Forum: PC Hard- und Software GVU ihr computer ist gesperrt!


von Tom S. (gast2000)


Angehängte Dateien:

Lesenswert?

Hallo, hat das schon mal jemand gehabt??
selbst im abgesicherten Modus kommt die Meldung sofort
Sys. Win XP home

von Frank L. (hermastersvoice)


Lesenswert?

und? Hast dir einen Trojaner gefangen. Mach platt den Rechner.

von Andreas D. (rackandboneman)


Lesenswert?

Das ist ein Virus, das hat mit offiziellen Stellen NICHTS ZU TUN.

von Stryker (Gast)


Lesenswert?

Ist ein Virus. Unter keine Umständen bezahlen.
Es gibt auf Heise/Golem weitere informationen wie du den wieder 
loswirst. Viel Erfolg

von Frank B. (elan40)


Lesenswert?

Tja,

da haste Dir was eingefangen....
Ging meinem Nachbarn auch so, ich habe dann die KASPERSKY-Rescue Disk 
runtergeladen und mithilfe des Windows-Unlockers das System wieder 
lauffähig gemacht.
Aber Achtung, damit ist das Loch nicht geschlossen, auf jeden Fall die 
temporären Ordner löschen.
Und eine Root-Datei, mit dem Namen 123a123b123c123d.exe oder ähnlich 
auch löschen.
Danach einen Virenscanner und alle Updates.

von frank (Gast)


Lesenswert?

100 euroS... paysafe...legit

von Tom S. (gast2000)


Lesenswert?

Danke für die Infos. Kann es sein das der Trojaner meine Daten 
verschlüsselt hat? Hab sie gerade ausgebaut und über ext.-usb an einen 
2. Rechner zum scannen

von Frank B. (elan40)


Lesenswert?

Nicht verschlüsselt.
Eher geschreddert.
Nimm Kaspersky.

von Tom S. (gast2000)


Lesenswert?

Vielen Dank Frank für die nützlichen Infos.
Wie zuverlässig ist "avast internet security"?

von andi (Gast)


Lesenswert?

@Tom S.

Hi, wie arbeitest du denn auf deinem Rechner, als Administrator oder 
hast du ein separates eingeschränktes Konto?

von Tom S. (gast2000)


Lesenswert?

Hi, nur als Admin

von Georg W. (gaestle)


Lesenswert?

Das ist die Gelegenheit den Rechner mit einem aktuellen Betriebssystem 
neu aufzusetzen. Du kannst nie wissen ob du wirklich alle Rückstände, 
Sicherheitslücken und ev. noch durch den Trojaner geladene Schadsoftware 
gefunden hast.
Du hast doch hoffentlich ein Backup deiner Daten?

von Ronny M. (hobby-coder)


Lesenswert?

Tom S. schrieb:
> Hi, nur als Admin

dann weist du auch, warum du den nun auf den rechner hast. für die 
zukunft:

2 accounst einrichten, 1x fürs rumsurfen, tägliche arbeit usw. und 1x 
für systemaufgaben (softwareinstallation usw....)

hilfreiche addons für deinen browser laden und installieren, darunter 
noscript für firefox und scripte über diesen nur für vertrauenswürdige 
seiten frei geben.

2x virenscanner nutzen, 1x mit onaccess scanner, der 2. dient zum 
gegenchecken einer virenmeldung. und, was der eine nicht erkennt, 
erkennt ggf. der 2. scanner.

amsonsten: nen paar tipps bekommst hier sicher noch ;)

von MaWin (Gast)


Lesenswert?

Strafanzeige wegen Computersabotage stellen. Da Geld fliessen soll, 
besteht eine Möglichkeit die Täter auch im Ausland zu fassen, zumindest 
wenn hunderte von Leuten das tun.

von Tom S. (gast2000)


Lesenswert?

DANKE für alle Infos,

Kann sich so ein Virus ach auf weitere Partitionen ausbreiten?

von herbert (Gast)


Lesenswert?

