Hallo zusammen!
Eigentlich hatte ich nie Probleme mit Viren.
Entweder Norton hat diesen isoliert oder selber gelöscht, oder ich habe selbst Hand angelegt.
Sobald ich gewusst habe welche Datei befallen ist(Norton), hab ich den PC im abgesicherten Modus gestartet, die Datei gesucht und anschließend gelöscht.
Nun ist mir jedoch folgendes passiert:
Die Datei im Windows Ordner (system32) Namens MS-DOS.pif und ebenfalls msdos.pif (sogar windows.pif)waren befallen.
Ich hab die Datei gelöscht und anschließend den PC mit Norton nochmals gescannt.
Alles war wieder in Ordnung, kein Virus mehr vorhanden.
Jedoch ist nun die Eingabeaufforderung (wollte in die Registrierung) nicht mehr aufrufbar.
Anschließend versuchte ich mittels Norton Ghost ein vorhandenes Image wiederherzustellen. Natürlich ging das auch nicht, da Ghost ja im DOS gefahren wird.
Hab auf einem anderen PC (gleiches Windows - XP Professional SP1) die Datei gesucht um diese eventuell zu kopieren,jedoch gibt es die Datei dort nicht.
Hab jetzt folgendes getan. PC einfach neu aufgesetzt und dann gleich das vorhandene Image drübergezogen. Das hat alles geklappt. PC läuft wieder.
Nun meine Frage an Euch "Gurus":
Darf ich so überhaupt einen Virus so löschen, wenn er sich mittels Norton nicht isolieren oder löschen lässt?
Warum hat die Eingabeaufforderung nicht funktioniert obwohl diese Datei MS-DOS.pif auf einen virenfreien PC nicht vorhanden ist?
Was mache ich wenn es kein REMOVAL TOOL gibt und sich dieser nicht entfernen lässt?
Ich hoffe ihr könnt mir das erklären, da ich schon wieder einen PC habe, wo Spybot wütet und dort wieder die Datei MSDOS.pif betroffen ist.
Danke im Vorhinein!
Eure Mausi
Viren, Spyware, Datenschutz 11.244 Themen, 94.697 Beiträge
>Eigentlich hatte ich nie Probleme mit Viren.
Entweder Norton hat diesen isoliert oder selber gelöscht, oder ich habe selbst Hand angelegt.
Entschuldige, wenn ich Dich korrigiere, aber: Wenn man Hand anlegen musste, um einen bereits aktiven Schädling zu löschen, dann ist das durchaus ein ernst zu nehmendes Problem!
>Sobald ich gewusst habe welche Datei befallen ist(Norton), hab ich den PCbild im abgesicherten Modus gestartet, die Datei gesucht und anschließend gelöscht.
Genau das meine ich! Hier lagen also sehr wohl ernst zu nehmende Probleme vor. Ich sage das vor dem Hintergrund, dass Du annimmst, mit dem Löschen erkannter Schädlingsdateien wieder Sicherheit schaffen zu können. Genau das Gegenteil ist jedoch der Fall - das System bleibt nach einer Infektion unsicher bzw. steht danach nicht mehr unter Deiner Kontrolle - es sei denn, Du setzt es neu auf, oder spielst ein sauberes Image zurück.
>Die Datei im Windows Ordner (system32) Namens MS-DOS.pif und ebenfalls msdos.pif (sogar windows.pif)waren befallen.
Diese Dateien waren nicht "befallen" - sie waren die Schädlinge selbst! Sie tarnen sich nur mit Namen, die so klingen, als seien sich wichtig bzw. Systemdateien. Das sind sie aber nicht.
Hierbei handelt es sich um Backdoors - Schädlinge, die anderen die Fernsteuerung Deines Systems ermöglichen. Genauer: Es ist nicht unwahrscheinlich, dass es sich hierbei um Netzwerkwürmer handelt (Backdoor.Rbot). 100%ig ist allein aufgrund des Namens keine Identifikation und somit auch kein sicherer Rückschluss auf den Verbreitungsweg möglich (Rbot wird seit einiger Zeit auch über Messenger-Würmer oder über Dateitauschbörsen verbreitet).
