mikrocontroller.net

Forum: PC Hard- und Software hartnäckigen Virus entfernen


Autor: Alex Bürgel (Firma: Ucore Fotografie www.ucore.de) (alex22) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Guten Morgen!
Ein Antiviren-Programm wurde nicht regelmäßig "geupdated" und so hat 
sich ein Virus auf dem PC eines Freundes einnisten können.
Jetzt, obwohl das Viren-Programm auf den neuesten Stand gebracht wurde, 
kann es den Virus nicht finden.
Es ist aber definitiv ein Virus da, weil:
1) STRG+ALT+ENTF führt nur zur Fehlermeldung "Der Taskmanager wurde vom 
Administrator deaktiviert", was natürlich quatsch ist, da ich der 
(einzige) Admin bin
2) Wenn kein Netzwerkkabel angeschlossen ist kommt dauernd ein Pop-Up 
"Es besteht keine Netzwerkverbindung: Offline Arbeiten - Wiederholen" => 
Irgend ein Virus möchte sich mit dem Netzwerk verbinden

Was kann man da tun um den Virus zu beseitigen?

Schöne Grüße,
Alex

P.S. Klar, Windows neuinstallieren ist eine Option aber ich dachte mir 
ich frage euch mal was ihr so machen würdet.
P.P.S. Ich habe schon versucht Knoppix von CD zu starten und dort dann 
ein Antiviren-Programm zu installieren, dies scheiterte jedoch an 
eingeschränkten User-Rechten unter Knoppix (kein root)

Autor: ozo (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Einzigste sauber Lösung ist, von definitiv sauberem System aus zu 
booten. Entweder per CD (fehlende root Rechte bei Knoppix kann ich jetzt 
nicht glauben, nimm halt was anderes) oder Platte an anderen Rechner 
hängen.

Autor: Tom (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Folgende Tools installieren und ausführen:

Ad-aware
http://www.chip.de/downloads/Ad-aware-2008-Final_1...

und

SpyBot - Search & Destroy
http://www.chip.de/downloads/SpyBot-Search-Destroy...

und

HijackThis
http://download.hijackthis.eu/HJTInstall.exe
( Logfileauswertung: http://www.hijackthis.de/de )

Autor: yalu (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> 1) STRG+ALT+ENTF führt nur zur Fehlermeldung "Der Taskmanager wurde
> vom Administrator deaktiviert", was natürlich quatsch ist, da ich
> der (einzige) Admin bin
> 2) Wenn kein Netzwerkkabel angeschlossen ist kommt dauernd ein
> Pop-Up "Es besteht keine Netzwerkverbindung: Offline Arbeiten -
> Wiederholen"

Diese beiden Indikatoren können auf einen Virus hindeuten, müssen aber
nicht. Windows selbst verhält sich ab und zu ebenfalls recht
"virus-like", vor allem was den zweiten Punkt betrifft.

> P.P.S. Ich habe schon versucht Knoppix von CD zu starten und dort dann
> ein Antiviren-Programm zu installieren, dies scheiterte jedoch an
> eingeschränkten User-Rechten unter Knoppix (kein root)

Root-Rechte unter Knoppix zu erlangen, sollte kein Problem sein. Sudo
sollte immer gehen. S. auch hier:

  http://www.knoppix.net/wiki/Root

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Tom wrote:
> Folgende Tools installieren und ausführen:

...

Wenn es wirklich ein Virus sein sollte, ist das wirklich eine ganz 
schlechte Idee: Zuerst muß sicher gestellt sein, daß das System sauber 
ist, dann kann man zusätzliche Sicherheitssoftware installieren. 
Anderenfalls besteht die nicht unwahrscheinliche Möglichkeit, daß ein 
vorhandener Schädling die neuen Programme unwirksam macht.

Die Platte an eine andere Maschine zu hängen, ist auch eine Schnapsidee 
erster Güte - hinterher hast du zwei infizierte Systeme...

Wenn du unter Knoppix folgendes Kommando eingibst:

   sudo su

hast du root-Rechte - du mußt allerdings das Paßwort des Benutzers 
eingeben, unter dem du gerade eingeloggt bist - nicht das Root-Paßwort!

