markowitsch
Goto Top

Wildes Pferd - Virus Protector

Virus Protector legt PC komplett lahm und musste neu aufgesetzt werden

Hallo alle Miteinander face-smile

Ich hatte heute mit einem ganz besonderen Virus - Trojaner zu kämpfen.

Eine Kundschaft hat sich auf dem PC ( Windows XP Pro / SP3 ) den Trojaner "Virus Protector" eingefangen und leider auch installiert. (siehe Google)
Normaler weise lässt sich der Trojaner wieder entfernen, indem man ihn erstmal aus der Registry rausnimmt oder mit msconfig deaktiviert.
Anschließend löscht man noch diverse DLL Dateien und lässt verschiedene Programme wie smitfraud.exe ect. drüberlaufen....dann sollte der Störenfried so
einigermaßen entfernt sein.

Bei der Version des "Virus Protectors" mit der ich heute zu tun hatte, ging aber gar nichts mehr.
Die Schadsoftware wurde beim Windows Start mitgestartet, konnte weder geschlossen noch minimiert werden.....
Der Taskmanager war gesperrt, es war keine Startleiste vorhanden und diverse Tastenkombis wie etwa "Windows Taste" + E für Explorer usw. haben nicht funktioniert.

Jetzt denkt Ihr sicher, dann starte doch den abgesicherten Modus.....hab ich auch, aber das ding startete sich immer noch mit......ich konnte garnichts dagegen machen.

Nach einigen malen Neustart der Kiste habe ich den abgesicherten Modus mit Eingabeaufforderung gestartet.....da ging wenigstens die Command Shell (cmd)
und ich konnte manuell die msconfig starten. ( C:\WINDOWS\PCHealth\HelpCtr\Binaries\msconfig.exe ).

Leider war aber kein Eintrag im Reiter Systemstart über Virus Protector.
Registry war leider wie der Taskmanager immer noch von dem Virus gesperrt. genauso wie die Taskleiste fehlte.....also versuchte ich in der msconfig alles auszuschalten was nur iergendwie geht.

Aber jetzt ist der Virus deaktiviert.......hätte ich jedenfalls gehoft.

PC neu gestartet, abgesicherter Modus und der Virus startet schon wieder.....sch***e !!!

Tja, die Kaspersky Hotline wusste leider auch keinen Rat, also hab ich die Festplatte ausgebaut und an einem anderen PC drangehängt und mal gesucht.

Da fand ich dann einige Dateien in diversen Ordner ( c:\windows , c:\windows\system32 , c:\windows\driver ) die allesamt ein gleiches Erstellungsdatum hatten (um die Zeit als der Virus den PC übernahm) und verdächtig gleich groß waren und zwar 1161 KB......oder so ähnlich, aber alle genau gleich groß.

Ich hab die ganzen Dateien wegkopiert und die Platte wieder zurückgebaut, und siehe da, der Virus startete nicht mehr; aber es fehlte die Taskleiste, sämtliche Desktop Symbole, usw.
Der Taskmanager funktionierte zwar wieder, und ich konnte auch sonst alle Programme starten, aber iergendwie war der Virus noch da.

Ich fand weder in der Registry Einträge, noch in der msconfig.....Smitfraud brachte keinen Erfolg und div. andere Software auch nicht.

Nach insgesammt 2,5 Stunden herumprobieren, hab ich den PC kurzerhand neu aufgesetzt.......hat zwar dann den restlichen Tag gedauert bis wieder alles lief ( Buchhaltung ect. ), aber dafür ist der Virus jetzt sicher weg.

Meine Frage dazu lautet jetzt......was kann man in so einem Fall versuchen um das Drecksteil zu entfernen....falls ich wiedermal das Vergnügen mit dem Ding hab.

Danke schon mal im Vorraus

Schönen Abend

Markowitsch face-smile

Content-ID: 137480

Url: https://administrator.de/contentid/137480

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

mrtux
mrtux 04.03.2010 um 21:31:49 Uhr
Goto Top
Hi !

