Forum: PC Hard- und Software hartnäckigen Virus entfernen


von Alex B. (Firma: Ucore Fotografie www.ucore.de) (alex22) Benutzerseite


Lesenswert?

Guten Morgen!
Ein Antiviren-Programm wurde nicht regelmäßig "geupdated" und so hat 
sich ein Virus auf dem PC eines Freundes einnisten können.
Jetzt, obwohl das Viren-Programm auf den neuesten Stand gebracht wurde, 
kann es den Virus nicht finden.
Es ist aber definitiv ein Virus da, weil:
1) STRG+ALT+ENTF führt nur zur Fehlermeldung "Der Taskmanager wurde vom 
Administrator deaktiviert", was natürlich quatsch ist, da ich der 
(einzige) Admin bin
2) Wenn kein Netzwerkkabel angeschlossen ist kommt dauernd ein Pop-Up 
"Es besteht keine Netzwerkverbindung: Offline Arbeiten - Wiederholen" => 
Irgend ein Virus möchte sich mit dem Netzwerk verbinden

Was kann man da tun um den Virus zu beseitigen?

Schöne Grüße,
Alex

P.S. Klar, Windows neuinstallieren ist eine Option aber ich dachte mir 
ich frage euch mal was ihr so machen würdet.
P.P.S. Ich habe schon versucht Knoppix von CD zu starten und dort dann 
ein Antiviren-Programm zu installieren, dies scheiterte jedoch an 
eingeschränkten User-Rechten unter Knoppix (kein root)

von ozo (Gast)


Lesenswert?

Einzigste sauber Lösung ist, von definitiv sauberem System aus zu 
booten. Entweder per CD (fehlende root Rechte bei Knoppix kann ich jetzt 
nicht glauben, nimm halt was anderes) oder Platte an anderen Rechner 
hängen.

von Tom (Gast)


Lesenswert?


von yalu (Gast)


Lesenswert?

> 1) STRG+ALT+ENTF führt nur zur Fehlermeldung "Der Taskmanager wurde
> vom Administrator deaktiviert", was natürlich quatsch ist, da ich
> der (einzige) Admin bin
> 2) Wenn kein Netzwerkkabel angeschlossen ist kommt dauernd ein
> Pop-Up "Es besteht keine Netzwerkverbindung: Offline Arbeiten -
> Wiederholen"

Diese beiden Indikatoren können auf einen Virus hindeuten, müssen aber
nicht. Windows selbst verhält sich ab und zu ebenfalls recht
"virus-like", vor allem was den zweiten Punkt betrifft.

> P.P.S. Ich habe schon versucht Knoppix von CD zu starten und dort dann
> ein Antiviren-Programm zu installieren, dies scheiterte jedoch an
> eingeschränkten User-Rechten unter Knoppix (kein root)

Root-Rechte unter Knoppix zu erlangen, sollte kein Problem sein. Sudo
sollte immer gehen. S. auch hier:

  http://www.knoppix.net/wiki/Root

von Uhu U. (uhu)


Lesenswert?

Tom wrote:
> Folgende Tools installieren und ausführen:

...

Wenn es wirklich ein Virus sein sollte, ist das wirklich eine ganz 
schlechte Idee: Zuerst muß sicher gestellt sein, daß das System sauber 
ist, dann kann man zusätzliche Sicherheitssoftware installieren. 
Anderenfalls besteht die nicht unwahrscheinliche Möglichkeit, daß ein 
vorhandener Schädling die neuen Programme unwirksam macht.

Die Platte an eine andere Maschine zu hängen, ist auch eine Schnapsidee 
erster Güte - hinterher hast du zwei infizierte Systeme...

Wenn du unter Knoppix folgendes Kommando eingibst:

   sudo su

hast du root-Rechte - du mußt allerdings das Paßwort des Benutzers 
eingeben, unter dem du gerade eingeloggt bist - nicht das Root-Paßwort!

von derWarze (Gast)


Lesenswert?

Versuch mal eine G-Data CD zu bekommen die bootet mit Linux und kann von 
da aus Entseuchen. Andere AV-Hersteller haben auch Bootfähige CD die 
Viren killen können. Eine Tralversion reicht meist.

