Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Befall

Amitl / 9 Antworten / Baumansicht Nickles

Hallo, mein XP Home zeigt folgende Auffälligkeiten:

Start/Ausführen ist weg, der abgesicherte Modus lässt sich nicht starten, Programme lassen sich nicht mehr starten(ewige Sanduhr), damit auch nicht ProzessExplorer/Taskmanager,adaware und antivir, Firefox sowieso nicht...Natürlich kann ich auch nicht runterfahren.
Das Hochfahren klappt scheinbar recht normal und die Profile werden angezeigt und gestartet. Aber danach geht nichts.

Zunächst konnte ich noch über das Profil eines Mitbewohners Diagnose- und Schutzprogramme durchlaufen lassen, aber plötzlich geht das auch nicht mehr.

Wo kann ich jetzt noch ansetzen um "den Wurm rauszubringen"?

Danke!

bei Antwort benachrichtigen
rill Amitl „Befall“
Optionen

Eindeutige Zeichen für einen Malwarebefall (Trojaner usw.) kann ich Deiner Problembeschreibung nicht entnehmen. Es könnte sich auch um ein Hardware-Problem handeln, z. B. RAM bzw. ein RAM-Modul defekt oder die Festplatte zeigt Ablebungsmerkmale.

Ich würde daher mit einer bootbaren Diskette/CD und einem auf Diskette/CD befindlichen Diagnosetool des Festplattenherstellers die Festplatte gründlich analysieren lassen (kann man meist als CD-Image runterladen).

Praktisch die gesamte Hardware testen kannst Du auch mit bootbaren Live-Linux-CDs/DVDs (Knoppix oder Ubuntu) testen ... die liegen praktisch jeden Monat irgendwelchen PC-Zeitschriften bei.

Ich habe eher Hardwarefehler in Verdacht, weil Trojaner und sonstige Malware sich immer sichtbar auf dem Desktop und in den Schnellstartleisten einnisten und irgendwelche nervigen Popup-Fenster aufmachen.


rill

bei Antwort benachrichtigen
Amitl Nachtrag zu: „Befall“
Optionen

Sorry, das tut mir jetzt sehr leid, aber ich hatte in der Aufregung vergessen, dass da ein Fenster von
MS Antivirus 2008 erschienen ist, das nur das Installieren von einem angeblichen Schutzprogramm (für 39 EUR aufwärts) zulässt.
Deswegen mein Verdacht auf einen Eindringling von außen.

bei Antwort benachrichtigen
REPI Amitl „Sorry, das tut mir jetzt sehr leid, aber ich hatte in der Aufregung vergessen,...“
Optionen

http://de.pcthreat.com/parasitebyid-6837de.html
http://www.2-spyware.com/remove-ms-antivirus-2008.html
http://www.google.de/search?q=MS+Antivirus+2008&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a

Es empfiehlt sich immer, etwas Linux im Hause zu haben.
bei Antwort benachrichtigen
rill Amitl „Sorry, das tut mir jetzt sehr leid, aber ich hatte in der Aufregung vergessen,...“
Optionen

Dann scheint es sich tatsächlich um einen Trojaner zu handeln ... theoretisch (und praktisch) gibt es die Möglichkeit, mit einer ganzen Reihe von Spezial-Tools und manuellen Eingriffen (Dateien/Registry-Einträge löschen) einen solchen Schädling loszuwerden. Aber es ist eine Heidenarbeit und ein Restrisiko verbleibt immer! Eingriffe z. B. in die Registry sind für einen PC-Unerfahrenen ein große Hürde und mit weiteren Risiken verbunden.

Ein totales Plattmachen der kompromittierten Partition und Komplettneuinstallation ist leider der einzige vernünftige und sichere Weg.

... der abgesicherte Modus lässt sich nicht starten ...

Ich wurde mal zu Hilfe gerufen in einem praktisch identischen Fall ... Malware-Befall/Hijacking war schnell als Diagnose klar. Ich habe dann als erstes den abgesicherten Modus gestartet und war nach längerer Wartezeit auch der Meinung, daß selbst der abgesicherte Modus nicht funktioniert. Beim 2. Versuch mit abgesichertem Modus scheinbar das Gleiche ... während der Wartezeit habe ich dem Notebookbesitzer lange erklärt, was passiert ist und was man als Abhilfe machen könnte (siehe oben). Nach etwa 20 bis 30 Minuten Wartezeit mit links oben blinkendem Cursor startete doch noch der abgesicherte Modus und ich konnte mit Administratoranmeldung mir den Istzustand ansehen und mit Datenrettung beginnen.

Also ruhig mal sehr lange warten, bis der abgesicherte Modus startet!

Falls nicht, ist der oben gemachte Vorschlag mit Knoppix/Ubuntu-Live-DVD eine Möglichkeit, noch an Daten heranzukommen und zu sichern. Unter Knoppix/Ubuntu ist auch ein Brennerprogramm integriert, wo man Daten auf CD/DVD sichern kann.