Zitat von @Markowitsch:
Meine Frage dazu lautet jetzt......was kann man in so einem Fall versuchen um das Drecksteil zu entfernen....falls ich wiedermal
das Vergnügen mit dem Ding hab.

In dem Du sowas in/auf einem laufenden OS gar nicht erst versuchst, sondern ein sauberes System (z.B. von einer CD/DVD) bootest und von da aus das Ding verabschiedest...

mrtux
StefanKittel
StefanKittel 04.03.2010 um 22:19:45 Uhr
Goto Top
Hallo,
wir hatten schonmal die Diskussion ob es überhaupt sicher möglich ist einen Virus zu entfernen.

Mittlerweile gibt es ja schlaue viecher die sich einfach 7 Tage schlafen legen. Bloß weil das AV-Programm nichts mehr findet und der PC sich normal verhällt muss dass leider noch nichts heißen.
Auch kann man nie sicher sein, dass das böse Programm nicht irgendwas in Windows beschädigt hat was einem später das Kreuz bricht.

Wenn man sich also nicht 110% sicher ist: immer letztes Image zurückspielen oder neu aufsetzen.

Stefan

PS: der letze fiese Kundenvirus hatte sich als Soundkarte im Gerätemanager getarnt. Und das sogar ziemlich gut. Polymorpher komprimierter Code.
maretz
maretz 05.03.2010 um 07:40:13 Uhr
Goto Top
Moin,

es ist ein Kunde von dir. Du gehst hin und "reparierst" den Rechner für 2,5 Std - und grad ein Rechner in der Buchhaltung. Selbst wenn du den Trojaner "X" entfernt hast - stehst du dafür grade das wirklich NICHTS mehr auf der Kiste läuft was da nicht hingehört (und ggf. die Zugangsdaten zum Online-Banking übermittelt - was bei der BuHa ja durchaus ein naheliegendes Programm ist!)?

Bei sowas hätte ich kein wirklich gutes Gefühl. Ich würde hier IMMER den Rechner neu aufsetzen... Bevor da richtig was "inne büx" geht hab ich doch dann lieber die Sicherheit das es alles so funktioniert wie es soll. Auch wenn das eben dann nen ganzen Tag dauert!
stani
stani 08.03.2010 um 11:14:27 Uhr
Goto Top
Hallo Markowitsch,

das Virus hat offenbar die lokale Gruppenrichtlinie verändert. Wenn du gpedit.msc startest, kannst du die Änderungen wieder rückgängig machen.

Grundsätzlich würde ich ihn aber auch neu aufsetzen.

Grüße!
stani
H41mSh1C0R
H41mSh1C0R 17.03.2010 um 07:52:51 Uhr
Goto Top
Gerade wenn sich ein Programm was nicht auf den Rechner gehört in die Registry eingräbt um als z.b. als kernelmode treiber geladen zu werden, sämtliche Sachen deaktiviert werden usw usw usw. gibt es durchaus die Möglichkeit daran zu kommen.

Es gibt genügend Tools im Netz mit der man Live Bootet und dann in der Registry rumfuhrwerken kann.

Da bei KundenPCs kein regelmäßiger Dump der Registry gemacht wird kann man natürlich da auf keinen "alten" Stand zurückgreifen bzw. diesen Benutzen um Einträge zu finden die da auf Garantie nicht reingehören.

Ansonsten bleibt da nur der Saure Apfel, wenn man sich in der Registry nicht so gut auskennt und setzt die Kiste komplett neu auf, was du ja auch getan hast. =)

Dazu kommt noch das du deinem Kunden mal kräftig auf die "Finger" hauen/belehren solltest nicht alles zu starten nur weil das die Endung .exe hat. xD

Soweit ich das sehen kann, handelt es sich bei Virus-Protector um sogenannte Scareware, die muss nicht unbedingt mit einem Virus/Trojaner versehen sein. Da kann alles drin stecken gibt ja genügend Beispiele zu Scareware im Netz.

Bei den meisten Scareware Paketen geht es aber im Grunde nur darum den "Kunden" zum Kauf von vermeintlichen Sicherheitsprodukten zu verleiten und somit auf diese Weise Geld zu verschenken.