www.mikrocontroller.net

Forum: PC Hard- und Software Virus Entfernung


Autor: Plan (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Eine kleine Geschicht, vieleicht hilft es ja jemanden.

Ich hatte heute einen ziemlich fiesen Virus entfernen müssen. Die Option 
der Neuinstallation ist leider nicht in frage gekommen da hier wichtige 
Daten und eine Datenbank drauf war die intakt bleiben musste, zumindest 
musste man die Daten noch irgendwie sichern mit phpMyAdmin.
Erschwerend kam hinzu dass ich einige km entfernt bin und nur einen 
Zugriff über Router/Internet/VNC hatte.

So zeigte sich der Rechner:
- Starten geht
- Login geht
- Es laden die Programme vom Autostart
- Somit auch wird der Virus aktiv.
- Nach 30 Minuten macht der PC einen Neustart.
- Nur ein Programm zeigt sich, eines das behauptet einen Virus 
identifiziert zu haben den "aufräumen" möchte. Wohl selbst ein 
Virus/optische Täuschung.
- Andere Programme lassen sich nicht starten.

Das hab ich probiert:
- Alle Programme die man von "Hand" startet werden sofort gekillt
- Shift+Strg+Esc - keine change, Taskmanager kommt nicht
- Win-Taste + E, kommt nichts.
- Start >> Ausführen >> CMD kurz ein schwarzes flimmern, dann weg.

Der gute alte Ultra-VNC, Dateiübertragung und die wichtigen Sachen 
manuell kopieren. So ein Pech aber auch, es können nur, dank Virus, 
einzelne Dateien kopiert werden und nicht Ordner, also Ordner lokal von 
Hand anlagen und dann reinkopieren, so dass die Verzeichnisstruktur 
erhalten bleibt.
Nach einer Stunde wird die Strafarbeit auch mal langweilig.

Da kam mir ein Gedanke, Autostart geht ??? zumindest von den Sachen die 
in der Registry drin stehen ???
Das muss doch gehen, dass ich in die Registry was rein bekommen. Noch 
ein wenig geknobelt, und hier die Lösung:
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v TMan /d "C:\WINDOWS\system32\Taskmgr.exe"

Diesen Befehl in Win+R Run Dialog rein und hoffen auf den nächsten 
Neustart.
Tatsächlich, es hat geklappt. Der Taskmanager zeigt sich, HURRAA!

Jetzt konnte ich diese komische Anwendung die behauptet einen Virus 
gefunden zu haben killen und dann konnte ich alle anderen Programme 
starten, ganz normal.

Nun eine Sicherung aller "Run" Schlüssel (von HKLM und HKCU) mit 
Regedit/Exportieren gemacht und alles darin gelöscht, ausser VNC. Dann 
die Startmenü/Autostart Einträge verschoben.

Der nächste Neustart verlief ohne diesen Virus am Anfang. Hab ich es 
geschafft?

Nach wenigen Minuten wurde der Rechner langsam. SVCHOST.EXE 100% CPU???
Na toll. 5 solcher SVCHOST.EXE, einer davon 100%. Egal welchen Dienst 
ich deaktivieren, hilft nicht.

Also muss noch mehr Virus drauf sein. Der Virenscanner ist wohl auch 
defekt, also hab ich den deinstalliert und aus dem Internet einen 
anderen geladen. Dieser zeigte nochmals 10 gefundene und eliminierte 
Viren an.

Beim nächsten Neustart konnte ich dieses SVCHOST Problem nicht mehr 
beobachten.
Die gesicherten Reg-Einträge für Autostart-Run wieder hergestellt und 
die restlichen verbogenen Sachen, jetzt läuft das System wieder.

10 Studen Arbeit. Eine Neuinstallation hätte deutlich länger gedauert, 
abgesehen davon dass es mir unmöglich gewesen ist dort zum PC hin zu 
gelangen und die Installation durchzuführen.

Nun ja, ich wollte nur mal los werden zu was der Befehl "reg add" zu 
gebrauchen ist...

Autor: Magnetus (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Plan schrieb:
> - Shift+Strg+Esc - keine change, Taskmanager kommt nicht

Ich dachte immer dass das mit [CTRL]+[ALT]+[DEL] gemacht wird?!?

Wäre der Systemstart im abgesicherten Modus ([F8] beim Booten) eine 
Option gewesen?

Welchen schrottigen Virenscanner hattest du denn im Einsatz?

Gruß,
Magnetus

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Und warum hast du nicht Windows-PE von CD gstartet und dem Spuk direkt 
ein Ende gemacht? Und das nicht zu Fuß, sondern mit dem passenden 
Removal-Tool?