Autor: derWarze (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Versuch mal eine G-Data CD zu bekommen die bootet mit Linux und kann von 
da aus Entseuchen. Andere AV-Hersteller haben auch Bootfähige CD die 
Viren killen können. Eine Tralversion reicht meist.

Voteil des Bootens von CD ist das dann auch Bootsektorviren(waren zu DOS 
Zeiten verbreitet, sind aber wieder stark im kommen) entfernt werden 
können was bei gestarteten Betriebssysten von der Platte nicht gelingt.

Wenn bekannt ist welche Dateien den Virus enthalten (und eventuell bei 
Entfernung neu Installieren) kann man auch mit einer (sauberen) DOS 
Diskette booten (oder, wer damit umgehen kann, mit Linux von CD) und die 
Dateien mit 'der Hand' löschen und auch die Swappdatei-pagefile.sys 
löschen. Genauere Systemkenntnisse braucht diese Vorgehensweise schon 
wenn man keinen Schaden anrichten will.

Autor: Multifunktionsmirko (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> P.S. Klar, Windows neuinstallieren ist eine Option

Das ist die einzige Option. Selbst wenn du alle Dateien löscht, die 
als Virus erkannt werden, kannst du nicht sicher feststellen, welche 
Hintertüren in diesem System bereits offen sind. Wenn du mit diesem 
verseuchten System ins Netz gehst, wird es über die bereits offenen 
Hintertürchen im Nullkommanix wieder verseucht werden. Siehe dazu z.B.:
http://www.blacksec.org/content/view/24/36/

Wenn ein System kompromittiert wurde, bleibt als einzige sinnvolle 
Lösung die Formatierung der Festplatte mit anschliessender 
Neuinstallation von einem sauberen Medium (=Original-CD-ROM). Gleich 
anschliessend sollten natürlich die neuesten Updates und Patches 
aufgespielt werden, bevorzugt offline, ohne vorher ins Internet zu 
gehen.

Eine Möglichkeit dazu wäre z.B. ein Offline-Updater, wie er hier 
angeboten wird:
http://www.winhelpline.info/forum/winhelpline-post...

Autor: Andre Backoff (redbacke)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Multifunktionsmirko hat völlig recht. Du wirst mit dem jetzigen System 
nie wieder glücklich . Hab den gleich Dreck gehabt und hab nur Zeit 
vergäudet.

tschaui

Autor: Oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
1.Kleiner Hinweis am Rande: Es gab schon verseuchte Format-Programme.

2.Deshalb von sauberer CD starten und nicht das alte Zeug wiederbeleben.

Erst wieder ins Netz gehen WENN alle frischen Updates drauf sind!
Sonst goto 1.

Autor: Multifunktionsmirko (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Kleiner Hinweis am Rande: Es gab schon verseuchte Format-Programme.

Ich hatte natürlich angenommen, dass es in diesem Fall 
selbstverständlich wäre, von der Original Windows-CD-ROM zu booten und 
die Formatierung vom Setup machen zu lassen.

Betreffend der Virenscanner wäre dann noch zu sagen, dass man im 
Verdachtsfall zum installierten Scanner überhaupt kein Vertrauen mehr 
haben darf. Deshalb immer von vertrauenswürdiger bootfähiger CD booten, 
auf der ein brauchbarer Virenscanner enthalten ist, z.B. Knoppizillin.

Ich persönlich bevorzuge BartPE (von CD lauffähige, eingeschränkte 
Windows-Version). Von der Zeitschrift c't gibt es so ungefähr alle 
ein-zwei Jahre entsprechende Ausgaben  mit  einer CD-ROM, die entweder 
selber bootfähig ist (mit Knoppizillin) und/oder einen vorgefertigten 
PE-Builder dabei hat, mit dem man sich eine bootfähige BartPE-CD brennen 
kann.

Die auf der Boot-CD enthaltenen Virenscanner sind dann ein Jahr lang 
kostenlos updatefähig, wenn der Rechner einen Internet-Anschluss hat. 
Die letzte Version einer solchen CD war z.B. beim Heft c't 26/2007 
dabei.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.