
gelöst Jspfae.exe weiss jemand mehr über diesen Virus? (2)

Frage von gifox zum Thema Viren und Trojaner ...

Windows 7
gelöst TEMP Ordner unter Windows 7 Prof. riesig?! Virus? (17)

Frage von De-Wormser zum Thema Windows 7 ...

Neue Wissensbeiträge
Viren und Trojaner

Neues Botnetz über IoT-Geräte

Information von certifiedit.net zum Thema Viren und Trojaner ...

Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
Externe IP von innen erreichbar machen (15)

Frage von Windows10Gegner zum Thema Router & Routing ...

Windows Installation
Windows 10 neu installieren (12)

Frage von imebro zum Thema Windows Installation ...

Windows Server
Frage zu Server Rack (11)

Frage von rainergugus zum Thema Windows Server ...