Autor: Kurt Bohnen (kurt)
Datum:

Bewertung
0 lesenswert
nicht lesenswert

Autor: Magnetus (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Magnetus schrieb:
> Plan schrieb:
>> - Shift+Strg+Esc - keine change, Taskmanager kommt nicht
>
> Ich dachte immer dass das mit [CTRL]+[ALT]+[DEL] gemacht wird?!?

Uit... gerade eben probiert... [SHIFT]+[CTRL]+[ESC] geht auch! Man lernt 
nie aus ;-/

Autor: Magnetus (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Magnetus schrieb:
> Uit...
    ^

-t

Autor: Plan (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nun ja, wie schon geschrieben, ich bin über 1000km von dem PC entfernt. 
CD einlegen ist nicht. CD Laden aus dem Internet auch nicht, denn es 
lies sich kein Programm starten.
Abgesehen davon gibt es in dem PC kein Brenner. Ein Zweit-PC ist auch 
nicht verfügbar.

Mit dieser F8-Funktion wird glaub ich alles blockert, auch VNC, somit 
komme ich dann nicht mehr rein. (Probiert hab ich es nicht)

Ach ja, das Internet hat auch nicht mehr funktioniert, nachdem ich den 
ersten Virus deaktiviert hatte, ich musste erst die Firewall 
deaktivieren. Da ich über Internet an den Rechner kam, muss also die 
Leitung ins Internet stehen.

FreeAV war im Einsatz, die anderen hab ich mit Kaspersky entfernt.

PS:
- Mit Win-Taste + L kann man den PC auch Sperren. (Lock)
- Min Win-Taste + M kann man alle Programme minimieren.

Autor: Plan (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> passenden Removal-Tool?

Ich mache die Sache gerne zu Fuß und weiß dann genau wo ich was verbiege 
und eventuell neu installieren muss. Hab ja auch was dabei gelernt :)

Autor: Plan (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Magnetus schrieb:
> Ich dachte immer dass das mit [CTRL]+[ALT]+[DEL] gemacht wird?!?

Ich kannte mal jemand, der hatte durch einen Unfall den linken Arm 
verloren, bzw. es waren dort alle Nerven tot.

Damit es es etwas lästig [CTRL]+[ALT]+[DEL] zu drücken, die taube Hand 
auf die Tastatur zu legen um die [ALT] Taste zu drücken ....
Mit [CTRL]+[ALT-GR]+[DEL] geht das auch für die Ein-Hand-Bediener.

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
1. Bist Du sicher, daß Du auch schon ALLE verschlüsselten Reste aus dem 
Cache entfernt hast? Es gab Fälle da war der Spuck erst vorbei nachdenm 
u.a. bei IE un FF der Cache geleert und das Antivirentool mehrfach 
gelaufen ist.
2. Ein Backup manchmal ist nützlich.

Autor: Plan (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Danke noch für die Hinweise, die Caches hab ich geleert.

Backup hab ich gemacht bevor ich irgendwas deinstalliert habe. Ich 
wollte auf Nummer sicher gehen, denn das System lief einigermassen.
Die Sicherung hab ich natürlich auch auf Vieren überprüft.

Ich hab dann auch gleich im Router eine zweite Port-Weiterleitung für 
einen neuen PC eingerichtet, in Zukunft könnte das sicher helfen, denn 
es wird irgendwann ein weiterer PC dazu kommen.

Die Firewall hat den Internet-Zugang (Firefox) gesperrt. Ich denke, das 
hat sie gut gemacht, damit konnte man zwar nicht mehr ins Netz, aber die 
Vieren auch nicht :)
Irgendwie hat die Firewall gemerkt das etwas nicht in Ordnung ist und 
hat den Port 80 gesperrt. Kerio Firewall.

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Ich hab dann auch gleich im Router eine zweite Port-Weiterleitung für
> einen neuen PC eingerichtet, in Zukunft könnte das sicher helfen, denn
> es wird irgendwann ein weiterer PC dazu kommen.

Und damit hast Du möglicherweise ein wunderschönes Sicherheitsloch 
aufgemacht, mit dem der zweite PC sich auch gleich glühende Bäckchen 
holen kann. Sicher, daß das der richtige Weg ist?

Oder nutzt Du auf den PCs einen VPN-Server und leitest nur die dafür 
erforderlichen Ports weiter?

Autor: Plan (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Der Router leitet nur einen einzigen Port weiter. Alle anderen Ports 
sind gesperrt. Die Software an der anderen Seite blokiert als Default 
den Zugriff, erst wenn ein User OK, Zulassen sagt, dann wird eine 
Verbindung akzeptiert und dann muss da auch noch ein Passwort eingegeben 
werden.

Das ist denke ich relativ sicher. Wenn der User auch mal Akzeptieren 
drückt, dann muss der Angreifer auch das Passwort kennen.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.