Das ist schon leichtsinnig als Admin zu surfen.Viren haben dann die 
gleichen Rechte wie du....sie dürfen sich installieren.Am Anfanf meiner 
PC Karriere habe ich das auch gemacht,mit den entsprechenden Folgen.Da 
kommst aus den neu aufsetzen nicht mehr raus.Ich bin aber geheilt auch 
wenn es viel Arbeit gemacht hat alle Programme auch unter einem 
kastriertem Konto zum laufen zu bewegen.

von andi (Gast)


Lesenswert?

@Ronny Minow, herbert

Die Aussagen sind absolut richtig. Ich bin in meinem Familienkreis der 
jenige, der für PC-Probleme "zuständig" ist. Mittlerweile mache ich so, 
dass ich gleich klar stelle, dass ich den PC so aufsetze, wie ich das 
für richtig halten und nix mit "kein Login, kein Passwort, keine 
Sicherheitstools", wenn dem nicht zugestimmt wird, dann mache ich gar 
nichts mehr, dann sage ich einfach "dann macht euren Sch... selbst". 
Diese vorgehensweise trägt mittlerweile positive Früchte.
Es kostet so viel Zeit und Arbeit einen Windows-Rechner komplett neu 
aufzusetzen, furchtbar.

@Tom S.

An deiner Stelle würde ich die Ratschläge beherzigen und umsetzen.

von Arkan D. (arkandoca)


Lesenswert?

Du kannst aber aus Spass einfach ein paar falsche PaySafe-Nummern 
eingeben und absenden! Die falschen Nummern führen bei den Tätern zum 
fehlenden Erfolg und stehlen damit denen ihrer Zeit.

Man sollte milionen von falschen Nummern senden lassen und so das 
Betrugsnetzwerk lahmlegen (irgendwann geht auch ein Alarm im System an 
das die Kerle meldet / zumindest beim PaySafe-System)

von Andreas D. (rackandboneman)


Lesenswert?

@Tom S. Bei dem Virus/Trojaner weiss ichs jetzt nicht ... aber vermeide 
auf jeden Fall irgendeine Programmdatei von potentiell betroffenen 
Laufwerken auszuführen, und bei allen externen Medien die mit dem 
verseuchten OS in Berührung gekommen sind solltest Du peinlichst darauf 
achten dass diese beim Hochfahren des Rechners NICHT angeschlossen sind.

von Frank B. (elan40)


Lesenswert?

Georg W. schrieb:
> Das ist die Gelegenheit den Rechner mit einem aktuellen Betriebssystem
> neu aufzusetzen. Du kannst nie wissen ob du wirklich alle Rückstände,
> Sicherheitslücken und ev. noch durch den Trojaner geladene Schadsoftware
> gefunden hast.
> Du hast doch hoffentlich ein Backup deiner Daten?

Sicherlich das einfachste, das System neu aufzusetzen.
Aber um nun zu verstehen, was da eigentlich passiert ist, sollte man 
sich schon die Mühe machen, nachzuforschen wie dieser Mist auf den 
Rechner gekommen ist.  Und entsprechende Vorkehrungen treffen. S.o.

Neuaufsetzen kann man dann immer noch und seine Erfahrungen dann mit 
einbringen. Der von mir "reparierte" Rechner läuft überigens immer noch, 
auch ohne Neuinstallation.
In diesem Zusammenhang erinnere ich nochmals an die ewig lange

123g123k123airgendwas*.EXE,

welche gut getarnt root liegt. Entfernen konnte ich sie nur unter 
Zuhilfenahme einer Live-CD.

Hier war es die Kasperski CD10.

Guss, Frank

von andi (Gast)


Lesenswert?

>Neuaufsetzen kann man dann immer noch und seine Erfahrungen dann mit
>einbringen. Der von mir "reparierte" Rechner läuft überigens immer noch,
>auch ohne Neuinstallation.
>In diesem Zusammenhang erinnere ich nochmals an die ewig lange

>123g123k123airgendwas*.EXE,

>welche gut getarnt root liegt. Entfernen konnte ich sie nur unter
Zuhilfenahme einer Live-CD.

>Hier war es die Kasperski CD10.

In meinem Falle habe ich vor ca. 1 Jahr einen mit Bundestrojaner 
verseuchten Rechner "behandlt". Habe die Kasperski LiveCD laufen lassen 
und "nur" drei verseuchte Elemente im temp-Ordner gefunde, aber gebracht 
hat es nichts. Übrigens war dieser Rechner ebenfalls unter Admin 
unterwegs.

von Frank B. (elan40)


Lesenswert?

Frank B. schrieb:
> In diesem Zusammenhang erinnere ich nochmals an die ewig lange
>
> 123g123k123airgendwas*.EXE,
>
> welche gut getarnt root liegt.

von andi (Gast)


Lesenswert?

Frank B. schrieb:
> Frank B. schrieb:
>> In diesem Zusammenhang erinnere ich nochmals an die ewig lange
>>
>> 123g123k123airgendwas*.EXE,
>>
>> welche gut getarnt root liegt.

schon klar, nur der Virenscaner hat nichts gefunden und ich selbst habe 
nicht danach gesucht. Aber andrerseits musss sich das Teil auch wo 
anders verbissen haben (Autorun in der Registry), wird ja beim 
Hochfahren des Rechners mitgestartet, d.h. es bleiben immer Spuren.

von Maier (Gast)


Lesenswert?

Such mal nach BKA-Trojaner. Da gibt es auch etliche Informationen zu 
bereinigen des Systems. Das ist ein alter Hut und schon beinahe 
langweilig.

Es gibt allerdings eine richtig böse Variante, die verschlüsselt die 
Daten auf der Platte. Dann muss man ebend alles platt machen und die 
letzte Sicherung einspielen. Die hat ja jeder...

von Schnurpsel (Gast)


Lesenswert?

Tja, Virenscanner sind halt Snakeoil.

von asmhobbyist (Gast)


Lesenswert?

Oft kommen diese Erpresserprogramme über Javaexploits rein. Java 
regelmäßig updaten wäre schon mal ganz hilfreich, Java ist aber 
weiterhin ein kritischer Punkt. Im irgendeinem Heise-Artikel habe ich 
die Empfehlung gelesen, auf Java im Browser komplett zu verzichten, auch 
wenn Oracle diverse Lücken geschlossen hat.
http://www.heise.de/security/meldung/Grosses-Notfall-Update-fuer-Java-1796504.html
Es gibt aber auch frisierte Update.exe Programme für Java, und man 
sollte schon aufpassen, wo und wie man updatet.

Um solche Programme runterzuschmeißen, und auch für andere Sachen ist 
https://www.heise.de/artikel-archiv/ct/2004/02/180_Windows-XP-live-auf-CD
gut bzw. eine Windows-PE Variante.

Es ist auch ratsam, den Netzbetrieb vorerst zu trennen.

Wenn man nur als User unterwegs ist, landen die Programme bzw. deren 
Links z.B. in Selbststartordnern wie run, start etc.

Wenn man als admin unterwegs ist, werden wichtige Systemkomponenten wie 
der Explorer gepatcht oder ausgetauscht und der Rechner wird generell in 
Richtung "vulnerable" gepatcht, also Voreinstellungen in Java, Pdf, 
Flash, Windows, Firewall usw. inklusive fiese Eintragungen in die 
Registration.

Zur Analyse solcher und anderer Programme gibt es auch eine kleine 
Linux-CD, die heißt "REMnux".

von herbert (Gast)


Lesenswert?

Schnurpsel schrieb:
> Tja, Virenscanner sind halt Snakeoil.

Du meinst wohl..."was ich nicht weiß macht mich nicht heiß"?Die 
allermeisten Schädlinge kommen als E-Mail Anhang,Verpackt in dubiosen 
Rechnungen und anderen schockigen Forderungen.Hier muß man ansetzen und 
das Hirn einschalten.Das gilt für alle Benutzer des Rechners.Ich habe in 
den Letzten sechs Monaten mindestens 40 solcher Mail´s mit diversen 
Forderungen und Mahnungen erhalten,alle mit Anhang.Mein Papierkorb freut 
sich darüber und ich ärgere mich schon gar nicht mehr.Einen Virus kann 
man sich im Prinzip auf jeder Seite holen.Ohne Virenscanner bockt halt 
manchmal der Rechner und man bekommt sonst nichts mit....oder der 
Schädling arbeiten im Hintergrund und benutzt deine Computer als Server 
für schlimme Sachen.Also Sicherheits sofware als Snakeoil zu bezeichnen 
kann ich nicht nach vollziehen.Aber Leute die nach einer desinfektion 
eine Rechnung schreiben hätten natürlich gerne weniger von diesen 
Tools.;-)Und über die welche meinen ein gescheiter Virus komm überall 
vorbei muß ich schmunzeln.Scheinbar gibt es nur 0815 Viren für die 
Hausfrau.Ohne"Brainerror´s "gäbe es wesentlich weniger Probleme.Ich bin 
immer froh wenn meine Firewall fragt ob ein bestimmtes Prog ins Internet 
darf.

von Marc R. (hypsocormus)


Lesenswert?

Ronny Minow schrieb:
> Tom S. schrieb:
>
> 2x virenscanner nutzen, 1x mit onaccess scanner, der 2. dient zum
> gegenchecken einer virenmeldung. und, was der eine nicht erkennt,
> erkennt ggf. der 2. Scanner

Ja top Idee... Vor allem weil die sich dann gegenseitig bekriegen...

von Tom S. (gast2000)


Lesenswert?

Hallo,

war natürlich in der Zwischenzeit nicht untätig...

alle meine Versuche diesen Trojaner  vollständig zu entfernen sind 
leider fehlgeschlagen. Letzter Stand war so, dass der Trojaner nicht 
mehr sichtlich mit gestartet ist (Bild kam nicht mehr), solange ich 
keine Internetverbindung hatte. Das reichte mir um wichtige Dateien auf 
ext. Datentr. zu sichern.
Leider war mein letztes Acronis full-Backup  von diesem Gerät schon 
2Jahre alt!! Hab ich trotzdem wieder aufgespielt. Acronis nutze ich nur 
mit Boot-CD  (man sollte öfter sichern, ich weiß ja...)   wie schön 
finde ich bei Mac die Timemaschine ;-)
Jetzt macht das Gerät erst mal ~80 Win-Updates

-  Die Ursache (undichte Stelle) war vermutlich ein Dateianhang einer 
E-Mail mit für mich unbekannte Absender. Durch die Kid’s  angeklickt 
à SAGT JETZT BITTE NICHTS ß


p.s.  der Kasperski CD.. Vorschlag hat leider nicht funktioniert. 
Vermutlich kommen ständig neue Versionen von diesem GVU-Troj. raus.


Vielen Dank für die Unterstützung an Alle in der Runde

Tom

von Wilhelm F. (Gast)


Lesenswert?

Tom S. schrieb:

> Hallo, hat das schon mal jemand gehabt??
> selbst im abgesicherten Modus kommt die Meldung sofort
> Sys. Win XP home

Das hatte ich im Herbst vergangenen Jahres. Exakt auch GVU.

Da geht nichts mehr. Ich rief auch bei der Polizei an, weil ich mit 
denen kurz zuvor wegen meines aufgebrochenen Email-Accountes schon zu 
tun hatte, und Anzeige erstattete. Die halten es für einen Trojaner, 
distanzierten sich davon. Schon alleine die Zahlungsmöglichkeiten auf 
der Seite seien ein Indiz für Unseriösität. Sie meinten: Rechner zu 
einem Service bringen, der es wieder richten kann, von Seiten der 
Polizei kommt garantiert nichts, und die Sache hat sich.

Ich versuchte noch hier und da was, aber erfolglos.

Ein paar Tage später machte ich die Kiste platt, und installierte neu.

Dateianhang an einer Email o.ä. war es definitiv nicht.

AVIRA schlug mal an, aber, als es schon Stunden zu spät war.

von GVU (Gast)


Lesenswert?

Tom S. schrieb:
> Hab sie gerade ausgebaut und über ext.-usb an einen
> 2. Rechner zum scannen

Gute Idee um Malware im Netz zu verbreiten....
Dafür nimmt man eine Boot CD, aber man hängt doch nicht die verseuchte 
Platte an den nächsten Rechner.

Einen 2 Jahre alten Patch Stand würde ich auch nicht direkt mit dem Netz 
verbinden sondern vorher die Updates per CD installieren (siehe WSUS 
Offline Tool)

Prüfe wenigstens die gesicherten Daten von einer entsprechenden CD aus 
bevor du die zurück kopierst. Und sichere dich fürs nächste Mal besser 
ab.

Beim nächsten Mal zeigt der Trojaner vielleicht P***obilder. Denkt denn 
hier niemand an die Kinder? ;-)

von Brater (Gast)


Lesenswert?

Noch der Versuch eines Nachtrags:
1. Schau dir mal Sardu an. Dort ist u.A. eine große Sammlung von 
Rettungs-CDs enthalten. Mir hat beispielsweise Dr. Web schon mal gut 
geholfen.

2. Es gibt Viren, die fressen sich direkt in Systemdateien rein, 
beispielsweise in die svchost, explorer oder winlogon. Da müsste dann 
ein Virenscanner dies erkennen und dann könntest du evtl. die Datei 
austauschen. Wenn sich der Virus direkt in Bootsektoren einnistet, wird 
es schon schwieriger.
Das Teil nennt sich übrigens GVU Trojaner.
http://www.trojaner-board.de/128498-neuer-gvu-trojaner-win-xp-100-euro-48-stunden-kein-abgesicherter-modus.html

Bei Win 7 funktioniert das mit der Rechteverwaltung besser; wenn die 
Kinder keine Admin-Rechte haben, kann sich auch kein Virus installieren 
(allerdings gibt es auch Möglichkeiten, die UAC von Windoofs 
auszuhebeln).

3. Bevor man noch einen 2. Rechner verseucht, sollte man möglichst ein 
linuxbasiertes (Live-)System zum Reinigen verwenden.

4. Auch wenn man diesen Mist los wird, ist eine Neuinstallation ratsam.

von herbert (Gast)


Lesenswert?

Wenn du schon am aufsetzen bist und dann gewissermaßen eine 
jungfräuliche Installation besitzt,dann empfehle ich die ein Image oder 
gleich einen Sicherheitsclon via Clonezilla auf eine andere 
Festplatte.Die kosten nicht so viel und ersparen die viel Arbeit wenn es 
wieder einmal soweit ist und was klemmt.Das kann man nicht oft genug 
wiederholen...

von Wilhelm F. (Gast)


Lesenswert?

Stryker schrieb:

> Ist ein Virus. Unter keine Umständen bezahlen.
> Es gibt auf Heise/Golem weitere informationen wie du den wieder
> loswirst. Viel Erfolg

Leider kommt man mit diesem Virus nicht mehr ins Internet. Nach Öffnung 
des Internet-Explorers erscheint nach 20 Sekunden diese Seite, und der 
gesamte Rechner ist ab dann manövrierunfähig. Man muß dazu an einen 
anderen Rechner mit Internet-Anschluß.

Privatleute haben aber oft nur einen einzigen Rechner im Haus. Das war 
aber der Zeitpunkt, wo ich über die Anschaffung eines Zweitrechners nach 
dachte, und tat das dann auch.

von Rufus Τ. F. (rufus) Benutzerseite


Lesenswert?

Tom S. schrieb:
> Leider war mein letztes Acronis full-Backup  von diesem Gerät schon
> 2Jahre alt!! Hab ich trotzdem wieder aufgespielt. Acronis nutze ich nur
> mit Boot-CD  (man sollte öfter sichern, ich weiß ja...)   wie schön
> finde ich bei Mac die Timemaschine ;-)

Da man Acronis auch auf dem OS selbst laufen lassen kann, und Acronis 
auch inkrementelle Backups erzeugen kann, ist man damit zumindest recht 
nahe an der Timemachine dran.

Es gibt sogar eine Art permanentes Online-Backup in Acronis, das jede 
Änderung archiviert und die Archive nach einiger Zeit wegwirft, so daß 
man für einen gewissen Zeitraum den Stand des Systems oder auch 
einzelner Dateien zu einem beliebigen Zeitpunkt innerhalb dieses 
Zeitraumes beliebig rekonstruieren kann.

Der Nachteil gegenüber Timemachine ist der, daß die Sicherung nur mit 
Acronis selbst wieder gelesen werden kann, und daß der ganze Krempel 
richtig eingerichtet und konfiguriert werden muss.

Bei Windows 7 ist wohl eine vergleichbare Funktionalität Bestandteil des 
Systems, aber da ist die Einrichtung und Konfiguration aufgrund der 
microsoft-typisch unlogisch-vergurkten Oberfläche erst recht aufwendig.

Das Apple-Verfahren (Festplatte anschließen, System fragt automatisch, 
ob man die Platte als Timemachine-Speicher nutzen will, abnicken, 
fertig) ist da schon etwas ... komfortabler.

von MaWin (Gast)


Lesenswert?

> 2. Es gibt Viren, die fressen sich direkt in Systemdateien rein,
> beispielsweise in die svchost, explorer oder winlogon. Da müsste dann
> ein Virenscanner dies erkennen und dann könntest du evtl. die Datei
> austauschen.

CMD (run as Administrator)
SFC /SCANNOW

> Bei Win 7 funktioniert das mit der Rechteverwaltung besser; wenn die
> Kinder keine Admin-Rechte haben, kann sich auch kein Virus installieren

LOL.
Ganz sicher, klar.

von Läubi .. (laeubi) Benutzerseite


Lesenswert?

Für Win kann man z.B.
http://de.wikipedia.org/wiki/Robocopy
nutzen, mit einer Batchfile auf dem Dektop und/oder Autostart ist das 
vermutlich auch nicht viel unkomfortabler. Es gibt wohl auch GUIs dafür 
http://www.wintotal.de/artikel/artikel-2007/91.html (auch von Microsoft)

von Wilhelm F. (Gast)


Lesenswert?

MaWin schrieb:

> LOL.
> Ganz sicher, klar.

Meine Neffen im Schulalter hatten den GVU-Virus schon vor mir. Eltern 
haben keine Ahnung und/oder keine Zeit, und auch keine Kenntnisse, 
Schutz einzurichten, und wissen unter Umständen nicht, was Admin-Rechte 
und überhaupt Rechte sind.

Die sind einfach froh, den PC normal bedienen zu können.

Das ist etwas spitz überzogen, zu glauben, jeder kennt alles und muß 
dies und das machen.

von Georg W. (gaestle)


Lesenswert?

Frank B. schrieb:
> Sicherlich das einfachste, das System neu aufzusetzen.
> Aber um nun zu verstehen, was da eigentlich passiert ist, sollte man
> sich schon die Mühe machen, nachzuforschen wie dieser Mist auf den
> Rechner gekommen ist.

Das ist sinnvoll, aber ich würde dem gesäuberten System trotzdem nicht 
mehr trauen.

von Georg W. (gaestle)


Lesenswert?

Nicht als Administrator arbeiten empfehle ich einem XP-Nutzer nicht und 
mache es selbst auch nicht mehr. Das schafft viele Problem der 
unangenehmen Sorte: Irgendwann geht ohne erkennbaren Grund irgendein 
Programm nicht mehr/ eine Seite wird nicht mehr geladen. Die Fehlersuche 
kostet dann massig Zeit, so man sich ausreichend auskennt. Der 
Durchschnittsbesucher ist damit völlig überfordert.

von c. m. (Gast)


Lesenswert?

Schnurpsel schrieb:
> Tja, Virenscanner sind halt Snakeoil.

weil grad passt wie arsch auf eimer: http://blog.fefe.de/?ts=afec899a

ansonsten: ich weiß garnicht was ihr alle so rumschachert… "system neu 
aufsetzen und in zukunft regelmäßig backups machen" ist eigentlich alles 
was anwendern die auf die schnauze fallen gesagt werden muss.
nix "datenrettungs-" oder "desinfizierungs-CD" - irgendwann ist das 
scheiß system wieder am arsch (spätestens wenn die ach-so-tolle 
virenscanner was übersehen hat) und der bub steht wieder ohne daten da.

von Thomas (Gast)


Lesenswert?

naja das GVU ding ist in 5 min entfernt.

 - Maschine abgesichert starten.
 - Im Autostart den Eintrag notieren und dann löschen
 - die exe Datei auf der Festplatte löschen
 - Registry unter Run und Runonce nach verdächtigen Einträgen 
durchsuchen

Das würde die Kundschaft gar nicht bezahlen wenn wir jedes mal ein Win
neu aufsetzten würden. Zumal die meisten Leute ja nicht mal Sicherungen
Ihrer Installation haben.
Thomas

von Icke ®. (49636b65)


Lesenswert?

Thomas schrieb:
> naja das GVU ding ist in 5 min entfernt.

Nur wenn es die dilettantische Variante ist. Die ganzen BKA-, GVU- und 
sonstwas Trojaner haben zwar ein ähnliches Erscheinungsbild, 
unterscheiden sich jedoch zum Teil ganz erheblich in der Art, wie sie 
sich im System verankern. Im einfachsten Falle ist es eine leicht zu 
identifizierende .exe mit auffälligem, weil sinnlosen Namen irgendwo im 
Benutzerprofil (AppData bzw. Anwendungsdaten, Temp, Temporary Internet 
Files) und Verlinkung im Autostart. Die lassen sich in der Tat schnell 
und rückstandsfrei entfernen.
Es existieren jedoch auch wesentlich hartnäckigere Varianten, die sich 
als Systemdienst oder Treiber tarnen sowie gelegentlich sogar den MBR 
befallen. Einige davon nutzen mehrere Mechanismen gleichzeitig. Aufgrund 
der Rootkit-Techniken sind sie nicht leicht aufzuspüren. Der Trojaner, 
welcher letztendlich für den User sichtbar wird, muß auch nicht der 
Einzige sein, sondern kann von einem bereits vorher im System 
residierenden Trojan-Downloader nachgeladen worden sein. Ich habe 
gestern erst einen Mailanhang in einer Test-VM gestartet und beobachtet. 
Außer mit diversen IP-Adressen Kontakt aufzunehmen, tut der vorerst gar 
nichts. Das ist allerdings noch viel schlimmer, weil die Infektion 
zunächst unentdeckt bleibt.
Kurzum, die Säuberung ist auch ohne Neuinstallation von Windows durchaus 
möglich, erfordert aber einige Erfahrung. Der Normaluser bekommt das 
kaum hin. In der Regel wenig erfolgreich bis völlig sinnlos sind 
Entfernungsversuche mit AV-Software aller Art, einschließlich 
desinfect-CDs. Die Erkennungsrate ist bei neuen oder noch sehr jungen 
Trojanern (manchmal auch bei alten) so unterirdisch, daß mit hoher 
Wahrscheinlichkeit irgendwas durchrutscht.

von Michael_ (Gast)


Lesenswert?

Du bist aber hochmütig!
Dann zeig uns und den Luschen von der AV-Gilde mal wie du das machst. 
Die werden gern von dir lernen wollen.
Bei dem PC aus meinem anderen Thread haben zwei Scanner von außen 
jeweils was gefunden und der installierte Avast hat auch noch was 
angezeigt.
Aber diese hatten nichts mit dem ursprünglichen Sperr-Virus zu tun.
Die meisten User haben wie ich auch nur einen Scanner drauf und fühlen 
sich sicher. Mit einer Prüfung durch mehrere käme sicher schreckhaftes 
zutage.
Und was sich auf der gelobten Sicherungskopie verstecken kann?
Ab einem bestimmten Punkt muß man einfach mit der Gefahr leben.
Und warum sollten Desinfec't CD neuere Bedrohungen nicht erkennen?

von asmhobbyists (Gast)


Lesenswert?

Icke ®. schrieb:

> Es existieren jedoch auch wesentlich hartnäckigere Varianten, die sich
> als Systemdienst oder Treiber tarnen ..

oder als Virenscanner...

von MaWin (Gast)


Lesenswert?

> Mit einer Prüfung durch mehrere käme sicher schreckhaftes zutage.

Auch bei einer Prüfung nach 1 Jahr.

Gern beobachtet wenn man mal Festplatten einlagert.
Scannt man die nach 1 Jahr mit den dann verfügbaren
neuesten Virenscannern sind plötzlich Viren drauf,
die vor 1 Jahr noch nicht angezeigt wurden...

von Icke ®. (49636b65)


Lesenswert?

Michael_ schrieb:
> Du bist aber hochmütig!

Nein, aber von der Praxis desillusioniert. Das ist wie bei Hase und 
Igel, egal wie schnell die AV-Hersteller auch sind, die Exploits sind 
stets früher da. Ich bekomme immer öfter Rechner auf den Tisch, die 
trotz aktueller Antivirenprogramme verseucht sind und die händisch 
gefundenen Trojaner von keinem oder nur wenigen Scannern auf 
virustotal.com erkannt werden. Es dauert meist einige Tage, bis sich da 
nennenswert was tut. Natürlich finden die Scanner auch mal was, aber 
selbst 90% Erkennungsrate sind zu wenig. Gegen die clever programmierten 
Schädlinge jenseits des Scriptkiddie- und Baukastenzeugs sehen sie 
ohnehin alt aus. Auch die manuelle Suche hat ihre Grenzen. Wenn nach 
Abarbeitung der Standardprozeduren immer noch suspekte Netzaktivitäten 
auftreten, setze ich den PC wegend des Aufwand/Nutzenverhältnisses und 
aus Sicherheitsgründen neu auf.

> Und warum sollten Desinfec't CD neuere Bedrohungen nicht erkennen?

Weil sie auch nur mit Virenscannern arbeiten, welche den Schädling erst 
in der Datenbank haben müssen.

von Michael_ (Gast)


Lesenswert?

Naja, neuer als gerade erst geholt geht doch nicht!
Der Infekt liegt doch schon Tage zurück, da müßte es schon in der 
Datenbank sein.
Ist er superneu, ist es eben Pech und man macht in zwei Tagen weiter.

von Uhu U. (uhu)


Lesenswert?

Michael_ schrieb:
> Naja, neuer als gerade erst geholt geht doch nicht!

Eben deswegen gilt für Virenscanner dasselbe, wie für andere 
Verhütungsmittel:
1
"Bollwerk gegen das Vergnügen, aber ein Spinnweb gegen die Gefahr"

(Madame de Sevigne über die Verhütungsmittel ihrer Zeit 1671 in einem 
Brief an ihre Tochter, die Gräfin de Grignan)

von HolgerR (Gast)


Lesenswert?

Moin
Das ist ein Nachfolger des bereits bekannten BKA Virus.

Bei T-Online.de oder anderen ist beschrieben wie der Virus zu löschen 
ist.

Unter BKA Virus suchen.

Virenscanner laufen erst wieder wenn der Virus gelöscht wurde.
Ist eckelig das ding. Viel Glück
HolgerR

von Paul B. (paul_baumann)


Lesenswert?

Uhu schrub:
>(Madame de Sevigne über die Verhütungsmittel ihrer Zeit 1671 in einem
>Brief an ihre Tochter, die Gräfin de Grignan)

Das ist nicht in Ordnung, daß Du fremde Briefe liest....
;-)
MfG Paul

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.