Voteil des Bootens von CD ist das dann auch Bootsektorviren(waren zu DOS 
Zeiten verbreitet, sind aber wieder stark im kommen) entfernt werden 
können was bei gestarteten Betriebssysten von der Platte nicht gelingt.

Wenn bekannt ist welche Dateien den Virus enthalten (und eventuell bei 
Entfernung neu Installieren) kann man auch mit einer (sauberen) DOS 
Diskette booten (oder, wer damit umgehen kann, mit Linux von CD) und die 
Dateien mit 'der Hand' löschen und auch die Swappdatei-pagefile.sys 
löschen. Genauere Systemkenntnisse braucht diese Vorgehensweise schon 
wenn man keinen Schaden anrichten will.

von Multifunktionsmirko (Gast)


Lesenswert?

> P.S. Klar, Windows neuinstallieren ist eine Option

Das ist die einzige Option. Selbst wenn du alle Dateien löscht, die 
als Virus erkannt werden, kannst du nicht sicher feststellen, welche 
Hintertüren in diesem System bereits offen sind. Wenn du mit diesem 
verseuchten System ins Netz gehst, wird es über die bereits offenen 
Hintertürchen im Nullkommanix wieder verseucht werden. Siehe dazu z.B.:
http://www.blacksec.org/content/view/24/36/

Wenn ein System kompromittiert wurde, bleibt als einzige sinnvolle 
Lösung die Formatierung der Festplatte mit anschliessender 
Neuinstallation von einem sauberen Medium (=Original-CD-ROM). Gleich 
anschliessend sollten natürlich die neuesten Updates und Patches 
aufgespielt werden, bevorzugt offline, ohne vorher ins Internet zu 
gehen.

Eine Möglichkeit dazu wäre z.B. ein Offline-Updater, wie er hier 
angeboten wird:
http://www.winhelpline.info/forum/winhelpline-postservice-pack-updater/106287-windows-xp-update-pack-v14-05-2008-a.html

von Andre B. (redbacke)


Lesenswert?

Multifunktionsmirko hat völlig recht. Du wirst mit dem jetzigen System 
nie wieder glücklich . Hab den gleich Dreck gehabt und hab nur Zeit 
vergäudet.

tschaui

von Oszi40 (Gast)


Lesenswert?

1.Kleiner Hinweis am Rande: Es gab schon verseuchte Format-Programme.

2.Deshalb von sauberer CD starten und nicht das alte Zeug wiederbeleben.

Erst wieder ins Netz gehen WENN alle frischen Updates drauf sind!
Sonst goto 1.

von Multifunktionsmirko (Gast)


Lesenswert?

> Kleiner Hinweis am Rande: Es gab schon verseuchte Format-Programme.

Ich hatte natürlich angenommen, dass es in diesem Fall 
selbstverständlich wäre, von der Original Windows-CD-ROM zu booten und 
die Formatierung vom Setup machen zu lassen.

Betreffend der Virenscanner wäre dann noch zu sagen, dass man im 
Verdachtsfall zum installierten Scanner überhaupt kein Vertrauen mehr 
haben darf. Deshalb immer von vertrauenswürdiger bootfähiger CD booten, 
auf der ein brauchbarer Virenscanner enthalten ist, z.B. Knoppizillin.

Ich persönlich bevorzuge BartPE (von CD lauffähige, eingeschränkte 
Windows-Version). Von der Zeitschrift c't gibt es so ungefähr alle 
ein-zwei Jahre entsprechende Ausgaben  mit  einer CD-ROM, die entweder 
selber bootfähig ist (mit Knoppizillin) und/oder einen vorgefertigten 
PE-Builder dabei hat, mit dem man sich eine bootfähige BartPE-CD brennen 
kann.

Die auf der Boot-CD enthaltenen Virenscanner sind dann ein Jahr lang 
kostenlos updatefähig, wenn der Rechner einen Internet-Anschluss hat. 
Die letzte Version einer solchen CD war z.B. beim Heft c't 26/2007 
dabei.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.