Forum: PC Hard- und Software Virus Entfernung


von Plan (Gast)


Lesenswert?

Eine kleine Geschicht, vieleicht hilft es ja jemanden.

Ich hatte heute einen ziemlich fiesen Virus entfernen müssen. Die Option 
der Neuinstallation ist leider nicht in frage gekommen da hier wichtige 
Daten und eine Datenbank drauf war die intakt bleiben musste, zumindest 
musste man die Daten noch irgendwie sichern mit phpMyAdmin.
Erschwerend kam hinzu dass ich einige km entfernt bin und nur einen 
Zugriff über Router/Internet/VNC hatte.

So zeigte sich der Rechner:
- Starten geht
- Login geht
- Es laden die Programme vom Autostart
- Somit auch wird der Virus aktiv.
- Nach 30 Minuten macht der PC einen Neustart.
- Nur ein Programm zeigt sich, eines das behauptet einen Virus 
identifiziert zu haben den "aufräumen" möchte. Wohl selbst ein 
Virus/optische Täuschung.
- Andere Programme lassen sich nicht starten.

Das hab ich probiert:
- Alle Programme die man von "Hand" startet werden sofort gekillt
- Shift+Strg+Esc - keine change, Taskmanager kommt nicht
- Win-Taste + E, kommt nichts.
- Start >> Ausführen >> CMD kurz ein schwarzes flimmern, dann weg.

Der gute alte Ultra-VNC, Dateiübertragung und die wichtigen Sachen 
manuell kopieren. So ein Pech aber auch, es können nur, dank Virus, 
einzelne Dateien kopiert werden und nicht Ordner, also Ordner lokal von 
Hand anlagen und dann reinkopieren, so dass die Verzeichnisstruktur 
erhalten bleibt.
Nach einer Stunde wird die Strafarbeit auch mal langweilig.

Da kam mir ein Gedanke, Autostart geht ??? zumindest von den Sachen die 
in der Registry drin stehen ???
Das muss doch gehen, dass ich in die Registry was rein bekommen. Noch 
ein wenig geknobelt, und hier die Lösung:
1
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v TMan /d "C:\WINDOWS\system32\Taskmgr.exe"

Diesen Befehl in Win+R Run Dialog rein und hoffen auf den nächsten 
Neustart.
Tatsächlich, es hat geklappt. Der Taskmanager zeigt sich, HURRAA!

Jetzt konnte ich diese komische Anwendung die behauptet einen Virus 
gefunden zu haben killen und dann konnte ich alle anderen Programme 
starten, ganz normal.

Nun eine Sicherung aller "Run" Schlüssel (von HKLM und HKCU) mit 
Regedit/Exportieren gemacht und alles darin gelöscht, ausser VNC. Dann 
die Startmenü/Autostart Einträge verschoben.

Der nächste Neustart verlief ohne diesen Virus am Anfang. Hab ich es 
geschafft?

Nach wenigen Minuten wurde der Rechner langsam. SVCHOST.EXE 100% CPU???
Na toll. 5 solcher SVCHOST.EXE, einer davon 100%. Egal welchen Dienst 
ich deaktivieren, hilft nicht.

Also muss noch mehr Virus drauf sein. Der Virenscanner ist wohl auch 
defekt, also hab ich den deinstalliert und aus dem Internet einen 
anderen geladen. Dieser zeigte nochmals 10 gefundene und eliminierte 
Viren an.

Beim nächsten Neustart konnte ich dieses SVCHOST Problem nicht mehr 
beobachten.
Die gesicherten Reg-Einträge für Autostart-Run wieder hergestellt und 
die restlichen verbogenen Sachen, jetzt läuft das System wieder.

10 Studen Arbeit. Eine Neuinstallation hätte deutlich länger gedauert, 
abgesehen davon dass es mir unmöglich gewesen ist dort zum PC hin zu 
gelangen und die Installation durchzuführen.

Nun ja, ich wollte nur mal los werden zu was der Befehl "reg add" zu 
gebrauchen ist...

von Magnetus (Gast)


Lesenswert?

Plan schrieb:
> - Shift+Strg+Esc - keine change, Taskmanager kommt nicht

Ich dachte immer dass das mit [CTRL]+[ALT]+[DEL] gemacht wird?!?

Wäre der Systemstart im abgesicherten Modus ([F8] beim Booten) eine 
Option gewesen?

Welchen schrottigen Virenscanner hattest du denn im Einsatz?

Gruß,
Magnetus

von Uhu U. (uhu)


Lesenswert?

Und warum hast du nicht Windows-PE von CD gstartet und dem Spuk direkt 
ein Ende gemacht? Und das nicht zu Fuß, sondern mit dem passenden 
Removal-Tool?

von Kurt B. (kurt)


Lesenswert?


von Magnetus (Gast)


Lesenswert?

Magnetus schrieb:
> Plan schrieb:
>> - Shift+Strg+Esc - keine change, Taskmanager kommt nicht
>
> Ich dachte immer dass das mit [CTRL]+[ALT]+[DEL] gemacht wird?!?

Uit... gerade eben probiert... [SHIFT]+[CTRL]+[ESC] geht auch! Man lernt 
nie aus ;-/

von Magnetus (Gast)


Lesenswert?

Magnetus schrieb:
> Uit...
    ^

-t

von Plan (Gast)


Lesenswert?

Nun ja, wie schon geschrieben, ich bin über 1000km von dem PC entfernt. 
CD einlegen ist nicht. CD Laden aus dem Internet auch nicht, denn es 
lies sich kein Programm starten.
Abgesehen davon gibt es in dem PC kein Brenner. Ein Zweit-PC ist auch 
nicht verfügbar.

Mit dieser F8-Funktion wird glaub ich alles blockert, auch VNC, somit 
komme ich dann nicht mehr rein. (Probiert hab ich es nicht)

Ach ja, das Internet hat auch nicht mehr funktioniert, nachdem ich den 
ersten Virus deaktiviert hatte, ich musste erst die Firewall 
deaktivieren. Da ich über Internet an den Rechner kam, muss also die 
Leitung ins Internet stehen.

FreeAV war im Einsatz, die anderen hab ich mit Kaspersky entfernt.

PS:
- Mit Win-Taste + L kann man den PC auch Sperren. (Lock)
- Min Win-Taste + M kann man alle Programme minimieren.

von Plan (Gast)


Lesenswert?

> passenden Removal-Tool?

Ich mache die Sache gerne zu Fuß und weiß dann genau wo ich was verbiege 
und eventuell neu installieren muss. Hab ja auch was dabei gelernt :)

von Plan (Gast)


Lesenswert?

Magnetus schrieb:
> Ich dachte immer dass das mit [CTRL]+[ALT]+[DEL] gemacht wird?!?

Ich kannte mal jemand, der hatte durch einen Unfall den linken Arm 
verloren, bzw. es waren dort alle Nerven tot.

Damit es es etwas lästig [CTRL]+[ALT]+[DEL] zu drücken, die taube Hand 
auf die Tastatur zu legen um die [ALT] Taste zu drücken ....
Mit [CTRL]+[ALT-GR]+[DEL] geht das auch für die Ein-Hand-Bediener.

von oszi40 (Gast)


Lesenswert?

1. Bist Du sicher, daß Du auch schon ALLE verschlüsselten Reste aus dem 
Cache entfernt hast? Es gab Fälle da war der Spuck erst vorbei nachdenm 
u.a. bei IE un FF der Cache geleert und das Antivirentool mehrfach 
gelaufen ist.
2. Ein Backup manchmal ist nützlich.

von Plan (Gast)


Lesenswert?

Danke noch für die Hinweise, die Caches hab ich geleert.

Backup hab ich gemacht bevor ich irgendwas deinstalliert habe. Ich 
wollte auf Nummer sicher gehen, denn das System lief einigermassen.
Die Sicherung hab ich natürlich auch auf Vieren überprüft.

Ich hab dann auch gleich im Router eine zweite Port-Weiterleitung für 
einen neuen PC eingerichtet, in Zukunft könnte das sicher helfen, denn 
es wird irgendwann ein weiterer PC dazu kommen.

Die Firewall hat den Internet-Zugang (Firefox) gesperrt. Ich denke, das 
hat sie gut gemacht, damit konnte man zwar nicht mehr ins Netz, aber die 
Vieren auch nicht :)
Irgendwie hat die Firewall gemerkt das etwas nicht in Ordnung ist und 
hat den Port 80 gesperrt. Kerio Firewall.

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

> Ich hab dann auch gleich im Router eine zweite Port-Weiterleitung für
> einen neuen PC eingerichtet, in Zukunft könnte das sicher helfen, denn
> es wird irgendwann ein weiterer PC dazu kommen.

Und damit hast Du möglicherweise ein wunderschönes Sicherheitsloch 
aufgemacht, mit dem der zweite PC sich auch gleich glühende Bäckchen 
holen kann. Sicher, daß das der richtige Weg ist?

Oder nutzt Du auf den PCs einen VPN-Server und leitest nur die dafür 
erforderlichen Ports weiter?

von Plan (Gast)


Lesenswert?

Der Router leitet nur einen einzigen Port weiter. Alle anderen Ports 
sind gesperrt. Die Software an der anderen Seite blokiert als Default 
den Zugriff, erst wenn ein User OK, Zulassen sagt, dann wird eine 
Verbindung akzeptiert und dann muss da auch noch ein Passwort eingegeben 
werden.

Das ist denke ich relativ sicher. Wenn der User auch mal Akzeptieren 
drückt, dann muss der Angreifer auch das Passwort kennen.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.