>Ich hab die Datei gelöscht und anschließend den PC mit Norton nochmals gescannt.
Alles war wieder in Ordnung, kein Virusbild mehr vorhanden.
Bitte lies in diesem Zusammenhang:
-> http://oschad.de/wiki/index.php/Virenscanner
Heißt in diesem Zusammenhang, zumal das System bereits nicht mehr vertrauenswürdig ist, muss davon ausgegangen werden, dass auch Schutzsoftware manipuliert wurde - eben auch der Virenscanner. Du kannst seiner Aussage daher nicht sicher vertrauen.
>Jedoch ist nun die Eingabeaufforderung (wollte in die Registrierung) nicht mehr aufrufbar.
Derlei Veränderungen führen einige Schädlinge herbei. Auf diese Weise wollen Sie Eingriffe des Nutzers verhindern.
>Hab auf einem anderen PC (gleiches Windows - XP Professional SP1) die Datei gesucht um diese eventuell zu kopieren,jedoch gibt es die Datei dort nicht.
1.) Das SP2 für XP ist ein Muss, plus alle diesem nachfolgende Patches. Machst Du das nicht, ist Dein System offen wie ein Schweizer Käse.
2.) Wie gesagt, diese Datei ist der Schädling selbst, darum kannst Du sie auch nicht kopieren / ersetzen.
>Hab jetzt folgendes getan. PC einfach neu aufgesetzt und dann gleich das vorhandene Image drübergezogen. Das hat alles geklappt. PC läuft wieder.
Das Neuaufsetzen war richtig, allerdings hoffe ich, dass das zurückgespielte Image nicht eines war, das erstellt wurde, nachdem zuvor schon mal hin und wieder "befallene" Dateien gefunden und gelöscht wurden. Dann ist es nämlich kein vertrauenswürdiges Image.
>Darf ich so überhaupt einen Virus so löschen, wenn er sich mittels Norton nicht isolieren oder löschen lässt?
So ein Löschen (ohne weitere Maßnahmen) macht gar keinen Sinn, weil es zu unsicher ist. Die einzig sichere Lösung nach einer Infektion: Festplatte formatieren, System neu aufsetzen. Oder eben ein sauberes Image zurückspielen. Alles andere ist verantwortungslos - sich selbst und den anderen Teilnehmern des Internets gegenüber.
>Warum hat die Eingabeaufforderung nicht funktioniert obwohl diese Datei MS-DOS.pif auf einen virenfreien PC nicht vorhanden ist?
Weil die Schädlinge, die aktiv waren (oder immer noch sind), das System manipuliert haben. Gerade deswegen ist es ja auch als nicht mehr vertrauenswürdig einzustufen und muss neu aufgesetzt werden.
>Was mache ich wenn es kein REMOVAL TOOL gibt und sich dieser nicht entfernen lässt?
Die Verwendung von Removal-Tools zur sicheren Entfernung von aktiven Schädlingen ist unangebracht. Lies dazu einmal diesen Text.
>Ich hoffe ihr könnt mir das erklären, da ich schon wieder einen PC habe, wo Spybot wütet und dort wieder die Datei MSDOS.pif betroffen ist.
Das deutet darauf hin, dass es ganz erheblich an einem durchdachten Sicherheitskonzept und den entsprechenden Maßnahmen mangelt. Es dürfte sich wie gesagt um einen Netzwerkwurm handeln.
Abschließend: Schutz ist nicht das Entfernen von Schädlingen, sondern das konsequente Vorbeugen bzw. Verhindern, dass diese überhaupt aktiv werden können.
[Diese Nachricht wurde nachträglich bearbeitet.]