Eine andere Möglichkeit wäre, parallel zur kompromittierten HD eine 2. Festplatte einzubauen und dort Windows zu installieren und von dort Datenrettung vorzunehmen oder die befallene HD in einen anderen PC zu hängen und von dort Datenrettung zu starten.

Mit dem konkreten Wortlaut der Malware-Meldungen kannst Du zwar auf die Suche nach Abhilfe ohne Windows-Neuinstallation gehen ... der sichere und zeitmäßig meist kürzere Weg wäre allerdings eine Windows-Neuinstallation!

Links dazu:
www.hijackthis.de
www.trojaner-board.de


rill

bei Antwort benachrichtigen
Data Junkey Amitl „Befall“
Optionen

Hi Amitl,

..für mich klar. Das System ist verseucht. Meine Empfehlung:

Alle Partitionen löschen, neu erstellen, neu formatieren, und OS und Programme neu installieren.

Danach mit einem Sicherungsprogramm, z.B. Acronis True Image die Systempartition sichern. Das erspart dir beim nächsten Befall eine Menge Arbeit.

Dann in Zukunft, nach Möglichkeit regelmäßig die Sicherheits-Patches installieren, und ein gutes Schutzprogramm, z.B. Kaspersky Internet Security installieren.

Keine Mails von unbekannten Herstellern öffnen. In den eMail-Programmen die Anzeige von HTML in Text-Format ändern.

Möglichst wenig, (ab besten garkeine) Shareware Tools von fragwürdigen PC-Zeitschriften, Postwurfsendungen, oder Internetseiten auf die Platte lassen.

Bei guter Software zum Nulltarif, z.B. Mozilla Firefox, ... etc. nur vom Hersteller direkt saugen.

Gruß, Thomas

bei Antwort benachrichtigen
Eifelgeist Amitl „Befall“
Optionen

Befall ja aber schon vorher, dieses passiert wenn Antivir eine Warnung meldet. Der Klick ist sehr schnell bzw. Antivir löscht automatisch .. je nach dem.
Was bei dir passiert ist, ist anderen genauso schon passiert *g*, Antivir löscht Eiskalt die Explorer.exe und dann funktioniert nichts mehr!
Windoof in der Fassung die du drauf hast, kurzerhand drüber ziehen, es wird alles wieder hergestellt inkl. Ordner. Progis sichern und die Festplatte Low Lewel Formatieren, der Status muss lauten "Festplatte Fabrikneu" Verweis auf Kommentar von Data Junkey

bei Antwort benachrichtigen
Amitl Eifelgeist „Befall ja aber schon vorher, dieses passiert wenn Antivir eine Warnung meldet....“
Optionen

Danke für eure Tipps.
Es geht so einigermaßen wieder. Aber die Heidenarbeit ist es schon, wie rill meinte.
Mit den Diagnoseprogrammen und Entfernern hat mein Kumpel erst einiges aufgespürt und entfernt. Dann habe ich eine Update-Inst. von XP-CD gemacht. Danach nochmals einiges ausgemerzt, die Einstellungen der Anzeige sind immer lückenhaft, doch das find ich (in der Registry) auch noch heraus.
Wenn alles gut geht wars immer noch weniger Aufwand als alles neu zu machen, denke ich mal.
Jedenfalls habt Ihr mir mit den vielen Tipps gestern prompt und sehr gut weiter geholfen.

Danke und Servus.

bei Antwort benachrichtigen
Amitl Nachtrag zu: „Danke für eure Tipps. Es geht so einigermaßen wieder. Aber die Heidenarbeit...“
Optionen

Nun, ists doch nicht so glatt verlaufen. Abend für Abend lasse ich Anti-Malware, Combofix und antivir laufen, weil folgendes auftritt:

Nach j e d e m Neustart wird von Avira Classic
TR/Hijacker.Gen (in C\Windows\Temp\BN1.tmp) gefunden sowie
TR/Crypt.MV.22 (in ...BN2.tmp).

Ich lösche und starte neu: Beide sind wieder da.
Habe auch schon mit CCleaner die Registry nach "Run"-Einträgen durchsucht, leider ohne Erfolg.

Mit welchen Programmen würdet Ihr da rangehen?

Danke!

bei Antwort benachrichtigen
shrek3 Amitl „Nun, ists doch nicht so glatt verlaufen. Abend für Abend lasse ich...“
Optionen

Hallo Amitl,

ich hätte schon längst die Daten gesichert und das System neu aufgesetzt.

Ist deutlich einfacher, nerven- und zeitsparender.
Außerdem bekommst du dann wieder ein Windows, was flott und unbelastet läuft.

Eine narrensichere Anleitung zur Installation bekommst du hier:
http://www.juekirs.de/Dateien/Installation_von_WindowsXP.pdf

Lade dir von einem anderen PC ein Virenschutzprogramm (z.B. AntiVir) und scanne nach Abschluss der Neuinstallation die gesicherten Daten.

Stelle ebenfalls sicher, dass du die Treiber (speziell die Mainboard-Treiber) bereit hältst.
Sie sollten als allererstes nach dem Neuaufsetzen installiert werden (Chipsatztreiber zuerst).

Hast du Fragen zur Datensicherung - stelle sie jetzt.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen