linuxguru
Goto Top

TSR-Virus entfernen ?

Virus immer wieder da - w7.

Ich arbeite an einem PC, der offensichtlich mit einem TSR Virus verseucht wurde. Es wird lt. des Eigentümers per WLAN und Bluetooth übertragen, hat sich ung. 600kb vom Speicher reserviert und lässt sich nicht entfernen. Auch andere Geräte wurden verseucht - andere Windows Rechner (XP,Vista) und angeblich sogar ein Mobiltelefon. Ist also höchst gefährlich und extrem schwer zu vernichten. Letzte Möglichkeit wäre natürlich das HDD Laufwerk vollständig zu löschen und komplett neu anzurichten (mit Partitionen).

Gibt es aber eventuell andere Möglichkeiten oder gar tools die diesen Bösewicht mit absoluter Sicherheit killen würden?

Mir fällt vorerst nur den MBR mit einem GRUB Loader von Linux zu ersetzten und dann noch mit einer Linux Live CD zu versuchen ob ein linux basierter Virenkiller das Ding findet und erledigt.

Content-Key: 139087

Url: https://administrator.de/contentid/139087

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: mrtux
mrtux 24.03.2010 um 18:38:27 Uhr
Goto Top
Hi !

Zitat von @Linuxguru:
Gibt es aber eventuell andere Möglichkeiten oder gar tools die diesen Bösewicht mit absoluter Sicherheit killen
würden?

Du hast doch die absolut sichere Lösung schon selbst gefunden:

gefährlich und extrem schwer zu vernichten. Letzte Möglichkeit wäre natürlich das HDD Laufwerk
vollständig zu löschen und komplett neu anzurichten (mit Partitionen).

gell...

mrtux
Mitglied: Linuxguru
Linuxguru 24.03.2010 um 23:30:20 Uhr
Goto Top
Diesen Weg wollte ich halt nicht gehen es sei nur als allerletzter Ausweg. Bei windows scheint für vieles "format c:" die einzige Lösung zu sein - zumindest predigen das viele. Das halte ich allerdings halt in den meisten fällen für Humbug - auch wenn es hier gut möglich doch richtig ist. Doch demnach, was ich so aus Berichten über TSR hörte, ist das dann immer noch nicht unbedingt die Lösung. Der kann nämlich auch formatiervorgänge überstehen. Ich vermute jetzt allerdings, daß es nur dann passiert wenn man mit der Windows CD formatiert und nicht mit einem z.B. Live System.
Mitglied: Sonnenscheinhasser
Sonnenscheinhasser 25.03.2010 um 01:57:56 Uhr
Goto Top
Zitat von @Linuxguru:
Diesen Weg wollte ich halt nicht gehen es sei nur als allerletzter Ausweg. Bei windows scheint für vieles "format
c:" die einzige Lösung zu sein - zumindest predigen das viele. Das halte ich allerdings halt in den meisten fällen
für Humbug

Ein kompromittiertes System muss neu aufgesetzt werden. Alles andere ist grob fahrlässig.

Das sollte dir als 'Guru' klar sein, egal ob Linux oder Windows.

Schwarze Grüße,
Tom
Mitglied: Petrof
Petrof 25.03.2010 um 06:34:35 Uhr
Goto Top
Moin,

solange das System nicht zerstört ist, ist -muss neu aufgesetzt werden- nicht richtig.
Bisher kann jeder Virus oder Trojaner auch ohne diese Aktion rückstandslos entfernt werden.

Jedoch ist in Fällen mit besseren Viren das neu aufsetzen die einzige sinnvolle Lösung.
Der Arbeitsaufwand ist meist so hoch, dass er in keinem Verhältnis zum Ergebnis steht.

Teilweise packt mich der Ehrgeiz und ich muß es einfach hinbekommen, die längste Aktion bisher hat mich 3 Tage gekostet.
Aber machbar ist nahezu alles. Nutze ein Testsystem und packe die besten Schädlinge drauf. Wenn ich dann nebenbei zu viel Zeit habe,
wird halt ein "Spiel" gespielt. Als Ausgleich!

Gruß
Peter
Mitglied: Linuxguru
Linuxguru 25.03.2010 um 10:24:33 Uhr
Goto Top
Zitat von @Petrof:
Teilweise packt mich der Ehrgeiz und ich muß es einfach hinbekommen,


Genauso ist es bei mir - ich will einfach erstmal eine möglichst "elegante" Lösung finden. Neu zu formatieren und neu aufzusetzen ist natürlich praktikabler, allerdings bringt mir nichts an neuen Erfahrungen. Das kann jeder.
Mitglied: RogerWilco2009
RogerWilco2009 25.03.2010 um 12:57:52 Uhr
Goto Top
Hallo Linuxguru,

jetzt misch ich mich auch mal ein.
Ich weiß nicht ob es "die" elegante Lösung gibt, zumindest gibt es aber eine strukturierte.
Ich weiß nicht in wieweit Du Dich schon mal mit dem Bootvorgang beschäftigt hast, aber es ist ganz gleich, welches Stück Code Du ausführen willst, Du mußt es erst aufrufen und ausführen. Ob das nun ein Tastatur-Treiber ist, ein SATA, der TCP/IP-Dienst oder eine Malware-Komponente. Ziel ist es den Aufruf zu finden, an dem dieses Stück Code gestartet wird.
Vielleicht hilft Dir das wenn Du Dich mal mit dem Systemtool "Autoruns" von M$ (früher sysinternals.com) auseinandersetzt und falls Bedarf besteht kann ich ja mal in meinen alten Unterlagen nach einem Boot-Vorgang suchen und Dir zukommen lassen...

Gruß Roger

P.S. BWLer interessiert es nicht, daß Du was lernen willst, die rechnen Dir nur vor, daß die Stunde neu aufsetzten sie jetzt Betrag X gekostet hat.
Mitglied: mrtux
mrtux 26.03.2010 um 00:03:16 Uhr
Goto Top
Hi !

Zitat von @Petrof:
solange das System nicht zerstört ist, ist -muss neu aufgesetzt werden- nicht richtig.
Bisher kann jeder Virus oder Trojaner auch ohne diese Aktion rückstandslos entfernt werden.

Und das weisst Du ganz sicher? Du bist aber nicht im Kundendienst tätig oder? :-P

Jedoch ist in Fällen mit besseren Viren das neu aufsetzen die einzige sinnvolle Lösung.

Definiere bitte den Begriff "besserer Virus"... face-wink

Aber machbar ist nahezu alles. Nutze ein Testsystem und packe die besten Schädlinge drauf. Wenn ich dann nebenbei zu viel

Ich hatte neulich bei einem (Privat!) Kunden einen EXE-Infektor, nach dem 4891igsten "Düdelüt" von Avira, habe ich die Recovery CD eingelegt und dem Spuk ein schnelles Ende verpasst. Normalerweise gebe ich bestimmt nicht so schnell auf aber wenn der AV-Scanner mal meldet "Die Datei winlogon.exe kann nicht repariert werden, sie wurde von dem Virus zerstört!" (stellvertretend für 90% aller Exe-Files auf der Platte), dann zeig Du mir mal, wie in so einem Falle "nahezu alles" aussieht... face-wink Übrigens, Exe-Infektoren sind keineswegs ausgestorben wie oft fälschlicherweise angenommen, sondern eher wieder auf dem Vormarsch...

mrtux
Mitglied: Petrof
Petrof 28.03.2010 um 22:39:06 Uhr
Goto Top
Hallo mrtux,

das weiss ich ganz sicher.
Definiere Kundendienst. Ich sage mal: Ja, auch.
Mit besseren meine ich welche, die zu entfernen den Aufwand des neu Aufsetzens eines Rechners inkl. Rücksicherung der Daten übersteigen.

Wer lesen kann ist klar im Vorteil - wie in meiner Antwort geschrieben: Solange das System nicht zerstört ist.

Gruß
Peter
Mitglied: mrtux
mrtux 23.04.2010 um 15:14:40 Uhr
Goto Top
Hi !

Zitat von @Petrof:
Wer lesen kann ist klar im Vorteil - wie in meiner Antwort geschrieben: Solange das System nicht zerstört ist.

Oops Brille putz...Mein Einwand hat nix mit meinen Lesefähigkeiten zu tun.. :-P

Das System war, bei meinem oben beschriebenen Kunden auch nicht zerstört, der Kunde hat damit noch munter "gearbeitet"....Von daher sollte man erfahrungsgemäss in Betracht ziehen, dass es Malware gibt, die sich eben nicht so leicht bemerkbar macht (oder sich bemerkbar machen lässt) und sich eben auch nicht von jedem Sicherheitspaket entfernen lässt, darum ist der einzig sichere und oft auch rentable Weg das Neuaufsetzen...

- Und wie der TO oben ja selbst beschreibt, hat ihn der Virus ja auch schon ganz schön zum Narren gehalten und in so einem Falle würde ich nicht lange herumbasteln, sondern die Radikalkur verordnen und gut ist....Denn als jemand der im Kundenservice arbeitet, kostet jede Minute der aufgewendeten Zeit den Kunden Geld und da kann man eben nicht den ganzen Tag herumbasteln, um herauszufinden was die Malware für Tricks drauf hat, sondern muss seine Arbeit für den Kunden erledigen....Ein Beispiel: Nehmen wir mal an, der Kunde besitzt ein Netbook mit einem Neupreis von 350 Euro und Du brauchst jetzt 2,5 Stunden bis Du die Malware darauf entfernt hast, wie hoch darf dann dein Stundensatz sein, damit der Kunde sich nicht gleich ein neues Gerät mit sauberem OS kaufen kann? Dazu braucht man keine Lesefähigkeit, sondern einfaches kaufmännisches Rechnen und darum meine Frage, ob Du schon mal im Kundenservice tätig warst.. :-P

mrtux
Mitglied: Petrof
Petrof 23.04.2010 um 17:06:26 Uhr
Goto Top
Moin mrtux,

ja auch ich setze ein System eher neu auf, als Stundenlang Fehler zu "reparieren"!

Jedoch war die Anfangsfrage nun einmal, ob es Möglichkeiten gibt zu entfernen ohne neu aufzusetzen.
Hierzu war und ist meine Antwort klar - Ja!

Denn es ist nun mal falsch, dass neu Aufsetzen die einzige Möglichkeit ist, wie so oft gesagt wird.
Wie auch schon gesagt sehe ich das entfernen eher als mein persönliches "Spiel" und als Ausgleich an.
Das erfolgt auch ausschließlich Privat ( obwohl Privatleben hab ich als selbstständiger ja an sich nicht )

Dieses "Spiel" zahlt sich aber teilweise auch aus, da Schädlinge zu entfernen (wenn man sie kennt und weiß wie sie gänzlich zu entfernen sind) schneller gehen kann als ein Backup aufspielen.

Gruß
Peter